Netzwerk Pakete ohne MITM sniffen?

S

ScaphonyXx

0
Hallo zusammen,
Ich beschäftige mich seit einigen Tagen der Sicherheit meines Netzwerkes und habe bereits erfolgreich durch ARP Poisoning bzw MITM (Cain) Packets sniffen und Passwörter eines Zweit-PCs abfangen können.

Nun kenne ich mich auf diesem Gebiet nicht absolut gut aus, deshalb stellt sich mir Folgende Frage:

Ist es nicht theoretisch möglich, den Verkehr zwischen einem PC und dem Router mit einem anderen externen PC zu sniffen? (Alles via WLAN).

Denn dann wäre ja eine vollkommen anonyme Anteilnahme am Netzwerkgeschehen möglich. Beim ARP Poisoning werden beim Browser des Ziel Computers ja gelegentlich Sicherheitshinweise angezeigt, weil die Zertifikate nicht in Ordnung sind.

Ich dachte mir einfach, wenn die Daten von PC zu Router und umgekehrt drahtlos, also quasi durch die Luft, übertragen werden, müsste man doch eigentlich auch ohne Probleme mit einem WLAN Adapter der im gleichen Netzwerk ist diese Daten abfangen/mitlesen können...
So oder so ähnlich versprach es, einigen unabhängigen Websites zu folge, auch der Promiscouous Modus von Wireshark, allerdings hatte ich damit keinen Erfolg. Auch mit Benutzung dieses Moduses wurden mir lediglich lokale Pakete angezeigt.

Was ich mir hier jetzt erhoffe ist, dass mir entweder jemand der sich mit dem Thema gut auskennt erklärt, dass das was in meiner Vorstellung doch eigentlich funktioniert tatsächlich nicht möglich ist, oder, sollte es tatsächlich möglich sein, mir jemand genau das genauer erläutern kann.

Ich bedanke mich schon mal im Voraus für eventuelle, hilfreiche Beiträge. Falls das Thema nicht in diese Sektion passt bitte ich das zu entschuldigen. Ich kenn mich hier noch nicht so gut aus ^^



mfg
 
da spielen gleich eine ganze reihe themen mit...

also zunächst einmal die physikalische netzwerk topologie:

wenn deine vernetzung in etwa so aussieht:

PC1 <-KABEL-> Switch <-KABEL-> Router <-DSL/KABEL-> INET

dann ist das mitlesen ohne aktiven eingriff im allgemeinen erstmal nicht möglich ... dabei schließe ich internet basierte angreifer auch erstmal von der betrachtung aus, dein ISP kann immer mitlesen was du zum inet schickst oder von dort bekommst ...

warum liegt in diesem scenario ohne aktiven eingriff keine MITM situation vor, wenn ich einen weiteren rechner an den switch anschließe, also etwa so:

PC1 <-KABEL-> Switch <-KABEL-> Router <-DSL/KABEL-> INET
PC2 <-KABEL->

würde man den switch durch einen hub ersetzen, würde exakt der von dir postulierte fall vorliegen und man könnte an PC2 den gesammten datenverkehr von PC1 mitlesen ohne aktiv einzugreifen

der unterschied ist der, dass ein hub ein empfangenes "datenpaket" (eigentlich frame) auf allen ports wieder ausgibt, während ein switch versucht zu lernen hinter welchen ports sich welche mac adressen verbergen und dann gezielt nur den einen richtigen port anzusprechen versucht

greift man nun mit tools wie Cain und dergleichen ein, wird in der regel ein verfahren durchgeführt das sich arp poisoning nennt, und dafür sorgt dass der absendender die daten auf ethernet ebene an dich anstatt das eigentliche ziel sendet...

kommt nun ein wlan hinzu, muss man unterscheiden wie dieses wlan eingestellt ist, und ob der datenverkehr den man abhören will überhaupt über das wlan übertragen wird.

ggf muss man erstmal dafür sorgen, dass die daten die man haben will ins wlan umgeleitet werden, damit man sie dort abfangen kann...

ist sowohl derjenige der das ganze abhört, als auch der jenige der abgehört werden soll in der gleichen wlan zelle, hängt es nun nur noch von den einstellungen der zelle selbst ab, ob man da so ohne weiteres mitlesen kann...

bei unverschlüsselten zellen geht das...

bei zellen die nur mit gruppenschlüsseln arbeiten geht das

bei zellen die mit client separation arbeiten, also einzelne schlüssel je client laufen geht das nicht ohne den jeweiligen schlüssel zu brechen...


du siehst, die frage ob und wie weit man für soetwas aktiv eingreifen muss ist nicht mal eben in 2 sätzen zu beantworten, und kann mitunter zum abendfüllenden thema werden...

um jetzt hier keine romane zu schreiben belasse ich es erstmal dabei...
 
ScaphonyXx hat gesagt.:
Beim ARP Poisoning werden beim Browser des Ziel Computers ja gelegentlich Sicherheitshinweise angezeigt, weil die Zertifikate nicht in Ordnung sind.
Zum Vergrößern anklicken....

Eigentlich nicht, außer du manipulierst aktiv die TLS-Verbindung, was zu solchen Warnungen führt.

Wenn man das sein lässt und nur passiv abhörst, dann bleibt die Ende-zu-Ende-Verschlüsselung intakt und man kann man auch bloß verschlüsselte Daten lesen, die eher nicht so interessant sind.
Deswegen hat man so etwas ja auch erfunden: Abhörsicherheit auch bei völlig passivem abhören.
Man könnte höchstens versuchen die Verbindung auf den unverschlüsselten Login umzuleiten, falls so einer angeboten wird (https -> http, z.B. sslstrip), aber das bemerken viele dann schon und das wäre auch kein passives Abhören mehr.
 
+++ATH0 hat gesagt.:
Eigentlich nicht, außer du manipulierst aktiv die TLS-Verbindung, was zu solchen Warnungen führt.

Wenn man das sein lässt und nur passiv abhörst, dann bleibt die Ende-zu-Ende-Verschlüsselung intakt und man kann man auch bloß verschlüsselte Daten lesen, die eher nicht so interessant sind.
Zum Vergrößern anklicken....

Ich hab die Erfahrung bisher aber immer gemacht. Weißt du zufällig, wie bzw wo man das bei Cain einstellen kann? Ich weiß nicht ob das überhaupt geht, wo Cain ja nun mal ein Tool ist, was sich primär auf das tatsächliche Abfangen von Passwörtern konzentriert und dafür auch geschrieben wurde. Selbst um die umgeleiteten Packets auszuwerten muss ich nebenbei ja Wireshark laufen lassen.

Wäre mal interessant zu wissen...
 
Ich weiß nicht genau, was Cain & Abel als closed-source-software macht, ist mir auch ziemlich egal.

Aber du könntest einmal eine Linux-Kiste als einfachen Router der Verbindungen zwischenschalten und dann kannst du auch den ganzen Datentransfer passiv mitlesen.
Das hilft dir aber wie gesagt nicht viel, wenn die Verbindung dann Ende-zu-Ende-verschlüsselt ist.
 
Cain schneidet afaik per default auch HTTPS-Verbindungen mit, indem schlicht das Zertifikat der Verbindung ausgetauscht wird. Damit sieht dein Opfer natürlich bei einem (dilettantischen) Angriff ein falsches Zertifikat, was dazu führt, dass du aller Voraussicht nach entdeckt wirst. Ausstellen kannst du das jedoch in den Optionen unter "Filters and Ports", indem du einfach den Hacken bei den verschlüsselten Protokollen (HTTPS, ...) entfernst.

Du kannst allerdings auch Zertifikate verwenden, denen dein Opfer vertraut. Das kannst du über mehrere Wege bewerkstelligen:
- Du hackst eine der CAs, denen das Opfer vertraut.
- Du verteilst neue RootCA Zertifikate, z.B. über ActiveDirectory-Policies.
- Du bringst das Opfer dazu, bestimmte Dateien auszuführen oder RootCA Certfikate selbst zu installieren.
- Du fälscht Zertifikate mittels Hash Collisions.
- Du nutzt Bugs in Software, um deine eigenen RootCA Zertifikate zu installieren.
- ...

Alternativ könntest du mittels SSLStrip HTTPS umgehen, indem alle HTTPS-Links durch HTTP-Links ersetzt werden und damit alle Daten im Plaintext übertragen werden.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben