11
Funktionsweise und Nachteile von PSK und MAC-Adressen Authentifizierung
Hi,
ich habe ein paar Fragen zu bestimmten WLAN Authentifizierungsmethoden und Verschlüsselung.
1. Wie läuft eine MAC-Adressen Authentifizierung über einen RADIUS Server mit einem PSK genau ab?
(MAC-Adresse vom Client ist in der SQL Datenbank eingetragen, er verbindet sich mit dem WLAN, was passiert da genau? Der AccessPoint frägt den RADIUS Server ab ob die MAC-Adresse vom Client vorhanden ist und falls ja, übergibt der AP den PSK an den Client und dieser wählt sich ein oder wie genau findet hier die Verteilung des PSKs ab und die Kommunikation der jeweiligen Geräte? Vielleicht hat ja jemand auch einen Schaubild oä.)
2. Ein Pre-Shared-Key ist bei einem WLAN einfach das Passwort, welches benötigt wird um Zugriff auf die SSID/drahtlosen Netzwerk zu haben, richtig?
3. Welche Nachteile hat diese Art der Authentifizierung?
(Ich hatte mal gehört, dass die MAC Adressen "geklaut" oder kopiert werden können.
"Bruteforce" Attacken, also das ausprobieren des WLAN Passwortes, aber da muss man ja auch durch die MAC-Adressen Authentifizierung durchkommen.
Sonst fällt mir nichts ein.)
4. Wenn der Client dann mit dem WLAN verbunden ist, wie findet die weitere Kommunikation im WLAN statt? Verschlüsselt, wenn ja wie und was?
5. Hat die Art sonst noch irgendwelche allgemeine Nachteile außer, dass vielleicht die MAC-Adressen manuell eingetragen werden müssen? der PSK wird ja dann automatisch verteilt, wenn der Client berechtig ist, glaube ich..
Danke im Voraus
Bearbeitet:
6. Die Authentifizierungsmethode mittels 802.1x EAP-TLS (PEAP), also mit gegenseitiger (Client-Server) Zertifikatsüberprüfung, hat welche genauen Vorteile in Bezug auf die Sicherheit und Allgemein? Hat es auch Nachteile?
ich habe ein paar Fragen zu bestimmten WLAN Authentifizierungsmethoden und Verschlüsselung.
1. Wie läuft eine MAC-Adressen Authentifizierung über einen RADIUS Server mit einem PSK genau ab?
(MAC-Adresse vom Client ist in der SQL Datenbank eingetragen, er verbindet sich mit dem WLAN, was passiert da genau? Der AccessPoint frägt den RADIUS Server ab ob die MAC-Adresse vom Client vorhanden ist und falls ja, übergibt der AP den PSK an den Client und dieser wählt sich ein oder wie genau findet hier die Verteilung des PSKs ab und die Kommunikation der jeweiligen Geräte? Vielleicht hat ja jemand auch einen Schaubild oä.)
2. Ein Pre-Shared-Key ist bei einem WLAN einfach das Passwort, welches benötigt wird um Zugriff auf die SSID/drahtlosen Netzwerk zu haben, richtig?
3. Welche Nachteile hat diese Art der Authentifizierung?
(Ich hatte mal gehört, dass die MAC Adressen "geklaut" oder kopiert werden können.
"Bruteforce" Attacken, also das ausprobieren des WLAN Passwortes, aber da muss man ja auch durch die MAC-Adressen Authentifizierung durchkommen.
Sonst fällt mir nichts ein.)
4. Wenn der Client dann mit dem WLAN verbunden ist, wie findet die weitere Kommunikation im WLAN statt? Verschlüsselt, wenn ja wie und was?
5. Hat die Art sonst noch irgendwelche allgemeine Nachteile außer, dass vielleicht die MAC-Adressen manuell eingetragen werden müssen? der PSK wird ja dann automatisch verteilt, wenn der Client berechtig ist, glaube ich..
Danke im Voraus
Bearbeitet:
6. Die Authentifizierungsmethode mittels 802.1x EAP-TLS (PEAP), also mit gegenseitiger (Client-Server) Zertifikatsüberprüfung, hat welche genauen Vorteile in Bezug auf die Sicherheit und Allgemein? Hat es auch Nachteile?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3117692571
Url: https://administrator.de/contentid/3117692571
Printed on: April 26, 2024 at 19:04 o'clock
11 Comments
Latest comment
Moin,
Hat es auch Nachteile?
Klar, fällt deine PKI Infrastruktur aus (z.B. Sperrliste abgelaufen) wird sich bei korrekter Konfiguration kein Gerät mit dem WLAN verbinden. Letztes Jahr gab es ein fehlerhaftes Windows Updates, der die Authentifizierung an NPS gestört hat. Dieses Jahr hat Microsoft - mehr oder weniger im dunkeln Kämmerchen - Anpasssungen vorgenommen. Wer nicht die KB-Artikel gelesen hat, ist vermutlich auf die Schnauze gefallen.
Gruß,
Dani
2. Ein Pre-Shared-Key ist bei einem WLAN einfach das Passwort, welches benötigt wird um Zugriff auf die SSID/drahtlosen Netzwerk zu haben, richtig?
Ja.3. Welche Nachteile hat diese Art der Authentifizierung?
Wird ein Gerät verloren, kompromittiert musst du den PSK löschen und einen neuen Erstellen. Damit verbunden muss dieser natürlich auf allen Geräten wieder hinterlegt werden. In wie das mit Gruppenrichtlinien, MDM, etc. möglich ist, weiß ich nicht. Genauso kann man PSK auslesen und somit einfach weitere Geräte in das Netzwerk aufnehmen. Was natürlich auch nicht der Sinn im Unternehmen sein soll, gerade bei der heutigen Sicherheitslage. Letztes Szenario ist, dass ein Mitarbeiter das Unternehmen verlässt. Damit solltest du ebenfalls den PSK aus Sicherheitsgründen tauschen.(Ich hatte mal gehört, dass die MAC Adressen "geklaut" oder kopiert werden können.
Ja, das ist nach wie vor möglich. MAC-Adresse ist heute kein Sicherheitsmerkmal mehr.4. Wenn der Client dann mit dem WLAN verbunden ist, wie findet die weitere Kommunikation im WLAN statt? Verschlüsselt, wenn ja wie und was?
So wie du die Einstellungen in der Konfiguration der SID auf dem WLAN Access-Point/Controller vornimmst. Wobei es heute nicht mehr möglich ist, schwächere Sicherheitsstandard als WPA2 auszuwählen.6. Die Authentifizierungsmethode mittels 802.1x EAP-TLS (PEAP), also mit gegenseitiger (Client-Server) Zertifikatsüberprüfung, hat welche genauen Vorteile in Bezug auf die Sicherheit und Allgemein?
Ein Zertifikat kann je nach Design erst einmal nicht so ohne weiteres von einem Gerät auf das Andere übertragen werden. Dazu ist nämlich der private Schlüssel noch notwendig, der in der Regel vor Export geschützt ist. Kommt ein Geärt abhanden wird, wir das Zertifikat gesperrt, die Sperrliste aktualisiert und damit ist ab dem Zeitpunkt auch kein Zugang mehr zum WLAN möglich.Hat es auch Nachteile?
Klar, fällt deine PKI Infrastruktur aus (z.B. Sperrliste abgelaufen) wird sich bei korrekter Konfiguration kein Gerät mit dem WLAN verbinden. Letztes Jahr gab es ein fehlerhaftes Windows Updates, der die Authentifizierung an NPS gestört hat. Dieses Jahr hat Microsoft - mehr oder weniger im dunkeln Kämmerchen - Anpasssungen vorgenommen. Wer nicht die KB-Artikel gelesen hat, ist vermutlich auf die Schnauze gefallen.
Gruß,
Dani
Zitat von @Dani:
(Ich hatte mal gehört, dass die MAC Adressen "geklaut" oder kopiert werden können.
Ja, das ist nach wie vor möglich. MAC-Adresse ist heute kein Sicherheitsmerkmal mehr.Das war noch nie ein Sicherheitsmerkmal, auch wenn viele das so benutzt haben und immer noch tun.
Wir haben an der Uni schon in den frühen 80ern MAC-Adressen "gefälscht" um das aufzuzeigen. Schon damals konnte man damit von Geräten, die man per DOS-Atacke "ausgeknockt" hatte, die Verbindungen übernehmen.
lks
1.)
