Moin,
ich hab das Problem das bei Muddis Laptop keine Verbindung zustande kommt wenn WPA2 verwendet wird (bekanntes Problem mit dem Speedport W723V das die Telekom an der Hotline beständig abstreitet), daher muss ich den Lappi vorerst offen oder mit WEB "verschlüsselt" betreiben. Im Router werden nur bekannte Geräte eingestellt und ansonsten alle anderen geblockt. Das sollte ja reichen das niemand über den AP surfen kann. Aber mitschnüffeln geht ja trozdem, daher die Frage: Wird beim Aufau einer https Verbindung der Schlüssel unverschlüsselt mit gesendet, bzw ist es in meinem setup möglich auch verschlüsselte Verbindungen aufzubrechen?
Danke und beste Grüße Robert
Robert punk@streber24.de wrote:
Aber mitschnüffeln geht ja trozdem, daher die Frage: Wird beim Aufau einer https Verbindung der Schlüssel unverschlüsselt mit gesendet, bzw ist es in meinem setup möglich auch verschlüsselte Verbindungen aufzubrechen?
HTTPS ist gerade dazu da, das zu verhindern. Also, das ist kein Problem, solange Du dem HTTPS-Protokoll an sich traust.
Andreas
Hallo Robert,
das WEP unsicher ist, ist schon lange bekannt und wohl auch fast Allgemeinwissen. WPA auch in Ausprägung WPA2 ist aber in Tagen der mietbaren AMAZON-Cloud nicht wirklich besser. Ich durfte das erst diesem Sommer einem Kunden beim Penetrationstest beweisen, kurz: man schnüffelt ein wenig auf dem entsprechenden Funkkanal mit, das geht ohne nennenswerte Technik aus dem Bulli vom Parkplatz gegenüber, es gibt frei an jeder Ecke Software, die extrahiert die Anmeldesession bzw. das Rekeying, die paar Kilobyte Netzwerkverkehr gibt man dann gegen USD 50 einem "Dienstleister", der einem am selben oder Folgetag dann einen HASH schickt, den man als WLAN-Key nutzen kann. Der Rest wurde Dir ja schon grob erklärt, die "bekannten Geräte" beruhen auf MAC-Adressen, die sich mit arp auslesen und passenden Treiber leicht spoofen lassen.
Ab hier - der $Feind ist Mitglied des WLAN - stellt sich die Frage, was willst Du sichern:
a) das Mitbenutzen, im Rechtsjargong ist das wohl "Mitstörerhaftung", der Anschlussinhaber - also Mutti - z.B. haftet in erster Instanz dafür, das $Nachbar Kinderpornos über ihren Anschluss schaut
b) das Ausspähen sensibler Daten: was hab ihr denn noch neben HTTPS (was durch MITM-Attacken auch aufbrechbar ist), unverschlüsseltest POP3/IMAP oder SMTP (alles Mail), Dateifreigaben, UPNP, ...
Gegen all das helfen erst Techniken, die nur in teurer business-Technik eingesetzt wird, das SOHO-Zeug beherrst hier keinen wirklichen Schutz. Es gilt aber auch zu fragen: wofür soll man diesen ganzen Aufwand betreiben? Für den theoretischen Einbruch oder ist die "Gefahr" begründet?
Gruß Ronny
Hi,
On Saturday 06 October 2012, Ronny Seffner wrote:
das WEP unsicher ist, ist schon lange bekannt und wohl auch fast Allgemeinwissen. WPA auch in Ausprägung WPA2 ist aber in Tagen der mietbaren AMAZON-Cloud nicht wirklich besser. Ich durfte das erst diesem Sommer einem Kunden beim Penetrationstest beweisen, kurz: man schnüffelt ein wenig auf dem entsprechenden Funkkanal mit, das geht ohne nennenswerte Technik aus dem Bulli vom Parkplatz gegenüber, es gibt frei an jeder Ecke Software, die extrahiert die Anmeldesession bzw. das Rekeying, die paar Kilobyte Netzwerkverkehr gibt man dann gegen USD 50 einem "Dienstleister", der einem am selben oder Folgetag dann einen HASH schickt, den man als WLAN-Key nutzen kann. Der Rest wurde Dir ja schon grob erklärt, die "bekannten Geräte" beruhen auf MAC-Adressen, die sich mit arp auslesen und passenden Treiber leicht spoofen lassen.
