neuni88
Goto Top

WLAN mit WPA2 trotz öffentlich bekanntem Schlüssel sinnvoll?

Macht eine WPA2-Verschlüsselung auch Sinn, wenn jeder das Passwort kennt?

Hallo,

wir haben ein WLAN-Netz in Betrieb, das an einer m0n0wall hängt.
Darüber werden alle Clients per MAC-Adresse authentifiziert.
Die APs sind im Moment alle unverschlüsselt.
Würde es Sinn machen, die APs per WPA2 zu verschlüsseln mit einem öffentlich bekanntem Passwort?
Würde das die Verbindungen der Clients zum Netzwerk/Internet sicherer machen gegen Abhören, usw. ?

SSL funktioniert ja auch wunderbar, obwohl es keinen geheimen Schlüssel gibt.

Die Frage ist: Kann WPA2 das, oder setzt das komplett auf das Vorhandensein eines geheimen Schlüssels?
Was gibt es da sonst an Möglichkeiten?

Content-ID: 142885

Url: https://administrator.de/forum/wlan-mit-wpa2-trotz-oeffentlich-bekanntem-schluessel-sinnvoll-142885.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

StefanKittel
StefanKittel 16.05.2010 um 03:01:03 Uhr
Goto Top
Hallo,

Zitat von @neuni88:
wir haben ein WLAN-Netz in Betrieb, das an einer m0n0wall hängt.
Darüber werden alle Clients per MAC-Adresse authentifiziert.
Die sich aber mit ein paar Klicks fälschen läßt
Es gibt keine mir bekannte Methode einen Computer technisch zu identifizieren. Wenns das gäbe, gäbs auch keine Raubkopien...

Die APs sind im Moment alle unverschlüsselt.
Also nur der MAC-Filter? Siehe Oben

Würde es Sinn machen, die APs per WPA2 zu verschlüsseln
JA!

mit einem öffentlich bekanntem Passwort?
Nein! Aber erzähl doch mal warum das Kennwort öffentlich bekannt sein muß. Ist die Benutzergruppe so groß?

Würde das die Verbindungen der Clients zum Netzwerk/Internet sicherer machen gegen Abhören, usw. ?
Nein, man hat ja den Schlüssel. Das trennen der Clients vom AP aus ist auch nicht sicher.

SSL funktioniert ja auch wunderbar, obwohl es keinen geheimen Schlüssel gibt.
? Natürlich gibt es einen. Den hat der Server. Der Client verschlüsselt mit dem öffentlich.
SSL kann aber in diesem einfachen Fall den Client nicht identifizieren. Dafür benötigt man die Schlüssel zusätzlich andersrum.
Und genau das ist ja das Problem bei Dir. Du willst Clients sicher identifizieren.

Die Frage ist: Kann WPA2 das, oder setzt das komplett auf das Vorhandensein eines geheimen Schlüssels?
Nein, Ja

Was gibt es da sonst an Möglichkeiten?
- verschlüsseltes WLAN und das Kennwort nur den Nutzern sagen
- unverschlüsseltes WLAN und danach eine Sicherung, z.B. eine VPN/SSH Verbindung zur monowall/gateways

Du brauchsts immer irgendwas was nur der Client weiß oder hat:
- WPA PSK
- Benutzername/Kennwort
- Zertifikat

Du kannst nicht einfach eine Tür abschliessen und den Schlüssel daneben hängen face-smile
maretz
maretz 16.05.2010 um 07:03:30 Uhr
Goto Top
Moin,

selbst wenn wir mal annehmen das es sich um ne Schule o.ä. handelt bei dem jeder Schüler dann das Kennwort hätte dann macht das immernoch Sinn. Denn wenn ich vor der Schule halte dann habe ich das Passwort immernoch nicht. Also bringt mir das WLAN wenig.

Oder möchtest du das Passwort etwa einfach so am Zettel an die Haustür hängen? Wenn die Überprüfung jetzt per MAC erfolgt dann müssen sich die Teilnehmer ja eh irgendwo melden (damit du die MAC bekommst). Dann kann man an der Stelle auch gleich das Passwort rausgeben...

