WPA3 Router für WPA2 Endgeräte überflüssig?

Um es nochmal klar und deutlich zu sagen, die Verschlüsselung ist nicht das Problem (sofern ein komplexer Schlüssel mit mindestens 20 Zeichen benutzt wird). Ein Radiusserver wie er z. B. in einem Draytekrouter eingebaut ist, ist sehr schnell implementiert (s. o. verlinkte Anleitung).

Mit der Aussage daß WLAN nur mit weiteren Maßnahmen sicher zu bekommen ist, möchte ich auf die anderen Angrifsvektoren auf das WLAN hinweisen. Man in the middle Angriffe setzen nicht ausschließlich auf das Knacken von Schlüsseln sondern auch auf andere Techniken. cuco hat besipielsweise auf das Abfangen des Handshakes hingewiesen. Ebenso gibts es die Möglichkeit des evil twins. Bei einer evil twin Attacke agiert der Angreifer als Accesspoint und bringt einen bereits autorisierten Rechner dazu, sich nicht mit dem vorhandenen Accesspoint sondern mit sich selbst als unerwünschtem (rogue) Accesspoint zu verbinden. Das gelingt indem er den autorisierten Rechner deautentisiert und sich selbst als legitimen Accespoint (deshalb böser Zwilling) ausgibt. So wird ihm "freiwillig" das Passwort mitgeteilt das dann an das eigentliche Netzwerk weitergereicht wird um sich selbst als man in the middle zu etablieren. Die Grafik soll das illustrieren. Weshalb immer wieder von Schlüsselknacken die Rede ist und wo ich das gesagt habe kann ich nicht nach vollziehen. Der Angreifer knackt den Schlüssel nicht, er klaut und kopiert ihn, das ist einfacher und vor allem schneller als mit aircrack-ng zu hantieren.

eviltwin_ap1.png

Wenn ein Windowsserver vorhanden ist, kann ihm auch die Radiusserverrolle zugewiesen werden. Damit empfehle ich ihn nicht als Router.


Quellen: NIST 800-97 und 800-153, BSI NET 2.1, CIS Benchmark for Cisco Wireless LAN Controller, https://docs.microsoft.com/en-us/wi.../cncg/wireless/a-deploy-8021x-wireless-access https://www.kalitutorials.net/2014/07/evil-twin-tutorial.html, https://administrator.de/contentid/154402, https://opensource.com/article/19/1/evil-twin-framework https://nvd.nist.gov/vuln/search/re...e=overview&query=wpa2&search_type=last3months

Auf die ganze Polemik einzugehen habe ich keine Lust, es wäre auch wenig zielführend. Und bitte nicht die SSID verstecken. Das führt nur dazu, daß sämtliche WLAN-Clients sie kontinuierlich herausschreien. Wer's nicht glaubt, nimmt sich Wireshark und sieht sich's selbst an.

- - - Beitrag zusammengeführt - - -

Radius ist für das 0815 Heimnetz Overkill³. Vielleicht umgeht man dabei Probleme, die durch WPA2+kurze PWs entstehen, dafür produziert man sich n Haufen neue. Schon wegen der Komplexität. Bei einem vernünftig langen PW ist WPA2 auch heute noch sicher.
Verstehe ich nicht. Was ist komplex an der Nutzerverwaltung (die evtl. schon aus anderen Gründen vorhanden ist)? Das Bedürfnis nach Sicherheit und Schutz vor den Nachbarn ist doch da, weshalb ist dann die Absicherung dagegen Overkill?

