[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Passwort aus X11-Traffic in einem geswitchten Netz

On Die, 07 Mär 2006, Geert Stappers wrote:

> On Tue, Mar 07, 2006 at 12:31:26AM +0100, Florian Reitmeir wrote:
> > Hallo,
> > 
> > On Mon, 06 Mär 2006, Martin Herweg wrote:
> > 
> > > Vorteil:
> > > * mehr Sicherheit
> > > 
> > > Ich würde gerne mal mit eingenen Augen sehen, wie ein Schüler ein Passwort
> > > aus dem X11-Traffic in einem geswitchten Netz herausfiltert - trivial ist das 
> > > nicht.
> > 
> > doch.
> > apt-cache search sniff
> > ergibt bei mir 42 packes, von denen mindestens 10 das auf Anhieb koennen.
> > (z.b. ethereal, ettercap, dsniff, ... )
> 
> Bitte erzähle mahl mehr.
> Wenn die löcher bekannt sind, kann mann sie zumachen.

Das Problem ist ein Denkfehler

- es wird angenommen, dass geswitchte Netzwerke dazu dienen die Sicherheit zu
	erhoehen

Das ist Falsch. Der einzige Grund liegt darin, das Netzwerk effizienter zu
machen.

Kurz wie man recht einfach einen Switch dazu bringen kann, dass man auch
Pakete vom "Ziel" Host bekommt... einfach ein paar Arp Pakete mit der
"richtigen" MAC Adresse im Netz verschicken, und sofort bekommt man vom
Switch auch schon Pakete von der MAC Adresse. Einzelne Hersteller gehen da
ueblicherweise getrennte Wege, im allgemeinen funktioniert das aber so.

Passworter aus einem Protokoll zu filtern.. erledigt DSNIFF fuer folgende
Protokolle per Default:
FTP, Telnet, SMTP, HTTP,  POP, poppass, NNTP, IMAP, SNMP,  LDAP,  Rlogin,  
RIP,  OSPF,  PPTP  MS-CHAP,  NFS,  VRRP,  YP/NIS,  SOCKS,  X11,  CVS, IRC,
AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec
pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MS SQL


und mit ettercap kann man auch per default in geswitched Netzen mal a paar
Pakete mitschneiden:
(hier die Paket Beschreibung..)
ettercap - Multipurpose sniffer/interceptor/logger for switched LAN


Generell kann ich nur empfehlen, dass sich die verschiedenen Leute mal mit
den beiden Tools spielen.. es ist immer wieder nett zu sehen wie einfach es
ist gerade von POP oder IMAP Accounts, oder gar SSHv1 Kennwoerter zu klauen.
(ettercap kann recht einfach ne Man-In-The-Middle Attacke auf SSHv1 fahren)


Wenn tun wenn man nun wirklich das Netz sicherer machen will:

- SSH Keys der Hosts, statisch in
  /etc/ssh/ssh_known_hosts
  eintragen, und per default SSH auf paranoid setzen mit der Option:
    StrictHostKeyChecking im /etc/ssh/ssh_config
  das verhindert, dass jemand SSH leicht aushebelt.

- Zum Sniffen, hier kann man nur entweder total fanatisch sein, oder es
  gleich sein lassen, oder hoffen dass wenig auch viel hilft..
  + einfach ist es grundsaetzlich alle Kennwoerter nur ueber SSL/SSH
    weiterzugeben.
  + arpwatch kann eingesetzt werden, z.b. auch auf OpenWRT Teilen, um den
    Ueberblick zu behalten, welche Rechner im Netz was tun, und mit etwas
    Glueck erkennt man auch Angriffsversuche
  + die MAC Adressen der Clients am Server statisch eintragen hilft den
    Server vor ARP Spoofing zu schuetzen (ein Client "klaut" sich die IP
    Adresse eines anderen)
  + Wenn man kann, kann man am Switch die MAC Adressen der Clients fix
    eintragen, und den Switch verbieten dynamisch Clients im Netz zu
    zu zulassen. Das ganze ist aber mit recht grossen praktischen Problemen
    verbunden, z.b. debuggen wird damit zur Hoelle.
  + Was ich selbst leider noch nie versucht habe (steht aber auf meiner
    Liste), ist SWITCH-VLAN-RADIUS, das sollte erlauben, Clients erst dann
    eine Serververbindung zu geben, wenn diese sich am Radius Server mit
    authentifiziert haben.

- Wirklich beseitigt wird das Problem wenn man:
  + IPSEC, oder ein VPN im Netz einsetzt. Leider gibt es fuer beides keine
  "einfache" default Config die man einfach so auf die schnell im Netz mal
  installiert.

-- 
Florian Reitmeir
Reply to: