Hallo T. Küchel, danke für die Nachricht vom 29.06.2016, 15:08:
>> Am 29.06.2016 um 11:06 schrieb Tobias Kuechel:
>>>ein Datenschutzbeauftragter war gewieft:
>>> wenn man sich per unverschlüsseltem Wifi beim Coova-Chilli anmeldet,
>>> dann braucht ein Angreifer nur den Aether mitschneiden und kann
>>> Benutzername und PAsswort auslesen, denn die Coova-Seite ist eine
>>> nicht-SSL Seite.
>>> Richtig?
>>> Wenn ich WPA im WLAN einschalte und das Passwort allen zugänglich mache,
>>> ist dann eine Entschlüsselung des mitgeschnittenen Wifi-Verkehrs
>>> möglich, oder geht das nicht (z.B. wg. Session-keys, etc)?
>> Bei WPA2 wird in der Tat von jedem Client ein individueller Session-Key
>> ausgehandelt ("four-way handshake"). Wer den eines anderen Clients nicht
>> kennt, kann den Verkehr mit diesem Client nicht abhören.
>> Aber: Wer den PSK kennt und das Handshake belauscht, der kann auch den
>> Session-Key ableiten. Selbst wenn man zu spät kommt, kann man den
>> anderen Client dazu bringen, einen neuen Session-Key auszuhandeln und
>> dabei das Handshake mitschneiden.
>> Wie relevant das fürs Schulnetz ist, darüber kann man nun streiten.
>> Besser wäre es in jedem Fall, die Coova-Seite per https zu verschlüsseln.>
> Also, ich finde das Szenario schon relevant:
> Wenn in einer Stunde der Lehrer sich als erstes anmeldet, vielleicht
> sogar schon mit übermitteltem Bild an dem Beamer, können die 30 SuS das
> Timing gut hinkriegen, zudem wenn sie sowieso sich auch anmelden
> sollen/können, weil man online arbeiten will.
> ob das erzwingen des neuaushandelns wg. AP-isolation (IP-Ebene) nicht
> funkioniert oder doch (wifi-ebene), wäre noch interessant.
> das wäre dann somit mein Ziel.Damit können die Angreifer/innen nur den WLAN-Schlüssel finden und damit in das Netz kommen. Den haben die Nutzer der Schule aber schon, wenn sie per WLAN im Netz sind (Ich gebe den WPA2-Key per QR-Code bekannt). Selbst der Hack auf den WLAN-Schlüssel ist aber nicht trivial (http://www.elektronik-kompendium.de/sites/net/0907111.htm) Das eigentliche Hack-Problem für die Entschlüsselung des Datenverkehrs ist, den WLAN-Datenverkehr aufzuzeichnen und dazu den notwendigen Session-Key zu finden um diese Daten zu entschlüsseln. Damit kann ich dann die Verbindungsdaten zum Chilli im Klartext lesen. Dieser Hack kostet mehrere Stunden aufgezeichneter Datenverkehr. Dagegen hilft ein sich verändertet Session Key. In der Regel kann man bei guten Accesspoints ein Key Update Interval einstellen, nach dem der Session Key neu zu verhandeln ist. Ich habe bei mir dafür 3600 eingestellt. Nach einer Recherche im letzten Jahr war das 1/4 der Zeit die notwendig war für ein Hack des Session-Key, bei permanenter Datenübertragung. ABER, wichtig ist hier, den Aufwand an Zeit und Ressourcen im Verhältnis zum Nutzen und der Gefahr zu sehen. Ein sicheres System gibt es nicht, ich kann nur versuchen es abzusichern und keine Lücken zu hinterlassen. >>> Welche Lösung empfehlt ihr hier? WPA2 ist IMHO ausreichend. (Natürlich ist jeder Schutz zu knacken (mit genügend Aufwand und Zeit) Auch HTTPS hat Sicherheitslücken und ist kein vollständiger Schutz ). Info für Schülerinnen und Schüler: - Schülerinnen und Schüler sollten die Nutzerordnung unterschrieben haben und u.a. informiert sein, dass fremde WPA2-Schlüssel zu knacken und zu hacken illegal ist (StGB § 202c bis zu 2 Jahre). PS Wer von euch benutzt zu Hause das eigene WLAN zur Übermittlung von Nutzernahmen und Passwörtern? :-) -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .lehrerbüro. . mailto:[email protected] . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei.
signature.asc
Description: OpenPGP digital signature
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
