[HaBo]

Micky2010 · 02.04.10, 12:40

Hallo,

ich hab mal eine eher allgemeine Frage. Wenn man nun die Zugangsdaten zu einem Router besitzt (SSID, Netzwerkschlüssel, Passwort für die Router-Benutzeroberfläche usw.) ist es dann theorethisch möglich die Internetaktivitäten eines ans Netzwerk angeschlossenen Laptops abzuhöhren, obwohl dieser eine WPA2-PSK Verschlüsselung verwendet?
Dies interessiert mich, weil beispielsweise in Firmen, WGs usw ein Router von mehrern Usern verwendet wird. Der einzelne User kann hier nicht beurteilen ob die anderen User vertrauenswürdig sind oder nicht, oder ob die Zugangsdaten an Dritte weiter gegeben wurden.

farhaven · 02.04.10, 14:16

Ja, die einzelnen Kommunikationskanaele zwischen den Clients und dem AP werden ueber beim Handshake ausgemachte Keys verschluesselt, also jedesmal, wenn du dich mit dem AP verbindest, mit einem anderen Key. Der PSK dient nur zur ersten Authentifizierung. Mehr Details gibts wie immer bei Wikipedia

Anzeige

- Anzeige -

Micky2010 · 02.04.10, 14:20

OK das hab ich bei Wikipedia auch gelesen. Aber wenn nun ein Falscher bösartiger Router verwendet wird, kennt der dann nicht den vorher vereinbarten Key??

farhaven · 02.04.10, 14:27

Da kann der AP noch so boesartig sein, der Key wird abhaengig von zwei Zufallszahlen (eine am AP, eine am Client erzeugt) generiert, aehnlich wie beim Diffie-Hellman-Schluesseltausch. Da beide Seiten den korrekten PSK kennen muessen, um einen richtigen Schluesseltausch gewaehrleisten zu koennen, kann man also (natuerlich nur bei wahl eines guten PSK, also nicht so etwas wie '1234' oder 'geheim') davon ausgehen, dass mit boesartigen APs erst garkeine Verbindung zustandekommt, zumindest nicht ueber WPA2 mit 4Way Handshake.

Micky2010 · 02.04.10, 18:54

Ist der PSK also nun der Netzwerkschlüssel, oder was meinst Du mit "einem gut gewählten PSK"? Wie kann ich meinen PSK denn wählen?
Worauf ich mit meiner Frage hinaus will ist ja das der Netzwerkschlüssel dem potentiellen Abhöhrer bekannt ist.

farhaven · 02.04.10, 19:07

Der PSK ist der Pre-Shared Key, also das, was du als "Netzwerkschluessel" oder "Netzwerkpasswort" oder wie dein WPA Handler das auch nennen mag eintraegst. Wie gute Passwoerter gewaehlt werden sollte klar sein

Mr.Terrier · 28.05.10, 18:16

In deinen genannten Beispielen sind alle User teil des Netzwerkes, also kannst du mit Netzwerkanalyse-Software jede Anfrage von einer IP zu einer anderen IP verfolgen, sofern der Rechner von dem du das machen willst, auch ein Teil des Netzwerks ist. Da spielt die Verschlüsselung erstmal keine Rolle. d.h. man kann nachvollziehen das z.B. jemand bei seinem Webmailanbieter war und sich dort eingeloggt hat. Die Zugangsdaten rauszubekommen geht dann allerdings nicht mehr so einfach, weil diese verschlüsselt übertragen werden.

GrafZahl · 29.05.10, 04:07

nunja ...

wenn du erstmal im netz drin hängst, kannst du, sofern keine weiteren sicherheitsmaßnahmen ergriffen wurden, mit relativ einfachen mitteln die IP kommunikation belibieger stationen des gleichen subnetzes umleiten ... sei das bleistiftsweise ARP spoofing oder router advertisement

je nach gewünschter dreistigkeit und unfähigkeit der benutzer der jeweiligen stationen bietet sich auch sslstrip und co an ...

mit zugriff auf die betreffenden stationen könnte man evtl auch eine eigene CA als vertrauenswürdig einführen ...

bei typischen "unbedarften" benutzern wird somit auch gleich die verschlüsselung durch https ausgehebelt

ich denke man kann angesichts derartiger möglichkeiten relativ leicht einsehen warum es eine durchaus gute idee ist fremde rechner in einem eigenen netz unter quarantäne zu stellen, und entsprechende sicherheitsmaßnahmen zu ergreifen (traffic monitoring... mac filter am switchport, die bei wechselnden adressen alarm auslösen und den port sperren ... statische arp einträge für lokale router ... ssl gesicherter webproxy mit client-zerifikaten oder radius authentifikation... thinclients und terminalserver ... grob gesagt, man kann derartigen angreifern ein par steine und stolperfallen in den weg stellen, was mitunter aber auch einiges an administrativem aufwand mitbringt)

