WLAN Verbindung nun verschlüsselt oder nicht?
Hallo! Ich war etwas erschrocken, als ich diesen Output las: /usr/sbin/iwconfig wlan0 IEEE 802.11bg ESSID:"foobar" (......) Encryption key:foo-foo-foo-foo-foo-foo-3828-D123 [2] Security mode:open Wieso steht da security mode open!? Wenn ich dagegen wpa_gui aufrufe, bekomme ich: Authentication: WPA2-PSK Encryption: CCMP Warum haben iwconfig und wpa_gui unterschiedliche Angaben? Mein Router schreibt zwingend WPA2-PSK vor, d.h. wenn nicht verschlüsselt wäre, *müsste* (müsste....) eigentlich der Router die Verbindung abweisen, ich gehe daher mal von einer falschen Angabe bei iwconfig aus. Was sagt bei euch /usr/sbin/iwconfig ? Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Malte Gell <malte.gell@gmx.de> wrote
Hallo!
Ich war etwas erschrocken, als ich diesen Output las: /usr/sbin/iwconfig wlan0 IEEE 802.11bg ESSID:"foobar" Encryption key:foo-foo-foo-foo-foo-foo-3828-D123 [2] Security mode:open
Etwas nachforschen ergab, dass Verschlüsselung dennoch aktiviert sein kann, "open" aber bedeutet, dass auch unverschlüsselte und nicht-authentifizierte Verbindungen zulässig sind. Ich vertraue daher auch mal der Ausgabe von wpa_gui. Iwconfig erlaubt aber, sichere Verbindungen zu erzwingen. Ich habe mal gesucht, wo im System iwconfig ausgeführt wird und bin in /etc/sysconfig/network/scripts/ifup-wireless fündig geworden. Ich denke, das ist der Ort, um sichere Authentifizierung zu erzwingen? Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
At Mon, 21 Sep 2009 00:04:05 +0200, Malte Gell wrote:
Ich war etwas erschrocken, als ich diesen Output las: /usr/sbin/iwconfig wlan0 IEEE 802.11bg ESSID:"foobar" Encryption key:foo-foo-foo-foo-foo-foo-3828-D123 [2] Security mode:open
Etwas nachforschen ergab, dass Verschlüsselung dennoch aktiviert sein kann, "open" aber bedeutet, dass auch unverschlüsselte und nicht-authentifizierte Verbindungen zulässig sind.
Es bezieht sich auf deine Karte, nicht auf den AP.
Iwconfig erlaubt aber, sichere Verbindungen zu erzwingen.
Wenn dein AP auf WPA2 konfiguriert ist, dann nimmt er auch nur solche Verbindungen an. Hast du eine Verbindung, dann ist sie auch WPA2 basiert. Wenn du meinst, dass Kontrolle besser ist, dann lass' doch mal wireshark auf dem Interface mitlaufen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Diehl <htd@fancy-poultry.org> wrote
Etwas nachforschen ergab, dass Verschlüsselung dennoch aktiviert sein kann, "open" aber bedeutet, dass auch unverschlüsselte und nicht-authentifizierte Verbindungen zulässig sind.
Es bezieht sich auf deine Karte, nicht auf den AP.
Ja, das geht auch aus den manpages hervor.
Iwconfig erlaubt aber, sichere Verbindungen zu erzwingen.
Wenn dein AP auf WPA2 konfiguriert ist, dann nimmt er auch nur solche Verbindungen an. Hast du eine Verbindung, dann ist sie auch WPA2 basiert. Wenn du meinst, dass Kontrolle besser ist, dann lass' doch mal wireshark auf dem Interface mitlaufen.
