Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
KDE trieb mich zur Verzweiflung, ab 01.01.09 BKA-Gesetz
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2, 3  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
UTgamer
Veteran
Veteran


Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland

PostPosted: Wed Dec 31, 2008 11:05 am    Post subject: KDE trieb mich zur Verzweiflung, ab 01.01.09 BKA-Gesetz Reply with quote

Vor langer Zeit und zwar zur Zeit von KDE 3.5.6 verweigerte ich mal alle Update und blieb lange lange Zeit bei KDE-V3.5.5.
So vor ein paar Monaten wollte ich dann doch mal KDE 4.0.5 ausprobieren und mußte dazu das von mir verwünschte mdnsresponder Paket dann doch mit installieren. Obwohl ich es als USE-Flag überall auskommentiert hatte.

Seit Jahren nutze ich eine ARP-Poisoning (http://de.wikipedia.org/wiki/ARP-Spoofing) Abwehr oder auch Spoofingschutz genannte Lösung; also ich setzte die MAC-Adressen meiner Netzwerschnitstellen fest mit den IP-Adressen verknüpft ein. Nun wird mein Spoofing-Schutz aber durch mdnsresponder add-adsurdum geführt.
Ich war überrascht das nach frischen KDE-Updates mein spoofing-Schutz erstmal weiter funktionierte. Doch vor wenigen Wochen (2-4) wurde bei irgend einem Systemupdate etwas geändert, auf der Bootkonsole TTY1 erschien urplötzlich eine mir bis dahin unbekannte Fehlermeldung:
Quote:
SIOCSARP: Das Netzwerk ist nicht verfügbar
Das schreckte mich auf, denn danach gab es auf einmal überall seltsame Fehler, sie häuften und häuften sich. KDE-Programme fingen an sich seltsam langsam zu benehmen und gar mein Mozilla Browser wurde manchmal unerklärlich langsam.
Als mußte der Sache auf den Grund gegangen werden.
Wo fängt man mit der Suche an?
Also das neueste auf meinem Gentoo waren die beiden KDEs 3.5.9 und 4.0.5.
KDE-Konsole hatte ebenfalls seltsame Verlangsamungen.

Als erstes erstellte ich ein neues User-Profile, half nicht.
Dann deinstallierte ich KDM und meldete mit über die TTY-Konsolen am Desktop an mit startx oder startx -- :1, startx -- :2 ...
Dabei fiel mir ein weiterer Fehler auf. Wenn der erste X Server lief war es egal mit welcher Zahl ich den X-Server anwies ein spezielles TTY zu verwenden, also früher startete "startx -- :3" einen X-Server auf "TTY 9/F9" jetzt auf den ersten freien nach 6. Also willkür beim X-Server.

Nächster Fehler KIOSLAVE Fehlermeldungen und KIO Cache Fehlermeldungen ohne Ende spülten sich über die TTYs über die ich startx gestartet hatte. Um der Sache auf den Grund zu gehen startete ich KDM von einem Root-Terminal aus, die Fehlermeldungen unterblieben.
Eine erste Erkenntniss: Über KDM KDE zu starten blieb also ohne Fehlermeldungen auf den TTYs. Auch war es möglich über den Parameter StaticServers=:3 mit der Änderung ReserveServers=:0,:1,:3 genau auf "F9" einen X-Server zu starten und nicht auf "F7" beginnen zu lassen, jedoch ein startx -- :3 nicht mehr dem gewünschten Effekt gleich kam. Was machte also KDM4 mit meinem X-Server?
Über die Fehlermeldungen kam ich in den Suchmachinen immer nur zu den Quellcodes von KDE-Komponenten nie aber zu einer Lösung. Teils gab es gar xauth Fehlermeldungen ohne Ende, traten aber seltener auf.
Mein Entschluß war nur mehr ganz wenige KDE Komponeten zu verwenden wie z.B. kpat das KDE-Kartenspiel Patience welche ich gerne während emerge-Aufgaben zockte um die emerge Zeiten zu überbrücken.
Gestern Abend war es dann soweit nachdem ich bereits letzte Woche mdnsresponder deinstalliert hatte behaupte KDE3.5.9 -KPAT aufeinmal grundlos es benötige die /usr/lib64/libdns_sd.so.1 rofl, ein Spiel was die ganze Zeit über ohne diesen Netzwerkzugriff funktionierte brauchte aufeinmal Netzwerkzugriff? Das reichte mir vollkommen aus und brachte das Faß zum Überlaufen.

Ich habe KDE heute morgen deinstalliert und werde es die nächsten Jahre weder verwenden noch empfehlen. Da ist mir ja glatt Gnome mit seinen Mono-Neigungen lieber.

Ich habe fertig mit KDE!
----------------------------

Jetzt brauche ich noch eine Hilfe von euch, wie starte ich von der Konsole aus einen X-Server statt auf "tty7/F7" auch wie ich es früher konnte auf z.B. "tty9/F9"?
Früher verwendete ich dazu dieses Kommando:
startx -- :3 doch das funktioniert seit kurzem nicht mehr.


Meinen SIOCSARP Fehler beim Booten habe ich jetzt beseitigt bekommen durch eine weitere neue Startabhängigkeit zum Netzwerk. Bis vor rund einem Monat reichte es seit Jahren aus als Abhängigkeit need localmount zu werden, und wurde jetzt um need net erweitert.
, meinen Arp-Poisoning/Spoofing Schutz der so aussieht (vielleicht mag ihn ja noch jemand nutzen):
/etc/init.d/arp-setzen
Quote:
#!/sbin/runscript
# Distributed under the terms of the GNU General Public License v2

depend() {
need localmount
need net
}

start() {

#
# Statische ARP-Adressen setzen
#
#
arp -s "192.168.0.1" "00:04:E2:79:4B:25"
arp -s "192.168.0.004" "00:50:8B:68:4B:28"
arp -s "192.168.0.005" "00:50:8B:68:4B:53"

}

Man braucht nur seine eigenen IPs und MAC-Adressen dort einsetzen wenn man an/hinter einem Router sitzt; und dann noch mit rc-update add arp-setzen default dem Bootprozess hinzufügen. ;)

Kleine Anti-Spoofing-Anleitung für Interressierte:
Quote:
Mit:
arp -e
frage ich meine bekannten Netzwerkadressen ab. IP und MAC-Adresen finde ich dortdrin auch über ifconfig eth(x) finde ich die Angaben.
Unter Flags Mask steht normalerweise nur das C wenn die Adressen Hardgecodet sind steht zusätlich noch das M-Flag für masked mit drinnen.
Mit "arp -s" setze ich dann die bekannten Werte beim Booten des Rechners ein und schütze mein Netzwerk vor dieser billigen von jederman möglichen "Man in the middle" Attacke".


