 |
|
|
|
| Autor |
Nachricht |
questi
Anmeldungsdatum: 18.05.2005
Beiträge: 59
|
 Verfasst am:
So 19 Aug, 2007 22:11 |
  |
|
Wie im Titel genannt, habe ich kürzlich das oben genannte Tool getestet.
Ohne Übertreibung muss ich zugeben, dass ich sehr entsetzt war, was man alles mit diesem mächtigen Progamm machen kann und vor allem, wie einfach es zu bedienen ist.
Alle POP3 und div. HTTP, ICQ, SNMP, VNC, IMAP, FTP Kennwörter beliebiger Rechner im Netzwerk können innerhalb von Minuten im Klartext angezeigt werden, VoIP Gespräche können aufgezeichnet und somit abgehört werden, u.s.w.
Mir muss niemand erzählen, dass dieses Programm nicht eingesetzt werden darf, mich interessiert lediglich, wie man sich schützen kann bzw. welche Sicherheitsmaßnahmen man ergreifen kann, damit nicht das ganze Netzwerk samt geführter VoIP Gespräche ausspioniert wird und ob man mit dem Lancom div. Vorsichtsmaßnahmen treffen kann, damit dieses Programm nicht erfolgreich arbeitet.
Über Anworten wäre ich sehr dankbar und ich bin sicher, dass dieses Thema jeden Interessiert, der ein Netzwerk betreut und die Fähigkeiten dieses Programms kennt.
Grüße
questi |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mo 20 Aug, 2007 15:20 |
|
|
Ich weis zwar nicht, was das hier bei Lancom zu suchen hat, aber wie immer gilt "verschlüsseln" |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
questi
Anmeldungsdatum: 18.05.2005
Beiträge: 59
|
| Verfasst am:
Mo 20 Aug, 2007 16:38 |
|
|
Wo sonst, wenn nicht hier im Lancom Forum / Thema Firewall.
Hier setzen einige die Lancom ein um Ihre Netze zu schützen und mit dem oben genannten Proggi kann man dennoch Dummheiten machen.
Was nützt eine Deny All Regel oder sonstiger Firlefanz, wenn man im LAN jeden Rechner belauschen und alle Passwörter im Klartext auslesen kann.
Dein Tipp mit dem "verschlüsseln" ist sehr hilfreich und löst alle Probleme. DANKE!
Wenn Du mir noch verraten könntest, wo und wie man das "verschlüsseln" einrichtet und was genau Du damit meinst, wäre ich Dir sehr verbunden.  |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mo 20 Aug, 2007 17:05 |
|
|
LOL - Das ist aber kein Lancom spezifisches Problem, sondern ein generelles Problem und passiert ebenso mit allen anderen Routern - Deswegen hat es hier nichts im Board zu suchen, weil Off Topic!
Was wird wohl mit verschlüsseln gemeint sein?
- Anstelle POP3 -> POP3S (also mit SSL)
- Anstelle SMTP -> SMTPS (also mit SSL)
- Anstelle HTTP - > HTTPS (also mit SSL)
- Anstelle IMAP -> IMAPS (also mit SSL)
- Anstelle FTP -> FTPS (also mit SSL) oder besser gleich SSH!
- VNC gibt es auch mit Verschlüsselung (TightVNC) oder alternativ VNC auch nur per HTTPS
- Tjo und ICQ wird wohl nix verschlüsseln - also nicht benutzen!
Genrell gilt: Wer in einem Netzwerk sensitive Daten unverschlüsselt überträgt ist selbst schuld - und diese Weisheit ist so alt, daß der Bart schon einmal um den Äquator reicht...
Gruß
COMCARGRU,
der sich darüber wundert wie jemand aus unverschlüsselt übertragenen Daten einen Zusammenhang mit einer Deny_All Regel eines Routers konstruiert. Zumal sich Lancom Anwender ob des üblichen Einsatzbereiches dieses Problems wohl bewußt sind und trotzdem oder gerade deswegen zu Lancom greifen... |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
mhe
Anmeldungsdatum: 11.10.2006
Beiträge: 71
Wohnort: Zürich
|
| Verfasst am:
Mo 20 Aug, 2007 17:11 |
|
|
In einem geswitchten LAN solltest du eigentlich gar nicht an solche Daten (ausser die eigenen oder du sitzt auf einem Server) kommen... Brauchst du noch mehr security würde ich mir mal antisniff und/oder 802.1x ansehen...
martin |
|
|
|
|
questi
Anmeldungsdatum: 18.05.2005
Beiträge: 59
|
| Verfasst am:
Mo 20 Aug, 2007 18:33 |
|
|
@mhe: Danke für die Antwort. Die war wenigstens nicht so gelangweilt wie die von COMCARGRU.  Werde mir mal die Programm ansehen.
Meine Überlegung war aber auch, ob man das nicht mit dem LANCOM beschränken kann. So wie ich das gelesen habe kann man mit "ARP" irgendetwas einstellen, sodass das Programm nicht funktioniert.
@COMCARGRU: Danke auch für Deine Antwort. Du hast wahrscheinlich deutlich mehr Plan als ich (merkt man an den belustigten Antworten).
Deine Auflistung ist zwar sehr Interessant, nur hilft mir das auch nicht weiter, da meine EMails dennoch per POP3 angerufen werden und ich das auch nicht ohne weiteres ändern (bzw. mich erstmal belesen muss, wie man das macht und ob es mein Provider und EMail unterstützt) kann und auch nicht jede Webseite automatisch HTTPS statt HTTP verwendet u.s.w.
Es geht auch nicht nur um meinen Rechner, sondern die anderen in meinem (kleinen bescheidenen) Netzwerk. Denn nicht jeder Ottonormaluser in meinem Netzwerk nutzt ausschliesslich verschlüsselten Datenverkehr.
Leider bin ich nicht seit 10 jahren Admin von (fetten?) Netzwerken. Weshalb mir sicher das eine oder andere Verständnis fehlt div. kurz gehaltene Antworten zu interpretieren. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 20 Aug, 2007 19:11 |
|
|
Hi questi,
| Zitat:
|
|
Meine Überlegung war aber auch, ob man das nicht mit dem LANCOM beschränken kann. So wie ich das gelesen habe kann man mit "ARP" irgendetwas einstellen, sodass das Programm nicht funktioniert.
|
Gegen ARP-Spoofing im lokalen Netz kann man sich letztendlich nicht schützen, es sei denn, man macht in allen Rechnern im Netz statische ARP-Einträge für alle Rechner im Netz - aber selbst dann ist man nicht sicher:
Wenn das Netz nur mit Hubs ausgerüstet ist, sieht jeder Rechner *alle* Pakete im Netz... Und selbst ein geswitchtes Netz bietet keinen Schutz: Der Angreifer muß nur die MAC-Tabellen der Switches fluten und schon wird aus jedem Switch ein Hub...
Gruß
Backslash |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mo 20 Aug, 2007 19:19 |
|
|
Hiho,
wird ja immer besser hier! Wie du leicht anhand meines ersten Posts hättest ableiten können, bist du mit dieser Frage:
| Zitat:
|
|
Meine Überlegung war aber auch, ob man das nicht mit dem LANCOM beschränken kann. So wie ich das gelesen habe kann man mit "ARP" irgendetwas einstellen, sodass das Programm nicht funktioniert.
|
hier falsch, weil es nichts mit dem Router zu hat! - Daher kann auch keine Konfiguration eines Lancoms (oder irgendeines anderen Routers) bei der Lösung helfen. Und daher ist das hier alles reichlich OT.
Es liegt einzig an der Konfiguration deiner Software die du benutzt. Und wenn dein Mailprovider kein SSL anbietet, dann wechsle den Provider. Wenn deine Webshops in denen du kaufst kein HTTPS anbieten, dann kaufe dort nicht länger...
Das braucht keine langen Antworten: In dem Satz
| Zitat:
|
|
Ich weis zwar nicht, was das hier bei Lancom zu suchen hat, aber wie immer gilt "verschlüsseln"
|
ist alles Relevante enthalten!
1) Es hat nichts mit dem (Lancom-)Router zu tun
2) Durch Verschlüsselung wird das Problem gelöst.
Soll ich die Antwort noch in Puderzucker packen damit es dir angehmer wird? An der Kernaussage ändert sich trotzdem nichts, diese geht nach wie vor vollständig auf deinen Post ein. Der Ball liegt nun wieder bei dir oder anders gesagt RTFM (Netzwerkgrundlagen -> z.B. Wikipedia).
