# Eigenes WLAN zusätzlich verschlüsseln?



## orffyre (5. Oktober 2005)

Hallo!

 Ich habe da so eine Idee und wollte mal nachfragen, ob es für dieses Problem bereits eine Lösung gibt.

 Und zwar: nehmen wir mal an, ich habe daheim ein stinknormales 128bit-verschlüsseltes WLAN. Jetzt ist mir das mit der Sicherheit aber zu wenig; ich will das noch irgendwie zusätzlich verschlüsseln. Sagen wir: so 1024bit? Also irgendwie eine Verschlüsselung des 128bit-Datenstroms.

 Science-fiction oder machbar?

 Weil, rein technisch und theoretisch dürfte es kein allzu grosses Problem sein. Ein externes Gerät vielleicht. Wie könnte das aussehen? 

 War nur mal ne Gedankenspielerei.

 Gruss
 orffyre


----------



## Dennis Wronka (5. Oktober 2005)

Du koenntest theoretisch die einzelnen Rechner innerhalb des WLAN mittels VPN verbinden.


----------



## gorim (5. Oktober 2005)

Für IP-Netze gibt es noch IPSec. Damit kann man komplette Netze verschlüsseln. Leider muß man jedem Client dafür konfigurieren.

bis dann
gorim


----------



## Dennis Wronka (5. Oktober 2005)

IPSec ist doch im Grunde das was im VPN genutzt wird.


----------



## orffyre (5. Oktober 2005)

Also gibt es sowas tatsächlich. Interessant. Ist IPsec jetzt Hard- oder Software-basiert? Gibt es "einfache" Lösungen? Z.B. in der Form, dass man sich ein Gerät kauft, dass dann die Verschlüsselung übernimmt? Ist VPN überhaupt mit WLANS machbar und wenn ja wie?


----------



## Dennis Wronka (5. Oktober 2005)

Man kann VPN auch in einem WLAN machen. Ich wuesste zumindest nicht was dagegen spraeche.
Und man kann es per Hardware, aber auch per Software machen.
Ich denke die Regel ist wohl eher Software. Insbesondere wo man Hardware ja grundsaetzlich eher ziemlich selten umsonst bekommt.
OpenVPN hingegen ist vollkommen kostenlos, sogar fuer Windows verfuegbar und sollten Deinen Anforderungen gerecht werden koennen.


----------



## orffyre (5. Oktober 2005)

@reptiler: ja, cool, danke mal! werde mich in das open-vpn mal einlesen.

 Hat vielleicht schon jemand praktische Erfahrungen mit "verschlüsselten WLANS nochmal zusätzlich verschlüsseln" gemacht? Weil, von meiner Seite war das wirklich nur ne Idee, ich hab gar nicht daran gedacht, dass es sowas bereits gibt. war echt nur eine Gedankenspielerei.

 Schon krass.

 Gruss,
 orffyre


----------



## Dennis Wronka (5. Oktober 2005)

Es ist ja dem Netzwerk erstmal egal was da so ueber die Leitung saust, bzw. duch die Luft schwirrt.
OpenVPN wurde ja auch nicht fuer WLAN geschrieben, sondern eher fuer das Internet.
Aber es duerfte halt in jedem IP-Netzwerk einsetzbar sein.

Ich finde Deine Idee uebrigens nicht schlecht. WEP-Verschluesselung soll ja mittlerweile schon recht einfach zu knacken sein.
In der Info zu AirCrack steht, dass nur genug Pakete gesammelt werden muessen damit die Verbindung entschluesselt werden kann.


----------



## orffyre (5. Oktober 2005)

@reptiler: ja, das mit WEP halte ich sowieso nicht für die optimalste Lösung. Aber wenn man praktisch noch was drüberlegen könnte, was eine höhere Verschlüsselung hat, dann müsste man erstmal da durch, bevor man zu der WEP-Verschlüsselung kommt.

 Ich könnte mir auch vorstellen, dass man mehrere VPNs oder so übereinanderlegt. Vielleicht 5 oder so. Das wär schon ne Sache...


----------



## Dennis Wronka (5. Oktober 2005)

Ich denke eine VPN-Verbindung sollte reichen.
Ich hab selbst noch nichts mit OpenVPN gemacht, aber mindestens 1024 Bit sollten schon drin sein. Vielleicht sogar mehr.

Und ich denke, dass die Reihenfolge eher andersrum ist, dass man zuerst das WEP oder WPA knacken muss und dann noch das VPN. Waere auch ein wenig besser, da sich der Hacker erstmal schon freut, dass WEP ja so leicht zu knacken ist, aber dann ploetzlich einen noch groesseren Schluessel zu knacken hat. 

Soweit ich weiss soll dieses WPA auch sicherer sein als WEP, ich kann da aber nichts genaues zu sagen da ich mit WLAN bisher so gut wie garnichts gemacht hab.


----------



## orffyre (5. Oktober 2005)

WPA ist der dynamische Bruder von WEP. Gilt aber bereits als geknackt. [hier möchte ich anfügen, dass es nur noch eine Frage der "näheren Zukunft"  ist, die ich schon fälschlicherweise vorrausgesetzt habe.  quelle: wiki] Deshalb ist gerade WPA2 in Planung.

 Das kann einem aber alles egal, sein, wenn die Idee mit dem OpenVPN funkioniert! Ausserdem habe ich gehört, dass linux (v.a. suse) wpa noch net so gut handeln kann. Und da ich derzeit Linux privat einführe man sich halt frägt, was denn für beide System Nutzen hat. Deshalb klingt das OpenVPN schon nach Zukunft, aber die Praxis wird da mehr zeigen.

 Wenn jemand also schon Erfahrung mit OpenVPN hat, erstmal unter XP Pro, dann kann er die ja hier gerne mitteilen! Werde mich beizeiten mal damit befassen und checken, wie komplex das ganze wird.

