5
Ein offenes WLAN vor sniffing von bösartigen Clients schützen?
Hallo,
ich betreibe ein offenes WLAN und würde gerne die Communication der Clients vor sniffing, man in the middle und co schützen. WPA2 scheint mir nichts zu bringen, da alle clients mit dem Pre Shared secret die communication der anderen Clients entschlüsseln kann. Was wäre hier die beste Möglichkeit bei der die Nutzbarkeit für den 0815 Nutzer vorhanden bleibt?
Vielen Dank für alle anregungen.
ich betreibe ein offenes WLAN und würde gerne die Communication der Clients vor sniffing, man in the middle und co schützen. WPA2 scheint mir nichts zu bringen, da alle clients mit dem Pre Shared secret die communication der anderen Clients entschlüsseln kann. Was wäre hier die beste Möglichkeit bei der die Nutzbarkeit für den 0815 Nutzer vorhanden bleibt?
Vielen Dank für alle anregungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 259511
Url: https://administrator.de/contentid/259511
Printed on: April 20, 2024 at 14:04 o'clock
5 Comments
Latest comment
Moin,
Client-Isolation und ARP Poisoning Protection mit CISCO Router, und jeder sollte natürlich SSL oder besser gleich VPN-Verbindungen nutzen wo es geht. Das ist Pflicht in öffentlichen Wifis, denn das Sniffen kannst du nicht verhindern, aber durch die oben genannten Methoden der MITM Prevention deutlich erschweren.
Gruß jodel32
Client-Isolation und ARP Poisoning Protection mit CISCO Router, und jeder sollte natürlich SSL oder besser gleich VPN-Verbindungen nutzen wo es geht. Das ist Pflicht in öffentlichen Wifis, denn das Sniffen kannst du nicht verhindern, aber durch die oben genannten Methoden der MITM Prevention deutlich erschweren.
Gruß jodel32
Zitat von @BananaJo:
ich betreibe ein offenes WLAN und würde gerne die Communication der Clients vor sniffing, man in the middle und co
schützen.
ich betreibe ein offenes WLAN und würde gerne die Communication der Clients vor sniffing, man in the middle und co
schützen.
Also ein offenes WLAN vor sniffing zu schützen ist, wie nacktbaden erlauben, aber verhindern wollen, daß jemand dem anderen was abguckt.
Die die das nicht wollen, müssen sich halt was anziehen, auch wenn nacktbaden erlaubt ist (aka tunneln)
Wenn sniffing in einem offenen WLAN verhindert werden soll, geht das nru mit einem VPN-Tunnel.
MITM verhindern geht nur, wenn man konsequent (verifizierte) credentials, wie z.B. Zertifikate und verschlüsselung nutzt.
Oder Du nutzt so unnütze Dinge wie IEEE802.1X.
lks
Client Isolation auf dem AP einstellen ist schon der richtige Weg, das unterbindet dann aber eine any zu any Kommunikation im WLAN so das die Clients nicht direkt untereinander kommunizieren können sondern nur Richtung AP.
Letztlich ist aber der Vergleich oben mit dem Nacktbaden richtig. Das ist mit PSKs quasi unmöglich.
Besser ist in jedem Falle WPA Enterprise
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
mit User Zertifikaten inklusive Client Isolation. Der Datentraffic an sich lässt sich aber auch damit rekonstruieren wenn man an die entsprechenden Daten kommt.
Wenn man wirklich ganz sicher gehen will ist aber die Kommunikation über ein VPN also das Tunneln im WLAN wie Kollege LKS es beschreibt oben, wirklich wasserdicht.
Letztlich ist aber der Vergleich oben mit dem Nacktbaden richtig. Das ist mit PSKs quasi unmöglich.
Besser ist in jedem Falle WPA Enterprise
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
mit User Zertifikaten inklusive Client Isolation. Der Datentraffic an sich lässt sich aber auch damit rekonstruieren wenn man an die entsprechenden Daten kommt.
Wenn man wirklich ganz sicher gehen will ist aber die Kommunikation über ein VPN also das Tunneln im WLAN wie Kollege LKS es beschreibt oben, wirklich wasserdicht.
IEEE802.1X mit EAP-TTLS sieht schon mal gut aus und wenn ich die Protokol-Spezifikitation richtig verstanden habe, werden für jeden Nutzer dynamische Sitzungsschlüssel generiert.
Ich werde morgen dann mal auf meinem Server einen RADIUS Server installieren und gucken ob das auch in der Praxis praktikabel ist
Ich werde morgen dann mal auf meinem Server einen RADIUS Server installieren und gucken ob das auch in der Praxis praktikabel ist
Wenn das ganze offen bleiben soll, kann man die Radius-Server so konfigurieren, dass jegliche Username-Passwort-Kombinationen erlaubt sind, so wird das seit ein paar Jahren beim Chaos Communication Congress gehandhabt (siehe http://events.ccc.de/congress/2014/wiki/Static:Network#WPA2_802.1X.2C_e ..)
Viele Grüße
eagle2
Viele Grüße
eagle2
