Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sichere Verbindung im LAN

Frage Netzwerke

Mitglied: 47485

47485 (Level 1)

29.04.2007, aktualisiert 21.03.2009, 4754 Aufrufe, 4 Kommentare

Hallo Forum,

ich bin dank google auf euch aufmerksam geworden und würde mal gerne eine Diskussionsrunde anwerfen.
Da Ich Student bin, bin ich letztens aus Kostengründen in ein Studentenwohnheim gezogen.

Wir haben hier ein Netzwerk mit einem zentralen Gateway auf der üblichen 192.168.1.1.
Nun hat jeder Student seine eigene feste IP Adresse bekommen.

Leider gibt es hier sehr viele... naja, sagen wir mal... unseriöse Typen.
Es ist ja bekanntlich keine Schwierigkeit mittels einfachen Tools wie ettercap und Wireshark selbst in geswichten LANs den Netzwerkverkehr auf seinen Rechner umlegen zu lassen und dann mittels des eben genannten Sniffers alles mitzulesen.
Als Informatikstudent testet man sowas natürlich auch und ich fand es erschreckend, wie einfach man private Infos mitlesen konnte. Vorher musste ich mir da nie Gedanken drüber machen da ich mein eigenes Netz hatte.
ICQ Mitteilungen, Emails, besuchte Webseiten, ja selbst Passwörter auf verschlüsselten Seiten konnten mit ein bisschen Arbeit und Know-how abgefangen werden...

Nun stellt sich mir natürlich die Frage, wie man sich gegen ein so genanntes ARP-Spoofing schützen kann.
Eine Lösung wäre, dem Switch feste IP - Mac Verbindungen zu geben. Das hier aber ein enormer administrativer Aufwand nötig ist, brauche ich ja nicht erwähnen ;)
Eine andere Möglichkeit wäre noch Snort oder arpwatch als Präventivschutz einzusetzen, allerdings melden die Programme nur so einen Angriff. Snort sogar erst nachdem der Angriff vorbei ist... also kein Echtzeitschutz.

Am besten wäre es, wenn man jede IP in ein eigenes VPN sperrt. Das Problem ist nur, dass ich auf den Router keine Adminrechte habe und die Admins hier auch eher Hobbyseitig arbeiten.

Besteht die Möglichkeit, irgendwie als normaler LAN-User seine IP mittels VPN an den Router zu binden, damit andere nicht mitsniffen können?

Ansonsten bin ich auch für andere Lösungen offen!
Ich hoffe auf eine rege Beteiligung ;)

Danke und Gruß,
seels
Mitglied: Dynadrate
29.04.2007 um 20:54 Uhr
Ich würde sagen: Nein. Sobald man Teilnehmer eines Netzwerkes ist und Dienste nutzt, die über dieses Netzwerk die Daten transportiert, muss man selbst drauf achten, das die Gegenstelle Verschlüsselung unterstützt (z.B. SLL für E-Mails, Miranda als ICQ Client (MD5-Verschlüsselung))
Mir ist nicht bekannt, dass man Plaintext aus einem https Stream herausfiltern kann.
Dem Problem mit den besuchten Webseiten kannst du aus dem Weg gehen indem du einen Proxy einsetzt.
Bitte warten ..
Mitglied: catmin
30.04.2007 um 10:49 Uhr
VPN ist da wohl die klügste Lösung, weil nicht jedes Programm irgendein Verschlüsselungsfeature bereitstellt. Außerdem muss nicht jeder deinen http-Verkehr mitschneiden können...

(Router-VPN... nur wenns die Kiste kann.)

Falls du einen externen VPN-Dienst benutzen/basteln kannst und VPN nach draußen(Internet) geht, wäre die Verbindung zum VPN-Server gesichert. Die externe Maschine könntest du dann als Proxy (siehe Beitrag von Dynadrate) benutzen.

Sollen die Geeks mal versuchen einen PPTP oder L2TP/IPsec Verkehr abzuhören...


RFC catmin

P.S.: https sollte noch sicher sein.
Bitte warten ..
Mitglied: aqui
30.04.2007 um 16:19 Uhr
Nein, VPN ist die teureste und am schwierigsten zu administrierende Lösung.
Technisch besser wäre es hier sog. Private VLANs auf dem Switch zu benutzen !
Bei einem PVLAN werden keine Broad- und Unicasts an die Teilnehmerports geschickt sondern nur an einen vorab im Switch definierten Uplink Port (...wo der Router draufsteckt oder der Uplink Switch)
Damit ist dann keinerlei Any to Any Kommunikation im Studenten LAN mehr möglich !
Allerdings fällt dann auch ein Filesharing etc. untereinander flach.
Heutzutage supporten auch relativ preiswerte Switches so ein Feature.
Meist wird aber an den Switches für Wohnheime gespart und unmanagebare Taiwanswitches sind dann gerade gut genug. Warum sollte man auch mehr investieren....?
Dann hast du natürlich keine Chance und es gibt kein Ausweg aus dem Dilemma, leider.

Um dich selber zu schützen könnte man einen DSL (WLAN)Router erwerben der 2 Ethernet Interfaces hat wo man dann sein eigenes LAN/WLAN per NAT vom Wohnheimnetz abtrennen kann.
So hat man jedenfalls die Gewissheit das niemand die Rechner hinter dem NAT Router kompromitieren kann. Nebenbei, (wenn es ein WLAN Router ist...) hätte ich auch noch mein abgetrenntes eigenes WLAN gesichert vom Studi LAN.
Gegen ein ARP Spoofing bist du aber auch damit nicht gefeit, denn den Schutz dagegen müsste man in jedem Falle auf der Switchhardware implementieren !
Bitte warten ..
Mitglied: catmin
30.04.2007 um 17:03 Uhr
vlan... coole idee. An das hab' ich noch gar nicht gedacht.
Was sagt die Geldbörse?

Naja. So schlimm ist ein VPN auch nicht.
Wie siehts in der Umgebung aus?
Verwandte, Bekannte, Freunde mit Server?
Möglicherweise auf der UNI ein VPN-Dienst?
Dann würd' das möglicherweise gehen.

Vorteil wäre der geringe Aufwand am Client...

-catmin

nochmal @aqui
vlan kenn ich, hab ich aber noch nie aufgezogen.
Funktioniert das echt so cool, wie das in den Referenzen steht?
bez. Sicherheit, Abgrenzung, ...
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Voice over IP
LAN zu Lan Verbindung VOIP (4)

Frage von Gunnar2100 zum Thema Voice over IP ...

Router & Routing
VPN in LAN-LAN Verbindung zwischen zwei Fritzbox-Netzwerken in DMZ (3)

Frage von Molar88 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...