WPA2 unsicher: KRACK hebelt WLAN-Verschlüsselung aus

[ottomane]

Zum Thema VPN… welche App/Dienst ist denn hier zu empfehlen? Es gibt ja einige da draußen.

Ich vertraue grundsätzlich keinem VPN-Anbieter und so einer hilft dir auch nicht bei der Kommunikation in deinem Heimnetz.

Falls du eine Fritzbox hast, kann die als VPN-Endpunkt dienen und den Datenverkehr innerhalb deines Heim-WLANS verschlüsseln. Zudem kannst du unterwegs eine VPN-Verbindung zur Fritzbox aufbauen und von dort aus ins Internet bzw in dein Heimnetz gehen. Die Verbindung über ein fremdes WLAN wird so ebenfalls gesichert.

 

[MichaNbg]

"Der Angreifer" kann auch vor deinem Haus im Auto sitzen. Oder in der Lobby deines Unternehmens. Was meinst du, weshalb alle Ernst zu nehmenden Unternehmen neben der Verschlüsselung des Drahtlosnetzwerks zusätzlich noch einen VPN-Tunnel verlangen um auf kritische Daten zugreifen zu dürfen.

Drahtlose Netzwerke sind und bleiben weitaus anfälliger als kabelgebundene, sicherheitskritischer, instabiler und langsamer.

 

[echo.park]

HTTPS Verbindungen haben kein Problem und Apple hat die Sache mit den Betas für alle Systeme bereits behoben.

Und ist ein Gerät gepatcht kann es sogar sicher an einem ungepatchten Accesspoint betrieben werden.

Für mich ist das Thema damit schon durch.

 

[ottomane]

Problematisch ist, dass es ungepatchte Geräte im Netz geben könnte, die eben dann mit einem ungepatchten Router kommunizieren. Ich denke da an die ganzen nicht mehr aktualisierten Androiden und wohl viele IoT-Devices. Diese reißen Lücken ins Heimnetz, durch die Angreifer Schadware z.B. auf einem Heizungsthermostat installieren können und dann per MAC-Spoofing internen Datenverkehr abhören können.
Ich kann nur dazu raten, unsichere Kommunikation in ein separates Gast-WLAN auszulagern.

 

[Balkenende]

Drahtlose Netzwerke sind und bleiben weitaus anfälliger als kabelgebundene, sicherheitskritischer, instabiler und langsamer.

Das ist natürlich eine völlig neue Erkenntnis

Gemessen daran, dass die Lücke gerade jetzt offenkundig wird, siehe meinen Post oben, ist das Thema aktuell überschaubar. Auch für Firmen, die ja vernünftige Router unabhängig von VPN-Lösungen betreiben werden (gell?).

Lancom stellt schon uns zB in Kürze Fixes zur Verfügung.

Die Lücke ist aktuell für kaum jemand nutzbar und ist zu stopfen mit Fixes.

Wer das nicht tut, könnte allerdings zukünftig interessante Probleme bekommen.

 

[MichaNbg]

Firmwareupdates müssen erst einmal bereitgestellt und dann von den Kunden auch eingespielt werden. Gerade im Heimbereich würde ich nicht darauf wetten, das Opa Paschulke und Jennifer Blaszikowski ihre Endgeräte im Griff haben.

Aber diese Erkenntnis wird für dich ja auch nicht völlig neu sein, nicht wahr? „

“

 

[Balkenende]

Paschulke und Blaszikowski sind zuweilen genauso bekannt dafür, zu sparen und nicht rechtzeitig Bremsbelege zu tauschen und Rohre am Haus zu spülen oder die Silikonfugen in der Dusche zu erneuern.

 

[Mac 2.2]

und Apple hat die Sache mit den Betas für alle Systeme bereits behoben.

Und was ist mit älteren Systemen und den Airport-Routern? Das Thema ist noch lang nicht durch.

 

[echo.park]

Und was ist mit älteren Systemen und den Airport-Routern? Das Thema ist noch lang nicht durch.

