Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Schwachstelle im WPA2 Protokoll veröffentlicht

Mitglied: colinardo

colinardo (Level 5) - Jetzt verbinden

16.10.2017, aktualisiert 10:43 Uhr, 2629 Aufrufe, 10 Kommentare, 4 Danke

An alle Wireless User da draußen.
So ziemlich jeder AP ist von der Schwachstelle betroffen da die Schwachstelle das Protokoll selbst bzw. die Implementierung des Schlüsselaustauschs zwischen Client und AP betrifft.
Mögliche Folgen:
Traffic kann unverschlüsselt abgehört werden, Replay Attacken werden vereinfacht, und und und.

Severe flaw in WPA2 protocol leaves Wi-Fi traffic open to eavesdropping

Da die Informationen schon einige Wochen vorher an die Hersteller von Wifi-Routern und APs ging kann es sein das diese in einer aktuellen Firmware schon gefixt wurden.
Mikrotik z.B war mal wieder sehr schnell, mit den aktuellen Releases sind diese nicht von der Schwachstelle betroffen:
https://forum.mikrotik.com/viewtopic.php?f=21&t=126695

Die Sache ist ernst, also seht euch Zeitnah nach Firmware Updates für eure Geräte um.

Schöne Woche
@colinardo
Mitglied: Herbrich19
16.10.2017 um 21:03 Uhr
Hallo,

Betrifft es nur PSK oder auch EAP Radius Autentifizerungen (TLS)

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: chgorges
16.10.2017 um 21:15 Uhr
WPA2 - Das betrifft alle Authentifizierungs-Standards.
Bitte warten ..
Mitglied: colinardo
16.10.2017, aktualisiert um 21:59 Uhr
Zitat von Herbrich19:
Betrifft es nur PSK oder auch EAP Radius Autentifizerungen (TLS)
Das sind nur die Authentifizierungspielarten, diese haben nichts mit der Protokoll-Schwäche zu tun, die ist bei beiden die selbe, bei beiden werden Session-Schlüssel regelmäßig zwischen Client und AP ausgetauscht, also sind sie natürlich auch betroffen.
Bitte warten ..
Mitglied: StefanKittel
18.10.2017 um 10:10 Uhr
Hallo,

mal ne Frage.
Wenn ich das richtig lese geht es darum die Kommunikation mitzuschneider und zu manipulieren.
Es wird explizit darauf hingewiesen, dass es kein Angriff gegen den Access Point ist und man auch nicht das WLAN-Kennwort auslesen kann.
Ein Update für den AP sei wünschenswert aber zweitrangig, da es sich um einen Angriff gegen den Client handelt.

Also, mein Fazit (soweit man aktuell weiß)
1) Die Daten die ein End-Gerät im WLAN empfängt und sendet können mitgelesen oder manipuliert werden wenn sie nicht zusätzlich verschlüsselt sind
2) Ein Updates von jedem WLAN tauglichen End-Gerät ist notwendig
3) Das WLAN-Kennwort ist "sicher"
4) Ein Zugriff/Einbruch in das WLAN ist nicht möglich
5) Wenn die Daten über das WLAN mit VPN oder HTTPs verschlüsselt sind ist die Gefahr überschaubar

Im Endeffekt bedeutet das doch, dass jedes WLAN sich auf der gleichen Sicherheitsstufe befindet als wenn ich das WLAN vom Bäcker verwendet. Da weiß man ja auch nicht ob dahinter ein Sniffer ist der alles mitliest.

Sehe ich das so richtig? Oder habe ich etwas übersehen?

