[gelöst] Absetzen eines ping = Sicherheitsgewinn?

[MSfree]

Da können aber Protokolle helfen, die signierte Antworten erwarten und Man-in-the-Middle Konstruktionen sicher erkennen (zumindest so lange wie das Endgerät unter eigener Kontrolle ist). DNSSEC, OCSP, SCVP könnten Ansatzpunkte für den Bin-ich-im-großen-Internet-Test sein.

Zumindest DNS ist schon vom Design her eine Man-in-the-Middle-Konstruktionen. DNSSEC liefert halt einen DNS-Record mit Schlüsel zurück, den die Anwendung auf "Korrektheit" prüfen muß. Zumindest kann damit geprüft werden, ob die vielen DNS, die bei der Namensauflösung beteiligt sind, diesen Record nicht verändert haben. Ob das Konzept irgendwelche Denkfehler aufweiset, kann ich dir nicht sagen.

Denkbar wäre, daß ein großer DNS-Server (z.B. 8.8.8.8 ) alle ausgelieferten DNS-Records einfach selbst signiert. Zumindest könnte ich mir vorstellen, daß auch DNSSEC (im Interesse von restriktiven Staaten) irgendwie umgehbar sein wird.

[MSfree]

DNS habe ich nicht lokal redirected, nur per DHCP den lokalen DNS mitgegeben und DNS nach draußen gesperrt. Das Android-Tablet versucht immer wieder mal zu 8.8.8.8, funktioniert trotzdem.

Komisch, wenn du DNS nach draussen gesperrt hättest, sollte ein Client nicht in der Lage sein, 8.8.8.8 als DNS zu benutzen. Da wird wohl noch ein Löchlein in deinen iptables-Regeln stecken.

Auf RADIUS/WPA2 Enterprise habe ich wegen nur einem Tablet und einem Eierfon im separiertem Gastnetz noch keinen Bock.

Mit WPA-Enterprise habe ich auch mal vor einiger Zeit rumgespielt, so richtig zuverlässig habe ich das aber nicht hinbekommen. Einige Clients haben nach ein paar Stunden eine neue Authentifizierung gewollt, was irgendwie lästig war, also bin ich wieder auf PSK zurück.

Für Gäste habe ich einen Raspi als AP, der einmal am Tag einen neuen Zufalls-PSK erzeugt und diesen auf seinem kleinen Display anzeigt. Das ist ein Idee, die ich aus der c't habe, Stichwort "WLAN Buttler". Gäste brauchen also nur auf das Display schauen und den Schlüssel eintippen.

[BenutzerGa4gooPh]

Komisch, wenn du DNS nach draussen gesperrt hättest, sollte ein Client nicht in der Lage sein, 8.8.8.8 als DNS zu benutzen. Da wird wohl noch ein Löchlein in deinen iptables-Regeln stecken.

Hatte mich wohl unklar ausgedrückt: Der Androide versucht es aber kommt nicht auf 8.8.8.8 (Log-Eintrag der Reject-Regel für alles unbekannte/unerwünschte), nimmt dann Zähne knirschend den per DHCP mitgegebenen lokalen DNS der FW (unbound). Fast alles gut.

[Raspi als AP:] Gäste brauchen also nur auf das Display schauen und den Schlüssel eintippen.

Klingt schick/elegant. Meine Kurzzeit-Gäste nutzen ihr eigenes LTE/GSM, das Gastnetz brauche ich nur für uns selber (Tablette und iPhone).

[wanne]

Zur Sache mit DNSSEC: Die Idee ist dass man DNS cachen kann DNSSEC ist absichtlich so desighned, dass das geht. An der Abfrage kannst du nur erkennen ob irgend wann in den letzten 48h irgend wann mal Internet da war.

Ich habe dem kurzum den Garaus gemacht, indem ich alle NTP-Abfragen auf einen internen NTP geforwarded habe. Folglich bekommt der Client eine gültige Zeitauskunft, weiß aber dennoch nicht, ob er (uneingeschränkten) Zugriff auf das Netz da drausen hat.

