2 Router mit gleicher Wifi SSID und Password

[klaus1969]

Was passiert eigentlich, wenn man 2 Router/APs mit gleicher SSID und Password aufstellt (also einer z.B. in der Ferienwohnung). Würde sich dann ein Handy wahlweise in den einen oder anderen einbuchen?

 

[stoney]

Ja, solange SSID und Netzwerkschlüssel identisch sind, sollte es "automatisch" funktionieren.

WLAN-Repeater bzw. WLAN-APs mit selben Einstellungen wie der Router, machen es ja auch nicht anders. WLAN Clients sind da recht "dumm" und gehen zunächst nach SSID, wenn eine bekannte gefunden wird, wird versucht eine Verbindung herzustellen.

 

[klaus1969]

D.h. damit könnte man auch Unfug treiben? Wenn man das Wifi-PW eines Restaurants kennt, braucht man nur ein Wifi mit gleicher SSID und PW aufspannen und schon fängt man alle Gäste ein?

 

[stoney]

Nennt man mEn Man-In-The-Middle - es einfach viel einfacher, als man denken mag... weshalb es auch sinnvoll ist, den WLAN-Zugang auf bekannte Geräte zu beschränken und die Geräte manuell freizugeben, welche nach dem Zugriff zum LAN auch noch auf die WAN-Seite zugreifen dürfen.

Kommt natürlich immer auf den Router an, aber bereits eine F!Box kann dies und mit WPA3 + PMF werden solche "Aktionen" auch immer mehr im Sande verlaufen, die Frage ist nur wie lange es dauern wird, bis alle Clients "soweit sind".

 

[NDiIPP]

Nennt man mEn Man-In-The-Middle

Genauer: Nennt man "Rogue AP". Professionelle WLAN Controller-Systeme (bspw. von Lancom, Bintec usw.) erkennen solche APs und warnen bei Bedarf den Admin wenn ein solcher Rogue-AP in der Umgebung gefunden wird.

---

Edit:

Wenn man das Wifi-PW eines Restaurants kennt, […]

Öffentliche WLAN-Hotspots (Restaurants, Hotels usw.) sind doch per se als unsicher zu betrachten, völlig egal ob verschlüsselt oder unverschlüsselt und/oder ob da ein Rogue-AP existiert oder nicht. Daher nutzt man doch solche WLAN-Hotspots nach Möglichkeit nur mit zufälligen MAC-Adressen und selbstverständlich nur mit verschlüsselten Verbindungen/Protokollen (HTTPS, SSH/SFTP, FTP usw. oder gleich per VPN). Und natürlich auch nur wenn man meint, der eigene Client ist softwaretechnisch auf dem aktuellen Stand (Sicherheitsupdates).

Und wenn man sich immer noch unsicher ist (den selbst mit allen Sicherheitsupdates gibt es bekannterweise keine 100% Sicherheit, können ja auch noch unentdeckte Lücken existieren), unterlässt man grundsätzlich die Nutzung von öffentlichen WLAN-Hotspots (auch wenn dort keine Rogue-APs bekannt sind). Denn ein solcher WLAN-Hotspot ist grundsätzlich ein nicht vertrauenswürdiges Netzwerk.

 

[Ldwg2002]

Öffentliche WLAN-Hotspots (Restaurants, Hotels usw.) sind doch per se als unsicher zu betrachten,

Warum? Was ist dort unsicherer als woanders?

Daher nutzt man doch solche WLAN-Hotspots nach Möglichkeit nur mit zufälligen MAC-Adressen

Richtig. Im Umkehrschluss nutzt man Zuhause (im vermeintlich sicheren LAN) die Geräte-MAC-Adresse. Auf einer hardware-MAC-Adresse kann man ein Sicherheitskonzept (im privaten LAN/WLAN) aufbauen und nicht nur auf ein WPA-Passwort setzen, das im Grunde nur als Schlüssel für den Funkverkehr dient und nicht (nur bedingt) als Zugangskontrolle taugt.

Denn ein solcher WLAN-Hotspot ist grundsätzlich ein nicht vertrauenswürdiges Netzwerk.

Was ändert sich am Verhalten (der User / des Admins) in s/einem vertrauenswürdigen Netzwerk? Beim User ändert sich gar nichts. Der Admin weiß was im LAN/WLAN passiert, im Idealfall.

Was passiert eigentlich, wenn man 2 Router/APs mit gleicher SSID und Password aufstellt (also einer z.B. in der Ferienwohnung). Würde sich dann ein Handy wahlweise in den einen oder anderen einbuchen?

Bei zwei Routern wären es i.d.R. juristisch und auf Layer 3 zwei verschiedene Netzanschlüsse und somit zwei verschiedene Personen als Anschlussinhaber. Ist es ein Router und ein Accesspoint, sind wir im gleichen LAN, dann gibt es nur einen Netzanschluss und einen Anschlussinhaber.

Das wird erst relevant wenn dem Freifunker seine Oma Schindluder treibt. Trotz Reform des UrhG bleibt die Störerhaftung als Restrisiko, besonders in Köln. Aber auch am BGH gilt: Die Störerhaftung ist tot, lang lebe die Störerhaftung, 2023

Die durch das Landgericht Köln vorgenommene nahezu uferlose Ausweitung der täterschaftlichen Haftung auf weit weniger tatnahe Intermediäre ... ist auch nicht sinnvoll.

Welcher Weg bei den DNS-Diensten eingeschlagen wird? Entweder so
CloudFlare haftet als Täter einer Urheberrechtsverletzung (auch in Köln)

CloudFlare ist seit Langem ein „Ärgernis“ in der Arbeit des die Rechteinhaber von Urheberrechten und die Betroffenen von Persönlichkeitsrechtsverletzungen vertretenen Rechtsanwalts.

oder so Keine Täterhaftung des DNS-Resolver für Urheberrechtsverletzung. Über DNS-Resolver ist Zensur möglich, nicht nur in China, oder es kann Propaganda verhindert werden. Ohne TV-Lizenz kommen Verbote, Internetunternehmen müssen sie durchsetzen, sonst geraten sie selbst in die juristische Schusslinie. Dazu das BMI.de.

Wer privater WLAN-Betreiber ist, interessiert sich vielleicht für seine Pflichten, etwas ausführlicher und systematischer wurde es hier #46.

 

[sonyKatze]

@klaus1969 hast Du eins/zwei Ferienwohnungen und wolltest uns (damals vor einem Jahr) eigentlich fragen, wie Du die (dauerhaft) absichern kannst? Ganz edel machst Du das per PPSK, dabei bekommt jeder (neue) Gast dann sein eigenes WLAN-Kennwort.