Neuen Rechner im Netzwerk erkennen

[bohnstin...@gmail.com]

Guten Tag,

Ich habe eine Frage, die mich schon seit längerem beschäftigt.
Ich möchte gerne ein Netzwerk aufbauen wo nur Rechner zugelassen werden, die ich unmittelbar kenne.
Nun meine Frage:
Gibt es eine Möglichkeit zu erkennen wenn man einen neuen PC an das Netzwerk angeschlossen hat? Gibt es eine Möglichkeit diesem dann keinen Zugriff auf das Netzwerk zu geben (keine ip oder sonstiges)?

Lg
Thomas

[Ansgar Strickerschmidt]

Also schrieb :

Ja - generell schon, wenn Du DHCP verwendest.
Die meisten DHCP-Server (im WLAN-Router oder anderswo) kann man anweisen,
nur an ihnen bekannte MAC-Adressen IP-Adressen (und dann die immer
gleichen) zuzuteilen, und im Verein mit dem MAC-Filter die anderen außen
vor zu lassen.

Allerdings lässt sich das relativ leicht dadurch umgehen (mit einem
Minimum an Verzweiflung oder krimineller Energie...), dass man im neuen
Rechner die MAC-Adresse auf eine ergaunerte eines bekannten Rechners
umstellt; ja, das geht unter allen Betrübssystemen.
Ist also nur solange ein Schutz, wie niemand die bekannten MAC-Adressen
kannibalisiert.

Der Schutz bei WLAN besteht vor allem in der Verschlüsselung samt
Passphrase. Bei ortsfesten Rechnern hilft erstmal nur der MAC-Filter als
schwacher Schutz.

Wenn Du einen Manageable Switch hättest, hättest Du weitere Möglichkeiten.
Da kannst Du den einzelnen Ports vorgeben, was daran hängen darf und was
nicht.

Ansgar

--
*** Musik! ***

[hannes wendelfinger]

gastnetzwerk z.b. auch per kabel und 'rauswaehlen' nur per vpn client usw.

[bohnstin...@gmail.com]

> Wenn Du einen Manageable Switch hättest, hättest Du weitere Möglichkeiten.
>
> Da kannst Du den einzelnen Ports vorgeben, was daran hängen darf und was
>
> nicht.

Vielen Dank für die Antworten. Es geht darum, dass das ein rein lokales Netzwerk ist und keine Verbindung nach außen möglich sein soll. Also im Netzwerk ja, aber ein anderer Rechner nein.

Das Thema mit den Mac-Adressen habe ich mir schon überlegt und es ist leider wirklich nicht sonderlich hilfreich. Gibt es keine andere Möglichkeit?
Wenn alle DHCP IPs vergeben sind dann kann sich kein zusätzlicher Rechner verbinden oder?
Also es würde nur gefahr bestehen wenn man ein Gerät abschließt und ein neues anschließt. Das zu erkennen ist meine Absicht, habt ihr da irgendwelche Vorschläge für mich?

LG
Thomas

[Martin Wohlauer]

Am 19.02.2014 13:47, schrieb bohnstin...@gmail.com:
>> Wenn Du einen Manageable Switch hättest, hättest Du weitere Möglichkeiten.
>>
>> Da kannst Du den einzelnen Ports vorgeben, was daran hängen darf und was
>>
>> nicht.
>
>
> Vielen Dank für die Antworten. Es geht darum, dass das ein rein
> lokales Netzwerk ist und keine Verbindung nach außen möglich sein
> soll. Also im Netzwerk ja, aber ein anderer Rechner nein.>
> Das Thema mit den Mac-Adressen habe ich mir schon überlegt und es ist
> leider wirklich nicht sonderlich hilfreich. Gibt es keine andere
> Möglichkeit?> Wenn alle DHCP IPs vergeben sind dann kann sich kein zusätzlicher
> Rechner verbinden oder?

Naja, ich kann mir auch jederzeit selbst eine eigene IP geben, wenn ich
eine Idee hab, welcher Netzwerkbereich benutzt wird. Außer natürlich, es
sind wirklich gerade alle IPs des gewählten Subnetzes in Benutzung. Dann
gibts Adress-Kollisionen...

> Also es würde nur gefahr bestehen wenn man ein Gerät abschließt und
> ein neues anschließt. Das zu erkennen ist meine Absicht, habt ihr da
> irgendwelche Vorschläge für mich?

Also so was setzt man üblicherweise auf der DHCP-Seite um: Nur bekannte
MACs bekommen überhaupt eine IP zugewiesen. Aber wie weit das was
bringt, weißt du ja bereits selbst. Allerdings wäre es vermutlich mit
geeigneten Software-Mitteln möglich, dass man den DHCP-Server (sofern er
nicht irgendwo "fest verdrahtet ist", z. B. in einem SoHo-Router mit
Original-Firmware) so was loggen lässt. Also wenn jemand mit nicht
bekannter MAC versucht, sich ne IP zu holen. Das könnte man theoretisch
auch weiter automatisieren, dass dann z. B. eine Mail an den Admin rasu
geht. Wobei der dann auch erst mal suchen müsste, wo der neue Rechner
hängt. Der genauere Anwendungszweck ist da schon ein Faktor. Gehts um
eine Firma mit vielen hundert Rechnern oder um ein Heimnetzwerk, bei dem
man einfach nicht will, dass $Gast sich anstöpselt.

Grüßle,

Martin.

