Kennwort Fritz!Box 7330 WLan Netzwerkschlüssel

Internet Internet Sicherheit
#1

Liebe Expertinnen und Experten,
vor einigen Monaten postete hier mal jemand, der auf die Unsicherheit des vom Werk angegebenen Netzwerkschlüssels der jeweiligen Fritz!Box, das man für WLan-Einstellungen benutzen soll(te), hinwies. Als Demo hatte er ein Programm angegeben, mit dem man das KW wohl leicht knacken kann (sofern es jemand benutzt), woraufhin ihm unlautere Motive unterstellt wurden und der post vom Mod sehr rasch gelöscht wurde. Ich fand das nicht gut, denn ich selber hatte das so verstanden wie es gemeint war: als seinerzeitige Mitleserin wurde ich daraufhin auf das WLan-Sicherheitsproblem aufmerksam ohne aber leider mehr erfahren zu können (der post wurde ja gelöscht). An anderer Stelle hier erwähnte jemand nebenbei daß auch Mac-Adressen nicht sicher sind. Als ich nun eben mal einfach so ein Uralt-Programm (SIW) laufen ließ in einem älteren laptop, wurde unter security das Kennwort der WLan-Verbindung ausgewiesen. Da kommt man schon ins Grübeln. Lange Rede - kurzer Sinn:Ich kenne mich einigermaßen aus und versuche sicherheitsmäßig auf dem laufenden zu bleiben. Nicht aber mit WLan, das bei uns nur ab und zu der Bequemlichkeit zB mit dem ipad benutzt wird. Ich habe eine Fritz!Box 7330, dahinter 2 laptops verbunden per LAN, beide Win XP. Für diese + das ipad sind die Mac-Adressen eingetragen, sowie die Einstellung daß weitere nicht zugelassen sind. Die Fritz!Box hat einen anderen Namen im WLan. Aber alle 3 haben zwangsläufig das gleiche Zugangskennwort, nämlich den Netzwerkschlüssel der Box. Ist das nun richtig oder falsch? Und wenn falsch, aus welchem Grund? Es sind Millionen Fritz!Box im Umlauf.

Ich mache mir nichts vor, wenn Spähprogramme entwickelt wurden, kann jeder, der englisch kann, Ähnliches aus dem Netz fischen und anwenden. Ist nach derzeitigem Stand dagegen ein Kraut gewachsen oder nein?  Und: auch wenn ich selber im WLan kein online-banking mache, würden diejenigen, die mit Sicherheitsaspekten gut Bescheid wissen, das tun?

Danke für kompetente Antworten, denn außer mir, die ich was lernen will daraus, gibt es sicherlich auch interessierte MitleserInnen.
Moni   

#2

Hallo Moni,

ich versuche mal deine wichtigsten Fragen zu beantworten.

vor einigen Monaten postete hier mal jemand, der auf die Unsicherheit des vom Werk angegebenen Netzwerkschlüssels der jeweiligen Fritz!Box, das man für WLan-Einstellungen benutzen soll(te)

Das Problem besteht aber nur dann, wenn man als W-Lan Schlüssel den vom Werk eingestellten Schlüssel benutzt. Unter anderem (aber nicht nur) deswegen sollte man ganz allgemein nie die werkseitigen Passworte benutzen, sondern sein eigenes Passwort erstellen. Das trifft natürlich auch auf den Netzwerkschlüssel zu. Wenn man beabsichtigt W-Lan zu benutzen, sollte man als erstes den werkseitig vorgegebenen W-Lan Schlüssel ändern.

Dieser Schlüssel sollte möglichst aufwendig zusammengestellt werden. Da man den Schlüssel im Regelfall nur bei der ersten Einrichtung am Endgerät eingeben muss und dann speichern kann, sollte man ruhig in Kauf nehmen dass es ein langer umständlicher Code sein kann. Nur als Beispiel, könnte ein guter Netzwerkschlüssel z.B. so zusammengesetzt sein:

G&amp:stuck_out_tongue_winking_eye:V0sFYyx7KnIuTWI=YD2zuqeEy9G1Hu.Gwz9e=jLvHC.r(QKvDYsHYMuFW

So einen Schlüssel kann man sich natürlich nicht merken, aber den braucht man ja pro Endgerät nur einmal eingeben und speichern. Dazu gestaltet man seinen eigenen Schlüssel ( nicht mein Beispiel ) am besten in einem Textprogramm, kopiert diesen Schlüssel und fügt ihn bei den Einstellungen des Routers ein. Anschließend kann man den kopierten Schlüssel noch an seinem Computer bei der Netzwerkverbindung einfügen und dort abspeichern.

