Unitymedia: Router der Kunden werden ins WLAN-Netz integrier

In dieses Forum kommen Themen über Unitymedia hinein, die nicht in andere Foren passen.
athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von athurdent » 08.07.2016, 21:46

In Köln Ehrendfeld gibt es schon ein paar. Merkwürdig finde ich, dass man ein von Unitymedia selbst signiertes Zertifikat von deren RADIUS Server Liberty Global WiFi 0001 abnicken muss und dass die Google DNS statt Unitymedia DNS vergeben werden. Da fehlt irgendwie so ein wenig der professionelle Touch.

eadrax
Kabelneuling
Beiträge: 12
Registriert: 08.07.2016, 19:33

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von eadrax » 08.07.2016, 22:47

Bei mir wurde durch einen Neustart des TC7200 eine zusätzliche SSID gebroadcastet.
Ich setze bei mir den Router im 5Ghz-Wlan-Band ein. Die zusätzliche SSID für den "Unitymedia WifiSpot" läuft auf dem exakt selben Kanal.
Nach neuen Meldungen der letzten 24h auf Facebook und der Community sieht es aktuell in der Praxis so aus:
Beim TC7200 wird der Router fest auf 2,4GHz eingestellt. Die 5GHz können nicht mehr benutzt werden
Eine Deaktivierung des 5Ghz-Bandes kann ich nicht bestätigen. Bei mir läuft exakt die selbe 5-Ghz-Konfiguration wie zuvor. Einziger Unterschied ist die neue SSID.
Wie sich das nun konkret auswirkt wird man mit der Zeit sehen.

johnripper
Glasfaserstrecke
Beiträge: 1282
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von johnripper » 08.07.2016, 22:56

athurdent hat geschrieben:In Köln Ehrendfeld gibt es schon ein paar. Merkwürdig finde ich, dass man ein von Unitymedia selbst signiertes Zertifikat von deren RADIUS Server Liberty Global WiFi 0001 abnicken muss und dass die Google DNS statt Unitymedia DNS vergeben werden. Da fehlt irgendwie so ein wenig der professionelle Touch.
Es fehlt der professionelle Touch?????????? Es fehlt eher der gesamte professionelle Aufbau!!!!!!

Ein selbst signiertes Zertifikat bei einer derartigen Infrastruktur einzusetzen ist quasi der supergau. Damit erzieht man jetzt eine ganze Generation bei potentiell fehlerhaften/problematischen Zertifikaten einfach auf "Ja", "Okay", "Akzeptieren ... "Weiter", "Wie auch immer", "Schon gut", "Nicht schon wieder" zu klicken, ohne darüber nachzudenken, was sie eigentlich tun.

Von der Kleinigkeit, dass jeder den gesamten Datenverkehr mitlesen kann, mal abgesehen.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

manu26
Übergeordneter Verstärkerpunkt
Beiträge: 642
Registriert: 23.07.2007, 16:57
Wohnort: Recklinghausen

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von manu26 » 08.07.2016, 23:06

Warum kann jeder den gesamten Datenverkehr mitlesen?

johnripper
Glasfaserstrecke
Beiträge: 1282
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von johnripper » 08.07.2016, 23:20

manu26 hat geschrieben:Warum kann jeder den gesamten Datenverkehr mitlesen?
Weil sich jeder selbst einen ein "RADIUS Server Liberty Global WiFi 0001" Zertifikat ausstellen kann zu dem er dann den privaten Schlüssel hat.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

hajodele
Kabelkopfstation
Beiträge: 4695
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von hajodele » 08.07.2016, 23:31

In den FAQs zu WifiSpot wird übrigens empfohlen, VPN zu verwenden.
Das ist ein uraltes Problem von jedem Cafe-WLAN und wird von den Nutzern gerne ignoriert.

johnripper
Glasfaserstrecke
Beiträge: 1282
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von johnripper » 09.07.2016, 00:18

Aber ein ungesichertes Netzwerk ist ehrlicher als das hier.

Und würden sie ein korrekt via Root-CA signiertes Zertifikat verwenden, dann bräuchte man selbst bei RADIUS kein VPN.

Jetzt mal ehrlich: Ich stelle Ihnen gerne via Let's Encrypt unter einer Subdomain meiner Domain eins aus. Ich bräuchte nur die IP des Radius Server hinterher xD

Gesendet von meinem SM-G935F mit Tapatalk
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

erzich
erfahrener Kabelkunde
Beiträge: 65
Registriert: 28.04.2016, 18:46

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von erzich » 09.07.2016, 00:36

Zum testen sollte man mal den router neu starten wie schon hier geschrieben wurde, danach ist wifispot unter Umständen aktiv.

