Unitymedia Seiteneffekt des WifiSpot

[MartinP_Do]

Man findet sich unerwartet manchmal im falschen WLAN ...

Ich habe in meinem Smartphone die UnitymediaWifiSpots als mögliche Access-Points eingerichtet, also Username und Password gespeichert.

Nun hat mein direkter Nachbar auch Kabel-Internet, und dazu ein TC7200 als Router. Dadurch ist über diesen ein WifiSpot eingerichtet.
Meine Fritzbox 6490 ist noch nicht so weit ...

In manchen Ecken des Hauses hält deshalb mein Smartphone es für eine gute Idee, in das WifiSpot Netz des Nachbarn zu wechseln.
Sehr ärgerlich, weil dadurch das NAS nicht mehr erreichbar ist, und man gerade Mediendaten zwischen NAS und Smartphone synchronisiert....

:wand:

Gibt es eine Möglichkeit, das Smartphone anzuweisen, sich im WifiSpot nur nach einem "OK" des Benutzers anzumelden, aber im heimischen WLAN automatisch sobald es in Reichweite ist?
Möchte ungerne immer manuell das Password eingeben.

Auf der anderen Seite könnte doch die automatische Übertragung der Password-Daten an einem Wlan Access-Point, der sich "Unitymedia WifiSpot" nennt ein Sicherheitsrisiko darstellen: Wenn ein böswilliger Bube ein Wlan mit dieser SSID aufspannt, könnte er damit doch die Zugangsdaten der vorbeilaufenden Unitymedia-Kunden "ernten", wenn diese ein entsprechendes Smartphone mit Unitymedia-Wifispot-Zugangsdaten in der Tasche haben ...
Oder gibt es gegen das obige Angriffsszenario im WLAN Standard Vorkehrungen?

 

[hajodele]

Es gibt diverse Wifi-Manager, mit denen man Prioritäten und mehr festlegen kann

Die Sicherheitsvorkehrungen nennen sich WPA.
Bei WEP hättest du immer das Problem. Der böse Bube sitzt sniffernd im Auto und wartet, bis sich bei dir ein WLAN-Gerät anmeldet.

 

[MartinP_Do]

Und ist es ein Sicherheitsrisiko, wenn mein Smartphone an jeden Access-Point, der sich mit "Unitymedia WifiSpot" meldet Benutzernamen und Password überträgt?

Irgendein Zertifikat, ob das ein authentischer Access Point ist, wird ja anscheinend nicht geprüft ...

Hier die Erkärung, warum es nicht gehen soll:

http://security.stackexchange.com/questions/79343/can-wpa2-wifi-be-hacked-by-capturing-data-on-an-evil-twin

 

[hajodele]

Hast du das ohne Zertifikat am laufen? Das geht doch optional.

 

[MartinP_Do]

Hast du das ohne Zertifikat am laufen? Das geht doch optional.

Einrichtung habe ich so gemacht:

Als ich gesehen haben, daß plötzlich ein WifiSpot in der Nähe unseres Hauses in der Accesspoint Liste des Smartphones auftauchte, habe ich versucht, mich mit diesem zu verbinden. Es wurde nach Password und Usernamen gefragt, danach auf "verbinden" geklickt, und die Verbindung war hergestellt...

Seitdem ich das gemacht habe, loggt sich das Smartphone automatisch an jedem WifiSpot ein...

 

[addicted]

Dass Passwort wird nicht übertragen, es findet stattdessen eine Challenge Authentifizierung statt.

Die Zertifizierung ist aber auch vorgesehen, Du kannst im Client üblicherweise einstellen, ob das überprüft werden soll. Ich habe bisher nicht überprüft, ob die Spots ein ordentliches Zertifikat präsentieren, weil ich eh keinen Zugang habe.

Priorisierung der Wifinetze ist aber tatsächlich Sache des Clients. Musst Du gucken was es da für Dein Gerät für Möglichkeiten gibt.

 

[MartinP_Do]

Eigenschaften

Sicherheit - 802.1x EAP

EAP-Methode - PEAP

Phase 2 Auth - keine Angabe

CA Zertifikat - keine Angabe

 

[tq1199]

Sicherheit - 802.1x EAP
EAP-Methode - PEAP
Phase 2 Auth - keine Angabe
CA Zertifikat - keine Angabe

Das wird dann evtl. so sein:

# ... If ca_cert and ca_path are not
# included, server certificate will not be verified. This is insecure and
# a trusted CA certificate should always be configured when using
# EAP-TLS/TTLS/PEAP.

# ... Alternatively, this can be used to only perform matching of the server
# certificate (SHA-256 hash of the DER encoded X.509 certificate). In
# this case, the possible CA certificates in the server certificate chain
# are ignored and only the server certificate is verified.

Quelle: https://w1.fi/cgit/hostap/plain/wpa_supplicant/wpa_supplicant.conf

 

[MartinP_Do]

Hier ist eine Diskussion zum Thema

https://community.unitymedia.de/questions/wifispot-zertifikat

Und hier kann man sehr weit nach unten scrollen, und erhält dann eine Möglichkeit, sich das Zertifikat herunterzuladen

https://www.unitymedia.de/privatkunden/angebote/unitymedia-wifispot/wifi-fuer-unsere-kunden/

 

[tq1199]

... erhält dann eine Möglichkeit, sich das Zertifikat herunterzuladen

... aber bei dir hat es auch ohne Zertifikat, funktioniert?

 

[addicted]

Da ich ne Weile gesucht habe:
https://www.unitymedia.de/content/dam/dcomm-unitymedia-de/Privatkunden/angebote/wifispot/LGI_Root_CA.cer

Selbstsigniert natürlich.

 

[MartinP_Do]

Ergänzung zur Anleitung hier:

https://www.unitymedia.de/privatkunden/angebote/unitymedia-wifispot/wifi-fuer-unsere-kunden/

Nachdem ich mir von der UM-Seite wie beschrieben das Zertifikat heruntergeladen hatte, kriegte ich es nicht installiert, möglicherweise, weil das Smartphone mit Wisch-Sperre statt Passwort entsperrt werden muss.

Man muss vor Installation die Display-Sperre komplett ausschalten.

Am Ende der Installation des Zert. wird man dann angewiesen, die Display-Sperre wieder einzurichten.
Da kann man dann wieder die gewohnte Wisch-Geste aktivieren, und das Zertifikat ist eingerichtet.
Dann muss man noch einmal durch die Einstellungen gehen. (Ich habe den Zertifikat-Namen ggüb. d. Anleitung bei UM etwas geändert)


Jetzt sieht es so aus - musste manuell geändert werden - vorher war bei CA-Zertifikat nichts auswählbar

....
EAP-Methode - PEAP
Phase 2 Auth. - MSCHAPV2
CA-Zertifikat - LGI Root

 

[MartinP_Do]

... erhält dann eine Möglichkeit, sich das Zertifikat herunterzuladen

... aber bei dir hat es auch ohne Zertifikat, funktioniert?

Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:
Ohne Zertifikat kann das Smartphone nicht feststellen, ob der Access-Point, der sich als "Unitymedia WifiSpot" ausgibt auch wirklich einer ist.

Dadurch bestünden meiner Meinung nach zwei Gefahren:
1) Die persönlichen Wifi Spot Anmeldedaten könnten in falsche Hände geraten
2) Hat das Smartphone sich im gefälschten Wifi-Spot angemeldet, kann dessen Betreiber versuchen Man-in-the-Middle zu spielen, und weitere Information aus dem Datenverkehr des Smartphones zu extrahieren...

 

[MartinP_Do]

Da ich ne Weile gesucht habe:
https://www.unitymedia.de/content/dam/dcomm-unitymedia-de/Privatkunden/angebote/wifispot/LGI_Root_CA.cer

Selbstsigniert natürlich.

Da muss man ja fast dankbar für das "https:" in der obigen URL sein...

 

[tq1199]

Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:

Das ist bzw. war mir schon klar, dass es hier um Sicherheit geht, ... aber so wie Du das w. o. beschrieben hast, hat es bei dir (... weniger sicher) auch ohne Zertifikat funktioniert.

 

[MartinP_Do]

Es geht nicht ums generelle Funktionieren, sondern um die Sicherheit:

Das ist bzw. war mir schon klar, dass es hier um Sicherheit geht, ... aber so wie Du das w. o. beschrieben hast, hat es bei dir (... weniger sicher) auch ohne Zertifikat funktioniert.

Definitiv.
Das war ja der Grund, dass ich etwas länger über die Wifispots nachgedacht habe: Wenn ich durch die Wohnung wanderte hat sich das Smartphone gelegentlich aus dem Heim-Wlan ab- und im WifiSpot des Nachbarn angemeldet ....

Mal schauen, ob da ein Wifi - Manager hilft...

 

[MartinP_Do]

Habe jetzt den Rundumschlag bei den Smartphones der Familie gemacht.

OnePlus2 und Honor Holly haben die Konfigurationsänderungen klaglos geschluckt. Bei einem Samsung S5 mini gehen die gemachten Änderungen beim Speichern verloren ...

EDIT: Mit Daten komplett entfernen, neu suchen lassen, und dann "in einem Rutsch" alles eingeben hat es auch beim S5 mini geklappt...

 

[addicted]

Nochmal: Die Anmeldedaten werden bei 802.1X nicht einfach so "geschickt". Ein Rogue AP könnte diese nicht abgreifen, selbst wenn man keine Zertifikatsprüfung macht.

 

[MartinP_Do]

Websuche 1 .... Aussage: 802.1x bietet Sicherheit - http://www.solinske.de/2014/10/05/WLANMythosEvilTwinAccessPoint.aspx

Websuche 2 .... Aussage: 802.1x bietet nur Sicherheit, wenn man Passworte verwendet, die einigermaßen sicher gegen Brute Force Dictionary Attacken sind https://www.redelijkheid.com/blog/2015/4/12/create-an-8021x-evil-access-point
Der Username wird in Klartext übertragen, das Passwort als hash...

Jedenfalls bietet das Zertifikat zusätzliche Sicherheit - ein Wifispot "Zwilling" ohne dieses Zertifikat kriegt weder den Usernamen, noch den Hash des Passworts zu sehen, wenn man das Zertifikat installiert und konfiguriert ...

Websuche 3 http://freeradius.org/enterprise-wifi.html:

Die sagen über die Client-Seite

User Device Configuration

After having completed the RADIUS server and Wi-Fi equipment setup, it is possible for users to authenticate securely to the network and to verify that they are not connected to an attacker network ("evil twin").

For this possibility to actually happen, the network operator needs to communicate the pertinent RADIUS server settings to all end users, and they need to ensure that the end users transform these server-side settings into a proper client-side configuration.

This typically involves:

Import or mark as trusted the CA certificate to validate the RADIUS server's certificate.
Configure the expected server name of the server certificate.
Select an EAP type on the client device which matches one of the configured EAP types on the server.
Optionally enable extra features such as enhanced privacy protection (use of anonymous outer identities) etc.

Und dann noch die Warnung

Network administrators should be aware that neglecting to secure the client-side setup puts the security of the enterprise network at risk - badly configured user devices can be tricked to connect to a rogue AP / evil twin network! Such an attacher network can learn their credentials as they authenticate - and the attacker can from then on log into the genuine network with those same credentials. The attacker can also inspect their payload - with the false feeling of being connected to the own enterprise network, some users or their applications may use unencrypted communication where they should not.

Die sagen wieder - daß es riskant ist, Clients ohne Zertifikat zu nutzen.

Da ich zuerst ohne Zertifikat den Wifispot genutzt habe - ich habe auch keinen Hinweis auf ein automatisch übertragenes Zertifikat gefunden - also dass man sicher ist, solange der erste WifiSpot authentisch war...