Ja, der AP erlaubt nur WPA2-PSK, daher bin ich auch rel. gelassen. Aber man weiß ja nie, was die Typen für kaputte Firmware auf die Menschheit loslassen... Ist ein Netgear 54 Mpbs WGR irgendwas. Jup, wireshark habe ich auf wlan0 losgelassen, mich hat es dann gefröstelt, als ich meine Google Testsuchwörter dort im Klartext gelesen habe.... Nun die spannende Frage, wo greift wireshark ab, wenn es auf dem lokalen Rechner mit der Schnittstelle wlan0 läuft, hintendran, nachdem die Daten wlan0 verlassen, oder vorher.... ich *vermute*, weiß es aber nicht, dass wpa_supplicant die WPA-Verschlüsselung erst später macht und ich deshalb den Klartext lesen konnte... aber, wie gesagt, der AP _sollte_ nur WPA2-PSK annehmen. Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 21.09.2009, Malte Gell wrote:
Nun die spannende Frage, wo greift wireshark ab, wenn es auf dem lokalen Rechner mit der Schnittstelle wlan0 läuft, hintendran, nachdem die Daten wlan0 verlassen, oder vorher....
Wenn du wireshark ohne weitere Angaben auf wlan0 loslaesst, dann wird alles protokolliert, was da rein und rausgeht.
ich *vermute*, weiß es aber nicht, dass wpa_supplicant die WPA-Verschlüsselung erst später macht und ich deshalb den Klartext lesen konnte... aber, wie gesagt, der AP _sollte_ nur WPA2-PSK annehmen.
Die Verschluesselung ist von der Karte abhaengig, der wpa_supplicant implementiert hauptsaechlich IEEE 802.1X und EAP. Ich meinte auch nicht, dass du den Datenverkehr mitschneiden sollst, sondern den Verbindungsaufbau :-) Also starte mal wireshark und mach danach ein "ifup wlan0". Dann schau dir mal den Handshake an, suche dazu nach EAPOL. Dann siehst du was los ist. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Diehl <htd@fancy-poultry.org> wrote
Also starte mal wireshark und mach danach ein "ifup wlan0". Dann schau dir mal den Handshake an, suche dazu nach EAPOL. Dann siehst du was los ist.
Danke für den Tip mit ifup, werde ich probieren, hat aber im Moment nicht die höchste Priorität. Ich vertraue noch immer darauf, dass der Router Verschlüsselung erzwingt und sie auch enabled ist ;-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Diehl <htd@fancy-poultry.org> wrote
Die Verschluesselung ist von der Karte abhaengig, der wpa_supplicant implementiert hauptsaechlich IEEE 802.1X und EAP. Ich meinte auch nicht, dass du den Datenverkehr mitschneiden sollst, sondern den Verbindungsaufbau :-)
Achsooooo.... meine Logik war, wenn verschlüsselt würde, dann dürfte doch der Datenverkehr nur Rauschen sein, oder nicht? Weil doch erst wieder im Router entschlüsselt wird?
Also starte mal wireshark und mach danach ein "ifup wlan0". Dann schau dir mal den Handshake an, suche dazu nach EAPOL. Dann siehst du was los ist.
Catch22 situation.... wenn wlan0 down ist, kann Wireshark daran nicht schnüffeln, weil nicht vorhanden bei Programmstart. Wenn wlan0 vor Programmstart up ist, hab ich den Verbind.aufbau aber schon verpasst.... Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 21.09.2009, Malte Gell wrote:
Catch22 situation.... wenn wlan0 down ist, kann Wireshark daran nicht schnüffeln, weil nicht vorhanden bei Programmstart. Wenn wlan0 vor Programmstart up ist, hab ich den Verbind.aufbau aber schon verpasst....
1. wireshark starten auf Interface wlan0 2. ifdown wlan0 3. ifup wlan0 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Diehl <htd@fancy-poultry.org> wrote
On 21.09.2009, Malte Gell wrote:
Catch22 situation.... wenn wlan0 down ist, kann Wireshark daran nicht schnüffeln, weil nicht vorhanden bei Programmstart. Wenn wlan0 vor Programmstart up ist, hab ich den Verbind.aufbau aber schon verpasst....
