Wenn du mich schon zitierst, dann auch bitte richtig.
Druckbare Version
Darum hab ich Dich explizit nochmals gefragt (glaub auf Seite 3) was Du unter "einem angemeldeten Gerät" verstehst in Bezug auf WLAN - vor oder nach der 802.11 AA? Das hast Du nicht beantwortet, aus welchen Gründen auch immer.
Danach ohne Frage, weil dann stehst Du ja eh im Netz bzw. kannst die Pakete adäquat manipulieren - davor aber nicht - wäre ja unheimlich schön, wenn man einfach seine IP/MAC ändert und dann in einem WLAN stehen würde ohne jemals den Schlüssel gekannt/eruiert zu haben bzw. in der Lage zu sein, da dann ARP Cache zu beeinflussen.
Das ist so nicht ganz richtig. Ja doch, Du hast teils recht. Also der Handshake (nur WPA2-Personal gesehen) kommt erst Zustande, wenn das interne Netz schon steht. Erst zuletzt werden die einzelnen Clients durch DNSmasq mit IPs versorgt.
Inzwischen ist die ARP-Table statisch. Heißt, nur wer auf dieser Liste steht bekommt zwar immer noch eine IP, aber der Zugang zum Netz ist gesperrt.. Eine MAC mir irgendeiner IP, ist jetzt nicht mehr möglich, auch wenn es eine interne IP ist.
Gestern hatte ich geschrieben, dass ich es auf PEAP umstelle bzw. umgestellt habe. Vorher war also nur das normale WPA2-PSK. Inzwischen sind alle Geräte (außer der Drucker) auf Enterprise umgestellt. Teils EAP-TLS und teils EAP-PEAP.Zitat:
Dann verstehe ich Dich erst recht nicht, warum Du überhaupt auf die Idee kamst, dass Deine Nachbarn in Deinem Netzwerk rumfuhrwerken - oder meinst Du mit jetzt seit diesem Vorfall?
:lach: Ich glaub dir schon, Du hast schließlich das Wissen um es auszuführen. Ich habe zwar hin und wieder mit Ettercap gespielt, mich aber nie wirklich damit beschäftigt.Zitat:
Das war klar und ich verstehe das auch - behaupten kann ja jeder.
So war es auch gemeint. Auch mit WPA2-Personal geht es. Es liegt ja nicht an WPA2-PSK selbst, sondern wie die Routerhersteller hostapd implementieren. Wenn man es wollte, hätte man es so einrichten können, dass jedes Gerät ein eigenes Passwort bekommt.Zitat:
Natürlich auch unter WPA nicht, wenn man Radius und so weiter verwendet. Die Aussage war auf Personal ausgerichtet, wo Du einen Key hast für alle ohne weitere Mechnismen.
Ich empfange hier 45 AP, 2 davon sind sogar stärker als meiner. Die sitzen wohl oben und unter mir. Wenn dann noch ein, zwei Angreifer mit Spezialwerkzeug kommen, wird es wohl 1-2 Router mehr sein.Zitat:
Und bezüglich NULL - das wäre ich verneinen. Denn ein Fehler von denjenigem der das konfiguriert hat und schon ist es dahin. Und sonst wäre da noch die Sache mit den Rogue AP's. Aber da bewegen wir uns schon in einem Umfeld wo ich dann fragen müsste, kennst Du Deine Nachbarn und was sind die von Beruf. Solche Angriffe kommen dann sicherlich nicht von Leuten, die ein bisschen IT Verständnis haben sondern da reden wir von (absoluten) Cracks.
Konfigurationsfehler beim erstellen der Schlüssel ist nicht möglich, die werden mit openSSL erstellt, signiert und beglaubigt. Die Gefahr das ein Client kompromittiert wird ist selbstverständlich vorhanden. Aber, nur die beiden Zertifikate reicht nicht aus. Dazu kommt noch die Passphrase und eine geheime ID. Sollte der Angreifer wirklich alles in die Hand bekommen, ist nur der Client nicht der Server betroffen. Vorsichthalber kann man bei der Zertifikaterstellung ein Ablaufdatum mitgeben so wie mit GPG-Keys auch.
ps .. das mit ca. 40-45 AP kommt daher, dass 2 Hochhäuser in der Nähe stehen.
