 |
|
|
|
| Autor |
Nachricht |
gm
Anmeldungsdatum: 21.10.2006
Beiträge: 300
Wohnort: Großkonreuth
|
 Verfasst am:
Di 21 Aug, 2007 01:11 |
  |
|
Hi,
langewiesche schrieb:
| Zitat:
|
|
...hat in der "guten alten" zeit...
|
...ja die gute alte Zeit, seufz... 
@questi:
Bitte verstehe mich nicht falsch: Habe extra geschrieben, daß die IPSEC-Sache nur im privaten LAN etwas schützt (wenn z.B. nicht vertrauenswürdige Rechner herumgeistern) und WAN-Seitig, also im Internet es eigentlich nur die Möglichkeiten gibt, die COMCARGRU aufgelistet hat. VLAN's sind auch eine Idee, aber da brauchst halt Hardware, die mitspielt (Switch, Router, AP's, etc.) und es bringt nur wieder lokal etwas. Mach dir vielleicht auch sorgen um falsch konfigurierte DSLAM's bei den Proviedern, die deine an diesem Punkt bei HTTP, POP, etc. unverschlüsselten Daten wie ein HUB an alle weiterleiten, die am selben DSLAM angeschlossen sind (siehe eine der letzten c't-Ausgaben) - du siehst, Sicherheit bringt nur was wenn sie von Anfang bis zum Ende geht und die ganze Strecke einschließt. Da ist Beispielsweise SSL eine gute Sache, da du über das Zertifikat des Servers sogar feststellen kannst, ob es der Originalserver ist und nicht irgend ein Fakeserver, den dir ein gehackter DNS untergeschoben hat...
Wenn du solche Sicherheitsbedenken hast, wäre es sicher am Besten einfach das Kabel zu ziehen. Selbst dann werden gewisse staatliche Geheimorganisationen mit drei Buchstaben (such dir deine Lieblinge von hier oder Übersee aus) noch eine Möglichkeit haben z.B. das Bild vom Monitor über dessen elektromagnetische Abstrahlung in mehreren hundert Metern Entfernung abzufangen. Funktastaturen sind natürlich auch übel übel...
Aber ich glaub COMCARGRU hat recht, dass solche Verschwörungstheorieren nicht in dieses Forum gehören, da gibt's andere dafür...
gute n8
gm |
|
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
mhe
Anmeldungsdatum: 11.10.2006
Beiträge: 71
Wohnort: Zürich
|
| Verfasst am:
Di 21 Aug, 2007 09:28 |
|
|
|
|
|
gm
Anmeldungsdatum: 21.10.2006
Beiträge: 300
Wohnort: Großkonreuth
|
| Verfasst am:
Mi 22 Aug, 2007 21:29 |
|
|
Hi mhe,
das Teil ist ein Switch, der (leider) dem Trend, den Cisco eingeläutet hat, folgt und Sachen in den Switch einbaut, die dort nicht unbedingt hingehören. Außerdem kostet das Ding über das 10fache vom teuersten LANCOM-Router! Du vergleichst hier Kirschen mit Äpfel.
Bezogen auf die Sicherheit kann das Teil aber auch nicht mehr als die LANCOM's leisten. Gut der Virenscanner auf dem Switch ist vielleicht ein (nutzloses) Feature, das das Ding hat und der LANCOM nicht - aber wer braucht das? Verlassen kann man sich nicht drauf, denn wenn z.B. der Virus über eine HTTPS-Verbindung kommt, bringt das gar nix. Was soll es dann bringen, außer dem Hersteller fette Profite zu bescheren?
Soll sich questi so etwas kaufen? Meinst Du, das ist die ultimative Lösung? Was soll Dein Post sagen?
Gruß
gm |
|
|
|
|
mhe
Anmeldungsdatum: 11.10.2006
Beiträge: 71
Wohnort: Zürich
|
| Verfasst am:
Do 23 Aug, 2007 07:28 |
|
|
qm:
er wollte meiner meinung nach möglichkeiten aufgezeigt haben... deshalb hab ich auch den link geposted. es ging mir dabei nicht um eine potenzielle ablösung eines lancom devices; dass dies eine andere liga ist ist mir schon klar.
martin |
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Do 23 Aug, 2007 08:41 |
|
|
Hallo gm,
| Zitat:
|
|
Mach dir vielleicht auch sorgen um falsch konfigurierte DSLAM's bei den Proviedern, die deine an diesem Punkt bei HTTP, POP, etc. unverschlüsselten Daten wie ein HUB an alle weiterleiten, die am selben DSLAM angeschlossen sind (siehe eine der letzten c't-Ausgaben)
|
Halt, Stop. Wenn Du den Artikel aufmerksam gelesen hättest, dann wüßtest Du, dass das schon mit einem Baumarkt-Router nicht passiert wäre. Die Geschichte ist sicher spektakulär, aber wer direkt mit dem PC ins Internet geht und ihn dann noch nicht richtig konfiguriert, der ist selber schuld.
