Also sprach Rüdiger Noack <[EMAIL PROTECTED]> (Wed, 28 Dec 2005 18:13:01 +0100): > Marc Haber wrote: > > > > Weil man Deinen gesamten Netzverkehr inklusive unverschlüsselter > > Passworte, Mails etc. an _einer_ Stelle mitlesen kann, und man muss > > nichtmal irgendwo einbrechen dafür. > > > Wenn jemand kritische Daten unverschlüsselt durch das Internet jagt, > was bringt ihm denn dann die Verschlüsselung innerhalb des Stücks > Homebereichs?
Persoenliche Daten, die ungeschuetzt ueber's Internet gehen sind selbestverstaendlich durch Verschluesselung der WLAN-Verbindung alleine nicht besser geschuetzt. Grundsaetzl. sollte bedacht werden, dass ein ungeschuetztes kabelloses Netzwerk leichter auf eine Person oder einen Kreis von Personen zurueckzufuehren ist. Nebenbei ist jedes interne Geraet jedem mit dem WLAN Verbundenen zumindest einmal zugaenglich und muss extra gesichert werden. Nun wuerde ich nicht soweit gehen mein WLAN als "trusted" zu bezeichnen, und die Dienste, die dahin angeboten werden (dhcp, proxy, html, imaps und samba) unterscheiden sich (auch was Authorization angeht) von denen ins "trusted" Ethernet LAN. Einen shared Sambaordner z.B. wuerde ich in ein WEP/WPA-ungeschuetztes Netz niemals ohne eine VPN-Loesung entlassen. Wenn das WLAN ungeschuetzt stehen gelassen wird (was der Bandbreite IIRC durchaus was bringen kann), wuerde ich mindestens eine VPN bzw. einen Authorization-Gateway fuer alle Services (auch Internetzugang) vorschlagen. Immerhin ist der Besitzer des WLANs und Internetanschlusses dafuer auch verantwortlich - Du willst doch sicher nicht verhaftet werden, weil von deiner IP aus die NSA gehackt wurde? ;-) Auch wenn's nur WEP tut, dann nimm wenigstens das. Damit kannst du einem Einbruchsversuch immerhin kurze Zeit vereiteln. Angeblich kann dieses mit 128bit Verschluesselung in wenigen Stunden und 64bit noch etwas schneller geknackt werden. MAC-Adressfilterung und "hide BSSID" wuerd' ich auch noch empfehlen, auch wenn diese nur minimalen bis gar keinen Schutz bieten. Setz auf einem WLAN-Rechner "arpwatch" ein, damit arp-Requests unbekannter Hosts gemeldet werden. Dafuer und f. mehr gibt's mittlerweile auch einige fertige Tools. google IDS. sl ritch