Hi
Ich möchte gerne ein kleines WLan einrichten, sodass ich mit zwei Laptops (gleichzeitig?) über ADSL ins INet kann. Mein "Heimnetz" sieht zur Zeit so aus,
dass ich 2 Laptops habe, die mittels eines Hub verbunden sind. Zusätzlich hängt am Hub ein Printserver, damit ich von beiden Drucken kann. Der Upstream vom Hub geht ins ADSL Modem.
Nun, ich wĂĽrde nun gerne den Hub durch den Netgear MR314 ersetzen (http://www.netgear.com/product_view.asp ... 30&zrp=115).
Zwei fragen dazu:
MĂĽsste der MR314 nicht PPTP sprechen, damit ich Ihn verwenden kann ?
Wie sichere ich das WLan ab? Der MR314 kann IP Sec. Mir geht es hauptsächlich darum, dass nicht der Nachbar auf meine Kosten surfen kann. Ich möchte also zum einen das Einbuchen verhindern (soweit das geht) und den Datenverkehr zusätzlich möglichst abhörsicher machen.
Kann mir jemand diesbezĂĽgl. einige Tipps geben, auf was zu achten ist?
Danke,
Christian
Adsl mit WLan ...
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).
Diskussionen ĂĽber Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER gefĂĽhrt.
Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).
Diskussionen ĂĽber Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER gefĂĽhrt.
7 Beiträge
• Seite 1 von 1
RE: Adsl mit WLan ...
von mad » So 09 Jun, 2002 19:10
<HTML>> MĂĽsste der MR314 nicht PPTP sprechen, damit ich Ihn verwenden kann ?
kenne den mr314 zwar nicht, aber laut datenblatt spricht der nur pppoe;
und damit wirds in .at eher nicht funken ...
> Ich möchte also zum einen das Einbuchen verhindern (soweit das geht) und den
> Datenverkehr zusätzlich möglichst abhörsicher machen.
gegen das "einbuchen" helfen im einfachsten fall macaddress-filter am accesspoint.
die setzt du so, dass nur deine wlan-karten erlaubt sind; damit sperrst du
wenigstens mal 75% der moechtegern-mitsurf-nachbarn aus ...
denn im gegensatz zu normalen ethernetkarten lassen sich die macaddressen
bei wlan-karten nicht so ohne weiteres frei setzen
(problem dabei ist halt, dass es auch welche gibt wo's geht ...)
aber fuer wirklich sichere, gegen abhoeren und einbuchen geschuetzte, verbindungen
wirst wohl um eine korrekte ipsec konfig nicht drum herum kommen ...
wep & co vergisst am besten gleich .. kannst zwar konfigurieren (128bit, closed wlan etc.) und ich wuerds auch tun ... aber sicherer wird dein wlan deswegen nicht.
wers nicht glaubt moege mal http://airsnort.shmoo.com/ probieren
mfg,
mad.
</HTML>
kenne den mr314 zwar nicht, aber laut datenblatt spricht der nur pppoe;
und damit wirds in .at eher nicht funken ...
> Ich möchte also zum einen das Einbuchen verhindern (soweit das geht) und den
> Datenverkehr zusätzlich möglichst abhörsicher machen.
gegen das "einbuchen" helfen im einfachsten fall macaddress-filter am accesspoint.
die setzt du so, dass nur deine wlan-karten erlaubt sind; damit sperrst du
wenigstens mal 75% der moechtegern-mitsurf-nachbarn aus ...
denn im gegensatz zu normalen ethernetkarten lassen sich die macaddressen
bei wlan-karten nicht so ohne weiteres frei setzen
(problem dabei ist halt, dass es auch welche gibt wo's geht ...)
aber fuer wirklich sichere, gegen abhoeren und einbuchen geschuetzte, verbindungen
wirst wohl um eine korrekte ipsec konfig nicht drum herum kommen ...
wep & co vergisst am besten gleich .. kannst zwar konfigurieren (128bit, closed wlan etc.) und ich wuerds auch tun ... aber sicherer wird dein wlan deswegen nicht.
wers nicht glaubt moege mal http://airsnort.shmoo.com/ probieren
mfg,
mad.
