Hallo und Gruß an alle:-X

Eine Freundin von mir überlegt gerade, ob Sie sich, zusammen mit Ihrem Sohn einen W-LAN-Router/Modem zulegt. Sie möchte Ihren und den Rechner des Sohns über das gleiche W-LAN laufen lassen.

Nun meine Frage: ist es über eine gemeinsam genutztes W-LAN möglich, dass der Sohn den Computer meiner Freundin (Mails,Briefe,Passwörter) über seinen Rechner ausspionieren kann? Und wenn ja, was kann man dagegen machen?

Das dumme an der Sache ist, dass beide auf Windoof-Rechnern arbeiten...(sick)
Hört sich kompliziert an.... ist es aber hoffentlich nicht.

Danke und Gruß:-X

nur wenn er ihr Anmelde passwort kennt, und sie zb ihren dokumente ordner freigegeben hat. auch administratoren können user daten einsehen. das ganze hat aber nichts mit wlan zu tun, den auch wlan ist ein normales netzwerk wie jedes 0815 ethernet netzwerk. also, firewall von windows XP aktivieren, passwörter so wählen, das es nicht ohne probleme erraten werden kann, keine freigegeben ordner, und keine wichtigen dokumente im shared folder, denn auf diesen kann mann auch als gast zu greiffen.

grüessli


simon

mamma mia,diese Fehler:-[:-[:-[

Entschuldigt bitteO:-)

ja, aber ich glaube nicht, dass ein normaler user diese dineste kennt und auch zu benutzen weis.. ausser man ist informatiker, oder mit der Materie vertraut...

nromaler weise sollten meine massnahmen reichen....

klar offen ist immer etwas. es gibt auch geräte, welche 2 wlan netzte zur verügung stellen können, zyxel accespoint zb der hier, (ZyXEL ZyAIR G-3000 Dual-WLAN-Access-Point (WDS) 54 Mbps) dann hast du 2 unabhängige wlan netze....


simon

Naja… wer an die Daten rankommen will, der kommt auch ran, erstrecht, wenn der Rechner physisch erreichbar ist und je nach eingesetzter Energie. Aber das ist kein großes Geheimnis, oder?

Hilf deiner Freundin bei der Installation, stelle nicht benötigte Dienste ab, installiere ggf. ´ne vernünftige Firewall und gut is (wenn zwischen ihr und ihrem Sohn nicht gerade Kleinkrieg herrscht).

Hm? Was hat Ausspähen mit Einbrechen zu tun? Nichts!

1. Grundsätzlich: wenn man gemeinsam mit jemandem am gleichen Netzwerk hängt (und das nicht geswitcht ist), dann kann man den Netzwerkverkehr des anderen Teilnehmers mitlesen. Da die meisten keine Ahnung haben, verrammeln sie ihre Rechner zwar mit einer oder mehreren sogenannten Firewalls, aber ihre Daten schicken sie völlig ungesichert über die Leitung. Das einzige, was man also tun muß, ist an den Netzwerkverkehr ranzukommen, dann kann man in den meisten Fällen alles mitlesen, was drüber geht: Passwörter, Logindaten, Mails, usw.

Schwierig bis (für Normalo) unmöglich wirds erst dann, wenn ein Transportsicherungsprotokoll verwendet wird. SSL zum Bleistift. Witzigerweise, wie gesagt, verrammeln die meisten Leute zwar ihren Rechner, aber soweit denken sie nicht, daß sie SSL in den Mailprogrammen einschalten oder statt FTP eben SFTP verwenden.

2. WLAN: Bei WLAN kommt erschwerend hinzu, daß man nichtmal am gleichen Netzwerksegment hängen muß, sondern nur in der Nähe (Empfangsreichweite). Also im Prinzip kann auch der Nachbar mitlesen. Wenn man die bei WLAN vorhandene Transportsicherung nicht aktiviert, ist das ein Kinderspiel. Wenn man WEP40/128 verwendet, dann ist es auch keine große Hürde diese zu knacken (gibt Programme, besonders für Windows, die jedes Skript-Kiddie verwenden kann). Erst mit WPA ist man sicherer. Und am besten SSL o.ö. verwenden und unsichere Protokolle wie FTP und Telnet grundsätzlich meiden, bzw. nur dort verwenden, wo keine wichtigen Daten transportiert werden.

