- Anzeige -

Seiteneffekt des WifiSpot

In dieses Forum kommen Themen über Unitymedia hinein, die nicht in andere Foren passen.

Re: Seiteneffekt des WifiSpot

Beitragvon addicted » 07.01.2017, 13:00

Da ich ne Weile gesucht habe:
https://www.unitymedia.de/content/dam/d ... oot_CA.cer

Selbstsigniert natürlich.
addicted
Glasfaserstrecke
 
Beiträge: 1983
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Seiteneffekt des WifiSpot

Beitragvon MartinP_Do » 07.01.2017, 13:14

Ergänzung zur Anleitung hier:

https://www.unitymedia.de/privatkunden/ ... re-kunden/

Nachdem ich mir von der UM-Seite wie beschrieben das Zertifikat heruntergeladen hatte, kriegte ich es nicht installiert, möglicherweise, weil das Smartphone mit Wisch-Sperre statt Passwort entsperrt werden muss.

Man muss vor Installation die Display-Sperre komplett ausschalten.

Am Ende der Installation des Zert. wird man dann angewiesen, die Display-Sperre wieder einzurichten.
Da kann man dann wieder die gewohnte Wisch-Geste aktivieren, und das Zertifikat ist eingerichtet.
Dann muss man noch einmal durch die Einstellungen gehen. (Ich habe den Zertifikat-Namen ggüb. d. Anleitung bei UM etwas geändert)


Jetzt sieht es so aus - musste manuell geändert werden - vorher war bei CA-Zertifikat nichts auswählbar

....
EAP-Methode - PEAP
Phase 2 Auth. - MSCHAPV2
CA-Zertifikat - LGI Root
Zuletzt geändert von MartinP_Do am 07.01.2017, 13:28, insgesamt 3-mal geändert.
MartinP_Do
Übergeordneter Verstärkerpunkt
 
Beiträge: 566
Registriert: 26.01.2016, 12:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitragvon MartinP_Do » 07.01.2017, 13:21

tq1199 hat geschrieben:
MartinP_Do hat geschrieben:... erhält dann eine Möglichkeit, sich das Zertifikat herunterzuladen


... aber bei dir hat es auch ohne Zertifikat, funktioniert?



Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:
Ohne Zertifikat kann das Smartphone nicht feststellen, ob der Access-Point, der sich als "Unitymedia WifiSpot" ausgibt auch wirklich einer ist.

Dadurch bestünden meiner Meinung nach zwei Gefahren:
1) Die persönlichen Wifi Spot Anmeldedaten könnten in falsche Hände geraten
2) Hat das Smartphone sich im gefälschten Wifi-Spot angemeldet, kann dessen Betreiber versuchen Man-in-the-Middle zu spielen, und weitere Information aus dem Datenverkehr des Smartphones zu extrahieren...
Zuletzt geändert von MartinP_Do am 07.01.2017, 13:26, insgesamt 1-mal geändert.
MartinP_Do
Übergeordneter Verstärkerpunkt
 
Beiträge: 566
Registriert: 26.01.2016, 12:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitragvon MartinP_Do » 07.01.2017, 13:26

addicted hat geschrieben:Da ich ne Weile gesucht habe:
https://www.unitymedia.de/content/dam/d ... oot_CA.cer

Selbstsigniert natürlich.


Da muss man ja fast dankbar für das "https:" in der obigen URL sein...
MartinP_Do
Übergeordneter Verstärkerpunkt
 
Beiträge: 566
Registriert: 26.01.2016, 12:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitragvon tq1199 » 07.01.2017, 13:37

MartinP_Do hat geschrieben:Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:


Das ist bzw. war mir schon klar, dass es hier um Sicherheit geht, ... aber so wie Du das w. o. beschrieben hast, hat es bei dir (... weniger sicher) auch ohne Zertifikat funktioniert.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Seiteneffekt des WifiSpot

Beitragvon MartinP_Do » 07.01.2017, 13:50

tq1199 hat geschrieben:
MartinP_Do hat geschrieben:Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:


Das ist bzw. war mir schon klar, dass es hier um Sicherheit geht, ... aber so wie Du das w. o. beschrieben hast, hat es bei dir (... weniger sicher) auch ohne Zertifikat funktioniert.


