> Da geht es ja schon los... erstes Ziel ist doch,
> dem potentiellen Störenfried zunächst einmal
> physikalisch den Zugang zu verwehren; positioniere
> ich meinen Router geschickt, kann mir egal sein,
> was Hintz und Kuntz draußen machen und wenn sie so
> nah an meinen Router rankommen, dass doch mal eine
> Verbindung entstehen könnte, sehe ich sie schön
> und leite meine Gegenmaßnahmen ein . Aber so weit
> kommt es nicht, denn, was ich nicht weiß, das
> macht mich nicht heiß, ergo: steht der Router gut,
> wird er erst gar nicht gefunden. Denk auch an das
> Beispiel mit dem Metalleimer, das ich weiter oben
> nannte...
Lieber Nomi, ich glaube dass dem mündigen Surfer weniger das geschickte Positionieren als eine einmal eingestellte (idealerweise WPA-) Verschlüsselung des Routers zur Nachahmung zu empfehlen ist. (die im übrigen die MAC-Adressen-Filterung und weitere Sicherheitsfeatures quasi nebensächlich werden lässt). Die "geschickte Positionierung" ist zudem eine trügerische Sicherheit, denn die Reichweite Deines Routers ist schlichtweg nicht sichtbar. Auch wenn Du bei einem Kontrollgang mit Deinem Dellschnäppchen
im Hof keinen Empfang hast, so ist nicht gleich davon auszugehen, dass nicht doch jemand mit einer WLAN-Karte mit sehr viel höherer Empfangs- und Sendestärke (und diese kann man sich auch sehr gut im Besitz von Skriptkiddies vorstellen) Deinen Datenverkehr mitlesen kann o.ä..
> Du denkst schon einen Schritt weiter, also evtl.
> was, wenn der Router nicht geschickter
> positioniert werden kann? Nun gut, da haben wir
> dann ein Problem, das wohl eine Verschlüsselung
> umgehen soll. Zunächst einmal, würde ich doch aber
> auch da physikalisch verhindern wollen, dass der
> Bösewicht Zugriff auf meinen Router bekommt und
> das mache ich zunächst mit den Mitteln, die mich
> keine zusätzlichen Ressorcen kosten, also:
>
> a) SSID verstecken und evtl. kryptisch wählen
> b) MAC-Adressen-Berechtigungen setzen
> c) IP-Adressbereich knapp und klar definieren,
> evtl. DHCP ausschalten
>
> Das sind zunächst einmal die wirksamsten
> Maßnahmen, die mich keine zusätzlichen Ressourcen
> kosten und ca. 80% der Skriptkids ab- oder
> zumindest aufhalten.
Natürlich bringen solche Maßnahmen etwas, doch sind diese wie gesagt durch eine vernünftge Verschlüsselung eher nebensächlich und zudem schwer einem Otto-normal-user zu vermitteln, was ja Dein Anliegen ist. Bei WPA-PSK braucht man lediglich einen Verschlüsselungskey festlegen im Router und dann bei den WLAN-Treibern einzustellen, was schon m.E. eher zu leisten ist, als die 4. Schritte, die Du dort vorschlägst.
Die Leistungseinbußen, die dabei auftreten, würde ich erst dann mit einer Umpositionierung des Routers zu Minimieren versuchen.
> Erst wenn ich gar nicht anders kann und sehe, dass
> meine Daten von solch unschätzbarem Wert sind,
> dass ich zumindest auch noch weitere 10%
> ausschließen möchte und auch keine bessere
> Positionierung des Routers erreichen kann, kommt
> die Verschlüsselung und auch da zunächst einmal
> die, die mir am wenigsten Ärger macht. Denn was
> bringt mir der beste Schutz der Welt, wenn er mich
> von meinem eigentlichen Ansinnen entfernt, indem
> er mich z.B. permanent trennt, ausbremst oder
> sonst wie beim Arbeiten behindert. Ganz salopp
> gesagt, baust du dir doch auch keine Mauer, aus
> der du selbst nicht mehr herauskommst, oder?
Tja das ist natürlich Geschmackssache, ich kann mir vorstellen, dass sich manche (nicht Du!) auch bewusst keinen Schutz einstellen, um dann bei Ihren Aktivitäten darauf verweisen zu können, dass das Netzwerk offen war und daher jeder es gewesen sein kann mit einem WLAN-Notebook.
> > Ich habe nach dieser Erkenntnis mein WLAN
> wieder
> > abgestellt
>
> Nur wegen den paar Kids, die evtl. mal deine SSID
> rausfinden könnten? Find ich nun doch etwas arg
> überzogen... das grenzt ja schon fast ein bisschen
> an Paranoia.
Naja also aufgrund des MP3-Radios musste ich die SSID zwingend mitsenden, da es sonst keinen Zugang zum Netz hat... darauf hatte ich keine Lust mehr. Der WEP-Key von 128 Bit war in dieser Konstellation zu einfach zu knacken. Mir gehts bei den Sicherheitsgedanken (Paranoia finde ich dafür übertrieben) nicht nur um meine Daten, allein der Netzzugang eröffnet einem Unbefugten ja genug Möglichkeiten, Illegales zu tun (und sein es nur "schnöde" Urheberrechtsverletzungen, für die ich dann mit meiner IP geradestehen müsste)
> Ja, aber den "Standard-Usern" z.B. ein virtuelles
> privates Netzwerk (VPN), welches ja aktuell als
> nicht "tunnelbar" gilt, anzutun halte ich für mehr
> als irrwitzig, zumal es da wirklich so viel nicht
> zu holen gibt, als dass sich der Aufwand auch nur
> im geringsten lohnen würde.
VPN ist natürlich nur für die ganz vertraulichen Daten (z.B. Versicherungsvertreter, der die Versicherungsdaten an den Haupserver übermittelt o.ä)
> aber Passörter etc. möchte
> > ICH nicht über ein WLAN mit WEP übertragen.
> Und
> > längst nicht jede Seite bietet schon
> https:-Logins
> > an.
>
> Nochmals: die wichtigen Passwörter überträgt man
> bitte ohnehin nur verkabelt; Onlinebanking und Co.
> wären bei mir die wichtigsten, die in diese
> Kategorie fallen. Und sollte tatsächlich jemand
> mal mein Discountfan-Passwort herausfinden und
> damit Schindluder treiben fällt mir das so schnell
> auf, dass ich darauf angemessen reagieren kann .
Also Dein Moderatorpasswort wäre für mich auch keine Bereicherung, für die Kontodaten könnte man sich schon eher begeistern
Hast Du bei der c't bzw. Heise gesehen, dort gibts einen HBCI-Reader für kleines Geld... habs mir auch schon überlegt auf diesen Standard zu wechseln, der sollte ja der PIN-TAN-Methode vorzuziehen und auch bequemer sein. Dort könnte man Bankgeschäfte auch über WLAN abwickeln ohne das Zittern zu bekommen.
> > Natürlich würde man bei Dir, Nomi,
> > höchstwahrscheinlich nichts bestellen können,
> da
> > Du Dein System abzusichern weißt.
>
> Mit vorgenannten Methoden; kein Hexenwerk! Dass da
> u.a. auch eine Software-Firewall dazugehört, muss
> ich ja nicht nochmal betonen. Auch diese kann
> entsprechend limitieren, von daher will ich mal
> gar nicht auf diese eingehen; die Windows-Firewall
> muss in diesem Fall ausreichen!
Wie oben gesagt: WPA finde ich persönlich besser einem Otto-Normal-User zu vermitteln als MAC-filter & Co.
> ... Verschlüsselungsfragen sind da die kleinste
> Sorge.
Tja, was aus dem Internet auf den Router prasselt ist natürlich weit gefährlicher... bevor die Einstellungen nach/von "außen" nicht stimmen sollte man am besten den Rechner ganz aus lassen.
> was dann in
> > einem ausgeraubten Onlinekonto (Stichwort
> > Keylogger) oder Identitätsklau (z.B.
> gefälschter
> > Ebayaccount) resultieren kann.
>
> Ich sage ja: Vorsicht vor solchen Sachen; die
> macht man immer kabelgebunden!!! Und natürlich
> speichert man seine PINs und TANs nicht auf dem
> PC; auch das sind grundlegende Sachen, die noch
> vor jeglicher Überlegung in Richtung
> Verschlüsselung angesprochen werden müssen!
Stimmt, leider. Die überlegenen Systeme setzen sich leider selten durch (siehe Minidisk, Beta) in diesem Fall hätte HBCI einiges schwieriger gemacht für die Gauner.
> >
> > Also lieber gleich allen die sicherste
> Methode
> > empfehlen, aber nicht eine Verschlüsselung,
> die
> > schon seit 4 Jahren nicht mehr "verbaut"
> hätte
> > werden dürfen.
>
> Alles hat irgendwo seinen Grund; WEP wird nicht
> umsonst noch weiter betrieben, ebenso, wie der
> Sockel A bis dato nicht aussterben wollte (selbst
> jetzt findet man noch Geode-CPUs, von denen man
> vor einer Weile so gut wie nichts gehört hätte)...
> was sich bewährt, wird gerne beibehalten und WPA
> und Co. müssen auch erst reifen, bis sie
> angenommen werden und die Hardware dafür weit
> genug verbreitet ist.
WPA hat in die meisten WLAN-Router schon Einzug gefunden, ich kenne nur wenige Geräte, bei denen WPA nicht durch eine Firmware Einzug gehalten hätte (Negativbeispiel: mein MP3-Radio und ein USB-WLAN Adapter von D-Link).
> Die davor vorgestellten Mitteln sind probate
> hardwareübergreifende Mittel, die i.d.R. den
> Großteil der Witzfiguren ausschalten, die meinen
> Schabernack treiben zu müssen; dabei bleibt ein
> angenehmes Arbeiten möglich und der Aufwand in
> einem akzeptablen Rahmen.
Akzeptabel für wen?
> Die eigentliche 'Gefahr', sofern man dies
> überhaupt bei einem Großteil der
> 'Möchtegernkrieger' so nennen darf, sind also die
> Kids, die meinen, sie könnten sich so aufplustern
> und einen Erfolg für sich verbuchen. Im Übrigen
> und damit schließe ich dann auch die begriffliche
> Diskussion, ist WarDriving und die Nutzung offener
> Hotspots nicht strafbar, da keine
> Verschlüsselungsmechanismen umgangen werden.
Ja, das ist richtig, wenngleich man es nicht machen sollte, da man u.U. über einen Volumen-DSL-Tarif unterwegs ist und dem Besitzer dadurch immense Kosten verursachen kann.
> Die
> > Mac-adressenfilterung ist m.E. kein guter
> Schutz,
> > sofern man nicht sonst noch Vorkehrungen
> trifft..
>
> Das interessiert mich jetzt aber doch... weißt du
> da mehr, als ich weiß?!
Keine Ahnung was Du weißt, die meisten Wardriver sind mit Linux unterwegs und da hat man mit Macadressen keine Probleme.
Ich bleibe dabei: am besten alles an Sicherheitsvorkehrungen treffen, was einem der Router hergibt und da fängt man bei WPA an und hört bei DHCP-off auf.
tech-nicker