WLAN-TUD und die Pin Die Pin suckt! Es geht doch besser, oder?

Da wir ja als Studenten der TUD auch auf unserem Campus um das Zeitalter der globalen Vernetzung und den Vorzügen des Wireless-LAN nicht herumgekommen sind ist es eigentlich schön überall im Netz zu sein.
Jedoch ist an mir, als TUD-Neuling, die WLAN-Pin nicht spurlos vorüber gegangen. Ein zentrales Management ist doch gut und schön, aber der Umstand, dass man im Zuge des technischen Fortschritts weiterhin ein Pinfenster bei seinem kabelosen Surfvergnügen offen lassen muss irritiert mich ein wenig, auf deutsch: es ist
Sicherheitstechnisch ist es an sich auch irrelevant, da MAC-Adressen und der unverschlüsselte Datenverkehr mitgehört werden können.

Ein Vorschlag meiner Seiter wäre es, diesem schönen WLAN eine RADIUS-Infrastrukur zu spendieren, was der zentralen Verwaltung nicht schaden dürfte. An sich sollte auch jeder gute Accesspoint RADIUS sprechen können.

Was haltet ihr davon?

Dieser Beitrag wurde von megapixel: 31 Jan 2006, 12:57 bearbeitet

naja.. mac-adressen lassen sich leider gottes fälschen/ändern und daher: pin, damit nicht jeder ohne weiteres fremde zugänge benutzen kann... die tu hat/hatte wegen jap schon genügend schererein mit der polizei aufgrund von mithilfe von unitechnik vertuschten straftaten

Eigentlich geht es darum, was dagegen spricht einen RADIUS-Server für die Authentifizierung einzusetzen. An sich ist das für die Absicherung von WLANs die gängige Praxis. Das mit der Pin halte ich nicht unbedingt für praktikabel.

Habe ich erstmal eine MAC-Adresse gefunden die im Netz genutzt wird, brauch ich nur noch höchstens 10000 Versuche die passende Pin zu ermitteln, was mit einen Script recht zügig gehen sollte.

Dieser Beitrag wurde von megapixel: 23 Jan 2006, 23:59 bearbeitet

gut. dann erzähl doch mal, wie das RADIUS arbeitet, und was daran besser ist... und was das kostet... dann haben wir hier auch ne diskussionsgrundlage

gut. dann erzähl doch mal, wie das RADIUS arbeitet, und was daran besser ist... und was das kostet... dann haben wir hier auch ne diskussionsgrundlage

Weiterführende Informationen gibt es hier: http://de.wikipedia.org/wiki/RADIUS

Vorweg: Die Benutzungshinweise der SLUB z.B. beginnen mit dem Satz: "WLAN ist eine relativ neue Technologie..." daran sieht man schon, die Mühlen mahlen langsam. Nicht nur das: Das URZ ist personell auch nicht gerade überbesetzt, dank der Sparphilosophie von Uni und Land. Von daher ist man da vielleicht nicht so flexibel, wie man es auf dem freien Markt gewohnt ist.

Wenn man sich dann bewusst macht, dass die Verbindungen unverschlüsselt laufen ... ist das bei weitem kritischer einzustufen, als das von Dir angesprochene Problem der Authentifizierung. Die erfolgt afaik wenigstens via SSL.

Naja, wie dem auch sei: Dein eigentliches Problem ist ja dies eine offene Browser-Fenster... da haste schon recht. Die Session läuft glaube erst nach 255 Sekunden ab.

abd*

EDIT: @stth: Das kostet nix, außer den einmaligen administrativen Aufwand der Einrichtung und Portierung der Daten. (GNU Radius, OpenRadius, FreeRadius) Arbeiten tut das recht simpel... und auch gut mit DHCP zusammen. Wie das Protokoll arbeitet? Es macht drei Dinge: Authentifizierung, Authorisierung und Abrechnung. Vgl. dazu auch ix vom Juni 2005.

Dieser Beitrag wurde von abadd0n: 24 Jan 2006, 00:31 bearbeitet

öhm...im HSZ hab ich nie diese Pin eintippen müssen?
in der slub war ich nur einmal online..udn da kann ich mcih nich erinnern, ob ich da nen fenster hab auflassen müssen...



aber hey: noch vor dem verschlüsseln der daten müsste ne lektion kommen "wie hebe ich freigaben, die windows setzt, auf?" - ich hätt schon gigabytes pornos, bewerbungen, mp3 und games im hsz ziehen können.
Ich mein, ich bin da ja so nett und schreib ne *.txt Datei rein, in der steht, dass ich da war und wie man seine Ordner nicht gleich der Welt präsentiert, aber es könnt ja auch jemand mal die Facharbeit löschen, ne?

Aber das wirft doch auch noch neue Probleme auf. Wenn die jetzige Authentifizierung so einfach zu kompromitieren ist, stelle ich mir folgendes Szenario vor:

böswilliger Student A snifft MAC-Adressen und findet die passenden PINs. Er verübt über diesen für ihn anonymen Zugang bösartige Sachen. Folge: Die Admins treten an den Studenten B heran, auf den die MAC eingetragen ist. Student B hat in diesem Zuge nur wenig Mittel seine Unschuld zu beweisen.

öhm...im HSZ hab ich nie diese Pin eintippen müssen?
in der slub war ich nur einmal online..udn da kann ich mcih nich erinnern, ob ich da nen fenster hab auflassen müssen...
aber hey: noch vor dem verschlüsseln der daten müsste ne lektion kommen "wie hebe ich freigaben, die windows setzt, auf?" - ich hätt schon gigabytes pornos, bewerbungen, mp3 und games im hsz ziehen können.
Ich mein, ich bin da ja so nett und schreib ne *.txt Datei rein, in der steht, dass ich da war und wie man seine Ordner nicht gleich der Welt präsentiert, aber es könnt ja auch jemand mal die Facharbeit löschen, ne?

Das ist an sich eine andere Thematik. Dazu müsste man jeden Computernutzer in Sachen sicheren Umgang mit seinem Rechenknecht schulen. Aber welcher Student/in will man einbleuen Freigaben zu killen und Systempasswörter zu setzen.

Dieser Beitrag wurde von megapixel: 24 Jan 2006, 00:40 bearbeitet

noch vor dem verschlüsseln der daten müsste ne lektion kommen "wie hebe ich freigaben, die windows
setzt, auf?" - ich hätt schon gigabytes pornos, bewerbungen, mp3 und games im hsz ziehen können.

ich empfinde das vor allem in der SLUB als eine nette Abwechslung, wenn ich genug in den Büchern
gestöbert habe. Einfach iTunes anwerfen und schauen, welche Mitmenschen noch mit diesem Player Musik
hören, was sie alles in ihrer Bibliothek haben und welcher meiner Mitmenschen mit Notebook um mich
herum wohl einen solchen Musikgeschmack hat ...

Das mit den freigaben ist ja erschreckend. Pornos ohne Ende.

Hmm, vielleicht sollte ich doch mal wieder in die SLUB fahren

Du solltest du dir den Kram aber nicht in der SLUB ansehen, ich glaube dann bist du schnell bekannt.

Proof of concept ohne WLAN-Sniffer und sogar unter Windows


Vorwort:

Ich möchte hier niemanden ermutigen, geschweige denn eine Anleitung zum Kompromitieren unseres WLANs geben. Ich weiße darauf hin, dass dieses Vorgehen mit den Nutzungsbestimmungen der Resourcen der Universität nicht vereinbar ist. Ich möchte nur die Einfachheit dieses Angriffs aufzeigen und zur Diskussion anregen. In diesem Sinne seid Ihr für euer handeln alleine verantwortlich.


Proof of concept:

Soweit ich richtig in der Annahme gehe, kann man im internen Netz ohne Registrierung der MAC-Adresse browsen. Demzufolge sollte man andere WLAN-Clients anpingen können. Mit ARP bekommt man dann sogar die MAC-Adresse des eben angepingten Clients heraus. Diese übernimmt man dann einfach durch einen Registryeintrag oder ein geeignetes Tool. Anschließend gilt es nur noch die vierstellige Pin mit einem geeigneten brutforce-Script herauszubekommen.


Fazit:

Der Zeitaufwand einer solchen Attacke sollte relativ gering sein und benötigt noch nichteinmal das mithören des Netzwerkverkehrs. In dem Sinne kann auch jeder nicht TU-Angehörige seine destruktive Energie in das TUD-Netz verlagern, was wiederum zu diversen Problemen führen kann. Das Blocken von Pings sollte diese Vorgehensweise allerdings etwas erschweren.

Frage:

Sollte ich mit der Verwaltung des Netzes in Kontakt treten und dieses Problem erörtern?

Dieser Beitrag wurde von megapixel: 31 Jan 2006, 12:59 bearbeitet

Na da bin ich aber froh, dass Du nicht auch noch alle notwendigen Tools verlinkt hast oder näher ins Details gehst. Es ist ja schön, wenn man selbst weiß, wie etwas funktionieren würde - aber das sollte man dann nicht der breiten Masse mitteilen, finde ich. Sonst fängt kuscheline* demnächst noch an, das WLAN hacken zu wollen.

Du kannst ja ruhig mal im URZ vorstellig werden, aber ich bin mir fast sicher, dass sich da wenig ändern wird.

Mal allgemein zu Sicherheit im Netz: Man sollte doch auch noch etwas Vertrauen in die Menschen haben, genauso wie im richtigen Leben: Sonst dürfte ich ja nur noch bewaffnet außer Haus gehen.

Aber im Prinzip hast Du schon recht... klar.

#abd

--

* Sei mir nicht böse bitte, die arroganten Freaks wollen auch mal scherzen, haben ja sonst so wenig zu Lachen.