PS:
Ältere Mitglieder kennen mich ja, das ich immer in Probleme renne die andere nicht haben. *g*
Aber wenn mich etwas interressiert wie z.B. die neuen Abhörgesetze von BKA und LKA die ab Morgen Rechtsgültigkeit haben bin ich einfach nicht mehr zu halten. Mein Privatleben gehört mir und nicht einer Gestapo/Stasi vergleichbaren Geheimpolizei die keiner parlamentarischen Kontrolinstanz untersteht. Ja Richtig, das BKA wird nur von einer einzigen Person geleitet und ist sonst niemandem Rechenschaft schuldig nur dem Bundesinnenminister Schäuble. Niemand anderes kann deren Geheimpolizeiarbeit überprüfen. Einfaches billiges Spoofing kommt denen nur recht. 95% aller Provider haben ja bereits die Geheimpolizeischnittstellen integriert und bekommen von der Polizeiinfiltration fast nichts mehr mit, die anderen 5% der Provider müßen ab Morgen eben Bußgelder bezahlen.
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.

Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6780

PostPosted: Wed Dec 31, 2008 11:44 am    Post subject: Reply with quote

Dass KDE ohne den mDNSResponder-Dreck nicht will, liegt ausnahmsweise mal nicht an KDE, sondern an den Gentoo-Maintainern von KDE, die diese Abhängigkeit nicht-optional haben wollten, weil sonst möglicherweise irgendwann irgendwas nicht gehen könnte.

Ich habe bei mir net-misc/mDNSResponder-107.6-r5 und www-misc/htdig-3.2.0_beta6-r3 in die package.provided eingetragen. Zusammen mit USE='-amazon -hal -kontact -libnotify -pam -nepomuk -semantic-desktop -session -spl -zeroconf' (und nur Installieren der gewünschten Programme) kommt dann ein nicht mehr ganz so aufdringliches KDE raus, wobei kde-4 natürlich trotzdem bei weitem schlechter als kde-3 abschneidet (von den Bugs, die es derzeit ohnehin unbrauchbar machen, rede ich jetzt gar nicht). Jedenfalls zeigt das Funktionieren dieses Hacks mit package.provided, dass kde auch ohne den mDNSResponder- und zeroconf-Sondermüll kompilieren kann.
Back to top
View user's profile Send private message
Max Steel
Advocate
Advocate


Joined: 12 Feb 2007
Posts: 2267
Location: My own world! I and Gentoo!

PostPosted: Wed Dec 31, 2008 11:46 am    Post subject: Reply with quote

kde-4.1.3 läuft hier Problemlos ;)

Allerdings muss sich mein Rechner nicht um die Sicherheit sorgen, dafür ist der Server zuständig.
(firewall, anti-spoofing, ssh-Zugriff nur per private Key über einen User der keinerlei Rechte besitzt, keine Anfragen von außen, augenommen port 80 (html) unvm.
_________________
mfg
Steel
___________________

Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2)
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 567
Location: münchen.de

PostPosted: Wed Dec 31, 2008 12:21 pm    Post subject: Reply with quote

hmm.. also mac adressen kann man ohne probleme fälschen. wenns also jemand schafft dein netz abzuhören nimmt er halt einfach deine mac adressen.. is denk ich nicht viel mehr aufwand als gleich eine vom dhcp router zu bekommen. und mit tempest attaken die im geheimdienstlichen umfeld wahrscheinlich schon standard sind ist es sicherlich möglich dein (kabel-)netz abzuhören.

ot: was mir beim bka gesetz viel mehr aufstößt ist die optische wohnraum überwachung. ich bin kein jurist und hab den gesetzes text nicht im kopf.. aber ich denke da zählen mikrowellen scanner sicherlich auch dazu. diese microwellen scanner (auch bekannt als nackt scanner am flughafen) nutzen wie radar die unterschiedlichen reflektierwerte verschiedener materialien und können je nach stärke und frequenz auch mauern durchdringen. hier z.b. ein kleines handliches produkt.

was das allerdings mit kde zu tun hat versteh ich nicht. denkst du etwa das bka hat dein kde gehackt? ;)
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
UTgamer
Veteran
Veteran


Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland

PostPosted: Wed Dec 31, 2008 12:22 pm    Post subject: Reply with quote

mv wrote:
Dass KDE ohne den mDNSResponder-Dreck nicht will, liegt ausnahmsweise mal nicht an KDE, sondern an den Gentoo-Maintainern von KDE, die diese Abhängigkeit nicht-optional haben wollten, weil sonst möglicherweise irgendwann irgendwas nicht gehen könnte.

Ich habe bei mir net-misc/mDNSResponder-107.6-r5 und www-misc/htdig-3.2.0_beta6-r3 in die package.provided eingetragen. Zusammen mit USE='-amazon -hal -kontact -libnotify -pam -nepomuk -semantic-desktop -session -spl -zeroconf' (und nur Installieren der gewünschten Programme) kommt dann ein nicht mehr ganz so aufdringliches KDE raus, wobei kde-4 natürlich trotzdem bei weitem schlechter als kde-3 abschneidet (von den Bugs, die es derzeit ohnehin unbrauchbar machen, rede ich jetzt gar nicht). Jedenfalls zeigt das Funktionieren dieses Hacks mit package.provided, dass kde auch ohne den mDNSResponder- und zeroconf-Sondermüll kompilieren kann.


