WLAN mit WPA2 trotz öffentlich bekanntem Schlüssel sinnvoll?
Macht eine WPA2-Verschlüsselung auch Sinn, wenn jeder das Passwort kennt?
Hallo,
wir haben ein WLAN-Netz in Betrieb, das an einer m0n0wall hängt.
Darüber werden alle Clients per MAC-Adresse authentifiziert.
Die APs sind im Moment alle unverschlüsselt.
Würde es Sinn machen, die APs per WPA2 zu verschlüsseln mit einem öffentlich bekanntem Passwort?
Würde das die Verbindungen der Clients zum Netzwerk/Internet sicherer machen gegen Abhören, usw. ?
SSL funktioniert ja auch wunderbar, obwohl es keinen geheimen Schlüssel gibt.
Die Frage ist: Kann WPA2 das, oder setzt das komplett auf das Vorhandensein eines geheimen Schlüssels?
Was gibt es da sonst an Möglichkeiten?
Hallo,
wir haben ein WLAN-Netz in Betrieb, das an einer m0n0wall hängt.
Darüber werden alle Clients per MAC-Adresse authentifiziert.
Die APs sind im Moment alle unverschlüsselt.
Würde es Sinn machen, die APs per WPA2 zu verschlüsseln mit einem öffentlich bekanntem Passwort?
Würde das die Verbindungen der Clients zum Netzwerk/Internet sicherer machen gegen Abhören, usw. ?
SSL funktioniert ja auch wunderbar, obwohl es keinen geheimen Schlüssel gibt.
Die Frage ist: Kann WPA2 das, oder setzt das komplett auf das Vorhandensein eines geheimen Schlüssels?
Was gibt es da sonst an Möglichkeiten?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 142885
Url: https://administrator.de/forum/wlan-mit-wpa2-trotz-oeffentlich-bekanntem-schluessel-sinnvoll-142885.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
Es gibt keine mir bekannte Methode einen Computer technisch zu identifizieren. Wenns das gäbe, gäbs auch keine Raubkopien...
SSL kann aber in diesem einfachen Fall den Client nicht identifizieren. Dafür benötigt man die Schlüssel zusätzlich andersrum.
Und genau das ist ja das Problem bei Dir. Du willst Clients sicher identifizieren.
- unverschlüsseltes WLAN und danach eine Sicherung, z.B. eine VPN/SSH Verbindung zur monowall/gateways
Du brauchsts immer irgendwas was nur der Client weiß oder hat:
- WPA PSK
- Benutzername/Kennwort
- Zertifikat
Du kannst nicht einfach eine Tür abschliessen und den Schlüssel daneben hängen
Zitat von @neuni88:
wir haben ein WLAN-Netz in Betrieb, das an einer m0n0wall hängt.
Darüber werden alle Clients per MAC-Adresse authentifiziert.
Die sich aber mit ein paar Klicks fälschen läßtwir haben ein WLAN-Netz in Betrieb, das an einer m0n0wall hängt.
Darüber werden alle Clients per MAC-Adresse authentifiziert.
Es gibt keine mir bekannte Methode einen Computer technisch zu identifizieren. Wenns das gäbe, gäbs auch keine Raubkopien...
Die APs sind im Moment alle unverschlüsselt.
Also nur der MAC-Filter? Siehe ObenWürde es Sinn machen, die APs per WPA2 zu verschlüsseln
JA!mit einem öffentlich bekanntem Passwort?
Nein! Aber erzähl doch mal warum das Kennwort öffentlich bekannt sein muß. Ist die Benutzergruppe so groß?Würde das die Verbindungen der Clients zum Netzwerk/Internet sicherer machen gegen Abhören, usw. ?
Nein, man hat ja den Schlüssel. Das trennen der Clients vom AP aus ist auch nicht sicher.SSL funktioniert ja auch wunderbar, obwohl es keinen geheimen Schlüssel gibt.
? Natürlich gibt es einen. Den hat der Server. Der Client verschlüsselt mit dem öffentlich.SSL kann aber in diesem einfachen Fall den Client nicht identifizieren. Dafür benötigt man die Schlüssel zusätzlich andersrum.
Und genau das ist ja das Problem bei Dir. Du willst Clients sicher identifizieren.
Die Frage ist: Kann WPA2 das, oder setzt das komplett auf das Vorhandensein eines geheimen Schlüssels?
Nein, JaWas gibt es da sonst an Möglichkeiten?
- verschlüsseltes WLAN und das Kennwort nur den Nutzern sagen- unverschlüsseltes WLAN und danach eine Sicherung, z.B. eine VPN/SSH Verbindung zur monowall/gateways
Du brauchsts immer irgendwas was nur der Client weiß oder hat:
- WPA PSK
- Benutzername/Kennwort
- Zertifikat
Du kannst nicht einfach eine Tür abschliessen und den Schlüssel daneben hängen
Moin,
selbst wenn wir mal annehmen das es sich um ne Schule o.ä. handelt bei dem jeder Schüler dann das Kennwort hätte dann macht das immernoch Sinn. Denn wenn ich vor der Schule halte dann habe ich das Passwort immernoch nicht. Also bringt mir das WLAN wenig.
Oder möchtest du das Passwort etwa einfach so am Zettel an die Haustür hängen? Wenn die Überprüfung jetzt per MAC erfolgt dann müssen sich die Teilnehmer ja eh irgendwo melden (damit du die MAC bekommst). Dann kann man an der Stelle auch gleich das Passwort rausgeben...
Ganz nebenbei: Guck mal im Bereich "Hotel" - auch dort hast du oft das WLAN gesichert obwohl das Passwort für jeden Gast sichbar im Zimmer hinterlegt ist... Aber auch da ist es eben nur jeder Gast der einmal da war - das Script-Kiddy was meint es kann ja "War-Driven" sieht nur das es verschlüsselt ist und geht gleich weiter... (Mit nen bisserl pipi in den Augen weil es zu blöd ist da noch weiterzukommen - aber das ist ein anderes Thema...)
selbst wenn wir mal annehmen das es sich um ne Schule o.ä. handelt bei dem jeder Schüler dann das Kennwort hätte dann macht das immernoch Sinn. Denn wenn ich vor der Schule halte dann habe ich das Passwort immernoch nicht. Also bringt mir das WLAN wenig.
Oder möchtest du das Passwort etwa einfach so am Zettel an die Haustür hängen? Wenn die Überprüfung jetzt per MAC erfolgt dann müssen sich die Teilnehmer ja eh irgendwo melden (damit du die MAC bekommst). Dann kann man an der Stelle auch gleich das Passwort rausgeben...
Ganz nebenbei: Guck mal im Bereich "Hotel" - auch dort hast du oft das WLAN gesichert obwohl das Passwort für jeden Gast sichbar im Zimmer hinterlegt ist... Aber auch da ist es eben nur jeder Gast der einmal da war - das Script-Kiddy was meint es kann ja "War-Driven" sieht nur das es verschlüsselt ist und geht gleich weiter... (Mit nen bisserl pipi in den Augen weil es zu blöd ist da noch weiterzukommen - aber das ist ein anderes Thema...)
Das wäre Unsinn mit einem öffentlich bekannten Schlüssel, dann kannst du die APs auch gleich offen betreiben wie es jetzt ist !
Die Frage ist WAS das für ein WLAN ist und da lässt du uns dummerweise im Dunkeln tappen
So kann man nur wild raten das das vermutlich ein Gästenetz ist oder eins für Schüler oder sowas....
Dort macht es dann Sinn alles offen zu lassen aber auf der Monowall wenigstens ein Captive Portal zu betreiben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Hier solltest du dann zentral die Mac Adressen aus dem WLAN verwalten was du ja auch schon machst. Zusätzlich solltest du auch noch die CP Authentisierung laufen lassen.
So hast du wenigstens 2 Hürden. Das CP Passwort kannst du zusätzlich wechseln in Abständen. Ganz wasserdicht wirst du es aber nie bekommen.
Das schaffst du nur wenn du eine Authentisierung mit einem Zertifikat machst. Dann kannst du absolut sicher sein das nur Geräte auf denen das Zertifikat rennt ins WLAN kommen. Ob du das dann offen machst oder mit der Authentisierung über die Mac Adresse kopplest ist Geschmackssache...
Wie man sowas schnell umsetzt kannst du hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Frage ist WAS das für ein WLAN ist und da lässt du uns dummerweise im Dunkeln tappen
So kann man nur wild raten das das vermutlich ein Gästenetz ist oder eins für Schüler oder sowas....
