Allgemeine Fragen zu VPN, WLAN Verschlüsselung usw.

[Tripple]

Hallo zusammen,

mich würde mal interessieren, wie sicher "fremde" WLAN Netze sind.

Unter anderem was hat es mit WPA2 auf sich? Ist dadurch dann der komplette Datenstrom verschlüsselt? Oder kann ein Dritter, der das PW kennt, trotzdem alles mitlesen?
Somit wäre er mit SSL ja quasi doppelt verschlüsselt?
In offenen WLAN Netzen kann man dann aber alles "mitschneiden" (außer SSL)?

Wann wäre demnach ein VPN sinnvoll? Nur bei unverschlüsselten WLAN Netzen oder auch schon bei WPA2?

Und wie sieht das generell bei einem Smartphone aus, wenn man sich in ein Netz einwählt? Werden dann direkt nach dem Aufbau der WLAN-Verbindung alle Login-Informationen übermittelt oder sind die in einer Art "Cookie" gespeichert? Geht um Gmail usw.

Am besten ist das vielleicht an einem Beispiel zu erklären:
1. Uni-WLAN (WPA2)
2. Hotspot (keine Verschlüsselung)

Vielleicht kann mir ja wer daran erklären, wann, wie und was mitgelesen werden kann.

Vielen Dank im Voraus

 

[mtbriderlm]

Sobald andere Teilnehmer im Netzwerk sind, sind die Daten offen mitzulesen.
Solange es nicht mein eigenes WLAN ist, nutze ich IMMER einen VPN um ein Minimum an Sicherheit zu haben

 

[Tripple]

Egal was für eine Verschlüsselung das Netz nutzt?

Was für einen VPN nutzt du denn? Über deinen eigenen Router oder einen separaten VPN?

 

[mtbriderlm]

Egal was für eine Verschlüsselung das Netz nutzt?

Was für einen VPN nutzt du denn? Über deinen eigenen Router oder einen separaten VPN?

Die Verschlüsselung nach WPA2 stellt nur sicher, dass niemand unbefugtes ins Netzwerk kommt. Ist man aber in Besitz des richtigen Passworts dann kann man alle Daten im WLAN Netz mitlesen.

Ich nutze Windowsbordmittel um einen VPN auf meinen Router Zuhause herzustellen

 

[TCM]

Die Verschlüsselung nach WPA2 stellt nur sicher, dass niemand unbefugtes ins Netzwerk kommt. Ist man aber in Besitz des richtigen Passworts dann kann man alle Daten im WLAN Netz mitlesen.

Wichtig ist, dass man das auch nachträglich für sämtlichen Traffic kann, der unter diesem Passwort schon vor Ewigkeiten gelaufen ist.

 

[NTB]

Du meinst vorausgesetzt, man hat die ganze Zeit vorher auch schon den Traffic geloggt? Oder worauf spielst du an?

 

[TCM]

Genau.

 

[pumuckel]

zum absichern gibts noch die Wireless Client Isolation ....

....wenn der Anbieter dies dann auch nutzt und korrekt eingerichtet hat

Aber ein VPN zum eigenen Heimnetz ist immer zu bevorzugen

... geschrieben von unterwegs (Handy)

 

[TCM]

zum absichern gibts noch die Wireless Client Isolation ....

Auf wen bezieht sich das? Client Isolation ist eine Schicht höher und betrifft die aktive Teilnahme am Netzwerk. Das hat mit der Verschlüsselung und passivem Mitschneiden nichts zu tun.

 

[pumuckel]

auf den TE und seine Frage nach Sicherheit, unabhängig von WPA2, in einem fremden WLan

speziell auch als Erwiderung auf den 2. Post

... geschrieben von unterwegs (Handy)

 

[TCM]

Sicher? was konkret passiert denn da.

Der AP ist ja eine Bridge. Im Prinzip ist Isolation ein MAC-Filter, durch den der AP jeden Client nur noch mit seiner LAN-Seite reden lässt und nicht mehr mit allen anderen Clients. An der Stelle sind die Clients mit der Verschlüsselung schon am AP angemeldet. Und der Traffic aller Clients fliegt ja sowieso durch die Luft. Wer den Schlüssel kennt, kann sämtlichen Traffic der Vergangenheit und Zukunft, der mit diesem Schlüssel passiert(e), entschlüsseln.

WPA2 hat keine Forward Secrecy. Nur bei WPA2-Enterprise hat jeder seinen eigenen Schlüssel.

 

[pumuckel]

Edit: hier stand Müll, da Brain.exe einen Fehler in Modul: erst-richtig-lesen-dann-posten erzeugte

 

[TCM]

Ist das eine Fangfrage? Einen fähigen WLAN-Adapter in den Monitor-Modus schalten und man kriegt sämtliche Pakete, die rumfliegen. Wenn man das Passwort kennt, kann man die nachträglich entschlüsseln.

https://de.wikipedia.org/wiki/Monitor_Mode

 

[TCM]

Jeder, der den Funk "hören" kann. Mit einer guten Antenne mit geringem Rauschabstand geht das über Kilometer bei freier Sicht. Und man muss nichts senden, nur empfangen.

 

[pumuckel]

jetzt weiss ich auch was du meinst

Kismet

... geschrieben von unterwegs (Handy)

 

[Tripple]

Hört sich alles interessant an

Aber z.B. bei eduroam, wo jeder User seine eigenen Zugangsdaten hat, kann dann kein anderer den Traffic mitlesen?

Generell ist aber ansonsten immer ein VPN zu bevorzugen?

Wie sicher ist eigentlich SSL einzustufen? Der meiste sensible Datenstrom läuft ja darüber.

Und weiß noch wer was hierzu?

Und wie sieht das generell bei einem Smartphone aus, wenn man sich in ein Netz einwählt? Werden dann direkt nach dem Aufbau der WLAN-Verbindung alle Login-Informationen übermittelt oder sind die in einer Art "Cookie" gespeichert? Geht um Gmail usw.

 

[awehring]

Mit VPN hast du die Sicherheit, dass alles verschlüsselt durchs WLAN fliegt. Du musst aber dem VPN Anbieter vertrauen, dass er deinen Traffic nicht mitschneidet.
Wenn du zu Hause einen Router hast, der dazu in der Lage ist, kannst du ihn als VPN Gegenstelle für dein Handy einrichten.

eduroam Ist ein ziemlich kompliziertes Protokoll, dass ich nicht im Detail kennen. Meines Wissens ist es vor allem dazu da, dass du dich mit dem Passwort deiner Heimat Uni auch in einer fremden Uni (oder Bibliothek, …) einloggen kannst. Ich bezweifle allerdings, dass damit automatisch der Datenverkehr verschlüsselt ist.

Zur letzten Frage: wie Apps die Anmeldung vollziehen, lässt sich nicht generell beantworten, das hängt davon ab, wie die App programmiert ist. Üblich, da am einfachsten und nicht grundsätzlich schlecht, ist wohl, dass sich die App beim Start mit Benutzername und Passwort am zugehörigen Server anmeldet.
Wenn Benutzername und Passwort verschlüsselt übertragen werden (SSL), ist dagegen auch nichts zu sagen. Benutzername und Passwort sollten aber auch auf dem Smartphone verschlüsselt abgelegt sein.
Es gibt aber sicher Apps, die da schlampen.

E-Mail Clients erlauben übrigens eine verschlüsselte Übertragung der Mails vom und zum Server. Schau mal bei deinem, ob er die entsprechenden Einstellmöglichkeiten hat.