Definitiv.
Das war ja der Grund, dass ich etwas länger über die Wifispots nachgedacht habe: Wenn ich durch die Wohnung wanderte hat sich das Smartphone gelegentlich aus dem Heim-Wlan ab- und im WifiSpot des Nachbarn angemeldet ....

Mal schauen, ob da ein Wifi - Manager hilft...
MartinP_Do
Übergeordneter Verstärkerpunkt
 
Beiträge: 566
Registriert: 26.01.2016, 12:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitragvon MartinP_Do » 07.01.2017, 15:18

Habe jetzt den Rundumschlag bei den Smartphones der Familie gemacht.

OnePlus2 und Honor Holly haben die Konfigurationsänderungen klaglos geschluckt. Bei einem Samsung S5 mini gehen die gemachten Änderungen beim Speichern verloren ...

EDIT: Mit Daten komplett entfernen, neu suchen lassen, und dann "in einem Rutsch" alles eingeben hat es auch beim S5 mini geklappt...
MartinP_Do
Übergeordneter Verstärkerpunkt
 
Beiträge: 566
Registriert: 26.01.2016, 12:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitragvon addicted » 07.01.2017, 15:53

Nochmal: Die Anmeldedaten werden bei 802.1X nicht einfach so "geschickt". Ein Rogue AP könnte diese nicht abgreifen, selbst wenn man keine Zertifikatsprüfung macht.
addicted
Glasfaserstrecke
 
Beiträge: 1983
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Seiteneffekt des WifiSpot

Beitragvon MartinP_Do » 09.01.2017, 16:03

Websuche 1 .... Aussage: 802.1x bietet Sicherheit - http://www.solinske.de/2014/10/05/WLANM ... Point.aspx

Websuche 2 .... Aussage: 802.1x bietet nur Sicherheit, wenn man Passworte verwendet, die einigermaßen sicher gegen Brute Force Dictionary Attacken sind https://www.redelijkheid.com/blog/2015/ ... cess-point
Der Username wird in Klartext übertragen, das Passwort als hash...

Jedenfalls bietet das Zertifikat zusätzliche Sicherheit - ein Wifispot "Zwilling" ohne dieses Zertifikat kriegt weder den Usernamen, noch den Hash des Passworts zu sehen, wenn man das Zertifikat installiert und konfiguriert ...

Websuche 3 http://freeradius.org/enterprise-wifi.html:

Die sagen über die Client-Seite

User Device Configuration

After having completed the RADIUS server and Wi-Fi equipment setup, it is possible for users to authenticate securely to the network and to verify that they are not connected to an attacker network ("evil twin").

For this possibility to actually happen, the network operator needs to communicate the pertinent RADIUS server settings to all end users, and they need to ensure that the end users transform these server-side settings into a proper client-side configuration.

This typically involves:

Import or mark as trusted the CA certificate to validate the RADIUS server's certificate.
Configure the expected server name of the server certificate.
Select an EAP type on the client device which matches one of the configured EAP types on the server.
Optionally enable extra features such as enhanced privacy protection (use of anonymous outer identities) etc.




Und dann noch die Warnung

Network administrators should be aware that neglecting to secure the client-side setup puts the security of the enterprise network at risk - badly configured user devices can be tricked to connect to a rogue AP / evil twin network! Such an attacher network can learn their credentials as they authenticate - and the attacker can from then on log into the genuine network with those same credentials. The attacker can also inspect their payload - with the false feeling of being connected to the own enterprise network, some users or their applications may use unencrypted communication where they should not.


Die sagen wieder - daß es riskant ist, Clients ohne Zertifikat zu nutzen.

Da ich zuerst ohne Zertifikat den Wifispot genutzt habe - ich habe auch keinen Hinweis auf ein automatisch übertragenes Zertifikat gefunden - also dass man sicher ist, solange der erste WifiSpot authentisch war...
MartinP_Do
Übergeordneter Verstärkerpunkt
 
Beiträge: 566
Registriert: 26.01.2016, 12:50
Wohnort: Ruhrgebiet

Vorherige

Zurück zu Unitymedia allgemein

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 15 Gäste