misterunknown: DNS-Server Faken?

Moin,

ich habe heute ein Problem ganz anderer Art. Ich bin Student und Hiwi am Lehrstuhl für Wirtschaftswissenschaften meiner Uni. Ich kümmere mich um die PCs der Mitarbeiter, Homepage etc.

Seit geraumer Zeit richten wir FTP-Netzlaufwerke für die Mitarbeiter ein, um das Arbeiten zu erleichtern. Nun ist es ja so, dass FTP prinzipiell unverschlüsselt ist. Da diese Laufwerke aber nur Uni-intern genutzt werden sollte das kein Problem sein - meiner Meinung nach.
Mein Kollege meinte, dass man die Passwörter leicht mit einem Fake-DNS-Server sniffen könnte, indem man auf seinem PC einen DNS-Server aufsetzt, und eventuelle Signale umleitet.

Ist es aber nicht so, dass man sowohl DHCP als auch DNS-Serveradresse zugewiesen bekommt und den Request gar nicht an alle Rechner im Netz sendet? Abgesehen davon müsste der Fake-DNS-Server ja schneller antworten als der reguläre, oder?

Grüße Marco

  1. Hello Marco,

    ich habe heute ein Problem ganz anderer Art. Ich bin Student und Hiwi am Lehrstuhl für Wirtschaftswissenschaften meiner Uni. Ich kümmere mich um die PCs der Mitarbeiter, Homepage etc.

    Seit geraumer Zeit richten wir FTP-Netzlaufwerke für die Mitarbeiter ein, um das Arbeiten zu erleichtern. Nun ist es ja so, dass FTP prinzipiell unverschlüsselt ist. Da diese Laufwerke aber nur Uni-intern genutzt werden sollte das kein Problem sein - meiner Meinung nach.
    Mein Kollege meinte, dass man die Passwörter leicht mit einem Fake-DNS-Server sniffen könnte, indem man auf seinem PC einen DNS-Server aufsetzt, und eventuelle Signale umleitet.

    Ist es aber nicht so, dass man sowohl DHCP als auch DNS-Serveradresse zugewiesen bekommt und den Request gar nicht an alle Rechner im Netz sendet? Abgesehen davon müsste der Fake-DNS-Server ja schneller antworten als der reguläre, oder?

    Der DNS-Server sollte eigentlich mit dem Passwort für den FTP-Server überhaupt nicht in Kontakt kommen. Ob Pakete an einem anderen Host, auf dem dann ein Whireshark oder ähnliches läuft, zur Verfügung stehen, hängt in erster Linie von der physischen Struktur der Verkabelung ab.

    Wenn jeder Host über einen P2P-Kontakt mit einem Trunking Switch verbunden ist, ist das schon mal ein kleiner Schritt in die richtige Richtung. Dann würde dieser Switch im Normalbetrieb dafür sorgen, dass überhautp keine Datenpakete des Hosts A, die für den FTP-Server bestimmt sind, am Host B zur Verfügung stehen.

    Leider lässt sich der einfache Switch noch mit "Spoofing" austricksen, da er keine Erkennungswerkzeuge dafür an Bord hat, bzw. diese nicht abfragbar und konfigurierbar sind.

    Abhilfe schafft i.d.R. ein managed Switch mit physischer VLAN-Bildung. Die logische VLAN-Bildung per Tagged Packets reicht leider nicht aus.

    Grundsätzlich sollte man aber besser kein normales FTP-Protokoll benutzen in einer Umgebung, in der viele fleißige Internet-Mitleser jedes Tool in Nullkommnix auf ihrer Maschinen installiert haben. Richtet besser SSH-Zugänge in einer Sandbox (Change-Root-Umgebung) ein oder benutzt HTTPS mit einem geeigneten Programm auf einem Webserver.

    Es gibt gute Groupwarelösungen, die nicht teuer sind, die per HTTPS arbeiten. Da hat man dann den Vorteil, dass nicht nur stumpf Verzeichnisse zur Verfügung gestellt werden, sondern diverse Information- und Logging-Dienste zur Verfügung stehen.