Anders sieht es aus, wenn man nicht vertrauenswürdige Geräte o.ä. hat - aber dazu gibts das Gastnetz. (...) VLANs sind ne völlig andere Sache. Wobei auch da meist die Unterscheidung "normale User" und "Gastnetz" ausreicht. Hausautomatisierung hat häufig noch nichtmal Ethernet - und wenn verhindert man eben mittels der Kindersicherung, dass die ins Internet können.
Auch IOT-Geräte könnte beispielsweise mit der Macadresse an Radius angemeldet werden. Das schreibe ich jedoch nur der Vollständigkeit halber und bin NICHT der Meinung daß das in diesem Fall sinnvoll ist. VLANs können auch im WLAN umgesetzt werden und viele SOHO-Geräte haben sieben und mehr VLANs. Das IOT-Netz mit dem Gastnetz zu vermischen bringt u. U. Probleme mit sich. So willst Du einen Gastzugang vermutlich nicht dauerhaft aktiv lassen und ihm eine begrenzte Bandbreite zuweisen wohingegen es vermutlich bei Deinem Smart-TV genau umgekehrt sein soll.

- - - Beitrag zusammengeführt - - -

Und noch etwas: auf der Suche nach einfach zu konfigurierenden Radiusservern bin ich noch über die große Gruppe der NAS gestolpert. Offensichtlich haben viele NAS auch ein Radius-Plugin. Evtl. ist auch das eine Option
 
Zuletzt bearbeitet:
Einer typischen NAS vertraue ich sicherheitstechnisch _deutlich_ weniger als einer Fritzbox, wo das WAN zu seinen Kernbestandteilen zählt. Und schon garnicht, wenn das Radius ein drangeflanschtes Modul ist.

In den allermeisten 0815 Netzwerken gibt es eben keine Benutzerverwaltung. Zumal viele Endgeräte eh kein Enterprise können - oder man bei denen keine Zertifikate draufladen kann. Und ohne Zertifikate, zumindest des APs, ist das komplett sinnlos. Die Zertverwaltung ist aber das eigentlich komplizierte - und wenn man da Murks macht ist man u.U. am Ende unsicherer als mit WPAx-Personal.
Evil Twins (also nen AP mit derselben SSID hinstellen) eignen sich übrigens _NICHT_ dazu, das Passwort abzufangen. Das wird nämlich nur gehasht übermittelt. Und mit diesem Hash kann man herzlich wenig anfangen.

Ein Smart-TV würde bei immer immer dumb bleiben - und zwar sowas von :-D

Mir sind keine Router in der Preisklasse der Fritzboxen bekannt, die solche Dinge wie Radius und mehr als 2 SSIDs + VLANs einsteigerfreundlich und sicher zur Verfügung stellt. Schon die Draytek sind ne völlig andere Hausnummer, spätestens wenn man die dann meist noch fehlende Telefonie- und DECT Funktionalität mit berücksichtigt. Zumal die Oberflächen zumindest der Draytek Vigor Teile, die ich bislang in den Händen hatte, definitiv was für Profis waren. Man kann was mit OpenWRT bauen, aber auch das würde ich keinem machen lassen wollen, der sich mit der Materie nicht zumindest grundlegend auskennt - Interesse an dieser muss auch vorhanden sein.
 
Auch auf die Gefahr hin der Polemik beschuldigt zu werden...

Weiss nicht was ich davon halten soll wenn jemand glaubt ein Gerät würde den WLAN Key als Klartext servieren sobald man einen WLAN AP mit einem identischen SSID lauter funken lässt.
 
Und bitte nicht die SSID verstecken. Das führt nur dazu, daß sämtliche WLAN-Clients sie kontinuierlich herausschreien.
Und? Ob jetzt der Router oder die Endgeräte das rauströten, was ist da der Unterschied (keine Polemik, echtes Interesse)
 
@hha81667 Es gibt in einigen Dokumenten des BSI und auch des NIST sowie anderen Stellen die sich mit WLAN Sicherheit beschäftigen die Empfehlung die SSID zu verstecken um das WLAN sicherer zu machen. Die Empfehlung bringt jedoch nichts, da die vorhandenen WLAN Clients dann die SSID umso lauter broadcasten. Deshalb hatte ich das dazu geschrieben

@mifritscher In dem oben verlinkten Tutorial bei Administrator.de werden die einzelnen Schritte eines evil twin Angriffs erläutert. Bei Youtube findest Du unter dem Suchbegriff Pineapple evil twin eine Menge Material dazu, auch aus seriösen Quellen.

