WinFuture-Forum.de: Sniffing in Netzwerken - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
Seite 1 von 1

Sniffing in Netzwerken

#1 Mitglied ist offline   Sworddragon 

  • Gruppe: aktive Mitglieder
  • Beiträge: 22
  • Beigetreten: 23. November 12
  • Reputation: 0

geschrieben 23. November 2012 - 01:06

In meinem Netzwerk befindet sich ein Rechner mit Ubuntu und ein Laptop mit Windows XP. Beide sind direkt an einen Router angeschlossen.

Da ich eine leicht paranoide Neigung zur Sicherheit habe, möchte ich, dass niemand im Netzwerk meine Daten mitlesen kann. Als erstes benutze ich auf meinen Rechner einen statischen Eintrag in der ARP-Tabelle für den Router, damit ein potentieller Angreifer mir nicht seine MAC-Adresse für die Router-IP mitteilen kann, um einen Man-in-the-middle - Angriff durchzuführen.

Allerdings sind Netzwerke nicht mein Spezialgebiet und eventuell ergeben sich noch andere Angriffsmöglichkeiten. Vor ein paar Tagen habe ich mal ein paar Tests durchgeführt. Wenn beide Rechner die gleiche IP im Netzwerk benutzen, kann nur einer von beiden die Daten empfangen (Rechner A). Wenn aber Rechner B jetzt auch Daten ins Internet sendet, bekommt die Rückantwort dazu Rechner A und Rechner B wartet ewig auf die Antwort. Wenn ich das richtig interpretiere könnte sich damit folgendes Beispiel ergeben:

Der Angreifer fährt seinen Rechner zuerst hoch und meldet sich mit der IP 192.168.1.2 am Router an, damit er die Antworten für diese Adresse über den Router zurückbekommt. Nun fährt das Opfer seinen Rechner hoch, welcher auch die IP 192.168.1.2 hat. Das Opfer startet eine lokale Anwendung und gibt dort seinen Benutzernamen und Passwort ein, welche dann über den Router ins Internet geschickt werden. Allerdings bekommt nun der Angreifer die Antwort, welche unter Umständen sensible Daten enthalten kann.

Mir fallen auch noch andere Theorien zu dem Thema ein. Zum Beispiel was passiert, wenn der Angreifer vortäuscht der Router zu sein? Ich werde mir erstmal ein weiteres Netzwerkkabel besorgen, damit ich das mal alles mit meinen eigenen Rechner und Laptop (beide Linux) testen kann. Aber vielleicht kann mir ja schon jemand sagen, wie ich die Sniffing-Probleme am besten lösen kann.

Dieser Beitrag wurde von Sworddragon bearbeitet: 23. November 2012 - 01:11

0

Anzeige

#2 Mitglied ist offline   sкavєи 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.453
  • Beigetreten: 20. Juli 04
  • Reputation: 57

geschrieben 23. November 2012 - 10:49

OK, das klingt wirklich paranoid. Aber da kann man trotzdem helfen:

ARP-Spoofing:
- Statische ARP-Tabellen konigurieren und ARP reply in der Firewall jedes Hosts (inklusive Router) blocken, sollte Abhulfe schaffen.
IP-Spoofing:
- Statische (Host-)Routen konfigurieren.
DNS-Spoofing:
- hosts-Datei anlegen und entsprechend pflegen und DNS response für das lokale Netz nicht annehmen.
- Alternativ DNSSec

Ansonsten immer Bedenken Sicherheit fängt beim Türschloss an. Wenn der Angreifer physischen Zugriff auf das System (das Netzwerk) hat, hast du verloren.
Ansonsten halt zu solchen Mitteln wie EAP-Authentifizierung für Ethernet greifen. Das muss deine Netzwerkhardware (Router) dann allerdings unterstützen.
Eingefügtes Bild
Eingefügtes Bild
1

#3 Mitglied ist offline   Kirill 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.987
  • Beigetreten: 04. Dezember 06
  • Reputation: 57

geschrieben 23. November 2012 - 12:11

Also... Wenn du irgendeinem Rechner in deinem LAN nicht vertrauen kannst, ist Polen bereits offen und du kannst gleich einpacken.
Wenn du also wirklich paranoid bist, lass das LAN gleich sein, es gibt auch Mehrfachmodems, die die PCs also mit dem Internet verbinden aber erst gar nicht miteinander. Problem gelöst.
Most rethrashing{
DiskCache=AllocateMemory(GetTotalAmountOfAvailableMemory);}
1

#4 Mitglied ist offline   Sworddragon 

  • Gruppe: aktive Mitglieder
  • Beiträge: 22
  • Beigetreten: 23. November 12
  • Reputation: 0

geschrieben 23. November 2012 - 12:30

Beitrag anzeigenZitat (sкavєи: 23. November 2012 - 10:49)

ARP-Spoofing:
- Statische ARP-Tabellen konigurieren und ARP reply in der Firewall jedes Hosts (inklusive Router) blocken, sollte Abhulfe schaffen.


Der Router ist nur ein Alice IAD 3221, da kann man nicht wirklich viel konfigurieren.


Beitrag anzeigenZitat (sкavєи: 23. November 2012 - 10:49)

IP-Spoofing:
- Statische (Host-)Routen konfigurieren.
DNS-Spoofing:
- hosts-Datei anlegen und entsprechend pflegen und DNS response für das lokale Netz nicht annehmen.
- Alternativ DNSSec


Kannst du mir ein Beispiel nennen, wir der Angreifer bei meinem Netzwerkaufbau damit Unsinn machen kann?


Beitrag anzeigenZitat (sкavєи: 23. November 2012 - 10:49)

Ansonsten immer Bedenken Sicherheit fängt beim Türschloss an. Wenn der Angreifer physischen Zugriff auf das System (das Netzwerk) hat, hast du verloren.
Ansonsten halt zu solchen Mitteln wie EAP-Authentifizierung für Ethernet greifen. Das muss deine Netzwerkhardware (Router) dann allerdings unterstützen.


Der einfachste Weg wäre wohl, wenn der Angreifer einfach alle Daten hinter dem Router abfängt. Dabei muss man aber bedenken, dass es eine unterschiedliche Hemschwelle gibt. Es ist verlockender, Daten einfach unbemerkt mitzulesen, was vielleicht sogar noch durch bestimmte Tools recht einfach und gemütlich von der Couch aus geht, als physisch in der Wohnung ein Gerät zu installieren, mit dem man auffliegen könnte.

Ansonsten habe ich mir mal noch ein paar Gedanken gemacht und sehe folgende Angriffsmöglichkeiten:

  • Der Angreifer hat die selbe IP und MAC-Adresse vom Router, damit er eventuell alle Daten empfängt.
  • Der Angreifer täuscht meine Identität zuerst im Netzwerk vor, damit er die Rückantworten bekommt. Eventuell kann er dann sogar die Daten zu mir weiterleiten, um einen Man-in-the-middle - Angriff durchzuführen.
  • Der Angreifer antwortet nachträglich einfach auf die Anforderunmg des Routers, wenn dieser die MAC-Adresse von meiner IP wissen möchte (zum Beispiel, weil mein Netzwerkverkehr zum Router länger inaktiv war).
  • Der Angreifer füllt den Speicher vom Router so lange mit MAC-Adressen, bis dieser im Hub-Modus läuft.


Beim 1. Punkt weiß ich nicht, ob das überhaupt so einfach möglich ist, wenn 2 Netzwerkteilnehmer gleichzeitig die selbe Identität haben. Falls ja, würde theoretisch der statische ARP-Eintrag für den Router nichts bringen.
Punkt 2 könnte ich eventuell vorbeugen, indem ich beim Hochfahren des Rechners einfach automatisiert prüfe, ob ich erfolgreich eine Rückantwort vom Router bekomme, um sicherzugehen, dass meine MAC-Adresse auch am richtigen Router-Port registriert wurde.
Punkt 3 müsste ich theoretisch umgehen können, wenn ich dann jede Sekunde einfach ein Datenpaket zum Router sende, damit er meine Zuweisung am Port nicht deregistriert und somit keine neue Anfrage senden muss, welche MAC-Adresse meine IP hat, die dann somit auch kein Angreifer abfangen kann.
Bei Punkt 4 habe ich allerdings keine Idee, wie ich das lösen könnte.
0

#5 Mitglied ist offline   dnr 

  • Gruppe: aktive Mitglieder
  • Beiträge: 630
  • Beigetreten: 06. Januar 10
  • Reputation: 60

geschrieben 23. November 2012 - 12:54

wir reden hier von einem privatem Netzwerk, ja? Nicht von einem hochsicherheits-was-weiß-ich-wat, ja?
Wenn Ersteres der Fall ist... bist du wirklich abnormal paranoid... sry, aber "so tolle" Daten kannst Du nicht haben dass sich irgendwer die Mühe machen würde... usw. ...
0

#6 Mitglied ist offline   sкavєи 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.453
  • Beigetreten: 20. Juli 04
  • Reputation: 57

geschrieben 23. November 2012 - 19:51

Beitrag anzeigenZitat (Sworddragon: 23. November 2012 - 12:30)

Der Router ist nur ein Alice IAD 3221, da kann man nicht wirklich viel konfigurieren.
OK. Vergiss alles! Mit dem Scheißteil kannst du nicht einmal ein anständig FUNKTIONIERENDES Netzwerk aufbauen. Ich habe den gleichen Schrott hier.
selbst wenn die Optionen noch freigeschaltet wären (was sie aber seit dem letzten Firmware-Update nicht mehr sind) kann man mit dem Mist keine sichere Netzwerkkonfiguration gewährleisten, da du nicht weißt was da drin abläuft und was o2 da gerade per Fernwartung dran macht.

Dieser Beitrag wurde von sкavєи bearbeitet: 23. November 2012 - 20:05

Eingefügtes Bild
Eingefügtes Bild
0

#7 Mitglied ist offline   Sworddragon 

  • Gruppe: aktive Mitglieder
  • Beiträge: 22
  • Beigetreten: 23. November 12
  • Reputation: 0

geschrieben 23. November 2012 - 21:53

Beitrag anzeigenZitat (dnr: 23. November 2012 - 12:54)

wir reden hier von einem privatem Netzwerk, ja? Nicht von einem hochsicherheits-was-weiß-ich-wat, ja?
Wenn Ersteres der Fall ist... bist du wirklich abnormal paranoid... sry, aber "so tolle" Daten kannst Du nicht haben dass sich irgendwer die Mühe machen würde... usw. ...


Ja, es ist ein privates Netzwerk. Das ist aber kein Grund, sich nicht mit der Netzwerksicherheit auseinander zu setzen.


Beitrag anzeigenZitat (sкavєи: 23. November 2012 - 19:51)

OK. Vergiss alles! Mit dem Scheißteil kannst du nicht einmal ein anständig FUNKTIONIERENDES Netzwerk aufbauen. Ich habe den gleichen Schrott hier.
selbst wenn die Optionen noch freigeschaltet wären (was sie aber seit dem letzten Firmware-Update nicht mehr sind) kann man mit dem Mist keine sichere Netzwerkkonfiguration gewährleisten, da du nicht weißt was da drin abläuft und was o2 da gerade per Fernwartung dran macht.


Diese Router sind extrem eingeschränkt. Es gibt zwar ein paar versteckte Seiten, aber das ist nicht alles so wirklich das Wahre. Vor kurzem hatte ich noch einen Alice IAD 3222, aber der wurde ausgetauscht, da er defekt war. Er hat nämlich DNS-Anfragen (IPv6) beim ersten Versuch nicht beantwortet, was ein Timeout des Betriebssystems zur Folge hatte. Erst beim 2. Versuch kam die Antwort.

Diese beiden Modelle lassen sogar Befehle ohne Authentifizierng zu: Da man regulär die Zwangstrennung nicht einstellen kann (eventuell geht es ja mit einer versteckten Seite) habe ich mir ein eigenes Script geschrieben, was eine Zwangstrennung anfordert (welche dann zum Systemstart und mit cron zeitgesteuert ausgeführt wird). Allerdings fand ich mal heraus, wenn man ein Passwort für den Router eingerichtet hat, benötigt man es dennoch nicht. Ein Angreifer könnte also womöglich den Router beliebig konfigurieren, selbst wenn er "passwortgeschützt" wäre.

Ich habe mir vor ein paar Jahren mal eine Fritz!Box geholt, damit lief auch der Internetanschluss ohne Probleme. Lediglich VoIP bekam ich nicht eingerichtet. Über Google fand ich heraus, dass man wohl spezielle Zugangsdaten dafür braucht, welche vom Alice-Support aber nicht rausgegeben werden. Ich glaube eine Alternative war die Zugangsdaten direkt aus dem Router von Alice auszulesen, was mir aber damals zu aufwändig war.


Aber zurück zum eigentlichen Thema: Ich habe mir mal das Cache Poisoning für DNS auf Wikipedia angeguckt. Als Vorkehrung habe ich dann mit iptables die Kommunikation zum lokalen Netzwerk blockiert, außer für den Router.

Meine iptables-Konfiguration sieht jetzt so aus:

/etc/network/if-pre-up.d/iptables_generic:

#!/bin/bash -eu

typeset -A rule

rule[${#rule[@]}]='-A INPUT -i lo -j ACCEPT'
rule[${#rule[@]}]='-A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED'
rule[${#rule[@]}]='-A OUTPUT -d 10.0.0.0/8 -j DROP'
rule[${#rule[@]}]='-A OUTPUT -d 172.16.0.0/12 -j DROP'
rule[${#rule[@]}]='-A OUTPUT -d 192.168.0.0/16 -j DROP'
rule[${#rule[@]}]='-P FORWARD DROP'
rule[${#rule[@]}]='-P INPUT DROP'
for rule in "${rule[@]}"
do
	iptables -C ${rule:3} > /dev/null 2>&1 || iptables $rule
done



/etc/network/if-up.d/iptables_generic:

#!/bin/bash -eu

typeset -A rule

for interface in $(ifconfig | grep -P '^eth\d*?\s' | awk '{print $1}')
do
	rule[${#rule[@]}]='-I OUTPUT -d '"$(tmp="$(ip route show | grep -E ' dev '"$interface"' ')"; echo "${tmp#* src }")"' -j ACCEPT -o '"$interface"
	rule[${#rule[@]}]='-I OUTPUT -d '"$(tmp="$(ip route show | grep -E '^default.*?'"$interface"'\s$')"; tmp="${tmp#default via }"; echo "${tmp% dev *}")"' -j ACCEPT -o '"$interface"
done
for rule in "${rule[@]}"
do
	iptables -C ${rule:3} > /dev/null 2>&1 || iptables $rule
done



Ich blocke also alle Verbindungen von außen, mit Ausnahme von denen, die durch eine Anforderung von mir entstanden sind (sonst könnte ich ja nichtmal eine Webseite aufrufen). Zusätzlich werden noch alle privaten Netzwerkadressen blockiert und zwar so, dass ich nicht mit ihnen kommunizieren kann (womit man mich mit einen manipulierten DNS-Eintarg nicht über einen anderen Rechner im eigenen Netzwerk leiten kann), lediglich am Ende wird meine eigene Adresse und das Gateway für die Netzwerkkarte freigegeben. Vielleicht hat ja jemand ein paar Verbesserungsvorschläge.


Zusätzlich habe ich mir heute bei Amazon ein Netzwerkkabel bestellt, welches dann wohl nächste Woche da ist. Da kann ich dann mal gründlicher testen, wie man die Daten mitsniffen kann, damit ich mir weitere Gegenmaßnahmen überlegen und ausprobieren kann.

Dieser Beitrag wurde von Sworddragon bearbeitet: 23. November 2012 - 23:08

0

#8 Mitglied ist offline   dnr 

  • Gruppe: aktive Mitglieder
  • Beiträge: 630
  • Beigetreten: 06. Januar 10
  • Reputation: 60

geschrieben 23. November 2012 - 22:06

Beitrag anzeigenZitat (Sworddragon: 23. November 2012 - 21:53)

Ja, es ist ein privates Netzwerk. Das ist aber kein Grund, sich nicht mit der Netzwerksicherheit auseinander zu setzen.


ich würd dann mal als allererstes mit nem gescheitem Router/Hardware anfangen....
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0