Dort macht es dann Sinn alles offen zu lassen aber auf der Monowall wenigstens ein Captive Portal zu betreiben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Hier solltest du dann zentral die Mac Adressen aus dem WLAN verwalten was du ja auch schon machst. Zusätzlich solltest du auch noch die CP Authentisierung laufen lassen.
So hast du wenigstens 2 Hürden. Das CP Passwort kannst du zusätzlich wechseln in Abständen. Ganz wasserdicht wirst du es aber nie bekommen.
Das schaffst du nur wenn du eine Authentisierung mit einem Zertifikat machst. Dann kannst du absolut sicher sein das nur Geräte auf denen das Zertifikat rennt ins WLAN kommen. Ob du das dann offen machst oder mit der Authentisierung über die Mac Adresse kopplest ist Geschmackssache...
Wie man sowas schnell umsetzt kannst du hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Zitat von @neuni88:
Kann ich das mit openRADIUS auch so umsetzen, dass der Benutzer kein Passwort eingeben muss? (Also über ein persönliches Zertifikat identifiziert wird)
Hallo,Kann ich das mit openRADIUS auch so umsetzen, dass der Benutzer kein Passwort eingeben muss? (Also über ein persönliches Zertifikat identifiziert wird)
Ja. Bei der Installation des Zertifikates (eine datei) muss einmalig ein Kennwort eingegeben werden. Also sollte entweder dieses kennwort sicher sein oder die Datei niemand in die falschen Finger bekommen.
Stefan
Moin,
bei 300 Leuten ist das Passwort alles andere als öffentlich. Natürlich - jeder Schüler von euch kann das weitergeben. Aber jemand der eben nur bei euch vor der Schule mit nem Laptop hält wird das mit großer Sicherheit nicht kennen. Damit hast du schonmal eine Gefahr ausgeschaltet...
Allerdings ist natürlich auch klar das dein Passwort nicht wirklich sicher sein kann. Hier stellt sich dann die Frage warum der Support-Aufwand so hoch ist mit den Passwörtern für die Schüler? Ich persönlich glaube nämlich nicht das dich Zertifikate weiterbringen - diese musst du auch regelmäßig (nach Abgang eines Jahres z.B.) ändern / ablaufen lassen. Und die neuen Schüler brauchen dann hilfe beim Verwenden des Zertifikates...
Jetzt wäre also intressant was für eine Schule das ist. Aber wenn das irgendwas ab 6te Klasse ist dann darf man von den Leuten die Fähigkeit erwarten das die sich ein Passwort merken können. Hier kann man ja durchaus die Option schaffen das die das PW selbst ändern. Dies hat nämlich (je nach Log-Funktion bei euch) auch den Vorteil das jeder Schüler auch für seine Sache selbst verantwortlich ist. Nehmen wir mal den ganz harten Fall an: Schülerin x trennt sich von ihrem Typen weil die nen anderen gefunden hat (man munkelt das sowas in Schulen durchaus öfters mal der Fall ist). Dummerweise hat der Ex noch die schönen "privat-Bilder" und -Videos auf dem Rechner und stellt die jetzt online. Solang bei dir alles offen ist - rate mal wer jetzt einen Schlag vorm Schädel wegen Verbreitung von Kinderpornos bekommt? (Und sorry wenn ich das jetzt ganz hart sage - aber wenn ich mir angucke was heute teils da so rumrennt dann halte ich es für nicht SO unmöglich das Kiddys auf solche Ideen kommen...).
Von daher stelle ich bei sowas meine Sicherheit (nämlich das ich erst gar keine langen Probleme mit den Herrn vom Amt hab) nach oben. Wenn jemand dann meint er ist zu dämlich sich ein Passwort (was eben ggf. sogar selbst gewählt werden darf) zu merken - pech. Oder holst du auch jeden morgen alle Schüler ab weil die vergessen haben wie der Schulweg ist? Und wenn das Pausenbrot zuhause liegt - egal, gibt man denen halt ne Runde in der Pommes-Bude nebenan aus... Und wenn dann ein Schüler meint er muss als Nutzernamen "mike" und als Passwort "mike" nehmen - mir auch egal. DAS ist seine Entscheidung, nicht meine...
Gruß
Mike (und nein, das ist nicht mein Passwort... ;) )
bei 300 Leuten ist das Passwort alles andere als öffentlich. Natürlich - jeder Schüler von euch kann das weitergeben. Aber jemand der eben nur bei euch vor der Schule mit nem Laptop hält wird das mit großer Sicherheit nicht kennen. Damit hast du schonmal eine Gefahr ausgeschaltet...
Allerdings ist natürlich auch klar das dein Passwort nicht wirklich sicher sein kann. Hier stellt sich dann die Frage warum der Support-Aufwand so hoch ist mit den Passwörtern für die Schüler? Ich persönlich glaube nämlich nicht das dich Zertifikate weiterbringen - diese musst du auch regelmäßig (nach Abgang eines Jahres z.B.) ändern / ablaufen lassen. Und die neuen Schüler brauchen dann hilfe beim Verwenden des Zertifikates...
Jetzt wäre also intressant was für eine Schule das ist. Aber wenn das irgendwas ab 6te Klasse ist dann darf man von den Leuten die Fähigkeit erwarten das die sich ein Passwort merken können. Hier kann man ja durchaus die Option schaffen das die das PW selbst ändern. Dies hat nämlich (je nach Log-Funktion bei euch) auch den Vorteil das jeder Schüler auch für seine Sache selbst verantwortlich ist. Nehmen wir mal den ganz harten Fall an: Schülerin x trennt sich von ihrem Typen weil die nen anderen gefunden hat (man munkelt das sowas in Schulen durchaus öfters mal der Fall ist). Dummerweise hat der Ex noch die schönen "privat-Bilder" und -Videos auf dem Rechner und stellt die jetzt online. Solang bei dir alles offen ist - rate mal wer jetzt einen Schlag vorm Schädel wegen Verbreitung von Kinderpornos bekommt? (Und sorry wenn ich das jetzt ganz hart sage - aber wenn ich mir angucke was heute teils da so rumrennt dann halte ich es für nicht SO unmöglich das Kiddys auf solche Ideen kommen...).
Von daher stelle ich bei sowas meine Sicherheit (nämlich das ich erst gar keine langen Probleme mit den Herrn vom Amt hab) nach oben. Wenn jemand dann meint er ist zu dämlich sich ein Passwort (was eben ggf. sogar selbst gewählt werden darf) zu merken - pech. Oder holst du auch jeden morgen alle Schüler ab weil die vergessen haben wie der Schulweg ist? Und wenn das Pausenbrot zuhause liegt - egal, gibt man denen halt ne Runde in der Pommes-Bude nebenan aus... Und wenn dann ein Schüler meint er muss als Nutzernamen "mike" und als Passwort "mike" nehmen - mir auch egal. DAS ist seine Entscheidung, nicht meine...
Gruß
Mike (und nein, das ist nicht mein Passwort... ;) )
Es geht auch nur mit Zertifikat. Du kannst dann zum User zertifikat die Mac Adressen der PCs nehmen. Das sollte dann einigermaßen sicher sein.
Jedenfalls kannst du davon dann ausgehen das nur mit diesen rechnern die das Zertifikat draufhaben und den Mac Adressen dann zugegriffen wird...
Das Zertifikat man man installiert nichtkopieren..
Jedenfalls kannst du davon dann ausgehen das nur mit diesen rechnern die das Zertifikat draufhaben und den Mac Adressen dann zugegriffen wird...
Das Zertifikat man man installiert nichtkopieren..
Hallo,
ich kenne jetzt keine konkrete Software die das macht, aber es ist standard.
Ins WLAN kommt man unverschlüsselt ohne alles. Wenn man nun ins Internet geht, kommt man von der monowall immer nur auf eine Anmeldenseite. Dort gibt man Benutzername und Kennwort und wird für x Stunden freigeschaltet. So wirds bei den meisten kommerziellen Hotspots gemacht.
Stefan
ich kenne jetzt keine konkrete Software die das macht, aber es ist standard.
Ins WLAN kommt man unverschlüsselt ohne alles. Wenn man nun ins Internet geht, kommt man von der monowall immer nur auf eine Anmeldenseite. Dort gibt man Benutzername und Kennwort und wird für x Stunden freigeschaltet. So wirds bei den meisten kommerziellen Hotspots gemacht.
Stefan