Wo wird kein SSL/TLS benutzt

[Konto gelöscht]

Hallo,

ich ziehe in Kürze in eine WG und es gibt dort ein offenes WLAN für alle. Da es kostenlos dabei ist und mit 400 MBit/s im Download und 20 MBit/s im Upload mehr als ausreichend ist, möchte ich dies auch gerne verwenden.

Ich mache mir aber ein paar Gedanken, wie sicher das ist. Kann ich in Windows 10 irgendwie herausfinden, wo kein SSL genutzt wird?
Also ich habe z.B. eine Verbindung zu meinem Mailpostfach hier drauf, da habe ich das alles eingestellt. Aber auch per FTP oder mein Cloud-Sync-Tool etc.
Kann man sowas irgendwie ausfindig machen, damit ich das noch umstellen kann?

Ich habe soweit jede Software und auch mein Windows 10 auf dem neuesten Stand. Nur habe ich Bedenken, dass vielleicht irgendwelche Programme noch nicht mit SSL im Hintergrund laufen, wenn sie ins Netz gehen.
Oder hat jemand generell noch Tipps für meine Sicherheit?

Würde mich über einen Tipp freuen und danke im Voraus!

 

[LupusAndron]

Die einfachste Lösung wäre in VPN Tunnel. Dann sind alle Verbindungen von deinem Rechner mit dem Internet verschlüsselt.

 

[Konto gelöscht]

Habe leider keinen. Habe außer meinem Laptop und Handy nichts. Sonst hätte ich das gerne gemacht

 

[LupusAndron]

Das ist keine Hardware, sondern eine Verbindungsart, die dein Laptop und dein Handy auch können. Lies dich einfach mal etwas ein. https://de.wikipedia.org/wiki/Virtual_Private_Network

 

[assman17]

Dann halt VPN auf dein Laptop und Handy einrichten

 

[Konto gelöscht]

Ich weiß was VPN ist aber dafür brauche ich ja irgendeinen VPN-Server über den ich das schleife. Da vertraue ich nicht vielen.
Meine Eltern haben zu Hause auch einen Anschluss der VPN anbieten würde aber IPv6 kann deren Fritz!Box nicht in Kombination mit VPN...
Sonst würde ich das einfach darüber laufen lassen. Aber bis das mal umgesetzt wird von AVM...

Gibt es denn eine Möglichkeit die Verbindungen und deren Typ (SSL oder nicht) irgendwo einzusehen die gerade aktiv sind?

Danke für eure Hilfe!

 

[LupusAndron]

Also OpenVPN ist recht gut und open source. https://openvpn.net/index.php/open-source.html
Es gibt sicherlich kleine Programme, die dir die Verbindungen auflisten. Da wirst du bestimmt fündig.

 

[snaxilian]

@LupusAndron: Aber auch mit openVPN braucht der TE einen Server auf dem er dies installiert und auch ein kleiner vServer kostet monatlich Geld.

@TE: Nein da gibt es kein allgemeines Allheilmittel. Jedes Programm arbeitet da anders, du kannst nur anhand der ausgehenden Verbindungen es etwas eingrenzen. Beispiel Webserver: Ausgehende Verbindung auf Port 80 bedeuten oft (nicht zwingend) nur http, Port 443 dann oft aber nicht zwingend https. Um das eindeutig machen zu können bräuchtest du einen Proxy o.ä. der in ALLE deine Verbindungen rein guckt und sofern kein TLS-Handshake erfolgt, diese droppt. Hilft dir nur wenig bei UDP-Verbindungen, die sind dann erst mit DTLS verschlüsselbar.
Wenn du so vorsichtig ist (was keinesfalls schlimm ist, sondern gut), dann bleiben dir nur ein paar Optionen: Kabel anstatt WLAN nutzen (Angreifer müsste dann schon mind. ARP-Spoofing o.ä. verwenden um mitlesen zu können) oder einen VPN-Server selbst betreiben oder einfach Dienste konsequent meiden, die kein TLS sprechen oder damit leben.
Aber auch mit nem VPN-Server verlagerst du das Problem nur. Exit ist dann der VPN-Server, sprich wer garantiert dir, dass der Serverbetreiber/RZ nicht mitliest? Oder der Provider? Oder der Provider des jeweiligen Anbieters zu dem du dich verbinden willst? Oder der eigentliche Anbieter? Ist halt immer eine Risikoabwägung...

 

[Konto gelöscht]

Danke für deine Antwort!

Das mit dem Port 80 ist schon mal gut. Werde morgen mal im Taskmanager den Ressourcenmonitor öffnen und schauen was so ab geht.

Mir geht es in erster Linie nur um Onlinebanking, meine Zugänge zu Websites und so. Die sind meist alle SSL-fähig. Werde mal schauen wer es nicht kann und ggf. Alternativen suchen.

Vielen Dank euch! 👍🏻

 

[snaxilian]

Ist aber nur ein Indiz. Ich kann problemlos auch nen Webserver konfigurieren, der auf Port 80 TLS ausliefert. Im Browser ist es ja einfach, da sieht man schnell ob eine Webseite TLS verwendet oder nicht anhand des kleinen grünen Schlosses (bei Chrome, andere Browser kA aber vermutlich ähnlich).
Genauso machen viele Seiten bei http://meineseite.de einen HTTP 301, also einen redirect auf die HTTPS Variante. Aber generell da wo Zugangsdaten übermittelt werden sollte TLS Pflicht sein.

