pop3 veilig(er)?

Hoe wil je dat verkeer gaan sniffen? (met andere woorden: noem eens een praktijkvoorbeeld, waar de pc dan zou moeten staan die dat gaat sniffen)

Dus je bent bang voor de veiligheid van je eigen router? Die berheer ik zelf en daar is dus niks aan de hand
Maar voor je werk: als je die vent niet vertrouwd log er dan niet in. Hetzelfde geld voor ftp.

Oooh op die manier, dan ben je inderdaad overgeleverd aan het goed vertrouwen in je collega's en de sysadmin, of gewoon niet je privémail lezen op je werk.

Van Wanadoo kan je ook niet dat soort dingen als SSL POP3 verwachten, het is een massaprovider, dus liever kwantiteit dan kwaliteit (niet dat het hun verbindingen slecht zijn, maar dat hun website meer een slap newsportal is dan een ISP website zegt al wat).

Bij XSALL bijvoorbeeld kan je dmv een SSH tunnel naar een shellmachine van hun wel beveiligd je mail ophalen (staat zelfs uitgelegd op hun helpdesksite). Maar met XS4ALL kan je ongeveer alles dus zo raar is dat niet

Ik weet niet of ik aan het blaten ben maar mijn leraar zei ooit eens dat je via @home gewoon de mail van je buren kan lezen omdat iedereen op dezelfde hub zat.
Om dat tegen te gaan kon je een of ander programma downloaden die het bericht codeerd zeg maar en die andere persoon moest dat programma ook downloaden maar weet de naam niet meer maybe oplossing of blaat ik maar

enermax schreef op 13 december 2003 @ 22:23:
Ik weet niet of ik aan het blaten ben maar mijn leraar zei ooit eens dat je via @home gewoon de mail van je buren kan lezen omdat iedereen op dezelfde hub zat.
Om dat tegen te gaan kon je een of ander programma downloaden die het bericht codeerd zeg maar en die andere persoon moest dat programma ook downloaden maar weet de naam niet meer maybe oplossing of blaat ik maar

Je bedoeld pgp?

enermax schreef op 13 december 2003 @ 22:23:
Ik weet niet of ik aan het blaten ben maar mijn leraar zei ooit eens dat je via @home gewoon de mail van je buren kan lezen omdat iedereen op dezelfde hub zat.
Om dat tegen te gaan kon je een of ander programma downloaden die het bericht codeerd zeg maar en die andere persoon moest dat programma ook downloaden maar weet de naam niet meer maybe oplossing of blaat ik maar

Die leraar wist waarschijnlijk niet dat je met zowat elk ADSL- of kabelmodem een PPP en/of VPN verbinding maakt, juist om te voorkomen dat mensen elkaar pakketjes ontvangen en zodat de veiligheid op een 'open' netwerk (zoals een telefoon- of kabellijn) gewaarborgd blijft . Het is inderdaad PGP wat jij bedoelt. Het nadeel alleen daarvan is dat zolang niet béide zenders het gebruiken het onbruikbaar is.

Ja PGP was het heb het zelf nooit gebruikt maar was misschien nuttig in dit topic maar zal wel niet heb er niet veel verstand van

Lekkere Kwal schreef op 13 december 2003 @ 22:39:
[...]
Die leraar wist waarschijnlijk niet dat je met zowat elk ADSL- of kabelmodem een PPP en/of VPN verbinding maakt, juist om te voorkomen dat mensen elkaar pakketjes ontvangen en zodat de veiligheid op een 'open' netwerk (zoals een telefoon- of kabellijn) gewaarborgd blijft . Het is inderdaad PGP wat jij bedoelt. Het nadeel alleen daarvan is dat zolang niet béide zenders het gebruiken het onbruikbaar is.

Nee hoor @home doet niet aan PPP en/of VPN...

Gianni Rombios schreef op 13 december 2003 @ 23:48:
[...]


Nee hoor @home doet niet aan PPP en/of VPN...

Ow dat is waar ook, die maken gebruik van DOCISYS bridges, dan is het wel waar ja dat je het verkeer van de anderen in je subnet kan bekijken, al heb je wel een pittig systeempje nodig om zo veel verkeer te kunnen op filteren op nét die pakketjes waar de speciale informatie in staat. Desalniettemin is het mogelijk ja.

Lekkere Kwal schreef op 14 december 2003 @ 00:15:
[...]
Ow dat is waar ook, die maken gebruik van DOCISYS bridges, dan is het wel waar ja dat je het verkeer van de anderen in je subnet kan bekijken, al heb je wel een pittig systeempje nodig om zo veel verkeer te kunnen op filteren op nét die pakketjes waar de speciale informatie in staat. Desalniettemin is het mogelijk ja.

wat is dat nu weer voor een gelul, hoe kun je data sniffen die niet door jouw kabelmodem heen gaat?

zou een leuke boel worden als iedereen het wachtwoord van iedereen in de straat kon sniffen

denk ff na voordat je blaat

Jimbolino schreef op 14 december 2003 @ 00:22:
[...]

wat is dat nu weer voor een gelul, hoe kun je data sniffen die niet door jouw kabelmodem heen gaat?

zou een leuke boel worden als iedereen het wachtwoord van iedereen in de straat kon sniffen

denk ff na voordat je blaat

Het zijn geen modems, die fout maakte ik ook al, maar bridges. Als je dan je nic in promiscuous mode zet krijg je gewoon alle pakketjes uit je subnet binnen (dus sowieso niet meer dan van 254 hosts). Makkelijk zat, maar werkt alleen naar gelang @Home de gebruikers fysiek koppelt (wat ze wel doen).

EDIT
Je moet je gewoon voorstellen dat je op een HUB bent aangesloten, die stuurt gewoon alle pakketjes alle kanten op, dus krijg je ook de pakketten binnen die andere mensen niet naar jou sturen.

[ Voor 14% gewijzigd door The Third Man op 14-12-2003 00:49 ]

ten eerste: een bridge is er juist voor om data te scheiden, niet om alles door te sturen (dat zijn hubs en repeaters)
ten tweede: promiscuous mode is iets uit de tijd van de token-ring netwerken
ten derde: een subnet van @home bestaat uit 254+254-1 ip adressen

Je kunt netwerkverkeer niet na je toe trekken ofzo, als het niet over jouw utp lijntje naar je netwerkkaart gaat, kun je het NIET sniffen.

Het verkeer wat je WEL kunt zien, is broadcast en multicast

promiscuous mode is wel degelijk van deze tijd. Packet sniffers zijn er zelfs op gebaseerd (bijvoorbeeld Iris) _{Meer info}

In promiscuous mode vang je wel degelijk alle pakketjes die fysiek over jouw kabel voorbijvliegen, ook de pakketjes welke dus niet voor jou bedoeld zijn. Het is wel zo dat dit alleen werkt op een hub (deze zendt immers de pakketjes naar alle "poorten") en niet op een switch (welke pakketjes alleen naar de juiste poort zendt).

Verder ben ik het met je eens dat je netwerkverkeer niet naar je toe kunt trekken of zo, maar 't staat me wel ergens vaag bij dat je bij @home inderdaad alle pakketjes van de "hele straat" voorbij kunt zien fietsen.

Ikzelf ziet niet bij @home, maar mijn pappie bijvoorbeeld wel. En hoe verklaar je dan die knipperende TX en RX lampjes op zijn kabelmodem als zijn PC uit staat? Volgens mij is dat wel degelijk zut die uit de rest van de straat komt aanfietsen. Ik weet overigens niet of dat dan onder broad/multicast valt, ik heb het immers nog nooit gesniffed Maar het lijkt me stug (gezien de activiteit van de lampjes) dat dit puur broad/multicast is. Blijft overigens wél nog de vraag of je kabelmodem het dan nog op je UTP zet als het niet voor jou bedoeld is...

Nogmaals, zeker weten doe ik het niet...

