Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sichere Verbindung im LAN

Mitglied: 47485

47485 (Level 1)

29.04.2007, aktualisiert 21.03.2009, 4804 Aufrufe, 4 Kommentare

Hallo Forum,

ich bin dank google auf euch aufmerksam geworden und würde mal gerne eine Diskussionsrunde anwerfen.
Da Ich Student bin, bin ich letztens aus Kostengründen in ein Studentenwohnheim gezogen.

Wir haben hier ein Netzwerk mit einem zentralen Gateway auf der üblichen 192.168.1.1.
Nun hat jeder Student seine eigene feste IP Adresse bekommen.

Leider gibt es hier sehr viele... naja, sagen wir mal... unseriöse Typen.
Es ist ja bekanntlich keine Schwierigkeit mittels einfachen Tools wie ettercap und Wireshark selbst in geswichten LANs den Netzwerkverkehr auf seinen Rechner umlegen zu lassen und dann mittels des eben genannten Sniffers alles mitzulesen.
Als Informatikstudent testet man sowas natürlich auch und ich fand es erschreckend, wie einfach man private Infos mitlesen konnte. Vorher musste ich mir da nie Gedanken drüber machen da ich mein eigenes Netz hatte.
ICQ Mitteilungen, Emails, besuchte Webseiten, ja selbst Passwörter auf verschlüsselten Seiten konnten mit ein bisschen Arbeit und Know-how abgefangen werden...

Nun stellt sich mir natürlich die Frage, wie man sich gegen ein so genanntes ARP-Spoofing schützen kann.
Eine Lösung wäre, dem Switch feste IP - Mac Verbindungen zu geben. Das hier aber ein enormer administrativer Aufwand nötig ist, brauche ich ja nicht erwähnen ;)
Eine andere Möglichkeit wäre noch Snort oder arpwatch als Präventivschutz einzusetzen, allerdings melden die Programme nur so einen Angriff. Snort sogar erst nachdem der Angriff vorbei ist... also kein Echtzeitschutz.

Am besten wäre es, wenn man jede IP in ein eigenes VPN sperrt. Das Problem ist nur, dass ich auf den Router keine Adminrechte habe und die Admins hier auch eher Hobbyseitig arbeiten.

Besteht die Möglichkeit, irgendwie als normaler LAN-User seine IP mittels VPN an den Router zu binden, damit andere nicht mitsniffen können?

Ansonsten bin ich auch für andere Lösungen offen!
Ich hoffe auf eine rege Beteiligung ;)

Danke und Gruß,
seels
Mitglied: Dynadrate
29.04.2007 um 20:54 Uhr
Ich würde sagen: Nein. Sobald man Teilnehmer eines Netzwerkes ist und Dienste nutzt, die über dieses Netzwerk die Daten transportiert, muss man selbst drauf achten, das die Gegenstelle Verschlüsselung unterstützt (z.B. SLL für E-Mails, Miranda als ICQ Client (MD5-Verschlüsselung))
Mir ist nicht bekannt, dass man Plaintext aus einem https Stream herausfiltern kann.
Dem Problem mit den besuchten Webseiten kannst du aus dem Weg gehen indem du einen Proxy einsetzt.
Bitte warten ..
Mitglied: catmin
30.04.2007 um 10:49 Uhr
VPN ist da wohl die klügste Lösung, weil nicht jedes Programm irgendein Verschlüsselungsfeature bereitstellt. Außerdem muss nicht jeder deinen http-Verkehr mitschneiden können...

(Router-VPN... nur wenns die Kiste kann.)

Falls du einen externen VPN-Dienst benutzen/basteln kannst und VPN nach draußen(Internet) geht, wäre die Verbindung zum VPN-Server gesichert. Die externe Maschine könntest du dann als Proxy (siehe Beitrag von Dynadrate) benutzen.

Sollen die Geeks mal versuchen einen PPTP oder L2TP/IPsec Verkehr abzuhören...


RFC catmin

P.S.: https sollte noch sicher sein.
Bitte warten ..
Mitglied: aqui
30.04.2007 um 16:19 Uhr
Nein, VPN ist die teureste und am schwierigsten zu administrierende Lösung.
Technisch besser wäre es hier sog. Private VLANs auf dem Switch zu benutzen !
Bei einem PVLAN werden keine Broad- und Unicasts an die Teilnehmerports geschickt sondern nur an einen vorab im Switch definierten Uplink Port (...wo der Router draufsteckt oder der Uplink Switch)
Damit ist dann keinerlei Any to Any Kommunikation im Studenten LAN mehr möglich !
Allerdings fällt dann auch ein Filesharing etc. untereinander flach.
Heutzutage supporten auch relativ preiswerte Switches so ein Feature.
Meist wird aber an den Switches für Wohnheime gespart und unmanagebare Taiwanswitches sind dann gerade gut genug. Warum sollte man auch mehr investieren....?
Dann hast du natürlich keine Chance und es gibt kein Ausweg aus dem Dilemma, leider.

Um dich selber zu schützen könnte man einen DSL (WLAN)Router erwerben der 2 Ethernet Interfaces hat wo man dann sein eigenes LAN/WLAN per NAT vom Wohnheimnetz abtrennen kann.
So hat man jedenfalls die Gewissheit das niemand die Rechner hinter dem NAT Router kompromitieren kann. Nebenbei, (wenn es ein WLAN Router ist...) hätte ich auch noch mein abgetrenntes eigenes WLAN gesichert vom Studi LAN.
Gegen ein ARP Spoofing bist du aber auch damit nicht gefeit, denn den Schutz dagegen müsste man in jedem Falle auf der Switchhardware implementieren !
Bitte warten ..
Mitglied: catmin
30.04.2007 um 17:03 Uhr
vlan... coole idee. An das hab' ich noch gar nicht gedacht.
Was sagt die Geldbörse?

Naja. So schlimm ist ein VPN auch nicht.
Wie siehts in der Umgebung aus?
Verwandte, Bekannte, Freunde mit Server?
Möglicherweise auf der UNI ein VPN-Dienst?
Dann würd' das möglicherweise gehen.

Vorteil wäre der geringe Aufwand am Client...

-catmin

nochmal @aqui
vlan kenn ich, hab ich aber noch nie aufgezogen.
Funktioniert das echt so cool, wie das in den Referenzen steht?
bez. Sicherheit, Abgrenzung, ...
Bitte warten ..
Ähnliche Inhalte
Voice over IP
LAN zu Lan Verbindung VOIP
Frage von Gunnar2100Voice over IP4 Kommentare

Hallo Zusammen, ich habe da mal eine Frage ich habe über 2 Fritzboxen eine LAN zu Lan Verbindung realisiert. ...

Router & Routing
Routingfrage LAN LAN Verbindung
Frage von IrexesRouter & Routing2 Kommentare

Hallo, Folgendes Problem: Ich habe die Aufgabe eine 100%ig identische "Kopie" unserer Produktivumgebung zu bauen damit wir unsere Backup ...

Firewall
Management-LAN sichern
Frage von stephan902Firewall11 Kommentare

Hallo, bei der Abschirmung meines Management-LANs hab ich noch ein kleines Problem. Dazu erstmal ein kleiner Screenshot (siehe unten). ...

Webbrowser

Verbindung zu Mozilla.org nicht mehr sicher?!

Frage von D1Ck3nWebbrowser6 Kommentare

Hallo zusammen, mein Firefox (45.4.0 ESR) lässt mich nicht mehr auf die offizielle Mozilla Homepage (mozilla.org). Wenn ich versuche ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 2 TagenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 3 TagenHumor (lol)5 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Router & Routing
Router auf Orginal Firmware zurück flashen mit Tftpd
Frage von ILeonardRouter & Routing21 Kommentare

Hallo, Ich habe zwei Router, einmal TP-Link 841n v11 und TP-Link 940N v5. Ich wollte fragen, ob jemand mir ...

Router & Routing
WRT keine Verbindung zum Web Interface
gelöst Frage von ILeonardRouter & Routing18 Kommentare

Hallo, Ich habe einen TP-Link WR841n mit wrt geflasht, das Problem ist ich kann mich mit 192.168.1.1 nicht verbinden. ...

Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

TK-Netze & Geräte
Telefonie zweier Fritzboxen mit je eigenem DSL Anschluss verbinden
Frage von hannsgmaulwurfTK-Netze & Geräte10 Kommentare

Hallo zusammen, ich habe hier einen Haushalt mit zwei Anschlüssen. Einmal ISDN, einmal DSL. An jedem Anschluss hängt eine ...