Mythen rund im Internetsicherheit auf Reisen
- Starter*in Travelling_Geek
- Datum Start
ANZEIGE
Wenn das eine VPC-Verbindung (heißt das so?) ist, habe ich das auch. Allerdings funktioniert das nicht aus allen Ländern heraus (warum weiß ich nicht) Dann arbeite ich mit dem OWA...
Bin allerdings fürs erste beruhigtDanke!
Wahrscheinlich meinst Du VPN. Und es stimmt, manchmal gibts damit in Hotels oder an WLAN-Hotspots Probleme. Wobei öfter mal ein Hinweis auf der Login-Seite bzw. der Login-Bestätigungsseite des jeweiligen Netzwerks auftaucht in der Art wie "Attention VPN-Users. Please click here". Dort steht dann meist, was man tun muss, damit es dann am Ende (doch nicht) klappt
Für Outlook gibt es genau eine Erweiterung, die auch mit einem Exchange-Konto funktioniert: Das "Original" von PGP. Die ganzen Gratis-Varianten laufen alle nur mit POP-Konten
Und zumindest auf meinen Rechnern funktioniert dieser Mail-Proxy von PGP (also das Original) nicht so zuverlässig, wie ich es gerne hätte. Ich muss das Trum alle paar Tage abschalten...
Außerdem finde ich den Prozess des vorherigen Austauschs der Public-Keys leider nur mäßig komfortabel. IMHO ist das auch der Grund, warum PKI nie richtig groß wurde: Es ist einfach zu umständlich und kein Stück intuitiv. Wer weiß schon, was ein Public- und ein Private-Key ist?
Für Gnu-PG gibt es auch Plugins. S/MIME ist eine etwas konfortablere Alternative. Ansonsten eben die Cryptogateways diverser Hersteller oder eben SMTP over TLS.
Aus Sicherheitgründen empfehlen wir unseren Kunden hier immer eine Lösung mit VPN, und OWA nach Möglichkeit ebenfalls ausschließlich per VPN (lösen wir in der Regel per Cisco WebVPN, geht somit auch ohne Software-VPN-Client).
Dann aber bitte einen Reverseproxy (apache/squid/(isa)) davor, ein Exchange stellt man eigentlich nicht ins Internet. Exchange ist ein toller Mailstore aber ein toller MTA.
Habe gerade mal in meinen E-Mail-Voreinstellungen nachgeguckt, alle von mir benutzten POP/IMAP/SMTP-Server (insgesamt ca. 10) sind hier auf SSL konfiguriert, außerdem habe ich einen kommerziellen VPN-Provider in Amerika, den ich in Hotels und öffentlichen Bereichen benutze, oder wenn ich mal eine US IP benötige, um bestimmte Entertainment-Inhalte herunterladen zu dürfen. Diese Verbindung arbeitet mit 128 Bit Verschlüsselung. Meine Heimnetzwerke operieren alle mit WPA2, ebenso mein mobiles Reise-WLAN, das ich normalerweise in meinem Hotelzimmer installiere.
WPA2 ist OK, wenn der Key gut ist
Ich habe außerdem einen Monitor laufen, der mir alle am AirPort angemeldeten Clients anzeigt, da sollte es doch eigentlich auffallen, wenn noch jemand anderes mitliest, oder?
Früher hatte ich auch noch MAC-Adressen-Filterung, das wurde mir aber zu mühsam.
Leider nicht ganz richtig... Um mitzulesen muss ich nicht mit dem AP verbunden sein. Dein WLAN plärrt den Traffic ja in die Luft und jeder Empfänger kann passiv mitlesen.
Insofern hilft nur WPA2 (AES) mit einem wirklich guten Key.
Der Schutz durch den Filter geht auch gegen Null... Die gültigen (=angemeldeten) MAC-Adressen geistern ebenfalls durch die Luft und das Ändern meiner eigenen MAC dauert fünf Sekunden. Bei Deinem Mac sogar mit Bordwerkzeugen (Terminal / ifconfig).
Jetzt muss ich mich auch mal im Feld meiner Expertise äussern:
1) Port Security (Schützt Vor "Kabel" angriffen) ist nicht aufwendig nur gibt im Moment a) kaum jmd Geld dafür aus und b) Spielt das ja eh nur ne Rolle wenn Ihr 100% wisst das es Sie gibt (also nicht im Hotel).
