Arktur-FAQ

Frage: Erhöht ein Switch die Sicherheit?

• Ich würde gerne mal mit eigenen Augen sehen, wie ein Schüler ein Passwort aus dem X11-Traffic in einem geswitchten Netz herausfiltert - trivial ist das nicht..
• Doch: "apt-cache search sniff" ergibt bei mir 42 Pakete, von denen mindestens 10 das auf Anhieb koennen. (z.b. ethereal, ettercap, dsniff, ... )
• Bitte erzähle mal mehr!

Das Problem ist ein Denkfehler:

es wird angenommen, dass geswitchte Netzwerke dazu dienen, die Sicherheit zu erhoehen

Das ist falsch. Der einzige Grund liegt darin, das Netzwerk effizienter zu machen.

Kurz: wie man recht einfach einen Switch dazu bringen kann, dass man auch Pakete vom "Ziel" Host bekommt: einfach ein paar Arp-Pakete mit der "richtigen" MAC-Adresse im Netz verschicken, und sofort bekommt man vom Switch auch schon Pakete von der MAC-Adresse. Einzelne Hersteller gehen da ueblicherweise getrennte Wege, im allgemeinen funktioniert das aber so.

Passworter aus einem Protokoll zu filtern erledigt DSNIFF fuer folgende Protokolle per Default:

• FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase, MS SQL

und mit ettercap kann man auch per default in geswitchten Netzen mal ein paar Pakete mitschneiden:

Generell kann ich nur empfehlen, dass die Leute mal mit den beiden Tools spielen. Es ist immer wieder nett zu sehen, wie einfach es ist, gerade von POP- oder IMAP-Accounts oder gar SSHv1 Kennwoerter zu klauen. (ettercap kann recht einfach eine Man-In-The-Middle-Attacke auf SSHv1 fahren)

Wenn man nun wirklich das Netz sicherer machen will:

- SSH-Keys der Hosts statisch in
/etc/ssh/ssh_known_hosts
eintragen, und per Default SSH auf paranoid setzen mit der Option:
StrictHostKeyChecking im /etc/ssh/ssh_config
Das verhindert, dass jemand SSH leicht aushebelt.

- Zum Sniffen: hier kann man nur entweder total fanatisch sein oder es gleich sein lassen oder hoffen, dass wenig auch viel hilft..

• einfach ist es, grundsaetzlich alle Kennwoerter nur ueber SSL/SSH weiterzugeben.
• arpwatch kann eingesetzt werden, z.b. auch auf OpenWRT-Teilen, um den Ueberblick zu behalten, welche Rechner im Netz was tun, und mit etwas Glueck erkennt man auch Angriffsversuche
• die MAC-Adressen der Clients am Server statisch eintragen hilft, den Server vor ARP-Spoofing zu schuetzen (ein Client "klaut" sich die IP-Adresse eines anderen)
• Wenn man kann, kann man am Switch die MAC-Adressen der Clients fix eintragen und dem Switch verbieten, dynamische Clients im Netz zuzulassen. Das ganze ist aber mit recht grossen praktischen Problemen verbunden, z.b. Debuggen wird damit zur Hoelle.
• Was ich selbst leider noch nie versucht habe (steht aber auf meiner Liste), ist SWITCH-VLAN-RADIUS, das sollte erlauben, Clients erst dann eine Serververbindung zu geben, wenn diese sich am Radius Server mit authentifiziert haben.

- Wirklich beseitigt wird das Problem, wenn man:

• IPSEC, oder ein VPN im Netz einsetzt. Leider gibt es fuer beides keine "einfache" Default-Konfiguration, die man einfach so auf die schnell im Netz mal installiert.

(Florian Reitmeir, skolelinux)