Was einem taugt ider nicht, muss jede/jeder selbst wissen. Die Möglichkeit mit dem NAS hatte ich nur der Vollständigkeit halber aufgezählt ohne eine konkrete Empfehlung dafür auszusprechen. Die Sicherheit und Praktikabilität wäre im Enzelfall z. B. durch eine Recherche in der NVD zu überprüfen, mit Allgemeinplätzen ist uns nicht gedient.

Ich kenne viele Menschen, denen es sehr wichtig ist, dass ihr Fernseher mit dem Netz verbunden ist. Wenn das bei Dir und mir nicht der Fall ist, ändert das jedoch nicht die grundsätzliche Aussage. Was bringt uns Dein Einwurf an dieser Stelle?

Der TE hat offensichtlich eine FB 7272 die nach Anschaffung eines neuen Routers die Telefonie übernehmen könnte. Auch gibt es bei Draytek Router mit Telefonie, ob und in welcher Form der TE das benötigt habe ich jedoch nicht herauslesen können. Ausgangsfrage war ja wie ältere Geräte sicher in einem aktuellen WLAN betrieben werden können. Und dazu ist ein Radiusserver der in einigen Routern vorhanden ist geeignet auch wenn Diu mit der Oberfläche einiger Draytekrouter in der Vergangenheit Probleme hattest. (Welches Modell war das eigentlich?)

Die Fritzboxen können bis dato nur ein VLAN, nämlich das zwischen externem Modem und der Box. Auch die Möglichkeit mehrere SSIDs darzustellen dürfte eingeschränkt sein ( mir ist momentan nur eine SSID je Funkfrequenz und eine für das Gastnetz bekannt, hier wissen die Spezialisten unter uns sicher mehr). Weshalb sollten die Draytekrouter, die deutlich mehr können, bzw. in der Einrichtung nicht so eingeschränkt sind, genauso viel oder gar weniger kosten? Ein Vigor 2865 kostet nach Ergebnis einer schnellen Duckduckgo Suche um die 250 € . Wir reden hier also über rund 50 € Differenz zu einer Fritzbox. Das ist in Anbetracht der gebotenen Funktionalität und Sicherheit doch ein marginaler Unterschied (aus der Sicht eines Menschen der Mittelklasse in Deutschland).

Um die Funktionen einzurichten gibt es eine Reihe von Assistenten und wenn Du Dir das von mir verlinkte Beispiel ansiehst, wirst Du feststellen, dass das gar nicht so schwierig ist.
 
So unterschiedlich sind die Betrachtungsweisen.

Jemand der es darauf anlegt, ist innerhalb weniger Sekunden in jedem Wpa2 Netz. Das gilt genauso für Wpa3 und hat wenig mit der Schlüsselänge zu tun. Beschäftige Dich mal mit Man in the middle Angriffen die jedes Skriptkiddie via Pineapple o.ä. hinbekommt

Wie gesagt, es ist eine Frage des Anspruchs, aber WLAN ist unsicher und ohne zusätzliche Techniken nicht sicher zu bekommen.

Ach wirklich? Und wie? In Beitrag #21 geht es um einen Rogue AP, damit verbindet sich der Client ja nicht in sein Netzwerk. Der Key wird bei WPA2 nicht übertragen, insofern kannst du den durch sowas nicht "abgreifen".

Wenn dein Rogue AP nicht den richtigen Key gesetzt hat wird sich dein Client nicht dorthin verbinden.

Der Link: https://www.kalitutorials.net/2014/07/evil-twin-tutorial.html behandelt die Vorgehensweise bei einem unverschlüsselten Wlan. Der Nachfolgelink: https://www.kalitutorials.net/2016/08/hacking-wpawpa-2-without.html macht es aber entweder per a) Bruteforce oder b) per gefakter Webseite wo der Client das Passwort eingeben soll. Da wird WPA2 oder Passwort nicht geknackt.
Letzteres auch nur möglich wenn man den Client (also den Menschen) überrreden kann das alte Wlan zu löschen und ins neue (unverschlüsselte) zu verbinden.
 
Zuletzt bearbeitet:
Der Pineapple evil twin ist genau das, was ich beschrieben habe. Das hat nichts, aber auch rein garnichts, mit WPAx Personal vs. Enterprise zu tun. In beiden Fällen wird die Mitwirkung der Opfer benötigt, nämlich dass sie manuell(!) in ein ähnlich bis gleich klingendes WLAN marschieren. Gegen sowas hilft nur administratives Festpinnen auf Zertifikate und sperren aller anderen WLANs. Weit (!) jenseits von dem, was man von Otto Normalverbraucher erwarten kann.

Die FB 7272 ist schon seit Ewigkeiten aus dem Support. Die noch für irgendwelche Dinge mit Zugang von außen zu verwenden (und das ist Telefonie...) ist gröbst fahrlässig! Das ist, im Gegensatz zu eventuellen theoretischen Vorteilen von WPA Enterprise, wirklich ein Scheuentor.

Die WLAN-Variante der Vigor 2865 kostet eher 290€ - und hat noch keine Telefonie, kein DECT, noch nichtmal USB 3.0 (und kann anscheinend nur FAT32). Und man muss (wenn man ADSL2+ geschädigt ist) die richtige Annex-Variante erwischen.
Ich hatte mit der Oberfläche kein Problem, aber ich bin in diesem Bereich auch beruflich tätig. Diese Dinger sind für kleine Unternehmen gedacht, nicht für den kleinen Privatanwender daheim.

Ich kann jeden nur davor warnen, komplexe Dinge wie Radius einzurichten, wenn man einfach nur "Tutorial durchklicken und läuft" machen möchte, ohne sich mit der Materie zu beschäftigen. Das geht meist schief. Vielleicht klappts am Anfang, aber spätestens bei Problemen fliegt man auf die Schnauze. Wenn man nicht schon vorher wegen Unkenntnis securitytechnisch Murks gemacht hat.
 
Zuletzt bearbeitet:
Schoerg und mifritscher: Ihr behauptet also ernsthaft, dass der Angriffsvektor evil twin im WLAN nicht existiert? Schreibe nach Feierabend mehr dazu. Für's Erste ist vielleicht die c't 22/2020 S. 26 ff. lesenswert.
 
Schoerg und mifritscher: Ihr behauptet also ernsthaft, dass der Angriffsvektor evil twin im WLAN nicht existiert? Schreibe nach Feierabend mehr dazu. Für's Erste ist vielleicht die c't 22/2020 S. 26 ff. lesenswert.
Nicht in der Form wie du ihn beschreibst.

Jemand der es darauf anlegt, ist innerhalb weniger Sekunden in jedem Wpa2 Netz. Das gilt genauso für Wpa3 und hat wenig mit der Schlüsselänge zu tun. Beschäftige Dich mal mit Man in the middle Angriffen die jedes Skriptkiddie via Pineapple o.ä. hinbekommt
Also den Teil.
 
Schoerg und mifritscher: Ihr behauptet also ernsthaft, dass der Angriffsvektor evil twin im WLAN nicht existiert? Schreibe nach Feierabend mehr dazu. Für's Erste ist vielleicht die c't 22/2020 S. 26 ff. lesenswert.

Zum einen ist das ein Strohmann: Ich habe nicht behauptet, dass es den Vektor nicht gibt. Sondern, das er nichts mit Personal vs. Enterprise zu tun hat - und man zur Absicherung dagegen andere administrative Maßnahmen benötigt. Entweder den Usern einbleuen, dass sie kein WLAN-PW eingeben sollen, wenn sie dazu aufgefordert werden, oder die Einrichtung neuer WLANs administrativ verbieten.

Ach ja, um deinen c't Artikel zu zitieren: "16 stelliges Passwort .... genügt WPA2-PSK mit so einem langen Passwort noch weiiiiit über Ihre Rente hinaus"
 
Ich denke auch, da hat sich jemand mit seinen eigenen Quellen mehr oder weniger widerlegt :D Die Fehler liegen halt auch in den Schlüssen, die da gezogen werden.

Siehe dazu zum Beispiel die Grundlagen hier:
https://sarwiki.informatik.hu-berlin.de/WPA2-Angriff#WPA2-Grundlagen

Wer sich die Infos mal genau durchliest, wird sehen: Aus dem PSK wird mit einer Funktion zur Schlüsselableitung ein neuer Key generiert, der PMK. Bei WPA2-PSK wird der PMK aus dem PSK generiert, bei WPA2-Enterprise wird der PMK aus einem MK generiert, den RADIUS-Server und Client zusammen generieren. In beiden Fällen wird der Zugriff auf's WLAN dann mit einem 4-Wege-Handshake geregelt. Im 4-Wege-Handshake wird u.a. der PMK genutzt. Woher der PMK dabei stammt, ist egal - WPA2-PSK und WPA2-Enterprise verhalten sich da absolut gleich. Der Schlüssel selbst wird dabei aber nie übertragen.

Und die weiteren Punkte wurden ja größtenteils schon genannt:
- Passwörter werden nicht im Klartext übertragen wenn man sich bei einem WLAN authentifiziert.
- Schlüssel klauen und kopieren geht nicht so wie du es beschreibst, da der Schlüssel ja gar nicht übertragen wird.
- Ein Evil Twin funktioniert nur, wenn man das Passwort schon kennt oder es auf anderem Wege abgreift (was dann aber nichts mehr mit der WLAN-Verschlüsselung zu tun hat).
- IoT-Geräte per MAC am RADIUS anmelden dürfte auch schwer sein, weil die Geräte eben gar kein WPA2-Enterprise sprechen. Die Form der Authentifizierung ist dann egal, wenn eh nur WPA2-PSK geht.
- RADIUS-Server auf dem NAS soll sicherer sein als Schlüssel von WPA2-PSK, die nur auf dem Router/WLAN-AP liegen? Puuh... Pauschal würde ich das so auch nicht sagen.

Unter obigem Link findest du übrigens auch mögliche Angriffe auf WPA2 - Kurzform: Die Passwortsicherheit ist der wichtigste und fast schon einzige Faktor. Gegen KRACK dürften inzwischen alle außer Android <6.0 geschützt sein, WPS mit PIN ist heutzutage auch eigentlich immer aus und Phishing hat nichts mit der Sicherheit von WPA zu tun. Und dann bleiben nur Angriffe auf das Passwort. Die sind mit WPA3 nochmal deutlich schwerer geworden, da selbst verhältnismäßig unsichere Passwörter bei WPA3 eine relativ hohe Sicherheit bieten (Details: siehe Artikel), aber auch da steht und fällt die Sicherheit am Ende allein mit der Passwortsicherheit.

Zusammengefasst bleibt es also dabei: WPA2-Enterprise bietet keinerlei Sicherheitsgewinn vor WPA2-PSK, sofern das Passwort (der PSK) sicher gewählt wird. Mit WPA3 hat sich das nicht verändert, im Gegenteil, WPA3-SAE (Nachfolger von WPA2-PSK) kann sogar bei deutlich schlechteren Passwörtern schon sicher sein.
 
Solange ein Affe der wild auf eine Tastatur tippend ein Passwort erwischen kann sind Passwörter unsicher. ;-)
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben