Ganz sichere WLAN Verbindung?
2 -1 
Dennis
0
Ganz sichere WLAN Verbindung?
Hallo zusammen,
ich möchte mit mobilen Geräten (PDA, Tablet etc) über WLAN (?) auf einen Webserver in einem Intranet zugreifen.
Die Daten, die dabei übertragen werden, sind extrem sensitiv. Wie sichere ich diese Verbindung am besten ab?
-Reicht WPA-Verschlüsselung aus?
-Bringt MAC-Adressen Registrierung im Netzwerk überhaupt etwas?
-Sollte man zusätzlich noch über einen VPN-Tunnel (z.B. OpenVPN) gehen?
-Was ist noch zu beachten?
Sollte WLAN _überhaupt_ für die Übertragung von sensitiven Daten genutz werden?
Gruss
LeKuchen
-
Hallo LeKuchen,
-Reicht WPA-Verschlüsselung aus?
Sofern Du eine hinreichend starke Passphrase hast: im Allgemeinen schon. Alle bisherigen Attacken auf WPA setzen auf schwache Passphrasen, die in Wörterbüchern etc. stehen.
-Bringt MAC-Adressen Registrierung im Netzwerk überhaupt etwas?
So gut wie nichts, die Filter kann man recht leicht austricksen (Netzwerkverkehr belauschen und gültige MAC-Adressen raussuchen, warten, bis eine aufhört zu senden, eigene MAC auf diese umstellen und dann kommt man trotzdem rein).
-Sollte man zusätzlich noch über einen VPN-Tunnel (z.B. OpenVPN) gehen?
Kannst Du, wenn Du ganz sicher sein willst. Ist halt die Frage, wie paranoid Du bisst. ;-)
Sollte WLAN _überhaupt_ für die Übertragung von sensitiven Daten genutz werden?
Wenn Du's gut genug verschlüsselst, spricht eigentlich nichts dagegen. Wenn's wirklich wichtige Daten sind, kann ein zusätzliches OpenVPN nicht schaden, wenn's nur normaler Netzwerkverkehr ist, der auch so über's normale Kabel geschickt würde, würde ich mir den Aufwand sparen.
Viele Grüße,
Christian-
Hallo Christian,
Kannst Du, wenn Du ganz sicher sein willst. Ist halt die Frage, wie paranoid Du bisst. ;-)
So paranoid wie man nur sein kann! ;o)
[quote]Please could you stop the noise, I'm trying to get some rest
From all the unborn chicken voices in my head
What's that...? (I may be paranoid, but not an android)
What's that...? (I may be paranoid, but not an android)
[/quote]Gruss
LeKuchen
-
-
Hi LeKuchen,
-Reicht WPA-Verschlüsselung aus?
Sie hilft zumindest schon mal, dass kein außenstehender so einfach ins Netzwerk reinkommt und dass der Datenverkehr im Netzwerk verschlüsselt ist und somit auch nicht (bzw. nur schwer) abgehört werden kann.
-Bringt MAC-Adressen Registrierung im Netzwerk überhaupt etwas?
Ich würde sie verwenden - falls jemand den Schlüssel der WPA-Verschlüsselung knackt, braucht er zusätzlich noch eine registrierte MAC-Adresse um mit dem Netzwerk Kontakt aufnehmen zu können. Wie leicht oder wie schwer es ist an so eine MAC-Adresse ranzukommen, hängt vom Netzwerk bzw. von den örtlichen Begebenheiten ab (sprich kann ich mich an einen PC setzen der im Netzwerk ist). Die eigene MAC-Adresse dann zu fälschen soll wohl für Leute die sich etwas auskennen kein großes Problem sein - es gibt entsprechende Software dazu.
-Sollte man zusätzlich noch über einen VPN-Tunnel (z.B. OpenVPN) gehen?
Da bin ich jetzt etwas überfragt, weil ich mich mit VPN nicht so auskenne - aber soweit ich weiß, ist ein Virtual Private Network doch dazu da über das Internet zwei Netzwerke miteinander zu verbinden, oder? Dann würde es eventuell keinen richtigen Sinn ergeben, innerhalb eines Netzwerkes das zu benutzen, sofern es möglich wäre.
-Was ist noch zu beachten?
Der Datentransfer an sich mit dem Webserver sollte dann auch noch mal SSL-verschlüsselt sein - sonst könnte jemand anderes, der im Netzwerk ist (und sich da auch befinden darf) den Datenverkehr abhören!
Sollte WLAN _überhaupt_ für die Übertragung von sensitiven Daten genutz werden?
Das ist eine Grundfrage, die man so nicht so einfach beantworten kann - besser wäre es sicherlich eine kabelgebundene Verbindung zu benutzen, weil der Angreifer dann wirklich an einem Kabelende sitzen muss. Wenn die örtlichen Gegebenheiten aber eine Verkabelung nicht ermöglich, mag es sein, dass es einfach keine andere Alternative als WLAN gibt.
