Moin,
kann mir jemand sagen, wie ich mich vor ARP-Spoofing schützen kann?
thx
moe.
Hallo
kann mir jemand sagen, wie ich mich vor ARP-Spoofing schützen
kann?
Mit statischen ARP-Tables? Mit authentifizierten Verbindungen (damit erwischt man zumindest einen Teil der Auswirkungen).
Was genau ist das Problem, was Du lösen wilst?
Sebastian
moin
Mit statischen ARP-Tables? Mit authentifizierten Verbindungen
(damit erwischt man zumindest einen Teil der Auswirkungen).
Wie fange ich denn sowas an?
Was genau ist das Problem, was Du lösen wilst?
ich möchte vermeiden, dass der Protokoll-Transfer im Netzwerk ausgehört wird. Schließlich sind z.B. nicht alle Mail-Provider mit Passwort-Verschlüsselungen ausgestattet und sowas öffnet ja Tür und Tor. Aber im Grunde möchte ich jegliche Protokoll-Auslesung durch unauthorisierte verhindern.
moe.
Moien
ich möchte vermeiden, dass der Protokoll-Transfer im Netzwerk
ausgehört wird. Schließlich sind z.B. nicht alle Mail-Provider
mit Passwort-Verschlüsselungen ausgestattet und sowas öffnet
ja Tür und Tor. Aber im Grunde möchte ich jegliche
Protokoll-Auslesung durch unauthorisierte verhindern.
Gut. Und was genau hat das mit ARP zu tun ?
cu
Moin,
Gut. Und was genau hat das mit ARP zu tun ?
nun, mit ARP-Spoofing hab ich die Möglichkeit, mich zwischen den Host und den Server zu klemmen und alles „mitzuschneiden“ was zwischen denen so abläuft?! Oder nicht? Doch eigentlich bin ich mir da schon recht sicher, dass das so ist…
moe.
Moien
Gut. Und was genau hat das mit ARP zu tun ?
nun, mit ARP-Spoofing hab ich die Möglichkeit, mich zwischen
den Host und den Server zu klemmen
Das funktioniert nur und ausschliesslich im lokalen Ethernet resp. WLAN. Sobald die Daten dein Modem erreicht haben hast du da gar keine Kontrolle mehr.
Wenn es dir um die Sicherheit zwischen Mail-Server (irgendwo im Internet) und dir geht musst du auf Verschlüsselungen zurückgreifen. Wenn du tatsächlich dein lokales LAN absichern willst … stell ich mir Fragen zu deinen Mitbewohnern.
cu
moin
Das funktioniert nur und ausschliesslich im lokalen Ethernet
resp. WLAN. Sobald die Daten dein Modem erreicht haben hast du
da gar keine Kontrolle mehr.
ist klar
Wenn es dir um die Sicherheit zwischen Mail-Server (irgendwo
im Internet) und dir geht musst du auf Verschlüsselungen
zurückgreifen. Wenn du tatsächlich dein lokales LAN absichern
willst … stell ich mir Fragen zu deinen Mitbewohnern.
ja, es geht um ein lokales Firmen-LAN, und wer da alles so seinen Laptop mitschleppt möchte man oft gar nicht wissen…über ARP ist die STrecke zum Mailserver ohnehin nicht zugänglich (nach austritt aus dem LAN)
moe.
Hallo,
Wenn es dir um die Sicherheit zwischen Mail-Server (irgendwo
im Internet) und dir geht musst du auf Verschlüsselungen
zurückgreifen. Wenn du tatsächlich dein lokales LAN absichern
willst … stell ich mir Fragen zu deinen Mitbewohnern.
ja, es geht um ein lokales Firmen-LAN, und wer da alles so
seinen Laptop mitschleppt möchte man oft gar nicht
wissen…
Auwei.
Man kann mit sowas wie Snort Warnungen erzeugen, wenn jemand ungeschickt spooft …
über ARP ist die STrecke zum Mailserver ohnehin
nicht zugänglich (nach austritt aus dem LAN)
Ja, einfach für alles, was nicht öffentlich ist, Verschlüsselung benutzen.