Danke dir, wenn ich nochmal soviel Zeit aufwenden möchte KDE neu zu bauen weil ich doch das ein oder andere KDE-Progrämmchen vermissen sollte werde ich deinen Weg auch noch ausprobieren. :D

Nun aber auch nochmal meine Frage wie starte ich neuerdings einen X-Server auf tty9/F9, der alte Weg mit "startx -- :3" funktioniert nicht mehr.

[Edit]
@forrestfunk81, ich informiere mich über deine Einwande, die Microwellenüberwachungen oder teils auch Terrahertz gennant kenne ich auch, dagegen hilft ein engmaschiges Metallgitter an den Wänden das Wasserdampf durchläßt wie bei der Küchenmicrowelle, ist aber nicht einfach zu verlegen und kostet auch Geld.
Nein sie haben mein KDE nicht gehackt, sie nutzen einfach die "Man in the middle attack" über mDNSresponder. ;) Die Tools kann sich jeder installieren, daher fallen sie ja auch unter die Hackerparagraphen, es dürfen ja bei uns nur noch die Geheimpolizisten hacken. ;)
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.

Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748


Last edited by UTgamer on Wed Dec 31, 2008 12:31 pm; edited 1 time in total
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6780

PostPosted: Wed Dec 31, 2008 12:24 pm    Post subject: Reply with quote

Max Steel wrote:
kde-4.1.3 läuft hier Problemlos ;)

Aufzählen der ganzen Bugs würde wohl zu weit führen. Hier nur ein paar Beispiele: khotkeys funktioniert schon mal gleich gar nicht - was den Entwicklern auch bekannt ist, aber keine Priorität hat. Konqueror zeigt viele Seiten unbrauchbar gerendert an. Beispielsweise im Gentoo-Forum kann man öfters mit weißem Text auf weißem Grund editieren (manchmal geht es, meistens nicht). Abstellen des Automatischen Nachladens von Bildern ist zwar noch vorhanden, aber kein Knopf, mit dem man die Bilder nachladen kann, wenn man es doch will. Es gibt zwar einen Toolbar, auf dem man diesen Knopf einrichten kann, aber der wird beim Nachladen bei (im Schnitt) jeder zweiten Seite wieder ausgeblendet. Manchmal verschwinden auch schon mal gerne alle Desktop-Settings, so dass man bei einem neuen Start vor einem ganz leeren Bildschirm ohne Kicker-ähnlicher Leiste sitzt - tatsächlich sind die zugehörigen Einträge in ~/.kde/wasweissich dann auch geleert (mit diff -r herausgefunden); wer sich also nicht regelmäßig (nach jedem Login) ein Backup von ~/.kde4 gemacht hat, hat verloren.
Das waren so die Bugs, auf die ich nach den ersten 30-45 Minuten gestoßen bin - es war ein reines Durchimprovisieren durch Probleme. Als "mal sehen, wie weit die Entwicklung steht" mag das angehen - zum Arbeiten ist es indiskutabel (und ja: Die getestete Version - bevor ich sie wegen Unbrauchbarkeit wieder entfernte - war die 4.1.3).

Aber es ging in dem Thread ja eigentlich nicht um kde sondern um die mdnsresponder/zeroconf-Sicherheitslücke, die man sich unter Gentoo damit einhandelt.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6780

PostPosted: Wed Dec 31, 2008 12:34 pm    Post subject: Reply with quote

forrestfunk81 wrote:
was das allerdings mit kde zu tun hat versteh ich nicht.

Das schrieb er doch: kde unter gentoo besteht auf mdnsresponder/zeroconf. In einem fest konfigurierten Netzwerk (in das sich sich nicht ständig neue Laptops neuer unbekannter Benutzer einwählen sollen) hat so etwas einfach auf keinem Rechner des Netzwerks etwas verloren.
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Wed Dec 31, 2008 1:37 pm    Post subject: Reply with quote

@UTgamer:

also wenn du schon so paranoid bist, dann würd ich die Mac-Adressen bittschön auch nicht posten :idea:

denn sonst gibt es irgendwann auch ein böses Erwachen ;)
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
UTgamer
Veteran
Veteran


Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland

PostPosted: Wed Dec 31, 2008 1:45 pm    Post subject: Reply with quote

kernelOfTruth wrote:
@UTgamer:

also wenn du schon so paranoid bist, dann würd ich die Mac-Adressen bittschön auch nicht posten :idea:

denn sonst gibt es irgendwann auch ein böses Erwachen ;)


:) Sind weder meine genutzen IP-Adressen noch meine echten MAC-Adressen, den Tip hatte ich schon vorher beherzigt, die oben geposteten können die gerne verwenden, damit bleiben sie kalt liegen, hehe. Die ersten 2-3 Stellen markieren den Hersteller 00:04:E2(:79:4B:25) "00:50:8B:68:4B:28" "00:50:8B:68:4B:53" (3* :4B: << niemals) danach gehts zu Modellen und Einzeladressen über, naja die Hersteller stimmen soweit. Die Werte danach sind fiktiv von mir ersetzt worden. *muhaha freuh*. Aber du hast ebenfalls gut aufgepaßt. ;)
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.

Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748
Back to top
View user's profile Send private message
dirk_salewski
Apprentice
Apprentice


Joined: 04 Jun 2003
Posts: 216
Location: Germany

PostPosted: Fri Jan 02, 2009 3:10 pm    Post subject: Re: KDE trieb mich zur Verzweiflung, ab 01.01.09 BKA-Gesetz Reply with quote

UTgamer wrote:
#!/sbin/runscript
# Distributed under the terms of the GNU General Public License v2

depend() {
need localmount
need net
}

start() {

#
# Statische ARP-Adressen setzen
#
#
arp -s "192.168.0.1" "00:04:E2:79:4B:25"
arp -s "192.168.0.004" "00:50:8B:68:4B:28"
arp -s "192.168.0.005" "00:50:8B:68:4B:53"

}

Eins vorneweg - ich bin kein Experte für diese Themen, aber ich denke, daß Du mit diesem Vorgehen Dein eigentliches Ziel verfehlen wirst. Das Problem beim ARP-Spoofing ist ja nicht, daß Deine eigene IP in Deinem eigenen Rechner falsch geroutet wird. So wie ich das sehe hast Du jetzt ein vergleichsweise unkomfortables LAN (Deine Freunde können dank abgeknipstem Zeroconf eben nicht mit Laptop mal eben hereinschneien und schnell was ausdrucken) und keinerlei zusätzlichen Schutz gegen ARP Cache Poisoning von außen. Du müßtest die Kollegen bei Google anrufen und die obige Übung für sämtliche Ethernetkarten von denen machen, wolltest Du nur halbwegs sicher sein, daß Deine Anfrage nach "Gericht Kürbis Thai" nicht über den Schreibtisch von Horst Herolds Nachfolger geht. Oder? Und dann könntest Du die Rückgabe von Google noch nicht anklicken - Du müßtest erst bei den Rezepteanbietern anrufen und nach deren MAC-Adressen fragen. Ich weiß nicht - da hab ich lieber ein bißchen zuviel Curry in der Soße.

Noch was: ich gehe mal davon aus, daß Du Dich hinter einem Router befindest. Jetzt stellst Du von Deinem Rechner ...4 eine Anfrage an ...1 (vielleicht ist 4 'ne Windowskiste, und Du willst die auf 1 entwickelten Webseiten sehen). Das läuft komplett in Deinem eigenen Subnetz. Selbst der schlechteste Router der Wält käme wohl nicht auf die Idee, die Anfrage für das eigene Subnetz über das Interface für das externe Netzwerk zu routen, ARP Poison hin oder her (zugegeben - ich hab's nicht ausprobiert). Und wenn - wie sollten denn die BKAler feststellen, was sie von Deinem Rechner 1 zurückliefern müssen, damit Dir das auf Rechner 4 nicht auffällt?

Versteh mich bitte nicht falsch - ich finde Sicherheit sehr interessant und wichtig - ich denke eben nur, daß die Methode, den lokalen ARP-Cache zu schützen, einfach nicht weiterhilft. Eine verteilte Datenbank mit ARP-Zuordnungen im TOR-Netzwerk, die auf vielen Rechnern auto-repliziert wird und die man zur Kontrolle anzapfen kann mittels Firefox-Plugin - das wär's. Das wäre auch nutzbar.

Oder liege ich voll daneben?

Dirk
_________________
Egal was Du kochst: Karl Marx.
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Jan 02, 2009 3:33 pm    Post subject: Re: KDE trieb mich zur Verzweiflung, ab 01.01.09 BKA-Gesetz Reply with quote

dirk_salewski wrote:
UTgamer wrote:
#!/sbin/runscript
# Distributed under the terms of the GNU General Public License v2

depend() {
need localmount
need net
}

start() {

#
# Statische ARP-Adressen setzen
#
#
arp -s "192.168.0.1" "00:04:E2:79:4B:25"
arp -s "192.168.0.004" "00:50:8B:68:4B:28"
arp -s "192.168.0.005" "00:50:8B:68:4B:53"

}

Eins vorneweg - ich bin kein Experte für diese Themen, aber ich denke, daß Du mit diesem Vorgehen Dein eigentliches Ziel verfehlen wirst. Das Problem beim ARP-Spoofing ist ja nicht, daß Deine eigene IP in Deinem eigenen Rechner falsch geroutet wird. So wie ich das sehe hast Du jetzt ein vergleichsweise unkomfortables LAN (Deine Freunde können dank abgeknipstem Zeroconf eben nicht mit Laptop mal eben hereinschneien und schnell was ausdrucken) und keinerlei zusätzlichen Schutz gegen ARP Cache Poisoning von außen. Du müßtest die Kollegen bei Google anrufen und die obige Übung für sämtliche Ethernetkarten von denen machen, wolltest Du nur halbwegs sicher sein, daß Deine Anfrage nach "Gericht Kürbis Thai" nicht über den Schreibtisch von Horst Herolds Nachfolger geht. Oder? Und dann könntest Du die Rückgabe von Google noch nicht anklicken - Du müßtest erst bei den Rezepteanbietern anrufen und nach deren MAC-Adressen fragen. Ich weiß nicht - da hab ich lieber ein bißchen zuviel Curry in der Soße.

Noch was: ich gehe mal davon aus, daß Du Dich hinter einem Router befindest. Jetzt stellst Du von Deinem Rechner ...4 eine Anfrage an ...1 (vielleicht ist 4 'ne Windowskiste, und Du willst die auf 1 entwickelten Webseiten sehen). Das läuft komplett in Deinem eigenen Subnetz. Selbst der schlechteste Router der Wält käme wohl nicht auf die Idee, die Anfrage für das eigene Subnetz über das Interface für das externe Netzwerk zu routen, ARP Poison hin oder her (zugegeben - ich hab's nicht ausprobiert). Und wenn - wie sollten denn die BKAler feststellen, was sie von Deinem Rechner 1 zurückliefern müssen, damit Dir das auf Rechner 4 nicht auffällt?

Versteh mich bitte nicht falsch - ich finde Sicherheit sehr interessant und wichtig - ich denke eben nur, daß die Methode, den lokalen ARP-Cache zu schützen, einfach nicht weiterhilft. Eine verteilte Datenbank mit ARP-Zuordnungen im TOR-Netzwerk, die auf vielen Rechnern auto-repliziert wird und die man zur Kontrolle anzapfen kann mittels Firefox-Plugin - das wär's. Das wäre auch nutzbar.

Oder liege ich voll daneben?

Dirk


Das ist so nicht ganz richtig. Im ARP Cache befinden sich ausschliesslich lokal/direkt erreichbare Rechner. Daher ist die "am weitesten entfernte" MAC Adresse die des nächsten Routers deines Providers. Alles andere interessiert deinen Rechner sowieso nicht. Denn die Rechner hinterm Router kann dein Rechner sowieso nicht per Ethernetprotokoll, also sprich per MAC, erreichen. Dazu ist schon das IP Protokoll eine Stufe höher nötig.

