Thema: Mini-HowTo WPA unter SuSE

Hi zusammen.

Damit ich mir nicht bei jedem Thread,wo es um das Problem

"WLAN und mögliche Verschlüsselung und wie einrichten und überhaupt und sowieso"

geht die Pfoten wundtippen muss, hier ein HowTo für das Einrichten der WPA-Unterstützung für SuSE 10. (SuSE 9.3 sollte analog gehen)

1. Kann meine Karte überhaupt WPA?

--> Das müsst ihr schon selbst wissen. Wenn die Antwort JA lautet, dann:

2. Paket wpa_supplicant installieren. Entweder von CD/DVD oder aber wer APT hat, kann eine etwas neuere Version installieren, Ich kann aus eigener Erfahrung sagen, dass beide Versionen funktionieren.

3. Geeigneten Schlüssel wählen.

Hier sind 2 Dinge zu beachten:

a) Je länger der Schlüssel, desto besser. Ein Schlüssel von maximaler Länge (64 Zeichen) kann mit den heutigen technischen Möglichkeiten als praktisch UNKNACKBAR angesehen werden. Deshalb gilt: Sich EINMAL etwas Zeit nehmen und dann nie wieder Sorgen haben.

Hier kann man sich sichere (und LANGE) Schlüssel generieren lassen:

https://www.grc.com/passwords.html

b) WICHTIG

Der wpa_supplicant unterstützt (noch) keine Sonderzeichen wie *#ß, Leerzeichen usw. Deshalb sollte die oberste oder unterste Kategorie gewählt werden.

Also: 64 random hexadecimal characters (0-9 and A-F): oder 63 random alpha-numeric characters (a-z, A-Z, 0-9).

Den Schlüssel herauskopieren; wenn man der Seite nicht vertrauen mag, dann kann man ihn ja etwas abändern (Zeichen vertauschen usw., aber wie oben gesagt KEINE Sonderzeichen einfügen!) und ihn (TEMPORÄR !!! )in eine Textdatei speichern (Oder wollt ihr den von Hand eingeben?).

4.Karte und Router konfigurieren.

Zusätzlich zur "normalen" Konfiguration der Karte, bei den Optionen zur Verschlüsselung "WPA-PSK" auswählen und dort den Schlüssel hineinkopieren. Das wars schon.


OK, das wars noch nicht ganz: Beim Router muss der Schlüssel natürlich auch an die richtige Stelle. Wo das ist, müsst ihr selbst wissen, das hat nix mit SuSE oder Linux oder dem Wochentag, der Mondphase oder sonst was, sondern nur mit eurem Router zu tun.
(Oder in anderen Worten, fragt da jemand anderen und NICHT UNS HIER).

5. EXTREM WICHTIG
Schlüssel an einem sicheren Ort aufbewahren. Mein Tipp: Textdatei ausdrucken und Textdatei anschließend löschen, oder wenn man nicht alles eintippen will, Textdatei auf einer guten alten Diskette speichern und auf dem Rechner löschen. Wenn alles richtig eingestellt ist, dann müsst ihr den Schlüssel eh nie mehr wieder eingeben, es sei denn, ihr schließt ein anderes Gerät mit WLAN an, aber das DÜMMSTE wäre es, die Datei - am besten noch mit einem aussagekräftigen Namen wie "meinWPAschlüsssel.txt" - auf der Kiste zu lassen. Was nützt mir die sicherste Tür, wenn ich sie offen stehen lasse oder gar den Schlüssel unter die Fußmatte lege und ein Schild hinstelle "Schlüssel liegt unter der Fußmatte"?

Wer ein Verschlüsselungsprogramm wie GPG oder OpenPGP nutzt, kann natürlich auch die Textdatei verschlüsselt auf seiner Festplatte ablegen, aber ich empfehle trotzdem mehr als eine Kopie des Schlüssels.

Greetz

RM

Hallo,

Das ist keine Empfehlung, sondern eher eine Anregung mit der Bitte, es einmal auszuprobieren:

http://www.kde-apps.org/content/show.php?content=37041

Description:
KDE frontend for WPA Supplicant.
Allows you to configure different network profiles using all encryptions wpa_supplicant provides (wep, wpa, wpa2 etc). Systray icon shows connection status. Based on wpa_gui by Jouni Malinen.
Requires wpa_supplicant.
This is a beta version.

Auf der KDE-Page liegen Links zu Ubuntu-binaries (Breezy&Dapper), SuSE-Benutzer können sich bei suser-Guru passende Binary-RPMs herunterladen.

http://linux01.gwdg.de/~pbleser/rpm-...Network/kwlan/

Apt Nutzer unter SuSE mit aktiviertem Guru-Repository genügt ein apt-get install kwlan (oder ein smart install kwlan für 10.1-User).
User, die das Yast-Repository von Guru in ihren Quellen haben, können über Yast an das gewünschte Binary kommen.

Give it a try.....

Greetz,

RM

Nachtrag: Erfahrungen bitte in einem Thread im neuen Beta-Forum posten, wer dort zuerst kommt, darf ihn auch eröffnen .

http://www.pc-forum24.de/forumdisplay.php?f=112

Ich bin mir zwar nicht sicher, ob diese Aussage in Beitrag 1:

b) WICHTIG

Der wpa_supplicant unterstützt (noch) keine Sonderzeichen wie *#ß, Leerzeichen usw.

schon damals obsolet war, aber zumindest die neueren Versionen von wpa_supplicant und auch die dazu gehörigen Systemwerkzeuge unter openSUSE besitzen diese Limitierung nicht mehr.

