1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IT-Sicherheit: Windows 10 kann WLAN…

Mega gefährlich

  1. Thema

Neues Thema Ansicht wechseln


  1. Mega gefährlich

    Autor: IchBinFanboyVonMirSelbst 08.07.15 - 13:32

    Bis auf eine einzige Firma ist mir persönlich keine einzige, Anwälte, Industriebetriebe und Ärzte eingeschlossen, bekannt die einen RADIUS Server einsetzt.

    Das bedeutet, die haben alle einen PSK der dann an die "Freunde" weitergegeben wird. Sorry, aber das kann und darf nicht sein.

    Die Funktion ist nett. Aber dann nur pro WLAN und pro Person manuell freigegeben.

    Man erlaubt doch nicht den 4000 Facebook Freunden der Mitarbeiter den Firmen-WLAN Zugang!

    Und nein, man wird diesen Firmen in 100 Jahren kein WPA RADIUS einrichten. Zum einen kenne ich genug Admins die nicht wissen was das ist, zum anderen kostet die Implementierung Geld, das die Kunden nicht ausgeben wollen.

  2. Re: Mega gefährlich

    Autor: Anonymer Nutzer 08.07.15 - 13:41

    Kostet Geld ? Ein kleiner RasPi (oder etwas ähnliches) reicht vollkommen aus. Die meisten "HOME" Router können auch Radius mittlerweile. Strom bekommt der vom USB Port des Access Point und - falls vorhanden - kann der Radius Server die Daten aus einem AD oder woher auch immer beziehen.
    Was Geld kostet ist Derjenige der das Ganze aufsetzt und sich durch die nicht-existente Freeradius Dokumentation wälzt.

  3. Re: Mega gefährlich

    Autor: Snoozel 08.07.15 - 14:41

    > Und nein, man wird diesen Firmen in 100 Jahren kein WPA RADIUS einrichten.
    > Zum einen kenne ich genug Admins die nicht wissen was das ist, zum anderen
    > kostet die Implementierung Geld, das die Kunden nicht ausgeben wollen.

    Die Implementierung kostet gar nichts wenn man eh Windows-Server einsetzt.
    Dort gibt es auch einen Radius-Server, eine Stamm-Zertifizierungsstelle sollte man eh haben und dann wird das WLAN + Zertifikat per Group Policy verteilt.
    Null problemo... ausser man hat wieder am Admin oder IT Dienstleister gespart.

    Gäste erhalten natürlich NUR Zugriff zu einem Gäaste-WLAN mit Internetanschluß, die lässt man niemals in sein Firmen-Netz.

  4. Re: Mega gefährlich

    Autor: Oktavian 08.07.15 - 14:54

    > Bis auf eine einzige Firma ist mir persönlich keine einzige, Anwälte,
    > Industriebetriebe und Ärzte eingeschlossen, bekannt die einen RADIUS Server
    > einsetzt.

    Da kenn ich ein paar andere Firmen, Du bist wohl in den falschen unterwegs. Wenn man von kleinen Butzen absieht, die eine Consumer-DSL-Leitung per Fritzbox ans WLAN bringen (ja okay, Ärzte und Anwälte fallen da mit rein), haben alle andere eine RADIUS-basierte Lösung.

    > Das bedeutet, die haben alle einen PSK der dann an die "Freunde"
    > weitergegeben wird. Sorry, aber das kann und darf nicht sein.

    Die Lösung mit PSK bedeutet schon heute, das man jedes mal, wenn ein Mitarbeiter das Unternehmen verlässt, den PSK ändern muss. Und natürlich auch zumindest alle paar Monate turnus-mäßig.

    > Die Funktion ist nett. Aber dann nur pro WLAN und pro Person manuell
    > freigegeben.

    PSK ist für zuhause, für eine kleine handvoll Endgeräte. In einem auch nur minimal professionelleren Umfeld mit mehreren Personen und etwas Fluktuation hat das aber auch rein gar nichts verloren.

    > Man erlaubt doch nicht den 4000 Facebook Freunden der Mitarbeiter den
    > Firmen-WLAN Zugang!

    Den Ex-Mitarbeitern aber bitte auch nicht. Da steckt oft mehr explosiven Potential drin als in irgendwelchen ortsfremden "Freunden".