Beispiel: Dein Rechner will www.google.de erreichen. Er sieht das die IP nicht im lokalen Netz ist und schickt daher das Paket über den Router ins Internet -> im Paket steht die MAC deines Routers. Dieser nimmt das Paket, kann es selber nicht direkt ausliefern und schickt es also an seinen nächsten Router -> die MAC des ersten Routers deines Providers steht im Paket. Was dieser mit dem Paket macht und welche MAC er als nächstes einträgt kannst du nicht mehr beeinflussen.

Der einzige Angriff kommt hier also von Intern. Es schaltet jemand einen weiteren Rechner an den Switch und betreibt ARP-Poisening sodass dein lokaler Rechner die Anfrage nicht mehr direkt an den eigenen Default Router sondern über den Man-in-the-Middle schickt. Das bedeutet aber das ein Angreife physischen Zugang zum Netz haben muss. Das ist bei grossen Firmen wirklich ein Problem da dort Besucher ihren Laptop mitbringen und auch relativ problemlos ans Firmennetz anschliessen können. Bei einem LAN daheim bedeutet das aber in der Regel das sich jemand ohne dein Wissen Zugang zu deiner Wohnung verschafft hat. Und da sehe ich persönlich viel grössere Probleme als ARP-Poisening...
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
think4urs11
Bodhisattva
Bodhisattva


Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

PostPosted: Fri Jan 02, 2009 3:58 pm    Post subject: Re: KDE trieb mich zur Verzweiflung, ab 01.01.09 BKA-Gesetz Reply with quote

dirk_salewski wrote:
Oder liege ich voll daneben?

Ja, siehe Anarchos Erklärung.

Was mir auffällt sind die arp -s auf .004/.005 - mindestens ältere Windowsversionen hatten mal die unangenehme Eigenart IP-Adressen mit führenden Nullen als oktal zu interpretieren, d.h. damit konnte/(kann?) man sich wunderbar ins Knie schießen.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Back to top
View user's profile Send private message
Max Steel
Advocate
Advocate


Joined: 12 Feb 2007
Posts: 2267
Location: My own world! I and Gentoo!

PostPosted: Fri Jan 02, 2009 4:50 pm    Post subject: Reply with quote

Aaaber, er hatt auch gesagt das er IPs und MACs gefälscht hat.
Also kann es sein das er nicht 192.168.004 sondern 192.168.114 nutzt, oder so.
_________________
mfg
Steel
___________________

Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2)
Back to top
View user's profile Send private message
think4urs11
Bodhisattva
Bodhisattva


Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

PostPosted: Fri Jan 02, 2009 5:03 pm    Post subject: Reply with quote

ist ein Argument, das hatte ich überlesen.

Echte Paranoiker halten sich sowieso nicht mit statischen ARP-Einträgen auf sondern benutzen auch intern alles nur via zertifikatsbasiertem VPN, protokollieren jede Statusänderung an Switchports (setzt managebare Switches voraus) die natürlich entsprechend gehärtete Config haben, nach außen sowieso nur überTor+privoxy und/oder I2P, ....

Das blöde dabei ist das es je nach Netzgröße früher oder später einfach nicht mehr handhabbar ist. Was ich hier zuhause in meinem <10PC-Netz problemlos machen kann würde in der Firma mit >>500PC am Standort ein ganzes Adminteam erfordern.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Back to top
View user's profile Send private message
dirk_salewski
Apprentice
Apprentice


Joined: 04 Jun 2003
Posts: 216
Location: Germany

PostPosted: Fri Jan 02, 2009 5:12 pm    Post subject: Re: KDE trieb mich zur Verzweiflung, ab 01.01.09 BKA-Gesetz Reply with quote

Think4UrS11 wrote:
dirk_salewski wrote:
Oder liege ich voll daneben?

Ja, siehe Anarchos Erklärung.

Hey, ich würde nach Durchlesen der Erklärung wenigstens für ein gnädiges "Jein" plädieren. Immerhin war der Teil mit dem lokalen Subnetz vom beschriebenen Effekt her richtig. Zufällig zwar, aber richtig :D
_________________
Egal was Du kochst: Karl Marx.
Back to top
View user's profile Send private message
think4urs11
Bodhisattva
Bodhisattva


Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

PostPosted: Fri Jan 02, 2009 5:26 pm    Post subject: Reply with quote

Nö, denn theoretisch könnten die Jungs vom BKA dem Router ein wenig Bridging beibringen und so durchaus (unter Zuhilfenahme von ARP-Poisoning, DNS-Spoofing usw.) auch 'von außen' so tun als wären sie ein interner Rechner. Und wenn sies richtig machen sogar so das sie z.B. nur Teile der angefragten Webseite des Servers auf .1 gegen eigene Inhalte austauschen - z.B. das login.php durch eines das die Passworte direkt nach Wiesbaden schickt.
Wenn man vorher lange genug mitlesen und rumschnüffeln kann fällt das kaum auf (außer bei wahren Paranoikern)
Selbst intern genutztes https müßte man ausbremsen können - man müßte ja nur statt des self-signed Certs. ein offiziell signiertes Zertifikat dazwischenklinken das vom Browser ebenfalls akzeptiert wird - und wer weiß schon ob das BKA nicht bei irgendeiner CA die Finger mit drin hat um sich entsprechende Certs. zu generieren. Das zusammen mit einem Proxy der in diesem https-Strom dann mitlesen kann ...

Der Paranokier prüft natürlich bei jedem Seitenaufruf ob das Zertifikat a)gültig und b) das eigene ist.

/paranoia off
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Back to top
View user's profile Send private message
Max Steel
Advocate
Advocate


Joined: 12 Feb 2007
Posts: 2267
Location: My own world! I and Gentoo!

