Unterwegs sicher im Netz
- Quichotte
- UE25er
Unterwegs sicher im Netz
Bisher habe ich wenig Ahnung davon, wie sicher z. B. ein Hotel-WLAN ist und worauf ich achten muss. OK, ich wäre oder bin extrem misstrauisch, wenn Meldungen kommen..
Zu meinem NAS verbinde ich mich verschlüsselt mit WebDAV. Aber ein WLAN unterwegs nutze ich durchaus, wenn ich glaube, dass es seriös ist.. nun.. wie müsste ich mich tatsächlich verhalten?!?
Hier mal ein interessanter Artikel als Anstoß:
https://www.heise.de/ct/artikel/Sicher- ... 49707.html
Zu meinem NAS verbinde ich mich verschlüsselt mit WebDAV. Aber ein WLAN unterwegs nutze ich durchaus, wenn ich glaube, dass es seriös ist.. nun.. wie müsste ich mich tatsächlich verhalten?!?
Hier mal ein interessanter Artikel als Anstoß:
https://www.heise.de/ct/artikel/Sicher- ... 49707.html
- [RdOT]Lancelot
- UE25er
Du musst tatsächlich im Browser händisch das Zertifikat (bzw. die komplette Kette) überprüfen ob es von der eigentlichen Gegenstelle oder vom WLAN Portal kommt. Kommt es nicht von der eigentlich aufgerufenen Seite, kann es theoretisch vom Netzwerkbetreiber mitgelesen werden (Man-In-The-Middle-Attack). Es gibt auch Portale mit korrekten, öffentlich ausgestellten Zertifikaten, die dein Gerät direkt vertraut, ohne Bestätigung. In einigen Ländern horcht der Staat offiziell den kompletten Traffik mit.
Das Thema sollte eigentlich mit TLS 1.3 angegangen werden, bei dem dies nicht mehr möglich ist. Dann wurde aber festgestellt dass viele Firmen Internetverkehr filtern müssen. Bei TLS 1.3 gibt es quasi nur zwei Möglichkeiten für Firmen: Interzugang ja/nein. Dafür gibt es soviel ich weiss noch keine Lösung, TLS 1.3 wurde erstmal aufgeschoben.
Wir haben auch so ein System, sowohl für WLAN als auch für die Mitarbeiter. Wir müssen gewisse Kategorien sperren (KiPo, Gewalt, Filesharing), das geht nur wenn wir die Verschlüsselung aufbrechen und unsere Firewall neu verschlüsselt.
Das Thema sollte eigentlich mit TLS 1.3 angegangen werden, bei dem dies nicht mehr möglich ist. Dann wurde aber festgestellt dass viele Firmen Internetverkehr filtern müssen. Bei TLS 1.3 gibt es quasi nur zwei Möglichkeiten für Firmen: Interzugang ja/nein. Dafür gibt es soviel ich weiss noch keine Lösung, TLS 1.3 wurde erstmal aufgeschoben.
Wir haben auch so ein System, sowohl für WLAN als auch für die Mitarbeiter. Wir müssen gewisse Kategorien sperren (KiPo, Gewalt, Filesharing), das geht nur wenn wir die Verschlüsselung aufbrechen und unsere Firewall neu verschlüsselt.
- Redh3ad
- UE25er
Das macht doch der Browser für dich.[RdOT]Lancelot hat geschrieben: ↑Fr. 21.6.2019 11:06 Du musst tatsächlich im Browser händisch das Zertifikat (bzw. die komplette Kette) überprüfen
- [RdOT]Lancelot
- UE25er
Also abhängig davon wo man ist und sich einwählt könnte es sein dass man gebeten wird ein CA Zertifikat des Anbieters zu installieren. Wenn ich überlege sollte es eigentlich nicht möglich sein dass diese CA bei mitgebrachten Geräten automatisch gültig ist, sodass der Benutzer es bestätigen muss.
Danach sagt der Browser dass die Verbindung zur entsprechenden Seite sicher ist, aber die Verschlüsselung ist aufgebrochen und wenn man nachschaut hat der Browser ein Zertifikat des lokalen Anbieters, nicht das der aufgerufenen Seite.
Ich glaube in der aktuellen c't ist ein Artikel über dieses Thema.
Danach sagt der Browser dass die Verbindung zur entsprechenden Seite sicher ist, aber die Verschlüsselung ist aufgebrochen und wenn man nachschaut hat der Browser ein Zertifikat des lokalen Anbieters, nicht das der aufgerufenen Seite.
Ich glaube in der aktuellen c't ist ein Artikel über dieses Thema.
-
- UE25er
klar, wenn Du ein CA-Zertifikat installierst, kann der Netzwerkanbieter (ob jetzt Hotel, Cafe oder sonstwas) beliebig Zertifikate für jede Domain, die ihm einfällt, ausstellen. Theoretisch sogar on the fly und für interne Domains. Aber wenn so ein Zertifikat nicht aufpoppt, greift die ganz normale Zertifikatsprüfung des Browsers. Wenn da jemand in der Lage wäre, beliebig Zertifikate auszutauschen ohne dass der Browser ganz laut aufschreit, wäre damit die ganze Onlinebanking-Welt schon bankrott. Nicht umsonst hat Google Symantecs CA mehr oder weniger begraben, weil die fälschlicherweise ein einzelnes Zertifikat für Google-Domains an Dritte ausgestellt hatten. Wenn die Prüfung dieser Kette technisch einfach angreifbar wäre, könnte man sich den Kram gleich ganz sparen.
- Quichotte
- UE25er
Ich wollte gerade die Zertifikatskette zu einer gestern genutzten Seite überprüfen und siehe da, iOS unterstützt das offenbar von Haus aus irgendwie nicht direkt (habe aber auch nicht weiter recherchiert).
Ich habe jetzt den TLS Inspector installiert, damit geht es ganz bequem über den Teilen-Button.
https://flip.de/ssl-zertifikat-unter-ios-anzeigen/
Ich habe jetzt den TLS Inspector installiert, damit geht es ganz bequem über den Teilen-Button.
https://flip.de/ssl-zertifikat-unter-ios-anzeigen/
- Quichotte
- UE25er
Mh.. damit uberprüfe ich die aufgerufene URL.. ist damit auch die Verbindung von mir zu der Adresse erfasst? Wie würde ich denn meine Verbindung überprüfen?
- Redh3ad
- UE25er
Eigentlich sollst du das als Nutzer gar nicht, das soll die verwendete Software (z. B. Browser) für dich machen.
- [RdOT]Lancelot
- UE25er
Hast du denn ein konkretes Reiseziel? Eine VPN App könnte auch sinnvoll sein, habe ich aber keine Empfehlung für.
- Quichotte
- UE25er
Ich würde einfach gerne wissen, auf was ich achten muss und wie ich bei einem unguten Gefühl die Leitung überprüfen kann.
Ich hatte z. B. etwas als Gast bestellt und mit AmazonPay bezahlt. Es kam keine Bestätigungsmail und ich so
Daher der Wunsch, kurz die Verbindung checken zu können..
Ich habe erstmal die Passwörter geändert und den Händler angemailt..
Ich hatte z. B. etwas als Gast bestellt und mit AmazonPay bezahlt. Es kam keine Bestätigungsmail und ich so
Daher der Wunsch, kurz die Verbindung checken zu können..
Ich habe erstmal die Passwörter geändert und den Händler angemailt..