Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ethernet verschlüsseln oder sichern sinnvoll?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

29.03.2010 um 08:28 Uhr, 4772 Aufrufe, 9 Kommentare

Liebe Mitstreiter,

bei einer SOHO-Installation geht das Ethernet-Kabel vom alten Büro (Server, Router, Switches etc) zu neuen Räumen (8 PC-Arbeitsplätze), die da mit dran hängen. Jetzt haben wir festgestellt, dass die Verbindung zwischen beiden etwa 10m über einen relativ leicht zugänglichen Kabelschacht im öffentlichen Treppenhaus geht, d.h. jeder könnte da physisch ran.

Soll ich das irgendwie absichern/verschlüsseln und wenn ja wie.

Danke derweil!
Mitglied: Arch-Stanton
29.03.2010 um 08:36 Uhr
Wenn Eure Daten einen höheren Schutz benötigen, als die vom Pentagon, könntest Du den frei zugänglichen Leitungsteil eventuell in ein halboffenes Kunstoffrohr legen und dann mit tape umwickeln. Der einzige Zugriff wäre ja der, daß da jemand die Leitung durchschneidet, die Enden patcht und einen Hub dazwischen setzt und snifft, der Aufwand wäre ja immens.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: manuel-r
29.03.2010 um 08:42 Uhr
Ob ihr das solltet oder nicht hält von dem Verhältnis aus Gefährdungspotential und Kosten-Nutzen-Analyse ab. Technisch ist es (bspw. Win Server 20008) durchaus machbar im LAN bspw. IPSec zu machen. Dann kann ein Mithörer mit dem Gebrabbel auf der Leitung nichts anfangen. Dafür muss dann aber eine durchaus nicht gerade simple PrivateKeyInfrastructure (PKI) etabliert werden, die auch wieder jemand managen muss und alle Netzwerkgeräte müssen mitspielen können. Wenn es nicht unbedingt sein muss, würde ich mir das freiwillig nicht unbedingt ans Bein hängen wollen.
Vielleicht reicht es ja schon, wenn ihr einfach statt Kupfer auf LWL umsteigt auf der Verbindung zwischen altem und neuem Büro. Das ist nicht ganz so einfach anzuzapfen. Immerhin müsste man die Leitung auftrennen, neue Verbinder aufspleissen und eine Signalauskopplung einbringen. Das macht man nicht im Vorbeigehen.
Oder ihr macht zwischen altem und neuem Büro eine End-to-End-Verschlüsselung mit zwei IPCops, Edians, Smoothwalls, Monowalls,...

Manuel
Bitte warten ..
Mitglied: maretz
29.03.2010 um 09:03 Uhr
Moin,

absichern? Ja - indem nicht jede Pappnase einfach direkt an den Kabelschacht kommt. Allerdings würde ich da eine vernünftige Abdeckung eher nutzen... (das hat dann aber auch eher was damit zu tun das da ggf. mal nen Stromkabel läuft...)

Verschlüsseln usw.: Sorry, halte ich für Unsinn. Wenn der Kabelschacht selbst leicht zugänglich ist dann bringt die Verschlüsselung rein gar nichts. Hört sich für mich ehrlich gesagt auch eher nach "Spielwiese für die EDV" bei euch an... Denn: Was machst du wenn der böse Mensch einfach nen kleinen Switch vor dem PC am Ende stellt? Oder sind eure PCs auch in Stahlkäfigen eingeschlossen? Und ich halte die Chance für einen kleinen Switch (vom Mitarbeiter ggf. selbst angebracht damit er mit seinem privaten Laptop auch surfen kann) vorm Rechner für deutlich höher als das jemand das Kabel im Kabelschacht anzapft... Und wenn dann wird derjenige idR. bessere Dinge kennen als das Kabel physikalisch anzufassen...
Bitte warten ..
Mitglied: manuel-r
29.03.2010 um 09:37 Uhr
@maretz:
Ich bin grundsätzlich auf deiner Seite, dass man es nicht übertreiben muss. Aber gegen
wenn der böse Mensch einfach nen kleinen Switch vor dem PC am Ende stellt [...] damit er mit seinem privaten Laptop auch surfen kann
gibt es ein probates Mittel wenn man will oder muss: 802.1x

Wenn der Kabelschacht selbst leicht zugänglich ist dann bringt die Verschlüsselung rein gar nichts
Ist so nicht ganz richtig: Bei vernünftiger Schlüsselstärke komme ich ohne den Schlüssel nicht an die Daten ran. Da kann ich tagelang mitschneiden wenn ich will.
Bitte warten ..
Mitglied: maretz
29.03.2010 um 09:43 Uhr
Moin,

jap, 802 geht schon. Aber die Frage ist wieviele Leute das in der praxis wirklich aktiv haben... Natürlich kann ich auch mit Radius usw. alles arbeiten - nur seien wir mal ehrlich: Wenn 10% aller Betriebe sowas haben dann ist das schon hoch gegriffen...

Und das mit dem Verschlüsseln ist so eine Sache: Auch da halte ich gegen. Du kannst nen Schlüssel mit 5 MBit nutzen ("fuck for 512 Bit-Schlüssel" ;) ) - und in dem Moment wo die Sekretärin ihr Passwort am Monitor befestigt hat sich das Spiel schon erledigt.

