WPA2-PSK abhöhrsicher wenn Netzwerkschlüssel bekannt ist?

M

Micky2010

0
Hallo,

ich hab mal eine eher allgemeine Frage. Wenn man nun die Zugangsdaten zu einem Router besitzt (SSID, Netzwerkschlüssel, Passwort für die Router-Benutzeroberfläche usw.) ist es dann theorethisch möglich die Internetaktivitäten eines ans Netzwerk angeschlossenen Laptops abzuhöhren, obwohl dieser eine WPA2-PSK Verschlüsselung verwendet?
Dies interessiert mich, weil beispielsweise in Firmen, WGs usw ein Router von mehrern Usern verwendet wird. Der einzelne User kann hier nicht beurteilen ob die anderen User vertrauenswürdig sind oder nicht, oder ob die Zugangsdaten an Dritte weiter gegeben wurden.
 
Zuletzt bearbeitet:
Ja, die einzelnen Kommunikationskanaele zwischen den Clients und dem AP werden ueber beim Handshake ausgemachte Keys verschluesselt, also jedesmal, wenn du dich mit dem AP verbindest, mit einem anderen Key. Der PSK dient nur zur ersten Authentifizierung. Mehr Details gibts wie immer bei Wikipedia :)
 
OK das hab ich bei Wikipedia auch gelesen. Aber wenn nun ein Falscher bösartiger Router verwendet wird, kennt der dann nicht den vorher vereinbarten Key??
 
Da kann der AP noch so boesartig sein, der Key wird abhaengig von zwei Zufallszahlen (eine am AP, eine am Client erzeugt) generiert, aehnlich wie beim Diffie-Hellman-Schluesseltausch. Da beide Seiten den korrekten PSK kennen muessen, um einen richtigen Schluesseltausch gewaehrleisten zu koennen, kann man also (natuerlich nur bei wahl eines guten PSK, also nicht so etwas wie '1234' oder 'geheim') davon ausgehen, dass mit boesartigen APs erst garkeine Verbindung zustandekommt, zumindest nicht ueber WPA2 mit 4Way Handshake.
 
Ist der PSK also nun der Netzwerkschlüssel, oder was meinst Du mit "einem gut gewählten PSK"? Wie kann ich meinen PSK denn wählen?
Worauf ich mit meiner Frage hinaus will ist ja das der Netzwerkschlüssel dem potentiellen Abhöhrer bekannt ist.
 
Zuletzt bearbeitet:
Der PSK ist der Pre-Shared Key, also das, was du als "Netzwerkschluessel" oder "Netzwerkpasswort" oder wie dein WPA Handler das auch nennen mag eintraegst. Wie gute Passwoerter gewaehlt werden sollte klar sein :)
 
In deinen genannten Beispielen sind alle User teil des Netzwerkes, also kannst du mit Netzwerkanalyse-Software jede Anfrage von einer IP zu einer anderen IP verfolgen, sofern der Rechner von dem du das machen willst, auch ein Teil des Netzwerks ist. Da spielt die Verschlüsselung erstmal keine Rolle. d.h. man kann nachvollziehen das z.B. jemand bei seinem Webmailanbieter war und sich dort eingeloggt hat. Die Zugangsdaten rauszubekommen geht dann allerdings nicht mehr so einfach, weil diese verschlüsselt übertragen werden.
 
nunja ...

wenn du erstmal im netz drin hängst, kannst du, sofern keine weiteren sicherheitsmaßnahmen ergriffen wurden, mit relativ einfachen mitteln die IP kommunikation belibieger stationen des gleichen subnetzes umleiten ... sei das bleistiftsweise ARP spoofing oder router advertisement

je nach gewünschter dreistigkeit und unfähigkeit der benutzer der jeweiligen stationen bietet sich auch sslstrip und co an ...

mit zugriff auf die betreffenden stationen könnte man evtl auch eine eigene CA als vertrauenswürdig einführen ...

bei typischen "unbedarften" benutzern wird somit auch gleich die verschlüsselung durch https ausgehebelt

ich denke man kann angesichts derartiger möglichkeiten relativ leicht einsehen warum es eine durchaus gute idee ist fremde rechner in einem eigenen netz unter quarantäne zu stellen, und entsprechende sicherheitsmaßnahmen zu ergreifen (traffic monitoring... mac filter am switchport, die bei wechselnden adressen alarm auslösen und den port sperren ... statische arp einträge für lokale router ... ssl gesicherter webproxy mit client-zerifikaten oder radius authentifikation... thinclients und terminalserver ... grob gesagt, man kann derartigen angreifern ein par steine und stolperfallen in den weg stellen, was mitunter aber auch einiges an administrativem aufwand mitbringt)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben