Falle Netzwerk

Das beste Passwort erweist sich als nutzlos, wenn der Angreifer es beim Übertragen über das Netzwerk im Klartext mitliest. Viele dort eingesetzte Protokolle, etwa Telnet, POP3, SMTP, FTP, NFS oder HTTP versenden die Informationen unverschlüsselt übers Netz – das gilt auch für die Zugangsdaten. In so genannten Diffusionsnetzen, in denen Hubs die Rechner untereinander verbinden, reicht es aus, auf einem davon einen Sniffer zu starten, um alle Daten zu protokollieren. Darauf spezialisierte Programme wie Dsniff [5] (Abbildung 3) filtern aus dem Netzwerkverkehr nur die Zugangsdaten und zeigen sie an.

Abbildung 3: Auf das Ausspähen von Passwörtern spezialisierte Programme wie "Dsniff" protokollieren in Windeseile alle übers Netzwerk übertragenen Passwörter.

Anders sieht die Sache bei geswitchten Netzen aus. Hier übernimmt der Switch die Aufgabe, Pakete über den Port zu versenden, an den das Empfangesgerät angeschlossen ist. Allerdings lassen sich gerade günstigere Geräte verhältnismäßig einfach mittels MAC Flooding in den Broadcast-Modus versetzen, womit sie die Pakete wieder an alle Ports verteilt.

Weitaus diffiziler arbeitet dagegen die Technik des ARP-Poisoning. Rechner A gibt dabei mit dem Verteilen einer gefälschten MAC-Adresse vor, Rechner B zu sein. Baut Rechner C nun eine Verbindung zu Rechner B auf, landet er, ohne es zu merken bei Rechner A. Vorzugsweise übernimmt der Angreifer die Rolle des Routers, und leitet eingehende Verbindungen an den echten B weiter. Da aber der gesamte Netzwerkverkehr über ihn läuft, ist er damit auch in der Lage, sämtliche übertragenen Passwörter mitzuschneiden. Darauf spezialisierte Programme wie Ettercap [6] vereinen alle für solche Attacken notwendigen Mechanismen.

Zwar lässt sich dieses Risiko nicht komplett ausschalten, aber doch reduzieren. Zum einen helfen Managed-Switches dabei, dass Pakete auch nur beim Zielhost landen. Zum anderen erschwert das Verwenden verschlüsselter Protokolle wie HTTPS, SSH, APOP, oder SFTP das Ausspähen der Zugangsdaten erheblich.

Glossar

MAC Flooding

Bei dieser Technik sendet der Angreifer so lange gefälschte ARP-Broadcasts ins Netz, bis die ARP-Tabelle des Switches voll ist, und dieser in den Broadcast-Modus schaltet.

Infos

[1] DM-Crypt: Markus Schuster, Clemens Fruhwirt, "Geheime Niederschrift", Linux-Magazin 10/2008, S. 28, http://www.linux-magazin.de/heft_abo/ausgaben/2005/08/geheime_niederschrift

[2] John the Ripper: http://www.openwall.com/john/

[3] Openwall-Wortlisten: ftp://ftp.openwall.com/pub/wordlists/

[4] Java Password Generator: http://sourceforge.net/projects/javapwordgen/

[5] Dsniff: http://monkey.org/~dugsong/dsniff/

[6] Ettercap: http://ettercap.sourceforge.net

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere Passwörter wählen und auf ihre Qualität prüfen
    Bei der Wahl einer Passworts stellt der eigene Vorname keine gute Wahl dar, speziell wenn man Michael oder Jennifer heißt: Diese Namen zählen zu den 25 weltweit am häufigsten genutzten Credentials. Wesentlich bessere Passwörter erzeugen Sie mit einem Hilfsprogramm – und prüfen sie damit gleich auch noch auf ihre Qualität.
  • useradd, usermod, userdel
    Viele Wege führen zu einem neuen Benutzer-Account auf Ihrem Linux-Rechner – entweder editieren Sie alle Konfigurationsdateien von Hand oder benutzen ein grafisches Tool der eigenen Distribution (YaST, userdrake oder redhat-config-users). In dieser Zu-Befehl-Folge begeben wir uns auf die Admin-Seite des Linux-Lebens und zeigen Hintergründe, Tricks und Werkzeuge der Benutzerverwaltung auf der Kommandozeile.
  • Benutzer und Gruppen auf der Befehlszeile verwalten
    Lernen Sie Dateien und Befehle kennen, mit deren Hilfe Sie Benutzer- und Gruppen-Konten hinzufügen, verändern und entfernen.
  • Benutzerverwaltung
    Linux ist ein Multiuser-System: Mehrere Benutzer nutzen gleichzeitig den selben Rechner, und für verschiedene Aufgaben richtet man separate Accounts ein. Diese Zu-Befehl-Folge stellt die Kommandos für die Zugangsverwaltung vor.
  • Linux-Livesystem als Passwort-Sniffer für TrueCrypt
    Joanna Rutokowska ist in Sicherheitskreisen kein unbeschriebenes Blatt. Ihre neueste Arbeit heißt Evil Maid und arbeitet als Passwortschnüffler für Systeme mit TrueCrypt-Verschlüsselung.
Kommentare
Link fehlerhaft
Der Schlüsselmacher (unangemeldet), Montag, 15. Juni 2009 14:12:34
Ein/Ausklappen

Toller Beitrag, allerdings fehlt beim sechsten Link das "t" von ".net".
Gruss
keymaker ;-)


Bewertung: 250 Punkte bei 80 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Link fehlerhaft
Marcel Hilzinger, Dienstag, 16. Juni 2009 13:07:05
Ein/Ausklappen

Danke, korrigiert.


Bewertung: 248 Punkte bei 89 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...