Wie Hotel W-Lan sicher nutzen?

[Ja_Ge]

und wo bekommt der ein gültiges zertifikat für seine gefakte seite unter anderer ip her?

verisign, letsencrypt, thawte, cloudflare, ...

 

[angerhome]

Ist die Einrichtung von WireGuard kompliziert? Bräuchte es, wie bereits erwähnt, für Android und macOS.

Reicht da eine 7590 aus? Oder ist die dafür wieder zu alt?

Nein, total simpel.
Du lädst Dir die Wireguard App für AppStore des Mac runter.

Die 7590 mit der aktuellen Firmware bietet in den Einstellungen eine Wireguard VPN an.
Die Einrichtung ist selbsterklärend und die Fritz!Box führt Dich durch die Installation.

 

[0x8100]

verisign, letsencrypt, thawte, cloudflare, ...

ähm, nein? die stellen dir kein cert für z.b. sparkasse.de aus.

 

[Ja_Ge]

Die leiten auf eine Ähnliche Seite um, mit etwas anderer Domain. Nach deinem Beispiel:

• Ich rufe www.sparkasse.de auf
• Du leitest mich auf deine lokale Website um (Kopie der Sparkasse) mit einem deiner HTTPS Zertifikate
• Der Browser wird meckern, weil du eben keine www.sparkasse.de Zertifikat erstellen kannst

Außer ich übersehe etwas, aber da lasse ich mich gerne belehren

Bei MITM ist es noch gravierender, da muss definitiv das MITM Zertifikat akzeptiert werden vorab.

@0x8100 Da bin ich auch mal gespannt. Klar kann er die Seite umleiten, aber eben nicht für den FQDN ein gültiges Zertifikat erstellen lassen. Denn wenn doch, ist die "offizielle "CA schneller weg, wie sie gucken kann.

Warum sollte die Fake Seite nicht mit einem öffentlichen Zertifikat verschlüsselt sein?

Ergänzung (18. Juni 2023)

ähm, nein? die stellen dir kein cert für z.b. sparkasse.de aus.

Nein aber für www.sparkassenbanking.de wenn mir die Domäne gehört.

 

[0x8100]

Warum sollte die Fake Seite nicht mit einem öffentlichen Zertifikat verschlüsselt sein?

du kannst mittels dns die ip für sparkasse.de faken und den aufruf auf dich umleiten. dein fake-server hat aber nicht das cert für sparkasse.de (höchstens ein selbst-signiertes), also fliegt das ganze auf.

 

[Masamune2]

Wenn der böswillige Betreiber des öffentlichen WLANs es gut macht landest du nicht mal direkt bei deiner Bank, sondern auf einer entsprechenden Zwischenseite, optisch gleich und mit wunderbar gültigem HTTPS Zertifikat.

Nein tust du eben nicht. Wenn du die Seite deiner Bank aufrufst und keine Zertifikatsfehlermeldung bekommst kann der Betreiber des WLAN nicht dazwischen gefunkt haben. So funktioniert HTTPS und Zertifikate.
Er kann den Tunnel nur aufbrechen wenn er ein eigenes Zertifikat verwendet, das kann aber niemals für die Domäne der Bank gültig sein.

 

[Donnidonis]

@Ja_Ge
Dann Probier es bei dir aus, es wird nicht gehen. Du Tipps www.sparkasse.de ein und lieferst ein Zertifikat, was nicht nur angegrauten Domain passt. Da meckert JEDER Browser.

Du solltest dich besser noch einmal genauer mit dem Thema befassen bevor du dein Wissen hier als Fakt hinstellst. So einfach wie du denkst, ist es nicht.

 

[Teuti]

Moin @Ask-me, ja mit dem 7590 klappt es ausgezeichnet, du musst nur das OS 7.50 oder 7.56 installieren. Beim einrichten von Wireguard wird dir genau erklärt was zu tun ist. 💯👍🍀

 

[User007]

Hi...

OMG, von was für interessanten Voraussetzungen hier "Szenarien" aufgemacht werden... 🙄

Woher kommt bloß das Ansinnen der/die Betreiber von Hotel- oder anderen "öffentlichen" WLANs hätten "kriminelle" Absichten und wären an Daten der Nutzer interessiert?
Wie lange sollte das denn "gut" gehen und unentdeckt bleiben, womit in Konsequenz doch das Image immens leiden, wenn nicht sogar in eklatanter Weise geschäftsschädigend zerstört würde?
Echt unfasslich solche "herbeigezogenen" Diskussionen...

Übrigens kann sowas​

[...] leiten auf eine Äähnliche Seite um, [...]

überall passieren - dazu "benötigt's" keinen Hotel-/öffentlichen Zugang. 🤷‍♂️

[...] wie man das Hotel W-Lan sicherer machen kann?

Gar nicht - aber man kann für seine Datenverbindung mit einem VPN den Datenverkehr für potentielle "Lauscher" etwas abschotten. Mehr ist nicht nötig und auch dem Ziel aufwandsmäßig nicht (mehr) angemessen.​

 

[Ask-me]

Was habe ich bei der Einrichtung falsch gemacht? Die Leuchte ist grau?

 

[Ja_Ge]

Ich habe nie behauptet ein gültiges Zertifikat für Sparkasse.de bekommen zu können, meine oben erwähnte Seite war als Beispiel die Sparkassenbanking.de die mir gehört.

Der Klient ruft www.Sparkasse.de auf. Der DNS-Server biegt das Ganze auf www.sparkassenbanking.de um. Eine Kopie der www.sparkasse.de inklusive gültigem HTTPS Zertifikat. Der Server, der die www.sparkassenbanking.de hostet, baut nun die eigentliche Verbindung zu www.sparkasse.de auf und leitet die Eingaben 1zu1 weiter (außer z.B. die Kontonummer). Ein klassisches Man-in-the-Middle.

Auffliegen tut das ganze, wenn der User die veränderte Schreibform in der Adressleiste bemerkt oder beim zweiten Faktor - Unstimmigkeiten bei dem Ziel – Kontonummer usw. Leider gibt es genug User, die das nicht bemerken.

Übrigens kann sowas​

überall passieren - dazu "benötigt's" keinen Hotel-/öffentlichen Zugang. 🤷‍♂️

Ja, aber im öffentlichen WLAN hast du halt keinen Einblick auf den DNS Server deiner Verbindung. Zuhause ist's die Fritzbox oder der DNS deines ISPs, dem du ein gewisses Vertrauen entgegenbringst.

Woher kommt bloß das Ansinnen der/die Betreiber von Hotel- oder anderen "öffentlichen" WLANs hätten "kriminelle" Absichten und wären an Daten der Nutzer interessiert?
​

Kommt auch darauf an wo das Hotel ist, gibt so manche Länder da währe ich mir nicht so sicher.
Aber auch wenn man nicht gleich vom Schlimmsten ausgeht, vielleicht möchte ich auch nicht, dass der Betreiber meine Porno – Favoriten in seinem DNS Server aufgelistet sieht.

 

[till69]

Echt unfasslich solche "herbeigezogenen" Diskussionen...

+1 ... Danke

 

[NJay]

Nein, Man-in-the-Middle funktioniert auch mit HTTPS.

Wie hier bereits diskutiert wurde, nur unter den selben Voraussetzungen, unter denen auch Phishing funktioniert.

 

[Ask-me]

Und was bedeutet eigentlich gesamter Verkehr? Ist bei der Einrichtung etwas schief gelaufen?

Ergänzung (18. Juni 2023)

Und sollte ich für zwei Geräte zwei Freigaben einrichten?

 

[Teuti]

Moin @Ask-me, ja du solltest für jedes Gerät eine eigene Freigabe einrichten. 🍀👍

 

[Ja_Ge]

Und was bedeutet eigentlich gesamter Verkehr? Ist bei der Einrichtung etwas schief gelaufen?

Das ist der Parameter "Allowed IPs".
AllowedIPs = 0.0.0.0/0,::/0
schickt alles zur FritzBox.

Ergänzung (18. Juni 2023)

Und sollte ich für zwei Geräte zwei Freigaben einrichten?

Ja ist so gedacht, darum bekommst du auch nur 1 Mal den QR Code mit dem PKEY zu sehen.

Ergänzung (18. Juni 2023)

Anhang anzeigen 1368117

Was habe ich bei der Einrichtung falsch gemacht? Die Leuchte ist grau?

Hat er denn die Verbindung schon jetzt aufgebaut?

 

[Ask-me]

Ja, jetzt leuchtet sie grün. Soll jetzt bei gesamter Verkehr das "Nein" bleiben? Oder muss ich da noch etwas umändern?

 

[Masamune2]

Der Klient ruft www.Sparkasse.de auf. Der DNS-Server biegt das Ganze auf www.sparkassenbanking.de um. Eine Kopie der www.sparkasse.de inklusive gültigem HTTPS Zertifikat. Der Server, der die www.sparkassenbanking.de hostet, baut nun die eigentliche Verbindung zu www.sparkasse.de auf und leitet die Eingaben 1zu1 weiter (außer z.B. die Kontonummer). Ein klassisches Man-in-the-Middle.

Nein, bitte informiere dich nochmal wie das ganze technisch funktioniert, so geht es definitiv nicht!

 

[Ja_Ge]

Ja, jetzt leuchtet sie grün. Soll jetzt bei gesamter Verkehr das "Nein" bleiben? Oder muss ich da noch etwas umändern?

Das kommt drauf an was du erreichen möchtest. Möchtest du dein Netz zuhause über die WireGuard erreichen um z.B. einen Rechner in Fernsteuerung zu nehmen und von dort zu arbeiten, oder soll wirklich alles an (Internet) Traffic über die WireGuard und dann über die FritzBox ins Internet gehen?

 

[Ask-me]

...

Einfach der Traffic vom Handy über Heimnetz, sodass es sicher ist.