Wireshark ed, netwerk beveiligen tegen afluisteren?

als je pc's op een switch zitten zul je nooit data van andere pc's kunnen sniffen (puur broadcasts, meer niet)

Inderdaad, maar weer wel als er een ouderwetse hub staat.

https maakt het in ieder geval al een stuk moeilijker.

Dat is niet waar, je ziet het alleen standaard niet. Lees maar eens over ARP Cache poisoning. Het is een koud kunstje om al het traffic via je eigen pc aan de switch te laten verlopen. Verder moet je je afvragen; vertrouw ik het netwerk? Want als het je thuisnetwerk betrefd is het hoogstwaarschijnlijk een onnodige investering van tijd en moeite, je directe familie gaat er (in principe) echt geen misbruik van maken.
Wil je echt 'veilig' zijn -> encrypten. Dat is de enige oplossing...

Je kan ook wel switched infrastructuren bouwen waarmee je dit soort dingen kan voorkomen. Je moet dan wel denken aan dure managed switches wil je dit kunnen instellen. Het mooie van die dure switches is dus dat je ook juist in kan stellen dat al het verkeer van en naar een poort wordt gekopieerd naar een andere poort.

Inderdaad, endpoint encryptie is toch iets dat je wilt overwegen als je end-to-end redelijk veilig wilt zijn.
Nu, wireshark is gewoon nogal een domme technische tool.
Tijdje geleden een demo gekregen van een device dat eigenlijk gewoon alles terug begon samen te stellen ; dus alle webpages + foto'tjes etc, alle mailberichten + attachments, alle ftp-transfers etc,etc,
telnet sessies gewoon terug afspelen, IM-conversaties etc,etc,etc

Uiteraard https/ssh/scp etc die over encryptie beschikken zijn niet echt de-codeerbaar...

Zo'n appliance met gigabit aansluiting kan je gewoon ergens achter een tap zetten...

De meest krachtige sensoren beschikken tegenwoordig over 10Gb ethernet en kunnen gigantische hoeveelheden data in realtime capteren en verwerken...weer er maar zeker van dat er hier en daar een optische tap staat met daarachter zulke appliances...

Als ex-student aan de uni kan ik je een practisch voorbeeld geven, ik heb voordat ik een studie switch deed, een jaartje rechten gestudeerd @ erasmus uni, en daar kon je in collegezalen ook connecten met een niet-beveiligde eduroam accespoint. Je moest je dus via zo'n login pagina aanmelden, waarna je onbeveiligd toch toegang had tot internet. Dit is natuurlijk de makkelijkste manier voor veel, met alle respect, a technische mensen. Het werd dus ook erg veel gebruikt. Na een college wireshark aan gehad te hebben, kwam ik toch erg leuke dingen tegen moet ik zeggen. Denk hierbij aan, natuurlijk, bezochte pagina's, maar ook msn gesprekken, emails en dat soort spul. Zelf zou ik het niet erg op prijs stellen als anderen mee konden lezen met de data die ik verstuur via mijn laptop, je hebt dan immers helemaal geen privacy meer. Het is dus geen 'ramp' dat ze die dingen meelezen, maar ik zou er toch alle mogelijke, reele dingen aan doen om het te voorkomen. Een beetje opletten op wat voor netwerk je zit, en afhankelijk daarvan bepaalde acties doen via je verbinding is er daar een van wat mij betreft

Simpele methodes om dat te voorkomen.
1: https proxy
2: ssh

Ik log altijd in vanuit school naar me thuis computers. Heb je 1 al je documenten, 2 een beetje meer beveiliging.
Ik heb wel een proxy server thuis draaien, maar ik vind dat dan weer een beetje te overdreven.

Anders kan je altijd een RDP tunnel maken naar thuis, dit is ook standaard ge-encrypt, tevens kan je daar ook nog een certificaat over aanleggen om het extra te encrypten.
Dit betekent wel dat je via een RDP scherm werkt.
Je kan ook gewoon kijken naar een Simpele VPN oplossing.
Waardoor je je data intern encrypt.
Dan ben je jammer genoeg niet helemaal veilig voor ARP Spoofing/poisoning.
Dus of je moet thuis een Layer2 switched infrastructuur maken (hoeft niet heel duur te zijn) of layer 3 ( ) of je moet zelf gaan sniffen(scripted?) die je een melding geeft of er een flood komt aan ARP answers.

certificaten worden afaik alleen maar gemaakt om de authenticiteit van de andere kant vast te stellen en niet om verkeer te encrypten die key. Is maar een bepertke tijd geldig namelijk en wordt dan opnieuw gegenereerd.

Offtopic:
Met een "certificaat" kun je ook encrypten, het is gewoon asynchrone encryptie, er zit achter je certificaat (wat een public key is) ook altijd een private key. Maar bedenk goed dat wat je met je private key versleuteld door iedereen met de bijbehorende public key kan worden teruggehaald. Andersom kan iets versleuteld met de public key alleen worden ontcijferd door die persoon die de private key heeft.

Met de private key kun je de authenticiteit en integriteit garanderen. Er is slechts één private key, dus als je met de bijbehorende public key een bericht kan ontcijferen, dan weet je dat het vanaf de private key komt die slechts door één persoon in bezit is. Het bericht kan onderweg ook niet veranderd zijn vanwege dezelfde reden.

Met de public key kun je garanderen dat het alleen ontcijferd kan worden door die ene persoon die de private key heeft, daarmee garandeer je de "confidentiality". Je kunt alleen niet de authenticiteit garanderen, iedereen met de public key (die je lekker in het rond strooit) kan het bericht maken.


Alleen met end-to-end encryptie kun je "real-time" ontcijferen voorkomen. Dus tussen de communicerende computers moet een versleuteling zitten van begin tot eind en niet net zoals bij een site-to-site VPN ergens vanaf je gateway (of verder).

Dan nog: Nu kan ik misschien je AES256 versleuteld bericht niet ontcijferen, maar als ik de data bewaar en vervolgens op een uitermate indrukwekkend cluster ga proberen te kraken, dan zal dat na een hele lange tijd uiteindelijk lukken (al is het decennia, maakt niet uit). De vraag is alleen of de door jou versleutelde informatie op dat moment nog belangrijk is. Met andere woorden: Als jij nu via een versleutelde verbinding aangeeft dat je vanavond later thuis bent voor het eten, heeft dat niet veel impact. Maar als jij over diezelfde verbinding roept dat je het winnende oudejaarslot voor de staatloterij van 31-12-2099 hebt...

O, ennuh; Een goede switch heeft functies om de boel te beveiligen tegen allerlei rommel (denk aan port-security en storm-control). Echter moet ik het dan ook wel gebruiken en inregelen. Doe je dat niet, dan wordt elke switch een hub zodra je hem helemaal overspoeld met verkeer.

battler schreef op maandag 09 februari 2009 @ 00:37:
Simpele methodes om dat te voorkomen.
1: https proxy
2: ssh

en vpn...

Even voor de duidelijkheid, die https proxy moet dan uiteraard wel vertrouwd zijn, een willekeurige https proxy op internet geeft je meer kans dat de proxy jouw verkeer loopt te bekijken dan dat jouw internet verbinding wordt afgeluisterd. (concreet voorbeeld: tor kan makkelijk afgeluisterd worden vanaf de exit node naar internet)