Eine Datenbank muss es gar nicht sein. Es kann auch eine schlichte Textdatei sein wie z.B. im Basissetup des FreeRadius.
Cisco SG 350x Grundkonfiguration
Reines MAB (Mac Authentication Bypass) an sich ist kein standartisiertes Verfahren. Es obliegt also dem Hersteller wie er das implementiert.
In der Regel ist es aber so das bekannte Mechanismen aus dem 802.1x Verfahren benutzt werden wie z.B. die Radius Abfrage.
MAB mit dynamischer VLAN Zuordnung, wie es üblicherweise in WLANs häufig verwendet wird um kostbare Airtime zu sparen und Resourrcen fressende MSSIDs zu vermeiden ist deshalb weit verbreitet.
Hier werden in der Regel die typischen Radius Attribute gesetzt wie sie auch bei 802.1x benutzt werden aber es gibt da auch Ausnahmen wie z.B. Mikrotik die Hersteller proprietäre Attribute nutzen. (VLAN ID, Siehe Radius Dictionary File)
Grob hast du den Vorgang aber schon richtig beschrieben. Ein AP oder Switch mit MAB schreibt die gelernte Mac Adresse eines Endgerätes solange nicht in die L2 Forwarding Tabelle solange diese nicht vom Radius authentisiert ist.
Ist sie authentisiert mit einem Radius Access Accept wird sie geschrieben, andernfalls bei einem Access Reject wird sie verworfen.
2.)
Nein, das ist nicht ganz richtig und kommt auf das Setup an. MAB kann man ohne oder mit WPA2/3-PSK oder auch in Kombination mit WPA-Enterprise (802.1x) betreiben.
In einem offenen WLAN wird bei MAB lediglich die Mac Adresse überprüft und das Passwort ist dann in der Regel auch immer die Mac Adresse.
In Kombination mit WPA2-PSK (oder WPA3) muss zusätzlich noch ein statisches WPA2 Passwort eingeben werden für die Verschlüsselung.
Interessant wird dann die Kombination mit 802.1x also WPA2 Enterprise. MAB und Dot1x nutzen beide einen Radius.
Besonders bei dynamischer VLAN Zuweisung ist es dann nicht mehr trivial in welcher Reihenfolge die Authentisierung passieren soll. Ein Kombination wird deshalb oft gemacht weil man in einem Dot1x gesicherten WLAN auch Endgeräte hat die keinen .1x Client an Bord haben die aber auch authentisiert werden müssen was dann über die Mac Adresse geht.
Hier gibt es jetzt unterschiedliche Hersteller Implementationen und es ist abhängig welchen Hersteller man einsetzt.
Gute Hersteller supporten ein Customizing der Reihenfolge also erst .1x dann MAB oder umgekehrt.
Fast immer kann man dann mit einem Radius Attribut nach einer erfolgreichen Mac Authentisierung die .1x Authentisierung unterdrücken (oder auch andersrum) was z.B. zwingend ist bei WLAN Geräten die keinen .1x Client haben.
So ist deshalb die Reihenfolge erst MAB dann .1x bei einfachen Herstellern auch oft vorgegeben.
Wie gesagt da gibt es keinen festen Standard.
3.)
Großer Nachteil ist, wie oben bereits gesagt, das Mac Adressen frei konfigurierbar sind. (Siehe Kollege @lks oben). Reine Mac Authentisierung ist damit also nicht wirklich sicher und sollte in der Praxis immer mit WPA2-PSK oder mit WPA2-Einterprise (802.1x) einhergehen.
Ein 2ter großer Nachteil, zumindestens im WLAN Bereich, sind die dynamisch, per SSID, erzeugten Mac Adressen der meisten WLAN Endgeräte um ein Nutzer Tracking zu verhindern was normal an allen öffentlichen WLANs immer gemacht wird.
Fast alle Endgeräte nutzen das Dynamisieren mittlerweile so das Endgeräte pro SSID eine unterschiedliche Mac Adresse nutzen.
Das erschwert eine reine Mac Adress Authentisierung zusätzlich so das in der Regel immer auf 802.1x gesetzt wird und MAB nur für nicht .1x fähige Endgeräte in Kombination zum Einsatz kommt.
4.)