[bohnstin...@gmail.com]

> hängt. Der genauere Anwendungszweck ist da schon ein Faktor. Gehts um
>
> eine Firma mit vielen hundert Rechnern oder um ein Heimnetzwerk, bei dem
>
> man einfach nicht will, dass $Gast sich anstöpselt.

Hallo Martin,

vielen Dank für deine Antwort.
Das mit den MAC-Adressen und auch dem managed Switch habe ich mir nun ein wenig angesehen und es scheint mir klar.

Jedoch ist mir noch immer keine wirklich gute Lösung für mein Problem eingefallen.

Es geht um ein Netzwerk in dem sensible Daten übertragen werden sollen.
Es werden so zirka 40 Rechner im Netzwerk sein. Wie kann man einen Datenverlust durch einbringen eines fremden Rechners verhindern?
Annahme es sind alle IPs in einem Bereich vergeben. Also auf diesem Wege geht mal nichts. Aber wie kann ich verhindern, dass jemand einen Rechner ab und einen neuen mit einer gefälschten MAC ansteckt und Daten mitliest?
Wüsstest du da eine Lösung?

LG
Thomas

[Ansgar Strickerschmidt]

Also schrieb Martin Wohlauer:

>> Also es würde nur gefahr bestehen wenn man ein Gerät abschließt und
>> ein neues anschließt. Das zu erkennen ist meine Absicht, habt ihr da
>> irgendwelche Vorschläge für mich?
>
> Also so was setzt man üblicherweise auf der DHCP-Seite um: Nur bekannte
> MACs bekommen überhaupt eine IP zugewiesen.

Bleibt die Idee mit dem Manageable Switch.
@OP: Schau mal nach 802.1X-Authentifizierung.

[Ansgar Strickerschmidt]

Also schrieb :

>> hängt. Der genauere Anwendungszweck ist da schon ein Faktor. Gehts um
>>
>> eine Firma mit vielen hundert Rechnern oder um ein Heimnetzwerk, bei dem
>>
>> man einfach nicht will, dass $Gast sich anstöpselt.
>
> Hallo Martin,
>
> vielen Dank für deine Antwort.
> Das mit den MAC-Adressen und auch dem managed Switch habe ich mir nun
> ein wenig angesehen und es scheint mir klar.
>
> Jedoch ist mir noch immer keine wirklich gute Lösung für mein Problem
> eingefallen.
>
> Es geht um ein Netzwerk in dem sensible Daten übertragen werden sollen.
> Es werden so zirka 40 Rechner im Netzwerk sein. Wie kann man einen
> Datenverlust durch einbringen eines fremden Rechners verhindern?

Da bleibt im wesentlichen eines: IEEE 802.1X-Authentifizierung.

[Falk Dµ€bbert]

bohnstin...@gmail.com:

Da Du über skynet / die NSA postest: könntest Du bitte die Zeilen von
Hand umbrechen?

> Vielen Dank für die Antworten. Es geht darum, dass das ein rein
> lokales Netzwerk ist und keine Verbindung nach außen möglich sein
> soll. Also im Netzwerk ja, aber ein anderer Rechner nein.

Ich habe so etwas ähnliches mit WLAN-Access-Points, die normales WPA-PSK
und WPA mit RADIUS anbieten. Je nachdem ob man das eine oder andere tut,
landet man im filtrierten Internet oder mit den anderen Rechnern
zusammen im Netz.

> Das Thema mit den Mac-Adressen habe ich mir schon überlegt und es ist
> leider wirklich nicht sonderlich hilfreich. Gibt es keine andere
> Möglichkeit?

Die "besseren" Cisco-Router (ASA) bieten die Möglichkeit, dass man sich
in einem Browser-Fenster mit Benutzernahme und Passwort anmelden muss
und das Internet nur zugänglich ist solange das Fenster besteht.

Sowas kannst Du mit etwas Linux-Magie und einem Squid nachbauen.

Falk D.

[bohnstin...@gmail.com]

> Da Du über skynet / die NSA postest: könntest Du bitte die Zeilen von
>
> Hand umbrechen?

Haha aber ganz ehrlich, ob die NSA die Zeilen umbricht und liest oder vorher google und dann für Jahrzehnte speichert ist mir auch schon egal :)

> Ich habe so etwas ähnliches mit WLAN-Access-Points, die normales WPA-PSK
>
> und WPA mit RADIUS anbieten. Je nachdem ob man das eine oder andere tut,
>
> landet man im filtrierten Internet oder mit den anderen Rechnern
>
> zusammen im Netz.

Okay. Mit einem RADIUS Server habe ich mich noch leider zu wenig beschäftigt. Wie funktioniert das. Müssen sich die Rechner die im Netz sind auch immer authentifizieren?
Ich habe gesehen es gibt sowas als reine Software auch, kennst du dich damit aus?
Also verhält er sich gleich wenn er nicht auf dem Switch lüft, sondern auf einem Rechner?

> Die "besseren" Cisco-Router (ASA) bieten die Möglichkeit, dass man sich
>
> in einem Browser-Fenster mit Benutzernahme und Passwort anmelden muss
>
> und das Internet nur zugänglich ist solange das Fenster besteht.

Wie funktioniert dann die Übertragung im Normalfall?
Will wer was seinen muss er sich anmelden?

Lg
Thomas

[Gerrit Heitsch]

On 02/19/2014 01:17 PM, Ansgar Strickerschmidt wrote:
>
> Wenn Du einen Manageable Switch hättest, hättest Du weitere
> Möglichkeiten. Da kannst Du den einzelnen Ports vorgeben, was daran
> hängen darf und was nicht.

