nicht angemeldet
Hello Marco,
ich habe heute ein Problem ganz anderer Art. Ich bin Student und Hiwi am Lehrstuhl für Wirtschaftswissenschaften meiner Uni. Ich kümmere mich um die PCs der Mitarbeiter, Homepage etc.
Seit geraumer Zeit richten wir FTP-Netzlaufwerke für die Mitarbeiter ein, um das Arbeiten zu erleichtern. Nun ist es ja so, dass FTP prinzipiell unverschlüsselt ist. Da diese Laufwerke aber nur Uni-intern genutzt werden sollte das kein Problem sein - meiner Meinung nach.
Mein Kollege meinte, dass man die Passwörter leicht mit einem Fake-DNS-Server sniffen könnte, indem man auf seinem PC einen DNS-Server aufsetzt, und eventuelle Signale umleitet.Ist es aber nicht so, dass man sowohl DHCP als auch DNS-Serveradresse zugewiesen bekommt und den Request gar nicht an alle Rechner im Netz sendet? Abgesehen davon müsste der Fake-DNS-Server ja schneller antworten als der reguläre, oder?
Der DNS-Server sollte eigentlich mit dem Passwort für den FTP-Server überhaupt nicht in Kontakt kommen. Ob Pakete an einem anderen Host, auf dem dann ein Whireshark oder ähnliches läuft, zur Verfügung stehen, hängt in erster Linie von der physischen Struktur der Verkabelung ab.
Wenn jeder Host über einen P2P-Kontakt mit einem Trunking Switch verbunden ist, ist das schon mal ein kleiner Schritt in die richtige Richtung. Dann würde dieser Switch im Normalbetrieb dafür sorgen, dass überhautp keine Datenpakete des Hosts A, die für den FTP-Server bestimmt sind, am Host B zur Verfügung stehen.
Leider lässt sich der einfache Switch noch mit "Spoofing" austricksen, da er keine Erkennungswerkzeuge dafür an Bord hat, bzw. diese nicht abfragbar und konfigurierbar sind.
Abhilfe schafft i.d.R. ein managed Switch mit physischer VLAN-Bildung. Die logische VLAN-Bildung per Tagged Packets reicht leider nicht aus.
Grundsätzlich sollte man aber besser kein normales FTP-Protokoll benutzen in einer Umgebung, in der viele fleißige Internet-Mitleser jedes Tool in Nullkommnix auf ihrer Maschinen installiert haben. Richtet besser SSH-Zugänge in einer Sandbox (Change-Root-Umgebung) ein oder benutzt HTTPS mit einem geeigneten Programm auf einem Webserver.
Es gibt gute Groupwarelösungen, die nicht teuer sind, die per HTTPS arbeiten. Da hat man dann den Vorteil, dass nicht nur stumpf Verzeichnisse zur Verfügung gestellt werden, sondern diverse Information- und Logging-Dienste zur Verfügung stehen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