1. wireshark starten auf Interface wlan0 2. ifdown wlan0 3. ifup wlan0
Danke, der Umstieg auf Kabel BW hat meinen brain load schon auf 100% gebracht... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Monday 21 September 2009 18:48:35 schrieb Malte Gell:
Heinz Diehl <htd@fancy-poultry.org> wrote
Etwas nachforschen ergab, dass Verschlüsselung dennoch aktiviert sein kann, "open" aber bedeutet, dass auch unverschlüsselte und nicht-authentifizierte Verbindungen zulässig sind.
Es bezieht sich auf deine Karte, nicht auf den AP.
Ja, das geht auch aus den manpages hervor.
Iwconfig erlaubt aber, sichere Verbindungen zu erzwingen.
Wenn dein AP auf WPA2 konfiguriert ist, dann nimmt er auch nur solche Verbindungen an. Hast du eine Verbindung, dann ist sie auch WPA2 basiert. Wenn du meinst, dass Kontrolle besser ist, dann lass' doch mal wireshark auf dem Interface mitlaufen.
Ja, der AP erlaubt nur WPA2-PSK, daher bin ich auch rel. gelassen. Aber man weiß ja nie, was die Typen für kaputte Firmware auf die Menschheit loslassen... Ist ein Netgear 54 Mpbs WGR irgendwas.
Jup, wireshark habe ich auf wlan0 losgelassen, mich hat es dann gefröstelt, als ich meine Google Testsuchwörter dort im Klartext gelesen habe....
Nun die spannende Frage, wo greift wireshark ab, wenn es auf dem lokalen Rechner mit der Schnittstelle wlan0 läuft, hintendran, nachdem die Daten wlan0 verlassen, oder vorher.... ich *vermute*, weiß es aber nicht, dass wpa_supplicant die WPA-Verschlüsselung erst später macht und ich deshalb den Klartext lesen konnte... aber, wie gesagt, der AP _sollte_ nur WPA2-PSK annehmen.
Gruß Malte
Hallo Malte, ich gehe davon aus, dass ein Tool wie wireshark die Daten kurz vor der Übergabe an den Level2 (link level nach der Nomenklatur der ISO-Normen) abgreift. Die Daten werden für die Übertragung durch das WLAN wohl erst im Level 2 verschlüsselt (Level 2 kann ja auch Ethernet oder SLIP oder PPP sein). Dadurch sind an der Stelle die Daten auch im Klartext. Das ist aber kein Problem, weil das Alles noch auf Deinem Rechner geschieht. Im Funk aber sind die Daten verschlüsselt Tschö, Emil -- Registered Linux User since 19940320 -------------------------------------------------- Emil Stephan, Marktplatz 39, 53773 Hennef, Germany voice: +49-2242-84438 Accelerate Windows: 9.81 m/sec^2 would be adequate -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 21.09.2009, Emil Stephan wrote:
Dadurch sind an der Stelle die Daten auch im Klartext. Das ist aber kein Problem, weil das Alles noch auf Deinem Rechner geschieht. Im Funk aber sind die Daten verschlüsselt
Jepp :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Diehl <htd@fancy-poultry.org> wrote
On 21.09.2009, Emil Stephan wrote:
Dadurch sind an der Stelle die Daten auch im Klartext. Das ist aber kein Problem, weil das Alles noch auf Deinem Rechner geschieht. Im Funk aber sind die Daten verschlüsselt
Jepp :-)
Um das mit eigenen Augen zu sehen, müsste ich dann einen weiteren Rechner dazwischenschalten, der wlan0 entgegennimmt, als Router spielt, dort würde ich die Verschlüsselung dann sehen, korrekt? Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 21.09.2009, Malte Gell wrote:
Um das mit eigenen Augen zu sehen, müsste ich dann einen weiteren Rechner dazwischenschalten, der wlan0 entgegennimmt, als Router spielt, dort würde ich die Verschlüsselung dann sehen, korrekt?
Schau dir mal aircrack an, und da speziell das Tool airodump :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Emil Stephan -
Heinz Diehl -
Malte Gell