johnmcclane
Goto Top

WLAN vor EvilTwin schützen bei automatischer Verbindungsherstellung

Hallo zusammen,

verbindet sich ein Device automatisch bei stärkeren Signal, wenn ein Angreifer die selbe SSID benutzt?


Funktioniert das nur bei offenen WLANs?
Quasi wenn original AP offen ist und Evil Twin mit gleicher SSID auch?

Was ist wenn original AP einen WPA2 Key benutzt?
Wird sich das Device mit dem Angreifer AP auch automatisch verbinden, obwohl im Device ein Key für den originalen AP eingestellt wurde?

Wäre ja blöd wenn sich das Device dann dennochh bei gleichher SSID mit dem fremden Netz verbindet, nur weil der Anfgreifer AP offen ist.


Frage ist, wird dann die zuvor über den originalen AP gespeicherten Verbindung + Key im Device ignoriert, so dass eine automatische Verbindung zum offenen Angreifer Zugang mit selber SSID hergestellt wird?
Oder blockt das Device dann sofort ab und verbindet sich nicht, da die Konfiguration Offen vs. WPA nicht übereinstimmt?


Grüße Sebastian.

Content-ID: 273330

Url: https://administrator.de/contentid/273330

Ausgedruckt am: 14.11.2024 um 11:11 Uhr

aqui
Lösung aqui 30.05.2015 aktualisiert um 14:04:06 Uhr
Goto Top
verbindet sich ein Device automatisch bei stärkeren Signal, wenn ein Angreifer die selbe SSID benutzt?
Das kaommt auf den Treiber des Clients an und kann man so pauschal nicht beantworten. In der Regel wird auch NICHT die SSID sondern immer die BSSID verwendet (Mac Adresse des AP). Aber die ist natürlich auch fakebar.
Funktioniert das nur bei offenen WLANs?
Nein, generell bei allen weil die Authentisierung nicht von der SSID bzw. BSSID abhängig ist.
Was ist wenn original AP einen WPA2 Key benutzt?
Was soll dann sein ?? Dann hat er einen Key !?
Du meinst wenn sich ein Client damit assoziiert und eine WPA Authentisierung startet ? Dann wir die nur einzig mit dieser BSSID gemacht und keiner anderen. Die Crypto Session ist dediziert auf die BSSID.
Wird sich das Device mit dem Angreifer AP auch automatisch verbinden
Nur wenn es einmal verbunden war und ein identischer Key (PSK) existiert ! Ist der PSK bekannt ist natürlich böse. Deshalb ist eine 802.1x Authentisierung mit Radius und Key immer besser (WPA Enterprise)
wenn sich das Device dann dennochh bei gleichher SSID mit dem fremden Netz verbindet, nur weil der Anfgreifer AP offen ist.
Wie gesagt, das ist egal. Wenn die BSSID bekannt ist und das PSK bei WPA mit PSK ists vorbei dann verbindet sich der Client kritiklos.
über den originalen AP gespeicherten Verbindung + Key im Device ignoriert, so dass eine automatische Verbindung zum offenen Angreifer Zugang mit selber SSID hergestellt wird?
Ja, wenn ein pre shared Key verwendet wird ist das alles obsolet. Sowie die BSSID bekannt ist oder gefaked wurde ist die Verbindung automatisch wenn du das bei Winblows angeklickt hast (permanent).
Pjordorf
Lösung Pjordorf 30.05.2015 aktualisiert um 14:04:05 Uhr
Goto Top
Hallo,

Zitat von @JohnMcClane:
verbindet sich ein Device automatisch bei stärkeren Signal
Nicht zwingend. Das ist zwar eins der entscheidungsgründe aber nicht das alleinige. Der Client entscheidet selbständig wann er wechseln will. Da spielen HW - FW - Client OS und Philosophie des Herstellers mit rein .

wenn ein Angreifer die selbe SSID benutzt?
Daran wird er nicht gehindert.

Funktioniert das nur bei offenen WLANs?
Nein, auch bei abgeschlossenen.

Was ist wenn original AP einen WPA2 Key benutzt?
Auch dann, sofern der Angreifer diesen WPA2 auch nutzt

obwohl im Device ein Key
?!? oder meinst du einen MAC Filter (Eintrag)?

nur weil der Anfgreifer AP offen ist.
Ein MAC Filter hindert nur den AP eine Verbindung zuzulassen. Kein MAC Filter - keine Hinderung

automatische Verbindung zum offenen Angreifer Zugang mit selber SSID hergestellt wird?
Nur die SSID entscheidet. Die Hardware des AP kann sich beliebig ändern, sofern SSID - WEP/WPA/WPA2 passt gibt es eine Verbindung. MAC Filter hilft auch etwas, sollte aber nicht als absoluten Hinderungsgrund angesehen werden, gerade wenn ein Angreifer einen AP betreibt und dort eben kein MAC Filter nutzt.

Oder blockt das Device dann sofort ab und verbindet sich nicht, da die Konfiguration Offen vs. WPA nicht übereinstimmt?
Klar - Offen - WEP - WPA - WPA2 muss schon passen.

