patrick- Geschrieben 10. Januar 2006 Teilen Geschrieben 10. Januar 2006 Hallo, ich möchte mich schnell in das Thema W-Lan einlesen und versuche es zu verstehen. Könnt ihr mich dabei unterstützen und MEINE kurzen Zusammenfassungen kurz durchlesen und mich verbessern falls dort was falsches steht? (Ich werde den Beitrag Editieren bzw. neue Post's mit neuen Zusammenfassungen nachträglich gleich noch reinstellen) Fangen wir mal "einfach" an: Was ist WEP und was tut es? WEP steht für Wired Equivalent Privacy und ist ein Verfahren, um die Wireless Daten aus einem W-LAN zu verschlüsseln. Um sich in ein WEP gesichertes Netz einloggen zu können, benötigt man nur den vordefinierten Key. Dieser ist heutzutage mit vielen Software Programmen schnell geknackt. Aus diesem Grund gilt die 40 bzw. 104 Bit Verschlüsselung heutzutage als unsicher und leicht knackbar. WEP basiert auf dem RC4 Verfahren. Bei WEP wird im AccessPoint ein Schlüssel hinterlegt, den jeder Client braucht um sich ins W-Lan einloggen zu können. Was ist WPA und was tut es? WPA steht für WiFi Protected Access und ist ein verbessertes WEP. WPA ist eine vorab Version des neuen WPA2 bzw. IEEE 802.11i. WPA verwendet zur Verschlüsselung das TKIP verfahren welches auch auf dem RC4 Verfahren basiert. Um sich in einem WPA W-Lan anmelden zu können, loggt man sich über das EAP Protokoll ins Netzwerk ein. Dabei muss der Client (wie bei WEP) das auf dem AccessPoint hinterlegte Passwort benutzen. Was ist WPA2 und was tut es? WPA2 ist der neue IEEE 802.11i Standard, der ein W-Lan sicher machen soll. Anders als wie bei WPA verwendet WPA2 nicht mehr EAP sondern AES und dies ist eine neue Verschlüsselungsvariante. Bis heute ist kein Fall bekannt, das WPA2 geknackt wurde. Leider ist WPA2 noch nicht weit verbreitet und wird bislang auch nur bei wenigen AccessPoints angeboten. Sollte ein AccessPoint AES unterstützen, heißt dies nicht, dass er gleichzeitig WPA2 unterstützt, sondern lediglich die Verschlüsselungsmethode beherrscht. Bei diesen AccessPoints wird es wahrscheinlich demnächst ein Update geben, dass WPA2 unterstützt wird. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Mr Krabs Geschrieben 10. Januar 2006 Teilen Geschrieben 10. Januar 2006 Soweit ich weiß : IEEE 802.11i. WPA verwendet zur Verschlüsselung das TKIP verfahren welches auch auf dem RC4 Verfahren basiert. Als Verschlüsselungsmethode kann auch AES benutzt werden, sofern der Hersteller dies unterstützt. Um sich in einem WPA W-Lan anmelden zu können, loggt man sich über das EAP Protokoll ins Netzwerk ein. Dabei muss der Client (wie bei WEP) das auf dem AccessPoint hinterlegte Passwort benutzen. Benutzt der Client den auf dem Accesspoint hinterlegten Schlüssel, handelt es sich um WPA-PSK also Pre-Shared Key. -> Ist natürlich unpraktisch, wenn du einen Schlüssel 20 Mitarbeitern mitteilen musst. Wird wie in 802.1x ein Authenticator (Radius-Server) genutzt, wird sich bei diesem in der Regel mit dem EAP Protokoll authentifiziert. ->Nach erfolgreicher Authentifizierung wird dem Client der Schlüssel vom Authenticator mitgeteilt. Wie gesagt, mein Stand : Bei WPA-PSK fest in den Geräten eingetragen. Bei Radius Authentifizierung wird dem Client der Schlüssel mitgeteilt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Mr Krabs Geschrieben 10. Januar 2006 Teilen Geschrieben 10. Januar 2006 Schau mal hier : http://www.lancom-systems.de/produkte/feature/techpaper/TP-WLAN-80211i-DE.pdf Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 11. Januar 2006 Teilen Geschrieben 11. Januar 2006 WEP steht für Wired Equivalent Privacy und ist ein Verfahren, um die Wireless Daten aus einem W-LAN zu verschlüsseln. Um sich in ein WEP gesichertes Netz einloggen zu können, benötigt man nur den vordefinierten Key. Dieser ist heutzutage mit vielen Software Programmen schnell geknackt. Aus diesem Grund gilt die 40 bzw. 104 Bit Verschlüsselung heutzutage als unsicher und leicht knackbar. WEP basiert auf dem RC4 Verfahren. Bei WEP wird im AccessPoint ein Schlüssel hinterlegt, den jeder Client braucht um sich ins W-Lan einloggen zu können. Das RC4 Verfahren ist übrigens eigentlich recht sicher - aber unsauber implementiert worden. Deswegen ist WEP so einfach zu knacken (10 - 20 Minuten). Das liegt daran das beid er entwicklung keine einziger Kryptologe ( Kryptanalytiker involviert war. WPA2 und 802.11i sind nicht wirklich das selbe da die beiden Standards von verschiedenen Gremien konzeptioniert wurden (WIFI-Alliance / IEEE). http://www.elektronik-kompendium.de/sites/net/0907111.htm http://www.wi-fi.org/OpenSection/protected_access.asp Das thema ist recht komplex - selbst Netzwerkspezis verstehen die Unterschiede oft falsch... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
patrick- Geschrieben 11. Januar 2006 Autor Teilen Geschrieben 11. Januar 2006 Aber es steht doch überall, dass es das gleiche ist? bzw. "Der weiter Entwickelte 802.11i Standard blabla, auch WPA2 genannt..." ... Oki, aber im PRINZIP verhalten sich beide verfahren gleich? Danke für den Links! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Mr Krabs Geschrieben 11. Januar 2006 Teilen Geschrieben 11. Januar 2006 "Der weiter Entwickelte 802.11i Standard blabla, auch WPA2 genannt..." So, wie 802.11 WEP Verschlüsselung voraussetzte,muss 802.11i standard-konforme Hardware WPA2 und somit AES unterstützen. Betrachte 802.11i "einfach" als Oberbegriff einer Sammlung von Sicherheits Features. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
patrick- Geschrieben 11. Januar 2006 Autor Teilen Geschrieben 11. Januar 2006 Kann mir vielleicht nochmal jemand helfen? Ich check einfach den unterschied zwischen WEP und WPA nicht. Ich lese ständig, dass WPA im Grunde, das gleiche wie WEP ist. Den einzigsten unterschied den ich sehe ist, dass sich bei WPA, während einer aktiven Verbindung, der Schlüssel für die Sitzung nach jedem 10. kb ändert (wovon der User nichts mitbekommt). Ist das so auch richtig?: Wenn WPA-PSK verwendet wird, wird TKIP als Verschlüsselungsverfahren genommen. Sobald jedoch WPA mit einem Raidus Server betrieben wird, wird zur verschlüsselung EAP verwendet. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 12. Januar 2006 Teilen Geschrieben 12. Januar 2006 EAP ist kein verschlüsselungsverfahren in dem sinne. Schau mal das hier an: http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_DE.pdf http://www.franken.de/de/veranstaltungen/kongress/2003/03-3-1-wlan-wpa.pdf mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Mr Krabs Geschrieben 12. Januar 2006 Teilen Geschrieben 12. Januar 2006 Ich check einfach den unterschied zwischen WEP und WPA nicht. Ich lese ständig, dass WPA im Grunde, das gleiche wie WEP ist. Da WEP ein großes Sicherheitsrisiko darstellte, sollte eine Abhilfe bis zur Ablösung durch 802.11i gefunden werden. Und da die (ältere) 802.11 konforme Hardware nicht Leistungsstark genug ist, um z.B. AES zu nutzen, wurde bei WPA weiterhin RC4 genutzt. Im Grunde ähnelt WPA der WEP Verschlüsselung.Es wurden lediglich die sicherheitskritischten Merkmale verbessert. So wurde z.B. ein längerer Initialisierungsvektor genutzt (48 statt 24bit), ein Handshake Verfahren zwischen Client und Accesspoint eingeführt, um den aktuellen Sitzungsschlüssel zu übermitteln, gefälschte Pakete können leichter identifiziert werden und einige andere Sicherheitsfeatures wurden implementiert bzw. verworfen. So z.B ein älteres Verfahren, wobei ein Accesspoint