| View previous topic :: View next topic |
| Author |
Message |
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
|
| Back to top |
|
 |
ChrisJumper
Advocate
Joined: 12 Mar 2005
Posts: 2403
Location: Germany
|
 Posted: Mon Jan 05, 2009 9:14 pm Post subject: |
 |
|
Also, eigentlich bin ich immer davon ausgegangen das ich mich im Bereich der Netzwerke und den bekannten und möglichen Zugriffsmethoden auf/als Netzteilnehmer auskenne. Doch deine Angst vor dem mDNSResponder bzw. der Verwendung von mDNS kann ich nicht so ganz nachvollziehen, auch was dies mit KDE zu tun haben soll erschließt sich mir nicht wirklich.
Edit: Ohne utgamer und mv im folgenden Absatz etwas unterstellen zu wollen, ich glaub ich hab euch/diesen Thread zuerst falsch verstanden und jetzt hab ich das auch schon alles geschrieben und bin zu faul zum umschreiben, also werfe ich das einfach mal in den Raum... -_-
Ohne das ihr sowas gesagt oder behauptet habt... liest einfach weiter *g*
Das man dadurch deinen ganzen (also auch den über 127.0.0.1) IP-Verkehr abhören kann ist einfach falsch.
Es ist auch nicht so das KDE im Rahmen der Interprozesskommunikation hier ungepflegt alles ausplaudert. Zudem gehe ich davon aus das ein solches Programm, in einem gewissen Rahmen mit den sichersten default Einstellungen installiert wird. Und eben nicht im Plauderton alles preisgeben.
Wenn ich das (mit der Funktionsweise von mDNS) jetzt auch nicht falsch verstanden habe wird dies auch nur von einigen Diensten/Anwendungen genutzt. Ich vermute hier sowas wie ein Remote-Service, Streaming von Audio oder Video-Daten usw. das ganze Verhalten ist aber an Programme und deren Einstellungen von und in KDE gebunden. Benutzt man diese Programme nicht hat man nichts zu befürchten.
Ohne mich jetzt tiefer mit der Funktionsweise von mDNS zu beschäftigen, klingt es für mich wie eine spezielle Anfrage über die Multicast-Adressen, welche dann vom Client/mDNS-Dienst bearbeitet werden und dieser Antwortet dann irgendwie darauf. Er plaudert aber nicht irgendwelche gefährlichen Dinge aus oder fungiert als Ersatz für die bekannte Namensauflösung im Internet.
Wenn du doch noch Angst haben solltest, mach einfach das was am sichersten ist und halte deine Ports geschlossen. Stört es dich dennoch, finde heraus wie die "mDNS-Pakete" aussehen und verwerfe diese.
Was das jetzt alles mit Routern zu tun hat will sich mir noch nicht so direkt erschließen, es scheint dir auch mehr um MiM-Attacken zu gehen als um KDE, deine Überschrift ist hier nicht gut gewählt.
Zum Sorgenkind Router:
Diese Firewall-Router-Internetzugangsboxen, halte ich auch nicht für sonderlich Vertrauenswürdig. Allerdings ist mir die Sicherheit diesbezüglich auch nicht so wichtig. Zwar vertraue ich diesen kleinen Boxen aus Stromverbrauch-Gründen noch meine ISP-Zugangsdaten an, aber das wars dann auch schon. DNS oder DHCP-Service wird deaktiviert, auch dessen Firewall. Die Firmware wird regelmäßig Aktualisiert und ein sicheres Passwort verwendet. Das wars dann auch schon. Wichtige Verbindungen von meinen Rechnern im LAN gehen nur verschlüsselt über diese Leitung. Der Rest ist internet typisch (wie diese Browser Meldung das dritte die Daten mitlesen können.) unsicher. Und mir auch egal.
Zum Thema Sicherheit:
Ich halte hier (bekannte) Lücken im DNS gebrauch für gefährlicher. Irgendwann werde ich als alternative einen DNSSEC-Server verwenden oder einfach ein Programm/Plugin schreiben das mich auf die Änderungen der IP-Adressen von wichtigen Adressen aufmerksam macht.
Kritische Lücken sehe ich nicht direkt im Netzwerk sondern auf Applikationsebene. Browser und dessen Plugins, wie Think4UrS11 bemerkte. Es ist einfach leichter u. bequemer sich vom client-system aus im internen Netzwerk umzusehen als sich den Stress mit dem man in the middle zu machen.
Auch eine schlechte (ungepflegte, Standard) IPV6-Konfiguration ist hier bedenklicher. Solltest du auch noch Windows-Rechner im Netzwerk haben dann gib dort besonders acht auf die Einstellungen. Ich bin letzt zum Beispiel über Teredo_tunneling gestolpert und diverse, nennen wir es "Designfehler" die es erlauben von außen (internet) sich im LAN "umzusehen". Glücklicherweise ist dieses Protokoll(/Dienst) in WinXP (noch) nicht enthalten und in Vista zwar vorhanden aber (noch) nicht per default aktiviert.
Ach ja und zu deinen Problemen...
| Quote: | | denn danach gab es auf einmal überall seltsame Fehler, sie häuften und häuften sich. KDE-Programme fingen an sich seltsam langsam zu benehmen und gar mein Mozilla Browser wurde manchmal unerklärlich langsam. |
...ich vermute das Problem liegt irgendwo anders.
Ich würde mich freuen wenn ihr (utgamer u. mv) mir nochmal erklärt was euch an mDNS so stört und genau welche Bedenken ihr da habt..
Grüße,
Chris |
|
| Back to top |
|
|
mv
Watchman
Joined: 20 Apr 2005
Posts: 6780
|
| Posted: Mon Jan 05, 2009 10:15 pm Post subject: |
|
|
| ChrisJumper wrote: | | Das man dadurch deinen ganzen (also auch den über 127.0.0.1) IP-Verkehr abhören kann ist einfach falsch. |
Wie Du selbst bemerktest, hat das ja niemand behauptet. Ohne weiteres Spoofing geht das natürlich nicht.
| Quote: | | Es ist auch nicht so das KDE im Rahmen der Interprozesskommunikation hier ungepflegt alles ausplaudert. |
Es ist auch nicht so, dass z.B. Apache ungepflegt alles ausplaudert. Trotzdem installiert man ihn sich vernünftigerweise nicht einfach so und macht ihn im Internet zugänglich (wenn man nicht wirklich etwas darauf anbieten will): Wieso soll man einen Angriffsvektor schaffen, für dessen Dienste man nicht den geringsten Bedarf hat?
| Quote: | | Zudem gehe ich davon aus das ein solches Programm, in einem gewissen Rahmen mit den sichersten default Einstellungen installiert wird. |
Das weiß ich nicht, und es spielt auch keine Rolle: Einen Netzwerkdienst, den ich nicht anbieten will, installiere ich auch nicht. Programme haben immer wieder Bugs, und es werden immer wieder neue Angriffsmethoden gefunden.
| Quote: | | Ich vermute hier sowas wie ein Remote-Service, Streaming von Audio oder Video-Daten usw. das ganze Verhalten ist aber an Programme und deren Einstellungen von und in KDE gebunden. |
Nein; es geht um so eine Art "dynamisches" dhcp, also dem automatischen Zuweisen lokaler Netzadressen aufgrund der MAC-Gerätekennung (der Punkt liegt auf automatisch; inwiefern man das einschränken kann, habe ich mir nicht angeschaut, und es interessiert mich auch nicht, weil ich es gar nicht anbieten möchte: In einem statisch konfigurierten Netzwerk ist das grober Unfug [wie ich schrieb, sieht die Sache natürlich anders aus, wenn man ein Service-Netz betreibt, in das sich laufend neue Rechner einloggen sollen]).
| Quote: | | Benutzt man diese Programme nicht hat man nichts zu befürchten. |
Doch: zeroconf hat ja nichts mit KDE zu tun. Das ist ja das Perverse, dass die KDE-Ebuilds trotzdem dessen Installation verlangen, nur weil einige KDE-Programme es benutzen könnten. Ganz abgesehen davon, dass KDE selbst in der Minimalinstallation schon genug Plattenspeicher frisst.
| Quote: | | Wenn du doch noch Angst haben solltest, mach einfach das was am sichersten ist und halte deine Ports geschlossen. |
Viele Ports möchte man aber zumindest dem lokalen Netz offenhalten. Das geht dann aber nicht mehr sicher: Der Clou an zeroconf ist ja, dass sich damit ein Fremdrechner u.U. (durch ARP-Poisoning) als lokaler Rechner "einschmuggeln" kann.
Und niemals zu vergessen: Bugs in zeroconf selbst (oder Schwächen in dessen Protokoll, die bislang vielleicht nur noch nicht bekannt sind), erlauben möglicherweise sogar noch viel leichtere Angriffe. Wie lange hat es gedauert, bis der IP-Stack des Kernels keine solchen Bugs mehr hatte? |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Mon Jan 05, 2009 11:27 pm Post subject: |
|
|
| ChrisJumper wrote: | | Ich bin letzt zum Beispiel über Teredo_tunneling gestolpert und diverse, nennen wir es "Designfehler" die es erlauben von außen (internet) sich im LAN "umzusehen". |
Mal abgesehen davon das derzeit noch nicht allzuviel mit IPv6 los ist wird das ganze nur dann zum Problem wenn man internen Hosts direkte Verbindungen ins Internet aufbauen läßt. Das Risiko ist also (fast) identisch zu jedem beliebigen anderen Dienst/Anwendung der das darf. Ähnliches kann ich auch mit einem DNS/ICMP/HTTP/foobar-Tunnel machen.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
| Posted: Tue Jan 06, 2009 12:01 am Post subject: |
|
|
@ChrisJumper, du möchtest etwas zum Thema mDNSresponder oder auch zur so genannten Zeroconf-Technik von Apple erfahren?
Dann les dir diesen Artikel einmal ganz genau durch, gut er ist zwar von 2006, aber die heutige Implementierung funktiniert immer noch genau so wie dort beschrieben, es wurde nur an den erkannten Diensten weiter gefeilt. 
http://www.linux-magazin.de/heft_abo/ausgaben/2006/03/null_arbeit
Auf Seite 2 ist eine Box mit dem Titel: Sicherheit von MDNS
Hier der Auszug für dich:
| Quote: | Ähnlich wie DHCP ist MDNS ausschließlich für lokale Netzwerke gedacht und explizit nicht fürs Internet. Es besitzt keinerlei Sicherheitsvorkehrungen, alle MDNS-Teilnehmer müssen sich gegenseitig vertrauen. Sie verwalten den Namensraum ».local.« gemeinsam und kooperativ. Erweist sich eine Station als Störenfried oder dringen Angreifer ins lokale Netz ein, ist es für sie einfach, MDNS zu missbrauchen. Sie könnten bereits registrierte Dienste durch eigene unter dem gleichen Namen ersetzen und so etwa den Druckverkehr auf einen Server im Internet umlenken. Auch die bloße Kenntnis der internen Infrastruktur ist schon gefährlich.
Um das Risiko zu vermindern, sendet Avahi auf Netzwerkschnittstellen, die ins Internet führen könnten, keinen MDNS-Verkehr. Trotzdem ist es zu empfehlen, zentrale Firewalls so zu konfigurieren, dass sie den UDP-Port 5353 in beiden Richtungen sperren.
Die Avahi-Entwickler arbeiten daran, die vom klassischen DNS bekannte DNSSEC-Technik auch für MDNS zu implementieren. Die erlaubt es, MDNS-Verkehr, der nicht mit einem vorgegebenen kryptographischen Schlüssel kodiert ist, zu ignorieren. Somit können nur Computer, die diesen Key kennen, an der ».local.«-Domain teilnehmen. Leider widerspricht dies der Zeroconf-Idee, weil es nötig ist, vorab für jeden Teilnehmer im Netz den Schlüssel zu konfigurieren. |
Bis Heute sind noch keine kryptographischen Schlüssel implementiert.
Also bist du über Arp-Poisioning/Spoofing hinter den Router gelangt steht dir die LAN-Welt des Angegriffenen völlig offen.
Tja und da KDE unter Gentoo nicht ohne mDNSresponder zu haben ist ist dein LAN offen für jeden echten Profi, jetzt kommtst eben nur noch auf die Dienste an die im LAN angeboten werden, wie CIFS/NFS-Shares, Drucker, ext. USB-Platten-Server, Webserver ... also alles was im LAN läuft und sei dir sicher mDNSresponder bietet alle diese Dienste freiwillig und umlenkbar an. Das ist der Präsentierteller persönlich, denn es vertraut dem Man-in-the-middle-Angreifer voll und ganz.
PS:
Microsoft mit Windows ab XP und Apple verwenden ebenfalls diese Technik heist dort dann Zeroconf oder abgewandelt Avahi.