Die WLAN Bandbreite wird nicht beeinträchtigt, der Gast wird auf 1Mbit/s gedrosselt wenn der Gastgeber etwas lädt.

Meint ihr denn das ist wirklich soooo extrem unsicher ?
Merkwürdig finde ich, dass man ein von Unitymedia selbst signiertes Zertifikat von deren RADIUS Server Liberty Global WiFi 0001 abnicken muss
Mit welchem client trat das denn auf ?

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von athurdent » 09.07.2016, 08:35

johnripper hat geschrieben:
manu26 hat geschrieben:Warum kann jeder den gesamten Datenverkehr mitlesen?
Weil sich jeder selbst einen ein "RADIUS Server Liberty Global WiFi 0001" Zertifikat ausstellen kann zu dem er dann den privaten Schlüssel hat.
Ganz so einfach ist das nicht, da musst Du schon ein wenig mehr Aufwand reinstecken:
http://resources.infosecinstitute.com/a ... nterprise/
Am Ende hast Du dann die Passwort Hashes und musst sie knacken. Bestenfalls kannst Du also - wie auch bei jedem anderen Firmen WPA Enterprise WLAN - die Userdaten abgreifen und sie damit dann reinlassen, wenn sie nochmal bei Deinem Accesspoint vorbeikommen.

Wenns Dir nur darum geht, alles mitzulesen, dann kannst Du das auch einfacher haben. Nimm nen Access Point und setz ein unverschlüsseltes WLAN mit gleicher SSID auf. Viele werden wohl den Hinweis auf eine unverschlüsselte Verbindung wegklicken, einige werden denken "Ha, jetzt kommt man sogar ganz umsonst hier ein, wie doof ISP X doch ist.", fängst Du also bestimmt ein paar Leute mit.
Allerdings hast Du dann das Problem, dass die Verbindungen ins Internet zwar mitlesbar sind, aber Dein Internetzugang dafür benutzt wird. Im Zweifel kriegst Du also den Behördenbesuch oder Post vom Anwalt.

Toxic
Übergeordneter Verstärkerpunkt
Beiträge: 550
Registriert: 03.06.2008, 14:41

Re: AW: Unitymedia: Router der Kunden werden ins WLAN-Netz i

Beitrag von Toxic » 09.07.2016, 09:00

Na super.... Der WiFi-Spot in meiner Nachbarschaft steht auf Autokanal..

Wenn demnächst alle UPC-Geräte in meiner Gegend zum WiFi-Spot werden und alle Autokanal an haben, dann wird es eng mit guten freien Kanälen.

Bisher war ich so ziemlich der einzige, der die Kanäle 1 und 11 genutzt hat.
BildBild

hajodele
Kabelkopfstation
Beiträge: 4695
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von hajodele » 09.07.2016, 09:02

Sagen wir mal so: Es gibt diverse Dinge (z.B. Banking), die mache ich nicht mal zuhause via WLAN.

hajodele
Kabelkopfstation
Beiträge: 4695
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: AW: Unitymedia: Router der Kunden werden ins WLAN-Netz i

Beitrag von hajodele » 09.07.2016, 09:07

Toxic hat geschrieben:Na super.... Der WiFi-Spot in meiner Nachbarschaft steht auf Autokanal..

Wenn demnächst alle UPC-Geräte in meiner Gegend zum WiFi-Spot werden und alle Autokanal an haben, dann wird es eng mit guten freien Kanälen.

Bisher war ich so ziemlich der einzige, der die Kanäle 1 und 11 genutzt hat.
Das ist bei mir auch ohne WifiSpot der Normalzustand bei ca. 15 Fremdnetzen.
So weit ich weiss, wird sowie nur der Kanal des privaten WLANs mitbenutzt, so dass es deshalb nur zu mehr Netzen, aber nicht zu mehr Kanälen kommt.

