Hallo,
Am 29.06.2016 um 16:34 schrieb Platzer, Willi [Lehrer]:
> Hallo T. Küchel, danke für die Nachricht vom 29.06.2016, 15:08:
>>> Am 29.06.2016 um 11:06 schrieb Tobias Kuechel:
>>>> ein Datenschutzbeauftragter war gewieft: wenn man sich per
>>>> unverschlüsseltem Wifi beim Coova-Chilli anmeldet, dann braucht
>>>> ein Angreifer nur den Aether mitschneiden und kann Benutzername
>>>> und PAsswort auslesen, denn die Coova-Seite ist eine nicht-SSL
>>>> Seite. Richtig? Wenn ich WPA im WLAN einschalte und das
>>>> Passwort allen zugänglich mache, ist dann eine Entschlüsselung
>>>> des mitgeschnittenen Wifi-Verkehrs möglich, oder geht das nicht
>>>> (z.B. wg. Session-keys, etc)?
>>> Bei WPA2 wird in der Tat von jedem Client ein individueller
>>> Session-Key ausgehandelt ("four-way handshake"). Wer den eines
>>> anderen Clients nicht kennt, kann den Verkehr mit diesem Client
>>> nicht abhören. Aber: Wer den PSK kennt und das Handshake
>>> belauscht, der kann auch den Session-Key ableiten. Selbst wenn
>>> man zu spät kommt, kann man den anderen Client dazu bringen,
>>> einen neuen Session-Key auszuhandeln und dabei das Handshake
>>> mitschneiden. Wie relevant das fürs Schulnetz ist, darüber kann
>>> man nun streiten. Besser wäre es in jedem Fall, die Coova-Seite
>>> per https zu verschlüsseln.>
>> Also, ich finde das Szenario schon relevant: Wenn in einer Stunde
>> der Lehrer sich als erstes anmeldet, vielleicht sogar schon mit
>> übermitteltem Bild an dem Beamer, können die 30 SuS das Timing gut
>> hinkriegen, zudem wenn sie sowieso sich auch anmelden
>> sollen/können, weil man online arbeiten will. ob das erzwingen des
>> neuaushandelns wg. AP-isolation (IP-Ebene) nicht funkioniert oder
>> doch (wifi-ebene), wäre noch interessant. das wäre dann somit mein
>> Ziel.
>
>
> Damit können die Angreifer/innen nur den WLAN-Schlüssel finden und
> damit in das Netz kommen. Den haben die Nutzer der Schule aber schon,
> wenn sie per WLAN im Netz sind (Ich gebe den WPA2-Key per QR-Code
> bekannt). Selbst der Hack auf den WLAN-Schlüssel ist aber nicht
> trivial (http://www.elektronik-kompendium.de/sites/net/0907111.htm)
Ja, das wäre die Voraussetzung im Szenario:
WLAN-PSK ist bekannt.
>
> Das eigentliche Hack-Problem für die Entschlüsselung des
> Datenverkehrs ist, den WLAN-Datenverkehr aufzuzeichnen und dazu den
> notwendigen Session-Key zu finden um diese Daten zu entschlüsseln.
> Damit kann ich dann die Verbindungsdaten zum Chilli im Klartext
> lesen. Dieser Hack kostet mehrere Stunden aufgezeichneter
> Datenverkehr.
Ich kann das aus der verlinkten Seite nicht herauslesen, weil es dort
Primär um die Hackmöglichkeit des PSK geht.
Wenn also die _Hürde PSK wegfällt, ist informationslogisch (?) der
weitere Verkehr "wie Klartext". Das Aushandeln eines Session-keys aus
einem Mitschnitt herauszulesen muss eigentlich ein Kinderspiel sein -
und dementsprechend das Mitschneiden der username+passwort.
(und nur um dieses Szenario geht es mir: kann ein Schüler, der in
derselben WLAN-Zelle sitzt wie ich, mein Benutzer/Passwort kombi
mitlesen, wenn ich es an den coova-chilli schicke)
>
> Dagegen hilft ein sich verändertet Session Key. In der Regel kann man
> bei guten Accesspoints ein Key Update Interval einstellen, nach dem
> der Session Key neu zu verhandeln ist. Ich habe bei mir dafür 3600
> eingestellt. Nach einer Recherche im letzten Jahr war das 1/4 der
> Zeit die notwendig war für ein Hack des Session-Key, bei permanenter
> Datenübertragung.
ich denke, das bringt nicht mehr Sicherheit im oben geschilderten Szenario.
>
> ABER, wichtig ist hier, den Aufwand an Zeit und Ressourcen im
> Verhältnis zum Nutzen und der Gefahr zu sehen. Ein sicheres System
> gibt es nicht, ich kann nur versuchen es abzusichern und keine Lücken
> zu hinterlassen.
Ja richtig.
Ich glaube aber, dass es die "Mitschnüffel-App" schon längst gibt.
>
>>>> Welche Lösung empfehlt ihr hier?
>
> WPA2 ist IMHO ausreichend. (Natürlich ist jeder Schutz zu knacken
> (mit genügend Aufwand und Zeit) Auch HTTPS hat Sicherheitslücken und
> ist kein vollständiger Schutz ).
Mir ist bei (wie empfohlen konfiguriertem) HTTPS nur Man-in-the-middle
Attacken bekannt, und das muss man "live" erstmal schaffen, den AP
faken, als MitM auftreten und an den realen AP weiterleiten, nur um dann
beim https-handshake dabei zu sein.
Die App möcht ich sehen, die das schon bietet.
Ich tendiere nach der Diskussion dazu, dass WPA in falscher Sicherheit
wiegt (dennoch nötig ist, um schulfremde Attacken auf das Netz zu
minimieren).
> Info für Schülerinnen und Schüler: - Schülerinnen und Schüler sollten
> die Nutzerordnung unterschrieben haben und u.a. informiert sein, dass
> fremde WPA2-Schlüssel zu knacken und zu hacken illegal ist (StGB §
> 202c bis zu 2 Jahre).
>
>
> PS Wer von euch benutzt zu Hause das eigene WLAN zur Übermittlung von
> Nutzernahmen und Passwörtern? :-)
ständig (hinter WPA und https natürlich), alleine schon mehrfach beim
erstellen und versenden diese E-Mail.
VG, Tobias
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