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
questi
Anmeldungsdatum: 18.05.2005
Beiträge: 59
|
| Verfasst am:
Mo 20 Aug, 2007 20:02 |
|
|
@backslash: Danke auch für Deine Antwort. Klingt ja nicht gerade so, als könnte man was machen. Obwohl COMCARGRU da anders argumentiert.
@COMCARGRU: Selbst wenn Du Dich im Forum einloggst, kann jeder in Deinem LAN die PWs auslesen. Von daher staune ich, dass Du Dich hier "unverschlüsselt" einloggst. Ob das sicher ist?! 
Deine 3 Antworten haben sich bis jetzt ja auch nur auf RTFM und "es hat nichts mit Lancom zu tun" & "Du musst verschlüsseln" beschränkt und helfen von daher leider garnicht weiter.
Das das Verschlüsseln garnicht so einfach möglich ist, siehst Du ja am Login vom Forum und div. anderen Seiten.
Interessanter wird es noch, wenn das Netzwerk von anderen genutzt wird, die nicht immer darauf achten, ob da nun was verschlüsselt übertragen wird.
Denn nicht jeder ist ADMIN. Mir ging es darum, ob es eine Möglichkeit gibt, auch diese User zu schützen ohne ihnen lange Vorträge zu halten oder Links zu Wikipedia zu schicken, oder dicke Manuals auf den Tisch zu schmeissen, ala RTFM, so wie Du es hier bei mir machst....
Die Antworten der anderen waren in dieser Hinsicht hilfreicher.....
Schau Dir einfach mal das Tool an und sieh mal nach, bei wie viel Webseiten (es geht ja nicht nur um Shops) kein HTTPS genutzt wird und was so alles über dein "verschlüsseltes" Lan wandert..... |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mo 20 Aug, 2007 21:02 |
|
|
Au ja dieses Forum ist zwar relativ wichtig für mich, nur bitte schön was will jemand mit meinem Paßwort für dieses Forum?
Er könnte hier allenfalls in meinem Namen fiese Kommentare schreiben und versuchen mich in Misskredit zu bringen.
Eine Mail an Stefan und ggf. eine paar Tests werden dann schon Klarheit reinbringen - und weiter?
Dieses Paßwort ist hier also ganz doll schützenswert... - Und ja ich verwende für alles unterschiedliche Paßwörter und nein bei kritischen Dingen bin ich da schon erheblich vorsichtiger...
Du machst hier einen Wind bei einem Thema, von dem du nichts weist, aber hinter jeder Ecke eine Bedrohung vermutest - scheinen ja ganz doll vertrauenswürdige Anwender in deinem Netzwerk aktiv zu sein -> da würde ich mal anfangen 
---
Und Backslash's Antwort hat doch mit meinen gar nichts zu tun. Er hat doch nur auf mhe geantwortet, weil dessen Post so fehlinterpretiert werden könnte, daß man in geswitchten Netzen nur extrem aufwändig etwas mitsniffen kann. Also ist deine Antwort auf seine auch schon wieder interessant.
So meinen üblichen Standard-Kommentar an dieser Stelle verkneif ich mir jetzt... |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
questi
Anmeldungsdatum: 18.05.2005
Beiträge: 59
|
| Verfasst am:
Mo 20 Aug, 2007 21:22 |
|
|
| COMCARGRU hat folgendes geschrieben:
|
|
.... - scheinen ja ganz doll vertrauenswürdige Anwender in deinem Netzwerk aktiv zu sein -> da würde ich mal anfangen
|
Natürlich habe ich nur vertrauenswürdige Anwender in meinem Netzwerk.
Mich hat nur beunruhigt, dass es ohne weiteres möglich ist, div. Dinge in einem nennen wir es mal "Heimnetzwerk" auszulesen ohne dass man (ich in diesem Fall) die User schützen kann, die sich nicht schon selbst mit unterschiedlichen Passwörtern (Bsp. Lancom Forum vs. ebay.de) und SSH u.s.w. schützen. Denn das tun sicher die wenigsten. (leider).
Paranoid bin ich allerdings auch nicht und ich vermute auch nicht hinter jeder Ecke eine Bedrohung.
| Zitat:
|
|
Du machst hier einen Wind bei einem Thema, von dem du nichts weist, ...
|
Gerade deswegen Poste ich ja hier......
Wenn ich alles wüsste könnte ich mir diese Beiträge und Deine Antworten ersparen.
Wenn Du Aufgrund Deines umfangreichen Wissens von meinen Fragen gelangweilt bist, dann antworte doch einfach nicht.... |
|
|
|
|
gm
Anmeldungsdatum: 21.10.2006
Beiträge: 300
Wohnort: Großkonreuth
|
| Verfasst am:
Mo 20 Aug, 2007 21:39 |
|
|
Hallo,
mhe schrieb:
| Zitat:
|
|
In einem geswitchten LAN solltest du eigentlich gar nicht an solche Daten (ausser die eigenen oder du sitzt auf einem Server) kommen...
|
Bei ARP-Spoofing hilft nichtmal das. Wenn Du Dein lokales Netzwerk, in dem scheinbar mehrere User drin sind, dichtbringen willst, führt kein Weg an massiver Verschlüsselung vorbei. Die LANCOM-Router bieten z.B. IPSEC-Verbindungen an, die im LAN schon einiges bringen sollte. Von LANCOM gibt es auch spzielle VPN-Gateways wenn es etwas mehr User (> 25) sein sollten...
Für alles was dann WAN-Seitig kommt gilt das von COMCARGRU: SSL, SSH, etc.
Gruß gm
[/quote] |
|
|
 |
|
questi
Anmeldungsdatum: 18.05.2005
Beiträge: 59
|
| Verfasst am:
Mo 20 Aug, 2007 21:55 |
|
|
@gm: Das klingt ja schon mal vernünftig.
Ich wusste garnicht, dass IPSEC auch im LAN verfügbar bzw. nutzbar ist.
Wenn dem so ist, dann ist mein Thema auch garnicht so OffTopic, wie COMCARGRU schreibt und es wäre ein Lösungsansatz.
Werde dem mal nachgehen und mich belesen, wie man IPSEC auch im LAN nutzen kann. Besten Dank für den Tipp. |
|
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Mo 20 Aug, 2007 23:00 |
|
|
3com zb. hat in der "guten alten" zeit sogar mal lankarten mit co-cpu verkauft die konnten 100mbit DES ... so was das lan sicher
PS: ich habe gerade rausgefunden die gibts immer noch )))))
aber so was schuetzt nur vor aushorchen ... eine DoS kannste damit nicht verhindern .... drin ist drin ... im lan ... es seit denn treibs eine Port basierte Anmeldung mit allen Funktionen .... NAP laesst gruessen ... |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
  |
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Di 21 Aug, 2007 00:10 |
|
|
Tach,
| Zitat:
|
|
Wenn Du Aufgrund Deines umfangreichen Wissens von meinen Fragen gelangweilt bist, dann antworte doch einfach nicht....
|
jo ich sagte ja du bist hier Offtopic! - Das sollte ja genau den Zermon hier verhindern.
... Aber wo wir schon mal dabei sind:
| Zitat:
|
Ich wusste garnicht, dass IPSEC auch im LAN verfügbar bzw. nutzbar ist.
Wenn dem so ist, dann ist mein Thema auch garnicht so OffTopic, wie COMCARGRU schreibt und es wäre ein Lösungsansatz.
|
Ja klar! - Genau bis zum Router - oder willst du mit IPSec in die Welt hinaus? Wenn dann alle Webserver und Co. für dich ne IPSec-Gegenstelle eingerichtet haben, freue ich mich von dir zu hören.
Was das interne LAN betrifft: Ein Netzwerk hat man im allgemeinen deshalb, weil die Systeme miteinander vernetzt werden sollen - da die Systeme also irgendwie kommunizieren müssen kann man auch sniffen! Ein solches IPSec schützt somit u.a. nur vor fremden Computern im eigenen Netz, welche die Verschlüsselungscodes nicht haben.
Wenn du nur die PCs separieren willst -> VLANs! oder spezielle IP Bereiche.
Aber schlußendlich wirst du immer wieder auf SSL zurückkommen, da nur damit deine Paßwörter vom Beginn der Strecke bis zum Endpunkt der Strecke verschlüsselt sind. Eine andere - Netzwerke übergreifende - Technik ist da nicht. Also sind wir wieder bei meinem zweiten Post - ne andere Wahl hast du nicht.
Und dann lauschen immer noch die ganzen Trojaner auf deinem PC und teilen doch wieder allen deine Paßwörter mit...
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
|
|
|
|
| |
|
|