Stefan
Bitte warten ..
Mitglied: colinardo
18.10.2017, aktualisiert um 10:26 Uhr
Servus Stefan.
Zitat von StefanKittel:
Wenn ich das richtig lese geht es darum die Kommunikation mitzuschneider und zu manipulieren.
Richtig, das ist immer das Ziel
Es wird explizit darauf hingewiesen, dass es kein Angriff gegen den Access Point ist und man auch nicht das WLAN-Kennwort auslesen kann.
Es ist eine Schwachstelle im Protokollstapel selbst also sind beide Partner sowohl AP als Client anfällig. Das Kennwort wird hier nicht benötigt da man mit alten bereits verwendeten Schlüsseln (nicht der WPA Key sondern die Session Keys) und einer Erweiterung den AP zwingen kann die Verschlüsselung für den jeweiligen Client aufzuheben.

Ein Update für den AP sei wünschenswert aber zweitrangig, da es sich um einen Angriff gegen den Client handelt.
Solange eine der Seiten verwundbar ist ist es einem Angreifer auch möglich Einfluss auf den Schlüsselaustausch zu nehmen. Es ist also mitnichten nur ein Client-Problem, beide Parteien nutzen das selbe Protokoll.

Also, mein Fazit (soweit man aktuell weiß)
1) Die Daten die ein End-Gerät im WLAN empfängt und sendet können mitgelesen oder manipuliert werden wenn sie nicht zusätzlich verschlüsselt sind
Richtig, ein tcpdump im Monitor-Mode inkl. ARP Spoofing scheidet dir alles mit was ein Client so treibt. Wenn dies nicht verschlüsselt ist sieht es der Angreifer im Klartext in seinem Wireshark.
2) Ein Updates von jedem WLAN tauglichen End-Gerät ist notwendig
Ja.
3) Das WLAN-Kennwort ist "sicher"
Jaein, erstens benötigt es der Angreifer nicht mehr, zweitens könnte er es mitschneiden wenn der User per http auf sein Routerinterface zugreift!
4) Ein Zugriff/Einbruch in das WLAN ist nicht möglich
Doch, das findet hier ja gerade statt.
5) Wenn die Daten über das WLAN mit VPN oder HTTPs verschlüsselt sind ist die Gefahr überschaubar
Ja, sofern man es komplett in der Übersicht hat. Es gibt Methoden den Client von https auf http runternzustufen, ohne das der User davon überhaupt etwas bemerkt. Also immer schön acht geben ob es sich tatsächlich um eine veschlüsselte Verbindung handelt.
VPN ist hier immerzu bevorzugen.
Im Endeffekt bedeutet das doch, dass jedes WLAN sich auf der gleichen Sicherheitsstufe befindet als wenn ich das WLAN vom Bäcker verwendet.
Was dein Bäcker außer Brötchen Backen treibt weiß ich nicht.
Da weiß man ja auch nicht ob dahinter ein Sniffer ist der alles mitliest.
Jedes fremde WLAN ist erst mal verdächtig, deshalb immer ein VPN verwenden und jeglichen Traffic darüber leiten wenn der kleinste Verdacht besteht.

Grüße Uwe
Bitte warten ..
Mitglied: keine-ahnung
18.10.2017 um 11:04 Uhr
Moin,
LANCOM hat dazu ein statement abgegeben:
Der Angriff zielt auf die WPA-Anmeldung und betrifft konkret 802.11r (Roaming-Beschleunigung), den Station-Mode (WLAN-Client-Modus, AutoWDS) sowie den Standard 802.11s. Er nutzt Ungenauigkeiten in der Protokollspezifikation aus und betrifft grundsätzlich alle Hersteller, die die entsprechenden Protokolle bzw. Betriebsarten unterstützen.
802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig > deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von Krack nicht betroffen.
Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für Krack sind. Ob die Schwachstelle auch im Station-Mode besteht, befindet sich derzeit noch in Prüfung.
Wir werden kurzfristig ein LCOS Sicherheitsupdate für alle WLAN-Geräte herausbringen, bei dem der dokumentierte Angriff auch bei aktiviertem 802.11r bzw. Station-Mode sicher verhindert wird.
Bis dahin empfehlen wir allen Kunden, 802.11r sowie den Station-Mode bei sicherheitskritischen Anwendungen nicht zu nutzen. Über ein Tool kann festgestellt werden, ob diese kundenseitig aktiviert wurden. Eine genaue Anleitung steht Ihnen im folgendem KnowledgeBase-Artikel zur Verfügung. Über die Verfügbarkeit des LCOS Updates informieren wir umgehend.
Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden.

