Neues Zertifikat im WLAN-Netz Mobyklick(S)

Alles rund um das kostenlose WLAN in Norddeutschland von wilhelm.tel
Antworten
Benutzeravatar
it-fred
Administrator
Administrator
Beiträge: 3658
Registriert: 28. Jan 2002 10:59
Wohnort: K.
Kontaktdaten:

Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von it-fred » 12. Apr 2018 12:07

Mobyklick(S) ist der verschlüsselte, dauerhafte Zugang zum öffentlichen WLAN-Netz. Im Rahmen regelmäßiger Sicherheits-Updates wurde ein neues Zertifikat eingespielt. Nutzer eines iPhones bzw. iPads müssen diesem neuen Zertifikat unter Umständen erneut vertrauen. Für den Fall, dass sich das Endgerät nicht wie gewohnt automatisch mit Mobyklick(S) verbindet und auch keine Zertifikatmeldung erscheint, verbinden Sie das Endgerät manuell mit dem WLAN-Netz und bestätigen sie das Zertifikat (Menüführung: Einstellungen - WLAN - Mobyklick(S)).

https://www.wilhelm-tel.de/privatkunden ... yklick(s)/

Benutzeravatar
recce
Member
Member
Beiträge: 63
Registriert: 11. Nov 2016 11:07

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von recce » 6. Sep 2018 16:02

Wählen Sie die folgenden Einstellungen:
• EAP-Methode: PEAP (häufig bereits voreingestellt)
• Phase 2-Authentifizierung: MSCHAPV2

Ab Android 8.0:
• CA-Zertifikat: Systemzertifikat verwenden
• Domain: mobyklick.de

Bei einigen Modellen von Anbietern mit einer eigenen Google Benutzeroberfläche ist ein Zertifikat möglicherweise nicht auswählbar. Verbinden Sie das Gerät dann bitte mit MobyKlick.

Geben Sie anschließend Ihren Benutzernamen (Identität) und Ihr Passwort ein.
Bei meinem Samsung S9+ (Android 8 ) ist genau dieses Systemzertifikat nicht auswählbar. Kann ich trotzdem eines installieren, wenn ja welches?

Wenn ich mich mit meinen Nutzerdaten anmelde (ohne Zertifikatsauswahl) verbindet er sich mit MobyKlick(S). Ist der Zugang dennoch verschlüsselt?
Zuletzt geändert von recce am 7. Sep 2018 09:58, insgesamt 1-mal geändert.

Benutzeravatar
Madmax
Moderator
Moderator
Beiträge: 317
Registriert: 4. Jan 2002 18:04
Wohnort: Alderan

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von Madmax » 6. Sep 2018 22:12

Hi,

ja der zugang ist dan trotzdem verschlüsselt.
Das problem ist nur da dein endgerät nicht unser Zertifikat überprüft,
könnte sich ein "Böser" Hostpot als Mobyklick ausgeben und dann den Usernamen und das
Passwort abgreifen!

Gruß Madmax

Benutzeravatar
recce
Member
Member
Beiträge: 63
Registriert: 11. Nov 2016 11:07

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von recce » 7. Sep 2018 10:01

ok, danke für die info...

kann ich das zertifikat nicht manuell auf meinem gerät installieren?
(ist nach meinen geräteabhängigen recherchen die einzige möglichkeit, das ca-zertifikat auch auswählen zu können...)

Benutzeravatar
Madmax
Moderator
Moderator
Beiträge: 317
Registriert: 4. Jan 2002 18:04
Wohnort: Alderan

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von Madmax » 11. Sep 2018 01:17

Hi,

leider kann ich das nicht genau sagen da das jeder Androide anders macht!
Wir setzen derzeit Zertifikate von globalsign ein:
https://support.globalsign.com/customer ... rtificates
Wahrscheinlich müsste das Intermediate und das Root Zertifikat installiert werden!

Gruß Madmax

klawru
Neuling
Neuling
Beiträge: 1
Registriert: 15. Dez 2016 15:13

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von klawru » 13. Nov 2018 13:48

Hallo maxda,
ich möchte das GlobalSign ECC Root R5
auf meinem Ubuntu Notebook für den mobyclick(S)
einbinden und werde dann nach einem Password gefragt.
Wo bekomme ich das den her???

gruß klawru

cms
Neuling
Neuling
Beiträge: 1
Registriert: 18. Jan 2019 11:28

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von cms » 18. Jan 2019 12:26