Auch hier helfen 'geklaute' MACs... Und man kann sich mit dem Feature
böse ins Knie schiessen wenn der Admin geht und dem neuen das nicht
sagt. Bis jemand auf die Idee kommt nachzusehen ob Port-Security die
Inbetriebnahme des Ersatzrechners verhindert können einige Stunden ins
Land gehen.

Gerrit

[Gerrit Heitsch]

On 02/19/2014 03:13 PM, bohnstin...@gmail.com wrote:

> Es geht um ein Netzwerk in dem sensible Daten übertragen werden sollen.
> Es werden so zirka 40 Rechner im Netzwerk sein. Wie kann man einen Datenverlust durch einbringen eines fremden Rechners verhindern?
> Annahme es sind alle IPs in einem Bereich vergeben. Also auf diesem Wege geht mal nichts. Aber wie kann ich verhindern, dass jemand einen Rechner ab und einen neuen mit einer gefälschten MAC ansteckt und Daten mitliest?
> Wüsstest du da eine Lösung?

Nur verschlüsselte Verbindungen für die Übertragung von Daten zulassen.
Alles andere kann ein interessierter Angreifer zu schnell umgehen.

Gerrit

[Ralph Aichinger]

bohnstin...@gmail.com wrote:
> Haha aber ganz ehrlich, ob die NSA die Zeilen umbricht und liest
> oder vorher google und dann für Jahrzehnte speichert ist mir auch
> schon egal :)

Es ist uns als Leuten, die dir helfen sollen, nicht nett gegenüber.

Wir haben hier eine gewisse Toleranz gegenüber solchen Sachen, aber
wenn du auch weiterhin ernsthafte Antworten willst, dann solltest
du dich an die Spieregeln halten.

Es sei denn, du willst gar keine gscheiten Antworten.

/ralph

[Ralph Aichinger]

bohnstin...@gmail.com wrote:
> Gibt es eine Möglichkeit zu erkennen wenn man einen neuen PC an das Netzwerk angeschlossen hat? Gibt es eine Möglichkeit diesem dann keinen Zugriff auf das Netzwerk zu geben (keine ip oder sonstiges)?

Ganz wird man z.B. Mithören nie ausschließen können, aber je nachdem
wieviel Aufwand du treiben willst, kann es u.U. schon reichen per DHCP
kein (oder eine bewußt "falsche") IP an Rechner außerhalb einer Liste
mit bestimmten MACs zu verteilen, oder als nächste Stufe sowas wie

http://de.wikipedia.org/wiki/IEEE_802.1X

oder eventuell auch das ganze über ein verschlüsseltes VPN zu lösen.

Die Frage ist immer, wer abgehalten werden soll, Schulkinder oder
Geheimdienstler. Im ersteren Fall reicht u.U. schon per DHCP keine
Adresse zu verteilen.

/ralph

[Ralph Aichinger]

bohnstin...@gmail.com wrote:
> Vielen Dank für die Antworten. Es geht darum, dass das ein rein lokales
> Netzwerk ist und keine Verbindung nach außen möglich sein soll. Also im
> Netzwerk ja, aber ein anderer Rechner nein.

Dafür ist eine einfache -- wenn auch Leuten die sich auskennen gegenüber
nicht besonders wirksame -- Maßnahme ein falsches Defaut-Gateway per DHCP
zuzuweisen.

> Das Thema mit den Mac-Adressen habe ich mir schon überlegt und es ist
> leider wirklich nicht sonderlich hilfreich. Gibt es keine andere
> Möglichkeit?

Warum "ist es wirklich nicht sonderlich hilfreich"? Kannst du das näher
erklären?

> Wenn alle DHCP IPs vergeben sind dann kann sich kein zusätzlicher
> Rechner verbinden oder?

Kommt drauf an, was du unter "alle DHCP-IPs" meinst und wie sich
dein Gerät verhält, das DHCP-Server spielt (wahrscheinlich irgendeine
Art von Router?).

> Also es würde nur gefahr bestehen wenn man ein Gerät abschließt
> und ein neues anschließt.

> Das zu erkennen ist meine Absicht, habt ihr da irgendwelche Vorschläge
> für mich?

Das zu erkennen ist nicht einfach. Alle einfachen Verfahren laufen über
die MAC.

/ralph

[Gerrit Heitsch]

On 02/19/2014 01:01 PM, Ralph Aichinger wrote:
> bohnstin...@gmail.com wrote:
>> Gibt es eine Möglichkeit zu erkennen wenn man einen neuen PC an das Netzwerk angeschlossen hat? Gibt es eine Möglichkeit diesem dann keinen Zugriff auf das Netzwerk zu geben (keine ip oder sonstiges)?
>
> Ganz wird man z.B. Mithören nie ausschließen können, aber je nachdem
> wieviel Aufwand du treiben willst, kann es u.U. schon reichen per DHCP
> kein (oder eine bewußt "falsche") IP an Rechner außerhalb einer Liste
> mit bestimmten MACs zu verteilen,

Zum Mithören braucht man keine IP, da reicht ein alter 10/100-Hub den
man in die entsprechende Leitung einschleift und da Hubs alles
reinkommende auf allen Ports ausgeben kann ein am Hub angeschlossener
Rechner alles abschnorcheln was auf der Leitung vorbeikommt. Soll es
etwas besser versteckt sein (Hubs können nur Halbduplex, es entstehen
also Kollisionen) brauch man noch 2 einfache Switches vor und nach dem
Hub. Bei Verwendung von 5port-Geräten ist das ein ziemlich kleines Päckchen.

