Hallo Holger, habe ich es demnach richtig verstanden, dass das Serverzertifikat in dem von mir benutzten Szenario http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau nicht Verschlüsseln der Anmeldedaten sondern zum Authentifizieren des AccessPoint dient?
Gruß Jürgen P.S.: Ein beglaubigtes Serverzertifikat für linuxmuster wäre ein Fortschritt - auch für horde3, die Schulkonsole ... Nur hat mir ein Schüler in einer Präsentation gezeigt, dass es auch nicht unendlich schwierig für einen Angreifer ist, ein signiertes Zertifikat zu bekommen ... wer prüft die Signatur schon so gewissenhaft. Am 30.06.2016 um 14:57 schrieb Holger Baumhof: > Hallo Stefan, > >> neben allen anderen Aspekten, die hier schon angesprochen wurden, fällt >> mir noch ein möglicher "Angriff" ein. Das habe ich vor ein paar Jahren >> mal mit meiner PC-AG umgesetzt: >> Ein Nutzer kann sich mit seinem Laptop recht einfach selbst als AP >> ausgeben. (AP Spoofing) Wenn er z.B. mittels 'iwconfig wlan0 txpower 27' >> die Sendeleistung seines WLAN - Adapters auf Maximum setzt, ist die >> Chance recht hoch, dass er von den Clients als AP ausgewählt wird. >> >> Wenn er gleichzeitig eine eigene Verbindung zum echten AP offen hält, >> ist das eine für den Nutzer kaum zu bemerkende mitm . Attacke. >> Werden jetzt Eingaben im Klartext übertragen (Logininformationen zum >> Coova) bekommt man die auf dem "fake AP" frei Haus. >> >> Alle höheren Sicherheitsvorkehrungen wie z.B. WPA2 uns Session-Keys sind >> in diesem Szenario hinfällig - die schützen quasi den Verkehr zwischen >> User und "fake AP". 8Und dann wieder vom fake AP zum echten AP. >> >> SSL bringt hier erfahrungsgemäß aber nur wenig mehr Sicherheit: >> Damit der fake AP die SSL - gesicherten Datenpakete zwischen User und >> Coova "auspacken" kann, stellt er sich selbst ein Zertifikat aus. damit >> verschlüsselt er den Verkehr zwischen sich und dem User. Der User erhält >> hier zwar die bekannte Meldung des Browsers, dass dem Zertifikat nicht >> vertraut werden kann - die meisten User klicken hier aber einfach auf >> "trotzdem verbinden" (oder dem jeweiligen Äquivalent des genutzen Browser). >> Ähnliches gilt beim ARP Spoofing. > das ist alles korrekt und zeigt wie wichtig es ist, dass wir > selbstsignierte Zertifikate durch "richtige" ersetzen: dann haben die > Schüler es wenigstens nicht von uns gelernt, die Meldung leicht zu nehmen.. > Eigentlich könnte es ihnen an der Stelle schon auffallen: da die Meldung > bei ihnen ja nicht mehr kam, nachdem sie sie einmal akzeptiert hatten: > und jetzt ist sie wieder da.. > > VIele Grüße > > Holger > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