Um zu sehen, was bei questi zu tun ist, um die Rechner im LAN gegenseitig abzuschotten, müßte man den detaillierten Aufbau des Netzes kennen. Frage ist aber, ob das gewünscht ist ...
Viele Grüße,
Jirka |
|
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Do 23 Aug, 2007 08:47 |
|
|
aber ist das nicht sinnfrei ueber NAP zu reden ... es kann doch ehh kein Modell von LC also gehoert es doch nicht hier hin ... Ich glaube auch das ein Router nicht die Richtige Stelle fuer so was ist. Da ja maximal 4 PC direkt angeschloessen werden ... alles andere muss der Switch dann tun ... und intern wird wohl kaum jemand im "normalen" Kabel-LAN Ipsec fahren ... aus Spass an der Freude |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
  |
|
minkine1
Anmeldungsdatum: 23.11.2006
Beiträge: 18
|
| Verfasst am:
Do 23 Aug, 2007 18:32 |
|
|
| gm hat folgendes geschrieben:
|
|
Gut der Virenscanner auf dem Switch ist vielleicht ein (nutzloses) Feature, das das Ding hat und der LANCOM nicht - aber wer braucht das?
|
Offenbar gibt es dafür einen Markt. Wer das letzte LanUpdate von Lancom mitgemacht hat, der weiß, dass sowas auch bei Lancom kommen wird.
Gruß
MinkiNE1 |
|
|
|
|
gm
Anmeldungsdatum: 21.10.2006
Beiträge: 300
Wohnort: Großkonreuth
|
| Verfasst am:
Sa 25 Aug, 2007 18:13 |
|
|
Hallo,
Jirka schrieb:
| Zitat:
|
Halt, Stop. Wenn Du den Artikel aufmerksam gelesen hättest, dann wüßtest Du, dass das schon mit einem Baumarkt-Router nicht passiert wäre. Die Geschichte ist sicher spektakulär, aber wer direkt mit dem PC ins Internet geht und ihn dann noch nicht richtig konfiguriert, der ist selber schuld.
|
Stimmt mit einem "Baumarkt-Router" passiert einem das sicherlich nicht, denn da funktionieren meist die eingebauten DSL-Modems. Hier im Forum wurde aber öfters empfohlen die DSL-Modems der Provider zu verwenden, da die Eingebauten die Verbindung mit manchen DSLAM's ständig abbrechen. Wenn dabei nicht aufgepasst wird, kann es zu genau dem Szenario aus der c't kommen.
Gruß
gm |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Di 28 Aug, 2007 22:27 |
|
|
| Zitat:
|
Gut der Virenscanner auf dem Switch ist vielleicht ein (nutzloses) Feature, das das Ding hat und der LANCOM nicht - aber wer braucht das?
Offenbar gibt es dafür einen Markt. Wer das letzte LanUpdate von Lancom mitgemacht hat, der weiß, dass sowas auch bei Lancom kommen wird.
Gruß
|
Naja, da steht was von Virenscanner im Switch - wir reden aber von Routern! Im Router ist sowas im Soho Bereich wunderbar - und die Boxen werden weg gehen wir warme Semmlen.
Bei großen Installationen steht dort dann eh ein Proxy samt entsprechenden Gateway-Scannern.
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
Eckieck
Anmeldungsdatum: 02.09.2005
Beiträge: 10
|
| Verfasst am:
Di 05 Feb, 2008 01:17 |
|
|
Wäre das Problem nicht bereits entschärft wenn die eingehenden ARP-Antworten nur verarbeitet werden wenn vorher eine entsprechende Anforderung gesendet wurde? |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 05 Feb, 2008 21:28 |
|
|
Hi Eckieck
| Zitat:
|
|
Wäre das Problem nicht bereits entschärft wenn die eingehenden ARP-Antworten nur verarbeitet werden wenn vorher eine entsprechende Anforderung gesendet wurde?
|
nein, denn ARP-Spoofing basiert ja gerade darauf, daß auf einen ARP-Request eine gefälschte Antwort gesendet wird... Die Frage ist nur, was macht ein IP-Stack, wenn er auf einen Request zwei sich widersprechende Antworten bekommt - hier müßte der Stack eigentlich seinen Betrieb einstellen... Nur dann hättest du einen sehr erfolgreichen DoS-Angriff.
Das ist halt nur mit statischen ARP-Einträgen zu lösen.
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
