Hallo,
Hätte sehr gern Euren Rat 
zur Situation:
arbeite neben d. Studium in einer kleinen, aber mittlerweile nicht
mehr ganz so winzigen Firma, die vor 1 Jahr auch eine 2. kleine
Filiale bekommen hat. Vernetzt hab ich die beiden damals per OpenVPN
und einer älteren Linuxkiste.
Die macht jetzt leider immer wieder Probleme, Ãœberhitzung, Lüfter
et.c.
Die Infrastruktur besteht leider beinahe ausschließlich aus Wlan, da
sich alle wehement gegen eine Verkabelung im wackeligen Gebäude, wo
niemand weiss, wo welche Kabel verlaufen u.s.w., gewehrt haben. Bei
reinen Officearbeiten wars auch immer schnell genug.
Das Unternehmen ist gewachsen und erstreckt sich jetzt anstatt über
nur 1 Raum, über 4 Stockwerke, in welchen -oh Wunder- nicht überall
die Signalstärke ausreichend ist.
Ein Vorteil ist, dass alle Wände extrem dünn sind.
Stock 2 und 3 -sind vom Signal her- sehr stabil, der 1. Stock
halbwegs, jedoch im Erdgeschoss kann man wegen der schlechten
Verbindung kaum arbeiten.
Deswegen möchte ich mind. einen 2./3. AP anschaffen um besser
abdecken zu können, und auch den Linksys WRT45G, der wie wir nur 1,2
Räume hatten ausreichend war, gegen was “besseres” ersetzten.
D.h. die Linuxkiste mit OpenVPN soll durch eine Firewall/VPN
Gatewaylösung ersetzt und gleichzeitig das WLan “aufgebohrt” werden.
Hab in der C’t oder IX einen älteren Testbericht zum Lancom 3550
gelesen.
Die haben ihn über alles gelobt.
Das Ding kann 5 gleichzeitige VPNTunnels, was bis jetzt ausreichend
wäre, kann auf 25 aufgestockt werden, hat ein UMTS Backup und ist ein
a/b/g AP mit angeblich sehr umfangreichen FW Features.Der Lancom
service soll auch recht gut sein.
Leider kann die Firma bei der sie leasen möchten genau den nicht
liefern und hat mir einen Lancom 1811 empfohlen. Zu dem find ich aber
außer einem Testbericht von 2003 leider null Informationen, keine
Ahnung ob das ein gutes Teil ist.
Hat jmd eine Ahnung wo ich gute Vergleichstest herbekomme?Ich such
und such seit Tagen und finde kaum etwas. Im Heise Kiosk konnte ich
auch nicht wirklich viel finden, außer einem Uraltbericht..
vielleicht bin ich ja auch blind.
Gefallen würd mir so eine VPN/FW/AP Lösung schon gut, da auch
billiger als alles extra zu kaufen, jedoch muss die AP
Performance/Reichweite halbwegs was taugen und natürlich ein stabiles
Gerät sein.
Danke für etwaige Tipps und vielleicht verweise auf Ressourcen.
Danke,
Max
> hmmm.. sollte da jemand meine Sicherheitsbedenken als Einladung zur
> Straftat missverstanden haben?
> Davon distanziere ich mich!
> Daten sind Eigentum, daß viele Menschen mit dem Schutz ihres
> Eigentums heute überfordert sind, ändert nichts daran.
Nein im Gegenteil: diese hohle Drohung von meiner Seite, soll
mitlesende Hot-Spot-Nutzer zu etwas mehr Problembewusstsein
verhelfen.
Hier in meinem Umfeld ist die Nutzung von WLAN aus
sicherheitstechnischen Gruenden verboten. Wir suchen unsere Teilnetze
auch regelmaessig auf verdaechtige MACs ab, da es bei ca. 3000
Mitarbeitern immer wieder einen Schlaumeier gibt, der glaubt, sich
den Komfort in seinem Buero privat finanzieren zu koennen.
Wir haben nichts gegen VPN/IPSEC, wissen aber, dass eine Nutzung
verschiedener oulets in der Wand fuer WLAN-APs und lokale
Arbeitsplaetze sich erzieherisch nicht umsetzen laesst. Ob ein
Mitarbeiter von uns allerdings in irgendeiner Lounge eine private
WLAN-Karte in seinen Laptop schiebt…
Ja, ja, eine BlackICE-Loesung muesste her: VPN wird erst aufgebaut,
wenn auf dem Client keine Konfigurationsaenderung festgestellt wird.