Ganz nebenbei: Guck mal im Bereich "Hotel" - auch dort hast du oft das WLAN gesichert obwohl das Passwort für jeden Gast sichbar im Zimmer hinterlegt ist... Aber auch da ist es eben nur jeder Gast der einmal da war - das Script-Kiddy was meint es kann ja "War-Driven" sieht nur das es verschlüsselt ist und geht gleich weiter... (Mit nen bisserl pipi in den Augen weil es zu blöd ist da noch weiterzukommen - aber das ist ein anderes Thema...)
aqui
aqui 16.05.2010, aktualisiert am 18.10.2012 um 18:42:09 Uhr
Goto Top
Das wäre Unsinn mit einem öffentlich bekannten Schlüssel, dann kannst du die APs auch gleich offen betreiben wie es jetzt ist !
Die Frage ist WAS das für ein WLAN ist und da lässt du uns dummerweise im Dunkeln tappen face-sad
So kann man nur wild raten das das vermutlich ein Gästenetz ist oder eins für Schüler oder sowas....
Dort macht es dann Sinn alles offen zu lassen aber auf der Monowall wenigstens ein Captive Portal zu betreiben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Hier solltest du dann zentral die Mac Adressen aus dem WLAN verwalten was du ja auch schon machst. Zusätzlich solltest du auch noch die CP Authentisierung laufen lassen.
So hast du wenigstens 2 Hürden. Das CP Passwort kannst du zusätzlich wechseln in Abständen. Ganz wasserdicht wirst du es aber nie bekommen.
Das schaffst du nur wenn du eine Authentisierung mit einem Zertifikat machst. Dann kannst du absolut sicher sein das nur Geräte auf denen das Zertifikat rennt ins WLAN kommen. Ob du das dann offen machst oder mit der Authentisierung über die Mac Adresse kopplest ist Geschmackssache...
Wie man sowas schnell umsetzt kannst du hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
neuni88
neuni88 16.05.2010 um 21:41:23 Uhr
Goto Top
Also es handelt sich um ein WLAN in einer Schule. Alle Access Points sind Linksys-Geräte (WAP54GL, WRT54GL, WRT160N) teilweise mit dd-wrt.
Die APs führen keine MAC-Filterung durch, sondern die m0n0wall, durch die alle Verbindungen durch müssen um ins Internet zu gelangen.
Dass MAC-Adressen ohne Probleme fälschbar sind, ist mir durchaus bewusst.
Insgesamt gibt es ca. 300+ potenzielle Benutzer. Ein Passwort dürfte also schon recht öffentlich sein.
Die Benutzeranmeldung an der m0n0wall ist zwar eine schöne Sache, allerdings mussten wir in der Vergangenheit feststellen, dass die Leute es einfach nicht auf die Reihe bekommen sich ein Passwort zu merken. Folglich haben wir einen riesen Supportaufwand damit. Das können wir uns aber leider nicht erlauben.
Zu SSL: Natürlich kann man damit nicht authentifizieren. Will ich ja auch garnicht. Nur sind damit ja Verbindungen sicher gegen Abhören.

Eigentlich ist die Sache im Moment wunderbar, nur eben nicht sonderlich sicher. Gerade in Hinblick auf die neusten gerichtlichen Entscheidungen bereitet mir das etwas Bauchschmerzen.

Die Idee mit dem WPA2 hatte ich, da ich gehört habe, dass es bei uns an der Uni wohl auch mal so gemacht wurde, bevor es das jetztige eduroam gab. Schade wenn das nichts bringt...

Werde mir die Zertifikatsgeschichte mal ansehen.

Danke schonmal für die Tipps.
neuni88
neuni88 16.05.2010 um 22:23:33 Uhr
Goto Top
Kleine Frage zu den Zertifikaten noch:
Kann ich das mit openRADIUS auch so umsetzen, dass der Benutzer kein Passwort eingeben muss? (Also über ein persönliches Zertifikat identifiziert wird)
Das wäre ja dann ideal.
Konnte leider nichts dazu finden. (Weiß aber auch ehrlich gesagt nicht, wie sich das dann genau nennt.)
StefanKittel
StefanKittel 17.05.2010 um 00:02:49 Uhr
Goto Top
Zitat von @neuni88:
Kann ich das mit openRADIUS auch so umsetzen, dass der Benutzer kein Passwort eingeben muss? (Also über ein persönliches Zertifikat identifiziert wird)
Hallo,
Ja. Bei der Installation des Zertifikates (eine datei) muss einmalig ein Kennwort eingegeben werden. Also sollte entweder dieses kennwort sicher sein oder die Datei niemand in die falschen Finger bekommen.
Stefan
neuni88
neuni88 17.05.2010 um 00:34:52 Uhr
Goto Top
Danke schonmal!

