Um es nochmal klar und deutlich zu sagen, die Verschlüsselung ist nicht das Problem (sofern ein komplexer Schlüssel mit mindestens 20 Zeichen benutzt wird). Ein Radiusserver wie er z. B. in einem Draytekrouter eingebaut ist, ist sehr schnell implementiert (s. o. verlinkte Anleitung).
Mit der Aussage daß WLAN nur mit weiteren Maßnahmen sicher zu bekommen ist, möchte ich auf die anderen Angrifsvektoren auf das WLAN hinweisen. Man in the middle Angriffe setzen nicht ausschließlich auf das Knacken von Schlüsseln sondern auch auf andere Techniken. cuco hat besipielsweise auf das Abfangen des Handshakes hingewiesen. Ebenso gibts es die Möglichkeit des evil twins. Bei einer evil twin Attacke agiert der Angreifer als Accesspoint und bringt einen bereits autorisierten Rechner dazu, sich nicht mit dem vorhandenen Accesspoint sondern mit sich selbst als unerwünschtem (rogue) Accesspoint zu verbinden. Das gelingt indem er den autorisierten Rechner deautentisiert und sich selbst als legitimen Accespoint (deshalb böser Zwilling) ausgibt. So wird ihm "freiwillig" das Passwort mitgeteilt das dann an das eigentliche Netzwerk weitergereicht wird um sich selbst als man in the middle zu etablieren. Die Grafik soll das illustrieren. Weshalb immer wieder von Schlüsselknacken die Rede ist und wo ich das gesagt habe kann ich nicht nach vollziehen. Der Angreifer knackt den Schlüssel nicht, er klaut und kopiert ihn, das ist einfacher und vor allem schneller als mit aircrack-ng zu hantieren.
Wenn ein Windowsserver vorhanden ist, kann ihm auch die Radiusserverrolle zugewiesen werden. Damit empfehle ich ihn nicht als Router.
Quellen: NIST 800-97 und 800-153, BSI NET 2.1, CIS Benchmark for Cisco Wireless LAN Controller, https://docs.microsoft.com/en-us/wi.../cncg/wireless/a-deploy-8021x-wireless-access https://www.kalitutorials.net/2014/07/evil-twin-tutorial.html, https://administrator.de/contentid/154402, https://opensource.com/article/19/1/evil-twin-framework https://nvd.nist.gov/vuln/search/re...e=overview&query=wpa2&search_type=last3months
Auf die ganze Polemik einzugehen habe ich keine Lust, es wäre auch wenig zielführend. Und bitte nicht die SSID verstecken. Das führt nur dazu, daß sämtliche WLAN-Clients sie kontinuierlich herausschreien. Wer's nicht glaubt, nimmt sich Wireshark und sieht sich's selbst an.
- - - Beitrag zusammengeführt - - -
- - - Beitrag zusammengeführt - - -
Und noch etwas: auf der Suche nach einfach zu konfigurierenden Radiusservern bin ich noch über die große Gruppe der NAS gestolpert. Offensichtlich haben viele NAS auch ein Radius-Plugin. Evtl. ist auch das eine Option
Mit der Aussage daß WLAN nur mit weiteren Maßnahmen sicher zu bekommen ist, möchte ich auf die anderen Angrifsvektoren auf das WLAN hinweisen. Man in the middle Angriffe setzen nicht ausschließlich auf das Knacken von Schlüsseln sondern auch auf andere Techniken. cuco hat besipielsweise auf das Abfangen des Handshakes hingewiesen. Ebenso gibts es die Möglichkeit des evil twins. Bei einer evil twin Attacke agiert der Angreifer als Accesspoint und bringt einen bereits autorisierten Rechner dazu, sich nicht mit dem vorhandenen Accesspoint sondern mit sich selbst als unerwünschtem (rogue) Accesspoint zu verbinden. Das gelingt indem er den autorisierten Rechner deautentisiert und sich selbst als legitimen Accespoint (deshalb böser Zwilling) ausgibt. So wird ihm "freiwillig" das Passwort mitgeteilt das dann an das eigentliche Netzwerk weitergereicht wird um sich selbst als man in the middle zu etablieren. Die Grafik soll das illustrieren. Weshalb immer wieder von Schlüsselknacken die Rede ist und wo ich das gesagt habe kann ich nicht nach vollziehen. Der Angreifer knackt den Schlüssel nicht, er klaut und kopiert ihn, das ist einfacher und vor allem schneller als mit aircrack-ng zu hantieren.
Wenn ein Windowsserver vorhanden ist, kann ihm auch die Radiusserverrolle zugewiesen werden. Damit empfehle ich ihn nicht als Router.
Quellen: NIST 800-97 und 800-153, BSI NET 2.1, CIS Benchmark for Cisco Wireless LAN Controller, https://docs.microsoft.com/en-us/wi.../cncg/wireless/a-deploy-8021x-wireless-access https://www.kalitutorials.net/2014/07/evil-twin-tutorial.html, https://administrator.de/contentid/154402, https://opensource.com/article/19/1/evil-twin-framework https://nvd.nist.gov/vuln/search/re...e=overview&query=wpa2&search_type=last3months
Auf die ganze Polemik einzugehen habe ich keine Lust, es wäre auch wenig zielführend. Und bitte nicht die SSID verstecken. Das führt nur dazu, daß sämtliche WLAN-Clients sie kontinuierlich herausschreien. Wer's nicht glaubt, nimmt sich Wireshark und sieht sich's selbst an.
- - - Beitrag zusammengeführt - - -
Verstehe ich nicht. Was ist komplex an der Nutzerverwaltung (die evtl. schon aus anderen Gründen vorhanden ist)? Das Bedürfnis nach Sicherheit und Schutz vor den Nachbarn ist doch da, weshalb ist dann die Absicherung dagegen Overkill?
Auch IOT-Geräte könnte beispielsweise mit der Macadresse an Radius angemeldet werden. Das schreibe ich jedoch nur der Vollständigkeit halber und bin NICHT der Meinung daß das in diesem Fall sinnvoll ist. VLANs können auch im WLAN umgesetzt werden und viele SOHO-Geräte haben sieben und mehr VLANs. Das IOT-Netz mit dem Gastnetz zu vermischen bringt u. U. Probleme mit sich. So willst Du einen Gastzugang vermutlich nicht dauerhaft aktiv lassen und ihm eine begrenzte Bandbreite zuweisen wohingegen es vermutlich bei Deinem Smart-TV genau umgekehrt sein soll.
- - - Beitrag zusammengeführt - - -
Und noch etwas: auf der Suche nach einfach zu konfigurierenden Radiusservern bin ich noch über die große Gruppe der NAS gestolpert. Offensichtlich haben viele NAS auch ein Radius-Plugin. Evtl. ist auch das eine Option
Zuletzt bearbeitet:
Die Fehler liegen halt auch in den Schlüssen, die da gezogen werden.