Bei einer GBit-Leitung die man auch braucht fällt das natürlich auf,
aber oft sind es nur 100Mbit und dort merkt man den Unterschied zwischen
Halb- und Vollduplex fast nie.

> oder eventuell auch das ganze über ein verschlüsseltes VPN zu lösen.

Ja, wenn es halbwegs abhörsicher sein soll geht das nur so.

Gerrit

[Ralph Aichinger]

Gerrit Heitsch <ger...@laosinh.s.bawue.de> wrote:
> Zum Mithören braucht man keine IP, da reicht ein alter 10/100-Hub den
> man in die entsprechende Leitung einschleift und da Hubs alles
> reinkommende auf allen Ports ausgeben kann ein am Hub angeschlossener
> Rechner alles abschnorcheln was auf der Leitung vorbeikommt. Soll es
> etwas besser versteckt sein (Hubs können nur Halbduplex, es entstehen
> also Kollisionen) brauch man noch 2 einfache Switches vor und nach dem
> Hub. Bei Verwendung von 5port-Geräten ist das ein ziemlich kleines Päckchen.

Ich vermute mal, daß Leute die das ernsthaft machen (also die mit
den drei Buchstaben im Namen der Organisation) da noch "nicht-invasivere"
Methoden haben, denn ein Switch könnte u.U. noch aus dem Timingverhalten
oder ähnlichen Dingen festgestellt werden. Ich vermute, daß Leute die
das hardcore machen einfach die Signale analog abgreifen und wieder
digital regenerieren.

/ralph

[Gerrit Heitsch]

Die natürlich... Aber oben beschriebenes kann jeder interessierte
aufbauen und benutzen. Der reine Hub bringt kaum Verzögerungen und die
zwei Switches jeweils eine Paketlänge. Kann man sicher ausmessen, macht
aber keiner solange er nicht zumindest einen Verdacht hat und dann muss
er wissen wonach er sucht.

Gerrit

[Ralph Aichinger]

Gerrit Heitsch <ger...@laosinh.s.bawue.de> wrote:
> Die natürlich... Aber oben beschriebenes kann jeder interessierte
> aufbauen und benutzen. Der reine Hub bringt kaum Verzögerungen und die
> zwei Switches jeweils eine Paketlänge. Kann man sicher ausmessen, macht
> aber keiner solange er nicht zumindest einen Verdacht hat und dann muss
> er wissen wonach er sucht.

ACK

Würd mir in meinem eigenen Netzwerk wahrscheinlich auch nicht
auffallen. Am ehesten sieht man noch ein "überflüssiges" Gerät,
wenn man sein eigenes Netzwerk kennt, und selbst das ist nicht gewiss,
wenn es irgendwie wie ein Notebooknetzteil am Boden im Kabelwirrwarr
irgendenes Druckers oder unter einem selten verwendeten Schreibtisch
liegt. Nach einer Zeit fallen einem neutrale graue oder schwarze
kleine Kasterl die herumliegen oder stehen gar nicht mehr auf.

Dank der Embedded-Systeme a la Raspberry Pi dürfte es auch dem
Hobby-Sniffer (oder mittelambitionierten Privatdetektiv) möglich
sein, solche Angriffe zu starten, die in einem durchschnittlichen
Büro durchaus reale Chancen auf monatelanges Unentdecktbleiben haben.

/ralph

[Gerrit Heitsch]

On 02/19/2014 08:11 PM, Ralph Aichinger wrote:
>
> Dank der Embedded-Systeme a la Raspberry Pi dürfte es auch dem
> Hobby-Sniffer (oder mittelambitionierten Privatdetektiv) möglich
> sein, solche Angriffe zu starten, die in einem durchschnittlichen
> Büro durchaus reale Chancen auf monatelanges Unentdecktbleiben haben.

Wer mehr Geld ausgeben will wendet sich an diese Leute hier:


https://www.pwnieexpress.com/

Gerrit

[Juergen P. Meier]

bohnstin...@gmail.com <bohnstin...@gmail.com>:

Wer?

> Ich habe eine Frage, die mich schon seit längerem beschäftigt.
> Ich möchte gerne ein Netzwerk aufbauen wo nur Rechner zugelassen werden,

> Nun meine Frage:
> Gibt es eine Möglichkeit zu erkennen wenn man einen neuen PC an das Net

Ja.
Das nennt sich "Network Admission Control" (NAC). IEEE 802.1x ist dabei
eines der gaengigen Werkzeuge zur Authentifikation von Netzwerkgeraeten.

HTH,
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

[Juergen P. Meier]

Gerrit Heitsch <ger...@laosinh.s.bawue.de>:

> On 02/19/2014 01:01 PM, Ralph Aichinger wrote:
>> bohnstin...@gmail.com wrote:
>>> Gibt es eine Möglichkeit zu erkennen wenn man einen neuen PC an das Netzwerk angeschlossen hat? Gibt es eine Möglichkeit diesem dann keinen Zugriff auf das Netzwerk zu geben (keine ip oder sonstiges)?
>>
>> Ganz wird man z.B. Mithören nie ausschließen können, aber je nachdem
>> wieviel Aufwand du treiben willst, kann es u.U. schon reichen per DHCP
>> kein (oder eine bewußt "falsche") IP an Rechner außerhalb einer Liste
>> mit bestimmten MACs zu verteilen,
>
> Zum Mithören braucht man keine IP, da reicht ein alter 10/100-Hub den

Zum Passiven Mitlauschen an einem Switch (egal ob managed oder nicht),
genuegt es einen passiven Sniffer (der nix sendet) anzuschliessen.