    > Und nein, man wird diesen Firmen in 100 Jahren kein WPA RADIUS einrichten.
    > Zum einen kenne ich genug Admins die nicht wissen was das ist, zum anderen
    > kostet die Implementierung Geld, das die Kunden nicht ausgeben wollen

    Man muss das als Unternehmen betrachten wie eine Feuerversicherung. Solange es nicht brennt, war die auch rausgeschmissenes Geld.

  5. Re: Mega gefährlich

    Autor: Stahlreck 09.07.15 - 00:16

    Jetzt bleibt doch mal locker. Die Funktion muss man explizit aktivieren, da macht es dann auch keinen Unterschied als wenn ich ein WLAN Passwort einfach weitersage. Ausserdem bekommt man nur Internetzugriff und keinen Zugriff aufs Netzwerk.
    Von daher, wenns nicht grad ein Profi Hacker in deinem Freundeskreis befindet...

  6. Re: Mega gefährlich

    Autor: Nocta 09.07.15 - 06:04

    > Die Funktion muss man explizit aktivieren
    Ja, aber nicht der WLAN-Betreiber, sondern einer der beliebig vielen Gäste, die man so hat. Wenn man die also nicht selbst kontrolliert, kann man das nicht "explzit" angeben, sondern es reicht ein unbedarfter Gast. Sei er noch so ein guter Freund.

    > Ausserdem bekommt man nur Internetzugriff und keinen Zugriff aufs Netzwerk.
    Äh ja. Microsoft beschränkt den User softwareseitig. Das heißt also, es gibt keine wirkliche Begrenzung, nur das "Versprechen" von Microsoft. Dieses lässt sich von einem erfahrenen Hacker aber sicherlich umgehen.

    > Von daher, wenns nicht grad ein Profi Hacker in deinem Freundeskreis befindet...
    Es reicht doch, wenn sich ein Profi-Hacker im jetzt viel größeren Pool der Freunde meiner Freunde befindet. Da kriegt eine unüberschaubare Anzahl an Personen dein Passwort. Außerdem muss nicht jeder direkt selbst ein Profi-Hacker sein: Es reicht doch, wenn einer existiert, der ein entsprechendes Tool veröffentlicht.


    Zusammenfassung: Du verharmlost das etwas stark, das untergräbt schon sehr viele Sicherheitsprinzipien - Als Erfahrener Nutzer kann man Vorkehrungen treffen, aber das ist trotzdem eine Frechheit.
    Außerdem malen hier einige (mir eingeschlossen) natürlich das schlimmste aus. In den meisten Fällen wird hoffentlich nichts passieren und alles so bleiben, wie es ist - nur dass Passwörter nicht mehr so oft ein Thema sind. Aber es öffnet doch potentielle Lücken, wo vorher keine waren.

  7. Re: Mega gefährlich

    Autor: zu Gast 09.07.15 - 08:10

    Nocta schrieb:
    --------------------------------------------------------------------------------
    > > Ausserdem bekommt man nur Internetzugriff und keinen Zugriff aufs
    > Netzwerk.
    > Äh ja. Microsoft beschränkt den User softwareseitig. Das heißt also, es
    > gibt keine wirkliche Begrenzung, nur das "Versprechen" von Microsoft.
    > Dieses lässt sich von einem erfahrenen Hacker aber sicherlich umgehen.

    Also mir ist kein Netzwerk bekannt, in dem nicht zumindest Zugriffsteuerungen auf Benutzereben existieren.
    Wenn durch reinen Wlanzugang bereits Zugang zu einem Rechner möglich ist, liegen grundlegende Probleme vor.

  8. Re: Mega gefährlich

    Autor: Nocta 09.07.15 - 09:27

    "grundlegende Probleme" trifft es ganz gut. Aber so ist das halt beim Großteil der privaten WLANs. Denkst du da weiß überhaupt jemand, wie man sein Netzwerk entsprechend konfiguriert?
    Mal davon abgesehen, dass man ja durchaus seine Gäste auch ins ganze Netz lassen kann/will. Je nachdem wie viele Gäste und welche Gäste man normalerweise so erwartet ist das nicht verkehrt. Man gibt seinen Freunden dann bewusst den Zugriff.
    Nur bei diesem neuen Windows-Feature entzieht sich das dann der eigenen Kontrolle und plötzlich reicht es nicht mehr aus, wenn man nur seinen Freunden Zugriff gibt, weil man damit eventuell auch noch anderen Personen Zugriff gibt.
    Weiterhin ist es aus dem WLAN heraus eventuell einfacher, irgendwo im Netzwerk eine Schwachstelle auszunutzen, als von außerhalb. Je nach Konfiguration natürlich, aber da gilt wieder: Die meisten Leute sind keine Experten.