An anderer Stelle hier erwähnte jemand nebenbei daß auch Mac-Adressen nicht sicher sind

Das hat aber nur dann eine Bedeutung wenn man im Router bestimmte Mac-Adressen sperren möchte, oder den Router so einstellt dass sich nur bestimmte Mac-Adressen per W-Lan mit dem Router verbinden dürfen. Dieses „nicht sicher“ bezieht sich darauf dass es möglich ist die Mac-Adresse des Computers zu fälschen. Aber mit WPA2 Verschlüsselung und mit einem vernünftigen Netzwerkschlüssel nach dem von mir gezeigten Beispiel kann man die Einschränkung der Mac-Adressen getrost als überflüssig bezeichnen.

Als ich nun eben mal einfach so ein Uralt-Programm (SIW) laufen ließ in einem älteren laptop, wurde unter security das Kennwort der WLan-Verbindung ausgewiesen

Das W-Lan Kennwort (Netzwerkschlüssel) das von SIW ausgelesen wurde, ist aber das auf deinem Laptop gespeicherte Kennwort. Das wurde nicht von der Fritzbox ausgelesen. Das bedeutet, jemand der deinen Laptop in die Hände bekommt, der könnte den Netzwerkschlüssel von deinem Laptop auslesen. Aber ohne deinen Laptop könnte keiner den Netzwerkschlüssel aus dem Router auslesen.

Ich habe eine Fritz!Box 7330, dahinter 2 laptops verbunden per LAN, beide Win XP. Für diese + das ipad sind die Mac-Adressen eingetragen, sowie die Einstellung daß weitere nicht zugelassen sind

Wie gesagt, mit WPA2 Verschlüsselung und mit einem vernünftigen Netzwerkschlüssel nach dem von mir gezeigten Beispiel brauchst du die Einschränkungen der Mac-Adressen nicht, aber sie schaden auch nicht.

Aber alle 3 haben zwangsläufig das gleiche Zugangskennwort, nämlich den Netzwerkschlüssel der Box. Ist das nun richtig oder falsch?

Wenn du den Netzwerkschlüssel der vom Werk vorgegeben ist (steht unter der Fritzbox) benutzt, dann ist das nicht so gut. Wenn du aber den vorgegebenen Netzwerkschlüssel in der Fritzbox ähnlich wie in meinem Beispiel geändert hast, dann bist du damit auf der sicheren Seite.

Aber wenn du jetzt nachträglich den Netzwerkschlüssel in der Fritzbox änderst, dann musst du natürlich auch bei deinen Laptops und bei deinem Ipad den neuen Netzwerkschlüssel eingeben.

Ich mache mir nichts vor, wenn Spähprogramme entwickelt wurden, kann jeder, der englisch kann, Ähnliches aus dem Netz fischen und anwenden. Ist nach derzeitigem Stand dagegen ein Kraut gewachsen oder nein?

Nun, man muss sich natürlich darüber im Klaren sein dass nicht alles bekannt ist. Aber nach dem was bekannt ist, kann man derzeit davon ausgehen dass WPA2 Verschlüsselung mit einem ähnlichem Netzwerkschlüssel wie bei meinem Beispiel schon als sehr sicher bezeichnet werden kann. Das betrifft aber natürlich nur die W-Lan Verbindung, und 100% Sicherheit ist nie möglich.

auch wenn ich selber im WLan kein online-banking mache, würden diejenigen, die mit Sicherheitsaspekten gut Bescheid wissen, das tun?

Bei denjenigen die sich mit den Sicherheitsaspekten auskennen und diese auch entsprechend anwenden, hätte ich persönlich keine Bedenken. Aber zu den allgemeinen Sicherheitsaspekten gehört nicht nur ein sicheres W-Lan Netz, sondern auch noch viele andere Verhaltensweisen und Sicherheitsvorkehrungen. Allerdings setzte ich dieses Verhalten und die notwendigen Vorkehrungen bei jedem voraus der sich „mit Sicherheitsaspekten gut auskennt“ Daher würde ich sagen „Ja, solche Nutzer können das ruhig machen“.

Gruß
N.N

#3

Lieber N.N., aha auch ein Nachtarbeiter :smile:)) Ich danke dir vielmals für die ausführliche Beantwortung der Fragen und deine Mühe! Das war perfekt. Umfassend, verständlich und genau das, worüber ich nachgegrübelt habe. Das, was ich wissen wollte. WPA2 ist drin bei allen Geräten, darauf hab ich geachtet. Ich benutze KeePass als externen „Hort“ für Notfälle, das Programm bringt auch einen Paßwortgenerator mit, was bei der Erzeugung eines neuen Schlüssels hilfreich sein wird. Bei insgesamt nur 2-3 Geräten plus Fritz!Box sind die Änderungen ja nicht so aufwendig.

