Wie im Titel genannt, habe ich kürzlich das oben genannte Tool getestet.
Ohne Übertreibung muss ich zugeben, dass ich sehr entsetzt war, was man alles mit diesem mächtigen Progamm machen kann und vor allem, wie einfach es zu bedienen ist.
Alle POP3 und div. HTTP, ICQ, SNMP, VNC, IMAP, FTP Kennwörter beliebiger Rechner im Netzwerk können innerhalb von Minuten im Klartext angezeigt werden, VoIP Gespräche können aufgezeichnet und somit abgehört werden, u.s.w.
Mir muss niemand erzählen, dass dieses Programm nicht eingesetzt werden darf, mich interessiert lediglich, wie man sich schützen kann bzw. welche Sicherheitsmaßnahmen man ergreifen kann, damit nicht das ganze Netzwerk samt geführter VoIP Gespräche ausspioniert wird und ob man mit dem Lancom div. Vorsichtsmaßnahmen treffen kann, damit dieses Programm nicht erfolgreich arbeitet.
Über Anworten wäre ich sehr dankbar und ich bin sicher, dass dieses Thema jeden Interessiert, der ein Netzwerk betreut und die Fähigkeiten dieses Programms kennt.
Grüße
questi
Cain and Abel. Entsetzt über die Fähigkeiten, wie schützen
Moderator: Lancom-Systems Moderatoren
Wo sonst, wenn nicht hier im Lancom Forum / Thema Firewall.
Hier setzen einige die Lancom ein um Ihre Netze zu schützen und mit dem oben genannten Proggi kann man dennoch Dummheiten machen.
Was nützt eine Deny All Regel oder sonstiger Firlefanz, wenn man im LAN jeden Rechner belauschen und alle Passwörter im Klartext auslesen kann.
Dein Tipp mit dem "verschlüsseln" ist sehr hilfreich und löst alle Probleme. DANKE!
Wenn Du mir noch verraten könntest, wo und wie man das "verschlüsseln" einrichtet und was genau Du damit meinst, wäre ich Dir sehr verbunden.
Hier setzen einige die Lancom ein um Ihre Netze zu schützen und mit dem oben genannten Proggi kann man dennoch Dummheiten machen.
Was nützt eine Deny All Regel oder sonstiger Firlefanz, wenn man im LAN jeden Rechner belauschen und alle Passwörter im Klartext auslesen kann.
Dein Tipp mit dem "verschlüsseln" ist sehr hilfreich und löst alle Probleme. DANKE!
Wenn Du mir noch verraten könntest, wo und wie man das "verschlüsseln" einrichtet und was genau Du damit meinst, wäre ich Dir sehr verbunden.
LOL - Das ist aber kein Lancom spezifisches Problem, sondern ein generelles Problem und passiert ebenso mit allen anderen Routern - Deswegen hat es hier nichts im Board zu suchen, weil Off Topic!
Was wird wohl mit verschlüsseln gemeint sein?
- Anstelle POP3 -> POP3S (also mit SSL)
- Anstelle SMTP -> SMTPS (also mit SSL)
- Anstelle HTTP - > HTTPS (also mit SSL)
- Anstelle IMAP -> IMAPS (also mit SSL)
- Anstelle FTP -> FTPS (also mit SSL) oder besser gleich SSH!
- VNC gibt es auch mit Verschlüsselung (TightVNC) oder alternativ VNC auch nur per HTTPS
- Tjo und ICQ wird wohl nix verschlüsseln - also nicht benutzen!
Genrell gilt: Wer in einem Netzwerk sensitive Daten unverschlüsselt überträgt ist selbst schuld - und diese Weisheit ist so alt, daß der Bart schon einmal um den Äquator reicht...
Gruß
COMCARGRU,
der sich darüber wundert wie jemand aus unverschlüsselt übertragenen Daten einen Zusammenhang mit einer Deny_All Regel eines Routers konstruiert. Zumal sich Lancom Anwender ob des üblichen Einsatzbereiches dieses Problems wohl bewußt sind und trotzdem oder gerade deswegen zu Lancom greifen...