Am besten auch fuer die Arbeitsplatzrechner. Dann wuerden wir endlich
mehr Mitarbeiter bekommen, wenn einige Chefs, Subchefs, SubSubchefs,
SubSubSubchefs und ParaGrafen wegen ein paar Shareware-Trials nicht
mehr ins Netz kaemen…
>Es hat mich hier niemand zu illegalem Datenauspaehen verleitet!<
(Meine Unterschrift bei unserem Notar wuerde mir dafuer auch drei
Jahre Knast einbringen.)
Genuegt das?
LazyBee
wlanöchen auch,
schön dass das Problem nun nicht mehr aufzutreten scheint.
Dennoch habe ich eine andere Idee; viel zu spät natürlich. 
Oft werden Bedenken geäußert, es gäbe da einen Angreifer. Häufig ist
es aber eben auch “nur” ein technisches Problem. Bei älteren Treibern
gibt es Konstellationen von Hard-
wlaneine Paranoia in Ehren, ich hab da eher einen anderen Verdacht.
> Da betreibt einer einen AP, der mit einer US Firmware oder einer
> buggy-Firmware laeuft. Das wirkt wie ein Breitbandstoerer, nur
> mit dem Unterschied, dass protokoll-technisch gestoert wird.
Und wie bitte soll das unabsichtlich gehen ? Wenn du den MIC
verändern willst, musst du vorher den CRC wieder korrigieren, sonst
wird das Packet bereits da verworfen, und es kommt zu keinen MIC
fehler.Eine buggy firmware eines anderen AP würde mit Sicherheit
nicht mit meiner MAC Adresse, und mit einen speziell manipulierten
CRC probieren meinen MIC zu zerstören.Wie gesagt, CRC ist sehr gut
wenn es um zufällige Fehler geht, und eine buggy firmware eines
anderen AP produziert zufällige Fehler,genau wie schlechten empfang.
Aber was solls, ich habe mir heuten einen anderen Router gekauft,
nein, nicht direkt deswegen, wollte eh nur ein Gerät haben, und nicht
2 Router kaskadiert, störbar wäre ich ja eh noch, aber eben nicht
mehr durch 2 Packete pro Minute.
TKIP ist ein nur eine flickerrei gewesen….
-ist-der-lose-draht-in-wuerzburg/”>wlana saß ich vergangene Woche in einer Lufthansa Lounge und durfte
> feststellen, daß ich leider nicht mehr in das dortige WLAN reinkomme,
> ohne dafür zu bezahlen (was ja ansich ok wäre, wenn das Bezahlsystem
> gerade funktioniert hätte - hat es aber nicht).
> Aber - ich frage mich, ob die Menschen, die dort ihrer Arbeit
> nachgehen (Manager und ähnliches Getier) sich bewusst sind, daß sie
> nicht alleine sind. Jeder in der Funkzelle kann beliebig mitlauschen.
> Offene Shares sind für jeden erreichbar. Rechner ohne Firewall sind
> sperrangelweit offen.
>
> Ich bin ja mal gespannt, wann die ersten Firmen es ihren Mitarbeitern
> verbieten, öffentliche WLAN Hotspots zu verwenden. Es kann nicht mehr
> lange dauern.
>
> pj
heisst das das es spaßig sein könnte sich dort mal nen tag
hinzusetzen und alles zu kopieren das man findet?
oder bekommt man als nicht-kunde keinen zugang zum wlan?
ich hab zwar das notwendige gerät dafür nicht, aber interessieren
würde mich das schon..
wlanend,
>Spätestens damit bist Du gezwungen zu verkabeln. Verbindet die
>Etagen mit GBit-Switches, das genügt dann auch für die Zukunft.
..und VLAN definieren und damit die WLAN- von der LAN-Infrastruktur
trennen. Sonst gibts irgendwann ein boeses Erwachen. Zusammenschalten
bitte nur ueber eine Firewall.
>> D.h. die Linuxkiste mit OpenVPN soll durch eine Firewall/VPN
>> Gatewaylösung ersetzt und gleichzeitig das WLan “aufgebohrt”
werden.
>Habt Ihr noch einen Server? In dem Fall wäre es gut, das Ganze
>richtig zu machen:
>- Firewall mit Backbone, hinter der der/die Server ist/sind.
>- An zweiter Netzwerkkarte die WLAN-Router (wenn schon WLAN…)
>- An dritter Netzwerkkarte Verbindung ins Internet
100% ACK. Allerdings wuerde ich mir das mit dem Server gut
ueberlegen.
Das ist nicht so billig wie man meint (Strom, Abwaerme, kaputte
Luefter, kaputte Platten,…).
> Hab in der C’t oder IX einen älteren Testbericht zum Lancom 3550
> gelesen.
