[HaBo]

timmek · 05.12.08, 10:51

Hallo Zusammen,

ich wollte mir mal gut gemeinte Ratschläge zum Thema "Schutz vor Sniffing im Firmennetz" von euch einholen.

Problematik ist die folgende:
Scannt man mit Cain & Abel via APR im Netz der Firma über das Gateway alle dort angeschlossenen IP-Adressen erhält man beim Ergebnis diverse Usernames vom Web-Exchange inkl. der Benutzerpasswörter.

Verschlüsselte Passwörter von einigen Internetseiten wo die Benutzer surften, können mit Hilfe des Crackers zwar auch gecrackt werden, funktionierte aber bisher nur bei einem simplen Passwort mit dem Vornamen. Bei anderen werd ich die Zeit nicht vergeuden ;-) und das Wörterbuch ist nur 3 MB groß (Standard von Cain & Abel). Ist ja auch schon ärgerlich genug.

Kritisch wird es dann noch bei der VOIP Telefonie da manche VOIP Gespräche auch abgefangen wurden und ich die Gespräche über die wav-Datei anhören konnte.

Eigentlich würd ich gerne wissen, welche Möglichkeit es gibt zu unterbinden, dass externe Leute die dann ins WLAN-Netz eindringen die Daten abfangen. Es ist halt recht ärgerlich zu sehen, dass es da irgendwie eine Sicherheitslücke gibt.

Da wir uns hier noch nicht all zu viel mit Thema Security auseinandersetzten und das jetz auf einmal so drüber nachgedacht wurde wäre ich um jeden Tip, solange er nicht böse gemeint ist ;), dankbar.

Auch wenn die WPA Verschlüsselung eingesetzt wird, will man den Fall ja schon schließen, bevor da wer auf dumme Gedanken kommt.

Chromatin · 05.12.08, 11:13

- zugriff auf IT Struktur NUR von den IT Betreuern
- Verschluesseln wo es geht und starke Passwoerter verwenden.

Das sind Dinge die du pauschal tun kannst und solltest. Wenn es euch wichtig ist, muesst
ihr moeglicherweise in Geraete investieren/selberbauen die euch helfen "unkoscheren" Traffic zu erkennen.

Aber, du kannst nicht verhindern das ein Mitarbeiter mit dem noetigen Fachwissen
dein Netzwerk belauscht und moeglicherweise an Informationen kommt die ihn nichts angehen.

zero-9 · 05.12.08, 11:34

Ich denke, das Gescheiteste ist, wenn ihr ein VPN-Netzwerk einrichtet, wo ein Server dann ins Internet weiterleitet. Unterstützend dazu dann WPA/WPA2-Verschlüsselung. Damit sollte das WLAN von außen sicher sein.

Auch von innen sollte es nciht mehr möglich sein, dass man mitlauscht, wie man will. Das heißt, Lauschangriffe durch Mitarbeiter sollten auch somit größtenteils unterbunden werden, da jeder Rechner sich über eine verschlüsselte Verbindung zu einem Zentralserver verbindet, der dann ins Web leitet. Dann ist es nur noch möglich über den Server den Verkehr mitzuschneiden. Sollte aber nicht so einfach sein, solange der Server gut gesichert ist.

timmek · 05.12.08, 11:51

Die Tips klingen soweit ganz sinnvoll. Nur frag ich mich ob die Umsetzung so einfach von statten geht wie man es beschreibt :-)

Gibt es denn eine Art von Software, die man-in-the-middle Angriffe erkennen und ausgeben?

Chromatin · 05.12.08, 12:13

VPNs eigenen sich praktisch nicht wirklich um clients intern an Dienste anzubinden.
Wenn man nur einen Server hat, ok. Aber ab 2 Maschinen wirds dann schon frickelig, auszer man sperrt die User in einem _pool_ ein von dem aus eine art intere DMZ zu erreichen ist- ueber VPN.
So stuenden die internen Server in einem seperaten Netz und waeren von den Mitarbeitern nur ueber ein VPN Gateway erreichbar.

Zitat:

Gibt es denn eine Art von Software, die man-in-the-middle Angriffe erkennen und ausgeben?

Und dann? So loest du kein Problem. Arbeite pro-aktiv an deiner Netzwerksicherheit und mach erstmal deine Hausaufgaben.

ERit · 05.12.08, 14:17

hallo,

man könne z.b. http://de.wikipedia.org/wiki/IPsec einführen.

http://www.microsoft.com/germany/tec...ter/ipsec.mspx

ssh gibts da auch:

www.id.uzh.ch/cl/zinfo/pdf/ssh.pdf

wären 2 beispiele,
schönen tag noch

mu_ · 05.12.08, 14:40

Zitat:

Original von timmek
Gibt es denn eine Art von Software, die man-in-the-middle Angriffe erkennen und ausgeben?

Es gibt ja nicht nur man-in-the-middle Angriffe auf ein Netzwerk ( und ja, es gibt Software, die MITM-Angriffe erschweren kann). Ein System-Hardening sollte zumindest auf den kritischen Maschinen durchgeführt werden. Policies - wie sie schon genannt wurden - für das Netzwerk dahinter eingeschlossen.
Kabelverbindungen nur in Verbindung mit VPN, WLAN nur in Verbindung mit WPA2 (WPA ist inzwischen auch geknackt, WEP sollte man schon garnicht mehr nutzen) und ohne Zugriff auf firmeninterne Daten. Wenn es nicht nötig den Inet-Zugriff von Client-Rechnern unterbinden.
Und und und. Man könnte hier ewig schreiben, infolgedessen gibt es zig Bücher zum Thema. Du solltest dich derweilen nicht nur dem den technischen Angriffsmöglichkeiten beschäftigen, sondern auch mit menschlichem Versagen, Social Engeniering, etc.

nerog · 06.12.08, 13:30

WPA wurde nicht geknackt
https://wardriving-forum.de/forum/sh...90&postcount=2

mu_ · 06.12.08, 16:06

"Geknackt" bedeutet nicht, dass man sich nun innerhalb weniger Minuten in ein Netz einloggen kann. Mit "geknackt" meinte ich, dass diese Attacke auf WPA (bei einer bestimmten Konfiguration) zu weiteren Angriffsmöglichkeiten, wie z.b. DNS Spoofing (wie u.a. auch im ARS-Artikel genannt wird) führt und dadurch ein mögliches Sicherheitsloch im Netzwerk darstellt. Und da diese Vorgehensweise irgendwo effektiver als Bruteforce ist, kann man WPA (TKIP QoS) doch als geknackt ansehen, oder irre ich mich da?

05.12.08, 10:51	#1 (permalink)
timmek Registriert seit: 25.11.08 Karma: 4	Schutz gegen Sniffing im Firmennetz Hallo Zusammen, ich wollte mir mal gut gemeinte Ratschläge zum Thema "Schutz vor Sniffing im Firmennetz" von euch einholen. Problematik ist die folgende: Scannt man mit Cain & Abel via APR im Netz der Firma über das Gateway alle dort angeschlossenen IP-Adressen erhält man beim Ergebnis diverse Usernames vom Web-Exchange inkl. der Benutzerpasswörter. Verschlüsselte Passwörter von einigen Internetseiten wo die Benutzer surften, können mit Hilfe des Crackers zwar auch gecrackt werden, funktionierte aber bisher nur bei einem simplen Passwort mit dem Vornamen. Bei anderen werd ich die Zeit nicht vergeuden ;-) und das Wörterbuch ist nur 3 MB groß (Standard von Cain & Abel). Ist ja auch schon ärgerlich genug. Kritisch wird es dann noch bei der VOIP Telefonie da manche VOIP Gespräche auch abgefangen wurden und ich die Gespräche über die wav-Datei anhören konnte. Eigentlich würd ich gerne wissen, welche Möglichkeit es gibt zu unterbinden, dass externe Leute die dann ins WLAN-Netz eindringen die Daten abfangen. Es ist halt recht ärgerlich zu sehen, dass es da irgendwie eine Sicherheitslücke gibt. Da wir uns hier noch nicht all zu viel mit Thema Security auseinandersetzten und das jetz auf einmal so drüber nachgedacht wurde wäre ich um jeden Tip, solange er nicht böse gemeint ist ;), dankbar. Auch wenn die WPA Verschlüsselung eingesetzt wird, will man den Fall ja schon schließen, bevor da wer auf dumme Gedanken kommt.