Mit Einbrechen *kicher* hat das aber nix zu tun. Aber ihr könnt gerne eure Rechner weiter zu Hochsicherheitstrakte ausbauen und noch ein paar Firewalls drübersetzen... das nützt euch alle einen feuchten Kehricht, wenn ihr die Daten ungesichert über das Kabel oder durch die Luft jagt.

hier gehts auch nicht grundsätzlich um den datenverkehr sonder un den zugang der daten auf der gegenüberliegenden festplatte..... und da nützt eine firewall sicher. du hast wiederum recht mit deiner aussage beim datenverkehr. einen hochsicherheits trakt aus seinem rechner machen, das ist genau das falsche, denn da schränkt man sich selbs auch noch ein...und für die "einbrecher" schafft dies sicher ein anreiz....

Simon Reuteler
Na gut, dann versuche ich es mal mit einer anderen Formulierung: ich muß nicht darauf hoffen bei deinem Rechner eine Schwachstelle zu finden um darüber einzubrechen, sondern lese gemütlich den Datenverkehr mit und warte, bis du darüber deine Logindaten verschickst. Die meisten verwenden überall die gleichen Logindaten... Außerdem ist es auch schon nett, wenn man die ganzen Zugangsdaten und Mails etc. was so über die Leitung rauscht mitlesen kann. Da kannst du noch so viele Firewalls einrichten.

Simon Reuteler
Erkläre mir das mal, wie eine Firewall hier Sicherheit schaffen soll

PS: falsch konfigurierte Dienste lasse ich nicht als Erklärung gelten

bitte korrigiere mich, wenn ich falsch liege:

ein rechner ohne firewall ist ungeschützt, einer mit, etwas geschützter, ich denke da an http, ftp, ssl, telnet, smb, afp. dessweiteren schützt die firewall vor spyware, welche ev. auf dem rechner installiert wurde um informationen an den den "mithörer" zu senden. genau da bremmst die firewall den wissensdurs!:-)

Ist man dann dennoch unsicher wenn man

a) MAC Adressen filtert und nur die der eigenen Rechner erlaubt

b) Die Verschlüsselung innerhalb des WLan Routers aktiviert

c) Einfach nichts freigibt?

Danke für Antworten..:-D

Ich glaube, ihr redet aneinander vorbei. Ohne Firewall ist natürlich Käse. Aber sie nutzt nix, wenn die Daten im Klartext nach draußen geblasen werden, weil Sohnemann nur lauschen muss, um an das zu gelangen, wo er (möglicherweise) sowieso gerade herankommen möchte. Er braucht nicht einbrechen, wenn man ihm den Schlüssel direkt in die Hand gibt, vorausgesetzt, er sucht den Schlüssel überhaupt. Daher nebst WPA(2) SSL/SFTP etc.

D.h. würde bedeuten, die Verschlüsselung im WLan Router zu atkivieren, damit eben kein Klartext mehr nach außen "geblasen" wird?

Jörg:

a) MAC-Adressen lassen sich fälschen;
b) Was heißt innerhalb des Routers? Was meinst du damit?
c) Ein Haus ohne Türen und Fenster ist ausgesprochen unkomfortabel. Aber richtig ist schon: Nach Möglichkeit nur freigeben, was du auch benötigst.

Insgesamt: Es gibt immer nur eine relative Sicherheit (Binsenweisheit).

Don

Doch, ich bin aber noch beim Frühstücken

nurmal so am rande, ...was könnte sohnemann wohl gebrauchen, vieleicht mutters kreditkartennummer oder vieleicht die liebesbriefe ihres freundes mitlesen - das kann sohnemann nur mit einer gewissen kriminellen energie und wenn das so ist dan muss das vertrauensverhältniss der beiden ja ganz schön gestört sein - in diesem fall würde ich jedem seine eigene dsl leitung empfehlen - dann gibts auch kein stress

mixto

Man muß nur das lesen und verstehen wollen, was ich oben geschrieben habe, dann kann man auch mit einer DSL-Leitung durchaus glücklich werden.

Simon

Du hast, denke ich, eine falsche Vorstellung davon, was eine sog. "Firewall" bewerkstelligen kann und was nicht. Und wenn ich nackt zum Einkaufen gehe, ist es auch wurst, ob ich zuhause in Ritterrüstung rumlaufe oder nicht.

Rantanplan
Können wir das mal eruieren?

*duckundweg*

Ties-Malte

Gern

Rantanplan
[quote]@@mixto

Man muß nur das lesen und verstehen wollen, was ich oben geschrieben habe, dann kann man auch mit einer DSL-Leitung durchaus glücklich werden.

det war mir schon klar - mein einwurf war auch eher als kleine randbemerkung gedacht

gruß

b) Was heißt innerhalb des Routers? Was meinst du damit?

damit war gemeint, dass man natürlich die Verschlüsselung die mit dem WLan Router kommt aktiveren sollte (falls es von Nutzen ist)

Das man MAC Adressen nicht fälschen kann ist mir auch klar, und ich halte es auch für eine sehr gute Methode auf diese Art und Weise andere Rechner daran zu hindern in das Netz zu connecten.