johnripper
Glasfaserstrecke
Beiträge: 1282
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von johnripper » 09.07.2016, 09:17

athurdent hat geschrieben:
johnripper hat geschrieben:
manu26 hat geschrieben:Warum kann jeder den gesamten Datenverkehr mitlesen?
Weil sich jeder selbst einen ein "RADIUS Server Liberty Global WiFi 0001" Zertifikat ausstellen kann zu dem er dann den privaten Schlüssel hat.
Ganz so einfach ist das nicht, da musst Du schon ein wenig mehr Aufwand reinstecken:
http://resources.infosecinstitute.com/a ... nterprise/
Am Ende hast Du dann die Passwort Hashes und musst sie knacken. Bestenfalls kannst Du also - wie auch bei jedem anderen Firmen WPA Enterprise WLAN - die Userdaten abgreifen und sie damit dann reinlassen, wenn sie nochmal bei Deinem Accesspoint vorbeikommen.
Wieso die nur die Hashes? Wenn ich ein Accesspoint aufstelle, ein self-signed Zertifikat installiere und alles an den nächsten UM WiFi Spot durchreiche, dann komme ich ohne weiteres an alle Daten. Klassicher Man-in-the-middle Angriff. Genau das ist ja das Problem mit Zertifikaten und den Trust den du (naja vielmehr dein OS) ihnen entgegenbringst.
athurdent hat geschrieben:Wenns Dir nur darum geht, alles mitzulesen, dann kannst Du das auch einfacher haben. Nimm nen Access Point und setz ein unverschlüsseltes WLAN mit gleicher SSID auf. Viele werden wohl den Hinweis auf eine unverschlüsselte Verbindung wegklicken, einige werden denken "Ha, jetzt kommt man sogar ganz umsonst hier ein, wie doof ISP X doch ist.", fängst Du also bestimmt ein paar Leute mit.
Ja und warum klicken es die Leute weg? Weil sie gelernt haben, dass das wegklicken von diversen Sicherheitshinweisen idR ohne konkrete/unmittelbare Folgen bleibt. Und da wäre wir wieder bei meinem Hauptargument, dass UM so ein Verhalten mit der Aktion ganz gewaltig fördert.
Das ist nicht nur unprofessionell, sondern fahrlässig.
athurdent hat geschrieben: Allerdings hast Du dann das Problem, dass die Verbindungen ins Internet zwar mitlesbar sind, aber Dein Internetzugang dafür benutzt wird. Im Zweifel kriegst Du also den Behördenbesuch oder Post vom Anwalt.
Dann leite ich dies halt wieder über einen anonymen Proxy/VPN oder siehe oben.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

johnripper
Glasfaserstrecke
Beiträge: 1282
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: AW: Unitymedia: Router der Kunden werden ins WLAN-Netz i

Beitrag von johnripper » 09.07.2016, 09:21

hajodele hat geschrieben:
Toxic hat geschrieben:Na super.... Der WiFi-Spot in meiner Nachbarschaft steht auf Autokanal..

Wenn demnächst alle UPC-Geräte in meiner Gegend zum WiFi-Spot werden und alle Autokanal an haben, dann wird es eng mit guten freien Kanälen.

Bisher war ich so ziemlich der einzige, der die Kanäle 1 und 11 genutzt hat.
Das ist bei mir auch ohne WifiSpot der Normalzustand bei ca. 15 Fremdnetzen.
So weit ich weiss, wird sowie nur der Kanal des privaten WLANs mitbenutzt, so dass es deshalb nur zu mehr Netzen, aber nicht zu mehr Kanälen kommt.
Ja, aber wenn die Einstellung von "fester Kanal" auf "Autokanal" geändert wird, dann gilt dies eben auch für WiFi Spot Netzwerk. Ich glaube darum ging es Toxic.
Kann aber nur hajodele zustimmen: Bei mir waren wegen diverser WLAN Netzwerke teilweise nicht mal mehr dauerhaft ausreichend Durchsatz für UHD Netflix bzw. Streaming vom Medienserver möglich, sodass ich ins 5 Ghz Band wechseln musste. Und gerade weil alle Boxen permanent die Kanäle gewechselt haben, war es kaum möglich dauerhaft ausreichend freie Kapazitäten zu finden.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

eadrax
Kabelneuling
Beiträge: 12
Registriert: 08.07.2016, 19:33

Re: AW: Unitymedia: Router der Kunden werden ins WLAN-Netz i

Beitrag von eadrax » 09.07.2016, 09:27

Toxic hat geschrieben:Na super.... Der WiFi-Spot in meiner Nachbarschaft steht auf Autokanal..

Wenn demnächst alle UPC-Geräte in meiner Gegend zum WiFi-Spot werden und alle Autokanal an haben, dann wird es eng mit guten freien Kanälen.


Wobei sich - meiner kurzen WifiSpot Erfahrung zufolge der WifiSpot - den gleichen Kanal nutzt wie die bestehende SSID (zumindest verhält sich mein TC7200 so). Sprich zuvor liefen die Router in deiner Umgebung vmtl. auch im Auto-Kanal-Modus. Die Frage ist nun eher wie aktiv die WifiSpots in deiner Umgebung genutzt werden und daher z.B. die Kanalbreite von 40 Mhz evtl. nicht genutzt werden kann. Nur weil jetzt eine SSID mehr annonciert wird, sollte die Kanalausnutzung sich nicht verändern. Ich glaube da ist viel mehr Hype und Befürchtungen als objektiv feststellbar.
Interessanter finde ich eher die Frage, wie sich die WifiSpots in die lokale Routerkonfiguration integrieren: Wie wirkt sich z.B. die Nutzung des WifiSpots auf die automatische Kanalwahl aus? Bei den FritzBoxen gibt es ja die Option, dass sie das WLAN über Nacht erst dann abschalten, wenn kein WLAN-Gerät mehr aktiv ist. Was passiert wenn z.B. ein WifiSpot-Nutzer noch aktiv ist? Ich weiß jetzt in Ermangelung einer FritzBox mit Unitymedia FW natürlich nicht, ob es diese Option in der FW überhaupt gibt - aber ich denke einige technische Fragestellungen sind durchaus interessant im Zusammenhang mit den WifiSpots.
Toxic hat geschrieben:Bisher war ich so ziemlich der einzige, der die Kanäle 1 und 11 genutzt hat.
Das heißt ja letztlich, dass die anderen Nutzer in deiner Umgebung nur den Kanal 6 genutzt haben oder das 5Ghz-Frequenzband. Ansonsten überschneidet man sich ja Frequenzmäßig wenn man vom üblichen 1/3/11 Schema abweicht bzw.1/7/13 dürfte ja auch eine Option sein.

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von athurdent » 09.07.2016, 09:32

johnripper hat geschrieben: Wieso die nur die Hashes? Wenn ich ein Accesspoint aufstelle, ein self-signed Zertifikat installiere und alles an den nächsten UM WiFi Spot durchreiche, dann komme ich ohne weiteres an alle Daten. Klassicher Man-in-the-middle Angriff. Genau das ist ja das Problem mit Zertifikaten und den Trust den du (naja vielmehr dein OS) ihnen entgegenbringst.
Öhm, nein. Das Unitymedia Zertifikat, um das es hier geht, ist nur für den RADIUS Server, welcher die User Auth macht.
Nicht für die WLAN Verschlüsselung.

Toxic
Übergeordneter Verstärkerpunkt
Beiträge: 550
Registriert: 03.06.2008, 14:41

Re: AW: Unitymedia: Router der Kunden werden ins WLAN-Netz i

Beitrag von Toxic » 09.07.2016, 09:38

Ich bin mir nicht sicher, daher reine Spekulation:

Ich meine, der User, der jetzt den WiFi-Spot betreibt, hatte einen Kanal festgelegt und die WiFi-Spot-Firmware hat das auf Autokanal überschrieben.
BildBild

hajodele
Kabelkopfstation
Beiträge: 4695
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: AW: Unitymedia: Router der Kunden werden ins WLAN-Netz i

Beitrag von hajodele » 09.07.2016, 09:52

Toxic hat geschrieben:Ich bin mir nicht sicher, daher reine Spekulation:

Ich meine, der User, der jetzt den WiFi-Spot betreibt, hatte einen Kanal festgelegt und die WiFi-Spot-Firmware hat das auf Autokanal überschrieben.
Das wäre bei Fritzboxen fatal:
Bei Autokanal aktiviert diese die Funktion "koexistenz aktiv"
Damit geht die Performance in einer vollen Umgebung deutlich in die Knie.

eadrax
Kabelneuling
Beiträge: 12
Registriert: 08.07.2016, 19:33

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von eadrax » 09.07.2016, 09:55

Ich meine, der User, der jetzt den WiFi-Spot betreibt, hatte einen Kanal festgelegt und die WiFi-Spot-Firmware hat das auf Autokanal überschrieben.
Bei meinem TC7200 war es so: Fester Kanal im 5Ghz Bereich wurde beibehalten. Die Unitymedia WifiSpot SSID erscheint auf dem gleichen Kanal.
Wie es bei anderen Routern aussieht kann ich natürlich nicht sagen.

johnripper
Glasfaserstrecke
Beiträge: 1282
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von johnripper » 09.07.2016, 12:20

athurdent hat geschrieben:
johnripper hat geschrieben: Wieso die nur die Hashes? Wenn ich ein Accesspoint aufstelle, ein self-signed Zertifikat installiere und alles an den nächsten UM WiFi Spot durchreiche, dann komme ich ohne weiteres an alle Daten. Klassicher Man-in-the-middle Angriff. Genau das ist ja das Problem mit Zertifikaten und den Trust den du (naja vielmehr dein OS) ihnen entgegenbringst.
Öhm, nein. Das Unitymedia Zertifikat, um das es hier geht, ist nur für den RADIUS Server, welcher die User Auth macht.
Nicht für die WLAN Verschlüsselung.
Öhm doch bzw. öhm genau. Solange ich den RADIUS Server nicht sauber identifiziert bekomme, ist der Rest doch vollkommen hinfällig. ICh zitiere aus deinem Artikel:
The first countermeasure is to enforce the client to validate the certificate [Anm: of the RADIUS Server] and avoid those client devices from connecting to the network when the control fails.
D.h.: Solange ich nicht sicher bin welchem Server ich hier die Zugangsdaten gebe, sollte es unterlassen werden.

Im Ergebnis wirst du mir ja wohl zustimmen, dass es wohl für so ein Netzwerk nicht zu viel verlang gewesen wäre ein gültiges Zertifikat von einer Root-CA für seinen Radius zu erhalten?
Alleine schon der Komfortgewinn dass nicht jeder "ok" klicken zu muss.

P.S. Ich stelle die Diskussion jetzt aber hier dazu ein, ich glaub es gehört hier nicht mehr hin.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

derpfeffi
Kabelexperte
Beiträge: 174
Registriert: 03.03.2016, 13:54
Wohnort: Lünen

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von derpfeffi » 09.07.2016, 13:02

Oh man, Unitymedia - die behaupten doch glatt, mein gewähltes Passwort für meinen Wifi-Spot-Account wäre unsicher

6tS#G,+VOzKtX4C/

Was soll daran unsicher sein?

Ah, jetzt lese ich es:
Das gewählte Passwort ist unsicher. Bitte wählen Sie ein anderes Passwort, das mindestens eine Zahl, einen Großbuchstaben und einen Kleinbuchstaben enthält. Andere Zeichen dürfen nicht enthalten sein.
Sicherheit sieht in meinen Augen anders aus ;-) Aber ok, muss ich halt Keepass bissel "entschärfen" ;-)
2Play Premium 200 mit UploadBooster (Telefon-Komfort-Funktion); TV Digital; TV Start; HD Option
Fritz!Box 6490, Unitymedia HD Modul
Bild

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von athurdent » 09.07.2016, 13:23

johnripper hat geschrieben:
athurdent hat geschrieben:
johnripper hat geschrieben: Wieso die nur die Hashes? Wenn ich ein Accesspoint aufstelle, ein self-signed Zertifikat installiere und alles an den nächsten UM WiFi Spot durchreiche, dann komme ich ohne weiteres an alle Daten. Klassicher Man-in-the-middle Angriff. Genau das ist ja das Problem mit Zertifikaten und den Trust den du (naja vielmehr dein OS) ihnen entgegenbringst.
Öhm, nein. Das Unitymedia Zertifikat, um das es hier geht, ist nur für den RADIUS Server, welcher die User Auth macht.
Nicht für die WLAN Verschlüsselung.
Öhm doch bzw. öhm genau. Solange ich den RADIUS Server nicht sauber identifiziert bekomme, ist der Rest doch vollkommen hinfällig. ICh zitiere aus deinem Artikel:
The first countermeasure is to enforce the client to validate the certificate [Anm: of the RADIUS Server] and avoid those client devices from connecting to the network when the control fails.
D.h.: Solange ich nicht sicher bin welchem Server ich hier die Zugangsdaten gebe, sollte es unterlassen werden.

Im Ergebnis wirst du mir ja wohl zustimmen, dass es wohl für so ein Netzwerk nicht zu viel verlang gewesen wäre ein gültiges Zertifikat von einer Root-CA für seinen Radius zu erhalten?
Alleine schon der Komfortgewinn dass nicht jeder "ok" klicken zu muss.