einem Client ein unverschlüsseltes Paket zusendet - der Client schickt es (mit seinem hinterlegten Schlüssel) verschlüsselt zurück und wird dann authorisiert, sofern der Accesspoint dieses Paket korrekt entschlüsseln kann. Die Gefahr dabei ist, dass ein Angreifer dieses Paket einmal im Klartext und einmal das selbe Paket verschlüsselt abfangen kann. Wenn WPA-PSK verwendet wird, wird TKIP als Verschlüsselungsverfahren genommen. Sobald jedoch WPA mit einem Raidus Server betrieben wird, wird zur verschlüsselung EAP verwendet. TKIP (+ die MAC Adresse +Initialisierungs Vektor) dient zur Verschlüsselung des Paketes zwischen dem Client und dem Accesspoint. EAP ist ein Protokoll, dass der Authentifizierung an einem Radius Server dient. EAP ist allerdings lediglich auch ein Oberbegriff. Das verbreitetste in 802.11i ist EAP-TLS. http://de.wikipedia.org/wiki/Extensible_Authentication_Protocol Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 12. Januar 2006 Teilen Geschrieben 12. Januar 2006 gefälschte Pakete können leichter identifiziert werden und einige andere Sicherheitsfeatures wurden implementiert bzw. verworfen. Wie kann man bei WPA Packet-Injection durchführen? Das ist mir neu... So z.B ein älteres Verfahren, wobei ein Accesspoint einem Client ein unverschlüsseltes Paket zusendet - der Client schickt es (mit seinem hinterlegten Schlüssel) verschlüsselt zurück und wird dann authorisiert, sofern der Accesspoint dieses Paket korrekt entschlüsseln kann. Nennt sich Shared-Key - deswegen ist es selbst bei WEP sicherer OpenSystem zu verwenden... TKIP (+ die MAC Adresse +Initialisierungs Vektor) TKIP ist ein Protokoll und kein Parameter wie eine MAC-Adresse... EAP ist ein Protokoll, dass der Authentifizierung an einem Radius Server dient. EAP ist allerdings lediglich auch ein Oberbegriff. Das verbreitetste in 802.11i ist EAP-TLS. Das kann man so nicht sagen, kommt auf die Größe der Infrastruktur und weitere Variablen an. Weit verbreitet ist sicher EAP-TLS, in kleineren Umgebungen kommt aber oft EAP-TTLS zum Einsatz, hat den Vorteil das keine Client-Zertifikate auf den WLAN-Clients eingerichtet und verwaltet werden müssen. Stattdessen erfolgt die sichere Authentifizierung mit herkömmlichen Windows-Benutzerangaben. Dann existieren noch EAP, LEAP, PEAP und EAP-Fast... Generell sollte man bei Aussagen zu WEP, WPA, 802.11i und 802.1x vorsichtig sein - es ist erschreckend das oft sogar Dienstleister kaum Kenntnisse in diesem Bereich haben... WLAN-Sicherheit ist kein Thema das man in ein paar Stunden verstehen kann... Ich beschäftige mich schon eine zetlang damit und habe trotzdem noch Wissenslücken :hells: Wen es interessiert, hab nochmal in den Bookmarks gegraben: http://isg.ee.ethz.ch/events/j2004/papers/802_11i.pdf http://www.enterasys.com/de/products/whitepapers/eap_artikel_revised_de_rev2.pdf mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Mr Krabs Geschrieben 13. Januar 2006 Teilen Geschrieben 13. Januar 2006 moin :-) gefälschte Pakete können leichter identifiziert werden Punkt 6.1 : http://www.lancom-systems.de/produkte/feature/techpaper/TP-WLAN-80211i-DE.pdf Nennt sich Shared-Key Das ist richtig TKIP ist ein Protokoll und kein Parameter wie eine MAC-Adresse... Auch dies ist richtig Ändert allerdings nichts an der Tatsache, dass TKIP in des Low Teil des IV die Mac Adresse einbezieht um zu verhindern, dass es zur Verwendung von identischen RC4 Schlüsseln kommt. Weit verbreitet ist sicher EAP-TLS, in kleineren Umgebungen kommt aber oft EAP-TTLS zum Einsatz, hat den Vorteil das keine Client-Zertifikate auf den WLAN-Clients eingerichtet und verwaltet werden müssen. Stattdessen erfolgt die sichere Authentifizierung mit herkömmlichen Windows-Benutzerangaben. Dann