    Als viertes Argument, warum ich deinen Einwand nicht gelten lassen will: Der bloße Zugriff zum Internetzugang ist doch schon ausreichend, damit Fremde dir das Leben schwer machen können.

  9. Re: Mega gefährlich

    Autor: zu Gast 09.07.15 - 09:57

    Nocta schrieb:
    --------------------------------------------------------------------------------
    > "grundlegende Probleme" trifft es ganz gut. Aber so ist das halt beim
    > Großteil der privaten WLANs. Denkst du da weiß überhaupt jemand, wie man
    > sein Netzwerk entsprechend konfiguriert?

    Wenn man mal beim privaten Windows-Netzwerk bleiben und davon ausgehen.

    Microsoft sieht hier schon seit mind. Windows Vista vor, das sich Rechner nicht einfach vernetzen. Entweder waren hierzu die Nutzerkonten auf den Clients erforderlich (Vista) oder das Ganze erfolgt durch die Heimnetzgruppen.
    "So rein für den Privaten einfachen User ohne tiefgreifende Kenntnis" sind diese Heimnetzgruppen gedacht. Hierbei wird ein Schlüssel erzeugt, der an einem anderen Rechner eingeben werden muss, damit diese Rechner untereinander zugriff auf Freigaben erhalten. Das schließt auch die Druckerfreigabe ein.
    Erlangt also jemand in dieses Netz als Gast, kann er zwar das Netzwerk sehen, aber nicht darauf zugreifen.
    Ziehen wir jetzt noch, in diese Netzwerk, ein simplen NAS hinzu. Die mir bekannten verfügen alle über eine Nutzer und Gruppensteuerungen. Hierbei erfolgt die Anmeldung am NAS über Windowsanmelde Funktionen.
    Gut, hier sind einige Geräte sicher nicht so leicht verständlich, aber viele sind do so einfach gestaltet, das wenn es einem gelingt eine Heimnetzgruppe zu erstellen, auch das gelingen sollte.

    Was wirklich frei drinnen hängt sind Drucker, die im Lan/wlan hängen.

    Microsoft wird genau von so einem Scenario ausgehen, nämlich den Heimnetzgruppen seit Win7.
    Beim Gastrechner wird dann sicher dieses Netz auch erstmal als Gastnetz präsentiert mit deaktivierte Netzwerkfreigabe,
    Sicher kann man, so wenn man unbedingt möchte, in so einem Heimnetzwerk auch tiefer eindringen. Aber es ist nicht so, das ein Gast im Netz gleich freie Hand hat und auf alles zugreifen kann. Das ist von Hausaus erstmal so gar nicht vorgesehen.

    Nocta schrieb:
    -------------------------------------------------------------------------------

    > Als viertes Argument, warum ich deinen Einwand nicht gelten lassen will:
    > Der bloße Zugriff zum Internetzugang ist doch schon ausreichend, damit
    > Fremde dir das Leben schwer machen können.
    Ich sag ja nicht das ich die Möglichkeiten gut finde. Ich sehe es nur etwas nüchterner.
    Menschen die so leichtfertig ihre Wlanpasswörter teilen, kann man eh nicht helfen.
    Bedenklich finde ich allerdings, das man diese Option überhaupt anbietet.



    1 mal bearbeitet, zuletzt am 09.07.15 10:07 durch zu Gast.

  10. Re: Mega gefährlich

    Autor: derKlaus 09.07.15 - 11:26

    Snoozel schrieb:
    --------------------------------------------------------------------------------
    > Die Implementierung kostet gar nichts wenn man eh Windows-Server einsetzt.
    > Dort gibt es auch einen Radius-Server, eine Stamm-Zertifizierungsstelle
    > sollte man eh haben und dann wird das WLAN + Zertifikat per Group Policy
    > verteilt.
    Bei der Struktur der CA-Hierarchie sollte man allerdings sorgfältig planen. Nichts ist blöder, wenn man die aufgrund von einer übersehenen Anforderung oder eines kompromittierten Root-zertifikats komplett einreißen und neu aufbauen muss.
    > Null problemo... ausser man hat wieder am Admin oder IT Dienstleister
    > gespart.
    In meinem Fall ist es die zeit und die Informationen vom Unternehmen die fehlen, um eine PKI hochzuziehen.