Man bekommt in nicht einmal 10 Minuten fast alle MAC-Addressen aller
(erlaubten/bekannten) Stationen im LAN. Ganz ohne herumgefrickel.

man ARP.

Und wenn ein Switch auf 802.1X o.ae. besteht, dann schleift man sich
zu einem Authentifizierten Geraet mit Hilfe eines kleinen managebaren
Switch ein, dem man a) STP austreibt und b) das lernen von MAC-Addressen
fuer das benutzte VLAN austreibt (z.B. cisco "no mac address-table
learning vlan 2) so dass er alle Pakete auf alle Ports flooded*.
Das spart den Hub (und den Aerger mit Duplex).

> Bei einer GBit-Leitung die man auch braucht fällt das natürlich auf,

Das faellt dann nicht mehr auf.

> aber oft sind es nur 100Mbit und dort merkt man den Unterschied zwischen
> Halb- und Vollduplex fast nie.

Auch bei Gigabit merkt man das nur, wenn man darauf achtet.

>> oder eventuell auch das ganze über ein verschlüsseltes VPN zu lösen.
>
> Ja, wenn es halbwegs abhörsicher sein soll geht das nur so.

Eine zusaetzliche Transportsicherungsschicht (aka VPN) ist die
einzige zuverlaessige Methode. Darum ist WLAN (mit WPA2+EAP-TLS) ja
auch sicherer als Kabelgebundenes LAN.

Fuer Kabelgebundenes LAN existiert kein interoperabler Standard der
dem Sicherheitsniveaeu von WLAN auch nur Nahe kommt. Es existieren
einzig proprietaere Hersteller-spezifische Loesungen die mindestens
die Installation von Hersteller-Software (spezielle Netzwerktreiber)
auf allen Geraeten erfordert (und damit nicht mit Netzwerkgeraeten
kompatibel ist, die nicht unter Linux, Windows oder OSX laufen)

* Beispiel fuer einen vergleichsweise preiswerten kleinen Cisco
Switch (WS-C2960PD-8TT-L) als "hub" konfiguriert:

vlan 2
name tap
no mac address-table learning vlan 2
no cdp run
vtp mode off
int gi0/1
desc uplink to switch
spanning-tree bpdufilter enable
spanning-tree portfast
switchport mode access
switchport access vlan 2
switchport nonegotiate
int range fa0/1 - 8
switchport mode access
switchport access vlan 2
switchport nonegotiate
spanning-tree portfast
end

Dieses Modell wird sogar PoE versorgt - da er jedoch IEEE 802.3af
beherrscht kann man ihn darueber erkennen.

PS: Obige Switch-config verwendet man nur dann wenn man ganz genau
weis was man tut

[Juergen P. Meier]

Ralf Döblitz <doeb...@doeblitz.net>:
> Oder man nimmt einafch einen kleinen managebaren GBit-Switch, bei dem man
> einen Port als Monitoring Port beschaltet. So wahnsinnig teuer sind die
> auch nicht mehr (z.B. HP J9802A für 80 EUR).

Kann man bei HP nicht auch einfach das lernen von MAC Adressen
abschalten? Cisco Switche koennen das per VLAN.

Die Variante mit monitoring-Ports funktionert aber auch, solange der
Switch Input von einem solchen Port annimmt.

[Kay Martinen]

Am 19.02.2014 15:13, schrieb bohnstin...@gmail.com:
> Es geht um ein Netzwerk in dem sensible Daten übertragen werden
> sollen.

Sensible Daten überträgt man besser nur über verschlüsselte
Verbindungen. Das bedeutet z.b. HTTPS, Kerberos, IPSEC, VPN und das
evtl. noch mit Zertifikaten und einer CA. Ggf. auch PGP

> Es werden so zirka 40 Rechner im Netzwerk sein. Wie kann man einen
> Datenverlust durch einbringen eines fremden Rechners verhindern?

Gar nicht. Du kannst nur versuchen es dem Angreifer so schwer wie
möglich zu machen. Die Abwägung ist lokal zu treffen. WER sind mögliche
Angreifer und wie viel Aufwand will man betreiben (und bezahlen) um es
ihnen schwer zu machen. Nicht zu vergessen ist das unzufriedene
Angestellte hier auch ein Sicherheits-Risiko sein können. Sprich:
Insider-Job!

Wenn nur Gelegenheit-diebstahl zu befürchten ist, lohnen sich keine
teuren Investitionen.

Wenn die Daten Betriebs-wichtig oder besonders schützenswert
(patienten-daten o.a.) dann gibt es sicher eh Vorschriften die zu
beachten sind. Und Haftungsfragen bei Nichtbeachtung.

Und wenn sie so wertvoll sind das man Werksspionage oder die NSA
befürchtet dann wirds meist richtig teuer. Die Profis könnten vermutlich
selbst aus einem geschirmten Netzwerk-Kabel auf x meter Distanz noch
daten extrahieren. Da sollte man evtl. besser eine Fachfirma (nein,
nicht die NSA :) beauftragen.

> Annahme es sind alle IPs in einem Bereich vergeben. Also auf diesem
> Wege geht mal nichts. Aber wie kann ich verhindern, dass jemand einen
> Rechner ab und einen neuen mit einer gefälschten MAC ansteckt und
> Daten mitliest? Wüsstest du da eine Lösung?