existieren noch EAP, LEAP, PEAP und EAP-Fast... Eine etwas überdimensionierte Antwort auf die Verständnisfrage, ob EAP zur Verschlüsselung des WLAN Verkehrs dient Generell sollte man bei Aussagen zu WEP, WPA, 802.11i und 802.1x vorsichtig sein - es ist erschreckend das oft sogar Dienstleister kaum Kenntnisse in diesem Bereich haben... WLAN-Sicherheit ist kein Thema das man in ein paar Stunden verstehen kann... Ich beschäftige mich schon eine zetlang damit und habe trotzdem noch Wissenslücken Für mich ist das Thema Neuland. Daher wäre es hilfreich, wenn du eventuelle Falschaussagen konstruktiv korrigierst, statt halbe Zitate zu kommentieren Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
patrick- Geschrieben 13. Januar 2006 Autor Teilen Geschrieben 13. Januar 2006 Habe ich es richtig verstanden, dass beim "Handshake" der Client dem Radius-Server (ohne einen Radius-Server ist das Handshake verfahren nicht möglich?) seine MAC-Adresse + einen IV Wert schickt und die schicken sich das ganze dann 4 mal hin und her bis der Server sagt, "ok, du darfst ins W-LAN" ? Tschuldigung für meine nicht vorhandene Fachsprache, aber nur so kann ich es mir leichter merken Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
patrick- Geschrieben 13. Januar 2006 Autor Teilen Geschrieben 13. Januar 2006 Nochmal eine Frage zu WEP: Wenn ich mich mit meinem Notebook in ein WEP gesichertes Netz einloggen möchte, benötige ich dann eine art Passwort? .. Schlüssel? Weil ich gelesen habe, dass im AccessPoint mehrere Schlüssel hinterlegt sind. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
patrick- Geschrieben 13. Januar 2006 Autor Teilen Geschrieben 13. Januar 2006 Ich habe hier nochmal versucht (wie am Anfang) eine kleine Zusammenfassung zu schreiben. Wenn sich noch jemand findet der mich korriegieren möchte, wäre ich sehr dankbar! WEP und WPA sind Verschlüsselungs-Methoden eines W-LANs. WEP ist die ältere Version und gilt heutzutage als sehr unsicher und wird mittlerweile von WPA Varianten Abgelöst. Was macht WEP so unsicher? -> WEP verwendet nur ein Passwort um sich ins W-LAN einzuloggen. Dieses kann zwar bis zu 104bit lang sein, jedoch selbst dann ist es relativ schnell möglich den Code zu knacken und sich anschließend ins W-LAN einzuloggen. Das Passwort wird mit hilfen einem IV erweitert, jedoch ist dieser auch zu kurz um das W-LAN sicher zu gestalten. Bei WPA-PSK sieht das ganze schon anders aus! Hier muss der Client zunächst wie bei WEP das Passwort (Passphrase) kennen. Beim Login versuch ins W-LAN merkt sich das Handshake verfahren bestimmte dinge des Clienten (z.B. MAC-Adresse oder Verschlüsselungswunsch). Sollte ein dritter nun mithören bzw. sich dazwischen drängen wollen, merkt das der AccessPoint und bricht die Verbindung sofort ab. Bei erfolgreicher Verbindung, kommt TKIP als Verschlüsselung zum Einsatz. Wenn man von WPA spricht, befindet sich immer ein Radius Server im Hintergrund. Dieser hat die Aufgabe, Benutzer die ins W-LAN wollen zu überprüfen. Er überpürft zunächst die MAC-Adresse des Clienten und schaut nach dem für DIESEN Clienten Hinterlegtem Passwort nach. Stimmt dieses auch noch überein, bekommt der Client Zugang. Als Verschlüsselung wird hier eine Art des EAP verwendet (z.B. die zwei bekanntesten EAP-TLS oder EAP-TTLS). mfg patrick Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 17. Januar 2006 Teilen Geschrieben 17. Januar 2006 Das ist leider fast alles falsch. Habe auch keine Zeit es zu korrigieren, nur kurz: WPA braucht kein Radius. Es wird bei WEP kein Passwort um einen IV "erweitert". Passwort ist generell der falsche Begriff... Lies bitte ein paar der von mir geposteten Links... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.