</HTML>
- mad
RE: Adsl mit WLan ...
von MaTT » So 09 Jun, 2002 19:43
ich hab den im Saturn im GergroĂź gesehen und da wars die de version die PPTP spricht
- MaTT
RE: Adsl mit WLan ...
von Christian » So 09 Jun, 2002 20:36
Hi !
>> MĂĽsste der MR314 nicht PPTP sprechen, damit ich Ihn verwenden kann ?
>kenne den mr314 zwar nicht, aber laut datenblatt spricht der nur pppoe;
>und damit wirds in .at eher nicht funken ...
Nettes Wortspiel *g* Also ich gehe mal davon aus, dass es eine Version gibt, die PPTP kann.
>gegen das "einbuchen" helfen im einfachsten fall macaddress-filter am >accesspoint.
Die hat der MR314 schon mal nich ...
>aber fuer wirklich sichere, gegen abhoeren und einbuchen geschuetzte, >verbindungen
>wirst wohl um eine korrekte ipsec konfig nicht drum herum kommen ...
Ich würde wohl eher diesen Weg gehen. Der ME314 beherrscht IPSec. Allerdings habe ich von IPSec noch keinen Dau. Kennst Du zufällig irrgendwelche Resourcen zu diesem Thema ? Ausser die RFCs? Wenn ich es soweit richtig verstanden habe, spielts mit IPSec allerdings kein NAT mehr.
Als Clients setze ich W2K und XP ein. Dort sollte IPSec ja kein Problem sein. Reicht IPSec alleine wirklich aus, um einbuchen und abhörsicher zu sein? Oder muss man noch etwas beachten ?
Merci,
Christian
>> MĂĽsste der MR314 nicht PPTP sprechen, damit ich Ihn verwenden kann ?
>kenne den mr314 zwar nicht, aber laut datenblatt spricht der nur pppoe;
>und damit wirds in .at eher nicht funken ...
Nettes Wortspiel *g* Also ich gehe mal davon aus, dass es eine Version gibt, die PPTP kann.
>gegen das "einbuchen" helfen im einfachsten fall macaddress-filter am >accesspoint.
Die hat der MR314 schon mal nich ...
>aber fuer wirklich sichere, gegen abhoeren und einbuchen geschuetzte, >verbindungen
>wirst wohl um eine korrekte ipsec konfig nicht drum herum kommen ...
Ich würde wohl eher diesen Weg gehen. Der ME314 beherrscht IPSec. Allerdings habe ich von IPSec noch keinen Dau. Kennst Du zufällig irrgendwelche Resourcen zu diesem Thema ? Ausser die RFCs? Wenn ich es soweit richtig verstanden habe, spielts mit IPSec allerdings kein NAT mehr.
Als Clients setze ich W2K und XP ein. Dort sollte IPSec ja kein Problem sein. Reicht IPSec alleine wirklich aus, um einbuchen und abhörsicher zu sein? Oder muss man noch etwas beachten ?
Merci,
Christian
- Christian
RE: Adsl mit WLan ...
von Manuel Capellari » So 09 Jun, 2002 21:03
das mit der sicherheit von wlans is nur augenauswischerei ...
man airsnort
man airsnort
- Manuel Capellari
RE: Adsl mit WLan ...
von Christian » So 09 Jun, 2002 21:36
>das mit der sicherheit von wlans is nur augenauswischerei ...
Wenn Du es auch noch fachlich untermauern könntest, wäre diese Aussage vielleicht sogar wertvoll ...
>man airsnort
Es ist ja hinlänglich bekannt, dass man mit diesem Tool WEP Keys errechnen kann - ich beschäftige mich ja schon ein wenig mit dem Thema. Aber warum sollte IP Sec nicht helfen ?
Also, wie wäre es mit ein wenig fachlicher (bitte nicht über WEP, dass weiss eh jeder) Erleuchtung ?