In der Anleitung, die aqui verlinkt hat wird ja nur ein Zertifikat ausgegeben. Das heißt ich würde das allen Zur Verfügung stellen und dann einmalig bei der Einrichtung einen Benutzernamen / ein Passwort eingeben. Richtig?
Die APs müssten dann aber sicherlich alle die gleiche SSID haben, oder? Im Moment sind die unterschiedlich benannt.
Wenn die Benutzer nur einmalig die Daten bei der Anmeldung eingeben müssen ist das ja kein Problem. Nur das im Kopf behalten fällt vielen leider schwer...
maretz
maretz 17.05.2010 um 06:01:04 Uhr
Goto Top
Moin,

bei 300 Leuten ist das Passwort alles andere als öffentlich. Natürlich - jeder Schüler von euch kann das weitergeben. Aber jemand der eben nur bei euch vor der Schule mit nem Laptop hält wird das mit großer Sicherheit nicht kennen. Damit hast du schonmal eine Gefahr ausgeschaltet...

Allerdings ist natürlich auch klar das dein Passwort nicht wirklich sicher sein kann. Hier stellt sich dann die Frage warum der Support-Aufwand so hoch ist mit den Passwörtern für die Schüler? Ich persönlich glaube nämlich nicht das dich Zertifikate weiterbringen - diese musst du auch regelmäßig (nach Abgang eines Jahres z.B.) ändern / ablaufen lassen. Und die neuen Schüler brauchen dann hilfe beim Verwenden des Zertifikates...

Jetzt wäre also intressant was für eine Schule das ist. Aber wenn das irgendwas ab 6te Klasse ist dann darf man von den Leuten die Fähigkeit erwarten das die sich ein Passwort merken können. Hier kann man ja durchaus die Option schaffen das die das PW selbst ändern. Dies hat nämlich (je nach Log-Funktion bei euch) auch den Vorteil das jeder Schüler auch für seine Sache selbst verantwortlich ist. Nehmen wir mal den ganz harten Fall an: Schülerin x trennt sich von ihrem Typen weil die nen anderen gefunden hat (man munkelt das sowas in Schulen durchaus öfters mal der Fall ist). Dummerweise hat der Ex noch die schönen "privat-Bilder" und -Videos auf dem Rechner und stellt die jetzt online. Solang bei dir alles offen ist - rate mal wer jetzt einen Schlag vorm Schädel wegen Verbreitung von Kinderpornos bekommt? (Und sorry wenn ich das jetzt ganz hart sage - aber wenn ich mir angucke was heute teils da so rumrennt dann halte ich es für nicht SO unmöglich das Kiddys auf solche Ideen kommen...).

Von daher stelle ich bei sowas meine Sicherheit (nämlich das ich erst gar keine langen Probleme mit den Herrn vom Amt hab) nach oben. Wenn jemand dann meint er ist zu dämlich sich ein Passwort (was eben ggf. sogar selbst gewählt werden darf) zu merken - pech. Oder holst du auch jeden morgen alle Schüler ab weil die vergessen haben wie der Schulweg ist? Und wenn das Pausenbrot zuhause liegt - egal, gibt man denen halt ne Runde in der Pommes-Bude nebenan aus... Und wenn dann ein Schüler meint er muss als Nutzernamen "mike" und als Passwort "mike" nehmen - mir auch egal. DAS ist seine Entscheidung, nicht meine...

Gruß

Mike (und nein, das ist nicht mein Passwort... ;) )
neuni88
neuni88 17.05.2010 um 13:47:23 Uhr
Goto Top
Ja das stimmt wohl.
Klar, die Sicherheit geht natürlich vor. Wenn es nicht anders geht, dann auch gerne über Passwörter. Wir mussten nur leider in der Vergangenheit feststellen, dass das schwierig ist.

