| View previous topic :: View next topic |
| Author |
Message |
hoschi
Advocate
Joined: 19 Jul 2003
Posts: 2517
Location: Ulm, Germany, Europe
|
 Posted: Thu Apr 13, 2006 8:20 am Post subject: Wireless-Lan (Sicherheit, Verbindungszeit usw.) |
 |
|
Hallo,
WLAN hat sich in letzter Zeit ja stark verbreitet, nur diskutieren wir hier irgendwie nicht viel darueber.
Von Gentoo aus gibt es dazu eine wichtige Seite, die man kennen sollte: http://www.gentoo.org/doc/de/handbook/handbook-x86.xml?part=4&chap=4
In einem Punkt ist das ganze nicht aktuell wpa_supplicant_eth0="-Dwext" (fuer alle Treiber im Kernel die sauber an die Wireless-Extensions angepasst sind), statt "madwifi". Betrifft zum Beispiel Leute mit Intel WLAN-karten.
Es gibt neben dem ueblichen Netzwerkprogrammen vier wichtige Bestandteile von WLAN unter Linux:
- Im Kernel die Wireless-Extensions, stellen ein standardisiertes Interface fuer die Treiber her und bieten ieee802.11a/b/g Support (54Mbit, WEP/WPA/WPA2)
- Im Userspace die Wireless-Tools, um die WLAN-Karte zu steuern (iwconfig usw., integrierter Support fuer WEP)
- Im Userspace wpa_supplicant, liegt quasi auf den von den Wireless-Tools gebotenen Funktionen auf und bietet den Support fuer WPA/WPA2
- Die Treiber im Kernel oder als externe Module
Ich weiss vom Entwickler der Wireless-Tools, dass diese sich weiterhin um die Steuerung der Karten kuemmern werden, die Verschluesselung bleibt aber Sache von WPA-Supplicant, er will und kann den Code auch nicht uebernehmen. Also vergesst besser gleich, dass die Wireless-Tools uberhaupt WEP-Support haben (vielleicht sollte man den gleich ganz entfernen).
Wireless-Tools und WPA-Supplicant ueberschneiden sich uebrigens in ihren Funktionen bei der festlegung der IP-Adresse, was aber ganz praktisch ist.
Zu Sicherheit:
WEP ist ein einfacher Verschluesslungsstandard, und kann innerhalb von Minuten geknackt werden.
WPA ist eine Weiterentwicklung von WEP, wesentlich sicherer (aber nicht unknackbar) und kann als guter Standard fuer Heimnetzwerke gesehen werden. In Form von WPA-PSK (Pre Shared Key, jeder User hat also das Passwort) am meisten verwendet, und quasi Standard. Die zweite Form ist WPA-Radius, hier kuemmert sich ein extra Server um den ganzen Sicherheitskram, kommt in Unternehmen daher wohl am ehesten zum Einsatz (eine Krankenhaus sollte sich besser so absicher, WPA-PSK ist dafuer nicht wirklich geeigent).
WPA2 ist eine neue Entwicklung, verlangt aber komplett neue Hardware und wird auch noch nicht so breit unterstuetzt, hier gibt es die gleichen zwei Sicherheitsmodi wie bei WPA. Vielleicht koennte ihr es einsetzen, aber nur vielleicht.
Das abschalten der SSID-Uebertragung ist sinnlos, nur Windows-XP blendet hier Netzwerk von sich aus selbst aus. Verwendet der geneigte Windows-Anwender ein anderes Programm als das Zeug aus dem SP2, war es dass mit der Sicherheit. Gleiches gilt fuer uns unter Linux, die Wireless-Tools lassen sich von einer abgeschalteten SSID-Uebertragung nicht beeindruecken.
Das abschalten von DHCP macht Sicherheitstechnisch auch keinen Sinn, aber den meisten duerften feste IPs mehr zusagen, also kann man DHCP ausknippsen, es schadet nicht.
Die MAC-Adressen fest zu definieren macht Sinn, wenn man sich vor Scripptkiddies schuetzen will, bekanntlich kann man die aber leicht aendern.
Sich aus dem Netzwerk auszuloggen bei Nichtbenuetzung macht zwar Sinn, aber ein Eindringling kann den benoetigen Datenverkehr zum mitloggen im Regelfall quasi selbst vom Zaun brechen.
So, dass war es erstmal.
Hier meine eigenen Fragen:
Mit WEP und fester IP war ich immer sofort Online, mit WPA-PSK braucht es etwa zehn Sekunden bis ich im Netz bin. Auserdem bekomme ich bei Start des Init-Scripts die Meldung " * WARNING: net.eth1 has started but is inactive
", normal?
Ich habe mich hier schon mit dem Priority-Wert befasst, aber ob 20 oder 5 macht irgendwie keinen Unterschied.
Was bringt mir "wpa_timeout" fuer einen Nutzen, Zeit bis zum automatisch ausloggen?
_________________
Just you and me strogg! |
|
| Back to top |
|
 |
psyeye
Guru
Joined: 06 Dec 2002
Posts: 409
Location: Germany
|
| Posted: Thu Apr 13, 2006 11:08 am Post subject: Re: Wireless-Lan (Sicherheit, Verbindungszeit usw.) |
|
|
| hoschi wrote: | | Mit WEP und fester IP war ich immer sofort Online, mit WPA-PSK braucht es etwa zehn Sekunden bis ich im Netz bin. Auserdem bekomme ich bei Start des Init-Scripts die Meldung " * WARNING: net.eth1 has started but is inactive", normal? |
Ich denke zwar, dass 10s ein wenig lang ist - aber der Schlüsseltausch zw. AP und Client dauert bei WPA-PSK garantiert länger als bei WEP. Ich glaube, ich hab da auch mal was drüber gelesen. Mein billiger Router schafft das aber in <5s. Mein Glück? Man weiss es nicht, das Ding stürzt dafür alle 12h ab. 
Und die Warnung ist imo nicht normal; ich habe hier so ein ipw2100-Ding und sowas noch nie gesehn...
psyeye
_________________
I have a big, fast supercomputer, too! |
|
| Back to top |
|
|
hoschi
Advocate
Joined: 19 Jul 2003
Posts: 2517
Location: Ulm, Germany, Europe
|
| Posted: Thu Apr 13, 2006 5:04 pm Post subject: |
|
|
Hmm, ich habe einen 3Com-Router (ich mag die Firma einfach), der war bisher immer sehr zuverlaessig.
Du hast wohl recht, allerdings hat ja getty mit der Meldung im Prinzip ja vollkommen recht, die Karte ist "noch inaktiv", kann aber auch am neuen Baselayout+ParallelStartup liegen.
_________________
Just you and me strogg! |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German) 