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
     ☻_
    /▌
    / \ Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de
    1. Hello,

      Leider lässt sich der einfache Switch noch mit "Spoofing" austricksen, da er keine Erkennungswerkzeuge dafür an Bord hat, bzw. diese nicht abfragbar und konfigurierbar sind.

      http://en.wikipedia.org/wiki/VLAN_hopping

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://bergpost.annerschbarrich.de
      1. Hello,

        leider häppchenweise. Meine Bookmarks sind noch "unausgepackt"... :-(

        Leider lässt sich der einfache Switch noch mit "Spoofing" austricksen, da er keine Erkennungswerkzeuge dafür an Bord hat, bzw. diese nicht abfragbar und konfigurierbar sind.

        http://en.wikipedia.org/wiki/VLAN_hopping
        https://learningnetwork.cisco.com/message/74448

        Liebe Grüße aus dem schönen Oberharz

        Tom vom Berg

        --
         ☻_
        /▌
        / \ Nur selber lernen macht schlau
        http://bergpost.annerschbarrich.de
        1. Hello,

          leider häppchenweise. Meine Bookmarks sind noch "unausgepackt"... :-(

          Leider lässt sich der einfache Switch noch mit "Spoofing" austricksen, da er keine Erkennungswerkzeuge dafür an Bord hat, bzw. diese nicht abfragbar und konfigurierbar sind.

          http://en.wikipedia.org/wiki/VLAN_hopping
          https://learningnetwork.cisco.com/message/74448
          https://www.bsi.bund.de/cln_174/ContentBSI/Presse/Pressearchiv/Presse2006/011206_boss_htm.html;jsessionid=FE1A9EFD6BA16C40FE43A730F13008D6

          Mit dem BSI solltest Du Kontakt aufnehmen. Die unterhalten sich gerne mal mit Entscheidern und Verantwortlichen, gerade in Unis...

          Liebe Grüße aus dem schönen Oberharz

          Tom vom Berg

          --
           ☻_
          /▌
          / \ Nur selber lernen macht schlau
          http://bergpost.annerschbarrich.de
        2. Hello,

          leider häppchenweise. Meine Bookmarks sind noch "unausgepackt"... :-(

          Tja, wenn Du alles in den Bookmarks hast. So mancher interessante URL schlummert vielleicht auch noch in den "temporären Internetdateien" ;-)

          SCNR;
          Hotti

          PS: Fürs Netz-Monitoring gibt es die Möglichkeit, am Switch einen Monitor-Port einzurichten. Ein Trunkport hingegen ermöglichen VLAN-Routing, das Tagging ist das "Aufstempeln" der VLAN-Nummer.

  2. Moin,

    Seit geraumer Zeit richten wir FTP-Netzlaufwerke für die Mitarbeiter ein, um das Arbeiten zu erleichtern. Nun ist es ja so, dass FTP prinzipiell unverschlüsselt ist. Da diese Laufwerke aber nur Uni-intern genutzt werden sollte das kein Problem sein - meiner Meinung nach.

    Doch, es ist ein Problem: Der Maulwurf kann ja auch in der Firma sitzen. Ein weiteres Problem ergibt sich, wenn die Switches nicht richtig konfiguriert sind, Stichwort: Port-Security, Issue:

    ein PC geht ins Netz, er braucht eine IP-Adresse und meldet sich mit seiner MAC-Adresse (ARP-Request). Jetzt passiert folgendes: der Switch muss kurzzeitig einen Broadcast auf Layer 2 senden, d.h., der Switch macht mal eben alle Ports auf, er wird kurzzeitig zu einem Hub, hierbei kann ein Maulwurf das Netz erforschen, mit den "richtigen" Werkzeugen sieht er alle anderen Geräte auch!

    Port-Security: Switchports werden den MAC-Adressen fest zugeordnet (ja, das muss sein *G). Was machen wir jedoch mit dem Gastzugang? Ein Besucher kommt, same Prozedure as above. Aber die Zeit reicht nicht, alle IPs zu erforschen, also nimmt er ein Tool, was dem Switchport am laufenden Meter neue MAC-Adressen vorspielt. Aber auch dagegen gibt es ein Mittel; in der Switchkonfiguration wird eingestellt, dass der Port für eine bestimmte Zeit für unbekannte MACs gesperrt wird oder für immer sperrt und erst händisch wieder freigeschaltet werden muss (Administrator braucht Turnschuhe).

    Mein Kollege meinte, dass man die Passwörter leicht mit einem Fake-DNS-Server sniffen könnte, indem man auf seinem PC einen DNS-Server aufsetzt, und eventuelle Signale umleitet.

    Suchbegriffe: dns tunnel

    Ist es aber nicht so, dass man sowohl DHCP als auch DNS-Serveradresse zugewiesen bekommt und den Request gar nicht an alle Rechner im Netz sendet? Abgesehen davon müsste der Fake-DNS-Server ja schneller antworten als der reguläre, oder?

