Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Authentifizierung mittels Paketfilter

Mitglied: teret4242

teret4242 (Level 1) - Jetzt verbinden

02.02.2014 um 15:07 Uhr, 1657 Aufrufe, 6 Kommentare

Hallo,

es ist ja bekannt, dass Paketfilter so ihre Schwächen haben (Tunneling etc.). Allerdings gibt es ja auch einfachere Methoden, um einen Paketfilter überlisten zu können. Man benützt quasi die IP-Adresse eines Hosts, von dem man weiß, diesem werden mehr Rechte vom Paketfilter gewährt als einem selbst.

Nun stellt sich mir die Frage, ob es eine Möglichkeit gibt, diesen einfachen Angriff z.B. durch eine Authentifizierung am Paketfilter abwehren zu können?


LG

Mitglied: aqui
02.02.2014, aktualisiert um 15:51 Uhr
Diese lapidare Aussage gilt aber nur für einfache, statische Paketfilter und ist nur sehr bedingt richtig. Bei einer SPI Firewall oder einem Router der SPI States in den Filtern mit berücksichtigt ist das dann nicht mehr so einfach... Schon gar nicht bei Content aware Firewalls oder Routern, da ist dann auch mit Tunneling usw. Schicht im Schacht !
Du kannst aber auch eine Authentisierung erzwingen um überhaupt aus einem Segment rauszukommen. Bessere Switches und auch Router machen das mit 802.1x oder einer Web Authentisierung so quasi wie ein Hotspot.
Näheres zu diesen Verfahren erklären dir diese Forumstutorials:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
bzw.
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: teret4242
02.02.2014, aktualisiert um 16:12 Uhr
Zitat von aqui:
Diese lapidare Aussage gilt aber nur für einfache, statische Paketfilter und ist nur sehr bedingt richtig. Bei einer SPI
Firewall oder einem Router der SPI States in den Filtern mit berücksichtigt ist das dann nicht mehr so einfach...

Aus welchem Grund soll das dann nicht mehr so einfach sein? Wir reden hier ja von ausgehendem Datenverkehr, nicht von eingehendem...

Du kannst aber auch eine Authentisierung erzwingen um überhaupt aus einem Segment rauszukommen.

Klar, 802.1X wäre sicherlich eine der besten Möglichkeiten. Allerdings auch nur um einen Host/User generell für das Netzwerk/VLAN zu authentifizieren. Ist der Host bzw. User allerdings erstmal autorisiert, dann wird immer noch nicht geprüft, ob der Host mit der IP-Adresse xy tatsächlich der Host ist, der die IP-Adresse normalerweise haben sollte.
Bitte warten ..
Mitglied: aqui
02.02.2014, aktualisiert um 16:26 Uhr
Aus welchem Grund soll das dann nicht mehr so einfach sein?
Weil du dann z.B. als Angreifer die TCP Connection States mitberücksichtigen musst und dann ist das Faken einer IP oder Mac bzw. 2 Wege Datenstrom nicht mehr ganz so einfach. Ganz unterbinden kannst du es nicht, das ist richtig.
Allerdings auch nur um einen Host/User generell für das Netzwerk/VLAN zu authentifizieren
802.1x geht soweit das du pro User auch dynamische Port Accesslisten auf diese User vergeben kannst. Es hat den Vorteil das bei online Änderung der IP oder der Mac der EaPoL Sitzungsschlüssel verworfen wird und eine Neuauthentisierung erforderlich ist.
Eine 100% wasserdichte Lösung gibt es mit .1x aber nur wenn du mit Client Zertifikaten arbeitest, allerdings schützt das auch nicht direkt vor dem Überlisten von ACLs durch Fake IPs.
Wie immer ist nur die Kombination mehrer Verfahren erfolgreich unter anderem auch das Detektieren von Duplicate IPs durch dynmasiches Auswerten von doppelten ARPs oder Gratious ARPs mit einem IDS System und dem Distribuieren von Logout ACLs.
Damit würdes du ein Netzwerk wasserdicht machen. Rein mit Packet ACLs ist es nicht zu 100% zu machen.
Bitte warten ..
Mitglied: Lochkartenstanzer
02.02.2014, aktualisiert um 16:33 Uhr
Zitat von teret4242:

durch eine Authentifizierung am
Paketfilter abwehren zu können?

Du könntest nur Hosts vorbeilassen, die per IPsec mit dir kommunizieren (Host-to-Host-Konfiguration).

lks
Bitte warten ..
Mitglied: teret4242
02.02.2014, aktualisiert um 16:36 Uhr
Zitat von aqui:
Rein mit Packet ACLs ist es nicht zu 100% zu machen.

Wäre auch zu einfach gewesen... Gibt es vielleicht Paketfilter die nicht nur auf Schicht 3/4 aktiv sind, sondern auch auf Schicht 2 (MAC-Adressen)? Dann wäre es zumindest nicht ganz so einfach wie rein IP-basierte ACL's.
Bitte warten ..
Mitglied: teret4242
02.02.2014 um 16:38 Uhr
Zitat von Lochkartenstanzer:
Du könntest nur Hosts vorbeilassen, die per IPsec mit dir kommunizieren (Host-to-Host-Konfiguration).

Und das unterstützen Paketfilter? Oder welche Art von Firewallmechanismus meinst du damit?
Bitte warten ..
Ähnliche Inhalte
VB for Applications
SOAP-Authentifizierung
Frage von MarcoBornVB for Applications15 Kommentare

Hallo Forum, ich bin absoluter Neuling im Bereich SOAP und muss einen SOAP-Request aus Excel heraus starten. Bei der ...

Windows Userverwaltung
Authentifizierung am RODC
gelöst Frage von Jannis92Windows Userverwaltung9 Kommentare

Moin Moin, ich bin gerade dabei, eine Zweigstelle von uns mit einem RODC auszustatten. Mit den Richtlinien usw. Funktioniert ...

LAN, WAN, Wireless
802.1X-Authentifizierung
gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Verschlüsselung & Zertifikate
Starke Authentifizierung
Frage von westberlinerVerschlüsselung & Zertifikate10 Kommentare

Hallo Zusammen, wir haben jetzt die Anforderung bkommen, für einen Teil unserer Computer im Netzwerk eine starke Authentifizierung zu ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 2 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 16 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...