Jörg
Natürlich kann man sie fälschen. Oder ist dir das Wörtchen "nicht" nur aus Versehen in den Satz gerutscht?

jaaa hast Recht hab mich verlesen

Aber selbst wenn man sie fälschen kann, dann muss man erst einmal wissen, welche man fälschen muss, um dann auch reinzukommen. Richtig?

jörg

Klar, der MAC-Filter ist ein Bausteinchen, um die Hürde für Gelegenheitshacker zu erhöhen. Wenn man einen MAC-Filter hat, dann ist es nicht verkehrt ihn auch zu benutzen.

Naja, die MAC ist nicht unbedingt ein Geheimnis Sie wird in jedem Paket mitgeschickt... das ist ihre Aufgabe.

gut, falls ich mal ein Wlan haben werde, würde ich natürlich diese Faktoren beachten. Und selbstverständlich speichere ich gewisse vertrauenswürdige Dateien nicht auf dem Rechner..

Jörg
Das kannst du natürlich trotzdem tun. Wichtig ist zu wissen, was sind die Schwachpunkte, wie umgehe ich sie, welche Sache ist wie sicher oder unsicher. Wenn man ein paar Regeln beachtet ist man vor jedem gewöhnlichen Ausspionierungsversuch sicher. 100%ige Sicherheit gibt es nirgends, aber einfaches Vertrauen in ein paar Buzzwords wie Firewall und Virenscanner schafft keine echte, sondern nur gefühlte Sicherheit.

Achso, was kann man eigentlich tun, um mehr als gefühlte Sicherheit zu haben? Verschiedenes:

- (Netzwerk-)Dienste die man nicht braucht deaktivieren (in OS X sind standardmäßig die meisten aus)

- wenn Logindaten übertragen werden keine unsicheren Protokolle verwenden, d.h. auf Telnet und FTP (außer Anonymous-FTP) verzichten, bei SMTP/POP/IMAP nicht vergessen SSL zu aktivieren, wenn der Provider das nicht anbietet den Mailprovider wechseln. Statt FTP auf SFTP oder FTP mit SSL ausweichen.

- bei WLAN die Verschlüsselung aktivieren. Wenn man nur WEP128 hat... besser als nix, aber man sollte über einen Umstieg auf WPA nachdenken, das wurde noch nicht geknackt.

- den SSID-Beacon ausschalten. Diese Funktion nennt sich glaube ich "Privates Netzwerk" bei Airport.

- MAC-Filter einschalten. Hilft zwar nicht wirklich viel, aber An ist besser als Aus.

- WLAN-Basisstation so positionieren, daß sie in der Hauptsache den eigenen Wohnbereich ausleuchtet. Also zum Beispiel nicht unbedingt am Fenster zum Nachbarn, sondern mitten in der Wohnung.

- einen kleinen DSL-Router verwenden anstatt den Mac selbst per PPPoE direkt an das DSL-Modem zu hängen. Im Router die Weiterleitung (gelegentlich DMZ genannt) NICHT aktivieren, dann ist man vor Verbindungsanforderungen von außen komplett sicher (und kann sich den Spaß mit der Firewall sparen).

- Um Verbindungen von innen nach außen kontrollieren zu können LittleSnitch (o.ä.) verwenden.

- und immer wichtig: gute Passwörter verwenden. Für jeden Dienst ein anderes (dafür gibts ja den Schlüsselbund) und ein wirklich kompliziertes und nicht den Namen vom Hund (auch dabei hilft der Schlüsselbund).

- automatischen Login am Rechner natürlich deaktivieren. Schlüsselbund bei Inaktivität und Bildschirmschoner sperren lassen.

- gegebenenfalls für manche Dinge verschlüsselte Diskimages als Container verwenden und dieses Kennwort dann natürlich NICHT im Schlüsselbund speichern lassen. Aber auch nicht auf einem Zettel am Monitor hinterlegen...

- einfach mit wachen Augen durch die Welt gehen und nicht auf Werbeversprechen von sog. Sicherheitsfirmen hereinfallen.

Ohne jeden Anspruch auf Vollständigkeit.

Das Problem ist eher das Windows diverse Dienste am laufen hat, die einen Einbruch auch ohne Passwort ermöglichen. Das hat aber mit WLAN nichts zu tun. Das betrifft alle Windowsnetze.

Rantanplan

Du hast seit 3,5 h Post…ist die nicht angekommen ?