Bitte mal nicht mehr Panik verbreiten als unbedingt nötig! Bei WPA2 ist das Protokoll an sich sicher, es gibt nur 2 Fehler die man machen kann:
1) eine haarsträubend bescheuerte Implementation des Protokolls (kann man selbst nicht ändern und sollte in den Zeiten von embedded Linux auf fast jedem Router auch kaum noch ein Problem sein)
2) ein zu kurzes und/oder zu einfaches Passwort - das kann man beeinflussen: erzeuge Dir einen hinreichend langen und komplexen String als Passwort (128bit echter Zufall reichen, mehr wird sowieso nicht verwendet)
dd if=/dev/random bs=48 count=1 | base64
Das speicherst Du Dir dann auf einem Stick ab, den nicht gleich jeder in die Finger bekommt und druckst ihn als QR-Code für die Handybesitzer in der Familie.
Ganz paranoide Naturen ändern das Passwort 1x pro Jahr.
Ab hier - der $Feind ist Mitglied des WLAN - stellt sich die Frage, was willst Du sichern:
a) das Mitbenutzen, im Rechtsjargong ist das wohl "Mitstörerhaftung", der Anschlussinhaber - also Mutti - z.B. haftet in erster Instanz dafür, das $Nachbar Kinderpornos über ihren Anschluss schaut
b) das Ausspähen sensibler Daten: was hab ihr denn noch neben HTTPS (was durch MITM-Attacken auch aufbrechbar ist), unverschlüsseltest POP3/IMAP oder SMTP (alles Mail), Dateifreigaben, UPNP, ...
Gegen all das helfen erst Techniken, die nur in teurer business-Technik eingesetzt wird, das SOHO-Zeug beherrst hier keinen wirklichen Schutz. Es gilt aber auch zu fragen: wofür soll man diesen ganzen Aufwand betreiben? Für den theoretischen Einbruch oder ist die "Gefahr" begründet?
Wie gesagt: nicht mehr Panik als nötig bitte. WPA2 mit ordentlichen Passworten ist eine extrem sichere Lösung im SOHO-Bereich.
WPA mit langen Passworten ist meiner Meinung nach hinreichend sicher für die meisten Anwendungen im Privatbereich: laut Wikipedia können einige spezifische kurze Pakete entschlüsselt werden (ARP, bestimmte andere mit im Wesentlichen bekanntem Inhalt) - die wichtigen Daten und der Schlüssel sind sicher.
WEP ist aus heutiger Sicht Schrott. Unverschlüsselt ist aus rechtlicher Sicht unsicher.
Dein Szenario a) ist also nur bei WEP oder unverschlüsselt interessant.
Was Dein Szenario b) angeht: unverschlüsselte Mails und Benutzung sensitiver Seiten (e-commerce, Webmail, Banking, ...) ohne HTTPS ist nicht empfehlenswert - egal ob via WLAN oder irgendein anderes Netz.
Wie kommst Du auf so lustige Aussagen wie dass HTTPS durch MITM aufbrechbar wäre? Soweit ich weiß gibt es keine praktischen MITM-Angriffe auf HTTPS, die keinen Alarm im Browser auslösen.
Konrad
Hallo Konrad,
Wie kommst Du auf so lustige Aussagen wie dass HTTPS durch MITM aufbrechbar wäre? Soweit ich weiß gibt es keine praktischen MITM-Angriffe auf HTTPS, die keinen Alarm im Browser auslösen.
Weil vielleicht jede Technik für sich gut und sicher ist, aber immer noch ein Anwender vor dem Schirm sitzt. Dem OP ging es um "Mutti" und nicht die technisch versierten Stammtischmitglieder. "Mutti" wird mit hoher Wahrscheinlichkeit eine Browserwarnung wegklicken, wenn sie nicht paranoid erzogen ist. Ich will hier nicht über das technisch Machbare diskutieren, ich wollte nur dieses "das macht man so" / "das macht man nicht" mit ein wenig Praxis hinterlegen. Jeder DAU hat schon davon gehört, dass man in Netze eindringen kann doch halten das viele für nicht praktikabel denn "was ist denn schon bei mir zu holen", auf sowas wie "Fremdsurfen" kommen die gar nicht.
Ronny
[ToFo]
Hallo und vielen Dank für die vielen Antworten! :D
Diese haben mir alle soviel Angst gemacht das ich nicht schlafen (und Mails beantworten) konnte bis WPA2 wieder ging. Hat auch einige Stunden gedauert. Der Rechner ist ein MS-Vista. Hoffe ihr seid mir nicht böse wegen dem OS-offtopic, aber es ging ja eher um grundlegende Fragen als um die Umsetzung kurz hinterm Bildschirm. Falls es wen interressiert WPA/WPA2 klappte im Endeffekt erst nachdem 1h lang Windows updates und WLan Treiber updates herunter geladen und installiert wurden. Ich tippe mal das die W-Lantreiber (irgendwas von Atheros) es gebracht haben. Was mich aber auch seher verwundert, denn mit 2 Fitzboxen hat WPA2 seit Jahren problemlos geklappt, mit der neuen Telekombüchse aber nicht.
anyway..
problem solved, muddi und robert glücklich, und die Welt ein bisschen sicherer ;-)
Am 07.10.2012 17:57, schrieb Ronny Seffner:
Hallo Konrad,
Wie kommst Du auf so lustige Aussagen wie dass HTTPS durch MITM aufbrechbar wäre? Soweit ich weiß gibt es keine praktischen MITM-Angriffe auf HTTPS, die keinen Alarm im Browser auslösen.
Weil vielleicht jede Technik für sich gut und sicher ist, aber immer noch ein Anwender vor dem Schirm sitzt. Dem OP ging es um "Mutti" und nicht die technisch versierten Stammtischmitglieder. "Mutti" wird mit hoher Wahrscheinlichkeit eine Browserwarnung wegklicken, wenn sie nicht paranoid erzogen ist. Ich will hier nicht über das technisch Machbare diskutieren, ich wollte nur dieses "das macht man so" / "das macht man nicht" mit ein wenig Praxis hinterlegen. Jeder DAU hat schon davon gehört, dass man in Netze eindringen kann doch halten das viele für nicht praktikabel denn "was ist denn schon bei mir zu holen", auf sowas wie "Fremdsurfen" kommen die gar nicht.
Ronny
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
2012/10/8 tranquillo sportfreund_robert@gmx.de:
Der Rechner ist ein MS-Vista.
Ach, na dann kannste das WLAN auch gleich offen lassen...ist dann die geringste Sorge ;) (Ich hab nix generell gegen Windows, aber bitte warum Vista?!)
Hi,
On Monday 08 October 2012 15:07:19 morphium wrote:
Ach, na dann kannste das WLAN auch gleich offen lassen...ist dann die geringste Sorge ;) (Ich hab nix generell gegen Windows, aber bitte warum Vista?!)
Bitte jetzt kein Rumgetrolle. Weder ist Freitag, noch ist das hier das Heise- Forum.
Konrad
Hallo,
also ich habe seit 04/12 auch einen Speedport W 723 V und mit verschiedenen Rechnern keine Probleme eine WLAN Verbindung über WPA2 zu bekommen. Dabei auch verschiedene Hardware, eingebaute Karte oder USB-Stick, alles ohne Probleme. Dazu verschiedene Systeme (Suse bzw. Mint Linux und XP bzw. Vista Windows) Ich hatte nur ein mal den Fehler, das er aus mir bisher nicht verständlichen Gründen wieder in den Werkszustand versetzt war (vielleicht auch ein schief gelaufenes automatisches update der Telekom?), ich kenne die Ursache jedenfalls nicht. Evt. gibt es verschiedene Fertigungsserien. Dann mal einen Austausch des Gerätes versuchen, wenn die Telekom mitspielt.
Gruß Kristian
-------- Original-Nachricht --------
Datum: Sat, 06 Oct 2012 16:10:42 +0200 Von: Robert punk@streber24.de An: Linux-User-Group Dresden lug-dd@mailman.schlittermann.de Betreff: WLAN Sicherheit
Moin,
ich hab das Problem das bei Muddis Laptop keine Verbindung zustande kommt wenn WPA2 verwendet wird (bekanntes Problem mit dem Speedport W723V das die Telekom an der Hotline beständig abstreitet), daher muss ich den Lappi vorerst offen oder mit WEB "verschlüsselt" betreiben. Im Router werden nur bekannte Geräte eingestellt und ansonsten alle anderen geblockt. Das sollte ja reichen das niemand über den AP surfen kann. Aber mitschnüffeln geht ja trozdem, daher die Frage: Wird beim Aufau einer https Verbindung der Schlüssel unverschlüsselt mit gesendet, bzw ist es in meinem setup möglich auch verschlüsselte Verbindungen aufzubrechen?
Danke und beste Grüße Robert
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Hi,
ich habe selbst noch keine Erfahrung damit *aufholzklopf*, aber schau dir mal das tool "ddrescue" an. Ansonsten habe ich mit dem Windows tool "EasyRecovery Pro" sehr gute Erfahrungen gemacht. Viel Erfolg!
cu Roman
On Oct 6, 2012, at 8:23 PM, ottmar-schmidt@web.de wrote:
Hallo Freunde,
ich hab ein Problem. mir ist meine Systemplatte mit Daten ausgestiegen Die Sicherung ist leider älter als gedacht, Gibr es Möglichkediten der Datenrettung wenn "nur " das Dateisystem ausgestiegen ist" Under Windows gabs früher tools wie get data back füor ntfs usw. wie kann ich das Ganze unter Linux angehen.
Danke
Ottmar _______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Am 06.10.2012, 20:23 Uhr, schrieb ottmar-schmidt@web.de:
Hallo Ottmar,
Hallo Freunde,
ich hab ein Problem. mir ist meine Systemplatte mit Daten ausgestiegen Die Sicherung ist leider älter als gedacht, Gibr es Möglichkediten der Datenrettung wenn "nur " das Dateisystem ausgestiegen ist" Under Windows gabs früher tools wie get data back füor ntfs usw. wie kann ich das Ganze unter Linux angehen.
ich nehm in solchen Fällen photorec.
snip
Grüße,
Bernhard
Möglichkediten der Datenrettung wenn "nur " das Dateisystem ausgestiegen ist" Under Windows gabs früher tools wie get data back
Ich nehme an, 'fsck' hast du schon versucht? 'ddrescue' (es gibt zwei unterschiedliche in debian!) rettet Blöcke von der Platte, in dem Fall hast Du auf der Zielplatte immer noch ein defektes Dateisystem, aber man soll ja nicht mit dem Original sondern ner Kopie weiterarbeiten ;-)
'testdisk' fällt mir noch ein.
Gruß, Ronny
Hallo Robert,
vielleicht ist der WLAN-Adapter im Notebook Deiner Mutter einfach zu alt. Hier ist es meist sinnvoller einen WLAN-USB-Stick zu kaufen, der WPA2 unterstützt. Alternativ natürlich auch ein WLAN-Adapter, der WPA2 unterstützt. Den USB-Stick gibt's zumeist für nen Apfel und nen Ei. Welches Betriebssystem läuft eigentlich auf dem Notebook?
Gruß, Steven
||-----Ursprüngliche Nachricht----- ||ich hab das Problem das bei Muddis Laptop keine Verbindung zustande ||kommt wenn WPA2 verwendet wird (bekanntes Problem mit dem ||Speedport ||W723V das die Telekom an der Hotline beständig abstreitet), daher muss ||ich den Lappi vorerst offen oder mit WEB "verschlüsselt" betreiben. Im ||Router werden nur bekannte Geräte eingestellt und ansonsten alle anderen ||geblockt. Das sollte ja reichen das niemand über den AP surfen kann. ||Aber mitschnüffeln geht ja trozdem, daher die Frage: Wird beim Aufau ||einer https Verbindung der Schlüssel unverschlüsselt mit gesendet, bzw ||ist es in meinem setup möglich auch verschlüsselte Verbindungen ||aufzubrechen?
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Bernhard Bittner -
Konrad Rosenbaum -
lists@dev107.com -
morphium -
ottmar-schmidt@web.de -
Robert -
Roman Geber -
Ronny Seffner -
tranquillo -
user0813@gmx.de