Das kaue ich jetzt nicht nochmals durch, denn meine Antworten wären prinzpiell auch nicht anders, als das, was du mit Mandarine in der Zwischenzeit bereits besprochen hast. Und ich will das nicht wieder von vorn aufrollen. Aus dem Grunde habe ich nicht weiter geantwortet. Und dabei belasse es bitte auch.
..................und kann ich nun endlich Fernsehgucken? :basta:
Ok - ja dann hab ich das da falsch gedeutet. Darf ich fragen, wie lang war denn Dein Passwort im WPA2-PSK? Und hattest Du die Client Isolation davor auch schon aktiv für Deine Geräte?
Schon gut - wie gesagt, ich kann das verstehen - im Internet kann jeder von sich behaupten was er will.
Ja, tut mir leid, natürlich - dachte jetzt mehr so an "Land und Wiesen" PSK Implementationen - dort ist es meist ein Schlüssel für alle - hab zwar schon 3P APs gesehen, wo man mehrere Schlüssel konfigurieren konnte, aber auf Geräteebene eigentlich noch nie.
Das dachte ich mir - 45 APs ist ja der Hammer - da wäre es ja mal interessant ..... :D
Ja ich hab ja nicht gesagt, es sei einfach - aber NULL eben auch nicht, aber stimme zu bei gegen NULL :D
Das mit der Konfiguration war eher clientseitig gemeint, weil es auch eine Rolle spielt, wie Dein Client mit Zertifikaten bzw. der Zertifizierungskette umgeht. Gibt da Schwachstellen in Bezug auf die Zertifikatekette.
Nein, ich hatte die Benutzer Isolation vorher nicht aktiviert. Das Authentifizierungsverfahren war auch noch WPA2-PSK was eigentlich immer noch sehr sehr sicher ist. Und die Passwörter waren zwischen 10-32 Zeichen lang, also nichts paranoisches. Und die ARP-Tabelle war dynamisch. Also seit Gestern Morgen hat sich so einiges geändert. 2 Tage hat mir das Ganze gekostet. Gut, manchmal sind solche Ereignisse gar nicht Mal so schlecht. Man stellt sein System endlich Mal wieder auf den Kopf und prüft wirklich alles durch. Mechanismen, Sicherheitseinstellungen, Logs, liest über Schwachstellen und schaut ob die installierte Version eventuell betroffen ist.
Das war ein Scherz, wollte nur schauen was ihr so dazu sagt :lach:Zitat:
Das dachte ich mir - 45 APs ist ja der Hammer - da wäre es ja al interessant ..... :D
Es sind jetzt laut Wifi-Radar genau 21 AP zu sehen.
War das eine Frage ?Zitat:
Ja ich hab ja nicht gesagt, es sei einfach - aber NULL eben auch nicht, aber stimme zu bei gegen NULL :D
Das mit der Konfiguration war eher clientseitig gemeint, weil es auch eine Rolle spielt, wie Dein Client mit Zertifikaten bzw. der Zertifizierungskette umgeht. Gibt da Schwachstellen in Bezug auf die Zertifikatekette.
Also, eigentlich ist es nur ein CA-Zertifikat das signiert, validiert und in das System integriert wird. Damit werden nun für Server und Benutzer jeweils öffentliche und private Zertifikate erstellt (nach RFC1421-1424) und die Schlüssel. Den Schlüssel wenn man nicht gerade auf die Idee kommt es per Email zu versenden (davon kenne ich einen) :D sind sehr sicher, nicht zu brechen. Ich erstelle die Schlüssel mit AES und sind 256-Bit stark. Das reicht für GNU/Linux völlig aus. Smartphones z.B. möchten noch zusätzlich das ROOT-Zertifikat bzw. Stammzertifikat haben damit EAP-TLS als Authentifizierungverfahren akzeptiert wird.