Sollte ein/dein Windows mal eine IP-Adresse haben die mit 169.xxx.xxx.xxx anfängt dann ist diese von Zeroconf vergeben worden.
Gruß
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.
Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748 |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 06, 2009 10:23 am Post subject: |
|
|
| UTgamer wrote: |
Tja und da KDE unter Gentoo nicht ohne mDNSresponder zu haben ist ist dein LAN offen für jeden echten Profi, jetzt kommtst eben nur noch auf die Dienste an die im LAN angeboten werden, wie CIFS/NFS-Shares, Drucker, ext. USB-Platten-Server, Webserver ... also alles was im LAN läuft und sei dir sicher mDNSresponder bietet alle diese Dienste freiwillig und umlenkbar an. Das ist der Präsentierteller persönlich, denn es vertraut dem Man-in-the-middle-Angreifer voll und ganz.
|
öhm das stimmt nicht, soweit ich das weis. mDNSResponder bietet keinen Dienste an, solange du den dienst nicht gestartet hast . KDE verwendet nur die client libs um MDNS anfragen zu senden und angebotene Dienste festzustellen.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Jan 06, 2009 12:58 pm Post subject: |
|
|
| firefly wrote: | | KDE verwendet nur die client libs um MDNS anfragen zu senden und angebotene Dienste festzustellen. |
selbst dann muß es mir nur gelingen einen mdns-Server in deinem Netz an den Start zu bringen und du hast ein Problem bei jeder Ressource die darüber angefragt und später benutzt wird da du nicht sicher sagen kannst ob die Adresse der Ressource nun die richtige oder die gefakte ist. (außer durch manuelle Kontrolle)
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 06, 2009 1:03 pm Post subject: |
|
|
| Think4UrS11 wrote: | | firefly wrote: | | KDE verwendet nur die client libs um MDNS anfragen zu senden und angebotene Dienste festzustellen. |
selbst dann muß es mir nur gelingen einen mdns-Server in deinem Netz an den Start zu bringen und du hast ein Problem bei jeder Ressource die darüber angefragt und später benutzt wird da du nicht sicher sagen kannst ob die Adresse der Ressource nun die richtige oder die gefakte ist. (außer durch manuelle Kontrolle) |
Das bestreite ich auch nicht. Es ging mir nur um die Aussage, dass nur durch die Installation von mDNSResponder, dieser schon Dienste anbieten würde, obwohl der mDNSResponder Dienst nicht gestartet und konfiguriert ist. Und diese Aussage ist falsch.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Jan 06, 2009 2:31 pm Post subject: |
|
|
Schon klar aber im aktuellen Kontext hätte der Eindruck entstehen können das die client-libs alleine nichts böses sein können.
Lieber einmal zuviel darauf hinweisen als einmal dumm gekuckt
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 06, 2009 2:44 pm Post subject: |
|
|
| Think4UrS11 wrote: | Schon klar aber im aktuellen Kontext hätte der Eindruck entstehen können das die client-libs alleine nichts böses sein können.
Lieber einmal zuviel darauf hinweisen als einmal dumm gekuckt |
jo 
Naja eine client lib an sich können nicht böse sein, ausser sie ist schlecht programmiert. Nur im Zusammenhang mit einem kompromittierten Service, welche von der client lib verwendet wird, kann ein schaden angerichtet werden.
Und dies gilt nicht nur für mdns, sonder das kann man auch auf DNS und DHCP ausweiten.
So langsam sollte der Titel des Threads angepasst werden, denn die Diskussion hat nicht mehr viel mit KDE an sich zu tun. Und KDE ist auch hier nicht das Problem sondern eher das gentoo ebuild von kdelibs. Wobei dies nur für die version 3.5.x gilt. Die ebuilds von kdelibs 4.x haben diesen Fehler nicht, da kann man die kdelibs, ohne hacks, auch ohne mDNSResponder installieren.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
| Posted: Tue Jan 06, 2009 5:59 pm Post subject: |
|
|
| firefly wrote: | | Naja eine client lib an sich können nicht böse sein, ausser sie ist schlecht programmiert. Nur im Zusammenhang mit einem kompromittierten Service, welche von der client lib verwendet wird, kann ein schaden angerichtet werden. |
| UTgamer wrote: | | Quote: | | ... Erweist sich eine Station als Störenfried oder dringen Angreifer ins lokale Netz ein, ist es für sie einfach, MDNS zu missbrauchen. Sie könnten bereits registrierte Dienste durch eigene unter dem gleichen Namen ersetzen und so etwa den Druckverkehr auf einen Server im Internet umlenken. Auch die bloße Kenntnis der internen Infrastruktur ist schon gefährlich. ... |
|
Na wenn dies (^ dicke Schrift) kein von mDNS angerichterer Schaden ist weiß ich nicht was bei dir sonst ein Schaden sein soll. 
Macht dir also nichts aus wenn du eine Kündigung, Ausschreibung, Bestellung, etc auf einen fremden Rechner im Internet ausdruckst? Oder deine Dateien statt auf ein lokales Netzwerkshare auf ein Internetnetzwerkshare abspeicherst?
Mir und weiteren macht es aber etwas aus.
mDNSresponder/Avahi kannst du z.B.nicht mal auf einer LAN-Party ohne INet-Anschluß einsetzen bei welcher es nur um Spiele geht, denn auch dort sind Bösewichte die dir Trojaner unterjubeln wollen, z.B. beim laden von Mods/Addons, etc. Vergiss diese Technik einfach komplett, sie ist es nicht Wert so halb ausgegoren überhaupt bei Endanwendern mit INetanschluß verbreitet zu werden. Und ja unter Gentoo ist KDE einfach das Problem, es sorgt dafür da ich gezwungen bin diese Technik mitzuinstallieren und ich möglicherweise dadurch auf fremde DNS-Server, Drucker, Shares etc ausgebe/zugreife als auf meine eigenen.
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.
Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748 |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 06, 2009 6:11 pm Post subject: |
|
|
| UTgamer wrote: | | firefly wrote: | | Naja eine client lib an sich können nicht böse sein, ausser sie ist schlecht programmiert. Nur im Zusammenhang mit einem kompromittierten Service, welche von der client lib verwendet wird, kann ein schaden angerichtet werden. |
| UTgamer wrote: | | Quote: | | ... Erweist sich eine Station als Störenfried oder dringen Angreifer ins lokale Netz ein, ist es für sie einfach, MDNS zu missbrauchen. Sie könnten bereits registrierte Dienste durch eigene unter dem gleichen Namen ersetzen und so etwa den Druckverkehr auf einen Server im Internet umlenken. Auch die bloße Kenntnis der internen Infrastruktur ist schon gefährlich. ... |
|
Na wenn dies (^ dicke Schrift) kein von mDNS angerichterer Schaden ist weiß ich nicht was bei dir sonst ein Schaden sein soll.
|
Das meinte ich doch. Ein "Angreifer" ist in dein Netz eingedrungen, z.b. durch Kapern eines Rechners. Und verwendet die mDNS implementation auf diesem Rechner um einen anderen Dienst durch seinen eigenen zu ersetzen. Was anderes habe ich nicht behauptet. Ich habe nur behauptet, das eine client lib an sich nicht bösartig ist, solange diese nicht schlecht programmiert ist. Nur wenn ein Angreifer den Service, welche durch die client lib angesprochen wird, kompromittiert, kann ein schaden entstehen. Aber nicht alleine durch die client lib.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
| Posted: Tue Jan 06, 2009 6:45 pm Post subject: |
|
|
Du beachtest nicht das der Angreifer keinen einzigen deiner LAN-Rechner selbst kompromitiert haben muß.
Der Router wird geflutet und fungiert nur noch als Bridge jetzt kann der Angreifer auf der WAN-/Internet- Seite liegen und liest deine vorhandene mDNS-Konfiguration einfach aus und bietet ebenfalls einen Service unter gleichem Namen an wie bereits einer in deinem Netz vorhanden ist.
Bleibe ich mal am Beispiel eines Remote-Druckers, du druckst eine Bestellung mit Kontendaten aus und sendest sie an den Host/Rechner der deine Druckerqueue hält oder einem Netzwerkdrucker, jetzt druckst du natürlich deine Bestellung samt Adresse und Kontodaten auch beim Angreifer aus. Deine eigenen Rechner müssen nicht einmal eine einzige Lücke besitzen. Oder du hast eine SMB/Cifs Freigabe auf einem deiner Rechner und möchtest dort etwas abspeichern, z.B. deine Konfigdateien um bei Rechner-/Festplatten- Crash Backups zu haben. Du speicherst sie nicht nur auf deinem Rechner ab sondern auch auf dem Angreiferrechner im Internet, genausogut kannst die die dann möglicherweise bewußt kompromitierten Konfigdateien wieder vom falschen Anbieter aus dem Internet herunterladen, obwohl auf deiner eigenen Netzwerkfreigabe die Echten liegen.
Jetzt verstanden das mDNSresponder oder Avahi als von dir sogenannte "Clientlibs" selbst das Problem der Lücke sind?
[Edit]
PS: Unter Windows und Apples sind diese "Features" standardmäßig eingeschaltet. Man will ja Linuxdistries dem anpassen, kann ja nicht angehen das Linuxer an dem supertollen "Feature" nicht teilhaben können.
Man nennt es auch "broken by design"
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.
Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748 |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 06, 2009 7:29 pm Post subject: |
|
|
| UTgamer wrote: | | Du beachtest nicht das der Angreifer keinen einzigen deiner LAN-Rechner selbst kompromitiert haben muß. |
Aber sie sind in dein lokales Netz eingedrungen bzw. haben es um ihre Rechner erweitert.
| UTgamer wrote: | | Jetzt verstanden das mDNSresponder oder Avahi als von dir sogenannte "Clientlibs" selbst das Problem der Lücke sind? |
Ähm dann dürftest du auch kein DHCP oder DNS verwenden, bzw. clients davon installiert haben. Denn über DNS könnte man dein Beispiel, mit dem umleiten von anfragen an einen Netzwerkdrucker, auch bewerkstelligen.
Die client libs werden erst ein Teil der Lücke, wenn zusätzliche Faktoren dazukommen. Zum einen muss dein Netzwerk kompromittiert werden. Und zum anderen musst du mDNS in irgend einer Form verwenden.
Solange du nicht den mDNS Service auf deinem Rechner gestartet hast, bzw. kein Programm verwendest, welche die mDNS Unterstützung verwendet, kann da auch nichts passieren.
Nur weil die kdelibs mit mDNS support übersetzt wurden, heißt es noch lange nicht, das mDNS verwendet wird. Denn solange kein Programm eine Funktion der kdelibs verwendet, welche zusätzlich mDNS für die Auflösung von Netzwerknamen verwendet, sind die client libs von mDNS ungefährlich.
Und soweit ich weis, wird mDNS nur verwendet wenn versucht wird einen Netzwerknamen zu erreichen/ ein Netzwerkservice zu verwenden, welche im Netzwerknamen das postfix .local haben. Alle anderen werden versucht über DNS aufzulösen.
Also sind nicht die clientlibs, hier mDNSResponder, alleinig für das Problem der Lücke verantwortlich.
Es ist natürlich besser, wenn man für ein Funktion/Protokoll, welches man nicht verwendet/verwenden möchte erst gar nicht Programme und oder libs installiert, welche die Funktion bzw. das Protokoll unterstützen.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 06, 2009 7:39 pm Post subject: |
|
|
| UTgamer wrote: | PS: Unter Windows und Apples sind diese "Features" standardmäßig eingeschaltet. Man will ja Linuxdistries dem anpassen, kann ja nicht angehen das Linuxer an dem supertollen "Feature" nicht teilhaben können.
Man nennt es auch "broken by design" |
Naja mDNS würde ich nicht unbedingt broken by design nennen. Es ist halt eine Möglichkeit, dass sich Rechner über einen Namen in einem Netzwerk finden, ohne das eine Zentrale Stelle dafür notwendig ist, wie bei DNS.
Und jetzt komm nicht mit "das kann man auch dadurch erreichen, wenn man IP-Adressen direkt verwendet". Ein Mensch kann sich leichter Namen merken als Nummernfolgen. Und spätestens mit IPv6 ist das merken von mehreren IP-Addressen für einen Menschen nahezu unmöglich. Auch mit IPv4 hast du das Problem, wenn das Netzwerk größer wird.
