Auch komplett ohne Authentisierung kannst Du ein WEP-geschütztes WLAN nicht nutzen, solange Du den WEP-Schlüssel nicht hast. Was sollte da eine extra Authentisierung nützen?
Frage des Aufwands. Die MAC-Adressen-Filterung dürfte ja auch nicht zu knacken sein, was aber mit einem gewissen technsichen Aufwand eben doch geht. Der mag kleiner sein, als das Anzapfen der Telekom-Leitung, aber dafür muss man bei der Telekomleitung auch nichts weiter mehr machen, sprich keine Session-ID und und kein WEP-Schlüssel.
Henry
--
----------------------------------------------------------------------
snail mail : Henry Koplien \|/
From the Center of Nowhere o(O O)o
---- eMail : Henry@NiKo-Internetpraesenz.de ----ooOo---(_)---oOoo-----
Das ist für viele, in dse mehr als in einer Computer-Cruppe, kein Unterschied. Der Otto-Normalverbraucher hat keine Firewall, weder in Hardware, noch als Service Pack2. (Der weiss dann allerdings auch nichts mit MAC-Adressen, WEP u.ä. anzufangen).
Und vielleicht zu dem anderen Posting, klar kann man auch WEP entschlüs seln, es ist eben immer nur eine Frage des Aufwands. Es hindert mich ja auch noch keiner, zusätzlich alles kryptographiert zu übertragen, da ich ja weiss, dass wenn es rausgeht, alles in Klarschrift übertragen wird. Man kann natürlich seine Paranoia hochtreiben ohne Ende, um dann beim Pishing auf einer eBay Seite seine Geheimnisse Preis zu geben... (und wie geschrieben, das alles, wo schon meine CISCO auf der Terasse den Access-Point nicht mehr sieht, super!
Henry
--
----------------------------------------------------------------------
snail mail : Henry Koplien \|/
From the Center of Nowhere o(O O)o
---- eMail : Henry@NiKo-Internetpraesenz.de ----ooOo---(_)---oOoo-----
Das ist bekannt. Eine sichere Authentisierung vorzuschalten nützt aber IMHO nichts, solange man danach immer noch mit WEP verschlüsselt. Die Kritik, daß die Authentisierung nichts taugt, zieht also nicht wirklich.
Meine Antwort bzgl. der Authentifizierung bezog sich auf den Beitrag von Johnannes Bauer, :
| Und den Internetverkehr nach außen kann man durch eine _gescheite_ | Verschlüsselung so sicher machen (SSH, OpenVPN, etc), dass selbst das | mitgehört werden könnte.
Es sind zwei Dinge zu betrachten:
Zum einen das Mitschneiden und Entschlüsseln des WLAN-Traffics, zum anderen das unberechtige Nutzen eines WLANs.
Gegen ersteres hilft wie gesagt eine sichere Ende-zu-Ende Verschlüsselung, gegen letzteres eine sichere Authentifizierung, und die fehlt WEP eben.
Eine sichere Authentifizierung + WEP ist - da hast du natürlich Recht - wenig sinnvoll, genauso wenig wie eine sichere Verschlüsselung + WEP; sofern man sein WLAN nicht der Öffentlichkeit anbieten möchte.
Noch einmal die Frage: Mit welchem Equipment schneidest du z. B. den Datenverkehr auf einer ISDN/DSL-Leitung mit? Und nun setze den Aufwand ins Verhältnis zu der Soft-/Hardware, die für das Knacken eines WEP-verschlüsselten WLANs erforderlich ist.
hier ging es mir in der Tat um die hardware-mäßige Festlegung der MAC-Adressen. Dass das mit den geeigneten Karten geht, ist mir klar, Du darfst Dir auf die Schulter klopfen! Das war aber nicht vorgesehen, ursprün glich sollten die Adressen "fest verdrahtet" sein, was inzwischen aber immer öfter nicht mehr gemacht wird. So kann dann natürlich auch von der Industrie nach und nach zu Gunsten vermeindlicher Benutzerfreundlichkeit alles aufgeweicht werden. -Und der gewisse technische Aufwand ist die richtige Karte, das hast Du fein erkannt. Für das DSL brauch man auch nur das richtige Equipment, was Du aber offenbar nicht kennst. Ich übrings auch nicht, was aber nicht heisst, dass es das nicht gibt. Da müsste man einen Telekomiker zu Rate ziehen, geben wird es das ziemlich sicher. Die Karten mit frei programmierbaren MAC-Adressen sind ja inzwischen sogar im Handel.
Die Frage ist ob man hier in dse wirklich über wieviel Sicherheit braucht das LAN/WAN/WLAN diskutieren will. Und dann müsstes Du Dir mal die Frage stellen, wieviel Deine Daten eigentlich wert sind, -und zwar nicht Dir, sondern den Anderen, Dein Eigenbild ist hier nicht von Interesse. Es werden wohl nahezu 100% in dse sein, die Deine Daten nicht wollen, meine genauso wenig. Wieviel meine Daten Wert sind, hat man gesehen, als mir ein Haustürschlüssel entwendet wurde, nächsten Tag fehlte reichlich Geld, aber die Rechner standen noch alle da, soviel zu wieviel Daten wert sind, und ob Verschlüsselung unsicherer ist als Sicherheitsschlösser. Da sollte vielleicht jeder mal seine Paranoia normieren. Damit war dann übrings auch der Zugang mit 100MBit hinter der Firewall gewährleistet, den aber keiner haben wollte.
Der wirklich einzige Unterschied ist doch der, ob man willens ist, die Luftschnittstelle unbemerkter anderen zur Verfügung zu stellen, und wie man diesen Nachteil wieder kompensiert. Das ist hier bisher nur einmal als Argument gekommen. Wahrscheinlich schon deswegen, weil es *nicht Einen* gibt, der auch nur annährend Wahrscheinlichkeiten liefern kann, obwohl hier nur technische Antworten gekommen sind.
Henry
--
----------------------------------------------------------------------
snail mail : Henry Koplien \|/
From the Center of Nowhere o(O O)o
---- eMail : Henry@NiKo-Internetpraesenz.de ----ooOo---(_)---oOoo-----
Schon die ersten Ethernetcontroller, die ich kenne (DP8390 habe ich nachgesehen, der LANCE ist IIRC auch so) hatten Register, in die die Host-CPU die Adresse schreiben mußte. Klar steckt die irgendwo in einem PROM oder EEPROM auf der Karte, aber es ist Aufgabe des Treibers, die dort auszulesen und in die NIC-Register zu schreiben, und damit ist die MAC-Adresse voll unter Kontrolle des Treibers - und schon immer gewesen.
Im IEEE-Standard finde ich dazu auf Anhieb auch nichts - hast Du irgendeine Fundstelle?
Das ist ja auch überhaupt kein Problem: die Adresse war nie als unveränderliches Sicherheitsmerkmal gedacht. Daß Treiber für Klickibunti-Betriebssysteme den User da früher nicht rangelassen haben, ist ja nun kein Sicherheitsmerkmal.
BTW: alle Win2k-Ethernet-Treiber, die ich bisher gesehen habe, erlauben das Einstellen der MAC-Adresse.
Wenn man jetzt den Schritt von Ethernet zu WLAN macht, sehe ich nicht, wieso bei diesen Randbedingungen die MAC-Adresse bei WLANs auf einmal als Sicherheitsmerkmal taugen sollte.
Und nochmal BTW: auch die ersten 2MBit-WLAN-Karten, die ich in den Fingern hatte (ZCOM/Prism/ELSA Airlancer MC-2) konnten die MAC-Adresse ändern, die weit verbreiteten 11MBit-Orinoco ebenfalls.
Klar gibt es das. Wenn man die Leitung unterbrechen kann, tut es ein MINI-DSLAM und ein DSL-Modem, dazwischen liegen die Daten im Klartext vor, je nach Hardware auf ATM oder Ethernet.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here.
All logos and trade names are the property of their respective owners.