Viel ist ja schon geschrieben worden hier. Der DHCP-Server verhindert
nicht das jemand einen Host einfach manuell mit einer passenden IP in
dein Netz hängt. Wenn die IP nicht in dessen Bereich liegt und/oder
nicht benutzt wird fällt es nicht auf. Außer du installierst dir
'arpwatch' auf dem host mit dem DHCP-Server. Der prüft dessen arp-liste
und kann Alarm (auch per mail) schlagen wenn eine MAC neu ist, wenn sie
an und wieder aus geht u.a.

Das hilft aber nur wenn der Datenpakete des Hosts mit der neuen IP oder
MAC auch gelegentlich mal den Host mit arpwatch/dhcpd erreichen. In
einem Geswitchten Netz und manuell konfiguriert kann das auch NIE sein.
Ideale Position ist hier das gateway ins Internet. Dort kommen die
meisten irgendwann vorbei und dort sitzt idealerweise auch der dhcpd -
und arpwatch.
Wenn der angreifer nicht ins internet kommuniziert, hilft es aber auch
nichts. Und das hilft immer noch nur eher gegen angestellte und spielkinder.

Mehr Sicherheit geht m.W. auch nur mit einem managebaren Switch und
einem Radius-Server. Dann muss sich jeder PC erstmal am Switchport
anmelden und der bekommt vom Radius die freigabe in welches VLAN er
gehört - und ggf. welche anderen Ressourcen er noch erreichen darf.

Man kann und *sollte* dann danach außerdem immer noch verschlüsselte
Verbindungen benutzen. Wenn ein Insider zugriff zum Radius-Server hat
hilft das aber auch nichts. Gibt es einen Serverraum mit
Zutrittskontrolle in dem auch die Netzwerk-Hardware steht?

Kay

[Juergen P. Meier]

bohnstin...@gmail.com <bohnstin...@gmail.com>:

>> hängt. Der genauere Anwendungszweck ist da schon ein Faktor. Gehts um
>> eine Firma mit vielen hundert Rechnern oder um ein Heimnetzwerk, bei dem
>> man einfach nicht will, dass $Gast sich anstöpselt.
>

> Es geht um ein Netzwerk in dem sensible Daten übertragen werden sollen.

Die erste Frage, die du dir stellen und beantworten solltest lautet:

Wie Wertvoll sind die Daten (in Euro)?

Die zweite Frage, die du dir stellen und beantworten solltest lautet:

Wie hoch ist der Schaden, wenn die Daten abhanden kommen,
von unbefugten veraendert werden oder dritten Zuagaenglich
gemacht werden? (in Euro, inkl. Image-Schaden fuer die Firma)

Erst nach dem diese beiden Fragen beantwortet sind, kannst du
abwaegen, wie viel du in eine Schutzmassnahme investieren solltest.

> Es werden so zirka 40 Rechner im Netzwerk sein. Wie kann man einen Datenver

Stichworte: NAC und VPN

> Annahme es sind alle IPs in einem Bereich vergeben. Also auf diesem Wege ge

> Wüsstest du da eine Lösung?

Ja. Aber hier gilt: Je aufwaendiger, desto Teurer. Je weniger Aufwand,
desto einfacher das Umgehen.

Alles eine Frage der Verhaeltnismaessigkeit (wirtschaftliches Abwaegen).

[bohnstin...@gmail.com]

Hallo @ all,

zuerst mal vielen Dank für die vielen produktiven und hilfreichen
Antworten.

Die Sache mit den Zeilenumbrüchen tut mir leid und ich versuche diese nun besser
zu machen.

Ich habe mittlerweile wirklich verstanden, dass man mit teurern
Lösungen eindringlingen das Leben schwerer machen kann.
Aber ich habe auch erfahren, dass es für versierte "Angreifer" viele
unter Umständen sogar einfache Wege gibt, ein solches Netzwerk abzuhören.

Ein muss in solch einem Netzwerk ist mal auf alle Fälle den gesamten
Datenverkehr zu verschlüsseln. Bauliche Maßnahmen der Verteilersysteme,
VPN und Authentifizierungssysteme beachten.

Also ich finde so ein Thema recht interessant, da es sehr viele Möglichkeiten
gibt sich gegen Eindringlinge zu wehren :)

LG
Thomas

[Ralph Aichinger]

bohnstin...@gmail.com wrote:
> Ich habe mittlerweile wirklich verstanden, dass man mit teurern
> Lösungen eindringlingen das Leben schwerer machen kann.

Es geht nicht um "teure" Lösungen, das ist durchaus alles
relativ kostengünstig zu realisieren wenn man weiß, was man will,
und es selber machen kann.

Aber es handelt sich mit Sicherheit um *komplexe* Maßnahmen, bei
denen ich das Gefühl habe (aufgrund der Formulierungen deiner
Postings), daß du dich sehr weit einarbeiten müßtest, um sie
selbst zu realisieren (ich sag mal wenn man das auf billig haben
will, dann ist es für 1000 Euro Hardwarekosten schon recht weitgehend
realisierbar, *wenn* man das Wissen und die Zeit hat sich um die
Konfiguration und Software zu kümmern bzw. sich einlesen kann).

Wenn man -- und ich vermute mal, daß das bei dir der Fall ist --
gezwungen ist, das Know-How einzukaufen und auszulagern, dann
wird sowas schnell teuer. Ich kann mir nicht vorstellen, daß
dir das jemand für unter 10.000 Euro was hinstellen kann, es sei
denn da ist ein Placebo-Pusher und Schlangenölverkäufer am Werk,
alleine die Arbeitszeit um zu eruieren worum es da überhaupt geht,
was die Bedrohungen sind, etc. dürfte mehr ausmachen. Gerade
die relativ große Zahl der Arbeitsplätze macht das nicht einfacher.

> Aber ich habe auch erfahren, dass es für versierte "Angreifer" viele
> unter Umständen sogar einfache Wege gibt, ein solches Netzwerk abzuhören.

Ja, für einen *versierten* Angreifer auf jeden Fall. Sich gegen
einen *versierten* Angreifer abzusichern ist deutlich komplizierter
und potentiell teurer, als sich z.B. gegen Leute abzusichern, die
aus Neugierde weil sie gerade auf einen Mitarbeiter warten mal
ihr Notebook anstöpseln um übers Firmennetz auf Facebook zu
kommen.

/ralph

[bohnstin...@gmail.com]

> Aber es handelt sich mit Sicherheit um *komplexe* Maßnahmen, bei
>
> denen ich das Gefühl habe (aufgrund der Formulierungen deiner
>
> Postings), daß du dich sehr weit einarbeiten müßtest,

Da gebe ich dir absolut recht. Ich bin noch neu auf dem Gebiet und habe nur
an der Oberfläche geschruppt, nicht mal gekratzt.

> Wenn man -- und ich vermute mal, daß das bei dir der Fall ist --
>
> gezwungen ist, das Know-How einzukaufen und auszulagern, dann
>
> wird sowas schnell teuer.

Könntest du mir eine gute Lektüre empfehlen? Denn soweit ich das sehe gibt
es unmengen an Büchern die sich um Netzweksicherheiten drehen...

> Ja, für einen *versierten* Angreifer auf jeden Fall. Sich gegen
>
> einen *versierten* Angreifer abzusichern ist deutlich komplizierter
>
> und potentiell teurer, als sich z.B. gegen Leute abzusichern, die
>
> aus Neugierde weil sie gerade auf einen Mitarbeiter warten mal
>
> ihr Notebook anstöpseln um übers Firmennetz auf Facebook zu

Wie du schon sagtest ist die Gefahreneroierung mit Sicherheit ein Thema welches
ich nocheinmal gründlichst überdenken sollte.

[bohnstin...@gmail.com]

Ich möchte mich wirklich nocheinmal bei allen
dir mir geholfen haben bedanken und mich für mein Verhalten entschuldigen.

Ich hoffe ich habe euch nicht schon so vergrault, dass ich später
einmal keine Antwort mehr bekomme :/

LG
Thomas

[Falk Dµ€bbert]

bohnstin...@gmail.com:

> > Da Du über skynet / die NSA postest: könntest Du bitte die Zeilen
> > von
> >
> > Hand umbrechen?
>
> Haha aber ganz ehrlich, ob die NSA die Zeilen umbricht und liest oder
> vorher google und dann für Jahrzehnte speichert ist mir auch schon
> egal :)

Nun ja. Da Du Dich in einem anderen Posting entschuldigt hast, lass ich
das mal jugendlich Überschwang durch.

> > Ich habe so etwas ähnliches mit WLAN-Access-Points, die normales
> > WPA-PSK und WPA mit RADIUS anbieten. Je nachdem ob man das eine oder
> > andere tut, landet man im filtrierten Internet oder mit den anderen
> > Rechnern zusammen im Netz.
>
> Okay. Mit einem RADIUS Server habe ich mich noch leider zu wenig
> beschäftigt. Wie funktioniert das.

Der Wikipedia-Artikel zu RADIUS liefert einen Einstieg.

> Müssen sich die Rechner die im Netz sind auch immer authentifizieren?

Meistens beschränkt man sich darauf, die WLAN-Clients zu
authentifizieren.

> Ich habe gesehen es gibt sowas als
> reine Software auch, kennst du dich damit aus?

Ja, aber nicht kostenlos. Ich gebe Dir ein paar Stichworte, damit Du mit
Deiner Suche weiterkommst - konkrete Beratung darf ich nicht geben. (Hat
mit wollen oder können nix tun.)

> Also verhält er sich
> gleich wenn er nicht auf dem Switch lüft, sondern auf einem Rechner?

Wo ein Dienst läuft ist erst mal egal. In zweiter Linie will man
vielleicht nur gehärtete Systeme präsentieren, aber ein OpenRADIUS ist
schon mal schön für Anpassungen zugänglich.

> > Die "besseren" Cisco-Router (ASA) bieten die Möglichkeit, dass man
> > sich in einem Browser-Fenster mit Benutzernahme und Passwort
> > anmelden muss und das Internet nur zugänglich ist solange das
> > Fenster besteht.
>
> Wie funktioniert dann die Übertragung im Normalfall? Will wer was
> seinen muss er sich anmelden?

Im "Normalfall" kann man nur lokale Rechner und Geräte sehen. Will man
ins Internet, fragt die ASA den Rechner, wer gerade angemeldet ist.
Windows und Apples geben dann eine Antwort und Linux/Androids mangels
Client nicht. Die bekommen dann unter der aufgerufenen URL besagten
Anmeldedialog angezeigt. Nennt sich SSO (Single Sign On).

Problem für Dich wird sein, dass das alles Features von "richtiger"
Netzwerktechnik sind, wo die Preise mal schnell Richtung Monatsgehalt
gehen. Das kann man mit Hirnschmalz und OpenSource ersetzen, setzt aber
von beidem viel voraus.

Falk D.

Falk D.

[Gerrit Heitsch]

On 02/19/2014 09:38 PM, Ralf Döblitz wrote:
> Gerrit Heitsch <ger...@laosinh.s.bawue.de> schrieb:
> [...]

>> Zum Mithören braucht man keine IP, da reicht ein alter 10/100-Hub den
>> man in die entsprechende Leitung einschleift und da Hubs alles
>> reinkommende auf allen Ports ausgeben kann ein am Hub angeschlossener
>> Rechner alles abschnorcheln was auf der Leitung vorbeikommt. Soll es
>> etwas besser versteckt sein (Hubs können nur Halbduplex, es entstehen
>> also Kollisionen) brauch man noch 2 einfache Switches vor und nach dem
>> Hub. Bei Verwendung von 5port-Geräten ist das ein ziemlich kleines Päckchen.
>>
>> Bei einer GBit-Leitung die man auch braucht fällt das natürlich auf,
>> aber oft sind es nur 100Mbit und dort merkt man den Unterschied zwischen
>> Halb- und Vollduplex fast nie.
>

> Oder man nimmt einafch einen kleinen managebaren GBit-Switch, bei dem man
> einen Port als Monitoring Port beschaltet. So wahnsinnig teuer sind die
> auch nicht mehr (z.B. HP J9802A für 80 EUR).

Wichtig ist bei dieser Anwendung, daß er klein ist und keinen Lüfter hat.

Gerrit

[Ralph Aichinger]

Gerrit Heitsch <ger...@laosinh.s.bawue.de> wrote:
> Wichtig ist bei dieser Anwendung, daß er klein ist und keinen Lüfter hat.

Ich bin mir gar nicht sicher, daß es in jedem Büro auffällt,
wenn z.B. irgendwo im Gang in einer Ecke ein Laserdrucker zusätzlich
steht (mit Lüfter und allem Drum und dran), mit modifiziertem
Innenleben.

In größeren Betrieben kann man teilweise ausnutzen, daß
die Organisation sehr komplex ist, und einer oft nichts
vom anderen weiß. In kleineren Organsationen geht das
natürlich nicht.

Ich hab mich immer köstlich amüsiert über die Tonerverkäufer,
die mir am Telefon eine Bestellung entlocken wollten, weil
"unsere Firma immer dort bestellt, und sie jetzt nach den
gerade benötigten Tonern in den Abteilungen durchfragen".
Das funktioniert natürlich nicht, wenn ich der einzige bin,
der Toner kauft, und weiß wo. Das mag in irgendwelchen mittleren
Betrieben, wo einzelne Abteilungen nur halb in den Informations-
fluß eingebettet sind sehr gut funktionieren. Und in denen
kann man sicher prächtig alles mögliche hinstellen, was wie eine
Telefonanlage, ein Drucker, eine Steuerung etc. aussieht, solange
es professionell und sauber montiert oder aufgestellt ausschaut.

/ralph

[Kay Martinen]

Hallo Ralph

Am 20.02.2014 18:44, schrieb Ralph Aichinger:
> Gerrit Heitsch <ger...@laosinh.s.bawue.de> wrote:
>> Wichtig ist bei dieser Anwendung, daß er klein ist und keinen Lüfter hat.

Logo. Der Spion soll ja nicht auffallen.

>
> Ich bin mir gar nicht sicher, daß es in jedem Büro auffällt,
> wenn z.B. irgendwo im Gang in einer Ecke ein Laserdrucker zusätzlich
> steht

... oder ein Büro plötzlich wieder besetzt wird...

> In größeren Betrieben kann man teilweise ausnutzen, daß
> die Organisation sehr komplex ist, und einer oft nichts
> vom anderen weiß.

...was mich grade extrem an den Film "Das Geheimniss meines Erfolges"
erinnert (Mit dem "Oh Yeah" Sound von YELLO :)

Das wäre allerdings eine nette Münchhauseniade und ich bin mir sicher
das Profi-Spitzel diese Art von "Social Engineering" auch gern nutzen.

Da wird die Komplexität des Unternehmens selbst zur Fußangel.

Schlimmer finde ich wenn das zusammen mit Animositäten zwischen
Abteilungen oder Angestellten auf die IT-Organisation durchschlägt.
Ich weiß ja nicht ob das im RL auch so vorkommt wie in o.g. Film, für
möglich halte ich es. Gegen sowas dürfte noch kein IT-Crowd gewachsen
sein. :-)

Kay

[Marc Haber]

Kay Martinen <k...@martinen.de> wrote:
>Am 20.02.2014 18:44, schrieb Ralph Aichinger:
>> In größeren Betrieben kann man teilweise ausnutzen, daß
>> die Organisation sehr komplex ist, und einer oft nichts
>> vom anderen weiß.
>
>...was mich grade extrem an den Film "Das Geheimniss meines Erfolges"
>erinnert (Mit dem "Oh Yeah" Sound von YELLO :)

Mit Expansion im mittleren Westen und Helen Slater. Das waren noch
Zeiten.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Ignatios Souvatzis]

Martin Wohlauer wrote:

> Naja, ich kann mir auch jederzeit selbst eine eigene IP geben, wenn ich
> eine Idee hab, welcher Netzwerkbereich benutzt wird.

Dagegen hilft aber ndpmon, oder arpwatch fuer antike Netze, und
jemanden, der die Meldungen auch liest und versteht.

-is