P.S. Ich stelle die Diskussion jetzt aber hier dazu ein, ich glaub es gehört hier nicht mehr hin.
Es ist in diesem Falle (öffentliches WLAN mit WPA Enterprise) leider relativ egal, ob das Server Cert von einer öffentlichen CA stammt. Du kannst Dir ja auch einfach ein gültiges Cert für Deinen Radius bestellen, dann müssen die Opfer bei Deinem HotSpot nichts wegklicken und bekommen von dem Betrug nichts mit, ausser dass sie sich nicht einloggen können weil Du ja bloss die Passwort Hashes mitloggst. Mit etwas Glück hast Du dann das gültige Passwort beim zweiten Mal einloggen und dann kannst Du natürlich alles mitlesen.
WPA Enterprise Schwäche, daher macht man sowas in Firmen i.d.R. mit 2-Factor Authentisierung. Du rollst den Clients z.b. noch zusätzlich ein persönliches Cert aus und das ist dann neben den Logindaten der zweite Faktor um reinzukommen. Oder verschickst Einmal-Passwörter per SMS zusätzlich zum normalen Login.

Dein oben beschriebenes Angriffszenario ist aber nicht realisierbar. Da Du den Artikel ja nun gelesen hast, wirst Du mir wahrscheinlich zustimmen, dass nicht jeder einfach so alles mitlesen kann.

Unitymedia versucht halt wohl, den Login für die Kunden möglichst bequem zu gestalten (zugegeben, noch bequemer wäre es mit einem Cert von einer öffentlichen CA) . Mit dem Ausrollen und Installieren von Zertifikaten wären die User überfordert. SMS verschicken ist ein Kostenfaktor. Und sich jedesmal auf einer Webpage einzuloggen ist auch nicht besonders bequem.

Ich bin jetzt auch aus der Diskussion raus :)

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von addicted » 09.07.2016, 13:48

derpfeffi hat geschrieben:6tS#G,+VOzKtX4C/
correct horse battery staple?

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von addicted » 09.07.2016, 14:00

athurdent hat geschrieben:Dein oben beschriebenes Angriffszenario ist aber nicht realisierbar. Da Du den Artikel ja nun gelesen hast, wirst Du mir wahrscheinlich zustimmen, dass nicht jeder einfach so alles mitlesen kann.
Ich betreibe einen falsche WifiSpot mit einem eigenen RADIUS.
Ich erlaube sämtliche Zugangsdaten.
Ein Client, der sich dort anmeldet, ist dann erstmal in meinem Netz. Wenn ich dem eine Route ins Internet gebe, wird er die verwenden.
Schon lese ich seinen Traffic mit.

Die Gefahr besteht nicht darin, dass die Passwörter abgegriffen werden, sondern der Traffic der Benutzer. Die Leute vertrauen dem Netzwerknamen und klicken die Zertifikatsmeldung weg, weil sie gelesen/gehört haben, dass man das machen muss.

Ich persönlich vertrete die Auffassung, dass mir Leute egal sind, die Fehlermeldungen nicht lesen. Da steht sowas wie "Sind Sie sicher?" - und 99% der Leute verstehen nicht, dass "ich weiß nicht was das bedeutet" eben "ich bin nicht sicher" ist. Wie bei demokratischen Wahlen ja auch...

Ich würde vielleicht einfach mal beim Kundensupport anrufen und nach dem Fingerprint des Zertifikats fragen. Ist sicher ein netter Zeitvertreib wenn ich mal wieder beim Friseur warten muss oder so.

erzich
erfahrener Kabelkunde
Beiträge: 65
Registriert: 28.04.2016, 18:46

Re: Unitymedia: Router der Kunden werden ins WLAN-Netz integ

Beitrag von erzich » 09.07.2016, 14:56

Als Info:
Der wifispot nutzt eine andere IP4 Adresse im Internet als der eigene Zugang.
Der wifispot belastet nicht die eigene Leitung, es stehen insgesamt wirklich 10/1Mbit/s mehr zur Verfügung. (Vorher 210/9,7, nun 220/10,7)

Zur Sicherheit:
Wer extra einen fake hotspot aufbaut um Leute auszuhörchen oder zu betrügen ist schon ziemlich kaputt. Sehr persönliches oder Geldsachen sollte man eh am besten nie an fremden Anschlüssen machen und Sicherheitswarnungen nicht blind ignorieren. Natürlich kann jemand, wie bei allen bekannten Netznamen oder offenen hotspots, eine Falle aufstellen aber hoffentlich werden die wenigsten genug Langeweile haben das zu tun :)

Antworten

Wer ist online?

Mitglieder in diesem Forum: hajodele und 9 Gäste