Trotzdem kann ich alle User beruhigen, die einen langen und zufälligen Key ohne Sonderzeichen (wie in Beitrag 1 vorgestellt) gewählt haben, damit wird die Sicherheit nicht gefährdet, denn auch mit "nur" 62 unterschiedlichen Zeichen und 63 Stellen ist der Key praktisch unknackbar.

Rechenbeispiel:

a) wie viele Möglichkeiten gibt es?

- 63 Stellen, für jede gibt es 62 unabhängige Möglichkeiten, das ist einfach, also:

62^63 = 8,33 x 10^112 Möglichkeiten

Für Spaß, hier die Zahl mal ausgeschrieben:

Code:

83306029999439502888147660318024101128188039133331515498036203165620671207144956939734897706481569590382876950528

b) Wie lange bräuchte man um alle auszuprobieren?

- Das hängt natürlich davon ab, wie viele Keys pro Sekunde per Brute-Force getestet werden können. Gehen wir von einer vollkommen (zur Zeit) unrealistisch hohen Zahl aus, sagen wir Eine Billion (10^12 = 1 000 000 000 000) pro Sekunde.

8,33 x 10^112 : 10^12 : 60 (Sekunden pro Minute) : 60 (Minuten pro Stunde) : 24 (Stunden pro Tag) : 365.25 (Tage pro Jahr, Schaltjahre rechen wir mal spasseshalber mit ein)

= 2.64 x 10^93 Jahre

Wenn man bedenkt, daß das Universum "nur" etwa 13,7 Milliarden (10^9) Jahre alt ist, eine "ziemlich" lange Zeit und selbst wenn es in naher (oder ferner) Zukunft mal Rechner geben würde, die pro Sekunde 10^30 Keys (unvorstellbar hohe Zahl) errechnen könnten (wie das gehen soll, fragen sie ihren netten Quantenmechaniker von nebenan), würde es immer noch 2.64 x 10^75 Jahre dauern.


Eine Anmerkung noch für User, die ihre eigene Konfigurationsdatei für wpa_supplicant unter Verwendung des Tools wpa_passphrase anlegen wollen (dies betrifft wahrscheinlich die wenigsten User, deshalb nur am Rande).

Wer seine "Sonderzeichen"-Passphrase so eingeben möchte

Code:

wpa_passphrase <ESSID> <Sonderzeichen-Passphrase>

wird in das Problem der automatischen Variablensubsitution der *NIX-Shell hineinlaufen, sofern entsprechende Zeichensequenzen auftauchen.

Beispiel:

Code:

wpa_passphrase test W/`t6,&r#b-^LS|D(3'jfLrzLQTV]i#F3iTC_JLZWu`:t(LX?2}!m71fA*EJVg3
bash: syntax error near unexpected token `('

Abhilfe ist ganz einfach, siehe "man wpa_passphrase"

OPTIONS
ssid The SSID whose passphrase should be derived.

passphrase
The passphrase to use. If not included on the command line, passphrase will be read from standard input.

Also einfach so:

Code:

wpa_passphrase test
# reading passphrase from stdin

nun die Passphrase einfügen:

Code:

wpa_passphrase test
# reading passphrase from stdin
W/`t6,&r#b-^LS|D(3'jfLrzLQTV]i#F3iTC_JLZWu`:t(LX?2}!m71fA*EJVg3

<ENTER>

Code:

network={
        ssid="test"
        #psk="W/`t6,&r#b-^LS|D(3'jfLrzLQTV]i#F3iTC_JLZWu`:t(LX?2}!m71fA*EJVg3"
        psk=a857b2e098c3cae0051d88219599a44608dae133638730ecfe9203a1207d7a3b
}

Voilà.

Wie gesagt, das wird die wenigsten User betreffen, deshalb nur der Vollständigkeit halber.

Greetz,

RM

Seit kurzem existiert wohl eine -wenn auch noch recht theoretische- Attacke auf WPA1 mit TKIP, die nicht auf Brute-Force (also "erraten") beruht.

heise online - 06.11.08 - WPA angeblich in weniger als 15 Minuten knackbar

Crypto-Forscher lauschen an WPA-WLANs - Golem.de

WPA angeblich in weniger als 15 Minuten knackbar (Meldung heise) - Tews, W-Lan, Router, TKIP, Mengen, Dazu, Pairwise, Schlüssel - ITler.NET - Der Blog für ITler und Sysadmins

WPA2 mit AES ist davon _nicht_ betroffen, wer also die Möglichkeit hat auf WPA2 umzusteigen, der sollte dies auch tun.

Noch ist sehr wenig zu dieser Attacke bekannt und dieser Beitrag soll keine Panikmache sein, wer aber die Möglichkeit hat von WPA1 auf WPA2 umzusteigen, dem sei dies erneut ausdrücklich empfohlen.

Greetz,

RM

Mittlerweile ist ein entsprechendes Paper veröffentlicht worden.

http://dl.aircrack-ng.org/breakingwepandwpa.pdf

Obwohl (oder auch gerade weil) keine all zu komplizierten Details drin stehen, ist es auch für interessierte Laien (wie z.B. mich) lesenswert.

Besonders der Abschnitt "Countermeasures" zeigt auf, wie diese Attacke mit relativ einfachen Mitteln neutralisiert werden kann (auch ohne zwingend auf WPA2 umstellen zu müssen, obwohl dies natürlich die beste Methode wäre).

Da allerdings nicht alle (oder wahrscheinlich die wenigsten) Router entsprechende Einstellungsmöglichkeiten zur "Rekeying-Time" bieten, sind nun die hauptsächlich die Hersteller am Zuge, dies über ein entsprechendes Firmwareupdate zu implementieren.

Greetz,

RM