WLAN vor EvilTwin schützen bei automatischer Verbindungsherstellung
Hallo zusammen,
verbindet sich ein Device automatisch bei stärkeren Signal, wenn ein Angreifer die selbe SSID benutzt?
Funktioniert das nur bei offenen WLANs?
Quasi wenn original AP offen ist und Evil Twin mit gleicher SSID auch?
Was ist wenn original AP einen WPA2 Key benutzt?
Wird sich das Device mit dem Angreifer AP auch automatisch verbinden, obwohl im Device ein Key für den originalen AP eingestellt wurde?
Wäre ja blöd wenn sich das Device dann dennochh bei gleichher SSID mit dem fremden Netz verbindet, nur weil der Anfgreifer AP offen ist.
Frage ist, wird dann die zuvor über den originalen AP gespeicherten Verbindung + Key im Device ignoriert, so dass eine automatische Verbindung zum offenen Angreifer Zugang mit selber SSID hergestellt wird?
Oder blockt das Device dann sofort ab und verbindet sich nicht, da die Konfiguration Offen vs. WPA nicht übereinstimmt?
Grüße Sebastian.
verbindet sich ein Device automatisch bei stärkeren Signal, wenn ein Angreifer die selbe SSID benutzt?
Funktioniert das nur bei offenen WLANs?
Quasi wenn original AP offen ist und Evil Twin mit gleicher SSID auch?
Was ist wenn original AP einen WPA2 Key benutzt?
Wird sich das Device mit dem Angreifer AP auch automatisch verbinden, obwohl im Device ein Key für den originalen AP eingestellt wurde?
Wäre ja blöd wenn sich das Device dann dennochh bei gleichher SSID mit dem fremden Netz verbindet, nur weil der Anfgreifer AP offen ist.
Frage ist, wird dann die zuvor über den originalen AP gespeicherten Verbindung + Key im Device ignoriert, so dass eine automatische Verbindung zum offenen Angreifer Zugang mit selber SSID hergestellt wird?
Oder blockt das Device dann sofort ab und verbindet sich nicht, da die Konfiguration Offen vs. WPA nicht übereinstimmt?
Grüße Sebastian.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 273330
Url: https://administrator.de/contentid/273330
Ausgedruckt am: 14.11.2024 um 11:11 Uhr
11 Kommentare
Neuester Kommentar
verbindet sich ein Device automatisch bei stärkeren Signal, wenn ein Angreifer die selbe SSID benutzt?
Das kaommt auf den Treiber des Clients an und kann man so pauschal nicht beantworten. In der Regel wird auch NICHT die SSID sondern immer die BSSID verwendet (Mac Adresse des AP). Aber die ist natürlich auch fakebar.Funktioniert das nur bei offenen WLANs?
Nein, generell bei allen weil die Authentisierung nicht von der SSID bzw. BSSID abhängig ist.Was ist wenn original AP einen WPA2 Key benutzt?
Was soll dann sein ?? Dann hat er einen Key !?Du meinst wenn sich ein Client damit assoziiert und eine WPA Authentisierung startet ? Dann wir die nur einzig mit dieser BSSID gemacht und keiner anderen. Die Crypto Session ist dediziert auf die BSSID.
Wird sich das Device mit dem Angreifer AP auch automatisch verbinden
Nur wenn es einmal verbunden war und ein identischer Key (PSK) existiert ! Ist der PSK bekannt ist natürlich böse. Deshalb ist eine 802.1x Authentisierung mit Radius und Key immer besser (WPA Enterprise)wenn sich das Device dann dennochh bei gleichher SSID mit dem fremden Netz verbindet, nur weil der Anfgreifer AP offen ist.
Wie gesagt, das ist egal. Wenn die BSSID bekannt ist und das PSK bei WPA mit PSK ists vorbei dann verbindet sich der Client kritiklos.über den originalen AP gespeicherten Verbindung + Key im Device ignoriert, so dass eine automatische Verbindung zum offenen Angreifer Zugang mit selber SSID hergestellt wird?
Ja, wenn ein pre shared Key verwendet wird ist das alles obsolet. Sowie die BSSID bekannt ist oder gefaked wurde ist die Verbindung automatisch wenn du das bei Winblows angeklickt hast (permanent).
Hallo,
Nicht zwingend. Das ist zwar eins der entscheidungsgründe aber nicht das alleinige. Der Client entscheidet selbständig wann er wechseln will. Da spielen HW - FW - Client OS und Philosophie des Herstellers mit rein .