Versteh das nicht falsch: Ich bin sicher nicht dafür jedes System offen zu lassen. Aber Sicherheit ist eben kein einzelner Punkt. Und bevor ich anfange zu prüfen ob ich die Ethernet-Daten die im Kabel laufen verschlüsseln kann habe ich gleich eine ganze Reihe von anderen Ansatzpunkten. Und ich glaube im "SOHO"-Bereich wirst du kaum ein Netz finden bei dem die Absicherung nennenswert ist - allein schon aus dem Grund das der Admin dafür ein bisserl fähig sein muss und entsprechend kostet. Und im SOHO-Bereich ist dieser Kostenpunkt meistens einfach nicht drin (und wäre auch wirtschaftlicher Schwachsinn - wenn ich 5 Angestellte habe dann ist das noch so überschaubar das ich mit vertrauen arbeiten kann... )
Bitte warten ..
Mitglied: manuel-r
29.03.2010 um 09:59 Uhr
Ich sag ja: Wir sind einer Meinung
Wenn ich an die Daten in einem Unternehmen ran wollte würde ich nur als allerletzte Möglichkeit irgendwo ein Kabel anzapfen. Da gibt es viel einfachere Mittel und Wege, die auch erst nach einiger Zeit auffallen.
Einfaches Beispiel ist der immer wieder gerne genommene Anrufer, der sich als Support XY ausgibt und mal wegen irgendwas wichtigem das Passwort von Mitarbeiter X braucht. Wenn ich das habe muss ich nur noch abends mit der Putzkolonne ins Büro und gut ist's.
Oder man schickt einen als Spaßmail getarnten Keylogger. Oder irgendwas kleines, was die Dateien nach Suchkriterium Y durchsucht und das Gefundene in kleinen Häppchen per Mail verschickt oder auf einen Webserver hochlädt. Machbar ist da vieles. Und vieles davon ist mit einem ungleich geringeren Risiko verbunden entdeckt zu werden als in ein Gebäude zu gehen und dort eine Leitung anzuzapfen.
Alles in allem gebe ich dir also Recht. Ich würde mir (das schrieb ich ja bereits) so eine "Spielwiese der EDV" nicht freiwillig ans Bein nageln. Jede Maßnahme, die potentiell dazu in der Lage ist die Sicherheit zu erhöhen ist nämlich auch potentiell dazu in der Lage die Fehlersuche zu erschweren oder sogar erst Fehler zu verursachen, die man ohne die Maßnahme nicht gehabt hätte.
Bitte warten ..
Mitglied: maretz
29.03.2010 um 10:45 Uhr
Du hast zwei potenzielle Probleme sogar noch vergessen ;)

a) Jede erhöhung der Sicherheit verringert auch gleichzeitig die Arbeitsgeschwindigkeit. Egal ob es das Passwort ist (nehmen wir an ich erhöhe die Sicherheit - jeder Benutzer muss nen 20-Zeichen-Passwort eingeben -> so oft wie das vergessen wird und die erstmal nachfragen müssen verringert sich die Arbeitsgeschwindigkeit). Oder wir nehmen die Verschlüsselung -> das braucht natürlich immer Zeit zum Ver- und Entschlüsseln der Daten. Und wenn dann ein Fehler auftritt dann sucht man sich nen Wolf...

b) Jede erhöhung der Sicherheit zieht auch häufig den Unmut der Benutzer nach sich. Denn: Die wollen idR. nur Arbeiten. Haue ich denen nen 20-Zeichen-Passwort als Pflicht rein dann hauen die mir auch was rein... Müssen die erstmal z.B. nen Datencontainer per PW öffnen um Arbeiten zu können (oder sogar um den Rechner zu starten weil ich aus Sicherheitsgründen die ganze Sys-Platte verschlüsselt habe) dann finden die das idR. weniger komisch...

Natürlich - wenn ich beim BND arbeite und dort eine entsprechende Sicherheitsfreigabe hab -> DANN muss ich mir sowas überlegen. Die Leute dort werden dann auch nachvollziehen können warum die sich da mit ner Smartcard, 5 Fingerabdrücken und ner Blutprobe anmelden müssen. Wenn ich das aber im normalen Büro mache dann muss ich den Kollegen erklären warum ich das für seine Word-Datei so kompliziert mache. Und das dürfte beim SoHo-Unternehmen zu 99,95% dann intressant werden - aber auch Überflüssig ;)
Bitte warten ..
Mitglied: mrtux
29.03.2010 um 12:21 Uhr
Hi !

Unser Elektriker würde sagen: Stapa-Rohr

mrtux
Bitte warten ..
Mitglied: sysad
29.03.2010 um 14:00 Uhr
Zitat von Arch-Stanton:
Wenn Eure Daten einen höheren Schutz benötigen, als die vom Pentagon, könntest Du den frei zugänglichen
Leitungsteil eventuell in ein halboffenes Kunstoffrohr legen und dann mit tape umwickeln.

Da nehme ich dann ein gewebeverstärktes Sicherheitsklebeband...

Der einzige Zugriff wäre ja der,
daß da jemand die Leitung durchschneidet, die Enden patcht und einen Hub dazwischen setzt und snifft, der Aufwand wäre
ja immens.

Danke, das wollte ich hören......
PS: Das gleiche Problem tritt ja eher bei Telefonleitungen auf, die laufen fast überall irgendwie anzapfbar durch blosse leichtes Abisolieren.


Gruß, Arch Stanton
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Fileserver Verschlüsseln (16)

Frage von Eisern zum Thema Verschlüsselung & Zertifikate ...

TK-Netze & Geräte
PfSense auf welcher Hardware sinnvoll nutzbar? (7)

Frage von cerberus90 zum Thema TK-Netze & Geräte ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Datenbanken
gelöst Row Number bei einer Abfrage sinnvoll einsetzen (1)

Frage von Aximand zum Thema Datenbanken ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...