WPA2 KRACK – Meine persönlichen Tipps für Privatpersonen und Unternehmen

WPA2 KRACK

Wie gehe ich mit dem WPA2 KRACK um als Privatperon oder Unternehmen?

Aus gegebenem Anlass möchte ich Euch mal meine persönliche Sichtweise zum Thema „WPA2 ist unsicher“ nahe bringen, da mich momentan auch viele fragen wie man damit umgeht und selbst im privaten Umfeld große Unsicherheit herrscht.

Was kann generell überhaupt passieren?

In erster Linie können Angreifer über ein sehr aufwendiges Verfahren, einzelne Teile unverschlüsselten Datenverkehrs mitlesen. Generell sollten Sie immer darauf achten, dass bei der Eingabe sensibler Daten wie zum Beispiel Online Banking / Benutzernamen und Kennwörter die man auf Internetseiten eingibt, dies über eine verschlüsselte HTTPS Verbindung geschieht.
Nach heutigem Stand ist es einem Angreifer nicht möglich das verschlüsselte WLAN Passwort auszulesen.

Welche Schutzmaßnahmen kann man allgemein treffen?

Generell sollte man über unverschlüsselte Webseiten keine sensiblen Daten eingeben, dies kann z.B. ein Kontaktformular, Login Felder oder ähnliches sein.

Eine verschlüsselte HTTPS Verbindung erkennt man an den Internetseiten unter anderem an der Adresszeile im Browser.
Meist indem man ein Symbol grünes Schloss und dem vorangestellten https:// vorfindet wie z.B. bei dieser Bank:

An dieser Stelle werden Euer Benutzername und Passwort schon durch ein asymetrisches Verschlüsselungsverfahren geschützt und ein WPA2 KRACK Angreifer kann lediglich verschlüsselte Daten lesen aber nicht entschlüsseln.
Ebenso sieht es über eine verschlüsselte VPN Verbindung aus.

Besondere Tipps für Privatpersonen

Oftmals findet man in privaten Bereichen sogenannte NAS Geräte / Datenspeicher für einen gemeinsamen Zugriff oder leicht manipulierbare Netzwerkgeräte / Switches oder sogar direkt den FritzBox / Speedport Router, bei denen Passwörter oder private Bilder und Dokumente abgegriffen werden könnten.

Meist findet man in Privathaushalten Router vom Internetanbieter vor, dies ist in der Regel wie schon erwähnt eine Fritz Box, Speedport oder ähnliches.
In den meisten Fällen bringen diese Geräte schon eine Gast WLAN Funktion mit, die WLAN Geräte vom restlichen verkabelten Netzwerk isoliert. Wenn Ihr diese Gast WLAN Funktion aktiviert und benutzt, könnt Ihr schon den Zugriff eines Angreifers auf persönliche, sich im LAN befindliche Daten unterbinden.

Tipps für Unternehmen im Umgang mit WPA2 KRACK

Als Unternehmen steht Ihr internes Netzwerk und Ihre Daten unter einem besonders hohen Schutzbedarf. Hier sollten Sie auf Nummer Sicher gehen, wer einen 100% Schutz haben möchte, sollte kein WLAN nutzen. Da dies aber meist in der Form nicht umsetzbar ist, gibt es die Möglichkeit, ein Gastnetz / separates VLAN für jede WLAN SSID anzulegen.
Hierbei kann man das Regelwerk in der Firewall so einrichten, dass aus dem WLAN heraus nur noch reiner Internet Traffic erfolgen darf und Zugriffe auf interne Unternehmens Ressourcen komplett verboten werden.

Sollte dennoch zwingend Notwendigkeit bestehen, dass Mitarbeiter Zugriff auf interen Ressourcen benötigen, müssen sie dies zusätzlich über eine gesicherte VPN Einwahl realisieren (im Idealfall mit zwei Faktor Authentifizierung).
Damit hat man WPA2 KRACK Angriffe zumindest auf einzelne Devices eingeschränkt und mit annähernd an 100% Sicherheit grenzender Wahrscheinlichkeit, seine Unternehmens und Personen bezogenen Daten nach bestem technisch möglichem Standard verschlüsselt.

Wie geht es weiter?

Da sich viele Hersteller auf einen gemeinsamen Standard einigen müssen um diese Sicherheitslücke zu schliessen, wird es noch einige Zeit dauern bis hier für alle Geräte eine Update Lösung bereit steht. Bis dahin sollte man wachsam sein aber auch nicht unnötig viel Panik verbreiten, denn ein Angriff dieser Art ist sehr aufwendig und kann nicht mal eben so von jedem ausgeführt werden.
Zudem muss sich der Angreifer auch in einem kleinen Umkreis Eures WLAN´s aufhalten um diese Sicherheitslücke ausnutzen zu können.

Grundkonfiguration Cisco Catalyst Switch

Grundabsicherung unseres Switches

Ich werde diese Blog Artikel in mehrere Schritte unterteilen und nach und nach mehr Security in die Grundkonfiguration bringen.

Wir machen an der Stelle weiter meinem Switch der 2960-L Serie, genauer gesagt
Catalyst WS-2960L-8PS-LL welchen ich hier in meiner Testumgebung habe. Weitere Details dazu findet Ihr bei Interesse hier.

An dieser Stelle sollten wir nach dem vorherigen Artikel in der Lage sein, uns per SSH mit unserem neuen Switch zu verbinden.
Der einfacheit halber verwende ich in der Anleitung immer den Benutzer „cisco“ und auch das Passwort „cisco“.

In diesem Teil werden wir folgende Punkte konfigurieren:

  1. Passwortvergabe für Konsolen Zugriff und enable Passwort
  2. Setzen eines Hostnamen und  eines Domain Namen (Wichtig für die Generierung des RSA Key für den SSH Zugriff) und generieren den RSA Key
  3. Vergabe einer IPv4 Adresse im Default VLAN 1
  4. Vergabe eines Standard Gateways
  5. Konfiguration von DNS und Zeitserver
  6. Passwortvergabe für SSH Zugriff
  7. Verschlüsselung der Passwörter in der Config

Als erstes stellen wir sicher, das der Switch mit Benutzernamen und Passwort auf der Consolen Ebene abgesichert wird und das enable Passwort für den globalen konfigurationsmodus:

Switch#configure terminal
Switch(config)#
Switch(config)#line console 0
Switch(config-line)#password cisco
Switch-1(config-line)#login
Switch-1(config-line)#exit
Switch-1(config)#enable password cisco

Weiterlesen „Grundkonfiguration Cisco Catalyst Switch“

Cisco Switch und RADIUS Authentifizierung

Server 2012 R2 RADIUS

In diesem Beitrag geht es darum den Zugriff auf Cisco Komponenten via Network Access Protection über verschiedene Richtlinien Profile zu steuern.

In unserem Beispiel arbeiten wir mit zwei Active Directory Gruppen, welche unterschiedliche Privilege Level auf unseren Cisco Switches bekommen.

Folgende Komponenten benötigen wir für die Konfiguration

  • Windows Server Betriebssystem (2003 / 2008R2 /2012R2)
  • Installation der Serverrolle NAP (Network Access Protection)
  • Bestehende Rolle Active Directory Domain Services (ADDS) 
  • Cisco Switches mit IOS Version 12.1x oder höher

Weiterlesen „Cisco Switch und RADIUS Authentifizierung“

Cisco Switch out of the Box

Cisco Konsolenkabel blau RS232

Ein neuer Switch – wie stelle ich eine Verbindung zur Erst-Konfiguration eines Cisco Catalyst Switches her.

Frisch aus der Verpackung, völlig nackt und un-konfiguriert – Dies ist ein kleiner Leitfaden für Neueinsteiger, angehende CCENT oder CCNA welche Möglichkeiten es gibt sich zur ersten Konfiguration zu verbinden.

Wenn Ihr einen Switch in Betrieb nehmen wollt der bislang keinerlei Konfiguration enthält, hat dieser auch keine IP Adresse über die man ihn managen könnte. Folglich bleibt Euch nur die Möglichkeit, diesen über ein Konsolenkabel mit einem Terminal Emulator zu konfigurieren.
Als Terminal Emulator sollte der bekannteste und am meisten verbreit meiner Meinung nach Putty sein, welcher auch relativ einfach zu bedienen ist.

Um die Verbindung herzustellen via Konsole gab es lange Zeit nur die Möglichkeit das ganze via RJ45/RS232 Konsolenkabel über einen COM Anschluss am PC oder Notebook zu machen. Da an aktuellen Desktop PC´s oder Notebooks in den seltensten Fällen noch RS232 COM Schnittstellen vorhanden sind benötigte man hierfür immer zwangsweise einen USB / RS232 Adapter.

Weiterlesen „Cisco Switch out of the Box“