Unterwegs sicher im Netz

PC, Kaffeemaschine, Wasserboiler...
Antworten
Benutzeravatar
Quichotte
UE25er

Unterwegs sicher im Netz

Beitrag von Quichotte »

Bisher habe ich wenig Ahnung davon, wie sicher z. B. ein Hotel-WLAN ist und worauf ich achten muss. OK, ich wäre oder bin extrem misstrauisch, wenn Meldungen kommen..

Zu meinem NAS verbinde ich mich verschlüsselt mit WebDAV. Aber ein WLAN unterwegs nutze ich durchaus, wenn ich glaube, dass es seriös ist.. nun.. wie müsste ich mich tatsächlich verhalten?!?

Hier mal ein interessanter Artikel als Anstoß:
https://www.heise.de/ct/artikel/Sicher- ... 49707.html
Benutzeravatar
[RdOT]Lancelot
UE25er

Beitrag von [RdOT]Lancelot »

Du musst tatsächlich im Browser händisch das Zertifikat (bzw. die komplette Kette) überprüfen ob es von der eigentlichen Gegenstelle oder vom WLAN Portal kommt. Kommt es nicht von der eigentlich aufgerufenen Seite, kann es theoretisch vom Netzwerkbetreiber mitgelesen werden (Man-In-The-Middle-Attack). Es gibt auch Portale mit korrekten, öffentlich ausgestellten Zertifikaten, die dein Gerät direkt vertraut, ohne Bestätigung. In einigen Ländern horcht der Staat offiziell den kompletten Traffik mit.

Das Thema sollte eigentlich mit TLS 1.3 angegangen werden, bei dem dies nicht mehr möglich ist. Dann wurde aber festgestellt dass viele Firmen Internetverkehr filtern müssen. Bei TLS 1.3 gibt es quasi nur zwei Möglichkeiten für Firmen: Interzugang ja/nein. Dafür gibt es soviel ich weiss noch keine Lösung, TLS 1.3 wurde erstmal aufgeschoben.

Wir haben auch so ein System, sowohl für WLAN als auch für die Mitarbeiter. Wir müssen gewisse Kategorien sperren (KiPo, Gewalt, Filesharing), das geht nur wenn wir die Verschlüsselung aufbrechen und unsere Firewall neu verschlüsselt.
Benutzeravatar
Redh3ad
UE25er

Beitrag von Redh3ad »

[RdOT]Lancelot hat geschrieben: Fr. 21.6.2019 11:06 Du musst tatsächlich im Browser händisch das Zertifikat (bzw. die komplette Kette) überprüfen
Das macht doch der Browser für dich.
Benutzeravatar
[RdOT]Lancelot
UE25er

Beitrag von [RdOT]Lancelot »

Also abhängig davon wo man ist und sich einwählt könnte es sein dass man gebeten wird ein CA Zertifikat des Anbieters zu installieren. Wenn ich überlege sollte es eigentlich nicht möglich sein dass diese CA bei mitgebrachten Geräten automatisch gültig ist, sodass der Benutzer es bestätigen muss.
Danach sagt der Browser dass die Verbindung zur entsprechenden Seite sicher ist, aber die Verschlüsselung ist aufgebrochen und wenn man nachschaut hat der Browser ein Zertifikat des lokalen Anbieters, nicht das der aufgerufenen Seite.
Ich glaube in der aktuellen c't ist ein Artikel über dieses Thema.
GarlandGreene
UE25er

Beitrag von GarlandGreene »

klar, wenn Du ein CA-Zertifikat installierst, kann der Netzwerkanbieter (ob jetzt Hotel, Cafe oder sonstwas) beliebig Zertifikate für jede Domain, die ihm einfällt, ausstellen. Theoretisch sogar on the fly und für interne Domains. Aber wenn so ein Zertifikat nicht aufpoppt, greift die ganz normale Zertifikatsprüfung des Browsers. Wenn da jemand in der Lage wäre, beliebig Zertifikate auszutauschen ohne dass der Browser ganz laut aufschreit, wäre damit die ganze Onlinebanking-Welt schon bankrott. Nicht umsonst hat Google Symantecs CA mehr oder weniger begraben, weil die fälschlicherweise ein einzelnes Zertifikat für Google-Domains an Dritte ausgestellt hatten. Wenn die Prüfung dieser Kette technisch einfach angreifbar wäre, könnte man sich den Kram gleich ganz sparen.
Benutzeravatar
Quichotte
UE25er

Beitrag von Quichotte »

Ich wollte gerade die Zertifikatskette zu einer gestern genutzten Seite überprüfen und siehe da, iOS unterstützt das offenbar von Haus aus irgendwie nicht direkt (habe aber auch nicht weiter recherchiert).

Ich habe jetzt den TLS Inspector installiert, damit geht es ganz bequem über den Teilen-Button.
https://flip.de/ssl-zertifikat-unter-ios-anzeigen/
Benutzeravatar
Quichotte
UE25er

Beitrag von Quichotte »

Mh.. damit uberprüfe ich die aufgerufene URL.. ist damit auch die Verbindung von mir zu der Adresse erfasst? Wie würde ich denn meine Verbindung überprüfen?
Benutzeravatar
Redh3ad
UE25er

Beitrag von Redh3ad »

Eigentlich sollst du das als Nutzer gar nicht, das soll die verwendete Software (z. B. Browser) für dich machen.
Benutzeravatar
[RdOT]Lancelot
UE25er

Beitrag von [RdOT]Lancelot »

Hast du denn ein konkretes Reiseziel? Eine VPN App könnte auch sinnvoll sein, habe ich aber keine Empfehlung für.
Benutzeravatar
Quichotte
UE25er

Beitrag von Quichotte »

Ich würde einfach gerne wissen, auf was ich achten muss und wie ich bei einem unguten Gefühl die Leitung überprüfen kann.

Ich hatte z. B. etwas als Gast bestellt und mit AmazonPay bezahlt. Es kam keine Bestätigungsmail und ich so :icon16:

Daher der Wunsch, kurz die Verbindung checken zu können..

Ich habe erstmal die Passwörter geändert und den Händler angemailt..
Antworten