Da wir ja als Studenten der TUD auch auf unserem Campus um das Zeitalter der globalen Vernetzung und den Vorzügen des Wireless-LAN nicht herumgekommen sind ist es eigentlich schön überall im Netz zu sein.
Jedoch ist an mir, als TUD-Neuling, die WLAN-Pin nicht spurlos vorüber gegangen. Ein zentrales Management ist doch gut und schön, aber der Umstand, dass man im Zuge des technischen Fortschritts weiterhin ein Pinfenster bei seinem kabelosen Surfvergnügen offen lassen muss irritiert mich ein wenig, auf deutsch: es ist
Sicherheitstechnisch ist es an sich auch irrelevant, da MAC-Adressen und der unverschlüsselte Datenverkehr mitgehört werden können.

Ein Vorschlag meiner Seiter wäre es, diesem schönen WLAN eine RADIUS-Infrastrukur zu spendieren, was der zentralen Verwaltung nicht schaden dürfte. An sich sollte auch jeder gute Accesspoint RADIUS sprechen können.

Was haltet ihr davon?

naja.. mac-adressen lassen sich leider gottes fälschen/ändern und daher: pin, damit nicht jeder ohne weiteres fremde zugänge benutzen kann... die tu hat/hatte wegen jap schon genügend schererein mit der polizei aufgrund von mithilfe von unitechnik vertuschten straftaten

Eigentlich geht es darum, was dagegen spricht einen RADIUS-Server für die Authentifizierung einzusetzen. An sich ist das für die Absicherung von WLANs die gängige Praxis. Das mit der Pin halte ich nicht unbedingt für praktikabel.

Habe ich erstmal eine MAC-Adresse gefunden die im Netz genutzt wird, brauch ich nur noch höchstens 10000 Versuche die passende Pin zu ermitteln, was mit einen Script recht zügig gehen sollte.

gut. dann erzähl doch mal, wie das RADIUS arbeitet, und was daran besser ist... und was das kostet... dann haben wir hier auch ne diskussionsgrundlage

Weiterführende Informationen gibt es hier: http://de.wikipedia.org/wiki/RADIUS

Vorweg: Die Benutzungshinweise der SLUB z.B. beginnen mit dem Satz: "WLAN ist eine relativ neue Technologie..." daran sieht man schon, die Mühlen mahlen langsam. Nicht nur das: Das URZ ist personell auch nicht gerade überbesetzt, dank der Sparphilosophie von Uni und Land. Von daher ist man da vielleicht nicht so flexibel, wie man es auf dem freien Markt gewohnt ist.

Wenn man sich dann bewusst macht, dass die Verbindungen unverschlüsselt laufen ... ist das bei weitem kritischer einzustufen, als das von Dir angesprochene Problem der Authentifizierung. Die erfolgt afaik wenigstens via SSL.

Naja, wie dem auch sei: Dein eigentliches Problem ist ja dies eine offene Browser-Fenster... da haste schon recht. Die Session läuft glaube erst nach 255 Sekunden ab.

abd*

EDIT: @stth: Das kostet nix, außer den einmaligen administrativen Aufwand der Einrichtung und Portierung der Daten. (GNU Radius, OpenRadius, FreeRadius) Arbeiten tut das recht simpel... und auch gut mit DHCP zusammen. Wie das Protokoll arbeitet? Es macht drei Dinge: Authentifizierung, Authorisierung und Abrechnung. Vgl. dazu auch ix vom Juni 2005.

öhm...im HSZ hab ich nie diese Pin eintippen müssen?
in der slub war ich nur einmal online..udn da kann ich mcih nich erinnern, ob ich da nen fenster hab auflassen müssen...



aber hey: noch vor dem verschlüsseln der daten müsste ne lektion kommen "wie hebe ich freigaben, die windows setzt, auf?" - ich hätt schon gigabytes pornos, bewerbungen, mp3 und games im hsz ziehen können.
Ich mein, ich bin da ja so nett und schreib ne *.txt Datei rein, in der steht, dass ich da war und wie man seine Ordner nicht gleich der Welt präsentiert, aber es könnt ja auch jemand mal die Facharbeit löschen, ne?

Aber das wirft doch auch noch neue Probleme auf. Wenn die jetzige Authentifizierung so einfach zu kompromitieren ist, stelle ich mir folgendes Szenario vor:

böswilliger Student A snifft MAC-Adressen und findet die passenden PINs. Er verübt über diesen für ihn anonymen Zugang bösartige Sachen. Folge: Die Admins treten an den Studenten B heran, auf den die MAC eingetragen ist. Student B hat in diesem Zuge nur wenig Mittel seine Unschuld zu beweisen.

Das ist an sich eine andere Thematik. Dazu müsste man jeden Computernutzer in Sachen sicheren Umgang mit seinem Rechenknecht schulen. Aber welcher Student/in will man einbleuen Freigaben zu killen und Systempasswörter zu setzen.

ich empfinde das vor allem in der SLUB als eine nette Abwechslung, wenn ich genug in den Büchern
gestöbert habe. Einfach iTunes anwerfen und schauen, welche Mitmenschen noch mit diesem Player Musik
hören, was sie alles in ihrer Bibliothek haben und welcher meiner Mitmenschen mit Notebook um mich
herum wohl einen solchen Musikgeschmack hat ...

Das mit den freigaben ist ja erschreckend. Pornos ohne Ende.

Hmm, vielleicht sollte ich doch mal wieder in die SLUB fahren

Du solltest du dir den Kram aber nicht in der SLUB ansehen, ich glaube dann bist du schnell bekannt.