05.12.08, 11:13	#2 (permalink)
Chromatin Registriert seit: 30.06.08 Karma: 90	- zugriff auf IT Struktur NUR von den IT Betreuern - Verschluesseln wo es geht und starke Passwoerter verwenden. Das sind Dinge die du pauschal tun kannst und solltest. Wenn es euch wichtig ist, muesst ihr moeglicherweise in Geraete investieren/selberbauen die euch helfen "unkoscheren" Traffic zu erkennen. Aber, du kannst nicht verhindern das ein Mitarbeiter mit dem noetigen Fachwissen dein Netzwerk belauscht und moeglicherweise an Informationen kommt die ihn nichts angehen. __________________ Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Schutz gegen man-in-the-middle-attack	Bogus	(In)security allgemein	35	27.06.08 22:49
Schutz gegen Cain & Abel, Wireshark und Co.	forutuna	(In)security allgemein	10	05.06.07 18:00
Schutz gegen Ophcrack?	Serow	Doppelte Beiträge	2	19.11.06 17:09
Schutz gegen Botnetze	Globestern	(In)security allgemein	9	21.07.06 19:03
Schutz Gegen gefährlich Stream´s !?	Nox	(In)security allgemein	0	06.11.04 18:28

05.12.08, 11:34	#3 (permalink)
zero-9 Registriert seit: 08.12.06 Karma: 14	Ich denke, das Gescheiteste ist, wenn ihr ein VPN-Netzwerk einrichtet, wo ein Server dann ins Internet weiterleitet. Unterstützend dazu dann WPA/WPA2-Verschlüsselung. Damit sollte das WLAN von außen sicher sein. Auch von innen sollte es nciht mehr möglich sein, dass man mitlauscht, wie man will. Das heißt, Lauschangriffe durch Mitarbeiter sollten auch somit größtenteils unterbunden werden, da jeder Rechner sich über eine verschlüsselte Verbindung zu einem Zentralserver verbindet, der dann ins Web leitet. Dann ist es nur noch möglich über den Server den Verkehr mitzuschneiden. Sollte aber nicht so einfach sein, solange der Server gut gesichert ist.

05.12.08, 11:51	#4 (permalink)
timmek Themenstarter Registriert seit: 25.11.08 Karma: 4	Die Tips klingen soweit ganz sinnvoll. Nur frag ich mich ob die Umsetzung so einfach von statten geht wie man es beschreibt :-) Gibt es denn eine Art von Software, die man-in-the-middle Angriffe erkennen und ausgeben?

05.12.08, 14:17	#6 (permalink)
ERit Registriert seit: 31.03.05 Karma: 10	hallo, man könne z.b. http://de.wikipedia.org/wiki/IPsec einführen. http://www.microsoft.com/germany/tec...ter/ipsec.mspx ssh gibts da auch: www.id.uzh.ch/cl/zinfo/pdf/ssh.pdf wären 2 beispiele, schönen tag noch

06.12.08, 13:30	#8 (permalink)
nerog Registriert seit: 06.12.08 Karma: 4	WPA wurde nicht geknackt https://wardriving-forum.de/forum/sh...90&postcount=2

06.12.08, 16:06	#9 (permalink)
mu_ Registriert seit: 30.11.08 Karma: 4	"Geknackt" bedeutet nicht, dass man sich nun innerhalb weniger Minuten in ein Netz einloggen kann. Mit "geknackt" meinte ich, dass diese Attacke auf WPA (bei einer bestimmten Konfiguration) zu weiteren Angriffsmöglichkeiten, wie z.b. DNS Spoofing (wie u.a. auch im ARS-Artikel genannt wird) führt und dadurch ein mögliches Sicherheitsloch im Netzwerk darstellt. Und da diese Vorgehensweise irgendwo effektiver als Bruteforce ist, kann man WPA (TKIP QoS) doch als geknackt ansehen, oder irre ich mich da?

[HaBo]

Schutz gegen Sniffing im Firmennetz