WLAN aus Sicherheitsgründen ab 29.07. abschalten!

[Jirka]

Hallo zusammen,

mit Windows 10 kommt das WLAN-Passphrase-Sharing, genannt WiFi Sense oder auf deutsch WLAN-Optimierung. Dabei wird die WLAN-Passphrase mit den Outlook-Kontakten, den Skype-Kontakten und - was wohl immerhin angehakt werden muss - den unzähligen Facebook-Freunden geteilt und somit in alle Welt verstreut und auch noch bei Microsoft gespeichert. Somit kann man nicht mehr sicherstellen, dass nicht auch fremde Personen Zugriff auf das WLAN erhalten, obwohl das Passwort z. B. nur an Mitarbeiter, Gäste oder dergleichen ging. Das vom Gesetzgeber (siehe z. B. Rechtsgutachten „Haftung gewerblicher WLAN-Hotspot-Betreiber für Urheberrechtsverletzungen durch Hotspot-Nutzer“ von LANCOM Systems) geforderte verschlüsselte WLAN ist mit WPA also schon mal nicht (mehr) erfüllt. Dazu kommt dann beim Public-Spot auch noch, dass die für eine Nutzung erforderlichen AGBs/Nutzungsbedingungen automatisch akzeptiert werden, d. h. der Nutzer bekommt sie gar nicht mehr zu Gesicht! (z. B. beim Public-Spot-Anmeldemodus "Keine Anmeldung nötig (Login nach Einverständniserklärung)".) Gerade das sollte aber erreicht werden und ist gefordert. Ich fordere daher, dass das WLAN mit LCOS 9.10 aus Sicherheitsgründen komplett deaktiviert wird, ähnlich, wie es mit der Verlinkung der Gerätesuche (siehe dazu hier) geschah. Alternativ müssten wir Christoph darum bitten, bei Microsoft anzurufen und WiFi Sense aus Sicherheitsgründen abschalten zu lassen...

Spaß beiseite...

Leider ist aber nicht alles Spaß gewesen, daher weitere Infos:
http://www.pcwelt.de/ratgeber/Windows-1 ... 12301.html
http://www.welt.de/wirtschaft/webwelt/a ... eilen.html
http://www.computerwelt.at/news/hardwar ... t-sharing/
http://www.howtogeek.com/219700/what-is ... k-account/

Gegenmittel?!:
Allen Nutzern mitteilen, dass sie WiFi Sense ausschalten sollen? Bzw. die SSID vom Freigeben ausnehmen? Das wird wohl kaum 100%-ig sicher durchzuführen sein. (Wenn man sich mit dem WLAN verbindet und die Passphrase eingibt, dann müsste da so ein Haken entfernt werden.)
Die gute alte MAC-Filter-Liste wieder aufleben lassen? Damit würde das Passwort trotzdem noch woanders landen...
LEPS wieder aufleben lassen? (Ich bin seit mehr als 2 Jahren dabei, das auslaufen zu lassen, weil man der Flut an neuen Geräten und der ständigen Smartphone-Fluktuation nicht mehr Herr wurde)
802.1X überall einführen?
Überall die SSIDs um den Zusatz _optout ergänzen? Auch nicht ohne Aufwand... Dazu sieht es auch noch richtig doof aus. Ach ja, und was macht man denn, wenn man mit seinem WLAN weder bei Google erfasst werden will (siehe hier), noch bei Microsoft sein WLAN sharen will? Bei dem einen muss die Endung der SSID _nomap lauten, bei dem anderen _optout? Beides gleichzeitig wird LANCOM wohl auch nicht hinbekommen

Viele Grüße,
Jirka

[Christoph_vW]

WPA2-Enterprise?

Ansonsten wohl nur leider so:
https://www.windowsphone.com/en-us/how- ... i-fi-sense

[Jirka]

Hi Christoph,

das hatte ich beides ja schon als Gegenmittel vorgeschlagen gehabt... Hast Du das etwa schon überall umgesetzt?

Viele Grüße,
Jirka
P.S.: Mach mal Dein ICQ an... (PN im Forum geht gerade nicht)

[Koppelfeld]

mit Windows 10 kommt das WLAN-Passphrase-Sharing, genannt WiFi Sense oder auf deutsch WLAN-Optimierung. Dabei wird die WLAN-Passphrase mit den Outlook-Kontakten, den Skype-Kontakten und - was wohl immerhin angehakt werden muss - den unzähligen Facebook-Freunden geteilt

Willkommen zu der Einsicht, daß die WLAN-Authentifizierung und -Verschlüsselung großer Bockmist ist.
Es ist überhaupt nicht die Aufgabe eines AP, Sicherungsmaßnahmen zu implementieren.
Kein Mensch käme auf die Idee, eine Ethernetsteckdose "abzusichern".

Jeder vernünfige Sicherheitsexperte sagt, "Entweder ein Dienst ist sicher, dann kann ich ihn überall anbieten, oder er ist nicht sicher, dann benutze ich ihn nicht -- weder im Internet, noch im VPN, noch im LAN". Und, anlehnend an Deine Überlegungen: RADIUS existiert.