Es kommt, wie du schon sagst, darauf an ob zusätzlich zur reinen Mac Authentisierung noch eine WPA2 (oder WPA3) Verschlüsselung dazukommt.
Letztlich ist das aber nicht unterschiedlich zu einem Zugang zu Netzen ohne MAB und folgt da auch dem Standard Verfahren.
Hier und auf zig anderen Seiten im Netz ist das z.B. ganz genau erklärt:
https://documentation.meraki.com/MR/WiFi_Basics_and_Best_Practices/802.1 ...
https://netbeez.net/blog/how-wifi-connection-works/
http://www.h3c.com/en/d_201907/1211822_294551_0.htm
5.)
Mac Adressen müssen bei MAB nicht zwingend manuell eingetragen werden. Es gibt eine Reihe kommerzielle Produkte die diese Adressen per SNMP oder anderen Verfahren aus den Layer 2 Forwarding Tabellen der Authenticators wie Switches oder APs automatisch lesen und dann je nach Ruleset des Admins übernehmen. Meist haben diese Produkte auch gleich einen standartisierten Radius Server mit an Bord. Beispiel: Macmon und andere.
6.)
Ist im WLAN mit dyn. VLANs das übliche Verfahren bei der Authentisierung von Endgeräten und hat Kollege @Dani oben ja schon umfassend erklärt.
Eine Datenbank muss es gar nicht sein. Es kann auch eine schlichte Textdatei sein wie z.B. im Basissetup des FreeRadius.
Cisco SG 350x Grundkonfiguration
Reines MAB (Mac Authentication Bypass) an sich ist kein standartisiertes Verfahren. Es obliegt also dem Hersteller wie er das implementiert.
In der Regel ist es aber so das bekannte Mechanismen aus dem 802.1x Verfahren benutzt werden wie z.B. die Radius Abfrage.
MAB mit dynamischer VLAN Zuordnung, wie es üblicherweise in WLANs häufig verwendet wird um kostbare Airtime zu sparen und Resourrcen fressende MSSIDs zu vermeiden ist deshalb weit verbreitet.
Hier werden in der Regel die typischen Radius Attribute gesetzt wie sie auch bei 802.1x benutzt werden aber es gibt da auch Ausnahmen wie z.B. Mikrotik die Hersteller proprietäre Attribute nutzen. (VLAN ID, Siehe Radius Dictionary File)
Grob hast du den Vorgang aber schon richtig beschrieben. Ein AP oder Switch mit MAB schreibt die gelernte Mac Adresse eines Endgerätes solange nicht in die L2 Forwarding Tabelle solange diese nicht vom Radius authentisiert ist.
Ist sie authentisiert mit einem Radius Access Accept wird sie geschrieben, andernfalls bei einem Access Reject wird sie verworfen.
2.)
Nein, das ist nicht ganz richtig und kommt auf das Setup an. MAB kann man ohne oder mit WPA2/3-PSK oder auch in Kombination mit WPA-Enterprise (802.1x) betreiben.
In einem offenen WLAN wird bei MAB lediglich die Mac Adresse überprüft und das Passwort ist dann in der Regel auch immer die Mac Adresse.
In Kombination mit WPA2-PSK (oder WPA3) muss zusätzlich noch ein statisches WPA2 Passwort eingeben werden für die Verschlüsselung.
Interessant wird dann die Kombination mit 802.1x also WPA2 Enterprise. MAB und Dot1x nutzen beide einen Radius.
Besonders bei dynamischer VLAN Zuweisung ist es dann nicht mehr trivial in welcher Reihenfolge die Authentisierung passieren soll. Ein Kombination wird deshalb oft gemacht weil man in einem Dot1x gesicherten WLAN auch Endgeräte hat die keinen .1x Client an Bord haben die aber auch authentisiert werden müssen was dann über die Mac Adresse geht.
Hier gibt es jetzt unterschiedliche Hersteller Implementationen und es ist abhängig welchen Hersteller man einsetzt.
Gute Hersteller supporten ein Customizing der Reihenfolge also erst .1x dann MAB oder umgekehrt.
Fast immer kann man dann mit einem Radius Attribut nach einer erfolgreichen Mac Authentisierung die .1x Authentisierung unterdrücken (oder auch andersrum) was z.B. zwingend ist bei WLAN Geräten die keinen .1x Client haben.
