bescherming tegen netwerksniffer

Zorgen dat er nergens in het netwerk gebruik wordt gemaakt van een HUB, maar overal deze vervangen voor een switch. En geen WiFi gebruiken

En ook zorgen dat die persoon niet iets kan veranderen aan de bekabeling van je PC naar de switch.

Anders kan hij niet alleen zien wat je doet, maar het ook nog eens bewaren. Dus internet bankieren maar even laten bijvoorbeeld.

[ Voor 49% gewijzigd door bjck op 22-03-2006 23:05 ]

bjck schreef op woensdag 22 maart 2006 @ 23:04:
Zorgen dat er nergens in het netwerk gebruik wordt gemaakt van een HUB, maar overal deze vervangen voor een switch. En geen WiFi gebruiken

Het ligt er aan hoe je netwerk in elkaar zit. Als jullie in huis een router hebben staan, dan kan hij in een switched netwerk met ettercap nog steeds heel simpel je verkeer sniffen. Tegen Ettercap is nauwelijks bescherming mogelijk, zeker niet in huis-, tuin- en keukenapparatuur.

De meeste andere sniffers ga je inderdaad tegen met een switch in plaats van een Hub.

Een switch zal je niet voldoende beschermen tegen netwerk sniffing. Er zijn technieken als arp poisoning die het toch mogelijk maken in een switches omgeving te sniffen (naast natuurlijk de cisco span poort etc). De enige bescherming die werkt is het encrypten van al het netwerkverkeer.

ai, ik heb een hub in mijn netwerkje hangen, maar deze kan ik niet vervangen door mijn eigen switch, toen ik dat probeerder werkte niets meer.

ik zit btw ook op een studentenkamer, 1 modem via een hub verdeeld over 4 computers. niet dat ik mijn huisgenoten niet vertrouw. zou dit eventueel ook helpen tegen sniffers van buiten ons netwerkje? hub -> switch

Een router tussen smijten houdt arp poisoning tegen, dan moet die gast beginnen met IP-spoofing. Encryptie werkt nog beter, maar kan niet zomaar geïmplementeerd worden. Je kan bv een "VPN-tunnel" tussen de router en je pc leggen, maar dan zou die router een Linux-doos moeten zijn (om betaalbaar te blijven). Er worden zelfs "VPN-tunnels" naar een server op het Internet gelegd. Nu spreken we al over "beyond mil-spec" security, zelfs het leger is niet zo goed beveiligd. Daar worden onbeveiligde huishoud-accesspoints op het netwerk aangesloten door de gebruikers, je kan al raden wat een student met laptop kan doen.

[ Voor 39% gewijzigd door rapture op 22-03-2006 23:19 ]

rapture schreef op woensdag 22 maart 2006 @ 23:15:
Een router tussen smijten houdt arp poisoning tegen, ...

Hoe houdt een router volgens jou ARP poisoning tegen?

In z'n algeheel denk ik niet dat jij in een situatie verkeert waarin je het sniffen helemaal onmogelijk kan maken. Wel kan je het beperken tot een minimum met een paar van de bovengenoemde tips, ik zal proberen er nog wat te geven.

Gebruik zoveel mogelijk https (probeer voor de aardigheid ook eens https:// te zetten voor sites die je normaalgesproken bezoekt, goeie kans dat ze SSL draaien). Ik ben baas over eigen netwerk zogezegd, maar toch doe ik het uit gewoonte (ook op werk e.d.). Better safe than sorry, je weet nooit wie er meekijkt.

Ik weet niet wat voor mail je gebruikt verder, maar ga eens na of er mogelijkheden zijn voor een veilige verbinding (TLS/SSL) naar je mailserver toe. Bijna elke moderne mailclient ondersteunt dit. Als je webmail gebruikt zie alinea hierboven.

Een algehele oplossing zou ik zo niet kunnen bedenken. Meest uitvoerbare optie (als je de mogelijkheid hebt, en zin, enzo) zou wellicht thuis of ergens anders een machine met Windows XP Pro en temrinal services draaien, met terminal services client daarheen verbinden en vanaf daar al je (gevoelige) dingen doen. Het is omslachtig, maar wel een aardige optie als je echt bezorgd bent om je veiligheid.

mr_obb schreef op donderdag 23 maart 2006 @ 08:32:
[...]


Hoe houdt een router volgens jou ARP poisoning tegen?

Nee, want een router is aan de lan kant gewoon een switch die je kunt poisonen. Dubbele routers zouden hier wel tegen helpen want dan krijgt iedereen zijn eigen nat netwerkje.

Maar de hub door een switch vervangen zou de eerste stap zijn. (helpt ook tegen roote kabel)

Als je iemand niet zou vertrouwen dan zou je tussen de hub en zijn pc een router kunnen zetten. door de router heen sniffen is verdomd rottig.

Misschien een hele flauwe oplossing maar eens met je huisgenoot gaan praten
Want ik vin dat niet echt normaal om 'zo maar' het verkeer te sniffen

bjck schreef op woensdag 22 maart 2006 @ 23:04:
Anders kan hij niet alleen zien wat je doet, maar het ook nog eens bewaren. Dus internet bankieren maar even laten bijvoorbeeld.

De balangrijke site gebruiken standaard encrypting
hotmail TLS v1.0 128 bit ARC4 (1024 bit RSA/MD5)
Gmail TLS v1.0 256 bit AES (1024 bit RSA/SHA)
postbank TLS v1.0 35 bit DES40_CBC (512 bit RSA_EXPORT/SHA)Exportable

Zou ook wel moeten want anderes kunne andere mensen eventueel ook nog je data onderscheppen via i-net. Al moet ik zeggen dat de beveiliging van postbank wel erg slecht is
Ik zou me veder er gewoon geen zorgen overmaken, want het gene wat die kan onderscheppen zijn alleen de openbare dingen waar je toch wel aan kan komen via i-net. Zoals de gesprekken die je op forums heb.

Behalve msn dan, maarja dat is ook zo slecht beveiligd.

[ Voor 18% gewijzigd door Verwijderd op 23-03-2006 13:47 ]

Alleen de openbare dingen? wat dacht je van email wachtwoorden, ftp wachtwoorden, http wachtwoorden eigenlijk alles wat niet encrypted is dus en dat is ook nog eens doodeenvoudig te doen.

Verwijderd schreef op donderdag 23 maart 2006 @ 13:44:
[...]
Behalve msn dan, maarja dat is ook zo slecht beveiligd.

In aMSN en Gaim (dacht ik) zit een optie om encrypted te kunnen MSNen, in MSN Messenger zelf niet. Geen idee of dat werkt naar iedere user toe of alleen de users die een client hebben die het ondersteunen, ik heb het nooit getest.

[ Voor 20% gewijzigd door kamerplant op 23-03-2006 14:09 ]

salvador4 schreef op donderdag 23 maart 2006 @ 14:03:
Alleen de openbare dingen? wat dacht je van email wachtwoorden, ftp wachtwoorden, http wachtwoorden eigenlijk alles wat niet encrypted is dus en dat is ook nog eens doodeenvoudig te doen.

Zover ik weet worden email wachtwoorden gewoon met encrypting verzonden. Van ftp is bekend dat men wachworden makelijk kan onderscheppen, dat geld niet alleen voor over het netwerk maar voor over het hele i-net.En inderdaad steld het got forum me wel wat te leur dat ze geen encrypting gebruiken voor het inloggen.

volgens mij word het wel gecodeerd door een javascriptje op GoT.
ik weet niet alle technische details, maar dat lijkt me idd niet echt veilig...maarjah..
https zou beter zijn.

Verwijderd schreef op donderdag 23 maart 2006 @ 14:35:
[...]

Zover ik weet worden email wachtwoorden gewoon met encrypting verzonden.

Pop3 werkt standaard zonder wachtwoordbeveiliging. Het is wel optioneel en veel providers doen het ook, maar het hoeft niet

En inderdaad steld het got forum me wel wat te leur dat ze geen encrypting gebruiken voor het inloggen.

Klik rechtsbovenin op GoT eens op login. Dan krijg je een formulier met... "Versleutel mijn wachtwoord" Handig.

Vergis je niet in de hoeveelheid informatie die met een Packetsniffer is te achterhalen. Ik heb het hier thuis een keer geprobeerd. Ik heb met ARP poisoning een Man in the Middle Attack tussen mijn server en de Router gedaan en daarna ben ik gewoon mijn PC gaan gebruiken en kijken wat er langs kwam. Op allerlei momenten kwamen er wachtwoorden en dergelijke voorbijvliegen. Bovendien kan je met een MITM-attack ook de data die verzonden wordt nog aanpassen ook. Ook dat is leuk, ik heb een keer alle vermeldingen van 'google' laten vervangen door 'tieten'. Ik kan je vertellen dat tieten.nl iets heel anders is dan google.nl En voor dit alles hoef je geen netwerkexpert te zijn.

Alle mogelijke oplossingen zijn al zo'n beetje voorbij gekomen. Probeer of je een beveiligde verbinding kan opbouwen met je router, of met een externe server. Doe zo veel mogelijk beveiligd, dus over SSL, secured FTP enzovoort. Gebruik switches in plaats van hubs, zodat hij alleen nog met wat intelligentere sniffers kan werken. En als laatste, spreek je huisgenoot er op aan, het is een grove schending van je privacy als hij het netwerkverkeer snifft.

[ Voor 10% gewijzigd door mr_obb op 23-03-2006 15:24 ]

Bezoek regelmatig: http://3.1415926535897932...974944592.com/index1.html

Leuk voor zijn logfile

Despite ARP cache poisoning is a relatively easy exploit and can result in a serious network compromise, there are some preventive measures:

Bear in mind that attackers need access to your network, this technique can not be remotely exploited. So check and reinforce your firewalls.
If you administer a small network, you can create and maintain an ethernet address to IP number database (/etc/ethers, man ethers).
Install ARPwatch. Install IDS tools such as Snort.
Common sense.

mr_obb schreef op donderdag 23 maart 2006 @ 08:32:
Hoe houdt een router volgens jou ARP poisoning tegen?

OSI lagenmodel

Hubs werken op laag 1, doen niets meer dan enkel binnenkomende signalen versterken en aan alle poorten buiten sturen. De ontvangende computer checkt of de data voor hem bedoeld is, indien niet, dan wordt het gedropt. Net zoals een foute brief in de brievenbus, de meesten zijn te lui om het terug naar de postkantoor te brengen en smijten die foute brief weg. Sniffers accepteren juist alles, zij doen dus "foute brieven" open en zien dus andermans netwerkverkeer.

Switches werken op laag 2, kunnen het Mac-adres lezen en naar de juiste poortje door te sturen. Met ARP poisening stuur je frames met andermans Mac-adres als afzender en de switch noteert dat die Mac-adres ook aan een ander poortje voorkomt. De switch verstuurt andermans data naar de juiste poort en naar de poort van de sniffer-computer.

Routers werken op laag 3, kunnen IP-adressen zien en sturen pakketjes naar de juiste interface door. IP-adressen en Mac-adressen zijn 2 verschillende dingen.

[ Voor 9% gewijzigd door rapture op 24-03-2006 00:20 ]

mss ook een mogelijk om met managed switchen te gaan werken
en ieder in een eigen VLAN te zetten (neen geen WLAN )

en dan is het maar hopen dat je switch geen default wachtwoordje heeft
of andere "script-kiddie"-aanvalsmogelijkheden.

Of zoals hierboven al gezegd: spreken met je mede-bewoners ?
(maar dan blijft er natuurlijk wat achterdocht "of ie wel geluisterd heeft en 't eerlijk speelt")

want je kan natuurlijk een serieuze beveiliging opzetten, maar dat vormt mss juist een grotere uitdaging voor die persoon ?

(en echt zien wat iedereen doet geloof ik niet:
als je nix over 't net aan 't doen bent, kan hij dat alleen maar zien met RAT's...
dan zou ie strafbaar zijn wegens inbreuk in andermans pc en privacyinbreuk
en die hou je vrijmakkelijk tegen met een eenvoudige maar goede firewall op je pc
+antivirus want de meeste RAT's worden wel opgevangen door een AV
wellicht heeft ie gewoon de wondere wereld van netwerksniffersontdekt, wilt ie een beetje stoefen met zijn pas verworven 'kennis' en zijn jullie nu zijn tijdelijke speelruimte)

[ Voor 40% gewijzigd door soulrider op 24-03-2006 03:58 ]

soulrider schreef op vrijdag 24 maart 2006 @ 03:53:
mss ook een mogelijk om met managed switchen te gaan werken
en ieder in een eigen VLAN te zetten (neen geen WLAN )

duur....(60 euro per poort? .)

(en echt zien wat iedereen doet geloof ik niet:
als je nix over 't net aan 't doen bent, kan hij dat alleen maar zien met RAT's...

RAT? ken wel die beesten met een staart, maar jij bedoeld iets anders. ?????

leuk_he schreef op vrijdag 24 maart 2006 @ 09:50:
[...]


duur....(60 euro per poort? .)


[...]


RAT? ken wel die beesten met een staart, maar jij bedoeld iets anders. ?????

Remote
Access
Tool's

zoals subseven, back orifice, ....
of legaler: VNC, "hulp op afstand"-onderdeel van windows, ....

Met zulke tools kan ie wel zien wat je exact aan't doen bent op je pc, maar met een netwerksniffer kan ie max. zien wat je verstuurt over je netwerkkabel, en gokken naar wat je aan't doen bent.
Maar nog steeds niet zien wat je exact aan't doen bent.

(bv: je luistert naar een web-radio, maar ondertss zit je te photoshoppen:
dat eerste kan ie sniffen, maar dat 2de weet ie alleen met zo'n RAT, of als ie achter je komt staan...

soulrider schreef op vrijdag 24 maart 2006 @ 15:18:
[...]


Remote
Access
Tool's

zoals subseven, back orifice, ....
of legaler: VNC, "hulp op afstand"-onderdeel van windows, ....

Met zulke tools kan ie wel zien wat je exact aan't doen bent op je pc, maar met een netwerksniffer kan ie max. zien wat je verstuurt over je netwerkkabel, en gokken naar wat je aan't doen bent.
Maar nog steeds niet zien wat je exact aan't doen bent.

(bv: je luistert naar een web-radio, maar ondertss zit je te photoshoppen:
dat eerste kan ie sniffen, maar dat 2de weet ie alleen met zo'n RAT, of als ie achter je komt staan...

Netbus, BO en consorten zijn an sich even legaal als VNC, alleen werd (wordt misschien zelfs? ) het vaak illegaal geïnstalleerd/gebruikt.

We dwalen eigenlijk wel van de originele vraagstelling af, maar ik vraag me toch af hoe moeilijk het zou zijn om zo'n stream te reconstrueren zodat je als het ware een herhaling krijgt van wat de gebruiker heeft gezien. Menig protocol (VNC, MSRDP) zal de boel wel encoderen, maar tot op wat voor hoogte?

Het zou me wat zijn als je zo'n remote-desktop sessie kon onderscheppen en vervolgens de gebeurtenissen helemaal kan afspelen.

rapture schreef op donderdag 23 maart 2006 @ 23:59:
[...]

[afbeelding]
OSI lagenmodel

Hubs werken op laag 1, doen niets meer dan enkel binnenkomende signalen versterken en aan alle poorten buiten sturen. De ontvangende computer checkt of de data voor hem bedoeld is, indien niet, dan wordt het gedropt. Net zoals een foute brief in de brievenbus, de meesten zijn te lui om het terug naar de postkantoor te brengen en smijten die foute brief weg. Sniffers accepteren juist alles, zij doen dus "foute brieven" open en zien dus andermans netwerkverkeer.

Switches werken op laag 2, kunnen het Mac-adres lezen en naar de juiste poortje door te sturen. Met ARP poisening stuur je frames met andermans Mac-adres als afzender en de switch noteert dat die Mac-adres ook aan een ander poortje voorkomt. De switch verstuurt andermans data naar de juiste poort en naar de poort van de sniffer-computer.

Routers werken op laag 3, kunnen IP-adressen zien en sturen pakketjes naar de juiste interface door. IP-adressen en Mac-adressen zijn 2 verschillende dingen.

Met dat verschil dat de standaard huis tuin en keuken routers helemaal geen routers zijn en alleen NAT en DHCP etc. doen, en aan de LAN kant gewoon een switch zijn?

rapture schreef op donderdag 23 maart 2006 @ 23:59:
[...]

Switches werken op laag 2, kunnen het Mac-adres lezen en naar de juiste poortje door te sturen. Met ARP poisening stuur je frames met andermans Mac-adres als afzender en de switch noteert dat die Mac-adres ook aan een ander poortje voorkomt. De switch verstuurt andermans data naar de juiste poort en naar de poort van de sniffer-computer.

ARP poisoning is een aanval op routers, niet op switches. De ARP-cache van de router wordt aangepast, zodat de router denkt dat het MAC-adres van het victim-IP-adres dat van de aanvaller is. Eventuele switches doen dus gewoon wat ze normaal ook doen, ethernetframes de juiste kant op sturen. De router wordt echter gemanipuleerd om wat fout te doen: ethernet-frames uitsturen naar het verkeerde MAC-adres.

Jij beschrijft dus een heel ander soort aanval, namelijk een aanval op switches. Door source-MAC-adressen te kiezen van anderen, kun je, in theorie, ervoor zorgen dat ethernetframes bedoeld voor die anderen naar jou worden gestuurd. Nadeel is wel dat de switch steeds blijft leren; zodra de aanvaller een ethernetframe uitstuurt, zal de switch z'n CAM-table weer updaten en verkeer weer de juiste kant op sturen. Probleem is ook dat je het verkeer niet door kunt sturen naar de oorspronkelijk bedoelde partij, omdat de switch het dan naar jou zou sturen..

ipsec of vlan's zou een oplossing kunnen zijn.. maar met mac (re)forwarding kun je alles sniffen.

serkoon schreef op zaterdag 25 maart 2006 @ 12:43:
Nadeel is wel dat de switch steeds blijft leren; zodra de aanvaller een ethernetframe uitstuurt, zal de switch z'n CAM-table weer updaten en verkeer weer de juiste kant op sturen.

Flooden die mac buffer en je dure switch wordt opeens een hub

serkoon schreef op zaterdag 25 maart 2006 @ 12:43:
ARP poisoning is een aanval op routers, niet op switches. De ARP-cache van de router wordt aangepast, zodat de router denkt dat het MAC-adres van het victim-IP-adres dat van de aanvaller is. Eventuele switches doen dus gewoon wat ze normaal ook doen, ethernetframes de juiste kant op sturen. De router wordt echter gemanipuleerd om wat fout te doen: ethernet-frames uitsturen naar het verkeerde MAC-adres.

Interessant om te weten dat routers gemanipuleerd worden, massaal Arpwatch installeren om zulke dingen in de gaten te houden?

BackSlash32 schreef op zaterdag 25 maart 2006 @ 12:53:
[...]

Flooden die mac buffer en je dure switch wordt opeens een hub

Fatsoenlijke switches hebben per-poort limieten van aantal MAC-adressen, zodat de CAM-table niet overloopt

Maar idd, leuke aanval