SIW: ich hatte das Progr. mit Admin-Rechten benutzt. Das laptop wird unter eingeschränkten Benutzerrechten aber auch von anderen Personen benutzt. Mein Mißtrauen, wer da evtl. reingelassen werden könnte, trotz ESET, kommt schlicht daher weil im Bekanntenkreis auch solche Leute, die nicht naiv sind und es eigentlich wissen müßten, auf pishingmails reinfallen.Ich werde es wohl demnächst auf ein Linux umstellen, da XP ohnehin ausläuft.

Nochmals vielen Dank, mit dem Wissen bin ich nun nicht mehr so unsicher, und gute Nacht, Moni

#4

Hallo Moni,
der vom Hersteller voreingestellte WLAN-Key sollte generell gegen einen individuellen Key geändert werden. Habe ich z.B. hier gefunden:
http://hilfe.telekom.de/hsp/cms/content/HSP/de/3378/…
besser noch hier:
http://www.kraus-computersysteme.de/kategorie1/siche…

Der individuelle Key gilt als sicher solange er nach den allgemein gültigen Empfehlungen erzeugt wurde:

  • mindestens xx Stellen lang
  • keine Wörter und Namen verwenden, die man im Duden oder Lexikon findet
  • Groß/Kleinschrift, Ziffern, Sonderzeichen verwenden

Der MAC-Filter ist eine gute zusätzliche Sicherheit. Er ist angeblich schon geknackt worden. Er stellt aber für Hacker eine zusätzliche Hürde dar. So easy ist das garnicht.

Alle PCs im WLAN-Netz müssen den selben Key benutzen (der im WLAN-Router hinterlegt ist)
Wachsamkeit ist sehr gut und leider auch notwendig. Aber lass Dich nicht kirre machen.
Übrigens ich mache Homebanking schon seit der ersten Stunde, damals noch mit Btx und 1200/75 bit/s; in den letzten Jahren auch über WLAN: ist noch nichts schädliches passiert :smile:
Gruß
Dieter

#5

Hallo,

Nur als Beispiel, könnte ein
guter Netzwerkschlüssel z.B. so zusammengesetzt sein:

G&amp:stuck_out_tongue_winking_eye:V0sFYyx7KnIuTWI=YD2zuqeEy9G1Hu.Gwz9e=jLvHC.r(QKvDYsHYMuFW

Den wird eine Fritzbox eventuell nicht akzeptieren. Ich habe schon erlebt, dass es Schwierigkeiten gibt, wenn etwas anderes als Buchstaben und Ziffern verwendet wird.

Cheers, Felix

#6

Hallo Felix,

Den wird eine Fritzbox eventuell nicht akzeptieren. Ich habe schon erlebt, dass es Schwierigkeiten gibt, wenn etwas anderes als Buchstaben und Ziffern verwendet wird

Dass die Fritzbox nicht jedes Sonderzeichen akzeptiert habe ich auch schon erlebt. Aber das bedeutet nicht, dass gar keine Sonderzeichen benutzt werden dürfen.

Ich habe das bei mir gelöst indem ich erst einen Schlüssel nur aus Zahlen und aus Buchstaben verwendet habe. Als das akzeptiert wurde, habe ich einzeln Schritt für Schritt immer ein zusätzliches Sonderzeichen eingefügt. Wurde das eingefügte Sonderzeichen nicht akzeptiert, habe ich es durch ein anderes Sonderzeichen ersetzt. Danach habe ich das gleiche mit einem weiteren Sonderzeichen gemacht.

Auf diese Art und Weise habe ich dann herausgefunden welche Sonderzeichen ich nicht verwenden kann, und welche Sonderzeichen akzeptiert werden. Ich hoffe du hast Verständnis dafür dass ich hier im Forum nicht öffentlich mache welche Sonderzeichen mein Netzwerkschlüssel enthält. Das kann ja jeder mit meiner beschriebenen Methode für sich selber herausfinden.