Christian
Wenn Du es auch noch fachlich untermauern könntest, wäre diese Aussage vielleicht sogar wertvoll ...
>man airsnort
Es ist ja hinlänglich bekannt, dass man mit diesem Tool WEP Keys errechnen kann - ich beschäftige mich ja schon ein wenig mit dem Thema. Aber warum sollte IP Sec nicht helfen ?
Also, wie wäre es mit ein wenig fachlicher (bitte nicht über WEP, dass weiss eh jeder) Erleuchtung ?
Christian
- Christian
RE: Adsl mit WLan ...
von mad » So 09 Jun, 2002 23:22
<HTML>> Ich wĂĽrde wohl eher diesen Weg gehen. Der ME314 beherrscht IPSec. Allerdings
> habe ich von IPSec noch keinen Dau.
hm .. bei ipsec und dau bist sicher nicht allein ...
ipsec ist wirklich nicht trivial ... encryption, headauthentication, keymanagement blabla .. da soll otto-normaluser mal durchblicken ...
[http://www.cisco.com/warp/public/105/IPSECpart3.html]
> Kennst Du zufällig irrgendwelche Resourcen
> zu diesem Thema ? Ausser die RFCs?
wirklich einfuehrende papers zum thema ipsec halten sich eher in grenzen
aber such mal im google nach "ipsec introduction" oder, wenn du mehr auf buecher
stehst, bei amazon nach ipsec; kommt eh grad mal eine hand voll buecher.
> Wenn ich es soweit richtig verstanden habe spielts mit IPSec allerdings kein NAT mehr.
jein. kommt drauf an, idealstd ipsec geht ueber einen nat-router natuerlich nicht drueber,
da nat ja die ip-header veraendert und ipsec damit natuerlich die krise bekommt,
weils glaubt jemand manipuliert die verbindung (wo's ja irgendwie recht hat)
aber in deinem fall muesstest du ja nur zwischen laptop und router
ipsec fahren und kannst daher am router die ipsec verbindung terminieren; da
ist dann kein nat dazwischen ..
genaugenommen ginge ipsec schon auch ueber nat-devices drueber, aber
man muesste dazu esp fahren .. und ... das ist eine andere geschichte
> Als Clients setze ich W2K und XP ein. Dort sollte IPSec ja kein Problem sein.
> Reicht IPSec alleine wirklich aus, um einbuchen und abhörsicher zu sein?
> Oder muss man noch etwas beachten ?
ipsec reicht aus. aber halt nur, wenn der ipsec router auch _korrekt_ gekonfed ist.
sprich er darf ausschliesslich ipsec traffic ueber wlan annehmen, sonst nichst.
keine gewoehnlichen tcp/udp pakete. damit erzwingst du, dass nur ipsec-taugliche
clients ueber den router ins internet kommen.
ipsec kannst du dann zb mit 3des (auf keinen fall single-des!) verschluesselung
(der einfachheit halber mit einem shared secret) und md5 header authentication
konfigurieren. was zur folge hat, dass jemand ohne das "shared secret" keine
ipsec-verbindung mit deinem router aufbauen kann, ergo bei korrekter router-konfig
auch nicht darueber "surfen" kann.
abhoeren? klar kann er deinen 3des verschluesselten traffic mitsniffen, aber
das wird ihm nichts helfen, denn bis er den traffic mittel brute-force methode
geknackt hat, haben sich dein router und der client bereits einen neuen sitzungs-
schluessel ausgehandelt ... ipsec ist kompliziert, aber nicht bloed
wie gesagt ohne etwas graue theorie, wirst du nicht weit kommen.
also schau mal im google, lies die entsprechenden rfc's oder kauf dir ein einschlaegiges buch .. den zehn-schritte-zur-erfolgreichen-ipsec-konfig-guide
hab ich leider noch nirgendends entdeckt ...
aber als einstieg kannst ja mal http://security.koesling.net/ipsec/ versuchen.
als ipsec-router haben sich im uebrigen linux/freeswan und openbsd in der
praxis bewaehrt; von ipsec und cisco bin ich noch nicht ueberzeugt,
aber clientseitig kann ich echt sentinel von ssh.com empfehlen ..
sehr gutes teil, mit tollen debugging features ...
so jez lass ichs aber
hth,
mad.