Was wird wohl mit verschlüsseln gemeint sein?
- Anstelle POP3 -> POP3S (also mit SSL)
- Anstelle SMTP -> SMTPS (also mit SSL)
- Anstelle HTTP - > HTTPS (also mit SSL)
- Anstelle IMAP -> IMAPS (also mit SSL)
- Anstelle FTP -> FTPS (also mit SSL) oder besser gleich SSH!
- VNC gibt es auch mit Verschlüsselung (TightVNC) oder alternativ VNC auch nur per HTTPS
- Tjo und ICQ wird wohl nix verschlüsseln - also nicht benutzen!
Genrell gilt: Wer in einem Netzwerk sensitive Daten unverschlüsselt überträgt ist selbst schuld - und diese Weisheit ist so alt, daß der Bart schon einmal um den Äquator reicht...
Gruß
COMCARGRU,
der sich darüber wundert wie jemand aus unverschlüsselt übertragenen Daten einen Zusammenhang mit einer Deny_All Regel eines Routers konstruiert. Zumal sich Lancom Anwender ob des üblichen Einsatzbereiches dieses Problems wohl bewußt sind und trotzdem oder gerade deswegen zu Lancom greifen...
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
@mhe: Danke für die Antwort. Die war wenigstens nicht so gelangweilt wie die von COMCARGRU. 
Werde mir mal die Programm ansehen.
Meine Überlegung war aber auch, ob man das nicht mit dem LANCOM beschränken kann. So wie ich das gelesen habe kann man mit "ARP" irgendetwas einstellen, sodass das Programm nicht funktioniert.
@COMCARGRU: Danke auch für Deine Antwort. Du hast wahrscheinlich deutlich mehr Plan als ich (merkt man an den belustigten Antworten).
Deine Auflistung ist zwar sehr Interessant, nur hilft mir das auch nicht weiter, da meine EMails dennoch per POP3 angerufen werden und ich das auch nicht ohne weiteres ändern (bzw. mich erstmal belesen muss, wie man das macht und ob es mein Provider und EMail unterstützt) kann und auch nicht jede Webseite automatisch HTTPS statt HTTP verwendet u.s.w.
Es geht auch nicht nur um meinen Rechner, sondern die anderen in meinem (kleinen bescheidenen) Netzwerk. Denn nicht jeder Ottonormaluser in meinem Netzwerk nutzt ausschliesslich verschlüsselten Datenverkehr.
Leider bin ich nicht seit 10 jahren Admin von (fetten?) Netzwerken. Weshalb mir sicher das eine oder andere Verständnis fehlt div. kurz gehaltene Antworten zu interpretieren.
Werde mir mal die Programm ansehen.Meine Überlegung war aber auch, ob man das nicht mit dem LANCOM beschränken kann. So wie ich das gelesen habe kann man mit "ARP" irgendetwas einstellen, sodass das Programm nicht funktioniert.
@COMCARGRU: Danke auch für Deine Antwort. Du hast wahrscheinlich deutlich mehr Plan als ich (merkt man an den belustigten Antworten).
Deine Auflistung ist zwar sehr Interessant, nur hilft mir das auch nicht weiter, da meine EMails dennoch per POP3 angerufen werden und ich das auch nicht ohne weiteres ändern (bzw. mich erstmal belesen muss, wie man das macht und ob es mein Provider und EMail unterstützt) kann und auch nicht jede Webseite automatisch HTTPS statt HTTP verwendet u.s.w.
Es geht auch nicht nur um meinen Rechner, sondern die anderen in meinem (kleinen bescheidenen) Netzwerk. Denn nicht jeder Ottonormaluser in meinem Netzwerk nutzt ausschliesslich verschlüsselten Datenverkehr.
Leider bin ich nicht seit 10 jahren Admin von (fetten?) Netzwerken. Weshalb mir sicher das eine oder andere Verständnis fehlt div. kurz gehaltene Antworten zu interpretieren.
Hi questi,
Wenn das Netz nur mit Hubs ausgerüstet ist, sieht jeder Rechner *alle* Pakete im Netz... Und selbst ein geswitchtes Netz bietet keinen Schutz: Der Angreifer muß nur die MAC-Tabellen der Switches fluten und schon wird aus jedem Switch ein Hub...
Gruß
Backslash
Gegen ARP-Spoofing im lokalen Netz kann man sich letztendlich nicht schützen, es sei denn, man macht in allen Rechnern im Netz statische ARP-Einträge für alle Rechner im Netz - aber selbst dann ist man nicht sicher:Meine Überlegung war aber auch, ob man das nicht mit dem LANCOM beschränken kann. So wie ich das gelesen habe kann man mit "ARP" irgendetwas einstellen, sodass das Programm nicht funktioniert.
Wenn das Netz nur mit Hubs ausgerüstet ist, sieht jeder Rechner *alle* Pakete im Netz... Und selbst ein geswitchtes Netz bietet keinen Schutz: Der Angreifer muß nur die MAC-Tabellen der Switches fluten und schon wird aus jedem Switch ein Hub...
Gruß
Backslash
Hiho,
wird ja immer besser hier! Wie du leicht anhand meines ersten Posts hättest ableiten können, bist du mit dieser Frage:
Es liegt einzig an der Konfiguration deiner Software die du benutzt. Und wenn dein Mailprovider kein SSL anbietet, dann wechsle den Provider. Wenn deine Webshops in denen du kaufst kein HTTPS anbieten, dann kaufe dort nicht länger...
Das braucht keine langen Antworten: In dem Satz
1) Es hat nichts mit dem (Lancom-)Router zu tun
2) Durch Verschlüsselung wird das Problem gelöst.
Soll ich die Antwort noch in Puderzucker packen damit es dir angehmer wird? An der Kernaussage ändert sich trotzdem nichts, diese geht nach wie vor vollständig auf deinen Post ein. Der Ball liegt nun wieder bei dir oder anders gesagt RTFM (Netzwerkgrundlagen -> z.B. Wikipedia).
Gruß
COMCARGRU
wird ja immer besser hier! Wie du leicht anhand meines ersten Posts hättest ableiten können, bist du mit dieser Frage:
hier falsch, weil es nichts mit dem Router zu hat! - Daher kann auch keine Konfiguration eines Lancoms (oder irgendeines anderen Routers) bei der Lösung helfen. Und daher ist das hier alles reichlich OT.Meine Überlegung war aber auch, ob man das nicht mit dem LANCOM beschränken kann. So wie ich das gelesen habe kann man mit "ARP" irgendetwas einstellen, sodass das Programm nicht funktioniert.
Es liegt einzig an der Konfiguration deiner Software die du benutzt. Und wenn dein Mailprovider kein SSL anbietet, dann wechsle den Provider. Wenn deine Webshops in denen du kaufst kein HTTPS anbieten, dann kaufe dort nicht länger...
Das braucht keine langen Antworten: In dem Satz
ist alles Relevante enthalten!Ich weis zwar nicht, was das hier bei Lancom zu suchen hat, aber wie immer gilt "verschlüsseln"
1) Es hat nichts mit dem (Lancom-)Router zu tun
2) Durch Verschlüsselung wird das Problem gelöst.
Soll ich die Antwort noch in Puderzucker packen damit es dir angehmer wird? An der Kernaussage ändert sich trotzdem nichts, diese geht nach wie vor vollständig auf deinen Post ein. Der Ball liegt nun wieder bei dir oder anders gesagt RTFM (Netzwerkgrundlagen -> z.B. Wikipedia).
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
@backslash: Danke auch für Deine Antwort. Klingt ja nicht gerade so, als könnte man was machen. Obwohl COMCARGRU da anders argumentiert.
@COMCARGRU: Selbst wenn Du Dich im Forum einloggst, kann jeder in Deinem LAN die PWs auslesen. Von daher staune ich, dass Du Dich hier "unverschlüsselt" einloggst. Ob das sicher ist?!
Deine 3 Antworten haben sich bis jetzt ja auch nur auf RTFM und "es hat nichts mit Lancom zu tun" & "Du musst verschlüsseln" beschränkt und helfen von daher leider garnicht weiter.
Das das Verschlüsseln garnicht so einfach möglich ist, siehst Du ja am Login vom Forum und div. anderen Seiten.
Interessanter wird es noch, wenn das Netzwerk von anderen genutzt wird, die nicht immer darauf achten, ob da nun was verschlüsselt übertragen wird.
Denn nicht jeder ist ADMIN. Mir ging es darum, ob es eine Möglichkeit gibt, auch diese User zu schützen ohne ihnen lange Vorträge zu halten oder Links zu Wikipedia zu schicken, oder dicke Manuals auf den Tisch zu schmeissen, ala RTFM, so wie Du es hier bei mir machst....
Die Antworten der anderen waren in dieser Hinsicht hilfreicher.....
Schau Dir einfach mal das Tool an und sieh mal nach, bei wie viel Webseiten (es geht ja nicht nur um Shops) kein HTTPS genutzt wird und was so alles über dein "verschlüsseltes" Lan wandert.....
@COMCARGRU: Selbst wenn Du Dich im Forum einloggst, kann jeder in Deinem LAN die PWs auslesen. Von daher staune ich, dass Du Dich hier "unverschlüsselt" einloggst. Ob das sicher ist?!
Deine 3 Antworten haben sich bis jetzt ja auch nur auf RTFM und "es hat nichts mit Lancom zu tun" & "Du musst verschlüsseln" beschränkt und helfen von daher leider garnicht weiter.
Das das Verschlüsseln garnicht so einfach möglich ist, siehst Du ja am Login vom Forum und div. anderen Seiten.
Interessanter wird es noch, wenn das Netzwerk von anderen genutzt wird, die nicht immer darauf achten, ob da nun was verschlüsselt übertragen wird.
Denn nicht jeder ist ADMIN. Mir ging es darum, ob es eine Möglichkeit gibt, auch diese User zu schützen ohne ihnen lange Vorträge zu halten oder Links zu Wikipedia zu schicken, oder dicke Manuals auf den Tisch zu schmeissen, ala RTFM, so wie Du es hier bei mir machst....
Die Antworten der anderen waren in dieser Hinsicht hilfreicher.....
Schau Dir einfach mal das Tool an und sieh mal nach, bei wie viel Webseiten (es geht ja nicht nur um Shops) kein HTTPS genutzt wird und was so alles über dein "verschlüsseltes" Lan wandert.....
Au ja dieses Forum ist zwar relativ wichtig für mich, nur bitte schön was will jemand mit meinem Paßwort für dieses Forum?
Er könnte hier allenfalls in meinem Namen fiese Kommentare schreiben und versuchen mich in Misskredit zu bringen.
Eine Mail an Stefan und ggf. eine paar Tests werden dann schon Klarheit reinbringen - und weiter?
Dieses Paßwort ist hier also ganz doll schützenswert... - Und ja ich verwende für alles unterschiedliche Paßwörter und nein bei kritischen Dingen bin ich da schon erheblich vorsichtiger...
Du machst hier einen Wind bei einem Thema, von dem du nichts weist, aber hinter jeder Ecke eine Bedrohung vermutest - scheinen ja ganz doll vertrauenswürdige Anwender in deinem Netzwerk aktiv zu sein -> da würde ich mal anfangen
---
Und Backslash's Antwort hat doch mit meinen gar nichts zu tun. Er hat doch nur auf mhe geantwortet, weil dessen Post so fehlinterpretiert werden könnte, daß man in geswitchten Netzen nur extrem aufwändig etwas mitsniffen kann. Also ist deine Antwort auf seine auch schon wieder interessant.
So meinen üblichen Standard-Kommentar an dieser Stelle verkneif ich mir jetzt...
Er könnte hier allenfalls in meinem Namen fiese Kommentare schreiben und versuchen mich in Misskredit zu bringen.
Eine Mail an Stefan und ggf. eine paar Tests werden dann schon Klarheit reinbringen - und weiter?
Dieses Paßwort ist hier also ganz doll schützenswert... - Und ja ich verwende für alles unterschiedliche Paßwörter und nein bei kritischen Dingen bin ich da schon erheblich vorsichtiger...
Du machst hier einen Wind bei einem Thema, von dem du nichts weist, aber hinter jeder Ecke eine Bedrohung vermutest - scheinen ja ganz doll vertrauenswürdige Anwender in deinem Netzwerk aktiv zu sein -> da würde ich mal anfangen
---
Und Backslash's Antwort hat doch mit meinen gar nichts zu tun. Er hat doch nur auf mhe geantwortet, weil dessen Post so fehlinterpretiert werden könnte, daß man in geswitchten Netzen nur extrem aufwändig etwas mitsniffen kann. Also ist deine Antwort auf seine auch schon wieder interessant.
So meinen üblichen Standard-Kommentar an dieser Stelle verkneif ich mir jetzt...
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
COMCARGRU hat geschrieben:.... - scheinen ja ganz doll vertrauenswürdige Anwender in deinem Netzwerk aktiv zu sein -> da würde ich mal anfangen
Natürlich habe ich nur vertrauenswürdige Anwender in meinem Netzwerk.
Mich hat nur beunruhigt, dass es ohne weiteres möglich ist, div. Dinge in einem nennen wir es mal "Heimnetzwerk" auszulesen ohne dass man (ich in diesem Fall) die User schützen kann, die sich nicht schon selbst mit unterschiedlichen Passwörtern (Bsp. Lancom Forum vs. ebay.de) und SSH u.s.w. schützen. Denn das tun sicher die wenigsten. (leider).
Paranoid bin ich allerdings auch nicht
und ich vermute auch nicht hinter jeder Ecke eine Bedrohung. Gerade deswegen Poste ich ja hier......Du machst hier einen Wind bei einem Thema, von dem du nichts weist, ...
Wenn ich alles wüsste könnte ich mir diese Beiträge und Deine Antworten ersparen.
Wenn Du Aufgrund Deines umfangreichen Wissens von meinen Fragen gelangweilt bist, dann antworte doch einfach nicht....
Hallo,
mhe schrieb:
Für alles was dann WAN-Seitig kommt gilt das von COMCARGRU: SSL, SSH, etc.
Gruß gm
[/quote]
mhe schrieb:
Bei ARP-Spoofing hilft nichtmal das. Wenn Du Dein lokales Netzwerk, in dem scheinbar mehrere User drin sind, dichtbringen willst, führt kein Weg an massiver Verschlüsselung vorbei. Die LANCOM-Router bieten z.B. IPSEC-Verbindungen an, die im LAN schon einiges bringen sollte. Von LANCOM gibt es auch spzielle VPN-Gateways wenn es etwas mehr User (> 25) sein sollten...In einem geswitchten LAN solltest du eigentlich gar nicht an solche Daten (ausser die eigenen oder du sitzt auf einem Server) kommen...
Für alles was dann WAN-Seitig kommt gilt das von COMCARGRU: SSL, SSH, etc.
Gruß gm
[/quote]
@gm: Das klingt ja schon mal vernünftig.
Ich wusste garnicht, dass IPSEC auch im LAN verfügbar bzw. nutzbar ist.
Wenn dem so ist, dann ist mein Thema auch garnicht so OffTopic, wie COMCARGRU schreibt und es wäre ein Lösungsansatz.
Werde dem mal nachgehen und mich belesen, wie man IPSEC auch im LAN nutzen kann. Besten Dank für den Tipp.
