3DCenter Forum - Blöde Frage zu WLAN - Wenn jemand kein WPA oder WEP zum Verschlüsseln benutzt

2007-06-26, 20:31:29

kann man dann direkt den Text im Klartext mit einem WLAN Sniffer ohne weiteren Aufwand lesen, den jemand z.B. bei einem HTML Eingabeformular, welches via HTTP gesendet wird, eingibt und abschickt?

Oder müssen die Daten trotzdem noch etwas aufbereitet werden?

2007-06-26, 20:34:14

Ja.

Nein.

Aber das geht mit WEP auch relativ einfach. Die bislang sicherste Methode ist WPA.

2007-06-26, 21:49:14

THX

Zitat:

Die bislang sicherste Methode ist WPA.

Weiß ich.

Hardwaretoaster · 2007-06-26, 22:35:51

Ohne verschlüsselung braucht derjenige eigentlich nur z.B. Wireshark anwerfen udn aknn mitlesen...

bneu · 2007-06-27, 11:05:48

solange kein verschlüsseltes vpn oder ähnliches übers wlan gefahren wird...

2007-06-28, 15:55:38

Muss es nicht, es reicht eine verschlüsselte Verbindung mittels HTTPS / SSL über dem Browser und schon kann niemand mehr Klartext mitlesen.

In der aktuellen c't ist ein Artikel über (privat) genutzte VPN Tunnel. Ist auch interessant.

2007-06-29, 13:26:55

Stimmt nicht.
Wenn dann => WPA 2

2007-07-04, 17:04:47

Zitat:

Stimmt nicht.
Wenn dann => WPA 2

stimmt nicht... wpa2 benutzt nur ein anderes verschlüsselungsverfahren, das aber nicht sicherer oder unsicherer als wpa ist....

2007-07-05, 13:21:36

Stimmt doch, denn RC4 ist Angreifbar und daher unsicherer als AES, welches in WPA2 verwendet wird.

Siehe auch hier:
http://de.wikipedia.org/wiki/RC4

WPA 1 ist daher theoretisch gesehen unsicher.
Zumindest ist man mit WPA2 auf der sichereren Seite.

The Cell · 2007-07-05, 14:09:49

Theoretisch gesehen ist jedes Verfahren unsicher.
Deswegen definiert man ja den Begriff "Sicherheit" ein wenig anders.

Du hast bei AES ein gutes Gefühl? Ich nicht.

Gruß,
QFT
Hobbyastronom und Anfängerkryptograph

Hardwaretoaster · 2007-07-05, 14:13:04

Hobbyastronom??
Die verbindung zur Kryptographie bekomm ich dann doch nicht ganz hin, oder meinst du in diesem Fall astrologe?

nino · 2007-07-05, 15:23:06

wie ist es eigentlich bei wpa2? kann man dann, wenn man den key vom netz kennt im promiscuous mode alle pakete der teilnehmer entschlüsseln? oder ist da nur der eigene verkehr zu sniffen?

2007-07-05, 23:52:21

Jein. Ich hoff ich bekomm das alles korrekt zusammen:

Bei Einsatz eines Authentifizierungsserver hinter dem Access Point (WPA-EAP) kannst du die Daten der anderen Netzteilnehmer nicht entschlüsseln, außer das eingesetzte Protokoll zu Authentifizierung und zum Schlüsselaustausch hat Schwächen.

Wird ein allen Teilnehmern vorab bekanntes Paßwort benutzt (WPA-PSK), dann kannst du den Verkehr der anderen auch nicht so einfach entschlüsseln.
Im Unterschied zu WEP benutzt bei WPA und WPA2 jeder Teilnehmer einen eigenen Schlüssel, der sich noch dazu bei jeder Sitzung ändert. Aus dem Paßwort (dem PSK) wird ein Pairwise Master Key berechnet und der dazu benutzt um aus den MAC-Adressen der beiden Geräte und zwei Zufallszahlen, die sie sich gegenseitig zuschicken, die Pairwise Transient Keys zu erstellen. Die sind dann wiederum Grundlage für Schlüssel zur Integritätsprüfung und Verschlüsselung.
Aber da alle Informationen außer dem PSK einmal im Klartext ausgetauscht werden müssen, kannst du, wenn du die Authentifizierung mitschneidest und das PSK bereits kennst, die ganzen Schlüssel auch selbst berechnen und dann mitlauschen.
Wenn du also davon ausgehst, daß der Angreifer ein regulärer Nutzer deines WLAN sein könnte, dann solltest du WPA-PSK nicht verwenden.

WPA2-PSK hilft dir auch nicht weiter. Die Unterschiede zwischen WPA und WPA2 sind sowieso minimal. AES ist zwar kryptographisch momentan sicherer einzustufen als RC4 und MIC, aber letztere bieten auch einen ausreichenden Schutz. WEP hat viele Löcher, aber RC4 ist keines davon.
Allenfalls bei Ad-Hoc-Verbindungen bietet sich WPA2 an, aber wer benutzt sowas schon...

2007-07-06, 06:11:45

Ihr kommt alle in den Knast: http://www.heise.de/newsticker/resul...acker&T=hacker

The Cell · 2007-07-06, 11:40:05

Ja, Hobbyastronom. Sterngucker und so...

Hardwaretoaster · 2007-07-06, 11:44:19

naja, was das ist, weiß ich schon, nur was das mit dem Thema zu tun hat, die Kruve krieg ich nicht

The Cell · 2007-07-06, 11:47:40

Ist doch egal, ich erwarte doch gar nicht, dass du die Kurve bekommst.

Aber eine Frage: Warum ist AES sicherer als RC4?
Bitte mit einfachen Worten, ich bin nicht so der Crack.

Grüße und Danke,
QFT

Hardwaretoaster · 2007-07-06, 11:52:15

Na dann ist ja gut

2007-07-06, 14:42:07

Deswegen frage ich ja hier noch schnell alles was ich wissen muß, bevor der eingeführte Hackerparagraf rechtskräftig wird.
Ein paar Wochen hat man noch Zeit.

2007-07-06, 14:48:32

Lies dir den Wikipedia link durch.

Bei rc4 gibt es theoretisch gesehen mögliche Angriffsmöglichkeiten,
bei AES gibt es momentan noch gar keine.
(von Brute Force mal abgesehen, das ist theoretisch gesehen immer möglich, nur kann das halt dauern.)

Außerdem ist AES der offizielle Standard.
Es gab eine Ausschreibung von mehreren Verschlüsselungsverfahren die DES ersetzen sollten und eines, das die Ausschreibung gewinnt, sollte dann AES (Advanced Encryption System) werden.

Es haben sich weltweit viele Kryptologen an diesen Verschlüsselungsverfahren die Zähne ausgebissen, der Auftrag war, Lücken zu finden oder das Verschlüsselungsverfahren zu umgehen oder zu knacken.
Aus ca. 10 Kandidaten blieben am Schluß meines Wissens nach nur noch 4 übrig, und davon von diesen 4 hat man dann das genommen, was
einfach zu implementieren und schnell war, das wurde dann zu AES.

Einfach zu implementieren deswegen, da komplexer Code eine größere Angriffsfläche bietet.

AES hat also sämtliche Angriffe von den besten Köpfen dieser Welt, die sich mit dieser Themaik befassen, bestanden und gehört somit zu den sichersten Verschlüsselungssystemen die die Menschheit je entwickelt hat.

2007-06-26, 20:31:29	#1 (im Thread / einzeln)
Gast Gast Beiträge: n/a	Blöde Frage zu WLAN - Wenn jemand kein WPA oder WEP zum Verschlüsseln benutzt kann man dann direkt den Text im Klartext mit einem WLAN Sniffer ohne weiteren Aufwand lesen, den jemand z.B. bei einem HTML Eingabeformular, welches via HTTP gesendet wird, eingibt und abschickt? Oder müssen die Daten trotzdem noch etwas aufbereitet werden?

2007-06-26, 20:34:14	#2 (im Thread / einzeln)
Gast Gast Beiträge: n/a	Re: Blöde Frage zu WLAN - Wenn jemand kein WPA oder WEP zum Verschlüsseln benutzt Zitat von Gast kann man dann direkt den Text im Klartext mit einem WLAN Sniffer ohne weiteren Aufwand lesen, den jemand z.B. bei einem HTML Eingabeformular, welches via HTTP gesendet wird, eingibt und abschickt? Ja. Zitat von Gast Oder müssen die Daten trotzdem noch etwas aufbereitet werden? Nein. Aber das geht mit WEP auch relativ einfach. Die bislang sicherste Methode ist WPA.

2007-06-26, 21:49:14	#3 (im Thread / einzeln)
Gast Gast Beiträge: n/a	Re: Blöde Frage zu WLAN - Wenn jemand kein WPA oder WEP zum Verschlüsseln benutzt Zitat von Gast Ja.Nein. THX Zitat: Die bislang sicherste Methode ist WPA. Weiß ich.

2007-06-26, 22:35:51	#4 (im Thread / einzeln)
Hardwaretoaster Admiral Member Registriert: 2005-02-02 Beiträge: 3.060	Re: Blöde Frage zu WLAN - Wenn jemand kein WPA oder WEP zum Verschlüsseln benutzt Ohne verschlüsselung braucht derjenige eigentlich nur z.B. Wireshark anwerfen udn aknn mitlesen... "Langfristig sind wir alle tot!" (Rezitat meines PoWi-Lehrers, frei nach John Maynard Keynes) "[..] und noch etwas: Ihr könnt mich alle mal am Arsch lecken" Woody Allen als Howard Prince in "Der Strohmann" (Synchro "The Front")

2007-06-27, 11:05:48	#5 (im Thread / einzeln)
bneu Full Member Registriert: 2007-04-15 Beiträge: 60	Re: Blöde Frage zu WLAN - Wenn jemand kein WPA oder WEP zum Verschlüsseln benutzt solange kein verschlüsseltes vpn oder ähnliches übers wlan gefahren wird...