    > Gäste erhalten natürlich NUR Zugriff zu einem Gäaste-WLAN mit
    > Internetanschluß, die lässt man niemals in sein Firmen-Netz.
    definitiv.

  11. Re: Mega gefährlich

    Autor: Nocta 09.07.15 - 14:58

    > Sicher kann man, so wenn man unbedingt möchte, in so einem Heimnetzwerk auch tiefer eindringen. Aber es ist nicht so, das ein Gast im Netz gleich freie Hand hat und auf alles zugreifen kann. Das ist von Hausaus erstmal so gar nicht vorgesehen.

    Üblicherweise kannst du, wenn du erst mal drin bist, auch mehr machen. Die Angriffsfläche ist sehr viel höher und gegen das eigene Netz ist man nicht unbedingt geschützt.
    Da auch Fremde Zugriff erlangen können, ist das durchaus nicht "überhaupt kein Problem". In den meisten Fällen geht's sowieso gut, das ist klar. Aber das Potential ist halt da ...

  12. Re: Mega gefährlich

    Autor: Anonymer Nutzer 09.07.15 - 15:13

    Nocta schrieb:
    --------------------------------------------------------------------------------
    > Als viertes Argument, warum ich deinen Einwand nicht gelten lassen will:
    > Der bloße Zugriff zum Internetzugang ist doch schon ausreichend, damit
    > Fremde dir das Leben schwer machen können.

    Das können sie doch auch, wenn Du einem Freund Deinen "echten" WLAN-Schlüssel gibst und nicht mehr weißt, durch wieviele Hände der dann noch gegangen ist. Dem beugt man natürlich mit einer Änderung des Schlüssels oder einer Deaktivierung des Gast-WLANs vor. Letzteres kann man mit Wifi-Sense aber auch, weil es damit gar nichts zu tun hat.

    Insofern ist das schon etwas paranoid in meinen Augen, was hier so an (Pseudo-) Argumenten aufgefahren wird. Besonders jenes, wonach jetzt Fortune-500-Firmen ihre WLAN-Schlüssel per Facebook an die Belegschaft/Menschheit verteilen, weil Microsoft ein Feature einführt, das so nur für Heimanwender Sinn ergibt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsche Forschungsgemeinschaft e. V., Bonn
  2. LGC Standards GmbH, Wesel
  3. SIZ GmbH, Bonn
  4. SCHOTT AG, Mainz, Müllheim, Lukácsháza (Ungarn)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. Ohne DVD für 51€ pro Jahr, mit DVD für 67€ pro Jahr, reines Digitalabo für 39,99€ pro Jahr
  2. Ohne DVD + Digitalausgaben + Werbefrei auf pcgames.de lesen + 10€ Amazon-Gutschein für 51€ pro...
  3. Heft + Digital + 15€ Amazon-Gutschein + buffed werbefrei für 75€ pro Jahr


Haben wir etwas übersehen?

E-Mail an news@golem.de


Star Trek - Der Film: Immer Ärger mit Roddenberry
Star Trek - Der Film
Immer Ärger mit Roddenberry

Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
Von Peter Osteried

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Picard Hasenpizza mit Jean-Luc
  3. Star Trek Voyager Starke Frauen und schwache Gegner

Schenker Via 14 im Test: Leipziger Langläufer-Laptop
Schenker Via 14 im Test
Leipziger Langläufer-Laptop

Dank 73-Wattstunden-Akku hält das 14-Zoll-Ultrabook von Schenker trotz fast komplett aufrüstbarer Hardware lange durch.
Ein Test von Marc Sauter

  1. XMG Neo 15 (E20) Schenker erhöht Akkukapazität um 50 Prozent
  2. XMG Apex 15 Schenker packt 16C-Ryzen in Notebook
  3. XMG Fusion 15 Schenkers Gaming-Laptop soll 10 Stunden durchhalten

Buglas: Corona-Pandemie zeigt Notwendigkeit der Glasfaser
Buglas
Corona-Pandemie zeigt Notwendigkeit der Glasfaser

Mehr Datenupload und Zunahme der Sprachtelefonie bringe die Netze unter Druck. FTTB/H-Betreiber bleiben gelassen.
Eine Exklusivmeldung von Achim Sawall

  1. Coronakrise China will Elektroautoquote vorübergehend lockern
  2. Corona-Krise Palantir könnte Pandemie-Daten in Europa auswerten
  3. PEPP-PT Neuer Standard für Corona-Warnungen vorgestellt