Passwort fuer Wireless Network verstecken?

tech7

Registriert
Thread Starter
Dabei seit
15.01.2009
Beiträge
3
Reaktionspunkte
0
Hallo,

wir haben hier (englische Schule) ein wireless-Netzwerk, in welches sich die Schueler mit ihrer eigenen Hardware einloggen duerfen. Das Netzwerk is WPA2-verschluesselt und natuerlich wollen wir den key nicht einfach an die Schueler herausgeben. Deswegen bringen die Schueler ihre laptops zu uns und wir geben dann den key ein, ueberpruefen die Antiviren-Software etc.

Bei MS Windows-Clients ist das keine grosse Sache, da der Key niemals in Klartext angezeigt wird und laut Microsoft auch nicht extrahierbar ist. Als ich jetzt den ersten Mac auf den Schreibtisch bekam (bitte nicht schimpfen - ich habe nur sehr wenig Erfahrung mit MacOS) musste ich feststellen, dass man hier den wireless key im Klartext anzeigen kann. Da wir aber vermeiden muessen, dass der key in falsche Haende geraet koennen wir im Moment keine Macs zulassen.

Nun meine Frage: Gibt es in MacOS einen Weg, den key vor ALLEN usern zu verstecken?

Vielen Dank schonmal,

Stefan
 
...da der Key niemals in Klartext angezeigt wird und laut Microsoft auch nicht extrahierbar ist...

Und der Mond ist aus Käse.

Vielleicht solltet ihr einfach nur die MAC Adressen der Schüler zulassen die ihr "überprüft" habt anstatt den Key zu bewachen. Ist sicherer und einfacher.
 
find das auch blöd

ein bekannter war mal bei mir und hat sein MB dabei gehabt.

ich hab ihm gestattet mein WLAN zu nutzen.

dann ist mir eingefallen das er ja den schlüssel im schlüsselbund klartext anzeigen lassen kann.

musste vorher extra das pw ändern.

gibts da keine möglichkeit

edit:

verstehe das prinzip von radius irgendwie nicht
 
Eine kurze Google-Suche gab mir mehrere Ansätze den Schlüssel auch in Windows innerhalb kürzester Zeit auszulesen.

Aber jetzt alle Windows-Laptops in euerem Netzwerk zu verbieten ist wohl keine Option.

Euer "Konzept" der Sicherheit geht mit dieser Lösung nicht auf. Bessere Möglichkeiten wurden ja bereits genannt.
 
Für den einen oder anderen Schüler dürfte es kein Problem sein, das WPA-Kennwort auch bei einem Windows-Rechner auszulesen. Sicher ist diese Methode keineswegs.

Ich weiß nicht, ob etwas derartig aufwändiges für eure Schule in Frage kommt, aber ich will hier mal erklären, wie das WLAN an meiner Uni gesichert ist.

Im Windows-Netzwerk der Uni kann ich mich an jedem Rechner mit meinem Benutzernamen und Kennwort anmelden. Im selben Netzwerk ist nun über Outlook WebAccess auch ein Email-Konto über den selben Benutzernamen und Kennwort verfügbar, sowie auch das WLAN.

Das WLAN ist in zwei Varianten ausgeführt, sowohl WEP als auch WPA. Für beide Varianten hat die Uni Zertifikate zur Verfügung gestellt, die am Rechner installiert werden müssen. Bin ich nun in der Uni und habe mein Zertifikat installiert, kann ich mich in das Netzwerk einwählen und werde nach einer Authentifizierung gefragt. Ich gebe dann meinen Benutzernamen und mein Kennwort ein (der selbe Login, der für alle anderen Sachen auch gilt) und habe damit automatisch die selben Zugriffsrechte auf Netzlaufwerke etc., wie wenn ich mich an einem fixen Uni-Rechner im Windows-Netzwerk mit meinem Login anmelde.

Was da nun genau dahinter steckt, weiß ich nicht genau, ich weiß nur, dass es einen einzigen Login für jeden Studenten und Lehrenden gibt, mit dem er durch verschiedene Protokolle auf das Uni-Netzwerk zugreifen kann (also WLAN, Login am Uni-Rechner, Email per Webmail, Email per IMAP, Netzlaufwerke per WebDAV, Netzlaufwerke im Uni-LAN, ....)

Bis auf die WEP-Methode (die vermutlich nur aus Kompatibilitätsgründen gewählt wurde) denke ich, dass das ganze Netzwerk gut gesichert ist. Vielleicht sind hier ja Netzwerkexperten im Forum, die wissen, was sich hinter dieser Sicherungsmethode verbirgt, wie man es einrichtet, was man dafür benötigt und wie aufwändig das ganze ist.
 
Wieso sollte mit dem Passwort Schindluder getrieben werden? Macht für mich keinen Sinn, es sei denn, es ist das Standardpasswort für alle eure Server, was ich nicht hoffe.
 
Genau, die einzige sinnvolle Lösung ist RADIUS. Sollte mit einem Windows Active Directory auch nicht zu schwer sein.
 
na wie ist denn radius zu verstehen.

blick das einfach nicht
 
Euer Sicherheitskonzept ist absolut überfordert. Die WPA2 Verschlüsselung mit PSK ist für kleine Privat/Firmen-Netzwerke gedacht, indem die Nutzer das Vertrauen des Admins besitzen bzw. die Rechner Firmeneigentum sind.

Ihr braucht am besten die genannte Radius-Lösung, oder ihr lasst die WPA-Verschlüsselung komplett weg und setzt auf einen hinterliegende VPN-Server an dem sich jeder Schüler authentifizieren muss. Damit lassen sich auch einzelne Schüler wieder sperren/überwachen/Dienste einschränken.

So ist es jedenfalls total unsinnig, der WPA2-Key ist auf jedenfall schon kompromitiert (egal ob Win/Linux/Mac) und was macht ihr überhaupt wenn ein Schüler die Schule verlässt? Muss er dann vor euren Augen das Notebook neu installieren, damit der Key weg ist?

*seufz*, sowas passiert leider wenn Laien sich ein Sicherheitskonzept ausdenken ohne sich vorher zu informieren. (sorry, das ist echt mist)

Gruss
Alex
 
Hier an der Uni gibt's neben WLAN mit Zertifikaten auch 'n offenes WLAN aus dem man nur per VPN (Cisco/OpenVPN) ins "richtige" Netz kommt.
 
Hallo,

vielen Dank fuer eure Antworten. Das Thema scheint doch etwas komplexer zu sein als angenommen. Ich habe meinem Cheffe berichtet dass das nicht so einfach ist wie er es sich vorgestellt hat und wir werden wohl oder uebel nach einer besseren Loesung suchen muessen.

@QBFinest:
Das hoert sich interresant an, da werd' ich mich mal schlau machen.

@kaimeister:
Klar ist der Mond aus Kaese. MAC-Adressen zu Filtern ist nur Teilweise eine Loesung. Der Wireless key macht insofern Sinn dass die Kommunikation verschluesselt waere.

@cla:
Als wir vor ca. 3 Jahren unser erstes drahtloses Netzwerk eingerichtet haben war es laut Microsoft und RM (Research Machines of Oxford, unser Netzwerkausstatter) nicht moeglich, aus einem XP client den Key zu extrahieren. Das mag sich in der Zwischenzeit wohl geaendert haben.

@ silverbeat:
Das funktioniert hier bei uns ganz aehnlich, nur dass wir jetzt ein zweites wireless network fuer Schueler haben (12. und 13. Klassen). Das 2. network ist allerdings vom Schulsystem getrennt und laeuft direkt ueber einen BritischTelekoms Anschluss, der uns mit dem Internetprovider der britischen Schulen verbindet (SEGFL, south english grid for learning, da laufen die webfilter usw). Schueler koennen dann ueber den Umweg internet auf ihre Dateien zugreifen.

@SonOfNyx99 :
Wir wollen nur vermeiden, dass die Schueler mit ihren PSPs usw das Netzwerk benutzen. Das waere aber auch mit MAC-adressen moeglich.

@alexzero:
Also bisher hatten wir nur ein drahtloses Netzwerk fuer die Lehrer, da gab es keine Probleme. Die neue Situation mit der Oeffnung des 2. Netzwerks fuer die Schueler stellt uns natuerlich vor neue Probleme. Wie gesagt, diese RADIUS-Loesung scheint wohl stand der Technik zu sein und wir werden uns dahingehend schlau machen muessen.

Vielen Dank nochmal an Alle!!

Stefan
 
na wie ist denn radius zu verstehen.

blick das einfach nicht
RADIUS ist ein Art Ticket-System ähnlich wie Kerberos, nur anders.

Die Anmeldung findet nicht am Access Point sondern bei ein speziellem Anmeldeserver statt. Der Access Point reicht die Anmeldedaten an diesen entsprechend weiter. Wenn alles OK ist, wird ein Ticket erstellt, dass eine Gültigkeit von 1h/24h/... hat. Dieses Ticket wird als temporärer Key für die WPA/WPA2-Verschlüsselung genutzt. Das Ticket wird auch automatisch verlängert/erneuert solange man noch angemeldet ist.

Vorteil:
- es kann dediziert geregelt werden wer Zugang hat
- jeder hat seinen eigenen WPA/WPA Key, der sogar nur temporär gültig ist und sich "ständig" ändert (alle Angriffe wie sie für WEP existieren funktionieren nicht wirklich bei einer RADIUS-Infrastruktur, weil sich der Key halt ständig ändert)
 
@ silverbeat:
Das funktioniert hier bei uns ganz aehnlich, nur dass wir jetzt ein zweites wireless network fuer Schueler haben (12. und 13. Klassen). Das 2. network ist allerdings vom Schulsystem getrennt und laeuft direkt ueber einen BritischTelekoms Anschluss, der uns mit dem Internetprovider der britischen Schulen verbindet (SEGFL, south english grid for learning, da laufen die webfilter usw). Schueler koennen dann ueber den Umweg internet auf ihre Dateien zugreifen.