Zusätzlich hast du Probleme, wenn du IP-Adressen direkt verwendest, wenn sich für ein Dienst sich die IP ändert (z.b. der Dienst läuft zukünftig auf einem anderen Rechner). Dann müsstest du jedem Client, welcher auf diesen Dienst zugreift, auf die neue IP-Adresse um konfigurieren.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
| Posted: Tue Jan 06, 2009 8:16 pm Post subject: |
|
|
| firefly wrote: | | Und jetzt komm nicht mit "das kann man auch dadurch erreichen, wenn man IP-Adressen direkt verwendet". |
Doch es gibt Menschen wie z.B. mv und mich sowie weitere die genau diesen Weg gehen wollen.
| firefly wrote: | | Ein Mensch kann sich leichter Namen merken als Nummernfolgen. Und spätestens mit IPv6 ist das merken von mehreren IP-Addressen für einen Menschen nahezu unmöglich. |
Da gebe ich dir ganz recht.
Man merkt aber auch das du selten bis nie auf einer mittelgroßen LAN-Partie (50-200) Spieler bist. Dort wird ebenfalls über IP-Listen als sauberste Implementierung gespielt. Eine Tischreihe enthält eine IP-Reihenfolge die strickt einzuhalten ist, somit können die Admins überprüfen wenn/wann ein Clientrechner etwas verbotenes macht. Dort sind ebenfalls Organisatoren die Neulinge erklären wie sie ihr Netzwerk einrichten müssen, und da ich in meiner Umgebung bereits recht bekannt bin gehöre ich auch zu den Helfern sowohl für Windows als auch Linux.
Oberhalb von 100 Personen haben die Organisatoren Probleme Angreifer auszumachen. nichts ist wertvoller als feste IP-Adressen in solch einem Netz von unsicheren hochgetunten Spielerechnern.
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.
Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748 |
|
| Back to top |
|
|
mv
Watchman
Joined: 20 Apr 2005
Posts: 6780
|
| Posted: Tue Jan 06, 2009 8:28 pm Post subject: |
|
|
| firefly wrote: | | Denn über DNS könnte man dein Beispiel, mit dem umleiten von anfragen an einen Netzwerkdrucker, auch bewerkstelligen. |
Deswegen wird man auch z.B. in seinem Heim-Netz den Drucker nicht per Namen ansprechen sondern per IP. Und nein, die IP muss man sich nicht merken: Man trägt sie einmalig in einer geeigneten Config-Datei ein. Oder wenn man doch Namen will, benutzt man die /etc/hosts.
Und richtig: dhcp hat man normalerweise ebenfalls nicht installiert, außer man benötigt diesen Dienst tatsächlich. |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 06, 2009 9:02 pm Post subject: |
|
|
| UTgamer wrote: | Man merkt aber auch das du selten bis nie auf einer mittelgroßen LAN-Partie 50-200 Spieler bist. Dort wird ebenfalls über IP-Listen als sauberste Implementierung gespielt. Eine Tischreihe enthält eine IP-Reihenfolge die strickt einzuhalten ist, somit können die Admins überprüfen wenn/wann ein Clientrechner etwas verbotenes macht. Dort sind ebenfalls Organisatoren die Neulinge erklären wie sie ihr Netzwerk einrichten müssen, und da ich in meiner Umgebung bereits recht bekannt bin gehöre ich auch zu den Helfern sowohl für Windows als auch Linux.
Oberhalb von 100 Personen haben die Organisatoren Probleme Angreifer auszumachen. nichts ist wertvoller als feste IP-Adressen in solch einem Netz von unsicheren hochgetunten Spielerechnern. |
Das stimmt ich bin sehr selten auf LANs. Aber auf einer LAN ist das zum Teil auch recht einfach nur mit IP-Adressen zu arbeiten. Ihr z.b. macht eine Zuordnung IP-Adresse = Netzwerkanschluss am Hub/Switch bzw. IP-Adressbereich = Tischreihe. Und zusätzlich muss sich jeder Teilnehmer bei euch melden um zu erfahren welche IP-Adresse er verwenden kann. Dadurch hat man es leicht einen Überblick zu erhalten.
Nur bei Netzwerken, wo Dienste über den selben Pfad erreichbar sein sollte, dann ist eine reine IP-Adressen basierende Lösung nur schwer durch zu führen. Denn was ist, wenn der Dienst, aufgrund von Last Problemen des Rechners, auf dem der Dienst läuft, auf einen anderen Rechner umziehen muss. Dann hast du mit einer reinen IP-basierende Lösung ein Problem. Denn dann musst du, wie ich schon schrieb, die Änderung der IP-Adresse jedem Client, welcher den Dienst verwendet, irgendwie mitteilen. Und hierfür ist einen Namensbasierende Lösung besser. Denn hierdurch muss der Client nur den Namen kennen unter dem der Dienst erreichbar ist. Wie du sicher schon weist, wird ein zusätzlicher Mechanismus benötigt um einen Name in eine IP-Adresse aufzulösen. Hierfür gibt es den DNS Dienst. Bei der bisherigen Implementation von DNS wird aber eine Zentrale stelle benötigt, welche die Namensauflösung durchführt.
mDNS ist, soweit ich das weis, ist eine andere Implementation von DNS bei der die Zentrale stelle nicht benötigt wird. Bei mDNS wird die Zuordnung von Namen zu einer IP-Adresse gemeinschaftlich gemacht. Ein Rechner kann nicht nur erfahren welche IP-Adresse hinter einem Namen steckt sondern er kann zusätzlich herausfinden welche Dienste im Netzwerk angeboten werden.
Dieses Verfahren der gemeinschaftlichen Verwaltung eines Netzwerk ohne Zentrale stelle beruht aber auf einem gegenseitigen Vertrauen. Sobald mindestens ein Rechner im Netzwerk nicht mehr vertraut wird dann ist dieses Verfahren des dezentralen Netzwerkmanagements nicht mehr sicher.
Meiner Meinung nach ist mDNS nicht für große Netzwerke geeignet, da durch die dezentrale Natur des IP-Adress vergabe und auflösen von Namen zu IP-Adressen es fast unmöglich macht so ein Netzwerk ab zusichern (wenn es rein mDNS oder eine andere implementation von zeroconf verwendet). Aber in kleinen (was bedeutet klein ) Netzwerken, bei denen die Nutzer sich überhaupt nicht ums Netzwerkmanagement kümmern möchte, kann mDNS eine gute Lösung sein. Auch der Zugriff aufs Internet ist da meist unproblematisch solange ein Router verwendet wird, welche das lokale Netz vom Internet abschottet.
Und hier sind wir wieder bei deinem Anfangs Argument gegen mDNS: was passiert wenn der Router kompromittiert wird.