PostPosted: Fri Jan 02, 2009 5:39 pm    Post subject: Reply with quote

Hört besser auf xD Sonst holt sich der Staat hier noch Eindrücke wie er in der Linux-Welt reinkommt.
_________________
mfg
Steel
___________________

Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2)
Back to top
View user's profile Send private message
mattes
Apprentice
Apprentice


Joined: 23 Jul 2008
Posts: 263
Location: München, Bavaria, Germany

PostPosted: Fri Jan 02, 2009 7:54 pm    Post subject: Reply with quote

mv wrote:

Ich habe bei mir net-misc/mDNSResponder-107.6-r5 und www-misc/htdig-3.2.0_beta6-r3 in die package.provided eingetragen.


Hallo,

hab das gerade auch probiert, aber Portage will mdnsresponser trotzdem mergen !?

habe
Quote:
=net-misc/mDNSResponder-107.6-r5
in /etc/portage/package.provided eingetragen.

Was mache ich falsch?

Gruß
Mattes
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6780

PostPosted: Fri Jan 02, 2009 9:52 pm    Post subject: Reply with quote

Erstens ist der Path falsch: /etc/portage/profile/package.provided ist der korrekte. Zweitens ist in dem File kein "=" am Anfang vorgesehen. Drittens sollte ich aber wohl besser ausdrücklich darauf hinweisen, dass das Vorgehen nicht offiziell von Gentoo supported ist: Also wenn es Bugs gibt, die möglicherweise darauf zurückzuführen sein könnten, bitte vor einem Bugreport zuerst mDNSResponder emergen und danach kdelibs sowie die betroffenen Pakete neu bauen.
Back to top
View user's profile Send private message
mattes
Apprentice
Apprentice


Joined: 23 Jul 2008
Posts: 263
Location: München, Bavaria, Germany

PostPosted: Sat Jan 03, 2009 8:49 am    Post subject: Reply with quote

Danke.
Das mit dem = hatte ich erst nachher ausprobiert... Auf den Pfad bin ich nicht gekommen.

Ich finde das Vorgehen der KDE Maintainer in diesem Fall nicht richtig. Es ist überhaupt nicht Linux-like dem Anwender vorzuschreiben, eine Technik einzusetzen, die er nicht braucht und nicht will und die darüber hinaus auch noch mit Sicherheitsrisiken verbunden ist. Diese Abhängigkeit sollte doch an das zeroconf-USE-Flag gebunden sein, oder?
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6780

PostPosted: Sat Jan 03, 2009 10:21 am    Post subject: Reply with quote

mattes wrote:
Ich finde das Vorgehen der KDE Maintainer in diesem Fall nicht richtig. Es ist überhaupt nicht Linux-like dem Anwender vorzuschreiben, eine Technik einzusetzen, die er nicht braucht und nicht will und die darüber hinaus auch noch mit Sicherheitsrisiken verbunden ist. Diese Abhängigkeit sollte doch an das zeroconf-USE-Flag gebunden sein, oder?

War es ursprünglich auch. Dann hat jemand in einem Bugreport KDE-Pakete mit +ssl und -ssl vermengt, was für die Maintainer Grund genug war, die Option trotz mehrerer Proteste anderer Benutzer zu entfernen. Der dümmste Benutzer bestimmt bei den KDE-Maintainern offensichtlich jeweils die verfügbaren Optionen. Deshalb warne ich auch davor, Bugreports mit meinem kleinen Hack abzugeben: Sonst werden sich die Maintainer nur überlegen, wie sie den Benutzern auch diesen Hack erschweren können.
Back to top
View user's profile Send private message
UTgamer
Veteran
Veteran


Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland

PostPosted: Sat Jan 03, 2009 11:04 am    Post subject: Reply with quote

Think4UrS11, hat alles genau richtig beschrieben, und danke mit dem Tip für ältere Windowse hatte das glatt vergessen, habe den ganz alten Rechner jedoch den so etwas betreffen könnte wirklich nur selten am Netz.

Bezüglich ins lokale Netz von remote extern einbrechen ist für die Profis vom BKA wirklich ein Kinderspiel, genau darum nutze ich ja den Effekt der festen MAC-Zuweisung, denn die lokalen Pakete haben ja Anweisung die Route 1 zu nehmen, andernfalls sollten sie hoffentlich verworfen werden (ich hoffe an dieser Stelle jetzt nichts verwürfelt zu haben).

Wie Think4UrS11 das Bridging erwähnte hat er damit auch recht, denn Polizeidienstellen stehen die Backdoor-(Defaultremote-)Passwörter oder Bugs aller Hersteller zur Verfügung. Und wenn sie diese eingebauten Funktionen nutzen flooden sie einfach nur innerhalb ~ 1 Minute den Switchcache und haben somit Zugriff auf alle internen Geräte hinter dem Router.
Zitat aus: http://www.bsi.de/gshb/deutsch/g/g05112.htm
Quote:
MAC-Flooding ist eine Angriffsmethode, die die Funktionsweise eines Switches beeinflusst. Switches erlernen angeschlossene MAC-Adressen dynamisch. Die MAC-Adressen werden in der Switching-Tabelle gespeichert. Der Switch weiß dadurch, an welchen Ports die entsprechenden MAC-Adressen angeschlossen sind.

Wenn nun eine angeschlossene Station mit Hilfe eines geeigneten Tools eine Vielzahl von Paketen mit unterschiedlichen Quell-MAC-Adressen sendet, speichert der Switch diese MAC-Adressen in seiner Switching-Tabelle. Sobald der Speicherplatz für die Switching-Tabelle gefüllt ist, sendet ein Switch sämtliche Pakete an alle Switch-Ports. Durch dieses "Fluten" der Switching-Tabelle mit sinnlosen MAC-Adressen kann ein Switch nicht mehr feststellen, an welche Ports tatsächliche Ziel-MAC-Adressen angeschlossen sind. Diese Angriffsmethode wird verwendet, um das Mitlesen von Paketen in geswitchten Netzen zu ermöglichen. Es sind frei verfügbare Tools auf einschlägigen Seiten im Internet verfügbar, die auf einem Switch über 155.000 MAC-Adress-Einträge innerhalb einer Minute erzeugen können.

Geht also ruck zuck wenn der Router gebridged wurde. Die haben die Möglichkeiten, und da außer Schäuble (der aktl. Innenminister) persönlich niemand Einwände dagegen machen kann machen die das auch, richterliche Anordnungen brauchen die nur wenn die damit nach außerhalb der Behörden gehen wollen. Es wird einfach so spioniert, hindert sie ja keiner daran.
Eben die gleichen Rechte wie die damalige Gestapo="Geheime Staatspolizei".
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.

Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sat Jan 03, 2009 6:43 pm    Post subject: Reply with quote

UTgamer wrote:
Think4UrS11, hat alles genau richtig beschrieben, und danke mit dem Tip für ältere Windowse hatte das glatt vergessen, habe den ganz alten Rechner jedoch den so etwas betreffen könnte wirklich nur selten am Netz.

Bezüglich ins lokale Netz von remote extern einbrechen ist für die Profis vom BKA wirklich ein Kinderspiel, genau darum nutze ich ja den Effekt der festen MAC-Zuweisung, denn die lokalen Pakete haben ja Anweisung die Route 1 zu nehmen, andernfalls sollten sie hoffentlich verworfen werden (ich hoffe an dieser Stelle jetzt nichts verwürfelt zu haben).

Wie Think4UrS11 das Bridging erwähnte hat er damit auch recht, denn Polizeidienstellen stehen die Backdoor-(Defaultremote-)Passwörter oder Bugs aller Hersteller zur Verfügung. Und wenn sie diese eingebauten Funktionen nutzen flooden sie einfach nur innerhalb ~ 1 Minute den Switchcache und haben somit Zugriff auf alle internen Geräte hinter dem Router.
Zitat aus: http://www.bsi.de/gshb/deutsch/g/g05112.htm
Quote:
MAC-Flooding ist eine Angriffsmethode, die die Funktionsweise eines Switches beeinflusst. Switches erlernen angeschlossene MAC-Adressen dynamisch. Die MAC-Adressen werden in der Switching-Tabelle gespeichert. Der Switch weiß dadurch, an welchen Ports die entsprechenden MAC-Adressen angeschlossen sind.

Wenn nun eine angeschlossene Station mit Hilfe eines geeigneten Tools eine Vielzahl von Paketen mit unterschiedlichen Quell-MAC-Adressen sendet, speichert der Switch diese MAC-Adressen in seiner Switching-Tabelle. Sobald der Speicherplatz für die Switching-Tabelle gefüllt ist, sendet ein Switch sämtliche Pakete an alle Switch-Ports. Durch dieses "Fluten" der Switching-Tabelle mit sinnlosen MAC-Adressen kann ein Switch nicht mehr feststellen, an welche Ports tatsächliche Ziel-MAC-Adressen angeschlossen sind. Diese Angriffsmethode wird verwendet, um das Mitlesen von Paketen in geswitchten Netzen zu ermöglichen. Es sind frei verfügbare Tools auf einschlägigen Seiten im Internet verfügbar, die auf einem Switch über 155.000 MAC-Adress-Einträge innerhalb einer Minute erzeugen können.

Geht also ruck zuck wenn der Router gebridged wurde. Die haben die Möglichkeiten, und da außer Schäuble (der aktl. Innenminister) persönlich niemand Einwände dagegen machen kann machen die das auch, richterliche Anordnungen brauchen die nur wenn die damit nach außerhalb der Behörden gehen wollen. Es wird einfach so spioniert, hindert sie ja keiner daran.
Eben die gleichen Rechte wie die damalige Gestapo="Geheime Staatspolizei".


Du machst dir also sorgen das sie ein bisschen Man-in-the-Middle spielen könnten, aber gleichzeitig machst du dir keine Hoffnung das dein Router nicht gekapert und mit einer Bridge versehen werden kann? Was bringt dir denn bitte die fest MAC Zuweisung wenn der Weg der Pakete völlig korrekt über den Router läuft, dieser aber gekapert ist? Wie wäre es denn einfach das Tor dort zuzumachen wo es wirklich wichtig ist, nämlich am Router selber. Wenn dort keiner von aussen vorbei kann, dann kannst du intern auch machen was du willst. Wenn du dort allerdings weiter den T-COM Router mit Defaulteinstellungen betreibst, dann frage ich mich ernsthaft warum du dir bei dem restlichen Netz die Mühe überhaupt machst?

Mein Router ist ein Linuxsystem. Dort sollen sie mal versuchen beim Hersteller das Defaultpasswort zu bekommen um dort eine Bridge einzurichten...

Solange ich bei mir keine unerwarteten und vor allem unbeaufsichtigen Besucher im Haus erwarte ist mir persönlich in meinem Netz ARP Poisening ziemlich egal. Und sollten sie wirklich einbrechen sehe ich auch da die Gefahr bei Hardware-Keyloggern usw. deutlich höher.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
UTgamer
Veteran
Veteran


Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland

PostPosted: Sat Jan 03, 2009 8:05 pm    Post subject: Reply with quote

Anarcho wrote:
...
Du machst dir also sorgen das sie ein bisschen Man-in-the-Middle spielen könnten, aber gleichzeitig machst du dir keine Hoffnung das dein Router nicht gekapert und mit einer Bridge versehen werden kann? Was bringt dir denn bitte die fest MAC Zuweisung wenn der Weg der Pakete völlig korrekt über den Router läuft, dieser aber gekapert ist? Wie wäre es denn einfach das Tor dort zuzumachen wo es wirklich wichtig ist, nämlich am Router selber. Wenn dort keiner von aussen vorbei kann, dann kannst du intern auch machen was du willst. Wenn du dort allerdings weiter den T-COM Router mit Defaulteinstellungen betreibst, dann frage ich mich ernsthaft warum du dir bei dem restlichen Netz die Mühe überhaupt machst?