So ist deshalb die Reihenfolge erst MAB dann .1x bei einfachen Herstellern auch oft vorgegeben.
Wie gesagt da gibt es keinen festen Standard.
3.)
Großer Nachteil ist, wie oben bereits gesagt, das Mac Adressen frei konfigurierbar sind. (Siehe Kollege @lks oben). Reine Mac Authentisierung ist damit also nicht wirklich sicher und sollte in der Praxis immer mit WPA2-PSK oder mit WPA2-Einterprise (802.1x) einhergehen.
Ein 2ter großer Nachteil, zumindestens im WLAN Bereich, sind die dynamisch, per SSID, erzeugten Mac Adressen der meisten WLAN Endgeräte um ein Nutzer Tracking zu verhindern was normal an allen öffentlichen WLANs immer gemacht wird.
Fast alle Endgeräte nutzen das Dynamisieren mittlerweile so das Endgeräte pro SSID eine unterschiedliche Mac Adresse nutzen.
Das erschwert eine reine Mac Adress Authentisierung zusätzlich so das in der Regel immer auf 802.1x gesetzt wird und MAB nur für nicht .1x fähige Endgeräte in Kombination zum Einsatz kommt.
4.)
Es kommt, wie du schon sagst, darauf an ob zusätzlich zur reinen Mac Authentisierung noch eine WPA2 (oder WPA3) Verschlüsselung dazukommt.
Letztlich ist das aber nicht unterschiedlich zu einem Zugang zu Netzen ohne MAB und folgt da auch dem Standard Verfahren.
Hier und auf zig anderen Seiten im Netz ist das z.B. ganz genau erklärt:
https://documentation.meraki.com/MR/WiFi_Basics_and_Best_Practices/802.1 ...
https://netbeez.net/blog/how-wifi-connection-works/
http://www.h3c.com/en/d_201907/1211822_294551_0.htm
5.)
Mac Adressen müssen bei MAB nicht zwingend manuell eingetragen werden. Es gibt eine Reihe kommerzielle Produkte die diese Adressen per SNMP oder anderen Verfahren aus den Layer 2 Forwarding Tabellen der Authenticators wie Switches oder APs automatisch lesen und dann je nach Ruleset des Admins übernehmen. Meist haben diese Produkte auch gleich einen standartisierten Radius Server mit an Bord. Beispiel: Macmon und andere.
6.)
Ist im WLAN mit dyn. VLANs das übliche Verfahren bei der Authentisierung von Endgeräten und hat Kollege @Dani oben ja schon umfassend erklärt.
Hi,
die MAC-Adresse ist per WLAN für jedermann in Funkreichweite ersichtlich und daher kein zurechenbares Authentifizierungsmittel. Ein prinzipieller Nachteil des PSK, der nicht durch regelmäßige und anlassbezogene Änderung zu beheben ist, ist, dass sämtliche Verbindungen nur gegenüber Personen ohne Kenntnis des PSK vertraulich sind, also nicht zwischen Clients desselben Netzwerks.
Beste Grüße
Richard
die MAC-Adresse ist per WLAN für jedermann in Funkreichweite ersichtlich und daher kein zurechenbares Authentifizierungsmittel. Ein prinzipieller Nachteil des PSK, der nicht durch regelmäßige und anlassbezogene Änderung zu beheben ist, ist, dass sämtliche Verbindungen nur gegenüber Personen ohne Kenntnis des PSK vertraulich sind, also nicht zwischen Clients desselben Netzwerks.
Inwiefern welche MAC-Adresse jetzt? Ein Externer sieht auf seinem Notebook also unsere SSID und kann was genau machen?
der PSK wird bei uns nicht verändert und ist auch nicht wirklich lang. Das heißt, sobald man eine MAC-Adresse von einem internen Gerät geklaut hat, könnte man mit Bruteforcing den PSK knacken und sich in das Netz einwählen. Ist das so richtig? Man braucht aber jeweils das eine und das andere, also ohne PSK oder ohne MAC-Adresse würd es nicht funktionierne
Genauso kann man PSK auslesen und somit einfach weitere Geräte in das Netzwerk aufnehmen.
weißt du wie sowas funktioniert, einfach erklärt? Und muss man nicht auch noch die MAC-Adresse eines Gerätes haben die in der Datenbank eingetragen ist? Oder braucht man jeweils nur eine Sache, also PSK oder MAC.