Gruß,
Peter
JohnMcClane
JohnMcClane 30.05.2015 um 12:28:38 Uhr
Goto Top
Alles klar verstehe ich denke ich soweit.

Also muss man selbst nicht so viel Angst haben wenn der Nachbar z.B. die selbe SSID benutzt und sein WLAN z.B. öffnet.

Da die gespeicherte Verbindung vom originalen AP herkommt, auch wenn der Angreifer die MAC simuliert, ist immer noch Device der PSK gespeichert, so dass keine Verbindung zustande kommen dürfte.

Hoffe so ist es richtig zusammengefasst.

Schon eimal 1000 Dank!
aqui
Lösung aqui 30.05.2015 aktualisiert um 14:04:03 Uhr
Goto Top
Also muss man selbst nicht so viel Angst haben wenn der Nachbar z.B. die selbe SSID benutzt und sein WLAN z.B. öffnet.
Jein.... Wenn du bedenkenlos oder jemand anderes mit weniger technischem KnowHow einfach auf verbinden klickt hast du schon verloren !

Wenn der Angreifer auch noch die Mac deines APs simuliert dann ists so oder so aus. Dann verbindet sich dein Client sofort, denn nun kann er nichtmal mehr die BSSID unterscheiden !
Sind BSSID und PSK Key bekannt ists vorbei bei statischen Passwörtern !
JohnMcClane
JohnMcClane 30.05.2015 aktualisiert um 12:41:53 Uhr
Goto Top
Danke

Wenn BSSID bekannt ist und simuliert wird, aber der PSK Key nicht bekannt ist, dürfte keine Verbindung zustande kommen, korrekt?
Da muss ich schon selbständig erneut auf die offene gefakte Verbindung klicken und mich verbinden oder?

Wie du schon sagst, sind alle Infos bekannt, BSSID und PSK, dann ist glaub eh alles verloren.
aqui
Lösung aqui 30.05.2015 aktualisiert um 14:04:01 Uhr
Goto Top
aber der PSK Key nicht bekannt ist, dürfte keine Verbindung zustande kommen, korrekt?
Ja, das ist klar, dann klappts nicht.
Da muss ich schon selbständig erneut auf die offene gefakte Verbindung klicken oder?
Die Frage ist unverständlich... face-sad
Pjordorf
Lösung Pjordorf 30.05.2015 aktualisiert um 14:04:00 Uhr
Goto Top
Hallo,

Zitat von @JohnMcClane:
Da muss ich schon selbständig erneut auf die offene gefakte Verbindung klicken und mich verbinden oder?
Oder fehlerhafte Firmware oder Client Software nutzen, reicht schon aus... Wenn du dein Nachbarn so weit geärgert hast das dieser dir dein WLAN madig machen will, nutze Zertifikate, Radius usw. Ein unsichtbar machen der SSID(BSSID) nutzt eh nichts, wird ja doch wieder Übertragen im Funk.....

Gruß,
Peter
JohnMcClane
JohnMcClane 30.05.2015 um 12:51:20 Uhr
Goto Top
> Da muss ich schon selbständig erneut auf die offene gefakte Verbindung klicken oder?
Die Frage ist unverständlich... face-sad

Beziehte sich darauf, dass der Angreifer mit gefakter SSID und offenen AP dir eine Falle stellen kann, wenn er den PSK nicht kennt.
So das sich das Device nicht automatisch verbinden wird, da das Netz zwar offen ist, aber die PSK nicht stimmt.

Es sei denn du wählst es aktiv aus und verbindest dich mit dem gefakten Netz.
LordGurke
Lösung LordGurke 30.05.2015 aktualisiert um 14:03:56 Uhr
Goto Top
Mir war so, als wenn bei bestimmten WPA-Einstellungen (ich glaube bei WPA + WPA2-Mischbetrieb) ein Angreifer mit genügend Verbindungs- und Authentifizierungsversuchen den PSK daraus errechnen kann - ich finde aber gerade den Artikel nicht mehr in dem das stand.

Wenn du ganz sicher gehen willst, machst du Authentifizierung über 802.1x mit eigenem CA-Zertifikat (was natürlich auf allen Clients installiert sein muss).
Da der Angreifer dein erzeugtes Zertifikat resp. dessen Schlüssel nicht hat, würden sich die Clients nicht mehr automatisch verbinden sondern stattdessen eine Warnung über ungültige/unvertraute Zertifikate anzeigen. Da steht und fällt es dann mit der Konditionierung des Nutzers, diese Warnung ernst zu nehmen...
aqui
aqui 30.05.2015 um 13:39:16 Uhr
Goto Top
Wenn du dein Nachbarn so weit geärgert hast das dieser dir dein WLAN madig machen will,
Oder schnüffel ihn halt selber aus und ärger ihn face-smile
Netzwerk Management Server mit Raspberry Pi
JohnMcClane
JohnMcClane 30.05.2015 um 14:04:17 Uhr
Goto Top
Danke Jungs face-smile