Wegen dieses "Best Practice" - Diktats sind die APs und die WLAN-Protokolle limitiert, viele Modi funktionieren gar nicht ohne Verschlüsselung und ich kann auch keine VLANs dynamisch zuweisen.

Im LAN hat man keinen Streß, alle Switchports bis auf die Uplinks lauschen ausschließlich auf einem einzigen VLAN und sehen dann dort nur unseren RADIUS-Server. Fallen dann in das dem Gerät zugeordnete VLAN und dürfen dann die Dienste nutzen, die dort zur Verfügung stehen. Kinderleicht, störungsfrei.


Das Problem ist die Schwarmintelligenz, die unser Denken vorschreibt; man ist pervers, Faschist oder Rassist, wenn man gegen die Konsensmafia opponiert.
Deswegen sind "Virenscanner" angeblich notwendig,
deswegen muß WLAN verschlüsselt werden,
deswegen sind Schwule ein Gottesgeschenk.

[LoUiS]

deswegen sind Schwule ein Gottesgeschenk.

@Koppelfeld: Komm zurueck auf den Teppich und bleib sachlich! Solche Staements will ich hier im Forum nicht nochmal lesen! Sonst fliegst Du raus!

[Koppelfeld]

@Koppelfeld: Komm zurueck auf den Teppich und bleib sachlich! Solche Staements will ich hier im Forum nicht nochmal lesen! Sonst fliegst Du raus!

Entschuldigung - ich hätte das Zitat des Apple-Chefs besser kennzeichnen sollen.

[stefanbunzel]

Guten Morgen in die Runde,

ich vermute mal, dass Microsoft dieses tolle Feature etwas globaler sieht: NSA & Co. haben inzwischen sowieso Zugriff auf alle Rechner und Daten - dann können auch endlich alle WLAN-Passwörter zentral und öffentlich gespeichert werden. Im zweiten Schritt werden dann weltweit endlich identische Auto-, Haustür- und Fahrradschloss-Schlüssel eingeführt. Ist doch auch viel praktischer, falls man mal wieder einen verliert...

Okay, ich könnte jetzt noch stundenlang so weiter lästern. Aber, was sagt uns / mir das?

Die gute alte MAC-Filter-Liste wieder aufleben lassen? Damit würde das Passwort trotzdem noch woanders landen...

Ja, aber funktioniert wenigstens nur in Verbindung mit "einer" bestimmten MAC-Adresse. Aber vielleicht wird die auch gleich zentral bei Microsoft & Co. gespeichert, wenn man schon mal dabei ist...?

Ich persönlich gehe mal davon aus, dass es in Zukunft (wie auch in der Vergangenheit) einfach keine wirkliche Datensicherheit gibt. Jeder (!), der geschäftliche / persönliche und somit auch immer sensible Daten auf einem mit dem Internet verbundenen elektronischen Gerät (und selbst diese Hürde wurde ja genommen...) hat, sollte sich dessen bewusst sein, dass diese vor Dritten niemals geschützt sind!!!

In diesem Sinne hilfsweise meine persönliche Übergangs-Empfehlung für's WLAN:
- MAC-Filter + individuelle Passphrase

alternativ:
- mal wieder Zettel und Stift verwenden! (Mal ehrlich: Wenn man eine sensible wichtige Information vor Dritten wirklich sicher aufbewahren möchte, dann sehe ich diese historische Variante der Datenspeicherung in Verbindung mit der Ablage in einem verschlossenen Tresor als absolut sicher an!!! Beispiel: Passwörter usw.)

Viele Grüße,
Stefan

P.S. @ Jirka: Vielen Dank für diesen kritischen Forum-Beitrag! Ich hatte das noch gar nicht mitbekommen...

[langewiesche]

das so was ab werk an ist geht mal gar nicht .... hoffen wir das es per Update so schnell es geht wieder abgeschaltet wird ....
Und fuer alle anderen hoffen wir das sie es manuell abschalten *Trommelwirbel*

[tom63]

ah - neuer genialer schachzug von microsoft. na dann kann ja nichts mehr schiefgehen mit windows 10. nur noch 85 versionen abwarten und man ist wieder offiziell bei windows 95.

hier gabs heut auch was dazu:
http://www.spiegel.de/netzwelt/web/micr ... 41996.html

[stefanbunzel]

Hallo Jirka,

... Ich fordere daher, dass das WLAN mit LCOS 9.10 aus Sicherheitsgründen komplett deaktiviert wird...

Da hat LANCOM ja richtig schnell reagiert: vgl. LANCOM-ADDENDUM 9.10 RC2 Abschnitt 12.2 WLAN

Zitat: "Ab LCOS-Version 9.10 sind alle WLAN-Schnittstellen von WLAN-Routern standardmäßig deaktiviert."

Danke Lancom.

Viele Grüße,
Stefan