xDSL.at

[knack99]

ich hab keine ahnung, ich gebs zu, daher die frage:

wie kann man verhindern, dass ein wlan client mit den wifree credentials bei einem fake "wifree upc"-hotspot (free radius etc) einloggt und dort die credentials ausprobiert?

oder anders gesagt:
wie wird bei upc wifree sichergestellt, dass die ssid upc gehört?


laut der anleitung ist zertifikatsüberprüfung nicht aktiv (schritt 9)
https://www.upc.at/content/dam/www-upc- ... ndows8.pdf

...?

[tszr]

Bei Andriod muss man das einstellen:

4. Wählen Sie "PEAP" als EAP-Methode und „MSCHAPV2“ bei Authentifizierung aus.

Keine Ahnung ob damit das Auslesen der PW bei Fake W-LANs verhindern kann, wo sind die Profis bitte im Info?


PS: Ich hab Wi-Free soeben deaktiviert weil viele Bugs in der Modem FW TC7200 die noch nicht behoben wurden.
Und ich dann zu Hause nach maueller Abschaltung des WLANS und wieder einschalten kein Internet mehr habe und nur mehr WI-FREE aktiv ist (und ins eigene WE-FREE ist keine Verbindung möglich), zudem hab ich noch nie eine Internetverbindung im fremden WLAN WI-FREE geschaftt obwohl mit Nachbar Modem verbunden und IP vorhanden ist.

mfg tszr

[wicked_one]

Interessaner Gedanke

/edited:

Hab jetzt die beschreibung bei UPC durchgelesen, einen Honeypot dafür aufzusetzen sollte kein Problem darstellen, einen solchen zu erkennen stelle ich mir grad ausgesprochen schwer vor.

Vielleicht ein Projekt für mich nächste Woche, falls mir unerwartet langweilig wird.

Eventuell könnte das ja auch sonst mal wer ausprobieren, bis dahin empfehle ich dringend zusätzliche Maßnahmen zu setzten, wie sie bei jedem anderen Hotspot auch obligat sein sollten, wie VPN, etc...

[knack99]

ich ab ein bischen darüber gelesen und es is wohl so, dass bei peap keine passwörter übertragen werden, sondern nur hashes. man müsste also den hash knacken, wenn man es schafft einen honeypot aufzusetzen.

hab auch gelesen, dass radius so einstellbar ist, dass beim erstimaligen log-in ein zertifikat runtergeladen wird, das dann bei den zukünftigen verbindungsversuchen gecheckt wird. wenn das so gemacht wird, würde ein honeypot einen zertifikatsfehler auslösen, aber wir wissen was das bringt.. wie gesagt, ich kenn mich damit nicht aus, aber mir scheint, das system funkt über die ssid.

[berndy2001]

ca. so? https://www.youtube.com/watch?v=doTew9nNGZU

[WaJoWi]

Abgesehen davon, dass ich kein ungarisch verstehe, aber wenn ein Passwort in den diversen Hash-Tabellen bekannt ist, ist es auch schnell zu "knacken". Wenn man Passwörter wie '12345' (in dem Video) verwendet, ist man selber schuld. Und soweit ich mich erinnern kann, fordert UPC ein besseres Passwort als Zahlenfolgen, Username und ähnliches.

[derFlo]

Hab jetzt die beschreibung bei UPC durchgelesen, einen Honeypot dafür aufzusetzen sollte kein Problem darstellen, einen solchen zu erkennen stelle ich mir grad ausgesprochen schwer vor.

Also wenn ich mir nur den Überblick über das MSCHAPv2 so durchsehe, glaube ich eher weniger, dass dies so einfach ist.

Abgesehen davon, dass ich kein ungarisch verstehe, aber wenn ein Passwort in den diversen Hash-Tabellen bekannt ist, ist es auch schnell zu "knacken".

Ich kann mir kaum vorstellen, dass
1) Der Hash unverschlüsselt übertragen wird
2) Der Hash nicht mit einem Salt versehen ist (da bin ich mir aber nicht sicher, dazu habe ich auf die Schnelle nichts gefunden).

laut der anleitung ist zertifikatsüberprüfung nicht aktiv (schritt 9)

Ok, da könnts Probleme geben...

[WaJoWi]

Abgesehen davon, dass ich kein ungarisch verstehe, aber wenn ein Passwort in den diversen Hash-Tabellen bekannt ist, ist es auch schnell zu "knacken".

Ich kann mir kaum vorstellen, dass
1) Der Hash unverschlüsselt übertragen wird
2) Der Hash nicht mit einem Salt versehen ist (da bin ich mir aber nicht sicher, dazu habe ich auf die Schnelle nichts gefunden).

Hast du das Video gesehen? Wie kommt der sonst zum Passwort im Klartext bzw. zum Hash?

[derFlo]

Hast du das Video gesehen? Wie kommt der sonst zum Passwort im Klartext bzw. zum Hash?

Ich hab das Video noch nicht gesehen, werds mir aber ansehen.
Ich kan mit vorstellen, dass es ohne Zertifikatsüberprüfung der Gegenstelle durchaus möglich ist, hier als Man-in-the-Middle etwas abzufangen. Aber dazu müsst ich mir das Protokoll selbst auch nochmal genauer ansehen.

[kleinem]

Ohne jetzt alle Beiträge komplett gelesen zu haben,
hab darüber auch schon nachgedacht als ich die Anleitung gesehen hab.

Nur mit Zertifikats pinning - also check gegen Original UPC Zertifikat vom Radius Server ist man auf der sicheren Seite.
MSCHAPv2 hashes sind knackbar soweit ich mich erinnern kann.
Es hat schon seinen Grund warum MSCHAPv2 bei 802.1x generell nur über TLS getunnelt wird. (->PEAP)

*edit
"Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können. Dieser Dienst wird für jedermann gegen eine Gebühr angeboten." - Wikipedia

[kleinem]

Zuhause hab ich mir jetzt doch die Zeit genommen den ganzen Thread zu lesen.
Da es hier in erster Linie darum ging wie man Fake SSIDs erkennen und verhindern kann,
hab ich mich kurzerhand dazu entschlossen diese Anleitung zu schreiben.

Fragen und Anregungen nehme ich natürlich gerne entgegen.

[knack99]

@kleinem danke. Hast du eine idee warum upc das root-ca im anmeldevorgang nicht benutzt? ist das weil das root-ca nicht beim erstmaligen wlan-auth geladen werden kann und die leute es sowieso immer vor dem ersten anmelden erst importieren müssten, aber peap müsste das doch hergeben, oder? thx!

[kleinem]

Ich kann mir vorstellen dass sie das einfach aus usability Gründen nicht erwähnen.
Wenn ich mir zum Beispiel vorstellen müsste wie meine Eltern eine RootCA installieren.. Prost Mahlzeit...

Security verhält sich halt diametral zu usability - man will die User wahrscheinlich nicht überfordern und davon abhalten dieses neue Feature zu nutzen und zu vergraulen.

Außerdem hat die Installation einer RootCA noch weitreichendere Folgen die ich in meinem Guide nicht erwähnt habe.
Aber ich kann hier halt auch nicht groß und breit erklären wie PKI generell funktioniert. Das würde viel zu weit gehen,
außerdem ist es immer vom OS bzw. den Applikationen wie Sie damit umgehen.

[Viennaboy]

Ich empfange einen in meiner Nähe:
7|C6:27:95:BA:02:BC|UPC Wi-Free|1|WPA2-Enterprise|CCMP|Infrastructure|802.11n|18|23|-89|-86|Unbekannt|Unbekannt|6,9,12,48|2015-11-11 18:45:31.888|2015-11-11 19:21:49.606

[WaJoWi]

Ich empfange einen in meiner Nähe:

Schön für dich...