[ Voor 16% gewijzigd door RobIII op 14-12-2003 04:11 ]

==> IT

Lekkere Kwal schreef op 14 december 2003 @ 00:15:
[...]
Ow dat is waar ook, die maken gebruik van DOCISYS bridges, dan is het wel waar ja dat je het verkeer van de anderen in je subnet kan bekijken, al heb je wel een pittig systeempje nodig om zo veel verkeer te kunnen op filteren op nét die pakketjes waar de speciale informatie in staat. Desalniettemin is het mogelijk ja.

Nee, dat is dus niet mogelijk. Dat zou een ISP als @home toch niet kunnen doen, dat zou echt totaal onaccptabel zijn.

Wat er gebeurd is het volgende:
Het kabelnetwerk is een shared medium. Alles loopt door elkaar, en alles komt op elke klantaansluiting terrecht. Maar ! Het kabelmodem draagt er zorg voor dat ALLEEN packets die daadwerkelijk voor jou bestemd zijn, ook doorkomen. Zie het als een soort hardwarematige firewall.

RobIII schreef op 14 december 2003 @ 04:07:
promiscuous mode is wel degelijk van deze tijd. Packet sniffers zijn er zelfs op gebaseerd (bijvoorbeeld Iris) _{Meer info}

In promiscuous mode vang je wel degelijk alle pakketjes die fysiek over jouw kabel voorbijvliegen, ook de pakketjes welke dus niet voor jou bedoeld zijn. Het is wel zo dat dit alleen werkt op een hub (deze zendt immers de pakketjes naar alle "poorten") en niet op een switch (welke pakketjes alleen naar de juiste poort zendt).

Verder ben ik het met je eens dat je netwerkverkeer niet naar je toe kunt trekken of zo, maar 't staat me wel ergens vaag bij dat je bij @home inderdaad alle pakketjes van de "hele straat" voorbij kunt zien fietsen.

Ikzelf ziet niet bij @home, maar mijn pappie bijvoorbeeld wel. En hoe verklaar je dan die knipperende TX en RX lampjes op zijn kabelmodem als zijn PC uit staat? Volgens mij is dat wel degelijk zut die uit de rest van de straat komt aanfietsen. Ik weet overigens niet of dat dan onder broad/multicast valt, ik heb het immers nog nooit gesniffed Maar het lijkt me stug (gezien de activiteit van de lampjes) dat dit puur broad/multicast is. Blijft overigens wél nog de vraag of je kabelmodem het dan nog op je UTP zet als het niet voor jou bedoeld is...

Nogmaals, zeker weten doe ik het niet...

HO !
Opzich klopt dit allemaal, als het modem niet zou filteren zoals ik hierboven heb uitgelegd. En dat doet hij dus wel, dus er valt _niets_ van anderen te sniffen.

Wat het verkeer is dat je altijd blijft zien, ook als de PC uit staat? Heel simpel: broadcast verkeer. Dus verkeer dat door de @home gateway wordt verstuurd (aan _iedereen_ hetzelfde).


Topicstarter: Alleen mensen op je lokale LAN kan er dus bij komen, en evt. sniffen. En zelfs dat is onmogelijk als je switches gebruikt.
En natuurlijk kan het gebeuren door iemand die ergens tussen jou en je POP3 mailbox bezig is....maar ten eerste is dat zwaar illegaal, ten tweede komt daar veel te veel verkeer voorbij om te kunnen verwerken...en ten derde, het is fysiek zo goed als onmogelijk

Onmogelijk om door switches heen te sniffen? Dat is dus wel degelijk mogelijk. Het progje ettercap kan meer sniffen dan je lief is.
Wel filterd je @HOME modem het verkeer volgens mij dus zul je eerst je modem moeten modden voordat je ettercap kan gebruiken, maar wees gewaarschuwd achter een switch ben je echt niet veilig!

De truuk is om je bridge of level 2/3 switch wijs te maken dat jij ook het macaddress hebt van de pc's die je wilt sniffen. Op die manier stuurt hij ook de pakketjes naar jou toe en kan jij ze bekijken. Het zou alleen wel kunnen dat de moderne bridges van @Home daar niet intrappen, dus dan kan het alsnog niet, maar stel dat je zelf een bridge zou maken (zonder dus die beveiliging) dat het wel kan.