Es reicht auch ein 1811 (Modem bitte immer extra erwerben). Ansonsten
gaebs noch Bintec/Funkwerk als Alternative.
>Das kannst Du alles auch mit Linux und IPSec/PPTP machen. Warum soll
>man viel Geld bezahlen, wenn man mehr Funktionalität für weniger
Geld
>haben kann?
Ganz einfach, wenn man in der Zeit mehr verdient, als man beim
Basteln spart.
> Gefallen würd mir so eine VPN/FW/AP Lösung schon gut, da auch
> billiger als alles extra zu kaufen, jedoch muss die AP
> Performance/Reichweite halbwegs was taugen
Vorschlag: nachdem der Kollege schon struktuierte Verkabelung
angemahnt hat, wuerde ich den Router ohne WLAN kaufen und stattdessen
“dumme” WLAN-Router oder Accesspoints aufstellen. Solange Du nicht
mehr als 3 Stueck brauchst, reichen die Frequenzbaender aus.
>und natürlich ein stabiles Gerät sein.
Sowohl LANCOM- wie auch Bintec-Teile sind stabil gebaut.
>Ein grundsätzliches Problem ist das WLAN. Es stellt sich die Frage,
>wie wichtig die Daten sind, und inwieweit diese schützenswert sind
>(also nicht in falsche Hände kommen dürfen). Sollen diese wirklich
>geschützt werden, müssten alle Maschinen, die via WLAN eine
>Verbindung herstellen, ebenfalls via VPN (IPSec oder PPTP)
>verschlüsseln.
100% ACK.
1. Aktivierung WPA2-Sicherheit
2. Pack WLAN und LAN in separate VLANs und terminier beide
Netze auf unterschiedlichen Firewall-Interfaces.
3. Aktiviere VPN auf dem externen und dem WLAN-Interface,
deaktiviere Traffic aus dem WLAN-Netz -> EXT/INT (d.h.
ohne VPN-Tunnel endet die Reise an der Firewall).
Gruss
Wilk
Vorsicht: Es entstehen Zusatzkosten durch VPN-Clients. Und zum
Thema Schutz gibts jetzt ein Gerichtsurteil (siehe Heise-News
am Wochenende).
wlanicher? Ansonsten einfach mal den WLAN-Kanal wechseln. Mindestens
> drei Kanäle Differenz zum alten.
Nene, daran liegt es nicht. 3 Kanäle weiter und ich hab mehr
störungen.
Hab mit Omnipeek auch mal geschaut, also die Fehler sind sehr gering,
die Signal Rauschabstand gut, daran liegts sicher nicht…
Ein Fehler durch zufällige Störungen würden durch CRC erkannt werden.
Die Sicherung läuft so ab Daten MIC CRC Also CRC ist das letzte.Nur
CRC Schützt nicht vor gezielter manipulierung, davor schützt der
MIC.Und weil MIC nur 64 Bit hat,kann es passieren dass man mit Brute
Force den MIC Schlüssel knacken kann, ergo gibts ne Schutzfunktion
dass bei mehr als 2 MIC fehler das Handschake neu durchgeführt wird,
und dabei wird der AP für ne Minute lahmgelegt, was man für DOS
ausnutzen kann.Und genau das ist passiert.Es gibt in so einer
anhäufung keine zufälligen MIC Fehler, das ist gezielt
> Wenn der vermutetet Störer keine Ahnung von WLAN hat, mal testweise
> “hidden SSID” und “MAC-Filter” aktivieren. Das hilft natürlich nicht,
> wenn er sich etwas mit WLAN auskennt.
Das wird in diesen Fall rein gar nichts bringen, wenn jemand weiß wie
man die Packete so manipuliert dass sie bei der CRC durchgehen und
beim MIC erst als fehler auffallen, der wird nur herzhaft lachen,
unter linux kann man beliebige Packete basteln, mit der Abesnder MAC
usw. die man eben braucht
wlan ist OK.
Die Strahlungen sind bei weitem nicht so intensiv und auch die
Pulsung wird einheitlich (da auch anders) von allen Wissenschaftlern
als unbedenklich eingestuft. Also eine feine Sache, wenn man sich den
Kabelsalat ersparen möchte.
UMTS kommt mir nicht ins Büro, solange die Nebenwirkungen nicht
“Eindeutig” geklärt sind. In der Schweiz wurden diese Nebenwirkung
und gesundheitlichen Auswirkungen bereits nachgewiesen und dies bei
deren Strahlungswerten. Die in Deutschland liegen um das hundertfache
Höher und die Forschungen (Betreiber beteiligen sich zur Hälfte an
den Kosten…??!!:-((( ) haben gerade erst begonnen.
