47485
Apr 29, 2007, updated at Mar 21, 2009 (UTC)
5590
4
0
Sichere Verbindung im LAN
Hallo Forum,
ich bin dank google auf euch aufmerksam geworden und würde mal gerne eine Diskussionsrunde anwerfen.
Da Ich Student bin, bin ich letztens aus Kostengründen in ein Studentenwohnheim gezogen.
Wir haben hier ein Netzwerk mit einem zentralen Gateway auf der üblichen 192.168.1.1.
Nun hat jeder Student seine eigene feste IP Adresse bekommen.
Leider gibt es hier sehr viele... naja, sagen wir mal... unseriöse Typen.
Es ist ja bekanntlich keine Schwierigkeit mittels einfachen Tools wie ettercap und Wireshark selbst in geswichten LANs den Netzwerkverkehr auf seinen Rechner umlegen zu lassen und dann mittels des eben genannten Sniffers alles mitzulesen.
Als Informatikstudent testet man sowas natürlich auch und ich fand es erschreckend, wie einfach man private Infos mitlesen konnte. Vorher musste ich mir da nie Gedanken drüber machen da ich mein eigenes Netz hatte.
ICQ Mitteilungen, Emails, besuchte Webseiten, ja selbst Passwörter auf verschlüsselten Seiten konnten mit ein bisschen Arbeit und Know-how abgefangen werden...
Nun stellt sich mir natürlich die Frage, wie man sich gegen ein so genanntes ARP-Spoofing schützen kann.
Eine Lösung wäre, dem Switch feste IP - Mac Verbindungen zu geben. Das hier aber ein enormer administrativer Aufwand nötig ist, brauche ich ja nicht erwähnen ;)
Eine andere Möglichkeit wäre noch Snort oder arpwatch als Präventivschutz einzusetzen, allerdings melden die Programme nur so einen Angriff. Snort sogar erst nachdem der Angriff vorbei ist... also kein Echtzeitschutz.
Am besten wäre es, wenn man jede IP in ein eigenes VPN sperrt. Das Problem ist nur, dass ich auf den Router keine Adminrechte habe und die Admins hier auch eher Hobbyseitig arbeiten.
Besteht die Möglichkeit, irgendwie als normaler LAN-User seine IP mittels VPN an den Router zu binden, damit andere nicht mitsniffen können?
Ansonsten bin ich auch für andere Lösungen offen!
Ich hoffe auf eine rege Beteiligung ;)
Danke und Gruß,
seels
ich bin dank google auf euch aufmerksam geworden und würde mal gerne eine Diskussionsrunde anwerfen.
Da Ich Student bin, bin ich letztens aus Kostengründen in ein Studentenwohnheim gezogen.
Wir haben hier ein Netzwerk mit einem zentralen Gateway auf der üblichen 192.168.1.1.
Nun hat jeder Student seine eigene feste IP Adresse bekommen.
Leider gibt es hier sehr viele... naja, sagen wir mal... unseriöse Typen.
Es ist ja bekanntlich keine Schwierigkeit mittels einfachen Tools wie ettercap und Wireshark selbst in geswichten LANs den Netzwerkverkehr auf seinen Rechner umlegen zu lassen und dann mittels des eben genannten Sniffers alles mitzulesen.
Als Informatikstudent testet man sowas natürlich auch und ich fand es erschreckend, wie einfach man private Infos mitlesen konnte. Vorher musste ich mir da nie Gedanken drüber machen da ich mein eigenes Netz hatte.
ICQ Mitteilungen, Emails, besuchte Webseiten, ja selbst Passwörter auf verschlüsselten Seiten konnten mit ein bisschen Arbeit und Know-how abgefangen werden...
Nun stellt sich mir natürlich die Frage, wie man sich gegen ein so genanntes ARP-Spoofing schützen kann.
Eine Lösung wäre, dem Switch feste IP - Mac Verbindungen zu geben. Das hier aber ein enormer administrativer Aufwand nötig ist, brauche ich ja nicht erwähnen ;)
Eine andere Möglichkeit wäre noch Snort oder arpwatch als Präventivschutz einzusetzen, allerdings melden die Programme nur so einen Angriff. Snort sogar erst nachdem der Angriff vorbei ist... also kein Echtzeitschutz.
Am besten wäre es, wenn man jede IP in ein eigenes VPN sperrt. Das Problem ist nur, dass ich auf den Router keine Adminrechte habe und die Admins hier auch eher Hobbyseitig arbeiten.
Besteht die Möglichkeit, irgendwie als normaler LAN-User seine IP mittels VPN an den Router zu binden, damit andere nicht mitsniffen können?
Ansonsten bin ich auch für andere Lösungen offen!
Ich hoffe auf eine rege Beteiligung ;)
Danke und Gruß,
seels
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 57746
Url: https://administrator.de/contentid/57746
Printed on: May 10, 2024 at 23:05 o'clock
4 Comments
Latest comment
Ich würde sagen: Nein. Sobald man Teilnehmer eines Netzwerkes ist und Dienste nutzt, die über dieses Netzwerk die Daten transportiert, muss man selbst drauf achten, das die Gegenstelle Verschlüsselung unterstützt (z.B. SLL für E-Mails, Miranda als ICQ Client (MD5-Verschlüsselung))
Mir ist nicht bekannt, dass man Plaintext aus einem https Stream herausfiltern kann.
Dem Problem mit den besuchten Webseiten kannst du aus dem Weg gehen indem du einen Proxy einsetzt.
Mir ist nicht bekannt, dass man Plaintext aus einem https Stream herausfiltern kann.
Dem Problem mit den besuchten Webseiten kannst du aus dem Weg gehen indem du einen Proxy einsetzt.
VPN ist da wohl die klügste Lösung, weil nicht jedes Programm irgendein Verschlüsselungsfeature bereitstellt. Außerdem muss nicht jeder deinen http-Verkehr mitschneiden können...
(Router-VPN... nur wenns die Kiste kann.)
Falls du einen externen VPN-Dienst benutzen/basteln kannst und VPN nach draußen(Internet) geht, wäre die Verbindung zum VPN-Server gesichert. Die externe Maschine könntest du dann als Proxy (siehe Beitrag von Dynadrate) benutzen.
Sollen die Geeks mal versuchen einen PPTP oder L2TP/IPsec Verkehr abzuhören...
RFC catmin
P.S.: https sollte noch sicher sein.
(Router-VPN... nur wenns die Kiste kann.)
Falls du einen externen VPN-Dienst benutzen/basteln kannst und VPN nach draußen(Internet) geht, wäre die Verbindung zum VPN-Server gesichert. Die externe Maschine könntest du dann als Proxy (siehe Beitrag von Dynadrate) benutzen.
Sollen die Geeks mal versuchen einen PPTP oder L2TP/IPsec Verkehr abzuhören...
RFC catmin
P.S.: https sollte noch sicher sein.
Nein, VPN ist die teureste und am schwierigsten zu administrierende Lösung.
Technisch besser wäre es hier sog. Private VLANs auf dem Switch zu benutzen !
Bei einem PVLAN werden keine Broad- und Unicasts an die Teilnehmerports geschickt sondern nur an einen vorab im Switch definierten Uplink Port (...wo der Router draufsteckt oder der Uplink Switch)
Damit ist dann keinerlei Any to Any Kommunikation im Studenten LAN mehr möglich !
Allerdings fällt dann auch ein Filesharing etc. untereinander flach.
Heutzutage supporten auch relativ preiswerte Switches so ein Feature.
Meist wird aber an den Switches für Wohnheime gespart und unmanagebare Taiwanswitches sind dann gerade gut genug. Warum sollte man auch mehr investieren....?
Dann hast du natürlich keine Chance und es gibt kein Ausweg aus dem Dilemma, leider.
Um dich selber zu schützen könnte man einen DSL (WLAN)Router erwerben der 2 Ethernet Interfaces hat wo man dann sein eigenes LAN/WLAN per NAT vom Wohnheimnetz abtrennen kann.
So hat man jedenfalls die Gewissheit das niemand die Rechner hinter dem NAT Router kompromitieren kann. Nebenbei, (wenn es ein WLAN Router ist...) hätte ich auch noch mein abgetrenntes eigenes WLAN gesichert vom Studi LAN.
Gegen ein ARP Spoofing bist du aber auch damit nicht gefeit, denn den Schutz dagegen müsste man in jedem Falle auf der Switchhardware implementieren !
Technisch besser wäre es hier sog. Private VLANs auf dem Switch zu benutzen !
Bei einem PVLAN werden keine Broad- und Unicasts an die Teilnehmerports geschickt sondern nur an einen vorab im Switch definierten Uplink Port (...wo der Router draufsteckt oder der Uplink Switch)
Damit ist dann keinerlei Any to Any Kommunikation im Studenten LAN mehr möglich !
Allerdings fällt dann auch ein Filesharing etc. untereinander flach.
Heutzutage supporten auch relativ preiswerte Switches so ein Feature.
Meist wird aber an den Switches für Wohnheime gespart und unmanagebare Taiwanswitches sind dann gerade gut genug. Warum sollte man auch mehr investieren....?
Dann hast du natürlich keine Chance und es gibt kein Ausweg aus dem Dilemma, leider.
Um dich selber zu schützen könnte man einen DSL (WLAN)Router erwerben der 2 Ethernet Interfaces hat wo man dann sein eigenes LAN/WLAN per NAT vom Wohnheimnetz abtrennen kann.
So hat man jedenfalls die Gewissheit das niemand die Rechner hinter dem NAT Router kompromitieren kann. Nebenbei, (wenn es ein WLAN Router ist...) hätte ich auch noch mein abgetrenntes eigenes WLAN gesichert vom Studi LAN.
Gegen ein ARP Spoofing bist du aber auch damit nicht gefeit, denn den Schutz dagegen müsste man in jedem Falle auf der Switchhardware implementieren !
vlan... coole idee. An das hab' ich noch gar nicht gedacht.
Was sagt die Geldbörse?
Naja. So schlimm ist ein VPN auch nicht.
Wie siehts in der Umgebung aus?
Verwandte, Bekannte, Freunde mit Server?
Möglicherweise auf der UNI ein VPN-Dienst?
Dann würd' das möglicherweise gehen.
Vorteil wäre der geringe Aufwand am Client...
-catmin
nochmal @aqui
vlan kenn ich, hab ich aber noch nie aufgezogen.
Funktioniert das echt so cool, wie das in den Referenzen steht?
bez. Sicherheit, Abgrenzung, ...
Was sagt die Geldbörse?
Naja. So schlimm ist ein VPN auch nicht.
Wie siehts in der Umgebung aus?
Verwandte, Bekannte, Freunde mit Server?
Möglicherweise auf der UNI ein VPN-Dienst?
Dann würd' das möglicherweise gehen.
Vorteil wäre der geringe Aufwand am Client...
-catmin
nochmal @aqui
vlan kenn ich, hab ich aber noch nie aufgezogen.
Funktioniert das echt so cool, wie das in den Referenzen steht?
bez. Sicherheit, Abgrenzung, ...