Dat zou een ISP als @home toch niet kunnen doen, dat zou echt totaal onaccptabel zijn.

Ja dat is wel zo, maar zeker in de begindagen van particulier internet was er nog veel meer mogelijk. Dat kwam omdat de ISP's simpelweg niet de risico's kenden die internettoegang met zich mee bracht. Daarbij was de gemiddelde computerhobbyist kundiger dan de gemiddelde internettechneut bij de ISP.

De truuk is om je bridge of level 2/3 switch wijs te maken dat jij ook het macaddress hebt van de pc's die je wilt sniffen.

dan ligt je doelwit van internet af, aangezien packets maar naar 1 mac adres gestuurd worden

Het verschil tussen @home en ADSL is dat @home geen PPP gebruikt, en dus broadcast mogelijk maakt

Onmogelijk om door switches heen te sniffen? Dat is dus wel degelijk mogelijk. Het progje ettercap kan meer sniffen dan je lief is.

je kunt alleen sniffen als het over jouw utp lijn komt

Maar het lijkt me stug (gezien de activiteit van de lampjes) dat dit puur broad/multicast is.

Zie hier het probleem van windows XP computers op grote netwerken... ze broadcasten continu omdat ze op zoek zijn naar vanalles en nog wat

Jimbolino schreef op 14 december 2003 @ 13:31:
[...]
je kunt alleen sniffen als het over jouw utp lijn komt

Als je daarmee wilt beweren dat ik niet door een switch heen kan sniffen heb je het behoorlijk mis en zou ik maar eens snel ettercap gaan proberen. Overgens zijn er uiteraard wel beperkingen en zal je niet het verkeer van een willekeurige server af kunnen sniffen, maar binnen je kabelinternet wijkje is angstwekkend veel mogelijk!

wanneer leren ze het nou eens:
OP EEN SWITCH KUN JE NIET SNIFFEN (behalve als je een SPAN-port open zet)
het enige wat je KAN sniffen is verkeer dat voor jou bedoeld is: broad en multicast

Situation: Bob and John are engaged in a internet chat session. You are in a city far apart from where the two men reside. Bob and John are talking top secret details on a cocaine deal. You (the law abiding citizen) decide to sniff their chat session (from your location) to help the feds bust Bob and John.

The simple answer is you CAN'T do that as you don't have access to the path that the data travels from! Of course if you are a good hacker (or well Cracker) then you could install a Trojan on Bob or John's computer and run a sniffer from their system, thus the sniffer it self is on the same wire.

Basically to successfully sniff you have to be on a LAN that is connected with a hub and not a switch. Computers can be physically connected in many ways. If they are connected using a Hub then here is what happens. If there were 4 computers (A, B, C & D) and A wanted to send something to D then it goes through the hub. But the hub doesn't know where D is. So the hub "re-transmits" what A sent to all other computers. Computers B and C should ignore this data since the packet says it's for D. Computer D will obviously accept the data.

Jimbolino schreef op 14 december 2003 @ 15:28:
wanneer leren ze het nou eens:
OP EEN SWITCH KUN JE NIET SNIFFEN (behalve als je een SPAN-port open zet)
het enige wat je KAN sniffen is verkeer dat voor jou bedoeld is: broad en multicast


[...]

Ok, het begint off-topic te worden. Maar ettercap gebruikt de zogenaamde Man-in-the-middle-methode en weet zo het netwerk verkeer af te tappen. Wel valt onmiddelijk op dat het netwerk trager word doordat al het verkeer over de PC van de sniffer moet, maar je kan al het verkeer annalyseren. Dus kijk eens verder dan je neus lang is en download ettercap gewoon om het te proberen! Dan zul je zien dat je je zelfs in MSN gesprekken kunt mengen met personen die op jou switch zitten.
Voor de mensen die er een hard hoofd in hebben en me nu nog niet geloven, kijk ff op de ettercap site en het ettercap forum of doe het gewoon.