Wieder ein Beispiel dafür, dass man immer die neuesten Systeme nutzen sollte. Nicht ewig auf El Capitan rumhängen, und so.

Und natürlich sind (finale) Patches auch sofort zu installieren.

Nur bei den älteren Routern von Apple. Da gebe ich dir recht.

 

[echo.park]

Problematisch ist, dass es ungepatchte Geräte im Netz geben könnte, die eben dann mit einem ungepatchten Router kommunizieren. Ich denke da an die ganzen nicht mehr aktualisierten Androiden und wohl viele IoT-Devices.

Soweit ich das verstehe ist diese Lücke kein Problem mehr sobald eines von beiden Geräten der Verbindung gepatcht ist.

 

[ottomane]

Deshalb schrub ich von Kommunikation zwischen einem ungepatchten Gerät und einem ungepatchten Router. Wobei noch nicht 100% sicher ist, dass jeder Router überhaupt ein Update braucht.

Wichtig ist das Patchen der Clients.

 

[Mac 2.2]

Wieder ein Beispiel dafür, dass man immer die neuesten Systeme nutzen sollte. Nicht ewig auf El Capitan rumhängen, und so.

Naja mein iPad 3 kann ich nicht mehr updaten, genauso wenig das 5c. Also soll/ muss ich mir jetzt neue Geräte kaufen?:rolleyes:

Edit: Und bei den AirPorts bin ich mal gespannt ob, noch was kommt. Mittlerweile bereue ich, dass ich die damals gekauft habe -.-

 

[Mitglied 105235]

Naja mein iPad 3 kann ich nicht mehr updaten, genauso wenig das 5c. Also soll/ muss ich mir jetzt neue Geräte kaufen?:rolleyes:

Abwarten, Apple hat schon mal unerwartet ein Sicherheitsupdate für Geräte die aus den Zyklus eigentlich raus sind gebracht.

Dazu ist es doch so, das bei der Attacke du dich mit den Angreifer im gleichen WLAN befinden musst. Also öffentliche WLANs meiden oder nur per VPN nutzen. Und daheim wirst du wohl nicht jeden in dein WLAN lassen oder?

 

[ottomane]

Viele Websites nutzen ohnehin HTTPS, sodass da so ohne Weiteres nichts passieren kann. Man muss allerdings darauf achten, dass man wirklich dieses Protokoll nutzt.

Das BSI warnt daher IMO zu Unrecht vor Banking über WLAN.

 

[echo.park]

Das BSI warnt daher IMO zu Unrecht vor Banking über WLAN.

Die haben eh von nichts einen Plan.

 

[u0679]

Die haben eh von nichts einen Plan.

sind aber leider, wenn Du in Firmen Zertifizierungen zum Thema Sicherheit benötigst weil Kunden es so wollen maßgebend.

 

[echo.park]

sind aber leider, wenn Du in Firmen Zertifizierungen zum Thema Sicherheit benötigst weil Kunden es so wollen maßgebend.

Richtig. Da weiß man nicht ob man lachen oder weinen soll.

 

[MichaNbg]

Das BSI warnt daher IMO zu Unrecht vor Banking über WLAN.

Naja, ganz so ist es nicht. Wenn du in einem fremden WLAN sitzt, ist es einfacher das Netz so zu manipulieren, dass du eine erfolgversprechende mitm Attacke fahren kannst, weil du den gesamten Verkehr erstmal über dich laufen lässt.

Das kannst du zwar auch in kabelgebundenen Netzen, dazu musst du dort aber physikalischen Zugriff haben. Bei WLAN kannst du alles auch irgendwo vor der Tür postieren.

 

[Mitglied 105235]

Ist nicht nur mit den BSI so, gibt noch genügend andere "Verbände" die irgendwelche Normen geschrieben haben und nach denen sich die Unternehmen Zertifizieren lassen müssen, weil es der Kunde will. Die Normen sind aber totaler Käse oder schießen über das Ziel komplett hinaus.

 

[ottomane]

Ein MITM bei HTTPS ist aber nicht so trivial - zumindest sollte dies dem Opfer auffallen.