stephan902
Goto Top

WPA2 sicher, wenn Kennwort bekannt?

Hallo,

ist WPA2 für die Datenübertragung noch sicher, wenn ein Angreifer das Kennwort kennt?

Es geht nicht um die Zugriffsbeschränkung, sondern um die Frage, ob die Datenübertragung anderer Nutzer abgehört werden können, wenn das Kennwort bekannt ist.

Content-ID: 307040

Url: https://administrator.de/contentid/307040

Ausgedruckt am: 26.11.2024 um 12:11 Uhr

Pjordorf
Pjordorf 14.06.2016 um 02:02:34 Uhr
Goto Top
Hallo,

Zitat von @stephan902:
ist WPA2 für die Datenübertragung noch sicher, wenn ein Angreifer das Kennwort kennt?
Nein.

sondern um die Frage, ob die Datenübertragung anderer Nutzer abgehört werden können, wenn das Kennwort bekannt ist.
Klar geht das. Wenn nicht noch zusätzlich VPN oder andere Verschlüßelungsmechanismen verwendet werden, kann der jenige der das WPA/WPA2 Passwort kennt fröhlich mitlesen.

Ist ein Gefängniss noch sicher wenn die Insassen die Kombination für die Türen und Tore kennen bzw. bleiben die dann noch drinnen oder können die nach belieben den Knast verlassen?

Gruß,
Peter
quax08
quax08 14.06.2016 um 07:26:39 Uhr
Goto Top
Hey,
Wie Pjordorf schon sagte ist es nicht mehr sicher.

Wenn jemand den Schlüssel hat, sich mit dem Wlan verbindet, hat er eine große Auswahl an Möglichkeiten um Schaden zu verursachen.

Nur mal als Beispiel, kann er dann die Einträge im Arp manipulieren und so einen recht einfachen MITM-Angriff ausführen. Oder oder oder.... Wenn man erstmal Zugang hat und im eigenen Netzwerk nicht noch mehr für die Sicherheit tut dann kann man in solch einem Fall ziemlich große Augen machen, was alles möglich ist face-wink
aqui
aqui 14.06.2016 aktualisiert um 08:40:43 Uhr
Goto Top
Ist die EC Karte noch sicher wenn die PIN bekannt ist ?
Es geht nicht um die Frage ob ich noch zum Geldautomaten gehen kann sondern darum ob andere das Konto leerräumen können...
Muss man wohl nicht weiter kommentieren sowas....
Lochkartenstanzer
Lochkartenstanzer 14.06.2016 aktualisiert um 09:17:18 Uhr
Goto Top
Zitat von @stephan902:

Hallo,

ist WPA2 für die Datenübertragung noch sicher, wenn ein Angreifer das Kennwort kennt?

Es geht nicht um die Zugriffsbeschränkung, sondern um die Frage, ob die Datenübertragung anderer Nutzer abgehört werden können, wenn das Kennwort bekannt ist.

Natürlich. Mit der Passphrase kann man die ganze Übertragung im Netz mithören. Wofür sonst sollte denn die Passphrase gut sein?


lks
eagle2
eagle2 14.06.2016 um 14:14:40 Uhr
Goto Top
Moin Stephan,

siehe dazu auch folgenden mit Radius) nutzt, kann niemand mehr den Traffic von anderen Clients mitlesen.

Viele Grüße
eagle2
Lochkartenstanzer
Lochkartenstanzer 14.06.2016 um 14:30:14 Uhr
Goto Top
Zitat von @eagle2:

... WPA2-PSK ... WPA2-Enterprise ...

Meine Kristallkugdel meint, der TO meint den ersteren fall und weiß nciht, daß es die zweite alternative gibt.

Von daher ist es naheliegend, daß er alles mitschneiden will. face-smile

lks
eagle2
eagle2 14.06.2016 um 14:38:19 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @eagle2:

... WPA2-PSK ... WPA2-Enterprise ...

Meine Kristallkugdel meint, der TO meint den ersteren fall und weiß nciht, daß es die zweite alternative gibt.

Von daher ist es naheliegend, daß er alles mitschneiden will. face-smile

lks

Da hast du vermutlich recht, aber der Vollständigkeit halber face-wink

Auf dem Chaos Communication Congress wird ja seit einiger Zeit aus genau dem Grund ein Netz mit WPA2-Enterprise angeboten, das mit jeglichen Zugangsdaten funktioniert, und so eben trotzdem die Sicherheit der einzelnen Nutzer gewährt.

Viele Grüße
eagle2
Sheogorath
Sheogorath 14.06.2016 um 15:57:37 Uhr
Goto Top
Moin,

... WPA2-PSK ... WPA2-Enterprise ...

Also bei dieser Frage ist die Unterscheidung bedingt irrelevant. Deswegen habe ich gestern auch nichts mehr dazu geschrieben.

Denn ob PSK oder Enterprise macht bei dem "Kennwort bekannt" nur in der Reichweite ein Problem. Der Punkt, dass WPA2 bei bekanntem Kennwort genauso gut unverschlüsselt laufen kann, bleibt. PSK oder Enterprise unterscheidet dann nur, ob es für einen einzelnen Zugang unsicher ist oder für alle :D

Gruß
Chris
stephan902
stephan902 14.06.2016 um 16:27:15 Uhr
Goto Top
Danke für die Antworten.

Der Unterschied zwischen WPA2-PSK und WPA2-Enterprise ist mehr sehrwohl bekannt, schließlich betreibe ich selbst einige WPA2-Enterprise Netzwerke.

Mir ging es lediglich darum, ob ein WPA2-Netzwerk mit öffentlich bekanntem Schlüssel oder ein gänzlich unverschlüsseltes W-LAN einen Unterschied macht hinsichtlich der Sichrheit. Dem scheint ja nicht so zu sein.
Lochkartenstanzer
Lochkartenstanzer 14.06.2016 um 16:44:37 Uhr
Goto Top
Zitat von @stephan902:

Mir ging es lediglich darum, ob ein WPA2-Netzwerk mit öffentlich bekanntem Schlüssel oder ein gänzlich unverschlüsseltes W-LAN einen Unterschied macht hinsichtlich der Sichrheit. Dem scheint ja nicht so zu sein.


Nur insofern, als das bei gänzlich unverschlüsseltem WLAN jeder "mitlesen" kann und Verwendung eines WPA-Passworts man den Kreis der Verdächtigen auf diejenigen einschränken kann, die das Paßwort kennen.

lks
stephan902
stephan902 14.06.2016 um 17:27:03 Uhr
Goto Top
Das macht für meinen Anwendungsfall keinen Unterschied.

Aber trotzdem danke.
108012
108012 14.06.2016 um 19:45:25 Uhr
Goto Top
Hallo,

Ist WPA2 für die Datenübertragung noch sicher, wenn ein Angreifer das Kennwort kennt?
Wohl eher nicht mehr!

Es geht nicht um die Zugriffsbeschränkung, sondern um die Frage, ob die Datenübertragung
anderer Nutzer abgehört werden können, wenn das Kennwort bekannt ist.
und noch mehr geht dann, man kann dann einen Rouge AP aufsetzen mit dem sich die WLAN
Klienten dann verbinden und man kann alle Ihre Geräte und Verbindungen ausspähen, abhören
und kopieren. Sollte aber;
- das Kennwort geändert werden durch ein 63 stelliges "gutes" Passwort
- Man einen kleinen Radius Server mit Zertifikaten und Verschlüsselung aufstellt (RaspBerry PI 2.0 & Linux)
- Man Snort oder Suricata auf seiner Firewall installiert um das Netzwerk besser abzusichern
- Man ein Captive Portal für die Gäste benutzt und das Gast WLAN abschaltet wenn keine Gäste vor Ort sind
- Man eventuell über VLANs nachdenkt und einen VLAN fähigen kleinen Switch lauft
- Man das gesamte WLAN abschaltet wenn man es nicht benutzt
- Man die Klientisolation anschaltet so dass nicht jeder auf dem Handy des anderen wühlen kann
- Man nicht eine oder zwei sondern alles was geht an Sicherheitspunkten aktiviert, wie zum Beispiel;
-- Man etwas wie fail2ban installiert.
-- MAC auth.
-- MAC - IP Bindings
-- Kein DHCP sondern feste IP Adressen nutzen und nur bekannte Geräte ins LAN lassen.

Gruß
Dobby