Ich wusste garnicht, dass IPSEC auch im LAN verfügbar bzw. nutzbar ist.
Wenn dem so ist, dann ist mein Thema auch garnicht so OffTopic, wie COMCARGRU schreibt und es wäre ein Lösungsansatz.
Werde dem mal nachgehen und mich belesen, wie man IPSEC auch im LAN nutzen kann. Besten Dank für den Tipp.
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
3com zb. hat in der "guten alten" zeit sogar mal lankarten mit co-cpu verkauft die konnten 100mbit DES ... so was das lan sicher
PS: ich habe gerade rausgefunden die gibts immer noch)))))
aber so was schuetzt nur vor aushorchen ... eine DoS kannste damit nicht verhindern .... drin ist drin ... im lan ... es seit denn treibs eine Port basierte Anmeldung mit allen Funktionen .... NAP laesst gruessen ...
PS: ich habe gerade rausgefunden die gibts immer noch
)))))aber so was schuetzt nur vor aushorchen ... eine DoS kannste damit nicht verhindern .... drin ist drin ... im lan ... es seit denn treibs eine Port basierte Anmeldung mit allen Funktionen .... NAP laesst gruessen ...
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Tach,
... Aber wo wir schon mal dabei sind:
Was das interne LAN betrifft: Ein Netzwerk hat man im allgemeinen deshalb, weil die Systeme miteinander vernetzt werden sollen - da die Systeme also irgendwie kommunizieren müssen kann man auch sniffen! Ein solches IPSec schützt somit u.a. nur vor fremden Computern im eigenen Netz, welche die Verschlüsselungscodes nicht haben.
Wenn du nur die PCs separieren willst -> VLANs! oder spezielle IP Bereiche.
Aber schlußendlich wirst du immer wieder auf SSL zurückkommen, da nur damit deine Paßwörter vom Beginn der Strecke bis zum Endpunkt der Strecke verschlüsselt sind. Eine andere - Netzwerke übergreifende - Technik ist da nicht. Also sind wir wieder bei meinem zweiten Post - ne andere Wahl hast du nicht.
Und dann lauschen immer noch die ganzen Trojaner auf deinem PC und teilen doch wieder allen deine Paßwörter mit...
Gruß
COMCARGRU
jo ich sagte ja du bist hier Offtopic! - Das sollte ja genau den Zermon hier verhindern.Wenn Du Aufgrund Deines umfangreichen Wissens von meinen Fragen gelangweilt bist, dann antworte doch einfach nicht....
... Aber wo wir schon mal dabei sind:
Ja klar! - Genau bis zum Router - oder willst du mit IPSec in die Welt hinaus? Wenn dann alle Webserver und Co. für dich ne IPSec-Gegenstelle eingerichtet haben, freue ich mich von dir zu hören.Ich wusste garnicht, dass IPSEC auch im LAN verfügbar bzw. nutzbar ist.
Wenn dem so ist, dann ist mein Thema auch garnicht so OffTopic, wie COMCARGRU schreibt und es wäre ein Lösungsansatz.
Was das interne LAN betrifft: Ein Netzwerk hat man im allgemeinen deshalb, weil die Systeme miteinander vernetzt werden sollen - da die Systeme also irgendwie kommunizieren müssen kann man auch sniffen! Ein solches IPSec schützt somit u.a. nur vor fremden Computern im eigenen Netz, welche die Verschlüsselungscodes nicht haben.
Wenn du nur die PCs separieren willst -> VLANs! oder spezielle IP Bereiche.
Aber schlußendlich wirst du immer wieder auf SSL zurückkommen, da nur damit deine Paßwörter vom Beginn der Strecke bis zum Endpunkt der Strecke verschlüsselt sind. Eine andere - Netzwerke übergreifende - Technik ist da nicht. Also sind wir wieder bei meinem zweiten Post - ne andere Wahl hast du nicht.
Und dann lauschen immer noch die ganzen Trojaner auf deinem PC und teilen doch wieder allen deine Paßwörter mit...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???