Intern ggfs IPSec implemantieren.
Problem solved.
Sebastian
moin
Man kann mit sowas wie Snort Warnungen erzeugen, wenn jemand
ungeschickt spooft …
schon mal nicht schlecht. Zu wissen DASS da was läuft reicht ja auch schon mal… welches Programm liefert mir solche „snort“ Warnungen, oder wie erzeuge ich sowas sonst und was bedeutet „ungeschickt“? Wen würde ich kriegen, und wen nicht??
Intern ggfs IPSec implemantieren.
Was genau tut dieses IPSec? Gibt mir das nur wie „snort“ an, das da was läuft? oder wird da was unterbunden?? und beeinflusst das u.U. das Netz oder sonstwas irgendwie negativ?
thx
moe.
Hallo,
Man kann mit sowas wie Snort Warnungen erzeugen, wenn jemand
ungeschickt spooft …
schon mal nicht schlecht. Zu wissen DASS da was läuft reicht
ja auch schon mal… welches Programm liefert mir solche
„snort“ Warnungen,
snort.
oder wie erzeuge ich sowas sonst und was
bedeutet „ungeschickt“?
Zu penetrant, ungefragt.
Intern ggfs IPSec implemantieren.
Was genau tut dieses IPSec?
http://de.wikipedia.org/wiki/Ipsec
Gibt mir das nur wie „snort“ an,
das da was läuft?
Nein.
oder wird da was unterbunden??
Nein.
und
beeinflusst das u.U. das Netz oder sonstwas irgendwie negativ?
Es muß halt unterstützt werden. STFW wenn Du für Firmen bastelst.
Gruß,
Sebastian
Hallo,
Mit statischen ARP-Tables? Mit authentifizierten Verbindungen
(damit erwischt man zumindest einen Teil der Auswirkungen).
Wie fange ich denn sowas an?
Indem Du die Zuordnung Host MAC-Adresse nach /etc/ethers schreibst. Zum Beispiel.
HTH,
Sebastian
Hoi,
Man kann mit sowas wie Snort Warnungen erzeugen, wenn jemand
ungeschickt spooft …schon mal nicht schlecht. Zu wissen DASS da was läuft reicht
ja auch schon mal.
Nein. Wenn es sich um ein Firmennetz handelt und es sich hierbei wirklich um „Ausspähung von Daten“ handeln sollte (was ich bis jetzt noch bezweifele…) dann geht es erst richtig los von Wegen Sicherstellung der Daten, Protokollierung, etc.
Rest hat Sebastian schon treffend gesagt 
gruß
h.
2 Like
Moin moin
kann mir jemand sagen, wie ich mich vor ARP-Spoofing schützen
kann?
einen sicheren Schutz gibt es so gut wie nicht davor, weil man jede MAC-Adresse fälschen kann. Nach dem zu urteilen, was Du sonst geschrieben hast, suchst Du eher eine Lösung, damit andere in dem lokalen Netz nicht deine Passwörter für Webseiten auslauschen können.
- Wie wäre da einen verschlüsselnden Proxy einzusetzen? Z.B. jap oder privoxy+tor.
- Natürlich gibt es Tools, die arp-spoofs erkennen können. snort wurde ja schon genannt. Aus der Praxis kenne ich arpwatch.
-Da Du explizit nach ARP-SPoofing fragst, gehe ich mal davon aus, daß es sich um ein geswitchtes Netzwerk handelt (zumindest kein Hub). Da bietet sich ggf. an, der Switch die Arp-Adressen statisch festzulegen und sie noch weiter abzusichern (keine arp-anfragen weiterleiten etc.). wenn natürlich Leute mit ihrem Laptop ankommen, dann müssen die sich erstmal beim Admin eintragen - ne sinnige Sache, find ich. - Naja und last but not least: ipsec und der ganze kram, hab ich aber keine Erfahrung mit.
Gruß,
Markus