  Gruss,
  orffyre


----------



## gorim (5. Oktober 2005)

reptiler hat gesagt.:
			
		

> IPSec ist doch im Grunde das was im VPN genutzt wird.



Bei VPN denke ich immer an Punkt-zu-Punkt-Verbindungen. Also ein PC baut eine VPN-Verbindung zu einem Server auf. Ob man dabei auch IPSec einsetzen kann, weiss ich jetzt nicht, denn ab hier wirds für mich ziemlich theoretisch. Bekannte Protkolle sind ja PPTP und L2TP.

Bei VPN baut doch jeder Client eine verschlüsselte Verbindung zu einem Server auf und kommuniziert nur mit ihm. Routing besorgt dann der Server. Wenn ich das richtig verstanden habe, dann ist der Vorteil bei IPSec, das es transparent ist und man nicht extra eine zuätzliche Verbindung aufbauen muß. Nur die Clients müssen entsprechend konfiguriert werden. 

bis dann
gorim


----------



## Dennis Wronka (5. Oktober 2005)

Da es bei einem VPN ja auch oft um vertrauliche Daten geht (Stichwort: Firmendaten) wird VPN in der Regel zusammen mit IPSec genutzt.
Es heisst ja nicht umsonst Virtual *Private* Network.


----------



## rohrbold (5. Oktober 2005)

orffyre hat gesagt.:
			
		

> WPA ist der dynamische Bruder von WEP. Gilt aber bereits als geknackt. Deshalb ist gerade WPA2 in Planung.



Das ist mir doch sehr neu. WPA gilt überhaupt nicht als geknackt, sondern ist derzeit noch "state of the art". Deine Behauptung ist sehr gefährlich, weil sich andere diese ungeprüft zu Eigen machen könnte. Du solltest also eine neutrale Quelle dafür bereitstellen, dass WPA bereits als geknackt gilt.

Der Unterschied zwischen WPA und WEP ist der, dass WEP eine lineare Verschlüsselung nutzt, die einen Schwachpunkt aufweist, so dass man durch das einfache Mitsniffen (bei ausreichendem Datenverkehr) innerhalb von wenigen Sekunden die Verschlüsselung durchbrechen kann. WPA wechselt ständig den Schlüssel und es gibt bisher noch keine Methode, wie WPA geknackt werden könnte.
WPA2 ist ein ganz neuer Ansatz, der auf dem Verschlüsselungsstandard AES aufsetzt und dementsprechend einiges an Rechenressourcen benötigt.



			
				orffyre hat gesagt.:
			
		

> Das kann einem aber alles egal, sein, wenn die Idee mit dem OpenVPN funkioniert! Ausserdem habe ich gehört, dass linux (v.a. suse) wpa noch net so gut handeln kann. Und da ich derzeit Linux privat einführe man sich halt frägt, was denn für beide System Nutzen hat. Deshalb klingt das OpenVPN schon nach Zukunft, aber die Praxis wird da mehr zeigen.



Deine Ideen in allen Ehren, aber Du solltest Dich bei Gelegenheit einmal etwas ausführlicher mit Kryptographie auseinandersetzen. Es ist überaus unüblich, mehrere Verschlüsselungstechniken übereinander zu stülpen. Entweder eine eingesetzte Technik ist sicher, oder eben nicht. Deine WEP Verschlüsselung zum Beispiel ist es nicht -- sie wird nur ganz unbedarfte Menschen davon abhalten können, sich ohne die nötigen Tools in Dein Netz einzuschleichen. Benutze von vornherein WPA oder WPA2. Eine VPN Lösung wie OpenVPN ist sicher okay, aber wäre eigentlich unnötig, sie einzusetzen, wenn Du schon WPA nutzt. Du kannst es auch machen wie an manchen Universitäten, dass die Accesspoints per DHCP Adressen zuweisen, Du Dich aber per VPN oder SSL authentifizieren musst, bevor Du das Netz nutzen darfst.

HTH,
Martin


----------



## Johannes Postler (5. Oktober 2005)

Es könnte ja sein, dass seine Hardware einfach noch kein WPA unterstützt und er nicht gleich neue kaufen will, wenns auch anders geht. Durchaus berechtigte Fragestellung denke ich.


----------



## Dennis Wronka (5. Oktober 2005)

Und er erwaehnte ja auch, dass er langsam auf Linux umsteigt, wo WPA ja wohl noch nicht so ganz funktioniert.
Wie gesagt, mit WLAN hab ich selbst bisher kaum was gemacht. Schon garnicht unter Linux da ich bisher mit dem NdisWrapper in der Regel Kernel Panics bekomme. Muss mal wieder was rumprobieren.


----------



## rohrbold (5. Oktober 2005)

Ich schrieb ja, dass er ein VPN nutzen kann, aber es bringt ihm keine größere Sicherheit, wenn er dieses über eine bereits per WPA/WPA2 Verschlüsselung noch drüber setzt. Es wird das surfen nur noch langsamer machen ;-)
Und ich muss hier auch mal ein Vorurteil beiseite räumen: Unter Linux funktioniert WPA ganz problemlos. Unter Debian muss man etwas mehr Hand anlegen (wpasupplicant konfigurieren), aber hier nutzen meine Freundin und ich unter SuSE Linux 10.0 WPA-verschlüsseltes WLAN ohne Probleme. Also das geht auf jeden Fall. Man muss lediglich bei Centrino Notebooks die ipw-firmware manuell auspielen, da SuSE diese aus Lizengründen nicht mitliefern darf.

Martin


----------



## orffyre (5. Oktober 2005)

@rohrbold: CENTRINO-notebook, bitte ganz FETT! amd rocks.


----------

