Hi, wenn ich mit einem Rechner zu einem Hotspot verbinde, welche Möglichkeiten hat der Hotspot, mich als den ClientXY zu identifizieren, der sich neulich schonmal angemeldet hat? Bei Login per Browserinterface, wird er wahrscheinlich ein Cookie dalassen, aber die löscht man ja meistens eh von Zeit zu Zeit. Ansonsten würde mir nur noch die MAC-Adresse einfallen... -das heißt aber nichts... Auf welche Art und Weise lässt sich ein -ich sag mal- Netzwerkteilnehmer sonst noch identifizieren? Danke!
Vroni M. schrieb: > MAC-Adresse Der übliche Weg. Da diese (im Regelfall, kann man ändern) unique ist. Die MAC Adresse ist quasi wie deine Personalausweisnummer. Böse Menschen können natürlich deinen Ausweis nachmachen und deine Ausweisnummer nutzen für Böse Dinge. ? Das ist immer ganz lustig an öffentlichen Hotspots. Im Monitormode sich die MacAdressen am Hotspot ausgeben lassen, diese zur eigenen machen, und mit Wireshark den Verkehr mitlesen. Kann man natürlich auch nutzen um an "Bezahlhotspots" von Telekom / Vodafone und Co. kostenfrei (Na gut, auf Kosten des anderen) zu surfen. Hab ich zumindest mal gehört, ein Freund eines Freundes, dessen Cousin macht das wohl immer Abends im Hotel nach der Arbeit so. ? Hab ich mal gehört.
Vroni M. schrieb: > Auf welche Art und Weise lässt sich ein -ich sag mal- Netzwerkteilnehmer > sonst noch identifizieren? Du stellst die Authentifizierung am WLAN-Accesspoint von WPA2-PSK auf WPA2-EAP mit TTLS um. Dann muss sich jeder Client mit einem Login und Passwort eindeutig authentifizieren bevor er ins WLAN reingelassen wird. Auf dem Radius-Server kannst Du Dich dann mit der Identifizierung nach Lust und Laune austoben.
Vroni M. schrieb: > Auf welche Art und Weise lässt sich ein -ich sag mal- Netzwerkteilnehmer > sonst noch identifizieren? Evtl. noch ein Fingerprinting des Netzwerkverkehrs. Windows-Broadcasts mit enthaltenem Hostname, SNMP-Verbindungsversuche zu Netzwerkdruckern, Verbindungen zu nicht gängigen Mailservern, aussagekräftiger Hostname im SMTP-HELO/EHLO etc.
Also wären da.... Gerd E. schrieb: > Du stellst die Authentifizierung am WLAN-Accesspoint von WPA2-PSK auf > WPA2-EAP mit TTLS um. Dann muss sich jeder Client mit einem Login und > Passwort eindeutig authentifizieren bevor er ins WLAN reingelassen wird. > Auf dem Radius-Server kannst Du Dich dann mit der Identifizierung nach > Lust und Laune austoben. ...der Login des Klienten Hmmm schrieb: > Evtl. noch ein Fingerprinting des Netzwerkverkehrs. Windows-Broadcasts > mit enthaltenem Hostname, SNMP-Verbindungsversuche zu Netzwerkdruckern, > Verbindungen zu nicht gängigen Mailservern, aussagekräftiger Hostname im > SMTP-HELO/EHLO etc. ...und Rückschlüsse aus individuellem Surfverhalten und aktiven (fehlplatzierten) Diensten. Aber ansonsten -und vor allem in darunter liegenden Schichten- gibt es da tatsächlich nur die MAC? Hat nicht IPv6 da irgendwelche Eigenheiten, die dem Klienten die Annonymität nehmen könnte?
Definiere Anonymität. Definiere Identifizieren. Was ist dein Ziel? http://catb.org/~esr/faqs/smart-questions.html#goal: > Describe the goal, not the step > > If you are trying to find out how to do something (as opposed to > reporting a bug), begin by describing the goal. Only then describe the > particular step towards it that you are blocked on. > > Often, people who need technical help have a high-level goal in mind and > get stuck on what they think is one particular path towards the goal. > They come for help with the step, but don't realize that the path is > wrong. It can take substantial effort to get past this. > > Stupid: > > How do I get the color-picker on the FooDraw program to take a > hexadecimal RGB value? > Smart: > > I'm trying to replace the color table on an image with values of my > choosing. Right now the only way I can see to do this is by editing each > table slot, but I can't get FooDraw's color picker to take a hexadecimal > RGB value. > > The second version of the question is smart. It allows an answer that > suggests a tool better suited to the task.
Vroni M. schrieb: > Aber ansonsten -und vor allem in darunter liegenden Schichten- gibt es > da tatsächlich nur die MAC? Ja, und MAC Randomization wird immer populärer. Aktuelle Android-Versionen haben eine abgeschwächte Version mittlerweile per Default an. Die MAC-Adressen sind peristent per SSID. Wer die jeweilige WLAN-Konfiguration in Android löscht bekommt beim der nächsten Verbindung eine neue MAC-Adresse. > Hat nicht IPv6 da irgendwelche Eigenheiten, die dem Klienten die > Annonymität nehmen könnte? Ja, die auf MAC-Adressen aufbaut :-) und die mittels IPv6 Privacy Extension verschleiert werden kann :-))
Vroni M. schrieb: > wenn ich mit einem Rechner zu einem Hotspot verbinde, welche > Möglichkeiten hat der Hotspot, mich als den ClientXY zu identifizieren, > der sich neulich schonmal angemeldet hat? Absolut keine vollkommen zuverlässige. > Auf welche Art und Weise lässt sich ein -ich sag mal- Netzwerkteilnehmer > sonst noch identifizieren? Auf mehr oder weniger viele (hängt von den durch den Client überhaupt benutzten Diensten ab). Nur ist halt keine davon wirklich zu 100% zuverlässig. Durch Kombination der Merkmale kann man die Sicherheit verbessern, aber das ist das typische "Katze-und-Maus"-Spiel. Der Gegner merkt sehr schnell, was du verbessert hast und reagiert entsprechend. Aus kryptographischer Sicht ist das alles komplett unsicher. Gerd. E. schrieb: > Du stellst die Authentifizierung am WLAN-Accesspoint von WPA2-PSK auf > WPA2-EAP mit TTLS um. Dann muss sich jeder Client mit einem Login und > Passwort eindeutig authentifizieren Das hilft dann (und genau nur dann), wenn das Passwort clientseitig sicher verwahrt ist. Allerdings geht's dem TO vermutlich auch garnicht darum, irgendwas abzusichern, sondern eher um das Gegenteil...
Browser-Fingerprinting ist dank Javascript erstaunlich genau, und da viele WLANs erstmal einen Browser sehen möchten, bis sie einen reinlassen, kommt das in die Merkmale neben der MAC-Adresse noch dazu. Und wenn das WLAN seine Pforten erst öffnet, nachdem man bestimmte Dinge getan hat (z.B. Telefonnummer anrufen, Mailadresse angeben, etc.), was in bestimmten Ländern notwendig ist, dann gelten noch andere Richtlinien. c-hater schrieb: > Aus kryptographischer Sicht ist das alles komplett unsicher. Wobei es einem WLAN-Betreiber meist nicht um kryptographische Sicherheit mit Zuverlässigkeitsgarantien bis zur Weltbevölkerungszahl geht, sondern eher um "meist zuverlässige Erkennung" von vielleicht drei- bis vierstelligen Nutzern in einer Umgebung.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.