MfG, Dennis.
-
Hallo Dennis,
... und somit auch nicht (bzw. nur schwer) abgehört werden kann.
Das "nur schwer" stört mich. ;o)
Der Datenverkehr soll nicht abgehört werden können bzw. die Daten nicht ausgelesen werden können.Da bin ich jetzt etwas überfragt, weil ich mich mit VPN nicht so auskenne - aber soweit ich weiß, ist ein Virtual Private Network doch dazu da über das Internet zwei Netzwerke miteinander zu verbinden, oder? Dann würde es eventuell keinen richtigen Sinn ergeben, innerhalb eines Netzwerkes das zu benutzen, sofern es möglich wäre.
Ich kenne mich mit VPN-Tunneln auch nicht so richtig aus, habe es aber so verstanden:
-Server und Client identifizieren sich gegenseitig über Zertifikate, sodaß keine "fremden" Rechner mit dem Server (Gateway) kommunizieren können.
-OpenVPN z.B. verschlüsselt die Datenübertragung mit TLS/RSA?, sodaß die abgehörten Daten einen auch nicht weiterbringen würden
-VPN-Tunnel werden auch für End-to-Site Verbindungen genutztDer Datentransfer an sich mit dem Webserver sollte dann auch noch mal SSL-verschlüsselt sein - sonst könnte jemand anderes, der im Netzwerk ist (und sich da auch befinden darf) den Datenverkehr abhören!
So wie ich es verstanden habe, muss der Webserver dann kein SSL mehr nutzen (https), weil die Datenübertragung über WPA und Tunnel abgesichert sein müsste und https ja nur ein Zertifikat darstellt, welches den Server eindeutig (durch einen Dritten - Trust Center) identifiziert - wenn ichs richtig verstanden habe...
Sollte WLAN _überhaupt_ für die Übertragung von sensitiven Daten genutz werden?
Wenn die örtlichen Gegebenheiten aber eine Verkabelung nicht ermöglich, mag es sein, dass es einfach keine andere Alternative als WLAN gibt.
Mobile Geräte werden Ihres Zwecks beraubt, wenn man sie über Kabel an ein Netzwerk anbindet...;o)
Gruss
LeKuchen -
Hi!
Wie leicht oder wie schwer es ist an so eine MAC-Adresse ranzukommen, hängt vom Netzwerk bzw. von den örtlichen Begebenheiten ab (sprich kann ich mich an einen PC setzen der im Netzwerk ist).
Die MAC-Adresse wird AFAIR immer unverschlüsselt übertragen. Somit kein Problem zu fälschen. Wer WPA knackt, kanckt auch MAC, und das in 10 Sekunden.
besser wäre es sicherlich eine kabelgebundene Verbindung zu benutzen, weil der Angreifer dann wirklich an einem Kabelende sitzen muss.
Für ganz paranoide: auch Kabel strahlen ab. Somit muss der Angreifer nicht zwingend an einem Kabelende sitzen. Aber wie gesagt: nur für ganz paranoide oder ganz sensible Daten.
Gruß aus Iserlohn
Martin
--
Ein Versicherungsvertreter verkauft Versicherungen. Was verkaufen dann Volksvertreter?
Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)-
Hello,
Für ganz paranoide: auch Kabel strahlen ab. Somit muss der Angreifer nicht zwingend an einem Kabelende sitzen. Aber wie gesagt: nur für ganz paranoide oder ganz sensible Daten.
Gute Kabel in Leistungsanpassung symmetrisch betrieben strahlen so wenig, dass Du da wirklich Schwierigkeiten haben wirst, etwas zu messen. Da müsstest Du schon eine hochempfindliche Apparatur direkt ums Kabel drum herum bauen.
Aber Monitore, Motherboards, asymmetrisch betriebene Kabel (Tastatur) usw. kannst Du auch in 10 bis 30 Metern noch feststellen.
Harzliche Grüße vom Berg
http://www.annerschbarrich.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
Hello,
Sollte WLAN _überhaupt_ für die Übertragung von sensitiven Daten genutz werden?
Sollte man senstitive Daten überhaupt außerhalb abgeschirmter Räume elektronisch verwalten?
http://www.braunschweig.ihk.de/innovation_umwelt/ebusiness/pressearchiv/MittelstandundeCommerce.pdf -> Seite 13 des PDF
Das war nur "Aufklärung Lite", aber ich habe bestimmt auch noch ein Dutzend Vorträge mit mehr Gewicht hier rumfliegen.
Harzliche Grüße vom Berg
http://www.annerschbarrich.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hallo Tom,
na gaaanz so paranoid bin ich auch nicht, sonst müsste ich auch folgendes beachten:
http://en.wikipedia.org/wiki/TEMPEST[/link]
Gruss
LeKuchen ;o)
-