Schutz gegen Man in the Middel im Windows Lan?

[steven20 10]

Hallo

 

Nach dem genuss meines Monatlichen "IT-Security" Magazins bin ich mal wieder vor den Kopf gestoßen worden wie gefährlich Man in the Middel Attacken sein können ... vor allem bei vorab schlecht gesubnetteten Netzen.

 

Nach einem kurzem Test mit dem MITM tool das mit C beginnt musste ich Feststellen das mein Liebings Admin Werkzeug der Remote Desktop ganz einfach meine Passwort preisgibt.

Da hab ich mich jetz schon ein bisschen Schlau gemacht und möchte das ganze über die SSL verschlüsselung Lösen die es Seit sp1 gibt ... sollte ja sofern das mit der CA alles hinhaut kein Problem sein.

 

Was mich jetz aber mehr Interessieren würde ist wie ich die Authentifizierung von den XP/2000 Clients absichern könnte?

Hab jetz mal Flüchtig was von SMB-sining im Kopf, aber jetz gerade beim schreiben gemerkt das mir das Verstädniss noch ein bisschen fehlt zwischen SMB, kerberos, NTLM

Ist SMS ein teil von NTLM , oder umgekehrt bzw kerberos in smb integriert oder ne eigenständig Authenifzierung ... mal etwas googlen wäre aber für Stichwortartige Tips dankbar.

 

lg

Stefan

[steven20 10]

So Frage zwischendurch die sich für mich nicht ganz geklärt hat?

 

Kommt in einer Active Directory Umgebung im 2003 Mode überhaupt noch was anderes als Kerberos zum einsatz?

[IThome 10]

Ja, NTLM-Authentifizierung, z.B. wenn man \\<IP-Adresse> zur Verbindung zum Server benutzt und natürlich für alle Clients, die Kerberos nicht unterstützen ...

[Weihnachtsmann 10]

zur Absicherung des Netzwerks wäre auch IPSEC zwischen Clients und Servern möglich. Ansich hast du aber schon mal ein grundsätzliches Problem wenn jemand in dein Netzwerk eindringen kann um eine Man-in-the-middle Attacke starten zu können.

[Necron 71]

Es gibt auch ein HowTo dazu, wie man sein Netzwerk sicher machen kann, ist aber mit zusätzlichen Kosten verbunden.

->Windows Server How-To Guides: 802.1x Port Security mit IAS-Server und Windows CA - ServerHowTo.de

[steven20 10]

Hallo nach ein bisschen lesen ...

 

SMB -> Dateiübertraungsprotkoll usw.

Keberos bzw NTLM -> zur Authenifizierung bei SMB und Anmeldung.

 

Studien zufolge kommen ja viele Angriffe von inneren des Netzwerks ... kann ja auch ein Mitarbeiter PC sein oder ein Fremdnotebook das zufällig wo steckt ...

Um das geht es nicht ...

IPSEC ist wohl doch kompliziert einzubinden ausserdem nicht gerade Performant ...

 

Port Securiy wird irgendwann mal ein Thema hat jetz aber mit MITM nicht so viel zu tuen ...

 

Was eine überlegung wäre ... SMB Sining zwingend zu machen ...

Und nur mehr NTLMv2 zu akzeptieren ...

 

Das ganze zumindest Serverseitig?

 

Hat jemand erfahrungen Damit?

 

lg

[IThome 10]

Wenn Deine Clients das alle unterstützen, kannst Du das machen ...

Hier etwas ausführlicher, was die Sicherheit angeht ...

http://www.microsoft.com/germany/technet/datenbank/articles/600379.mspx#E5RDI

[steven20 10]

Hi Danke mal für den Link

 

alles Recht homogen xp und ein paar 2000 er clients da sollte das ja Problemlos laufen?

 

Alles andere sollte sowieso mal aussortiert werden ... und spätesten wenn nix mehr geht meldens sich die leute dan eh und man findet noch eventuell ur-alt clients ;)

Was vieleicht sogar ein Positiver nebeneffekt wäre.

[IThome 10]

Jo, mit 2000/XP Clients kannst Du das machen ...

Was mit alten Clients geht und was nicht, welche Vorraussetzungen die Clients benötigen, steht auch im Artikel (selbst bei den alten Clients funktioniert sowas) ...

[nerd 28]

Hi,

 

wenn du eine weitgehend homogene Umgebung hast sollte auch die Implementierung von IPSEC keine zu komplexe Aufgabe sein. Wichtig ist nur, dass du in der Anfangszeit das ganze auf Optional ein stellst...

 

Liebe Grüße