Gruß,
Peter
Nicht zwingend. Das ist zwar eins der entscheidungsgründe aber nicht das alleinige. Der Client entscheidet selbständig wann er wechseln will. Da spielen HW - FW - Client OS und Philosophie des Herstellers mit rein .
wenn ein Angreifer die selbe SSID benutzt?
Daran wird er nicht gehindert.Funktioniert das nur bei offenen WLANs?
Nein, auch bei abgeschlossenen.Was ist wenn original AP einen WPA2 Key benutzt?
Auch dann, sofern der Angreifer diesen WPA2 auch nutztobwohl im Device ein Key
?!? oder meinst du einen MAC Filter (Eintrag)?nur weil der Anfgreifer AP offen ist.
Ein MAC Filter hindert nur den AP eine Verbindung zuzulassen. Kein MAC Filter - keine Hinderungautomatische Verbindung zum offenen Angreifer Zugang mit selber SSID hergestellt wird?
Nur die SSID entscheidet. Die Hardware des AP kann sich beliebig ändern, sofern SSID - WEP/WPA/WPA2 passt gibt es eine Verbindung. MAC Filter hilft auch etwas, sollte aber nicht als absoluten Hinderungsgrund angesehen werden, gerade wenn ein Angreifer einen AP betreibt und dort eben kein MAC Filter nutzt.Oder blockt das Device dann sofort ab und verbindet sich nicht, da die Konfiguration Offen vs. WPA nicht übereinstimmt?
Klar - Offen - WEP - WPA - WPA2 muss schon passen.Gruß,
Peter
Also muss man selbst nicht so viel Angst haben wenn der Nachbar z.B. die selbe SSID benutzt und sein WLAN z.B. öffnet.
Jein.... Wenn du bedenkenlos oder jemand anderes mit weniger technischem KnowHow einfach auf verbinden klickt hast du schon verloren !Wenn der Angreifer auch noch die Mac deines APs simuliert dann ists so oder so aus. Dann verbindet sich dein Client sofort, denn nun kann er nichtmal mehr die BSSID unterscheiden !
Sind BSSID und PSK Key bekannt ists vorbei bei statischen Passwörtern !
Hallo,
Gruß,
Peter
Zitat von @JohnMcClane:
Da muss ich schon selbständig erneut auf die offene gefakte Verbindung klicken und mich verbinden oder?
Oder fehlerhafte Firmware oder Client Software nutzen, reicht schon aus... Wenn du dein Nachbarn so weit geärgert hast das dieser dir dein WLAN madig machen will, nutze Zertifikate, Radius usw. Ein unsichtbar machen der SSID(BSSID) nutzt eh nichts, wird ja doch wieder Übertragen im Funk.....Da muss ich schon selbständig erneut auf die offene gefakte Verbindung klicken und mich verbinden oder?
Gruß,
Peter
Mir war so, als wenn bei bestimmten WPA-Einstellungen (ich glaube bei WPA + WPA2-Mischbetrieb) ein Angreifer mit genügend Verbindungs- und Authentifizierungsversuchen den PSK daraus errechnen kann - ich finde aber gerade den Artikel nicht mehr in dem das stand.
Wenn du ganz sicher gehen willst, machst du Authentifizierung über 802.1x mit eigenem CA-Zertifikat (was natürlich auf allen Clients installiert sein muss).
Da der Angreifer dein erzeugtes Zertifikat resp. dessen Schlüssel nicht hat, würden sich die Clients nicht mehr automatisch verbinden sondern stattdessen eine Warnung über ungültige/unvertraute Zertifikate anzeigen. Da steht und fällt es dann mit der Konditionierung des Nutzers, diese Warnung ernst zu nehmen...
Wenn du ganz sicher gehen willst, machst du Authentifizierung über 802.1x mit eigenem CA-Zertifikat (was natürlich auf allen Clients installiert sein muss).
Da der Angreifer dein erzeugtes Zertifikat resp. dessen Schlüssel nicht hat, würden sich die Clients nicht mehr automatisch verbinden sondern stattdessen eine Warnung über ungültige/unvertraute Zertifikate anzeigen. Da steht und fällt es dann mit der Konditionierung des Nutzers, diese Warnung ernst zu nehmen...
Wenn du dein Nachbarn so weit geärgert hast das dieser dir dein WLAN madig machen will,
Oder schnüffel ihn halt selber aus und ärger ihn Netzwerk Management Server mit Raspberry Pi