Am Sinnvollsten wäre ja dann sicherlich der Einsatz von RADIUS auf den APs direkt, die sich über einen freeRADIUS anmelden, oder?
Die m0n0wall-Passwortabfrage basiert ja auch nur auf MAC-Adressen nach der Anmeldung.
Müssen die Benutzer ihre Daten dann bei jeder Anmeldung am WLAN einfach eingeben, oder wie genau läuft das?
Gibt es für die Benutzerverwaltung des RADIUS eigentlich GUIs? (Auch in Hinblick auf das Ändern des eigenen Passworts)
aqui
aqui 17.05.2010 um 22:47:21 Uhr
Goto Top
Es geht auch nur mit Zertifikat. Du kannst dann zum User zertifikat die Mac Adressen der PCs nehmen. Das sollte dann einigermaßen sicher sein.
Jedenfalls kannst du davon dann ausgehen das nur mit diesen rechnern die das Zertifikat draufhaben und den Mac Adressen dann zugegriffen wird...
Das Zertifikat man man installiert nichtkopieren..
neuni88
neuni88 18.05.2010 um 00:21:23 Uhr
Goto Top
Also ich habe mir das alles mal genauer angesehen.
Benutzername / Passwort würde ich dem Installieren von Zertifikaten vorziehen. Wenn jemand sein Passwort vergisst, lässt sich das ja über eine "Passwort vergessen"-Funktion lösen. Das lässt sich gut automatisieren.
Am liebsten wäre es mir, wenn der Benutzer nichts installieren muss, sondern einfach seine Benutzerdaten eingibt beim Anmelden an einen AP. Ist das machbar, oder benötigt man immer ein Wurzelzertifikat?
Welche Technik muss ich dann verwenden? Habe so einiges gefunden wie TTLS, EAP, ...
Leider muss man scheinbar immer recht viel am Laptop umstellen. (Also manuell das Netzwerk anlegen, ...) Bei einigen Windows-Rechnern wird dann ja leider oft noch ein zu 100% unbedienbares Programm mitgeliefert, das das Windows eigene WLAN-Tool umschifft. Da stehen die Chancen doch eher schlecht, dass ein normaler Benutzer das einrichten kann auf seinem Gerät.

Stelle ich mir das zu simpel vor, wenn ich daran denke, dass man beim Verbinden einfach eine Abfrage von Benutzername und Passwort bekommt!?
StefanKittel
StefanKittel 18.05.2010 um 00:43:35 Uhr
Goto Top
Hallo,
das kannst Du so machen, aber gedacht ist es natürlich so, dass jeder sein Zertifikat bekommt. Dann kannst Du die Benutzer in der Monowall identifizieren.
Stefan
StefanKittel
StefanKittel 18.05.2010 um 00:46:16 Uhr
Goto Top
Hallo,
ich kenne jetzt keine konkrete Software die das macht, aber es ist standard.
Ins WLAN kommt man unverschlüsselt ohne alles. Wenn man nun ins Internet geht, kommt man von der monowall immer nur auf eine Anmeldenseite. Dort gibt man Benutzername und Kennwort und wird für x Stunden freigeschaltet. So wirds bei den meisten kommerziellen Hotspots gemacht.
Stefan
neuni88
neuni88 18.05.2010 um 15:24:14 Uhr
Goto Top
Naja klar, das ist das m0n0wall-Prinzip. Aber auch die nutzen im Hintergrund nur die MACs zum authentifizieren. Das will ich ja gerade nicht.
aqui
aqui 20.05.2010 um 12:49:41 Uhr
Goto Top
Dann bleiben dir logischerweise nur Zertifikate oder Username / Passwort mit oder ohne Radius....andere Verfahren gibt es ja nicht am Markt !!
neuni88
neuni88 20.05.2010 um 21:58:30 Uhr
Goto Top
Schon klar.
Werde mir erstmal eine Testumgebung mit RADIUS und MD5-Auth aufsetzen. Denke mal das ist in unserem Fall das beste. (Auch wenn die MD5-Variante so ihre Lücken hat)

Danke für eure Tipps!