Bei aller Liebe zur Bequemlichkeit (und zum Kapital), nicht auf meine
Gesundheit!
Die Strahlungen (Impulse) der Antennen (Sendeeinheiten) ist eine
andere als jene welche vom Empfänger (eigentlicher Sender zB. Handy)
ausgeht und wurden nach neusten Studienen als unbedenklich eingestuft
(Schweizer Werte).
Es gab damals in der c’t kritische Berichte zur Strahlung am
Arbeitsplatz.
Frage an die Heise-Redaktion: Hat nur die Redaktion so nachgelassen
oder was zahlen die Euch????
gruss
KFA
wlanLeistung eines WLAN lässt sich aber nicht nur anhand der reinen
Sendeleistung des Routers/AP festmachen. Auch die Antenne hat
durchaus ein Stück dabei “mitzureden” (Stichwort Antennengewinn).
Damit kann man leider auch schnell die gesetzlichen Richtlinen der
Signalstärke von WLANs überschreiten, bringt aber mit der richtigen
Antenne eine Menge. Schwierig wirds erst dann, wenn sich irgendwer
durch deine hohe Sendeleistung beeiträchtigt fühlt. Richtig ist, dass
eine Richtstrahlantenne für diese Zwecke unbrauchbar ist. Diese Art
Antenne bündelt aber, wie der Name schon sagt, alles auf einen
relativ geringen Strahldurchmesser. Aber davon hab ich ja
schliesslich nichts geschrieben. Es gibt durchaus auch Antennen die
statt dem 360 Grad Abtrahlwinkel einen 50-60 Grad Winkel verwenden
und das Signal auf diesen Winkel richten (eine Richtantenne nämlich).
Solche Antennen sind explizit für diese Art Anwendungsgebiete
erfunden worden. Nämlich zB. um das Signal über freie Plätze oder in
Gebäuden zu verteilen, aber eben nicht auf den hinter oder überhalb
der Antenne liegenden Bereich.
Weiterhin habe ich auch nichts davon gesagt, dass die Wände KEINE
Hindernisse darstellen. Daraus ergibt sich ja schließlich die
Problematik dieses Beitrages.
ABER wichtig bei der ganzen Sache ist (und keinesfalls zu
vernachlässigen), dass der PC bzw. Notebook diese Sendeleistung
ebenfalls haben muss. Denn schließlich werden nicht nur Daten vom AP
empfangen sondern auch hingeschickt. Und das ist bei der ganzen Sache
das viel größere Problem.
wlans?
Noch nie etwas von Google gehört??
Aber scherz beiseite. Es gibt auch andere TV-Sender als nur die
Kommerziellen. Von den Linkseiten halte ich nicht so viel. Hier geht
es meist nicht sehr sachlich zur Lage, sondern dort gibt es nur Pro
oder Contra und solche Seiten, egal von ob von Gegnern oder
Befürwortern sind mir zu extrem.
Ich bin, wie auch, kein Gegner des Fortschritts, sondern versuche
diese Sache nur mit realer Skepsis zu betrachten und nicht jeden
Scheiß gleich zu fressen, so wie die beiden anderen ungebildeten
Poster zuvor.
Aber eigentlich ist es auch nicht meine Aufgabe zu informieren,
sondern die des Journalisten. Allerdings habe ich mittlerweile,
besonders im Bereich TV, den Eindruck, dass hier die bettlichen
Eigenschaften mehr zählen…:-((
Jedenfalls. Sollten sich Krankheitsentscheidungen nachweisen lassen,
dann bin ich dafür, dass nur die jenigen Entschädigungen erhalten,
welche sich der auch Informiert haben. Da die größte Gefahr aber von
den Empfängern ausgeht, wären die Betreiber bei mir relativ fein
raus. Hier muüsste diese Erkrankung also von den Sendeanlagen
herrühren. Sollte dies der Fall sein plädiere ich für die
Todesstrafe!
Wie dem auch sei. Es gab einen Bericht auf MDR und vielleich wird
dieser auch wiederholt. Ansonsten, selber im Netz schauen und nicht
gleich in Panik verfallen wenn Du igrendwo zwei Ratten Hirne siehst,
eiins mit und eins ohne Strahlung. Solche Rattentest gelten nur bei
Medikamenten als Anerkannt und gelten nicht für elektromagnetische
Strahlungen.
gruss
KFA
PS: Habe für das Büro WLAN und bin “leider” geschäftlich auf ein
Handy angewiesen…