Hallo miteinander, meine Fragen bzw. mein Beitrag passt nicht ganz dazu, weil unser WLAN nicht durch Coovachilli abgesichert ist, aber vielleicht erhellen die Antworten mein Verständnis für sicheren Datenaustausch.
WLAN ist ein Shared Medium, d. h. wer drin ist, kann z. B. mit wireshark mitschneiden. Ergo es sollten niemals sensible Daten unverschlüsselt über das WLAN gehen. Das kann man mit https vermeiden. Wenn man sich also per https an Coovachilli anmeldet, kann einem keiner so leicht die Zugangsdaten klauen. Wenn man einen WPA2-PSK bei der Anmeldung "aus der Luft" aufschnappen könnte, wäre das Verfahren doch für die Katz? Bislang habe ich das WPA(2)-Verfahren so verstanden, dass damit asymmetrisch VERSCHLÜSSELT ein temporär gültiger symmetrischer Sessionkey (TKIP oder AES) ausgehandelt wird. Dabei ist ersetzt im einfachsten Fall der PreShared Key den Public Key des AccessPoint. Bei mir ist das WLAN mit WPA/WPA2-Enterprise abgesichert. Als Zugangsdaten werden Benutzer und Kennwort mit dem LDAP abgeglichen. Das geht mit oder ohne Serverzertifikat. Bislang dachte ich, das Serverzertifikat diene nur dazu, dass sichergestellt ist, dass der Benutzer seine Anmeldedaten dem richtigen Anmeldeserver präsentiert? Verschüsselt würden diese Daten allein schon durch das WPA-Verfahren selbst? Natürlich könnte man die Benutzer nur mit Zertifikat reinlassen. Allerdings sind nur die Systeme aus Cupertino schlau genug, das angebotene Zertifikat installieren zu wollen. In denen aus Redmond und in denen aus aller Welt muss man es von Hand installieren, bevor man es benutzen kann :-( Wer die Atombunker-Variante sucht, muss wohl mit einem OpenVPN-P2P-Tunnel für jeden Client arbeiten, wie es z. B. ipcop mit zerina macht. So hatte ich es eingerichtet, bevor mit linuxmuster WPA-Enterprise möglich wurde. Da musste ich jedoch für jede KollegIn ein Zertifikat erzeugen und 9 von 10 KollegInnen OpenVPN oder Tunnelblick einrichten ... Übrigens macht das ganze Sicherheitsgedöns seeehr viel Sinn, solange SchülerInnen und KollegInnen fröhlich ihre Kennwörter austauschen :-( Gruß Jürgen Am 29.06.2016 um 19:14 schrieb Alois Raunheimer: > Hallo Tobias, > > Wenn ich WPA im WLAN einschalte und das Passwort allen zugänglich > mache, > ist dann eine Entschlüsselung des mitgeschnittenen Wifi-Verkehrs > möglich, oder geht das nicht (z.B. wg. Session-keys, etc)? > > > so haben wir es gemacht. > > Gruß > > Alois > > Am 29. Juni 2016 um 11:06 schrieb Tobias Kuechel > <[email protected] <mailto:[email protected]>>: > > Hallo Liste, > > mein Datenschutzbeauftragter war gewieft: > > wenn man sich per unverschlüsseltem Wifi beim Coova-Chilli anmeldet, > dann braucht ein Angreifer nur den Aether mitschneiden und kann > Benutzername und PAsswort auslesen, denn die Coova-Seite ist eine > nicht-SSL Seite. > Richtig? > > Wenn ich WPA im WLAN einschalte und das Passwort allen zugänglich > mache, > ist dann eine Entschlüsselung des mitgeschnittenen Wifi-Verkehrs > möglich, oder geht das nicht (z.B. wg. Session-keys, etc)? > > Welche Lösung empfehlt ihr hier? > > Danke fürs Mitdenken und viele Grüße, > > Tobias > > > _______________________________________________ > linuxmuster-user mailing list > [email protected] > <mailto:[email protected]> > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > > > > > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