2) Man in the Middle Attacken bei SSL Verbindungen sind zwar möglich wenn man aber A) einen sinnvollen (sprich aktuellen) Browser einsetzt und B) nur certifizierte Zertifikate von sinnvollen CAs akzeptiert stellen die kein Problem dar.
3) VPN -> auch wenn es faktisch in 95% der Fälle so ist, VPNs haben faktisch nichts mit einer verschlüsselung und authentifizierung zu tun. (Vielflieger Meilen ja auch nicht immer was mit fliegen)
4) Gesunde Paranoia ist gut, man kann es aber auch übertreiben
5) UMTS ist nicht schwerer abzuhören als WLAN nur weil ich ein wenig mehr in Equipment stecken muss ist das leider für unter 1000 USD sehr sehr gut hinzubekommen. Die Wahrscheinlichkeit ist geringer aber ich würde bei UMTS nicht hingehen und "laxere" Security verwenden.
6) Prinzipiell kann jmd der wirklich will in einer nicht überwachten Umgebung (und die ist auf Reisen beim Nutzer immer gegeben) immer den Datenverkehr zu 100% mitlesen. Als Nutzer kann ich dafür sorgen das das mitgelesene nur verschlüsselt ist Die beiden Zauberworte heissen Verschlüsselung und (im Prinzip wichtiger) Authentifizierung.
Flys VPN Provider (ich gehe hier mal von einer hinreichenden Verschlüsselung aus) ist der "richtige" Ansatz. POP3, SMTP und IMAP über SSL ein wenig vorsicht und sinvolle (!!!!!!) Passwörter. Fertig
Ähh Fly: ich such noch einen "guten" US VPN Provider, wen nimmst du denn?
1) Port Security (Schützt Vor "Kabel" angriffen) ist nicht aufwendig nur gibt im Moment a) kaum jmd Geld dafür aus und b) Spielt das ja eh nur ne Rolle wenn Ihr 100% wisst das es Sie gibt (also nicht im Hotel).
2) Man in the Middle Attacken bei SSL Verbindungen sind zwar möglich wenn man aber A) einen sinnvollen (sprich aktuellen) Browser einsetzt und B) nur certifizierte Zertifikate von sinnvollen CAs akzeptiert stellen die kein Problem dar.
3) VPN -> auch wenn es faktisch in 95% der Fälle so ist, VPNs haben faktisch nichts mit einer verschlüsselung und authentifizierung zu tun. (Vielflieger Meilen ja auch nicht immer was mit fliegen
)4) Gesunde Paranoia ist gut, man kann es aber auch übertreiben
5) UMTS ist nicht schwerer abzuhören als WLAN nur weil ich ein wenig mehr in Equipment stecken muss ist das leider für unter 1000 USD sehr sehr gut hinzubekommen. Die Wahrscheinlichkeit ist geringer aber ich würde bei UMTS nicht hingehen und "laxere" Security verwenden.
6) Prinzipiell kann jmd der wirklich will in einer nicht überwachten Umgebung (und die ist auf Reisen beim Nutzer immer gegeben) immer den Datenverkehr zu 100% mitlesen. Als Nutzer kann ich dafür sorgen das das mitgelesene nur verschlüsselt ist
Die beiden Zauberworte heissen Verschlüsselung und (im Prinzip wichtiger) Authentifizierung.Flys VPN Provider (ich gehe hier mal von einer hinreichenden Verschlüsselung aus) ist der "richtige" Ansatz. POP3, SMTP und IMAP über SSL ein wenig vorsicht und sinvolle (!!!!!!) Passwörter. Fertig
Ähh Fly: ich such noch einen "guten" US VPN Provider, wen nimmst du denn?
Genau bei den CAs lag ja das Problem.
Es wurden Zertifikate der Form www.paypal.com\0.badguy.com beanttragt.
Die automatisierte Überprüfung der CAs hat gesehen, dass es ein Zertifikat für eine Subdomain von badguy.com ist , dieser bekannt ist und ihm dafür sogar ein EV-Zertifikat ausgestellt.
Viele Browser (z.B. der IE ider FF<3.5) interpretieren das Zertifikat aber C-typisch nur bis zur Nullterminierung, zeigen also an, dass es ein gültiges EV-Zertifikat für paypal.com ist.
HTML/Spoofing.Gen (sagte Avira mir grade
hat dem Code erkannt 
)Gefahr erkannt Gefahr gebannt, alle CA's haben die Certs ja nun revoked, und den Fehler gefunden (& behoben)...
Zuletzt bearbeitet:
HTML/Spoofing.Gen (sagte Avira mir grade
Gefahr erkannt Gefahr gebannt, alle CA's haben die Certs ja nun revoked, und den Fehler gefunden (& behoben)...
Echter Fehler war es ja garnicht, sondern halt mal wieder ein Stringverarbeitungsproblem.
HTML/Spoofing.Gen (sagte Avira mir grade
Gefahr erkannt Gefahr gebannt, alle CA's haben die Certs ja nun revoked, und den Fehler gefunden (& behoben)...
Das Revoken hilft nur dann, wenn der Browser auch die CRL/OCSP abfragt!
FF 3.5 macht OCSP, wenn vorhanden. IE ist es für Serverzertifikate standardmäßig NICHT aktiv, daher:
End users who have IE 5.0 or higher can turn on automatic CRL checking by following the steps below:
1. Open the IE web browser.
2. Click on the Tools menu
3. Select Internet Options
4. Select the Advanced tab
5. Scroll down to Security Options
6. make sure the following 2 options are checked.
- Check for publisher's certificate revocation
- Check for server certificate revocation
...
Da muss ich leider widersprechen... Der IE8 ist soweit ein "sinnvoller" Browser. Man kann von MSFT (MS wäre hier wohl missverständlich) halten was man will, aber um den IE kommt man wohl kaum herum. Siehe das Beispiel des Outlook-Web-Zugriffs. Klappt zwar auch mit FF, ist aber umständlich.
Wie soll ich meinem Browser sagen, welche Zertifikate von welchen CAs er annehmen soll? Die CA-Liste ist fest im Browser verdrahtet, da kannst Du als Anwender nichts ändern. Entweder der Browserhersteller schmeisst eine CA raus (was in der Praxis unmöglich ist, da davon über Nacht zehntausende von legitmen Sites betroffen wären), oder Du lebst damit, dass da unsichere CAs dabei sind.
Der von mir erwähnte Angriff basiert auf gültigen Zertifikaten, die von einer im Browser gelisteten CA ausgestellt wurden...
Jetzt bin ich gespannt
Kannst Du mir sagen (gern per PN), welches Equipment für unter 1000 Dollar in der Lage ist, UMTS abzuhören?
Äh, da melde ich einmal mehr leise Zweifel an: Wenn die bösartigen Zertifikate "richtig" beantragt wurden, schlägt der normale Revoke-Prozess fehl.
Siehe hier ab Folie 121...
Klar kannst Du als User (außer Dein Admin hat es disabled) CAs aus dm Browser rausnehmen.
OWA ist nice to have, der IE war/ist aber halt immer wieder eine wandelnde Sicherheitslücke und damit OWA halt kein gutes Argument - und in Zeiten von Blackberry, IPhone und Co ist OWA auch nicht mehr so notwendig - ActiveSync ist da interessanter.
Die OCSP-Überprüfung mit Result 3 muss halt korrekt vom Browser - als nicht überprüft zurückgemeldet werden.
Du hast recht, ich habe das nicht ordentlich formuliert. Löschen kannst Du sie natürlich, damit werden ja aber alle zigtausend Zertifikate dieser CA als ungültig zurück gewiesen.
Sicher ein Riesenspaß, wenn man eine CA killt, die gleichzeitig auch als Reseller arbeitet
Dann ist die Kette unterbrochen und auch die Reseller-Zertifikate bleiben draußen...Jetzt bin ich gespannt
Eine Möglichkeit:
- UMTS Jammer --> Mobiltelephon geht nach GSM --> GSM-Interception
Du hast recht, ich habe das nicht ordentlich formuliert. Löschen kannst Du sie natürlich, damit werden ja aber alle zigtausend Zertifikate dieser CA als ungültig zurück gewiesen.
Sicher ein Riesenspaß, wenn man eine CA killt, die gleichzeitig auch als Reseller arbeitet
Je nach Anwendungsfall kann man eine ganze Menge der CAs killen, ohne dass es Ärger macht.
Ist eh immer witzig, wenn selbst Securityfirmen Selfsigned Zertifikate haben
Habe einige Jahre SSL-Proxys betreut, da fallen die halt erstmal raus.
Interessantes Thema.
Was ich hier schon länger fragen wollte, wie ist die Sicherheit einer Verbindung via Surfstick zu bewerten? Ich benutze den von o2.
Was ich hier schon länger fragen wollte, wie ist die Sicherheit einer Verbindung via Surfstick zu bewerten? Ich benutze den von o2.