Mein Router ist ein Linuxsystem. Dort sollen sie mal versuchen beim Hersteller das Defaultpasswort zu bekommen um dort eine Bridge einzurichten...

Solange ich bei mir keine unerwarteten und vor allem unbeaufsichtigen Besucher im Haus erwarte ist mir persönlich in meinem Netz ARP Poisening ziemlich egal. Und sollten sie wirklich einbrechen sehe ich auch da die Gefahr bei Hardware-Keyloggern usw. deutlich höher.

Sagen wir es mal so für mein pers. Umfeld, ich hatte mir vor ~7-Jahren einen eigenen Router für hinter das Modem gekauft als das alles noch kein Thema war und war lange Jahre zufrieden mit ihm, bis ich eines Tages ~ 2,5 Jahre her einen Netcologne-Adresseneintrag (=auch mein Provider) ziemlich versteckt in der abgeschalteten DMZ-Zone fand welchem es mir selbst mit einem Firmwareupdate nicht gelang zu entfernen, ich ihn aber jetzt mit einem Trick doch entfernen konnte. Aber seit der Zeit beschäftige ich mich tiefergehend mit dem Thema.
Ich wollte schon seit längerem einen Fli4l aufsetzen, was an dieversen Punkten scheiterte.

PS:
Die LAN-Route ist fast immer und überall auf 1-Route gesetzt, d.h. die Pakete die weitere Hops entferntliegen sollten eigentlich verworfen werden, zusammen mit Arp-Masken ist dies schon ein erhebliches Hinderniss. Also wenn nicht Softwarebugs auf der TCP- oder IP- Seite auf dem Linux-Desktop herschen sollte dieser kombinierte Weg gleich sicher sein wie ein Linux-Router, oder sind die Softwarequellen nicht etwa gleich auf den Routern.

Ist dem Desktop-Host eine lokale Adresse mit lokaler Route 1 bekannt sollte doch der angebliche "Man-in-the-middle"-Host bei möglicher gleicher MAC einen Hopseintrag oberhalb von 1 sein und dessen Pakete verworfen werden weil die Route nicht stimmt, natürlich nur solange diese Implementierung korrekt umgesetzt wird. Sollte er eine andere MAC haben sind selbst bei geflutetem Router die Pakte nicht für ihn addressiert. Soll heissen, die würden wenn der lokale Zielrechner nicht zu 100% ausgelastet ist dieser die Acc-Pakete schneller bestätigt (unter 0,1ms) als der über mehrere Router entfernte Angreifer, so das der Angreifer kaum alles mitbekommen kann. Es ist ja zumindest noch 1 weiterer Router zwischen dem Lokalen zuhause und dem Vermittlungspunkt sowie dem Providerknotenpunkt, sollten alle geflutet sein, gäbe es zuviele Kollisionen auf dem dann breiten Netz. Soweit die Theorie, kann aber auch sein das ich an dieser Stelle nicht weit genug gedacht habe.
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.

Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748
Back to top
View user's profile Send private message
think4urs11
Bodhisattva
Bodhisattva


Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

PostPosted: Sat Jan 03, 2009 10:38 pm    Post subject: Reply with quote

Max Steel wrote:
Hört besser auf xD Sonst holt sich der Staat hier noch Eindrücke

:twisted: 8)

UTgamer wrote:
....Aber seit der Zeit beschäftige ich mich tiefergehend mit dem Thema.

Ist im Prinzip mit jedem Gerät so das man nicht vollständig selbst aufgesetzt hat.
Nur hat nicht jeder das Wissen/Material/Zeit dazu sich selbst einen Router aufzubauen. Genaugenommen darf man dafür auch nur ein extra gehärtetes OpenBSD Marke 'Thinki paranoia-proofed' nehmen (das u.a. exakt gar keinen Service im Netz anbietet, nur pf) ;-)
Einem Angreifer mit Ahnung genügt ein einziges Loch, den Rest macht die Zeit, genau wie Karies.

Und wenn ich deine Infrastruktur nicht direkt von außen angreifen kann dann eben via Javascript auf Webseiten, ActiveX, PDF-Files, diverse sonstige Dateiformate, Flash, Silver, XSS, CSRF, clickjacking, ....
Jede Wette mindestens ein Loch hast du übersehen.

Bei einem halbwegs kompetenten Admin mit ein bischen Paranoia der OOS einsetzt sieht das BKA aber (von außen) schnell ziemlich alt aus.
Gegen MAC-Flooding hilft u.a. ein managebarer Switch; den kann man dann z.B. schlicht so vernageln das 1Port=1Mac - ändert sich da was: port shutdown.

UTgamer wrote:
Die LAN-Route ist fast immer und überall auf 1-Route gesetzt, d.h. die Pakete die weitere Hops entferntliegen sollten eigentlich verworfen werden,

sofern sie nicht gebridged werden, dann ist das schnuppe - oder das Gateway schlicht die Header umschreibt. Dann merkst du das bestenfalls an den längeren Antwortzeiten.

UTgamer wrote:
zusammen mit Arp-Masken ist dies schon ein erhebliches Hinderniss.

Zugegeben, der Aufwand mehrere kombinierte Maßnahmen so zu brechen das es nicht auffällt steigt sehr schnell in Bereiche wo die gute alte Beugehaft+Daumenschraube+rickrolling effektiver ist :-D
Aber wen statisches Arp ernsthaft eine relevante Zeit aufhält der hat (in dieser BKA-Abteilung) exakt nichts verloren.

UTgamer wrote:
Sollte er eine andere MAC haben sind selbst bei geflutetem Router die Pakte nicht für ihn addressiert.

ProxyARP

UTgamer wrote:
...weiterer Router zwischen dem Lokalen zuhause und dem Vermittlungspunkt sowie dem Providerknotenpunkt, sollten alle geflutet sein, gäbe es zuviele Kollisionen auf dem dann breiten Netz.

häh?
ich muß nichts fluten wenn ich lediglich auf Routinglevel angreife außer der MAC-table deiner Switches/Endgeräte.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page 1, 2, 3  Next
Page 1 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum