Security Professionals - ipfw add deny all from eindgebruikers to any

Publieke wifi met wachtwoord

07-09-2015, 12:59 door Anoniem, 18 reacties
Stel, we hebben een publiek wifi-netwerk, vanuit bijvoorbeeld een hotel, dat beveiligd is met een wachtwoord (dus ook versleuteld). Alle gasten maken dus gebruik van hetzelfde wachtwoord. Hoe veilig is dat wifi dan nog? Met andere woorden: welk voordeel biedt het bekend zijn van het wachtwoord om de wifi-connectie van een andere gebruiker te kraken? Wordt het wachtwoord puur gebruikt om toegang te krijgen of wordt het ook nog gebruikt om de encryptie van de verbinding te regelen?
Reacties (18)
07-09-2015, 14:22 door Anoniem
Het wachtwoord wordt alleen gebruikt om de verbinding op te zetten en een encryptie key te onderhandelen.
Het verkeer van alle gebruikers is met een verschillende key gecodeerd, dus niet simpelweg met het wachtwoord.
Er zijn ongetwijfeld wijsneusjes die je weten te vertellen dat het allemaal hardstikke onveilig is, maar het is zeker niet
zo dat je zomaar kunt meelezen met de anderen.
07-09-2015, 14:24 door Anoniem
nee het wachtwoord heeft niks te maken met encryptie.

wel geeft het een extra beveiligings risico aangezien je in hetzelfte netwerk dit.
mocht jou pc gerbuik maken van openbare mappen ect.

dat betekent dat jij pc benaderbaar is binnen het netwerk.

ps ja ook zonder delen van mappen zijn er meer dingen rdp ect.


HELAAS bied kpn geen extra verbinding voor bedrijven zoals fon wifi hotsport. (met eigen ip)
aangezien op mijn localte ook een wifi deel met wachtowoord zoals velen.

ook ik ben er niet blij mee. helaas is de reactie van kpn koop maar een extra router voor je gast account.

echer is deze reactie onzin aangezien een router er tussen plaatsen geen eigen ip heeft een een eigen local ip.

en dat veranderd dus niks aan mijn beveileging.

ps ik heb kpn zakelijk.
en heb zelf nog geen oplossing gevonden zonder echt veel kosten zoals.

behalfe die van de buurman kraken en daar een 2de wifi hotsppot aan te maken daar maakt het mij niet uit alles op 1 ip.
hij heeft geen kassa systeem aangesloten.


mocht iemand wel weten hoe ik dit kan oplossen hoor ik het graag.

verbeteringen zijn natuurlijk ook welkom :P

mvg
T1NU5
07-09-2015, 14:34 door Anoniem
Niet, met het wachtwoord in de hand kan een attacker in principe gewoon zijn gang gaan. Wifi is alleen een netwerk protocol. Als je naar het OSI dan zorgt versleuteling op dit niveau niet voor versleuteling op de Applicatie, data, session layers etc..

Een optie is om network segregation aan te zetten om te zorgen dat alle gebruikers gescheiden van elkaar zijn. Let wel dat dit niet 100% garantie geeft.
07-09-2015, 14:54 door Anoniem
Dit wordt alleen gebruikt om toegang te krijgen tot het netwerk, de verbinding wordt dus niet beveiligd.
07-09-2015, 15:21 door Anoniem
Duidelijk. Dank!
07-09-2015, 15:27 door Anoniem
Door Anoniem:
wel geeft het een extra beveiligings risico aangezien je in hetzelfte netwerk dit.
mocht jou pc gerbuik maken van openbare mappen ect.

Sommige consumenten AP's bieden al 'guest access' via wifi waar de 'gasten' op een afgezonderd netwerk werken. Ik weet niet of deze gasten ook gesheiden zijn maar dit zou technisch mogelijk moeten zijn en ongetwijfeld bieden pro-AP's die mogelijkheid standaard
07-09-2015, 15:45 door Anoniem
Door Anoniem: ook ik ben er niet blij mee. helaas is de reactie van kpn koop maar een extra router voor je gast account.
Beste T1NU5, wanneer het gaat om een eigen IP-nummer aan de binnenkant, zal het vanzelf werken, wanneer je de DHCP server laat aanstaan. Voor een apart extern IP-adres zul je idd een extra internet verbinding moeten aanvragen. Maar je guest netwerk moet je als aanbieder gewoon beheren zoals je eigen netwerk en dichtzetten, wanneer er niemand is, die het nodig heeft. DAn hoef je niet bang te zijn voor misbruik door anderen.
07-09-2015, 15:59 door Anoniem
dit is per hotel anders geregeld en heeft vaak met de prijs te maken van het hotel.