</HTML>
> habe ich von IPSec noch keinen Dau.
hm .. bei ipsec und dau bist sicher nicht allein ...
ipsec ist wirklich nicht trivial ... encryption, headauthentication, keymanagement blabla .. da soll otto-normaluser mal durchblicken ...
[http://www.cisco.com/warp/public/105/IPSECpart3.html]
> Kennst Du zufällig irrgendwelche Resourcen
> zu diesem Thema ? Ausser die RFCs?
wirklich einfuehrende papers zum thema ipsec halten sich eher in grenzen
aber such mal im google nach "ipsec introduction" oder, wenn du mehr auf buecher
stehst, bei amazon nach ipsec; kommt eh grad mal eine hand voll buecher.
> Wenn ich es soweit richtig verstanden habe spielts mit IPSec allerdings kein NAT mehr.
jein. kommt drauf an, idealstd ipsec geht ueber einen nat-router natuerlich nicht drueber,
da nat ja die ip-header veraendert und ipsec damit natuerlich die krise bekommt,
weils glaubt jemand manipuliert die verbindung (wo's ja irgendwie recht hat)
aber in deinem fall muesstest du ja nur zwischen laptop und router
ipsec fahren und kannst daher am router die ipsec verbindung terminieren; da
ist dann kein nat dazwischen ..
genaugenommen ginge ipsec schon auch ueber nat-devices drueber, aber
man muesste dazu esp fahren .. und ... das ist eine andere geschichte
> Als Clients setze ich W2K und XP ein. Dort sollte IPSec ja kein Problem sein.
> Reicht IPSec alleine wirklich aus, um einbuchen und abhörsicher zu sein?
> Oder muss man noch etwas beachten ?
ipsec reicht aus. aber halt nur, wenn der ipsec router auch _korrekt_ gekonfed ist.
sprich er darf ausschliesslich ipsec traffic ueber wlan annehmen, sonst nichst.
keine gewoehnlichen tcp/udp pakete. damit erzwingst du, dass nur ipsec-taugliche
clients ueber den router ins internet kommen.
ipsec kannst du dann zb mit 3des (auf keinen fall single-des!) verschluesselung
(der einfachheit halber mit einem shared secret) und md5 header authentication
konfigurieren. was zur folge hat, dass jemand ohne das "shared secret" keine
ipsec-verbindung mit deinem router aufbauen kann, ergo bei korrekter router-konfig
auch nicht darueber "surfen" kann.
abhoeren? klar kann er deinen 3des verschluesselten traffic mitsniffen, aber
das wird ihm nichts helfen, denn bis er den traffic mittel brute-force methode
geknackt hat, haben sich dein router und der client bereits einen neuen sitzungs-
schluessel ausgehandelt ... ipsec ist kompliziert, aber nicht bloed
wie gesagt ohne etwas graue theorie, wirst du nicht weit kommen.
also schau mal im google, lies die entsprechenden rfc's oder kauf dir ein einschlaegiges buch .. den zehn-schritte-zur-erfolgreichen-ipsec-konfig-guide
hab ich leider noch nirgendends entdeckt ...
aber als einstieg kannst ja mal http://security.koesling.net/ipsec/ versuchen.
als ipsec-router haben sich im uebrigen linux/freeswan und openbsd in der
praxis bewaehrt; von ipsec und cisco bin ich noch nicht ueberzeugt,
aber clientseitig kann ich echt sentinel von ssh.com empfehlen ..
sehr gutes teil, mit tollen debugging features ...
so jez lass ichs aber
hth,
mad.
</HTML>
- mad
7 Beiträge
• Seite 1 von 1
Wer ist online?
Mitglieder in diesem Forum: Google [Bot], Majestic-12 [Bot] und 130 Gäste