    Nameserver sind i.Allg. immer das erste Angriffsziel, denn die sind ziemlich nackisch ;-)

    Hotti

    --
    Wenn der Kommentar nicht zum Code passt, kann auch der Code falsch sein.
  3. Tach,

    Seit geraumer Zeit richten wir FTP-Netzlaufwerke für die Mitarbeiter ein, um das Arbeiten zu erleichtern. Nun ist es ja so, dass FTP prinzipiell unverschlüsselt ist. Da diese Laufwerke aber nur Uni-intern genutzt werden sollte das kein Problem sein - meiner Meinung nach.

    was habt ihr denn für ein Netzwerk? WLAN, dann liest man die Paßwörter einfach so mit, die Verschlüsselung des WLANs schützt ja nur gegen Leute außerhalb des WLANs. Bei Kabelnetz liest man einfach mal mit, was so an der eigenen Netzwerkschnittstelle vorbeikommt und hofft das was dabei ist. Wenn da nix vernünftiges kommt, weil alles korrekt geswitcht wird, spielt man halt mal selber DHCP-Server oder nimmt sich die IP vom FTP-Server und hofft, dass zumindest ein paar Clients bei einem landen, vergiftet die ARP-Tables der Switche oder man hängt einfach mal einen Hub an dem man mitlauscht zwischen einen Rechner und das Netzwerk. Gegen das meiste genannte kann man zwar auch wieder Maßnahmen ergreifen, aber einfacher ist es meist auf Ende-zu-Ende-Verschlüsselung von wichtigen Daten zu setzen.

    mfg
    Woodfighter

    1. Hallo,

      Seit geraumer Zeit richten wir FTP-Netzlaufwerke für die Mitarbeiter ein, um das Arbeiten zu erleichtern. Nun ist es ja so, dass FTP prinzipiell unverschlüsselt ist. Da diese Laufwerke aber nur Uni-intern genutzt werden sollte das kein Problem sein - meiner Meinung nach.

      was habt ihr denn für ein Netzwerk? WLAN, dann liest man die Paßwörter einfach so mit, die Verschlüsselung des WLANs schützt ja nur gegen Leute außerhalb des WLANs.

      Jain. Bei WEP hast Du recht, das ist aber natuerlich sowieso komplett unsicher. Wenn WPA verwendet wird gibt's einen gemeinsamen Schluessel fuer Broadcasts und fuer jeden Client dann noch einen separaten Schluessel fuer Unicast-Traffic.

      Viele Gruesse,
      Christian

      1. Tach,

        Jain. Bei WEP hast Du recht, das ist aber natuerlich sowieso komplett unsicher. Wenn WPA verwendet wird gibt's einen gemeinsamen Schluessel fuer Broadcasts und fuer jeden Client dann noch einen separaten Schluessel fuer Unicast-Traffic.

        ah danke, das war mir neu; gilt das nur bei 802.1X oder auch mit einem Pre-shared key?

        mfg
        Woodfighter

        1. Hallo Jens,

          Jain. Bei WEP hast Du recht, das ist aber natuerlich sowieso komplett unsicher. Wenn WPA verwendet wird gibt's einen gemeinsamen Schluessel fuer Broadcasts und fuer jeden Client dann noch einen separaten Schluessel fuer Unicast-Traffic.

          ah danke, das war mir neu; gilt das nur bei 802.1X oder auch mit einem Pre-shared key?

          Meines Wissens auch dann, aber ich hab's gerade nicht auf Anhieb zum Nachlesen gefunden.

          Viele Grüße,
          Christian

  4. Hallo Marco,

    Seit geraumer Zeit richten wir FTP-Netzlaufwerke für die Mitarbeiter ein, um das Arbeiten zu erleichtern. Nun ist es ja so, dass FTP prinzipiell unverschlüsselt ist. Da diese Laufwerke aber nur Uni-intern genutzt werden sollte das kein Problem sein - meiner Meinung nach.

    Gerade in einer Uni wuerde ich NIEMALS etwas auch nur halbwegs wichtiges unverschluesselt uebertragen lassen... Im Zweifel musst Du damit Rechnen, dass alle Studenten auf irgend eine Art und Weise potentiell Zugriff auf das Netzwerk haben.

    Es gibt FTP ueber SSL (was die meisten Clients koennen, nennt sich SFTP), es gibt Dateitransfer ueber SSH (SCP, SFTP, wo es schoene Clients fuer alle Betriebsysteme gibt), es gibt WebDAV, was man ueber HTTPS betreiben kann, etc. Es gibt so viele Moeglichkeiten, verschluesselte Dateitransfers zur Verfuegung zu stellen, dass es in meinen Augen mehr als nur grob fahrlaessig ist, Standard-FTP zu nutzen.

    Viele Gruesse,
    Christian