LG, Thomas
Bitte warten ..
Mitglied: StefanKittel
18.10.2017, aktualisiert um 11:08 Uhr
Hallo,

danke für Deinen Input.

3+4) Ich meine damit:
Gehen wir davon aus, das auf dem Endgerät das Routerkennwort nicht in ein HTTP-Web-Interface eingebeben wird.
Der Angreife kann ein WLAN-End-Gerät mitschneiden oder manipulieren. Der Angreifer kann nicht direkt auf die Geräte hinter dem WLAN zugreifen (ausgehend dass zwischen LAN und WLAN keine Firewall ist wie bei einer einfachen FB).
Er kann ja nur die Kommunikation zwischen dem WLAN-End-Gerät und AP mitschneider oder manipulieren.

Mir geht es primär um WLANs wo Mobilgeräte eingesetzt werden.
Diese machen zu 99% Email (Exchange Active Sync verschlüsselt) und ein paar Webseiten.

Die einzige sichere Methode wäre
a) WLAN ausschalten
b) VPN für alles nutzen
Wobei die meisten kleinen Kunden für b keine Infrastruktur haben

Was machen wir eigentlich mit den Millionen Androidgeräten für die es keine Sicherheitsupdates der Hersteller gibt?
Die noch mit Android 4.x laufen? Oder ältere Iphones die IOS 11 nicht können/dürfen?
Die kann man doch nun alle wegwerfen...

Auch kann man vermutlich sehr viele WLAN APs jetzt wegwerfen.

Und wielange wissen unfreundlche Leute und Organisationen schon von dieser Sicherheitslücke?
WPA gibt es seit 2004. Es kann also durchaus sein, dass diese Lücke schon seit 13 Jahren aktiv unter Verschluss ausgenutzt wird.

Stefan
Bitte warten ..
Mitglied: colinardo
18.10.2017, aktualisiert um 12:13 Uhr
Zitat von StefanKittel:
3+4) Ich meine damit:
Gehen wir davon aus, das auf dem Endgerät das Routerkennwort nicht in ein HTTP-Web-Interface eingebeben wird.
Der Angreife kann ein WLAN-End-Gerät mitschneiden oder manipulieren. Der Angreifer kann nicht direkt auf die Geräte hinter dem WLAN zugreifen (ausgehend dass zwischen LAN und WLAN keine Firewall ist wie bei einer einfachen FB).
Doch kann er, MitM Angriffe auf andere Stationen sind damit kein Problem.
Er kann ja nur die Kommunikation zwischen dem WLAN-End-Gerät und AP mitschneider oder manipulieren.
Nein, er kann alle Stationen via ARP Spoofing angreifen und Ihren Traffic über seine Station leiten.
Bessere APs und Router bieten Funktionen und Mittel gegen ARP Spoofing, einfache Modelle wie Fritzbox und Co. sind dagegen nicht imun. Software am Client kann hier ebenfalls helfen.
Mir geht es primär um WLANs wo Mobilgeräte eingesetzt werden.
Diese machen zu 99% Email (Exchange Active Sync verschlüsselt) und ein paar Webseiten.
Android Phones sind besonders betroffen, hier können vielfach Dienste von https auf http gezwungen werden sofern sie sich nicht selbst dagegen schützen.
Die einzige sichere Methode wäre
a) WLAN ausschalten
b) VPN für alles nutzen
Wobei die meisten kleinen Kunden für b keine Infrastruktur haben
Jeder der zumindest eine Fritte zuhause stehen hat hat kinderleichte Mittel dazu.
Was machen wir eigentlich mit den Millionen Androidgeräten für die es keine Sicherheitsupdates der Hersteller gibt?

Die noch mit Android 4.x laufen? Oder ältere Iphones die IOS 11 nicht können/dürfen?
Die kann man doch nun alle wegwerfen...
Nicht unbedingt. Alternative Firmware (Lineage OS und Konsorten) sofern unterstützt sind hier vielfach eine Lösung.
Auch kann man vermutlich sehr viele WLAN APs jetzt wegwerfen.
Wer billig kauf kauft halt zweimal.
Und wielange wissen unfreundlche Leute und Organisationen schon von dieser Sicherheitslücke?
WPA gibt es seit 2004. Es kann also durchaus sein, dass diese Lücke schon seit 13 Jahren aktiv unter Verschluss ausgenutzt wird.
So spielt das Leben. Wenn sie jemand schon früh entdeckt hat und sie nie veröffentlicht hat kann das immer der Fall sein.
Was der Mensch entwickelt wird der Mensch irgendwann auch wieder knacken ist nur eine Frage der Zeit.

Empfehlung für die kühlen Wintertage:
https://www.kali.org/
Bitte warten ..
Mitglied: umount
24.11.2017 um 18:20 Uhr
Bezüglich WPA2 Lücke, habe ich bei Unitymedia mal wegen meiner Fritzbox 6490 nachgefragt. Diese läuft immer noch mit FritzOS 6.50, Update wird noch Entwickelt. Wenn ich die ganzen Lücken der vergangenheit Betrachte wird mir Schlecht.

Es gibt außerdem keine Möglichkeit die Box wenn diese vom Anbieter kommt Upzudaten.
Bitte warten ..
Mitglied: chgorges
24.11.2017 um 22:09 Uhr
Zitat von umount:

Bezüglich WPA2 Lücke, habe ich bei Unitymedia mal wegen meiner Fritzbox 6490 nachgefragt. Diese läuft immer noch mit FritzOS 6.50, Update wird > noch Entwickelt. Wenn ich die ganzen Lücken der vergangenheit Betrachte wird mir Schlecht.

Nochmal (obwohl es schon sehr oft durchgekaut wurde): AVM und andere Konsorten (z.B. Telekom) werden keine Updates für ihre Boxen entwickeln, weil sie es nicht brauchen, da die zwei betroffenen Standards 802.11r und 802.11s von den Home-/Consumer-Konsorten weder unterstützt werden, noch implementiert sind. Daher sind die Geräte nicht anfällig (auch wenn man das bis zum Erbrechen im WWW findet).

Lediglich die Repeater und PowerLine-Adapter von AVM bekommen die Updates.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

WPA2 und WLAN-Sicherheit: Direkter Angriff auf WLAN-Router

Information von magicteddyLAN, WAN, Wireless

Siehe Bericht auf Heise, WPA2 und WLAN-Sicherheit: Direkter Angriff auf WLAN-Router Laut Bericht wurde eine direkte Angriffsmöglichkeit auf verwundbare ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 11 StundenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 11 StundenExchange Server1 Kommentar

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 13 StundenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 3 TagenVoice over IP7 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server15 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Hardware
Ncomputing N600 oder auch 600W Privat nutzen Kostenlos oder kostengünstig
gelöst Frage von PlerTanixHardware14 Kommentare

Hallo liebe Forum User, Ich habe da eine Frage. Ich bin Azubi im dritten Lehrjahr und bei uns in ...

Windows 10
Upgrade Windows 10 1903 und Office 2010 Problem mit Userzertifikaten
gelöst Frage von Looser27Windows 1012 Kommentare

Guten Morgen, ich habe bei uns ein Phänomen in o.g. Kombination festgestellt, welches nach dem Inplace-Upgrade auf 1903 auftritt. ...

Hardware
Ausrichtung Profilschienen - was würdet ihr empfehlen?
gelöst Frage von ShihanHardware11 Kommentare

Ich habe einen Digitus 19" 12 U Netzwerkschrank. Dieser hätte eigentlich nur vorne Profilschienen, da ich aber im hinteren ...