Gegen eine Kompromittierung eines Gerätes im Netzwerk ist momentan fast keine Netzwerktechnik gesichert. Der Angreifer erhält dann einen Einblick in deine Netzwerkstruktur. Einen Angriff auf einen Rechner/Dienst wird zugegeben durch mDNS erleichtert (Aufgrund der dezentralen Netzwerkverwaltung) aber das ist kein alleiniges Problem einer installierten client lib (hier mDNSResponder). Du aber nennst das vorhanden sein von mDNSResponder auf deinem System als einzige Quelle des Problems. Nur damit die Installation von mDNSResponder zum Problem wird müssen zusätzliche Faktoren vorhanden sein. Welche das sind werde ich an dieser Stelle nicht nochmal wiederholen.
| UTgamer wrote: | | firefly wrote: | | Und jetzt komm nicht mit "das kann man auch dadurch erreichen, wenn man IP-Adressen direkt verwendet". |
Doch es gibt Menschen wie z.B. mv und mich sowie weitere die genau diesen Weg gehen wollen.
|
Das ist aber kein Argument, Techniken wie mDNS komplett zu verteufeln. Zu mindestens kommt es mir so, vor als würdest du das machen.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Tue Jan 06, 2009 9:12 pm Post subject: |
|
|
| mv wrote: | | firefly wrote: | | Denn über DNS könnte man dein Beispiel, mit dem umleiten von anfragen an einen Netzwerkdrucker, auch bewerkstelligen. |
Deswegen wird man auch z.B. in seinem Heim-Netz den Drucker nicht per Namen ansprechen sondern per IP. Und nein, die IP muss man sich nicht merken: Man trägt sie einmalig in einer geeigneten Config-Datei ein. Oder wenn man doch Namen will, benutzt man die /etc/hosts. |
Bei kleinen Netzwerken ist das auch durchführbar. Vorausgesetzt der Betreiber des Netzwerks will sich mit der Materie etwas beschäftigen. Nur es gibt halt auch Leute, welche sich um Dinge wie IP-Adresse und Co. kümmern wollen. Und hierfür ist mDNS eine gute Möglichkeit. Ein Neuer Rechner braucht sich nur ins Netzwerk einklinken und schon hat er Zugriff auf alle angebotenen Dienste, ohne das der Benutzer irgendetwas am Rechner konfigurieren muss.
Zugegeben dadurch wird es einen Angreifer erleichtert einen Dienst gezielt anzugreifen, aber dadurch muss der Angreifer aber Zugriff auf das Netzwerk erhalten.
Aber Nur aufgrund dieser Tatsache die Technik zu verteufeln, zu mindestens kommt mir das so vor als würde UTGamer das tun, ist auch nicht richtig.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
| Posted: Tue Jan 06, 2009 11:45 pm Post subject: |
|
|
| firefly wrote: | | Aber Nur aufgrund dieser Tatsache die Technik zu verteufeln, zu mindestens kommt mir das so vor als würde UTGamer das tun, ist auch nicht richtig. |
Diejenigen die keine Netzwerkausbildung wie ich (Certified Novell Engineer, Microsoft Certified Professional) genossen haben mögen es sicher so wie du, aber was ist mit denen die um Lücken und Wege Kenntniss haben, und genau deswegen von Windows weggegangen sind? Müssen diese Umsteiger sich den freien GNU-Weg verbauen lassen und wie in LFS (Linux from Scratch) alles selbst zusammenbauen? Müssen diesen Menschen ihre neu gewonne Freiheit gezwungen werden über Bord zu werfen, kann man ihnen nicht ihre Wahlmöglichkeiten lassen?
Was ist GNU, Linux und wofür steht Gentoo?
Meine HW-Flags (Fußnote) die ich seit Oktober 2005 nach jahrelanger Recherche und Assemblerkenntnissen einsetze sind ein Stück wofür GNU und auch Gentoo stehen sollen. Warum wird davon langsam abgekehrt?
Ich habe überhaupt nichts dagegen wenn sich jemand sein Netzwerk vereinfachen möchte aber genauso sollen diejenigen die sich ihr Netzwerk noch von Hand konfigurieren bitte auch nicht benachteiligt werden.
Das ist jetzt pers. an dich gerichtet, ich rede jetzt darüber weil ich noch nicht dazu gekommen bin mich in Unix/Linux zu zertifizieren.
Wenn ich persöhnlich eine Konfiguration nicht kenne lese ich die Anleitung, verstehe ich die Anleitung nicht lass ich es bleiben. Das wurde mir in meiner Ausbildung eingetrichtert. >> Konsultiere Fachwissen oder du hast eine Sicherheitslücke und bist deinen Adminjob los.
Kommst du selbst nicht weiter gebe die Konfiguration an jemanden weiter der sich damit auskennt. Meine Kunden waren Banken, Versicherungen, High-Level-Kundensupport. Ich habe bereits Verbindungen zur Deutschen Börse und internationale Hochsicherheitskonferenzverbindungen zwischen CEOs aufgebaut (Großindustrie), als Sysadmin sowie als internationaler Konferenztechniker. Naja so ein >100.000€ Equipment wie in den Firmen habe ich zuhause nicht, und muß mich mit dem zufrieden geben was ich privat habe.
Vor wenigen Jahren träumte ich noch davon mir ein Novell-Netware-Servernetzwerk aufzubauen (http://developer.novell.com/wiki/index.php/NetWare_Management_Agent , http://www.novell.com/training/certinfo/cne/nw6.html), ich habe alles dafür was ich brauche, nur da ich mit einem Novelladmin direkt vom Hersteller Hand in Hand gearbeitet hatte wußte ich auch um Schwachstellen im Netwaresystem, unsichbaren Acounts etc. Wenn ich nur z.B. unsichtbare Accounts erstellen kann, dann kann es jemand anderes auch. Das Prinzip dort nach vielen Jahren an Managements ist: Security by obscurity.
Nein ich wollte was anderes, statt versteckter Features die nur die Eingeweihten kennen wollte ich was offenes, das was jeder nutzen und verstehen kann der nicht 10.000€ für Lizenzen ausgeben kann um mehr als 5 Clients/Server zu betreiben. Netware wird heute noch überwiegend bei Banken und Versicherungen eingesetzt, ja nach außen hin ist es sehr sehr sicher und xfach zertifiziert, aber nach innen besteht die Sicherheit aus Obscurity wie das BSI mich bestätigen kann: http://www.bsi.de/gshb/deutsch/m/m01042.htm. Wenn ich einen Webserver auf Netware installieren würde und z.B. im LAN freigebe könnte mich ein Hacker total auf einem toten Fuß erwischen, denn seien wir mal ehrlich, welcher Heimsysadmin hat die gleichen Fachkräfte für Sicherheit um sich herum wie in einem Firmennetzwerk mit z.B. gleich starken >100.000€ kostenden Firewalls. Also will ich Firewalls oder Server oder Clients zuhause Vollzeit administrieren? Sicher nicht, ich will zuhause entspannen von dem harten Arbeitsalltag.
Was ist zuhause am sichersten? (Fangfrage)
- Etwas das nicht vorhanden ist?
- Viel Sicherheitsequipment?
- Guter Nachbar der weiterhilft?
- Forum in welchem ich fragen kann wenn ich mal Bretter vorm Kopf habe?
- Server hinter einem Panzerschrank?
Die Lösung ist ganz einfach: Etwas das nicht vorhanden ist.
Den es kann einfach nicht kompromitiert werden. Bequemlichkeit ist der erste Fuß den man sich selbst stellt. Ach ich könnte ja ... automatisieren. Also installiere ich nur das absolut nötige und was darüber hinaus geht muß ich erst erlernen bevor ich es einsetze.
OK, ich bin Hart, hart zur mir selbst, härter als die meisten zu sich selbst sind. Hier eine vereinfachung, dort eine Vereinfachung etc, etc, ... Und alles nichts wovon man selbst Ahnung hat.
Du hast keine Ahnung von wirklich sicheren Firewalls? Dann lass es und kauf dir eine fertig konfigurierte, jemand anderes kann es ganz sicher besser als du. Reparierst sicher deinen Fernseher oder dein Auto (TÜV-Mängel) auch nicht selbst, warum dann den Computer Erlerne es, lese dich herein und nutze es.
^^^ Meine Einstellung, ansonsten lasse ich es.
Und ich will dich nicht in meine Kategorie einordnen.
Währen alle gleich währe das Leben langweilung, tot und ohne Fortschritte. Ein Pionier erstellt eine Funktion, sie ist nutzbar aber nicht ausgereift, ohne die Pioniere eben auch kein Fortschritt. Also lass dich nicht von mir aufhalten oder bequatchen. Jeder muß eine einzigartige Einstellung haben. Meine ist eben: Komfort ist Luxus, aber die Grundbedingungen müssen stimmen, und die stimmen in meinen pers. Augen weder mit KDE noch mit Gnome nicht und darum lass ich es ganz einfach. So lerne ich neue Wege kennen.
KPat aus KDE will ins Netzwerk > OK ohne mich > KDe runter und gesucht und gefunden > Pysol ist jetzt ein vollwertiger Spieleersatz für mich denn ich sonst niemals kennen gelernt hätte.
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.
Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748 |
|
| Back to top |
|
|
SkaaliaN
Veteran
Joined: 21 Apr 2005
Posts: 1363
Location: Valhalla
|
| Posted: Wed Jan 07, 2009 8:59 am Post subject: |
|
|
| UTgamer wrote: | | Netware wird heute noch überwiegend bei Banken und Versicherungen eingesetzt... |
mh...also die beiden größten Rechenzentren im Bankenbereich in Deutschland setzen Beispielsweise nicht auf Netware. Ansonsten gebe ich dir bei deinem Post Recht...! Was sich die Konfiguration angeht...Damit haben Banken i.d.R. nicht viel am Hut wenn diese an einem externen Rechenzentrum angebunden sind. Die kümmern sich in der Regel um wiederkehrende Aufgaben (Releasewechsel, Backups etc. pp.). Der Rest liegt in der Hand des Rechenzentrums. Selbst die wiederkehrenden Aufgaben werden eines Tages verschwinden, wenn die letzten Server ins Rechenzentrum outgesourced werden. Denn da geht der Trend hin. Dicke Standleitungen, weniger lokale IT, mehr Outsourcing. "Mein Drucker druckt nicht" oder "mein Rechner geht nicht mehr an" (weil das Kabel nicht richtig steckte etc. pp., whatever...) wird in ein paar Jahren zum Allgemeinwissen gehören....Dies sollte es eigentlich auch jetzt schon tun.
Ich werde mir überlegen ob ich weiterhin kde einsetze oder nicht. Bisher fahre ich mit Enlightenment ganz gut. Bin eigentlich auch damit zufrieden. Allerdings wechsel ich auch mal gerne
_________________
c'ya !
skaalian |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Jan 07, 2009 9:00 pm Post subject: |
|
|
| UTgamer wrote: | Du beachtest nicht das der Angreifer keinen einzigen deiner LAN-Rechner selbst kompromitiert haben muß.
Der Router wird geflutet und fungiert nur noch als Bridge |
Klassisches IP-Routing passiert auf Layer 3, Bridging auf Layer 2; deine Aussage ist also mindestens irreführend.
Erklär mir mal wie ich einen SOHO-Router von außen (ich nehme an mit gefakten DNS-Antworten?) so fluten können soll das dieser seine Routingfunktionalität einstellt und gleichzeitig der Angreifer von außen noch irgendwelche Daten aus deinem LAN zurückbekommt. Jeder halbwegs sauber arbeitende DNS-Forwarder/resolver sollte unangefragt ankommende 'Antworten' ignorieren.
| UTgamer wrote: | | Diejenigen die keine Netzwerkausbildung wie ich (Certified Novell Engineer, Microsoft Certified Professional) genossen haben mögen es sicher so wie du, aber was ist mit denen die um Lücken und Wege Kenntniss haben, und genau deswegen von Windows weggegangen sind? |
Ich bin unter anderem MCNE und MCSE, soviel mal dazu
Wo wir uns einig sind ist die Tatsache das mDNS sicherheitstechnisch Käse ist,
Ohne es auszuprobieren sollte es aber genügen den Clients wahlweise ein/ausgehenden Traffic auf Port 5353/udp zu verbieten oder den Kernel ohne Multicast-Support zu übersetzen.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
| Posted: Wed Jan 07, 2009 10:50 pm Post subject: |
|
|
| Think4UrS11 wrote: | | UTgamer wrote: | Du beachtest nicht das der Angreifer keinen einzigen deiner LAN-Rechner selbst kompromitiert haben muß.
Der Router wird geflutet und fungiert nur noch als Bridge |
Klassisches IP-Routing passiert auf Layer 3, Bridging auf Layer 2; deine Aussage ist also mindestens irreführend. |
Dieser engliche Cisco Artikel beschreibt das Layer2 und 3 Verhalten sehr gut: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-2/switch_evolution.html
Ein Switch arbeitet auf Layer2 und verteilt die Netzwerkpakete welche auch nicht zwingend IP-Pakete sein müssen (z.B. IPX oder Appletalk, beziehe mich jetzt aber ausschließlich auf IP) in einem Subnetz oder VLAN. Alle Pakete die im gleichen Netz liegen werden darin weiter geleitet.
In einem Netz währen in diesem Beispiel 192.168.0.xxx mit der Netzmaske 255.255.255.128 alle Rechner mit den IPs von 192.168.0.1 bis 192.168.0.127 im zweiten definierten Bereich mit dieser Netzmaske dann die IPs von 192.168.0.129 bis 192.168.0.254, die beiden Broadcastadressen sind 192.168.0.128 sowie 192.168.0.255.
Ein Soho-Switch bietet oft nichtmal eine VLAN-Konfig an und arbeitet meist nur in allen IP-Bereichen mit 254 Adressen also der Netzmaske 255.255.255.0, fast schon ein HUB nur eben mit Collisionprotection, kostet ja auch nur 20€.
Ein Router hingegen liegt auf Layer 3 und wird benötigt um zwischen z.B. diesen beiden Netzen zu übertragen. Eine oder mehrere CPUs gehen hin nehmen die Pakete die ein Netz verlassen sollen auf und verschieben sie in das andere Netz. Der Router/Switch führt in Tabellen welche MAC-Adresse zu welchem Netz gehört. | Quote: | | IP forwarding typically involves a route lookup, decrementing the Time To Live (TTL) count and recalculating the checksum, and forwarding the frame with the appropriate MAC header to the correct output port. |
Also sollten die MAC-Tabellen geflutet worden sein, weiss der Router nicht mehr zu welchem Netz die MACs gehören und leitet alle Pakete an alle angeschlossenen Netze weiter, also auch zum nächsten angeschlosenen Router ins Internet des Providers wo dann der eingebaute BKA-Abgriff stattfinden kann.
So spät am Abend noch so komplizierte Fragen aufzuwerfen, gruml, bei meiner Zusammenfassung gibts textlich sicher noch was auszusetzen.
| Think4UrS11 wrote: | | Erklär mir mal wie ich einen SOHO-Router von außen (ich nehme an mit gefakten DNS-Antworten?) so fluten können soll das dieser seine Routingfunktionalität einstellt und gleichzeitig der Angreifer von außen noch irgendwelche Daten aus deinem LAN zurückbekommt. Jeder halbwegs sauber arbeitende DNS-Forwarder/resolver sollte unangefragt ankommende 'Antworten' ignorieren. |
Die ganzen Tools kenne ich nicht, das BSI hat diese Behauptung aufgestellt gehabt, siehe Link weiter oben, dann wird das auch stimmen, weil die sollten schon Beweise für solche Aussagen haben.
Dafür jetzt mal ein paar SOHO-Routernachrichten mit bösem Inhalt.
http://www.heise.de/newsticker/Trojaner-konfiguriert-Router-um--/meldung/109413
http://www.heise.de/newsticker/Router-luegen-nicht-was-wenn-doch--/meldung/114984
http://www.heise.de/newsticker/Erste-aktive-Angriffe-auf-DSL-Router-Update--/meldung/102281
http://www.heise.de/newsticker/Ungewollte-Fernkonfiguration-fuer-Heim-Router-Update--/meldung/101799
| Quote: | | Petkov zeigt in seinem Bericht aber, wie sich Router auch über ActionScript in Flash-Applets umkonfigurieren lassen.Zwar kann NoScript auch Flash-Applets blockieren, andere JavaScript-Filter lassen sich aber einfach umgehen. Laut Petkov ist bei einem UPnP-Angriff via Flash nicht einmal eine XSS-Lücke im Router notwendig. Vielmehr sei Flash in der Lage, den Router über zusammengesetzte Header anzusprechen. |
In Kombination mit anderen Schwachstellen auch solche Fehlerausnutzmöglichkeiten:
http://www.heise.de/newsticker/Neue-Sicherheitsluecke-bei-Internet-Routern--/meldung/20411
http://www.heise.de/newsticker/Voreingestellte-WPA-Schluessel-in-WLAN-Routern-leicht-erratbar--/meldung/103861
http://www.heise.de/tp/r4/artikel/24/24763/1.html
Reicht das alles als Beweislage für meine Behauptungen?.
Und das du Think4UrS11 fundiertes Wissen hast das wird denke ich niemand bezweifeln wollen.  Gruß
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.
Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748 |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Thu Jan 08, 2009 12:20 am Post subject: |
|
|
| UTgamer wrote: | | Ein Soho-Switch bietet oft nichtmal eine VLAN-Konfig an und arbeitet meist nur in allen IP-Bereichen mit 254 Adressen also der Netzmaske 255.255.255.0, fast schon ein HUB nur eben mit Collisionprotection, kostet ja auch nur 20€. |
Deswegen nennt man das diesen Teil des Dings ja Switch und nicht Hub. Ein Switch ist im Grunde erstmal nichts anderes als eine Multiportbridge. Erst managbare Switches können mehr - Vlans, QoS und hastenichgesehen.
| UTgamer wrote: | | Also sollten die MAC-Tabellen geflutet worden sein, weiss der Router nicht mehr zu welchem Netz die MACs gehörenund leitet alle Pakete an alle angeschlossenen Netze weiter, also auch zum nächsten angeschlosenen Router ins Internet des Providers wo dann der eingebaute BKA-Abgriff stattfinden kann. |
Dem Router sind die MACs egal, der kümmert sich nur um IP-Adressen, das Problem macht der Switch darunter.
Das Fluten der MAC-table kann aber nicht von außen erfolgen, nur von innen (wenn wir mal den Fall ausklammern das jemand den ISP-Router hackt an dem du aufschlägst - und selbst da sollten zumindest einige der Routerli etwas gegen im Köcher haben).
Die ganzen Angriffe erfolgen aber alle von innen unter Zuhilfename einer internen Maschine, funtkionierende direkte Angriffe sind extrem selten.
| UTgamer wrote: | | Reicht das alles als Beweislage für meine Behauptungen?. |
nö, weil das nur meine These untermauert das der Router nicht einfach so (von außen) geflutet werden kann
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German) 
