Doomshammer's Weblog

Ich hatte mir vor ein paar Tagen ja schon ueber die Sicherheit einiger WLANs ausgelassen und das brachte mich dann doch nochmal ins Gruebeln. WPA2 mit 63-byte Key schoen und gut, aber das gelbe vom Ei ist es dennoch nicht. Nicht nur, dass man den Key auf Grund der laenge sehr schlecht behalten kann, es ist ausserdem ein "Shared Secret". Sprich wenn ich irgendeinem Gast mal den Key zu meinem WLAN gegeben habe und dann wird ihm z. B. das Laptop geklaut, dann ist der Key in fremden Haenden und kann zumindest theoretisch missbraucht werden (und der Boesewicht kann damit in meinem LAN rumschnuefflen). Klar klingt das jetzt ziemlich paranoid und sehr theoretisch, aber die Moeglichkeit besteht.

Also bin ich hingegangen und habe mein Netz etwas mehr abgesichert um solche Faelle auszuschliessen. Zuerst habe ich mein Netz in 2 VLANs unterteilt. Einmal das LAN- sprich die physikalischen Netzwerk-Ports die ich ja ueberwachen kann und dann noch das WiFi VLAN. Die beiden VLANs sind in versch. Subnetze unterteilt und nochmal via Firewall-Regeln komplett von einander abgeschirmt. Wer im LAN ist kann alles- wer im WLAN ist kann surfen, aber mehr auch nicht. Das LAN Netz ist fuer User im WLAN-Subnetz ueberhaupt nicht moeglich (ausser DNS Requests). Man kann sich allerdings via OpenVPN ins LAN einwaehlen und hat dann den kompletten Zugriff aufs LAN.

Das hat natuerlich schonmal 'ne Menge gebracht, denn zumindest mein LAN ist jetzt voellig autak und auch wenn jemand es ins WLAN schafft, hat er keine Chance ins LAN zu kommen.... Schoen! Aber ich habe trotzdem noch immer das Problem mit dem Shared-Key. Also habe ich meinen OpenWRT Router noch um einen FreeRadius Server erweitert und 802.1x WPA Authentifizierung aktiviert. Somit kann ich jetzt einzelne User einrichten und habe eine Zertifikat-basierte Authentifizierung. Wenn da jetzt noch jemand rein kommt, weiss ich auch nicht mehr weiter

Ich fuehle mich jetzt um einiges sicherer in meinen Netzen

• Comments (6)
• Trackbacks (0)

Ich gehoere ja zu dem Typ Mensch, der ungern andere seine Daten mitlesen laesst. Ich hole und sende Mails nur via SSL Verschluesselter Mailsever (da ich mein eigener Hoster bin, ist das recht einfach zu bewerkstelligen), ich versuche oft wie moeglich meine Mails zu verschluesseln, genauso wie ich auch versuche sooft wie irgend moeglich meine IM-Konversationen via OTR oder GPG zu verschluesseln. Mein WLAN-Key ist ein 63byte langer WPA2-AES Key und wird auch regelmaessig geaendert.

Da ich ja immer oefter reise und somit oft in offenen oder zumindest nicht unbedingt vertrauenswuerdigen WLANs und LANs haenge, habe ich auf meinem OpenWRT jetzt OpenVPN aufgesetzt (btw. ich habe es neu aufgesetzt, denn ich habe bereits seit Jahren OpenVPN darauf laufen). Ich habe jetzt aber eine OpenVPN+PKI Installation gemacht. Die PKI-Variante von OpenVPN bietet naemlich einiges mehr an komfort (z. B. autom. Routen pushen an den Client, etc. pp.). Die Installation ging wie immer ziemlich einfach von der Hand (habe auch schon bei Kunden OpenVPN + PKI aufgesetzt - allerdings nicht auf 'm OpenWRT ).

Die einzige Problematik die ich jetzt noch hatte war- wie teste ich ob es wirklich funktioniert? Ist immer doof wenn im LAN alles funktioniert, man dann im Hotel oder beim Kunden sitzt und dann von "extern" nichts mehr klappt, weil irgendwelche Firewall-Regeln nicht eingerichtet sind oder Routen auf dem OpenWRT fehlen (oder das pushing des DNS nicht klappt, etc...). Also dachte ich mir- waehlst Du Dich mal in ein oeffentliches WLAN ein, falls es eins in meiner Naehe geben sollte. Ich suchte also die Nachbarschaft nach offenen WLANs ab, musste aber verwundert feststellen, dass es keine mehr gibt (sonst gab es immer ein offenes WLAN mit der SSID "default" ). Gut, jetzt hab ich ein Problem- denn meine WLAN Karte funktioniert nicht mit aircrack. Aber dann fiel mir wieder ein, dass ich doch mal mit aircrack ein WLAN eines Nachbarn (eher versehentlich) geoeffnet hatte.

Ein Blick in die verfuegbaren WLANs bestaetigte das es das WLAN mit einer 4-Stelligen SSID immernoch gibt. Der Key war damals (als ich vor 2 Jahren hier in Koeln eingezogen bin und 2 Wochen keinen Internetanschluss hatte) innerhalb von Minuten geknackt. Der Key war so trivial, dass er regelrecht darauf hoffen muss geknackt zu werden (WEP: 24 Nullen, gefolgt von einer 2-stelligen Zahlenfolge). Ich ging natuerlich davon aus, dass der Key schon 100.000 mal geknackt wurde und der Besitze endlich mal den Key geaendert hat- ich malte mir also keine grossen Chancen aus. Das aenderte sich aber schnell, als das "verbunden"-Signal nach Eingabe der o. g. Zahlenfolge ertoente. Der Besitzer des WLANs hat innerhalb der letzten 2 Jahre seinen Key tatsaechlich nicht geaendert- ich konnte mich also ohne Probleme einwaehlen und mein VPN testen (klappt btw. 1a ).

Ich meine, selbst wenn man ueberhaupt kein Gefuehl fuer Technologie hat und was Computer-Sicherheit angeht... in den Medien wird man taechlich darauf aufmerksam gemacht (z. B. durch den Sicherheitsgott himself) wie unsicher WLANs sind und wie leicht sie zu knacken sind... selbst Lieschen Mueller sollte in der Lage sein zu merken, dass es hin und wieder mal noetig ist das WLAN PW zu aendern- und wenn man es selbst nicht kann, dann fragt man im Bekanntenkreis nach, ob jemand aushelfen kann (oder Oma fragt ihren Ur-Enkel oder so). Ich denke ich werde nochmal ins WLAN einwaehlen und schauen ob ich den Besitzer identifizieren kann (die SSID ist btw. ein deutscher Nachname) und werde den Besitzer dann mal darauf aufmerksam machen.

• Comments (5)
• Trackback (1)

Ich hab als Ersatz fuer meinen kaputten WLAN Router jetzt so ein Teil von Allnet bekommen.

Sehr lustig ist, dass der die Moeglichkeit mitbring per Remote an einen Syslog-Server zu loggen oder halt lokal. Hab mir das Log mal angeschaut, und siehe da - dahinter sitzt nichts anderes als 'n abgespecktes Linux 2.4.x auf MIPS Basis

• Comments (5)
• Trackbacks (0)
• Continue reading "Mein neuer WLAN Router"