Gruß
N.N

1 Like
#7

#8

Hallo Moni,

Das laptop wird unter eingeschränkten Benutzerrechten aber auch von anderen Personen benutzt

Dadurch kann (muss aber nicht) es sein dass (trotz eingeschränkten Benutzerrechten) viele deiner Sicherheitsmaßnahmen ausgehebelt werden können. Sobald jemand direkten Zugriff auf deinen Rechner hat, ist es wesentlich leichter die Sicherheit zu umgehen, als wenn man das über Internet oder über W-Lan machen möchte. Wie hoch die Gefahr ist wenn jemand deinen Laptop in die Hände bekommt, hängt dann von vielen Faktoren ab.

Wie Vertrauensvoll ist diese Person
Wie gut kennt sich diese Person mit dem Computer aus
Wie viel Zeit hat diese Person um sich mit deinem Computer zu beschäftigen
Ist die Person dabei unter Beobachtung

All das sind keine Fragen die du jetzt beantworten sollst, sondern nur einige Faktoren die beeinflussen können welche Gefahr besteht wenn du nicht der einzige Benutzer deines Computers bist. Ich möchte jetzt nicht soweit gehen zu sagen dass es gar keine Rolle spielt ob dein Benutzerkonto mit einem Passwort geschützt ist, aber dieser Schutz ist nur für „Otto Normalverbraucher“ ein Hindernis. Wer sich gut genug mit dem Computer auskennt und genügend Zeit hat um sich unbeobachtet damit zu beschäftigen, für den ist ein Passwortgeschütztes Benutzerkonto kein wirkliches Hindernis. Und das betrifft dann nicht nur den Netzwerkschlüssel für den W-Lan Zugang, sondern die gesamte Sicherheit deines Computers und deiner Daten.

Ich werde es wohl demnächst auf ein Linux umstellen, da XP ohnehin ausläuft.

Ich möchte dir jetzt keine Angst machen, aber dich zumindest darauf hinweisen dass auch dabei die größte Gefahr besteht wenn jemand anderes als nur du den Computer benutzt. Dabei muss man immer abwägen wie groß ist das Vertrauen dass ich dem anderen Benutzer entgegen bringe.

Gruß
N.N

1 Like
#9

Hallo,

Der MAC-Filter ist eine gute zusätzliche Sicherheit.

Nein.

Er ist
angeblich schon geknackt worden. Er stellt aber für Hacker
eine zusätzliche Hürde dar. So easy ist das garnicht.

root@sonnenblume:/home/niehaus# ifconfig wlan0 down
root@sonnenblume:/home/niehaus# ifconfig wlan0 hw ether de:ad:be:ef:23:42
root@sonnenblume:/home/niehaus# ifconfig wlan0 up

So schnell ist die MAC im laufenden Betrieb geändert. Unter Windows ist es auch nicht viel schwieriger.

Sebastian

#10

Hallo,

Und: auch wenn ich selber im WLan
kein online-banking mache, würden diejenigen, die mit
Sicherheitsaspekten gut Bescheid wissen, das tun?

Ja. Und ich würde es auch über ein offenes WLAN tun.

Bei wichtigen Dingen setze ich auf Verschlüsselung der Verbindung von Server zu Client (AKA „Browser“) und die ist beim Onlinebanking Standard. (Stichwort: SSL/TLS). Da ist mir dann die Sicherheit des dazwischenliegenden Netzes reichlich egal.

Voraussetzungen: Ich nutze Programme, die mir Zertifikat-Fehler anzeigen und klicke entsprechende Meldungen nicht achtlos weg bzw. werfe beim Browser ein Blick in die Adresszeile.

Viel wichtiger als das verwendete Netz beim Online-Banking ist die dazu verwendete Hardware: Da würde ich nur einen Rechner nutzen, von dem ich weiß, was dort läuft (also nicht die Kiste vom Kind in der Nachbarschaft oder im Internetcafe nebenan - egal ob die WLAN oder LAN nutzen).

Übrigens: Android-Geräte können ihre Konfigurationdaten mit dem Online-Konto speichern im Sinne eines Backups. Da bekommt Google (und wer sonst noch so) gleich die WLAN-Schlüssel mitgeliefert.

Sebastian

#11

Hallo Sebestian,

zu:

„Ja. Und ich würde es auch über ein offenes WLAN tun.“

Öffnet aber auch Tür und Tor für einen Man in the Middle-Angriff, oder?

Grüße

fribbe

#12

Hallo,

„Ja. Und ich würde es auch über ein offenes WLAN tun.“

Öffnet aber auch Tür und Tor für einen Man in the
Middle-Angriff, oder?

Mit SSL/TLS und funktionierenden Zertifikaten[tm][1] sehe ich da überhaupt keine Gefahr. Oder wo siehst Du das Problem?

Gruß,

Sebastian