@SonOfNyx99 :
Wir wollen nur vermeiden, dass die Schueler mit ihren PSPs usw das Netzwerk benutzen. Das waere aber auch mit MAC-adressen moeglich.

@alexzero:
Also bisher hatten wir nur ein drahtloses Netzwerk fuer die Lehrer, da gab es keine Probleme. Die neue Situation mit der Oeffnung des 2. Netzwerks fuer die Schueler stellt uns natuerlich vor neue Probleme. Wie gesagt, diese RADIUS-Loesung scheint wohl stand der Technik zu sein und wir werden uns dahingehend schlau machen muessen.

Vielen Dank nochmal an Alle!!

Stefan[/quote]

WPA keys aus Windows auslesen ist gar kein Problem, geht halt net mit nem klick sondern man braucht noch en kleines Tool, Sicher ist das nicht (wie sollte es auch wenn man jemand den key gibt dann halt er den Key, grob gesagt ;), im Rechner liegt der HASH vom Key, und das kann man auslesen und daraus den Key bestimmen).
MAC filter sind auch quatsch, da Mac addresse Spoofen zumindest unter Linux 1 Befehl im Terminal ist, am Mac bin ich mir gerade nicht sicher aber geht garantiert auch mit den richtigen Karten, und Windows kann das afaik auch.
Am einfachsten dürfte ein VPN sein, und je nach anzahl der User ein LDAP server zu authentifizierung, ist alles mit OpenSource möglich, und es gibt genug Tutorials. Brauch wohl aber ne Linux Box.
RADIUS, ist schon wirklich komplexer so wie ich das kenne.

MFG
 
vielen Dank fuer eure Antworten. Das Thema scheint doch etwas komplexer zu sein als angenommen.

Gerne ;-), das Sicherheitskonzepte sind immer dem ständigen Wandel unterworfen und selten "einfach" in der Anwendunge.

@kaimeister:
Klar ist der Mond aus Kaese. MAC-Adressen zu Filtern ist nur Teilweise eine Loesung.

MAC-Filter sind nie eine Lösung um System aus einem Netzwerk auszuschliessen, das ist ein komplett falscher Ansatzpunkt. Ebenso wie zum Scheitern verurteielt wie der Versuch das WPA-PW geheim zu halten (solange es verschlüsselt gespeichert ist).

Als wir vor ca. 3 Jahren unser erstes drahtloses Netzwerk eingerichtet haben war es laut Microsoft und RM (Research Machines of Oxford, unser Netzwerkausstatter) nicht moeglich, aus einem XP client den Key zu extrahieren. Das mag sich in der Zwischenzeit wohl geaendert haben.

s.o. zum Wandel. Sicherheit ist kein Produkt was man installiert und dann ist gut. Sicherheit ist ein aktiver Prozess der in ständiger Überprüfung steht.

@alexzero:
Also bisher hatten wir nur ein drahtloses Netzwerk fuer die Lehrer, da gab es keine Probleme. Die neue Situation mit der Oeffnung des 2. Netzwerks fuer die Schueler stellt uns natuerlich vor neue Probleme. Wie gesagt, diese RADIUS-Loesung scheint wohl stand der Technik zu sein und wir werden uns dahingehend schlau machen muessen.

Wie gesagt RADIUS oder VPN-Server. Informiert euch über beide Konzepte und prüft dann welches für eure Anforderungen am besten geeigenet ist. Ich persönlich tendiere zu VPN, aber das müßt ihr selber prüfen.

Gruss
Alex
 
Bei MS Windows-Clients ist das keine grosse Sache, da der Key niemals in Klartext angezeigt wird und laut Microsoft auch nicht extrahierbar ist.

ein blick in die registry und ich extrahier euch den key...


richtet ein netzwerk ein, in dem jeder schüler seinen eigenen account bekommt. beschränkt den zugang (wegen schmuddelseiten und so), so habt ihr keine probleme das passwort geheim zu halten.
 
könnte ich also an meiner TC einfach RADIUS wählen, die Accounts hinzufügen und los gehts?

oder brauche ich da weitere peripherie
 
ein blick in die registry und ich extrahier euch den key...

Schueler koennen den registry editor an Schulcomputern nicht oeffnen oder executables ausfuehren.
Aber mit dem 2. drahtlosen Netz, das sie mit ihren eigenen PCs benutzen koennen sieht das wieder anders aus.

Stefan
 
sprich alleine mit einer APE geht das gar nicht :(

dachte man kann evtl die accounts direkt dort eintragen.

wieder was gelernt :)
 
Zurück
Oben Unten