Re: Passwort aus X11-Traffic in einem geswitchten Netz

To: user@skolelinux.de
Subject: Re: Passwort aus X11-Traffic in einem geswitchten Netz
From: Florian Reitmeir <florian@reitmeir.org>
Date: Tue, 7 Mar 2006 10:30:40 +0100
Message-id: <[🔎] 20060307093040.GF11867@squat.noreply.org>
Mail-followup-to: user@skolelinux.de
In-reply-to: <[🔎] 20060307092729.GW12729@squat.noreply.org>
References: <[🔎] 200603061821.12032.m.herweg@gmx.de> <[🔎] 200603062219.10242.harald.poppek@t-online.de> <[🔎] 200603062358.50095.m.herweg@gmx.de> <[🔎] 20060306233126.GV12729@squat.noreply.org> <[🔎] 20060307071535.GM2934@gpm.stappers.nl> <[🔎] 20060307092729.GW12729@squat.noreply.org>

Nachtrag noch...

das Problem bei Skolelinux sind definitiv die ThinClients, normal
Worksstations arbeiten bei der Anmeldung ja mit LDAP, LDAP ist recht einfach
sicherer zu machen. (wobei ist nicht weiss ob Skolelinux LDAP via SSL
einsetzt, schande ueber mich..).

On Die, 07 Mär 2006, Florian Reitmeir wrote:

> On Die, 07 Mär 2006, Geert Stappers wrote:
> 
> > On Tue, Mar 07, 2006 at 12:31:26AM +0100, Florian Reitmeir wrote:
> > > Hallo,
> > > 
> > > On Mon, 06 Mär 2006, Martin Herweg wrote:
> > > 
> > > > Vorteil:
> > > > * mehr Sicherheit
> > > > 
> > > > Ich würde gerne mal mit eingenen Augen sehen, wie ein Schüler ein Passwort
> > > > aus dem X11-Traffic in einem geswitchten Netz herausfiltert - trivial ist das 
> > > > nicht.
> > > 
> > > doch.
> > > apt-cache search sniff
> > > ergibt bei mir 42 packes, von denen mindestens 10 das auf Anhieb koennen.
> > > (z.b. ethereal, ettercap, dsniff, ... )
> > 
> > Bitte erzähle mahl mehr.
> > Wenn die löcher bekannt sind, kann mann sie zumachen.
> 
> Das Problem ist ein Denkfehler
> 
> - es wird angenommen, dass geswitchte Netzwerke dazu dienen die Sicherheit zu
> 	erhoehen
> 
> Das ist Falsch. Der einzige Grund liegt darin, das Netzwerk effizienter zu
> machen.
> 
> Kurz wie man recht einfach einen Switch dazu bringen kann, dass man auch
> Pakete vom "Ziel" Host bekommt... einfach ein paar Arp Pakete mit der
> "richtigen" MAC Adresse im Netz verschicken, und sofort bekommt man vom
> Switch auch schon Pakete von der MAC Adresse. Einzelne Hersteller gehen da
> ueblicherweise getrennte Wege, im allgemeinen funktioniert das aber so.
> 
> Passworter aus einem Protokoll zu filtern.. erledigt DSNIFF fuer folgende
> Protokolle per Default:
> FTP, Telnet, SMTP, HTTP,  POP, poppass, NNTP, IMAP, SNMP,  LDAP,  Rlogin,  
> RIP,  OSPF,  PPTP  MS-CHAP,  NFS,  VRRP,  YP/NIS,  SOCKS,  X11,  CVS, IRC,
> AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec
> pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MS SQL
> 
> 
> und mit ettercap kann man auch per default in geswitched Netzen mal a paar
> Pakete mitschneiden:
> (hier die Paket Beschreibung..)
> ettercap - Multipurpose sniffer/interceptor/logger for switched LAN
> 
> 
> Generell kann ich nur empfehlen, dass sich die verschiedenen Leute mal mit
> den beiden Tools spielen.. es ist immer wieder nett zu sehen wie einfach es
> ist gerade von POP oder IMAP Accounts, oder gar SSHv1 Kennwoerter zu klauen.
> (ettercap kann recht einfach ne Man-In-The-Middle Attacke auf SSHv1 fahren)
> 
> 
> Wenn tun wenn man nun wirklich das Netz sicherer machen will:
> 
> - SSH Keys der Hosts, statisch in
>   /etc/ssh/ssh_known_hosts
>   eintragen, und per default SSH auf paranoid setzen mit der Option:
>     StrictHostKeyChecking im /etc/ssh/ssh_config
>   das verhindert, dass jemand SSH leicht aushebelt.
> 
> - Zum Sniffen, hier kann man nur entweder total fanatisch sein, oder es
>   gleich sein lassen, oder hoffen dass wenig auch viel hilft..
>   + einfach ist es grundsaetzlich alle Kennwoerter nur ueber SSL/SSH
>     weiterzugeben.
>   + arpwatch kann eingesetzt werden, z.b. auch auf OpenWRT Teilen, um den
>     Ueberblick zu behalten, welche Rechner im Netz was tun, und mit etwas
>     Glueck erkennt man auch Angriffsversuche
>   + die MAC Adressen der Clients am Server statisch eintragen hilft den
>     Server vor ARP Spoofing zu schuetzen (ein Client "klaut" sich die IP
>     Adresse eines anderen)
>   + Wenn man kann, kann man am Switch die MAC Adressen der Clients fix
>     eintragen, und den Switch verbieten dynamisch Clients im Netz zu
>     zu zulassen. Das ganze ist aber mit recht grossen praktischen Problemen
>     verbunden, z.b. debuggen wird damit zur Hoelle.
>   + Was ich selbst leider noch nie versucht habe (steht aber auf meiner
>     Liste), ist SWITCH-VLAN-RADIUS, das sollte erlauben, Clients erst dann
>     eine Serververbindung zu geben, wenn diese sich am Radius Server mit
>     authentifiziert haben.
> 
> - Wirklich beseitigt wird das Problem wenn man:
>   + IPSEC, oder ein VPN im Netz einsetzt. Leider gibt es fuer beides keine
>   "einfache" default Config die man einfach so auf die schnell im Netz mal
>   installiert.
> 
> -- 
> Florian Reitmeir
> --
> User mailing list User@skolelinux.de
> subscribe/unsubscribe: https://www.skolelinux.de/mailman/listinfo/user mailing list
> Bitte beachten:
> http://www.skolelinux.de/wiki/MailingListe
> 

-- 
Florian Reitmeir

Reply to:

References:
- lts.conf
  - From: Martin Herweg <m.herweg@gmx.de>
- Re: lts.conf
  - From: Harald Poppek <harald.poppek@t-online.de>
- LDM
  - From: Martin Herweg <m.herweg@gmx.de>
- Re: LDM
  - From: Florian Reitmeir <florian@reitmeir.org>
- Re: Passwort aus X11-Traffic in einem geswitchten Netz
  - From: stappers@stappers.nl (Geert Stappers)
- Re: Passwort aus X11-Traffic in einem geswitchten Netz
  - From: Florian Reitmeir <florian@reitmeir.org>

Prev by Date: Re: Passwort aus X11-Traffic in einem geswitchten Netz
Next by Date: Re: (no subject)
Previous by thread: Re: Passwort aus X11-Traffic in einem geswitchten Netz
Next by thread: Re: Passwort aus X11-Traffic in einem geswitchten Netz
Index(es):
- Date
- Thread