Hallo Liste, Am 29.06.2016 um 11:06 schrieb Tobias Kuechel: > wenn man sich per unverschlüsseltem Wifi beim Coova-Chilli anmeldet, > dann braucht ein Angreifer nur den Aether mitschneiden und kann > Benutzername und PAsswort auslesen, denn die Coova-Seite ist eine > nicht-SSL Seite. > Richtig? > > Wenn ich WPA im WLAN einschalte und das Passwort allen zugänglich mache, > ist dann eine Entschlüsselung des mitgeschnittenen Wifi-Verkehrs > möglich, oder geht das nicht (z.B. wg. Session-keys, etc)? > > Welche Lösung empfehlt ihr hier?
* https-login seite ist im Nutzen/Aufwand schlecht und bringt nicht unbedingt mehr sicherheit, außerdem hat sich noch niemand gemeldet, der das im Einsatz hätte. * WPA2-Verschlüsselung dagegen ist unbedingt geboten * WPA2 Enterprise wäre noch besser in Sachen Sicherheit * Mit Fake-APs könnten Schüler dennoch einiges an Daten abgreifen. Vielen Dank für (damals) die umfangreiche Diskussion. Tobias Ich fasse mal zusammen, was ihr als Antworten schriebt: * AP klartext -> CoovaChilli + http-login-seite -> besser nicht, weil Passwort im Klartext über den Äther * AP klartext -> CoovaChilli + https -> habe 1 GLK keine schnelle Möglichkeit gefunden, weil die default seite von "chilli" und nicht von Apache ausgeliefert wird, außerdem Zertifikatsfehlerproblem, für letsencrypt müsste man dem coovachilli einen sinnvollen alias geben + DNS pfriemeln * AP WPA2 Personal + session key update > 0 -> CoovaChilli + http : sicherheit ausreichend im Schulumfeld, eventuell verbindungsabbrüche bei session key update, theoretische Fake-APs können * AP WPA2 Enterprise + radiusserver : noch besser, aber nicht-DAU freundlicher ZErtifikatsaustausch etc. -- Humboldt Gymnasium Karlsruhe _______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
