Große WLAN-Sicherheitslücke, was tun?

[Florian]

Hat irgendwie kaum Wellen geschlagen: Ende letzten Jahres wurde eine große Sicherheitslücke bekannt, die auch viele WPA/WPA2-Netzwerke betrifft: http://www.heise.de/security/meldung/Massive-WLAN-Sicherheitsluecke-1401820.html

Mein Router ist uralt, ich habe den per Kabel konfiguriert. Oder? Und die Airport Extreme? Seit kurzem spinnt das Netzwerk … wie bringe man heraus, ob die eigenen Geräte betroffen sind?

[DBe001]

Das betrifft nur Router, die WPS haben.
Das ist ein Verfahren zur Einstellung von WPA/WPA2.
Alte Router, in meinem Fall der Speedport W501, haben das nicht.

[Florian]

Das ist mir schon klar, aber es gibt ja so viele Geräte.
Im Artikel steht, dass nicht alle Router eine Deaktivierung von WPS zulassen - das ist dann schon sehr schlecht.
Die Airport Express scheint nicht betroffen, zumindest konnte ich keinerlei Menüpunkt diesbzgl. finden.

Auf jeden Fall sollte man mal sein Router-Menü anschauen, und WPS deaktivieren, falls vorhanden.

[DBe001]

Wie ich schon sagte, ältere Router haben WPS gar nicht, also kann man da auch nichts deaktivieren.

[Florian]

Die Airport wird noch so verkauft, also ist sie nicht älter in meiner Definition.
Alt ist mein anderer Router von dlink.

Generell geht es aber nicht nur um mich, ich fürchte das war missverständlich. Alle Leute mit neueren Routern sollten nach WPS schauen und falls vorhanden deaktivieren.

[mbs]

Das kann man so nicht verallgemeinern. Falls in einer WLAN-Basisstation WPS unterstützt wird, dann gibt es mindestens vier verschiedene Verfahren, um die Fernkonfiguration (und damit die Herausgabe der WLAN-Verschlüsselungscodes durch die Station) zu veranlassen:

1) Eingabe einer PIN
2) Drücken einer speziellen WPS-Taste am Gerät
3) Manuelle Ablage der Konfigurationsdaten auf einem USB-Stick
4) Nebeneinanderstellen von zwei Basisstation und Konfiguration per Near Field Communication

Normalerweise unterstützt eine Basisstation, wenn überhaupt, nur eine dieser vier Verfahren. Nur das erste (PIN) ist von dem beschriebenen Sicherheitsproblem betroffen.

Bei einigen Geräten ist WPS von Hause aus schon zusätzlich abgesichert, so dass auch diese vom Problem nicht betroffen sind. Bei Fritzboxen muss man beispielsweise WPS per Web-Interface jedesmal von Hand für einen einzigen Vorgang einschalten und es schaltet sich automatisch nach zwei Minuten wieder ab.

Die Airports haben so wenig Features  , da ist WPS überhaupt nicht vorhanden.

[Florian]

Okay, danke für die detaillierte Erläuterung.

Die Schwachstelle bezieht sich laut PDF (und Deinem Beitrag) ausschließlich auf WPS-Pin (external registrar). Es wird allerdings auch angeführt, es gäbe viele neue Router, die sich so verhalten.

Würde auch generell raten, einen neueren Router anzuschauen, denn wer kann sich schon noch genau an die Einrichtung erinnern? V.a. wenn man sie vielleicht gar nicht selbst gemacht hat. 

[warlord]

In älteren Zyxel-Routern wird WPS übrigens noch als OTIST bezeichnet.

[MacFlieger]

Hier gibt es auch einen Hinweis von AVM (Hersteller der verbreiteten Fritzboxen) zu diesem Problem.

Nicht nur, dass man es bei einer Fritzbox manuell starten muss und nach 2 Minuten beendet wird. Das ganze wird auch vorzeitig abgebrochen, sollte ein zweiter WLAN-Client zur selben Zeit versuchen zu verbinden.

Wie auch immer, ich schalte WPS immer sofort komplett ab. Die Geräte, die bei mir im Netz sein dürfen, müssen den Schlüssel halt einmal eingeben.
Solche Automatismen sind mir immer suspekt. Genauso wie Fernwartung des Routers, UPnP...

[radneuerfinder]

http://www.heise.de/newsticker/meldung/Fritzbox-Mediaserver-verraet-Geheimnisse-1581132.html

Aber wo stelle ich UPnP aus? Die Hilfe hilft mir nicht weiter.

[MacFlieger]

UPnP kannst Du unter "Heimnetz/Netzwerk/Programme" ausschalten (Häkchen bei "Statusinformationen über UPnP übertragen" und "Änderungen der Sicherheitseinstellungen über UPnP gestatten"). Beides habe ich grundsätzlich abgeschaltet, da ich nicht möchte, dass irgendwelche Programme einfach Einstellungen ändern dürfen.

UPnP hat aber mit dem eigentlich beschriebenen Problem nur indirekt zu tun. Zitat: "Denn der Server gibt per UPnP nur eine Liste der Mediendateien heraus. Für den Abruf der darin verzeichneten Medien enthält er zusätzlich einen http-Server auf einem anderen Port, in dem der Fehler steckt"

Der Fehler ist also nicht im UPnP-Dienst, sondern in dem Medienserver. Den muss man deaktivieren. Das geht unter "Heimnetz/Speicher(NAS)" Dort entweder den NAS-Speicher komplett deaktivieren oder weiter unten nur den Medienserver.

[radneuerfinder]

Danke. Die Sachen sind eingeschaltet, aber ausgegraut, da kein USB Speicher angeschlossen ist. Passt das so?

[MacFlieger]

Ich vermute(!), dass das dann egal ist. Ich bin mir da aber nicht sicher.
Wenn Du es nicht brauchst, ist es auf jeden Fall besser/sicherer, das abzuschalten. Ich habe es aus, da ich für derartiges ein richtiges NAS hier stehen habe.