Wird Zeit das NTP auch Signaturen bekommt. Zumal diverse Sicherheitsprotokolle von genauen Uhrzeiten abhängen. (Kerberos, Lustre-Dateirechte OpenID...) Dass da jemand falsche gültige Antworten produzieren kann ist ein echtes Problem. Solange das nur Apples/Googles gängelungsmßnahmen sind, stört mich das wenig. Aber da könnte man ja sonstwas kaputt machen.

Mit WPA-Enterprise habe ich auch mal vor einiger Zeit rumgespielt, so richtig zuverlässig habe ich das aber nicht hinbekommen. Einige Clients haben nach ein paar Stunden eine neue Authentifizierung gewollt, was irgendwie lästig war, also bin ich wieder auf PSK zurück.

Ja. WPA-Enterprise ist ein Graus. Ich mache halt WPA-PSK mit Passwörtern pro MAC-Adresse. Funktioniert sehr gut, solange man Gäste hat, denen man zumindest sagen kann, wie sie ihre MAC-Adresse nachgucken.

[MSfree]

Wird Zeit das NTP auch Signaturen bekommt. Zumal diverse Sicherheitsprotokolle von genauen Uhrzeiten abhängen. (Kerberos, Lustre-Dateirechte OpenID...)

Mein interner NTP gleicht sich natürlich mit externen NTPs ab, insofern ist die exakte Uhrzeit in meinem LAN schon garantiert.

Aber diese Hurra-Einstellung für alles, was verschlüsselt und signiert ist, kann ich ehrlich gesagt überhaupt nicht teilen. Natürlich ist es wichtig beim Einkauf im Internet die Geschäftsdaten abhörsicher zu übertragen. Aber wenn ich mir die meisten Internetseiten anschaue, auf denen Verschlüsselung dazu mißbraucht wird, noch mehr Werbung und Malware auf die Client zu schubsen, ohne daß man sich mit Filtern dagegen wehren könnte, dann schlägt bei mir die Hurra-Einstellung schnell ins Gegenteil um.

Dass da jemand falsche gültige Antworten produzieren kann ist ein echtes Problem.

In meine eigenen LAN bin ich nicht "jemand". Und wenn ein Gast damit Probleme hat, dann soll er halt GSM/UMTS/LTE nehmen.

Ich mache halt WPA-PSK mit Passwörtern pro MAC-Adresse.

Interessant, mit welchen APs geht sowas? Wie richtet man das ein?

[wanne]

Mein interner NTP gleicht sich natürlich mit externen NTPs ab, insofern ist die exakte Uhrzeit in meinem LAN schon garantiert.

Ja. Bei dir. Bei uns im Cluster läuft das sogar etwas anders. Da gibt es eine eigene Uhr. Die sagt die Uhrzeit. Wie genau die dann ist, ist Wurst. Nur halt überall gleich. Man stelle sich vor irgend jemand böswilliges fängt an da an, wie du deren NTP antworten zu fälschen. Ich will gefälligst sicherstellen, dass meine Server nur mit meinen NTPs reden und mit niemand sonst.

Aber wenn ich mir die meisten Internetseiten anschaue, auf denen Verschlüsselung dazu mißbraucht wird, noch mehr Werbung und Malware auf die Client zu schubsen, ohne daß man sich mit Filtern dagegen wehren könnte

Es ist eben eine verdammt dämliche Idee, zuerst einen Client zu kaufen, der Werbung anzeigt und Malware ausführt und das danach per Filtert irgend wie beheben zu wollen. Das ist so sinnvoll, wie eine angezogene Hanbremse mit mehr Gas zu kompensieren: Am Ende wundert man sich wundern, als Nebeneffekt die Handbremse kaputt ist.
Meine Programme zeigen keine Werbung an und verifizieren mit Signaturen, dass da niemand sonst irgend welchen Müll einschläust. Und das funktioniert genau so lange, bis irgend jemand vermeintlich gutwilliges antworten fälscht und ich nicht mehr unterscheiden kann ob da jetzt jemand aus bösen oder guten Absichten gute, gut gemeinte oder böse, falsche Antworten liefert.

Und wenn ein Gast damit Probleme hat, dann soll er halt GSM/UMTS/LTE nehmen.

Zum Glück funktioniert das nach und nach ziemlich problemlos. Ich habe nur die Befürchtung, dass ohne passende Gegenmaßnahmen LTE bald genau so kaputt und versäucht mit unerwünschten Meldungen ist, wie die schlimmsten Wlans und UMTS zu seinen schlimmsten Zeiten in Indien.

