IP-Pakete sichtbar für andere Teilnehmer: Ist das abhängig von der Verschlüsselung?

[A.S.Dert]

Hallo zusammen!

Ich hatte eine Diskussion mit dem Betreiber eines Hotspots, der eine Fritzbox 7270 als WLAN-Router verwendet.
Das war kein Internet-Café, sondern eine Einrichtung in der man sich mehrere Tage aufhält.
Es ging um die "Abhörsicherheit" des Netzes zwischen den einzelnen Mitgliedern im Netz.

Der Betreiber des Hotspots sagt: ich will meinen Gästen Internetzugang bieten.
Ich sage ihm: Aber bitte verschlüsselt. Sonst kann jeder meinen Verkehr mitprotokollieren. (jeder = jeder, der sich mit Wireshark etc. auskennt)
Der Betreiber des Hotspots sagt: Ich will meinen Gästen Bequemlichkeit bieten. Ich will, dass sie kein Passwort eingeben müssen.
Ich sage ihm: Deine Gäste bleiben üblicherweise mehrere Tage. Es ist zumutbar, beim ersten Zugang ein simples Passwort wie "xyz123" einzugeben. Das ist besser als nichts.
Der Betreiber des Hotspots sagt: Aber wenn jeder dieses Passwort eingibt, dann ist doch jeder im Netz und damit ist die Kommunikation für jeden im Netz offen. Letztendlich ist der Gast für die Sicherheit seiner Daten verantwortlich. Hotspots werden immer ohne Passwort betrieben. Punkt.

Vor allem wegen dem ersten Teil der letzten Aussage habe ich zu Hause einige Tests gemacht:

Ich nehme eine Fritzbox 7270 (aktuelle Firmware), sowie mehrere PCs mit Wireshark als Protocol Analyzer.

Wenn die PCs über LAN oder über verschlüsseltes WLAN verbunden sind, dann sehe ich mit Wireshark (auch im Promiscuous Mode) nur die Kommunikation zwischen Fritzbox und dem jeweiligen PC.

Wenn die Verschlüsselung ausgeschaltet ist (ja, nur kurzzeitig zu Testzwecken, unter höherem Sicherheitsaufwand), dann sehe ich mit Wireshark auch die Kommunikation zwischen der Fritzbox und den anderen PCs. Bei POP3 und IMAP sind damit auch Benutzername und Passwort für den Mailserver enthalten. Ich würde sehen, welche Internetseiten aufgerufen werden und könnte Chats mitlesen.

Ich schließe daraus, dass die Verschlüsselung nicht nur vor Lauschern außerhalb des Netzwerks schützt, sondern auch vor Lauschern innerhalb des Netzwerks (Gast am Nebentisch des Internet-Cafés).

Ist mein Schluss korrekt oder habe ich etwas übersehen?
Würde es tatsächlich die Sicherheit im Netz erhöhen, wenn ein Passwort eingefordet wird, selbst wenn jeder Gast das gleiche Passwort eingeben muss?

Ich bin gespannt auf Eure Antworten.

 

[gandalf94305]

Es kommt auf die Anwendung an. Normalerweise sind Hotspots unverschlüsselt und verwenden einen mandatorischen Proxy beim Übergang zum Internet, um nur autorisierte (sprich: zahlende) Kunden auch durchzulassen.

Der Traffic zu http-Websites ist ohnehin auch im Internet ungeschützt, d.h. hier würde eine Verschlüsselung nur beschränkt weitere Sicherheit geben.

Der Traffic zu https-Websites ist ohnehin verschlüsselt, d.h. hier würde eine WLAN-Verschlüsselung nichts zusätzlich bringen.

Ich persönlich verwende in Hotspots generell eine VPN-Verbindung zur Firma/meinem Netzwerk zuhause, von wo aus dann der Traffic entsprechend ausgehen kann. Damit ist alles an in-transit-Daten verschlüsselt, auch wenn der Hotspot selbst keine Verschlüsselung anbietet.

In dem Sinne also: Hotspots ohne Verschlüsselung sind im Prinzip ok, da sie über einen anderen Mechanismus den Internetzugang regeln (Routerfilter oder mandatorischer Proxy per Bezahlung, Freischaltung für einen separaten Proxy per Passwort). Ist dies nicht der Fall, so sind als Zugangsregelung WLAN-Schlüssel natürlich sinnvoll.

--gandalf.

 

[rentier-s]

Der Traffic zu http-Websites ist ohnehin auch im Internet ungeschützt, d.h. hier würde eine Verschlüsselung nur beschränkt weitere Sicherheit geben.

Trotzdem ist es für den nicht so versierten Hacker ungleich einfacher, den WLAN Traffic mitzuhören. Bei einem nicht (ausreichend) verschlüsselten WLAN (nix/WEP/WPA) kann praktisch jeder, der sich im Funkbereich befindet, alles mitlesen. Wenn das Netzwerk WPA2-verschlüsselt ist, ist es den "kleinen Jungs" schon mal nicht mehr möglich.

Grundsätzlich gebe ich Dir natürlich Recht, dass sensible Daten sowieso über verschlüsselte Verbindungen durch das Internet transportiert gehören. Und gerade an öffentlichen Hotspots sollte man sich zu verhalten wissen.

 

[A.S.Dert]

Danke Gandalf und Rentier.
So ganz passen Eure Antworten nicht auf meine Anfrage. Mir ging es nicht um den Internetzugang, mir ging es auch nicht um HTTP vs. HTTPS. Die Sache mit der eigenen Verschlüsselung (bzw. VPN) ist auch klar.

Mir geht es um das Netz, das aus WLAN-Router und mehreren PCs (oder Smartphones) besteht. Mir geht es darum, dass Wireshark Pakete anzeigt oder nicht anzeigt.
Im unverschlüsselten Fall sehe ich Pakete, die zwischen WLAN-Router und anderen PCs ausgetauscht werden.
Im verschlüsselten Fall sehe ich diese Pakete nicht (ich sehe also keine verschlüsselten Pakete, die ich nicht lesen kann, sondern ich sehe gar nichts).
Im LAN-Fall sehe ich auch nichts (ein Router ist kein Hub).

Frage: sehe ich das richtig, dass auch wenn sowohl an PC1 als auch an PC2 das gleiche Passwort eingegeben werden muss, die Verschlüsselung dafür sorgt, dass die Pakete, die für PC1 bestimmt sind an PC2 nicht mehr sichtbar sind?

 

[loeben]

Hattest Du nicht geschrieben, dass bei Verschlüsselung die Pakete unsichtbar sind?

 

[A.S.Dert]

Ja.

Ich weiß nicht, auf welcher Ebene die Verschlüsselung (egal ob WEP oder WPA) einsetzt.

Ich hätte es durchaus für möglich gehalten, dass ich zwar die Pakete für die anderen PCs sehe, aber deren Payload nicht lesen kann. Für mich sieht es jetzt aber so aus, als ob die Verschlüsselung auf einer tieferen Ebene erfolgt. Umso besser.

Wie passt das nun mit dem Argument des Hotspot-Betreibers zusammen, dass wenn jemand das Passwort eingibt, er die Pakete für die anderen PCs ja doch wieder empfangen und entschlüsseln kann.

Für mich sieht es so aus, als ob diese Aussage nicht stimmt.

Mir geht es nicht darum, wie ich mich in einem öffentlichen Hotspot schützen kann. Ich hatte gehofft, dass ich meine Frage deutlich genug stelle. Mir geht es darum, ob durch Verschlüsselung die Sicherheit innerhalb des Netzes erhöht wird, weil IP-Pakete bei den anderen PCs nicht sichtbar und damit auch nicht lesbar sind.

 

[rentier-s]

Unsere Antworten zielten durchaus auf Deine Frage ab.
Es gibt neben Wireshark auch noch andere Tools, mit denen man den WLAN-Traffic ausspähen kann, ohne überhaupt mit dem Netzwerk verbunden zu sein. Im Falle eines unverschlüsselten Netzwerks sind die Daten Klartext und können ohne weiteres Zutun mit einem solchen Tool mitgelesen werden. Deshalb der Verweis von gandalf auf HTTPS, weil die Daten damit auch bei unverschlüsselten Netzwerken nicht gleich für jeden offen lesbar sind.
Selbst wenn Du bei einem verschlüsselten WLAN die Pakete der anderen Rechner mit Wireshark nicht sehen kannst, werden sie trotzdem durch den Raum gefunkt und können mit o.g. Tools aufgezeichnet werden. Die einzige Möglichkeit ein Ausspähen von Daten wirksam zu unterbinden ist deshalb WPA2. Nicht (nur) als Zugangsschutz, sondern tatsächlich zum Schutz der übertragenen Daten.

 

[sf3978]

...Es gibt neben Wireshark auch noch andere Tools, mit denen man den WLAN-Traffic ausspähen kann, ohne überhaupt mit dem Netzwerk verbunden zu sein. ...

Selbst wenn Du bei einem verschlüsselten WLAN die Pakete der anderen Rechner mit Wireshark nicht sehen kannst, werden sie trotzdem durch den Raum gefunkt und können mit o.g. Tools aufgezeichnet werden. ...

Welche andere Tools sind das? Kannst Du evtl. die Namen dieser Tools nennen?

 

[gandalf94305]

Suche doch mal nach NetStumbler oder einfach in Deiner Lieblingssuchmaschine "WLAN sniffer" ;-)

--gandalf.

 

[A.S.Dert]

Schade, dass ich mich hier nicht verständlich machen kann.

Ich versuch es noch einmal anders formuliert (letzter Versuch):
Sehe ich es richtig, dass die WLAN-Verschlüsselung nicht auf IP-Ebene ansetzt, sondern auf den unteren Schichten?

 

[astrolux]

Da versuche ich es:

Wenn die PCs über LAN oder über verschlüsseltes WLAN verbunden sind, dann sehe ich mit Wireshark (auch im Promiscuous Mode) nur die Kommunikation zwischen Fritzbox und dem jeweiligen PC.

Richtig!

Wenn die Verschlüsselung ausgeschaltet ist (ja, nur kurzzeitig zu Testzwecken, unter höherem Sicherheitsaufwand), dann sehe ich mit Wireshark auch die Kommunikation zwischen der Fritzbox und den anderen PCs.

Richtig!

Wie ich in den Zitaten hervorgehoben habe, ist dies nur mit Hilfsmitteln wie Wireshark (oder Netstumbler, oder, oder, oder...) möglich. "Normal" geht da nichts. Bedient sich jemand eines solchen "Hilfsmittels", dann legt es "diese Person" auf das "Abhören" von fremden Datenverkehr an. Dazu hat dann "diese Person" mit an Sicherheit grenzender Wahrscheinlichkeit auch einen WLan-Adapter (Karte/Stick) dabei, die/der sich mit speziellen Treibern (frei im Internet verfügbar, mit Liste der zugehörigen Adapter), in den Monitor-Modus versetzen lässt. Damit kann "diese Person" erst einmal ALLE! gesendeten Frames aufzeichnen und hinterher, da ja gleicher Schlüssel für alle, auch entschlüsseln.
Tatsächlich gibt eine Verschlüsselung nur "nach außen" Schutz (es können zwar auch ALLE Frames empfangen, aber nicht entschlüsselt werden). Leute die darauf abzielen und im gleichen Netzwerk mit gleichem Schlüssel "sitzen" kann das nicht abschrecken.

 

[RalfFriedl]

S
Sehe ich es richtig, dass die WLAN-Verschlüsselung nicht auf IP-Ebene ansetzt, sondern auf den unteren Schichten?

Ja, die WLAN-Verschlüsselung ist nicht auf IP-Ebene. Man kann über WLAN auch IPX, Netbios und andere Protokolle einsetzen.

 

[A.S.Dert]

@RalfFriedl: Danke für den Hinweis. Dann arbeitet die WLAN-Verschlüsselung also auf Layer 1 oder (wahrrscheinlicher) Layer 2. Aber außer dem von allen Nutzern gemeinsam verwendeten Passwort muss es noch einen benutzerabhängigen Beitrag zum Schlüssel geben. Ohne Verschlüsselung sehe ich IP-Pakete (besser gesagt: Ethernet-Rahmen), die entweder zu meinem Rechner gehören, oder aber zu anderen. Mit Verschlüsselung sehe ich nur noch meine eigenen.

Ich komme noch dahinter. Aber wohl nicht hier.

@astrolux: Danke auch für Deinen Beitrag. Du gehst ganz schön ran mit Deinen Schlussfolgerungen. Wer Wireshark benutzt, legt es auf das Abhören von fremden Daten an? Steile These! Kommt es Dir in den Sinn, dass man diese Software auch zur Analyse des eigenen Rechners, des eigenen Netzes und auch zur eigenen Sicherheit verwenden kann? Ich habe die Software im Hotspot nur deshalb angeworfen, damit ich sehe, welche Daten ich sende.

(Einen WLAN-Sniffer hatte ich auch, aber keinen der Pakete aufzeichnet. Bei Netstumbler war mir gar nicht bewusst, dass der das kann)

Und was ich mit Wireshark gesehen habe, das hat mich verwundert. Und weil ich das nicht verstanden habe, deshalb bin ich hergekommen. Ich hatte gehofft, hier Experten zu treffen, die mir auf die Sprünge helfen und mir evtl. einen Denkfehler aufzeigen. Oder meine These bestätigen/widerlegen. Oder mir bestimmte Webseiten empfehlen.

Leider habe ich den Eindruck, dass ich nicht hierherpasse. Obwohl ich mich bemühe, mich präzise auszudrücken habe ich nicht das Gefühl, dass man versteht, worauf es mir ankommt. Da spreche ich wohl nicht die richtige Sprache. Oder ihr greift schon in die Tasten, bevor ihr fertig gelesen habt.

Macht nichts, die Welt ist groß. Vielleicht finde ich anderswo die Antwort auf meine Fragen. Und wenn nicht, dann bleibt das eben für mich ein weiteres ungelöstes Rätsel der Menschheit. Nicht das einzige.

Macht's gut, viel Spaß noch. Tschau!

 

[Newbie0815]

Astrolux hat es doch sehr schön erklärt:
Angenommen dein Hotspot Betreiber stellt auf WPA 2 um, dann kann trotzdem jeder der das WPA 2 Passwort hat deine WLAN Pakete mitlesen wenn er seine WLAN Karte mit einem Treiber versieht der den Monitoring Mode beherrscht.

Klar genug ?

Das von dir beobachtete Phänomen ist interessant, es klingt aber eher danach dass mit WPA 2 bei der FB die Option "WLAN Pakete können direkt unter WLAN PCs ausgetauscht werden" automatisch deaktiviert wird.. und beim unverschlüsselten Fall nicht.

Trotzdem: mit WPA 2 gehen die Pakete immer noch über Funk raus.. wer will und wer den WPA 2 Schlüssel hat kann sie aufzeichnen und mitlesen / mithören.

Klar genug ?