Anzeige

- Anzeige -

02.04.10, 12:40	#1 (permalink)
Micky2010 Registriert seit: 02.04.10 Likes: 0	WPA2-PSK abhöhrsicher wenn Netzwerkschlüssel bekannt ist? Anzeige Hallo, ich hab mal eine eher allgemeine Frage. Wenn man nun die Zugangsdaten zu einem Router besitzt (SSID, Netzwerkschlüssel, Passwort für die Router-Benutzeroberfläche usw.) ist es dann theorethisch möglich die Internetaktivitäten eines ans Netzwerk angeschlossenen Laptops abzuhöhren, obwohl dieser eine WPA2-PSK Verschlüsselung verwendet? Dies interessiert mich, weil beispielsweise in Firmen, WGs usw ein Router von mehrern Usern verwendet wird. Der einzelne User kann hier nicht beurteilen ob die anderen User vertrauenswürdig sind oder nicht, oder ob die Zugangsdaten an Dritte weiter gegeben wurden. Geändert von Micky2010 (02.04.10 um 14:00 Uhr)

02.04.10, 18:54	#5 (permalink)
Micky2010 Themenstarter Registriert seit: 02.04.10 Likes: 0	Ist der PSK also nun der Netzwerkschlüssel, oder was meinst Du mit "einem gut gewählten PSK"? Wie kann ich meinen PSK denn wählen? Worauf ich mit meiner Frage hinaus will ist ja das der Netzwerkschlüssel dem potentiellen Abhöhrer bekannt ist. Geändert von Micky2010 (02.04.10 um 19:15 Uhr)

29.05.10, 04:07	#8 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 211	nunja ... wenn du erstmal im netz drin hängst, kannst du, sofern keine weiteren sicherheitsmaßnahmen ergriffen wurden, mit relativ einfachen mitteln die IP kommunikation belibieger stationen des gleichen subnetzes umleiten ... sei das bleistiftsweise ARP spoofing oder router advertisement je nach gewünschter dreistigkeit und unfähigkeit der benutzer der jeweiligen stationen bietet sich auch sslstrip und co an ... mit zugriff auf die betreffenden stationen könnte man evtl auch eine eigene CA als vertrauenswürdig einführen ... bei typischen "unbedarften" benutzern wird somit auch gleich die verschlüsselung durch https ausgehebelt ich denke man kann angesichts derartiger möglichkeiten relativ leicht einsehen warum es eine durchaus gute idee ist fremde rechner in einem eigenen netz unter quarantäne zu stellen, und entsprechende sicherheitsmaßnahmen zu ergreifen (traffic monitoring... mac filter am switchport, die bei wechselnden adressen alarm auslösen und den port sperren ... statische arp einträge für lokale router ... ssl gesicherter webproxy mit client-zerifikaten oder radius authentifikation... thinclients und terminalserver ... grob gesagt, man kann derartigen angreifern ein par steine und stolperfallen in den weg stellen, was mitunter aber auch einiges an administrativem aufwand mitbringt) __________________ Code: :(){ :\|:& };: Veritas Aequitas

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

02.04.10, 14:16	#2 (permalink)
farhaven Registriert seit: 22.10.05 Likes: 3	Ja, die einzelnen Kommunikationskanaele zwischen den Clients und dem AP werden ueber beim Handshake ausgemachte Keys verschluesselt, also jedesmal, wenn du dich mit dem AP verbindest, mit einem anderen Key. Der PSK dient nur zur ersten Authentifizierung. Mehr Details gibts wie immer bei Wikipedia

02.04.10, 14:20	#3 (permalink)
Micky2010 Themenstarter Registriert seit: 02.04.10 Likes: 0	OK das hab ich bei Wikipedia auch gelesen. Aber wenn nun ein Falscher bösartiger Router verwendet wird, kennt der dann nicht den vorher vereinbarten Key??

02.04.10, 14:27	#4 (permalink)
farhaven Registriert seit: 22.10.05 Likes: 3	Da kann der AP noch so boesartig sein, der Key wird abhaengig von zwei Zufallszahlen (eine am AP, eine am Client erzeugt) generiert, aehnlich wie beim Diffie-Hellman-Schluesseltausch. Da beide Seiten den korrekten PSK kennen muessen, um einen richtigen Schluesseltausch gewaehrleisten zu koennen, kann man also (natuerlich nur bei wahl eines guten PSK, also nicht so etwas wie '1234' oder 'geheim') davon ausgehen, dass mit boesartigen APs erst garkeine Verbindung zustandekommt, zumindest nicht ueber WPA2 mit 4Way Handshake.

02.04.10, 19:07	#6 (permalink)
farhaven Registriert seit: 22.10.05 Likes: 3	Der PSK ist der Pre-Shared Key, also das, was du als "Netzwerkschluessel" oder "Netzwerkpasswort" oder wie dein WPA Handler das auch nennen mag eintraegst. Wie gute Passwoerter gewaehlt werden sollte klar sein

28.05.10, 18:16	#7 (permalink)
Mr.Terrier Registriert seit: 07.04.10 Likes: 0	In deinen genannten Beispielen sind alle User teil des Netzwerkes, also kannst du mit Netzwerkanalyse-Software jede Anfrage von einer IP zu einer anderen IP verfolgen, sofern der Rechner von dem du das machen willst, auch ein Teil des Netzwerks ist. Da spielt die Verschlüsselung erstmal keine Rolle. d.h. man kann nachvollziehen das z.B. jemand bei seinem Webmailanbieter war und sich dort eingeloggt hat. Die Zugangsdaten rauszubekommen geht dann allerdings nicht mehr so einfach, weil diese verschlüsselt übertragen werden.

[HaBo]

WPA2-PSK abhöhrsicher wenn Netzwerkschlüssel bekannt ist?