ik heb in heel wat hotels dagen door mogen brengen van schuren die niet eens de titel hotel waardig zijn als de meest luxe van het luxe.

bij goedkopere hotels is het vaak zo simepl dat er een consumenten router bij de balie staat met 1 enkel password voor alle gebruikers soms nog met repeaters om het signaal omhoog te houden.

voor een normaal hotel radison blue etc... is het beter geregeld hier vind je vaak een password dat op kamer nummer is gegenereerd daarnaast kan je je meer zorgen maken over hoe het netwerk is opgebouwd in veel hotels.

vaak is het zo dat het netwerk volledig open is en dat iedere gebruiker data kan afvangen van andere dmv MITM attack bijvoordbeeld hierbij kun je dus http cookies stelen en iemand zijn account zo overnemen dit kan al met je mobiele telefoon en heeft geen zeer gevorderde kennis nodig.

ander hotels regelen het op etage niveau waarbij alle gebruikers van etage 1 op vlan1 zitten en alle gebruikers van etage 2 op vlan2 als voorbeeld ook dit is antuurlijk nog niet zo veilig gezien je nogsteeds iedere gebruiker op jou etage kan MITM(elen).

als ze het goed willen regelen dan genereren ze passwords die geldig zijn voor de duur van je verblijf op kamer nummer en hebben ze voor iedere klant een eigen vlan waarop hij niet kan worden aangevallen via MITM alleen is dit een zeldzaamheid.
07-09-2015, 16:27 door Anoniem
je kan wifi isolation doen, dan kunnen mensen elkaar niet benaderen via wifi. maar dat staat helaas bijna altijd uit. Als de functionaliteit uberhaupt al in de apparatuur zit.

wachtwoord delen maakt verder niet zo heel veel uit, er wordt toch per gebruiker een andere key gegenereerd, meestal zelfs om het uur. Dus puur een signaal uit de lucht halen en opvangen is niet voldoende om af te luisteren. Zonder wachtwoord is dit niet aan de orde, dan kan iedereen meeluisteren.

Hoe dan ook, de aanbieder zelf kan alles zien. Daarom is het verstandig om een VPN op te zetten als je vaak op vreemde netwerken zit.
07-09-2015, 16:28 door [Account Verwijderd]
[Verwijderd]
07-09-2015, 18:19 door Erik van Straten
Door Anoniem: Het wachtwoord wordt alleen gebruikt om de verbinding op te zetten en een encryptie key te onderhandelen.
Het verkeer van alle gebruikers is met een verschillende key gecodeerd, dus niet simpelweg met het wachtwoord.
Er zijn ongetwijfeld wijsneusjes die je weten te vertellen dat het allemaal hardstikke onveilig is, maar het is zeker niet
zo dat je zomaar kunt meelezen met de anderen.
In aanvulling op wat Buran schrijft: inderdaad is de encryptiesleutel niet het wachtwoord zelf, maar een aanvaller die het wachtwoord kent, over een device beschikt dat alle netwerkpakketjes doorgeeft (de meeste WLAN netwerkkaarten doen dat standaard niet) en die de "key exchange" pakketjes ook weet te "capturen" (ontvangen en opslaan), kan de hele sessie decoderen.

Uit https://supportforums.cisco.com/document/100611/80211-sniffer-capture-analysis-wpawpa2-psk-or-eap:
[...]
Note: you can decrypt WEP/WPA-PSK/WPA2-PSK encrypted wireless traffic if 4-way handshake key exchange frames are included in trace and PSK is known.
[...]

Een alternatief voor de aanvaller is een eigen (eventueel met meer zendvermogen) accesspoint op te stellen met hetzelfde SSID en PSK (Pre Shared Key = wachtwoord), een zogenaamde evil twin. Daarbij kan de aanvaller ook nog speciale pakketjes op bestaande verbindingen (met het "echte" access point) afschieten om deze te resetten, en zo devices naar zijn access point te lokken. Daarna is capturen wel heel eenvoudig geworden. Er zijn kant-en-klare apparaten in de handel om dit soort aanvallen mee uit te voeren, zie bijv. https://www.wifipineapple.com/.
07-09-2015, 21:32 door Anoniem
Het is heel gemakkelijk voor een aanvaller om een vals AP punt te maken en weer door te sturen naar het echte AP punt.
Hierdoor heeft de aanvaler de volledige macht over alles wat er door het eerste ( valse AP ) gaat, en kan dus gemakkelijk https door http leiden.
Er is bijna altijd wel iets te verzinnen wat fout kan gaan mits de persoon de kennis ervoor heeft ben je nooit eigenlijk veilig, wat wel zou helpen ( tegen de meeste skids ) is een VPN verbinding er over te laten lopen.
14-09-2015, 11:12 door Mapa
Door Anoniem: Het is heel gemakkelijk voor een aanvaller om een vals AP punt te maken en weer door te sturen naar het echte AP punt.
Hierdoor heeft de aanvaler de volledige macht over alles wat er door het eerste ( valse AP ) gaat, en kan dus gemakkelijk https door http leiden.
Er is bijna altijd wel iets te verzinnen wat fout kan gaan mits de persoon de kennis ervoor heeft ben je nooit eigenlijk veilig, wat wel zou helpen ( tegen de meeste skids ) is een VPN verbinding er over te laten lopen.
Vervelend genoeg laten veel hotels of andere hotspots geen VPN toe, zo bleek mij tijdens de afgelopen vakantie. CyberGhost deed het vaker niet dan wel, in elk geval.
14-09-2015, 13:18 door Anoniem
Er zijn ongetwijfeld wijsneusjes die je weten te vertellen dat het allemaal hardstikke onveilig is, maar het is zeker niet
zo dat je zomaar kunt meelezen met de anderen.

Indien je meent dat je zaken beter weet dan anderen hier, kom dan niet met afzeik termen (''wijsneusjes''), maar leg dan gewoon inhoudelijk uit waarom anderen het fout hebben. En zeik anderen al helemaal niet af voor ze uberhaupt gereageerd hebben.

Met dergelijke termen strooien (in reactie waarop, als 1e reageerder?) is een beetje kinderachtig, en verder volstrekt inhoudsloos.............
14-09-2015, 14:10 door Anoniem
Door IDtect:
Door Anoniem: Het is heel gemakkelijk voor een aanvaller om een vals AP punt te maken en weer door te sturen naar het echte AP punt.
Hierdoor heeft de aanvaler de volledige macht over alles wat er door het eerste ( valse AP ) gaat, en kan dus gemakkelijk https door http leiden.
Er is bijna altijd wel iets te verzinnen wat fout kan gaan mits de persoon de kennis ervoor heeft ben je nooit eigenlijk veilig, wat wel zou helpen ( tegen de meeste skids ) is een VPN verbinding er over te laten lopen.
Vervelend genoeg laten veel hotels of andere hotspots geen VPN toe, zo bleek mij tijdens de afgelopen vakantie. CyberGhost deed het vaker niet dan wel, in elk geval.

Route je VPN verkeer over port 443 TCP werkt 100%.
14-09-2015, 14:43 door Mapa - Bijgewerkt: 14-09-2015, 15:55
Door Anoniem:
Route je VPN verkeer over port 443 TCP werkt 100%.
Hm, ik leer net dat CyberGhost ook poort 443 gebruikt, maar dan over UDP. Die heb ik nu naar TCP gezet, dan zou het vanaf nu beter moeten werken.

https://support.cyberghostvpn.com/index.php?/Knowledgebase/Article/View/438/0/what-to-do-if-connection-fails
16-09-2015, 16:21 door yobi
De installatie verschilt per hotel. Indien er WPA2 encryptie wordt gebruikt, dan is er een extra stap nodig om de versleuteling ongedaan te maken. Het slachtoffer moet opnieuw een verbinding met het netwerk maken (kan door de aanvaller worden veroorzaakt), zodat de aanvaller met het sleutelmateriaal in sync loopt. Hierna kan men passief meeluisteren.

Het neerzetten van een vals accesspoint is dan een snellere oplossing. Wel moet de aanvaller dan de internetaansluiting verder verzorgen.

Meestal is er geen versleuteling aanwezig. Men komt dan op een 'landingpage' waar men bijvoorbeeld naam en kamernummer moet invullen. Dit geeft verder geen bescherming tegen meeluisteren.

Een VPN-verbinding is en blijft de ideale oplossing.
17-09-2015, 17:37 door Anoniem
Kijk eens naar darkhotel, https://www.youtube.com/watch?v=WlgLpXjpp8k.

maak dus altijd gebruik van een secure encrypted vpn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.