 

[Oli-nux]

Es soll auch Browser-Erweiterungen geben... kann dazu aber nichts sagen, da ich sowas nicht nutze.
Für Firefox z.B. HTTPS Everywhere.

 

[Konto gelöscht]

Danke! Das gucke ich mir mal an 👍🏻

 

[M-X]

HTTPS Everywhere bringt dir auch nur im Browser was.

Im zweifel mit Wireshark jede einzelne Verbindung prüfen. Kann aber je nach Anzahl der installieren Programme eine ziemliche Aufgabe werden.

 

[Dr. McCoy]

Hallo,

ich ziehe in Kürze in eine WG und es gibt dort ein offenes WLAN für alle.

Dann ändere dies, und klemm einen Accesspoint mit "eigenem" WLAN an einen der LAN-Ports des Routers, z.B. diesen:
-> https://geizhals.de/edimax-gemini-re11s-extender-a1650635.html?hloc=de

Dabei definierst Du Deine "eigene" SSID, die Verschlüsselung sowie die Verschlüsselungspassphrase.

 

[Piktogramm]

Was soll das bringen außer ein noch mehr zugemülltes Spektrum? Der Router bekommt den Traffic des zusätzlichen Accespoints dann trotzdem zu Gesicht. Es macht da keinen Unterschied ob man das gemeinsame (offene und dennoch hoffentlich via WPA2 verschlüsselte) Wifi nutzt oder anderweitig angebunden ist.

 

[snaxilian]

@Piktogramm: Bei eigenem AP gehen seine Daten direkt zum Router und raus ins Interwebs vs. jeder kann theoretisch mitlesen in einem gemeinsamen WLAN. Abschnorcheln setzt dann mindestens ARP Spoofing voraus oder Zugriff und Fähigkeiten auf dem Router.

 

[Piktogramm]

Mehrfach fehlerhaft.

Auch direkt übers Wifi gehen die Daten direkt zum Router. Das ändert überhaupt nichts am Sachverhalt.

Mitlesen im gemeinsamen Wlan kann man (bei Nutzung von WPA2 ohne weitere Sicherungsmaßnahmen) nur wenn man die Handshakes der einzelnen Clients abfängt. Die kann man zwar provozieren das fällt. Jeder kann das aber auch nicht, das erfordert meist schon mindestens erweitertes ScriptKiddie-Können. Auf dem Level kann man seine Lieblings Toolkits mit ihren Exploitsammlungen aber auch mal fix gegen den Plasterouter werfen und so an zentraler Stelle ab schnorcheln. Genauso wie man ein Man-inthe-Middle auf jedes eingehende / ausgehende Kabel des Routers probieren wird.

Wenn man jedoch sowieso das etwas erfahrenere Script-Kiddie im eigenem Netzwerk als Bedrohungslage annehmen muss, dann hat man ein viel größeres Problem. Der Angreifer ist ja schon im Netz und kann alle Geräte abklopfen, ob nicht bei all den veralteten Androidversionen, verkrüppelten Windows, drecks Software auf den Macs und/oder dem IoT Vibrator mit Kamera ein direkter Zugriff möglich ist. Mitgeschnittenen Traffic auszuwerten macht im Vergleich viel mehr Arbeit.

 

[DaveStar]

Was hier teilweise wieder verzapft wird...

1. VPN ist bei dem Fall um den es hier geht kein realistisches Szenario. Er bräuchte ja einen Endpunkt irgendwo in einem anderen Netz.

2. Die zentrale Frage hat Piktogramm aufgeworfen: Was versteht der TE unter "offen"?
offen = unverschlüsselt (was natürlich komplett schwachsinnig wäre)
oder
offen = jeder in der WG kennt den WPA2-Key?

Das müsste erstmal geklärt werden.

Wenn ersteres der Fall ist, muss es dringend geändert werden, wenn letzteres der Fall ist, dann muss man sich schonmal etwas weniger Sorgen machen.
Denn nur weil Mitbewohner X den Key auch kennt, heisst das noch lange nicht, dass er die Verbindung zwischen deinem Laptop und dem Router mitlesen kann. Die wird nicht einfach nur mit dem Key verschlüsselt, sondern Router und Client handeln eine "individuelle" Verschlüsselung aus.

3. Eine einigermassen sichere Wireless-Verbindung hilft allerdings auch nichts, wenn der "Bösewicht" auf dem Router sitzt.


4. Was die ursprüngliche Frage angeht: Wie bereits gesagt wurde, ist das (übers ganze System gesehen) gar nicht mal so simpel.

Was den Browser angeht wurde bereits das PlugIn "HTTPS everywhere" genannt. Die "fördert" verschlüsselte Verbindungen, ist aber kein Garant dafür.
Zusätzlich wäre daher noch das PlugIn "PassSec+" zu erwähnen. Dieses markiert Passwort-Eingabefelder auf unverschlüsselten Seiten, sodass man nicht so leicht versehentlich sein Passwort auf einer unsicheren Verbindung eingibt.

Was Dinge ausserhalb des Browsers angeht:
- E-Mail muss halt entsprechend konfiguriert werden
- Allfällige FTP-Verbindungen ebenso
- Was die "Cloud" angeht, würde ich dann halt auf einen Cloud-Anbieter setzen, der die Verbindung verschlüsselt. Wirst ja nicht mit 10 verschiedenen Clouds zu tun haben...