Warum wird das hier nicht besser kommuniziert?
https://mobyklick.de/wp-content/uploads ... oid_A4.pdf

horstchen
Member
Member
Beiträge: 95
Registriert: 8. Nov 2016 06:58

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von horstchen » 18. Jan 2019 19:08

cms hat geschrieben:
18. Jan 2019 12:26
Warum wird das hier nicht besser kommuniziert?
https://mobyklick.de/wp-content/uploads ... oid_A4.pdf
Auf eine Mailanfrage zu mobyklick(s) erhielt ich von moby die Antwort, für ubuntu könnte man keine support bieten. Müssen wir wohl darauf warten, bis sich windows selbst abgeschafft hat.
Bei den Seiten von mobyklick wäre weniger flickerflacker sicher mehr Information gewesen. Die Hilfeseiten mit den AufklappFAQs sind seltsam unstrukturiert und inkonsistent. Ein pdf-Angebot obendrüber, bei dem sich nach dem Öffnen herausstellt, dass es nur für android gilt, eine Frage zu win7, hinter der sich auch ein pdf verbirgt, win10 gibt es nicht und am Ende muss man dann ALLES lesen.
Wäre es nicht einfacher gewesen, als Filter Angebot, Zugangsart und OS vorzugeben und dahinter passende pdfs zum download anzubieten? Wenn man sich vor Ort verbinden will, wäre ein fertig heruntergeladenes Dokument auf dem Zielgerät sicher besser als eine windige Browserseite mit bewegten Videobildchen. Für meinen Geschmack ziemlich am Bedarf vorbei...

cybershadow
Member
Member
Beiträge: 85
Registriert: 26. Jul 2017 22:48

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von cybershadow » 19. Jan 2019 01:57

Also grundsätzlich hat Ubuntu das GlobalSign-Root-Zertifikat an Bord, zumindest wenn Firefox installiert ist. Ich weiß nicht, ob es für die Funktion von WPA2-EAP nötig ist, das Intermediate-Zertifikat lokal hinterlegt zu haben. Normalerweise wird bei allen TLS-basierten Protokollen (https, imaps, etc.) die komplette Zertifikats-Kette ab dem Root-Zertifikat vom Server übertragen, damit die Clients eben nicht alle Intermediates installiert haben müssen.

Du kannst natürlich trotzdem das Intermediate-Zertifikat (Link im Beitrag von Madmax) herunterladen, ins PEM-Format umwandeln

Code: Alles auswählen

openssl x509 -in gsdomainvalsha2g2r1.crt -inform DER -out GlobalSign_Domain_Validation_CA_-_SHA256_-_G2.crt -outform PEM
und im Verzeichnis /usr/local/share/ca-certificates ablegen:

Code: Alles auswählen

sudo cp GlobalSign_Domain_Validation_CA_-_SHA256_-_G2.crt /usr/local/share/ca-certificates/
Danach

Code: Alles auswählen

sudo update-ca-certificates
ausführen, dann ist das Zertifikat unter /etc/ssl/certs verfügbar.

Die Konfiguration des wpa_supplicant sollte Dir unter Ubuntu der Network Manager abnehmen (WPA2 Enterprise/PEAP/MSCHAPv2). Da kannst Du dann zusätzlich das gerade erstellte CA-Zertifikat auswählen: /etc/ssl/certs/GlobalSign_Domain_Validation_CA_-_SHA256_-_G2.pem

Das Vorgehen ist jetzt theoretisch. Ich hab das noch nicht praktisch durchgeführt, weil ich mein Ubuntu-Notebook noch nicht in Mobyclick(S) angemeldet habe.

horstchen
Member
Member
Beiträge: 95
Registriert: 8. Nov 2016 06:58

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von horstchen » 19. Jan 2019 10:08

eigentlich war die Verbindung mit mobyklick(s) nicht so kompliziert. Meine Versuche, diese zuhause theoretisch vorzubereiten sind allerdings meist gescheitert. Einfacher war es, sich vor Ort per Networkmanager direkt zu verbinden. Die Einstellungen, die dann herausgekommen sind, hänge ich mal als Bild an.
mobySxubuntu.png
mobySxubuntu.png (24.19 KiB) 2133 mal betrachtet
Inwieweit man ohne Zertifikat wirklich ein Risiko eingeht, mögen andere einschätzen. Aktuell ist es mir zu kalt draußen, um den Ignorierhaken herauszuoperieren. Wenn ich auf den Androidlink für das Zertifikat klicke, sagt mir mein xubuntu allerdings, dass dieses Zertifikat bereits auf dem System installiert sei.
Ich glaube, mich jetzt auch zu erinnern, dass ich den Haken nur gesetzt habe, weil ich eben kein Passwort für das Zertifikat eingeben konnte und die Hilfeanfrage wg. unsupportiertem OS abgebügelt wurde. Wobei wir wieder bei der ursprünglichen Frage von @klawru wären... ;-)
BTW.
ich muss mich revidieren. Beim zweiten Hinsehen habe ich im Hilfebereich doch noch eine win10-Konfiguration gesehen. Muss ich beim ersten Mal glatt übersehen haben. Spricht aber auch nicht gerade für die Übersichtlichkeit der FAQ...

Benutzeravatar
Madmax
Moderator
Moderator
Beiträge: 317
Registriert: 4. Jan 2002 18:04
Wohnort: Alderan

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von Madmax » 20. Jan 2019 22:05

Moin,

das CA Zertifikat sollte möglichst nicht ignoriert werden.
Hierdurch wird zumindes sichergestellt das der Client nur den Mobyklick Accesspoints vertraut.
Wenn ein "böser" Accesspoint Mobyklick (S) ausstrahlen würde mit einem gefaketem Zertifikat
würde der Client dieses Akzeptieren und seine Benutzerdaten zur verifizierung Herausgeben.
Mit der CA Prüfung auf Globalsign ist dieses erheblich schwerer, da ein Zertifikat das zum
Radius Server passt gefaked werden müsste! Ich bin mir nicht sicher ob das derzeit überhaupt möglich ist
aber wenn Ja ist der aufwand dafür sehr sehr hoch.

Grundsätzlich sollte nur das Root Zertifikat nötig sein, da unsere Server das intermediate mit ausliefern.
Leider sind die EAP implementierungen auf allen Systemen sehr unterschiedlich.
Bei windows Systemen mit gleichem Patchlevel aber von Unterschiedlichen Herstellern (z.B. Dell oder HP)
Habe ich unterschiedliche verhalten bei der Zertifikatsakzeptanz gesehen.
Ich vermute das ist bei den unterschiedlichen Linuxen nicht anders.

Kleiner tipp bei den Anonymen Kennung irgendwas eintragen, z.B. annonym.
Wenn dieses Feld leer bleibt sind einige EAP Clients so dusselig un übertragen in der Anonymen kennung den Originalen Usernamen.
Dies ist Maximal ungünstig da dieser unverschlüsselt übertragen wird.

Gruß Madmax

horstchen
Member
Member
Beiträge: 95
Registriert: 8. Nov 2016 06:58

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von horstchen » 21. Jan 2019 08:44

Madmax hat geschrieben:
20. Jan 2019 22:05
Kleiner tipp bei den Anonymen Kennung irgendwas eintragen, z.B. annonym.Wenn dieses Feld leer bleibt sind einige EAP Clients so dusselig un übertragen in der Anonymen kennung den Originalen Usernamen.Dies ist Maximal ungünstig da dieser unverschlüsselt übertragen wird.
Vielen Dank Madmax, das ist doch ein wichtiger Hinweis

Ich frage mich aber immer, warum man bei mobyklick jenseits der optisch aufwendig aufbereiteten Hilfe nicht irgendwo FAQ in lesbarer Textform findet, die sich mit solchen Tipps auch an Laien wendet, denen ihre Datensicherheit trotz ihres DAU-Status eben doch nicht egal ist und die bereit wären, dazuzulernen. Also eine kleine allgemeinverständliche Erklärung der Grundlagen des gesicherten Zugangs zu moby(s).

HIER haben wir aber immer noch nicht herausbekommen, welches Passwort der network-manager da einfordert.

Wenn ich mich richtig erinnere, habe ich im letzten Sommer herumprobiert aber irgendewelche fake-pw wollte er nicht akzeptieren. Auch die Seiten des Zertifikatserstellers hatten sich mir gegenüber damals ausgeschwiegen. Deshalt immer noch der ignore-Haken Ich muss dafür immer auf meinen Stein an der Segeberger und der ist mir jetzt zu kalt.

Benutzeravatar
recce
Member
Member
Beiträge: 63
Registriert: 11. Nov 2016 11:07

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von recce » 21. Jan 2019 11:13

cms hat geschrieben:
18. Jan 2019 12:26
Warum wird das hier nicht besser kommuniziert?
https://mobyklick.de/wp-content/uploads ... oid_A4.pdf
ja danke! der zertifikatdownload hat mir eben noch gefehlt..klappt wunderbar.

cybershadow
Member
Member
Beiträge: 85
Registriert: 26. Jul 2017 22:48

Re: Neues Zertifikat im WLAN-Netz Mobyklick(S)

Beitrag von cybershadow » 21. Jan 2019 12:22

Madmax hat geschrieben:
20. Jan 2019 22:05
das CA Zertifikat sollte möglichst nicht ignoriert werden.
Hierdurch wird zumindes sichergestellt das der Client nur den Mobyklick Accesspoints vertraut.
Wenn ein "böser" Accesspoint Mobyklick (S) ausstrahlen würde mit einem gefaketem Zertifikat
würde der Client dieses Akzeptieren und seine Benutzerdaten zur verifizierung Herausgeben.
Mit der CA Prüfung auf Globalsign ist dieses erheblich schwerer, da ein Zertifikat das zum
Radius Server passt gefaked werden müsste!
Ist das so? Meines Wissens muss ein Angreifer nur irgendein gültiges, von GlobalSign signiertes Zertifikat präsentieren, um mit einem eigenen RADIUS-Server MSCHAPv2-Challenge-Response-Paare abzugreifen.

Für eine korrekte Prüfung muss zusätzlich noch der FQDN des RADIUS-Servers vorgegeben werden und dem im Zertifikat hinterlegten CN oder einem SAN entsprechen.

Antworten