In meine eigenen LAN bin ich nicht "jemand".

Keiner kann mir sagen ob das du oder sonstwer ist. Deswegen muss man bei solchen Ansätzen immer dafür sorgen, dass alle Teilnehmer voll vertrauenswürdig sind. Darauf habe ich wenig Lust. Ich will durchaus auch mal freundlich mein WLAN anbieten können ohne angst davor zu haben, dass jetzt gleich meine ganze Infrastruktur übernommen wird. Kumpel von mit hat sein WLAN sogar ganz offen. Super angenehm als Gast. Eines der WLANs die ich wirklich nutze. (Zum psks eingeben bin ich zu faul, solange ich LTE habe.) Deswegen willst du sicher sein, dass dein Client nicht kaputt geht, nur weil irgend ein passant einen bösen Scherz erlaubt. Und am Ende ist das um Größenordnungen weniger Arbeit als irgend welche Filter zu warten die dann doch nicht alles erwischen.

Interessant, mit welchen APs geht sowas? Wie richtet man das ein?

Den, den jeder verwendet: hostapd
/etc/hostapd/5psk.conf:

Code: Alles auswählen

wpa_psk_file=/etc/hostapd/pws.wpa_psk

/etc/hostapd/pws.wpa_psk:

Code: Alles auswählen

52:4a:06:aa:2e:26 782ea9648c52f235508c7a1a77888f2245975afda5cff32db0a28f6f6aeef720
06:02:42:18:6a:62 45ca1b72e70eeecc98c9a34184a144b70e8345b99ec99edf4203a1091d1463d5
...

[MSfree]

Es ist eben eine verdammt dämliche Idee, zuerst einen Client zu kaufen, der Werbung anzeigt und Malware ausführt und das danach per Filtert irgend wie beheben zu wollen.

Man muß davon ausgehen, daß alle Clients irgendwo angreifbar sind. Folglich wäre es sinnvoll, Webinhalte zu filtern, bevor sie an den Client ausgeliefert werden. Das jedoch geht nicht, wenn die Netzwerkverbindung verschlüsselt ist. Ich könnte jetzt böswillig sagen, daß Verschlüsselung hier genau ihren Zweck komplett verfehlt.

Auch die Aufregung vor einigen Jahren, was für Daten Samsung-TVs nach Hause telefonieren, wäre nie wirklich aufgedeckt worden, wenn die von vornherein verschlüsselt übertragen hätten. Jetzt ist es verschlüsselt, die Daten fliessen nach wie vor, aber keiner kann sich mehr aufregen, weil alles ja ganz sicher verschlüsselt ist und der Inhalt nicht mehr untersucht werden kann. Tolle Wurst.

Verstehe das nicht falsch, Verschlüsselung ist durchaus wichtig, aber nur in bestimmten Bereichen. Eine allumfassende Verschlüsselung schadet den Endverbraucher mehr als sie nutzt.

Meine Programme zeigen keine Werbung an und verifizieren mit Signaturen, dass da niemand sonst irgend welchen Müll einschläust.

Und wie verhinderst du, daß aus einem Werbenetzwerk jemand korrekt signierten Müll verschlüsselt bei dir einschleust. Unverschlüsselt könnte man squid einfach dazu bringen, ein Access Denied an den Browser zu schicken und das Werbfenster bleibt einfach leer.

Und ja, ich kenne SSL-bumping, mit dem ich squid als MiM entschlüseln lassen, filtern und dann an der Browser übertragen lassen kann. Diese Art des MiM geht mir dann aber doch zu weit.

/etc/hostapd/5psk.conf:

Code: Alles auswählen

wpa_psk_file=/etc/hostapd/pws.wpa_psk

/etc/hostapd/pws.wpa_psk:

Code: Alles auswählen

52:4a:06:aa:2e:26 782ea9648c52f235508c7a1a77888f2245975afda5cff32db0a28f6f6aeef720
06:02:42:18:6a:62 45ca1b72e70eeecc98c9a34184a144b70e8345b99ec99edf4203a1091d1463d5
...

Und das funktioniert Dual-Band mit 2.4GHz und 5GHz und 802.11ac?