Hallo Tobias,
danke für die Nachricht vom 30.06.2016, 02:29:
Ich schneide mal etwas von der Diskussion weg.
>>>>> .... denn die Coova-Seite ist eine nicht-SSL
>>>>> Seite. Richtig? Wenn ich WPA im WLAN einschalte und das
>>>>> Passwort allen zugänglich mache, ist dann eine Entschlüsselung
>>>>> des mitgeschnittenen Wifi-Verkehrs möglich, oder geht das nicht
>>>>> (z.B. wg. Session-keys, etc)?
>>>> Bei WPA2 wird in der Tat von jedem Client ein individueller
>>>> Session-Key ausgehandelt ("four-way handshake"). Wer den eines
>>>> anderen Clients nicht kennt, kann den Verkehr mit diesem Client
>>>> nicht abhören. Aber: Wer den PSK kennt und das Handshake
>>>> belauscht, der kann auch den Session-Key ableiten. Selbst wenn
>>>> man zu spät kommt, kann man den anderen Client dazu bringen,
>>>> einen neuen Session-Key auszuhandeln und dabei das Handshake
>>>> mitschneiden. >> Das eigentliche Hack-Problem für die Entschlüsselung des >> Datenverkehrs ist, den WLAN-Datenverkehr aufzuzeichnen und dazu den >> notwendigen Session-Key zu finden um diese Daten zu entschlüsseln. >> Damit kann ich dann die Verbindungsdaten zum Chilli im Klartext >> lesen. Dieser Hack kostet mehrere Stunden aufgezeichneter >> Datenverkehr. > Wenn also die _Hürde PSK wegfällt, ist informationslogisch (?) der > weitere Verkehr "wie Klartext". Das Aushandeln eines Session-keys aus > einem Mitschnitt herauszulesen muss eigentlich ein Kinderspiel sein - Das ist es nicht. Die Erstellung des Session-Key ist nicht so einfach, da dies nicht im Klartext passiert. Die Protokollentwickler haben das schon komplexer gesehen. Es steckt Algorithmus dahinter, der eine Kenntnisnahme Dritter verhindern soll. z.B. http://www.heise.de/netze/artikel/TKIP-und-WPA-224028.html Aber natürlich ist es mit genügend Rechenleistung, Zeit, Know-how und Unschärfen in Konfiguration und System möglich. >> >> Dagegen hilft ein sich verändertet Session Key. In der Regel kann man >> bei guten Accesspoints ein Key Update Interval einstellen, nach dem >> der Session Key neu zu verhandeln ist. Ich habe bei mir dafür 3600 >> eingestellt. Nach einer Recherche im letzten Jahr war das 1/4 der >> Zeit die notwendig war für ein Hack des Session-Key, bei permanenter >> Datenübertragung. > ich denke, das bringt nicht mehr Sicherheit im oben geschilderten Szenario. Doch je länger der Session-key gleich bleibt um so wahrscheinlicher ist die rückwirkende Entschlüsselung. Viele Daten mit dem selben Key vereinfachen die Arbeit. Wie immer ist es ein Abwägen zwischen Sicherheit und Komfort. Das Neu-Aushandeln des Key kostet Zeit und Rechenleistung, es kann auch bei schlechten Verbindungen zu Abbrüchen führen. Darum sollte es nicht so oft passieren. ... >> ABER, wichtig ist hier, den Aufwand an Zeit und Ressourcen im >> Verhältnis zum Nutzen und der Gefahr zu sehen. Ein sicheres System >> gibt es nicht, ich kann nur versuchen es abzusichern und keine Lücken >> zu hinterlassen. > > Ja richtig. > Ich glaube aber, dass es die "Mitschnüffel-App" schon längst gibt. > >> >>>>> Welche Lösung empfehlt ihr hier? >> >> WPA2 ist IMHO ausreichend. (Natürlich ist jeder Schutz zu knacken >> (mit genügend Aufwand und Zeit) Auch HTTPS hat Sicherheitslücken und >> ist kein vollständiger Schutz ). > > Mir ist bei (wie empfohlen konfiguriertem) HTTPS nur Man-in-the-middle > Attacken bekannt, und das muss man "live" erstmal schaffen, den AP > faken, als MitM auftreten und an den realen AP weiterleiten, nur um dann > beim https-handshake dabei zu sein. > Die App möcht ich sehen, die das schon bietet. > > Ich tendiere nach der Diskussion dazu, dass WPA in falscher Sicherheit > wiegt (dennoch nötig ist, um schulfremde Attacken auf das Netz zu > minimieren). > > >> Info für Schülerinnen und Schüler: - Schülerinnen und Schüler sollten >> die Nutzerordnung unterschrieben haben und u.a. informiert sein, dass >> fremde WPA2-Schlüssel zu knacken und zu hacken illegal ist (StGB § >> 202c bis zu 2 Jahre). >> >> >> PS Wer von euch benutzt zu Hause das eigene WLAN zur Übermittlung von >> Nutzernahmen und Passwörtern? :-) > > ständig (hinter WPA und https natürlich), alleine schon mehrfach beim > erstellen und versenden diese E-Mail. > > VG, Tobias > > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .lehrerbüro. . mailto:[email protected] . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei.
signature.asc
Description: OpenPGP digital signature
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