Proof of concept ohne WLAN-Sniffer und sogar unter Windows


Vorwort:

Ich möchte hier niemanden ermutigen, geschweige denn eine Anleitung zum Kompromitieren unseres WLANs geben. Ich weiße darauf hin, dass dieses Vorgehen mit den Nutzungsbestimmungen der Resourcen der Universität nicht vereinbar ist. Ich möchte nur die Einfachheit dieses Angriffs aufzeigen und zur Diskussion anregen. In diesem Sinne seid Ihr für euer handeln alleine verantwortlich.


Proof of concept:

Soweit ich richtig in der Annahme gehe, kann man im internen Netz ohne Registrierung der MAC-Adresse browsen. Demzufolge sollte man andere WLAN-Clients anpingen können. Mit ARP bekommt man dann sogar die MAC-Adresse des eben angepingten Clients heraus. Diese übernimmt man dann einfach durch einen Registryeintrag oder ein geeignetes Tool. Anschließend gilt es nur noch die vierstellige Pin mit einem geeigneten brutforce-Script herauszubekommen.


Fazit:

Der Zeitaufwand einer solchen Attacke sollte relativ gering sein und benötigt noch nichteinmal das mithören des Netzwerkverkehrs. In dem Sinne kann auch jeder nicht TU-Angehörige seine destruktive Energie in das TUD-Netz verlagern, was wiederum zu diversen Problemen führen kann. Das Blocken von Pings sollte diese Vorgehensweise allerdings etwas erschweren.

Frage:

Sollte ich mit der Verwaltung des Netzes in Kontakt treten und dieses Problem erörtern?

Na da bin ich aber froh, dass Du nicht auch noch alle notwendigen Tools verlinkt hast oder näher ins Details gehst. Es ist ja schön, wenn man selbst weiß, wie etwas funktionieren würde - aber das sollte man dann nicht der breiten Masse mitteilen, finde ich. Sonst fängt kuscheline* demnächst noch an, das WLAN hacken zu wollen.

Du kannst ja ruhig mal im URZ vorstellig werden, aber ich bin mir fast sicher, dass sich da wenig ändern wird.

Mal allgemein zu Sicherheit im Netz: Man sollte doch auch noch etwas Vertrauen in die Menschen haben, genauso wie im richtigen Leben: Sonst dürfte ich ja nur noch bewaffnet außer Haus gehen.

Aber im Prinzip hast Du schon recht... klar.

#abd

--

* Sei mir nicht böse bitte, die arroganten Freaks wollen auch mal scherzen, haben ja sonst so wenig zu Lachen.

durch die pin kann ich auch nicht mehr meine ip-adresse manuell ändern, oder?
noch zu nicht-pin-zeiten konnte man (zumindest die letzten ziffern) verändern, jetzt geht das nicht mehr, ... oder doch?
ODER DOCH?

Das eine muss mit dem anderen nichts zu tun haben.

Probieren geht über studieren. Nur, was soll der Vorteil sein, die IP selber zu ändern?

C'ya,

Christian

nunja,
ohne die pineingabe konnte man direkt ins internet, hat also gleich direkt vom access-point die ip-adresse bekommen.
mit der neuen pin-eingabe loggt man sich zwar wieder am access-point ein, muss allerdings ein protokoll installieren/akzeptieren, dass dir wiederum eine ip-adresse zuweist.
wenn ich jetzt meine ip manuell ändere, wird mir am ende trotzdem wieder eine andere ip zugewiesen :-/

das nennt man DHCP und ist wahrscheinlich so gewollt.

#a, mutmassend.

P.S.: hat jmd. ne idee, wie man die PIN-eingabe automatisieren könnte? wird ja bestimmt im http-header gecheckt, oda?

einfach irgendein makro-programm (z.b. macroX) in den autostart schmeißen - und vorher natürlich das richtige makro eintippseln...
umständlich, aber so könnte es gehen.

es is mal wieder zeit für eine mel-dau-frage
ich bekomm wohl bald n lappi mit tollem wlan inside.
was muss ich damit tun, um in der slub ins netz zu kommen? also irgendwo anmelden/freischalten?!

Jap, du musst der Uni mitteilen, dass du jetzt nen Laptop hast

Unter
http://www.tu-dresden.de/urz/wlan/mac_start.html
meldest du deine W-lan Geräte auf dich an - und zwar über die (mehr oder weniger eindeutige) MAC-Adresse des Geräts.
Dann gibt dir die Uni ein halbes Jahr Zugang und du erhälst die oben diskutierte PIN.

hmmm,

und was is nach dem halben jahr?????

... ich hab das in der übersicht gesehn dass ich nur noch nen paar wochen n gültigen zugang hab.
hab ich dann keinen zugriff mehr oder muss ich mcih einfach irgendwo neuanmelden?

dann verlängerst du das Ganze um ein weiteres halbes Jahr, in dem du dich neu anmeldest

Den Eintrag wieder löschen und danach neu anmelden

das is doch dämlcih mit dem neuanmelden

warum kann man das nciht einfach verlängern....

aber warum einfach wenns auch kompliziert geht... eben typisch deutschland und bürokratie

naja, im Prinzip verlängerst du es ja doch nur - jedenfalls machst du bei der Anmeldung ja auch nix kompliziertes, außer den BEdingungen zustimmen und deine MAC eintragen.
Bei der "Verlängerung" steht halt die MAC schon da (wenn ich mich richtig erinner)


Vielleicht soll es einfach auch der Sicherheit dienen, nach dem halben Jahr gibts nämlich ne neue PIN

nette idee, müsste in dem fall ein shellscript sein - funzt nur nicht, ohne sich ziemlich tief einzulesen. denn: der client ist ein WRT54 mit einer DD-WRT-firmware.

#abd