Re: MAC-Adresse
- From: Frank Röder <heidenau@xxxxxx>
- Date: Sat, 20 Aug 2005 11:38:49 +0200
Hallo Gerd,
eine MAC Liste gibt Dir nur Pseudosicherheit. Leider sind Bastelprodukte für WLAN von Media-Markt und Co. nicht wirklich sicher zu machen. Gerade für "aircrack" und Co. sind diese Geräte kein Problem. Das schlimmste ist ja, das die MAC Adresse trotz aktivierter WEP Verschlüsselung immer unverschlüsselt übertragen wird. Dadurch kann ich die Kommunikation zwischen einem "guten Client" und dem Accesspoint mitsniffen und komme somit an die MAC heran. Unter Linux kann ich dann die gesniffte MAC mit dem Befehl "ifconfig" sofort an meine eigene WLAN-Karte binden (ist eine Sache von 15 Sekunden).
WEP verwendet eine 32Bit Prüfsumme CRC32 und den RC4 Algorithmus. Da beide linear arbeiten, kann man sie mathematisch knacken.
Anders sieht das bei professionellen Systemen aus die den 802.11i auch als WPA bekannt nutzen. WPA nutzt das TKIP hier werden dynamisch ständig neue Schlüssel generiert. Den Intervall der Schlüsselernerung kannst Du als Admin sogar festlegen. Achte beim Kauf eines WPA Accesspoints darauf, das der WPAv2 nutzt, da die erste Version von WPA auch noch auf RC4 als Verschlüsselungsalgorithmus setzte.
Der nächste Pluspunkt bei WPA liegt in der Authenfizierung der Clients am Accesspoint. Hier gibt es zwei Verfahren: Preshared Key und EAP.
Bei PSK gibt es einen gemeinsamen Schlüssel den Accesspoint und Client kennen. Die kann ein Wort oder eine beliebige Zeichenfolge sein. Viel interessanter ist da EAP. Hier brauchst Du allerdings eine PKI, um Zertifikate erstellen zu können. Bei EAP kannst Du also auf der Basis der Zertifikate eine gegenseitige Authentifizierung durchführen.
All die geht leider nur mit professionellen Geräten die natürlich auch einen professionellen Preis haben. Schaue Dich mal bei www.proxim.com um. Die bauen ganz ordentliche Geräte.
Ein weiterer Ansatz wäre natürlich auch noch, einen Blick auf IPsec zu werfen. Du könntest ja beispielsweise alle WLAN Clients in ein eigenes Subnetz setzen und für dieses Netz IPsec erzwingen.
Wenn Du all das beachtest, bin ich mir sicher das Du fast die gleiche Sicherheit erreichst wie auf einem Kupferkabel.
Viele Grüße
Frank Röder
.
- Follow-Ups:
- Re: MAC-Adresse
- From: Ben
- Re: MAC-Adresse
- References:
- MAC-Adresse
- From: Gerd Altmann
- Re: MAC-Adresse
- From: Yusuf Dikmenoglu
- Re: MAC-Adresse
- From: Ben
- Re: MAC-Adresse
- From: Hilmar Steinhauer
- MAC-Adresse
- Prev by Date: Re: Computer im Netzwerk
- Next by Date: Re: Rätselhaftes Netzwerkproblem
- Previous by thread: Re: MAC-Adresse
- Next by thread: Re: MAC-Adresse
- Index(es):