Ja, das ist nach wie vor möglich. MAC-Adresse ist heute kein Sicherheitsmerkmal mehr.
Weißt du auch hier wie sowas funktioniert? Eine einfache Erklärung reicht mir.
Danke
Zitat von @camouflagge99:
Inwiefern welche MAC-Adresse jetzt? Ein Externer sieht auf seinem Notebook also unsere SSID und kann was genau machen?
Inwiefern welche MAC-Adresse jetzt? Ein Externer sieht auf seinem Notebook also unsere SSID und kann was genau machen?
Die WLAN-Clients senden ihre MAC-Adressen genauso sichtbar wie der AP die SSID/BSSID. In Funkreichweite des AP und der jeweiligen Clients sieht jederman, dass der Client mit einer bestimmten MAC-Adresse und der AP mit einer bestimmten MAC-Adresse Pakete für eine bestimmte SSID austauschen.
der PSK wird bei uns nicht verändert und ist auch nicht wirklich lang. Das heißt, sobald man eine MAC-Adresse von einem internen Gerät geklaut hat, könnte man mit Bruteforcing den PSK knacken und sich in das Netz einwählen.
Ein PSK wird geknackt, indem man den Handshake eines Clients mit dem AP mitschneidet und dann durch Testen von Schlüsseln versucht, die Handshake-Messages in einen gültigen Klartext zu wandeln. D.h. sobald jemand den PSK zu knacken versucht, kennt er notwendigerweise zumindest eine gültige Client-MAC - diejenige, deren Handshake er protokolliert hat. Taktisch liegt es natürlich näher, möglichst viele Client-MACs zu sammeln und eine zu verwenden, deren Client gerade offline ist.
Einzige wirksame Sicherheitsvorkehrung ist daher der PSK. Wer den PSK kennt, kann sich einerseits mit dem WLAN verbinden und andererseits passiv jeden Handshake dieses Netzwerks entschlüsseln und damit den Datenverkehr aller Clients in Reichweite lesen (durch verschlüsselte Anwendungsprotokolle nicht mehr so relevant, aber eben ein entscheidender Nachteil zu WPA2-Enterprise).
Ein PSK wird geknackt, indem man den Handshake eines Clients mit dem AP mitschneidet und dann durch Testen von Schlüsseln versucht, die Handshake-Messages in einen gültigen Klartext zu wandeln. D.h. sobald jemand den PSK zu knacken versucht, kennt er notwendigerweise zumindest eine gültige Client-MAC - diejenige, deren Handshake er protokolliert hat. Taktisch liegt es natürlich näher, möglichst viele Client-MACs zu sammeln und eine zu verwenden, deren Client gerade offline ist.
nennt man das Brute-Forcing-Attack oder ist das nochmal was anderes?
Das ist nochmal etwas anderes und sollte man als Netzwerker eigentlich auch kennen...
https://www.heise.de/select/ct/2017/23/1510344956316080
https://www.heise.de/news/c-t-3003-So-geht-Hacken-Kali-Linux-Tutorial-62 ...
https://www.heise.de/select/ct/2017/23/1510344956316080
https://www.heise.de/news/c-t-3003-So-geht-Hacken-Kali-Linux-Tutorial-62 ...
Brute-Force meint in der Regel, dass das Knacken des PSK am Handshake (oder generell eines Schlüssels durch testweise Entschlüsselung eines Kryptotextes) rein kombinatorisch innerhalb eines Zeichensatzes ausgeführt wird. Der Gegenbegriff wäre Wörterbuchangriff, der voraussetzt, dass der PSK in einem Korpus aus möglichen Schlüsseln vorliegt.
Praktisch sind Brute-Force-Angriffe ressourcenintensiv und Wörterbuchangriffe selten erfolgreich, weshalb Kombinationen davon genutzt werden: Ein (auf das Ziel zugeschnittener) Korpus von "Wörtern" bzw. N-Grammen, die kombinatorisch getestet werden, unterneinander und/oder zusammen mit einzelnen Zeichen oder Makro-Elementen (Datum o.ä.).
Wenn es das denn nun war bitte dann auch deinen Thread hier als erledigt schliessen!