Seiteneffekt des WifiSpot

In dieses Forum kommen Themen über Unitymedia hinein, die nicht in andere Foren passen.
Antworten
addicted
Kabelkopfstation
Beiträge: 3759
Registriert: 15.03.2010, 02:35

Re: Seiteneffekt des WifiSpot

Beitrag von addicted » 07.01.2017, 12:00

Da ich ne Weile gesucht habe:
https://www.unitymedia.de/content/dam/d ... oot_CA.cer

Selbstsigniert natürlich.

MartinP_Do
Glasfaserstrecke
Beiträge: 1342
Registriert: 26.01.2016, 11:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitrag von MartinP_Do » 07.01.2017, 12:14

Ergänzung zur Anleitung hier:

https://www.unitymedia.de/privatkunden/ ... re-kunden/

Nachdem ich mir von der UM-Seite wie beschrieben das Zertifikat heruntergeladen hatte, kriegte ich es nicht installiert, möglicherweise, weil das Smartphone mit Wisch-Sperre statt Passwort entsperrt werden muss.

Man muss vor Installation die Display-Sperre komplett ausschalten.

Am Ende der Installation des Zert. wird man dann angewiesen, die Display-Sperre wieder einzurichten.
Da kann man dann wieder die gewohnte Wisch-Geste aktivieren, und das Zertifikat ist eingerichtet.
Dann muss man noch einmal durch die Einstellungen gehen. (Ich habe den Zertifikat-Namen ggüb. d. Anleitung bei UM etwas geändert)


Jetzt sieht es so aus - musste manuell geändert werden - vorher war bei CA-Zertifikat nichts auswählbar

....
EAP-Methode - PEAP
Phase 2 Auth. - MSCHAPV2
CA-Zertifikat - LGI Root
Zuletzt geändert von MartinP_Do am 07.01.2017, 12:28, insgesamt 3-mal geändert.
FB 6490 von UM (Fw 6.50) 2Play 100, Telefon Komfort, LevelOne GSW 0807 8-port switch

MartinP_Do
Glasfaserstrecke
Beiträge: 1342
Registriert: 26.01.2016, 11:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitrag von MartinP_Do » 07.01.2017, 12:21

tq1199 hat geschrieben:
MartinP_Do hat geschrieben: ... erhält dann eine Möglichkeit, sich das Zertifikat herunterzuladen
... aber bei dir hat es auch ohne Zertifikat, funktioniert?

Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:
Ohne Zertifikat kann das Smartphone nicht feststellen, ob der Access-Point, der sich als "Unitymedia WifiSpot" ausgibt auch wirklich einer ist.

Dadurch bestünden meiner Meinung nach zwei Gefahren:
1) Die persönlichen Wifi Spot Anmeldedaten könnten in falsche Hände geraten
2) Hat das Smartphone sich im gefälschten Wifi-Spot angemeldet, kann dessen Betreiber versuchen Man-in-the-Middle zu spielen, und weitere Information aus dem Datenverkehr des Smartphones zu extrahieren...
Zuletzt geändert von MartinP_Do am 07.01.2017, 12:26, insgesamt 1-mal geändert.
FB 6490 von UM (Fw 6.50) 2Play 100, Telefon Komfort, LevelOne GSW 0807 8-port switch

MartinP_Do
Glasfaserstrecke
Beiträge: 1342
Registriert: 26.01.2016, 11:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitrag von MartinP_Do » 07.01.2017, 12:26

addicted hat geschrieben:Da ich ne Weile gesucht habe:
https://www.unitymedia.de/content/dam/d ... oot_CA.cer

Selbstsigniert natürlich.
Da muss man ja fast dankbar für das "https:" in der obigen URL sein...
FB 6490 von UM (Fw 6.50) 2Play 100, Telefon Komfort, LevelOne GSW 0807 8-port switch

tq1199
Glasfaserstrecke
Beiträge: 1665
Registriert: 07.02.2014, 09:05

Re: Seiteneffekt des WifiSpot

Beitrag von tq1199 » 07.01.2017, 12:37

MartinP_Do hat geschrieben: Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:
Das ist bzw. war mir schon klar, dass es hier um Sicherheit geht, ... aber so wie Du das w. o. beschrieben hast, hat es bei dir (... weniger sicher) auch ohne Zertifikat funktioniert.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

MartinP_Do
Glasfaserstrecke
Beiträge: 1342
Registriert: 26.01.2016, 11:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitrag von MartinP_Do » 07.01.2017, 12:50

tq1199 hat geschrieben:
MartinP_Do hat geschrieben: Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:
Das ist bzw. war mir schon klar, dass es hier um Sicherheit geht, ... aber so wie Du das w. o. beschrieben hast, hat es bei dir (... weniger sicher) auch ohne Zertifikat funktioniert.
Definitiv.
Das war ja der Grund, dass ich etwas länger über die Wifispots nachgedacht habe: Wenn ich durch die Wohnung wanderte hat sich das Smartphone gelegentlich aus dem Heim-Wlan ab- und im WifiSpot des Nachbarn angemeldet ....

Mal schauen, ob da ein Wifi - Manager hilft...
FB 6490 von UM (Fw 6.50) 2Play 100, Telefon Komfort, LevelOne GSW 0807 8-port switch

MartinP_Do
Glasfaserstrecke
Beiträge: 1342
Registriert: 26.01.2016, 11:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitrag von MartinP_Do » 07.01.2017, 14:18

Habe jetzt den Rundumschlag bei den Smartphones der Familie gemacht.

OnePlus2 und Honor Holly haben die Konfigurationsänderungen klaglos geschluckt. Bei einem Samsung S5 mini gehen die gemachten Änderungen beim Speichern verloren ...

EDIT: Mit Daten komplett entfernen, neu suchen lassen, und dann "in einem Rutsch" alles eingeben hat es auch beim S5 mini geklappt...
FB 6490 von UM (Fw 6.50) 2Play 100, Telefon Komfort, LevelOne GSW 0807 8-port switch

addicted
Kabelkopfstation
Beiträge: 3759
Registriert: 15.03.2010, 02:35

Re: Seiteneffekt des WifiSpot

Beitrag von addicted » 07.01.2017, 14:53

Nochmal: Die Anmeldedaten werden bei 802.1X nicht einfach so "geschickt". Ein Rogue AP könnte diese nicht abgreifen, selbst wenn man keine Zertifikatsprüfung macht.

MartinP_Do
Glasfaserstrecke
Beiträge: 1342
Registriert: 26.01.2016, 11:50
Wohnort: Ruhrgebiet

Re: Seiteneffekt des WifiSpot

Beitrag von MartinP_Do » 09.01.2017, 15:03

Websuche 1 .... Aussage: 802.1x bietet Sicherheit - http://www.solinske.de/2014/10/05/WLANM ... Point.aspx

Websuche 2 .... Aussage: 802.1x bietet nur Sicherheit, wenn man Passworte verwendet, die einigermaßen sicher gegen Brute Force Dictionary Attacken sind https://www.redelijkheid.com/blog/2015/ ... cess-point
Der Username wird in Klartext übertragen, das Passwort als hash...

Jedenfalls bietet das Zertifikat zusätzliche Sicherheit - ein Wifispot "Zwilling" ohne dieses Zertifikat kriegt weder den Usernamen, noch den Hash des Passworts zu sehen, wenn man das Zertifikat installiert und konfiguriert ...

Websuche 3 http://freeradius.org/enterprise-wifi.html:

Die sagen über die Client-Seite
User Device Configuration

After having completed the RADIUS server and Wi-Fi equipment setup, it is possible for users to authenticate securely to the network and to verify that they are not connected to an attacker network ("evil twin").

For this possibility to actually happen, the network operator needs to communicate the pertinent RADIUS server settings to all end users, and they need to ensure that the end users transform these server-side settings into a proper client-side configuration.

This typically involves:

Import or mark as trusted the CA certificate to validate the RADIUS server's certificate.
Configure the expected server name of the server certificate.
Select an EAP type on the client device which matches one of the configured EAP types on the server.
Optionally enable extra features such as enhanced privacy protection (use of anonymous outer identities) etc.


Und dann noch die Warnung
Network administrators should be aware that neglecting to secure the client-side setup puts the security of the enterprise network at risk - badly configured user devices can be tricked to connect to a rogue AP / evil twin network! Such an attacher network can learn their credentials as they authenticate - and the attacker can from then on log into the genuine network with those same credentials. The attacker can also inspect their payload - with the false feeling of being connected to the own enterprise network, some users or their applications may use unencrypted communication where they should not.
Die sagen wieder - daß es riskant ist, Clients ohne Zertifikat zu nutzen.

Da ich zuerst ohne Zertifikat den Wifispot genutzt habe - ich habe auch keinen Hinweis auf ein automatisch übertragenes Zertifikat gefunden - also dass man sicher ist, solange der erste WifiSpot authentisch war...
FB 6490 von UM (Fw 6.50) 2Play 100, Telefon Komfort, LevelOne GSW 0807 8-port switch

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste