asterisk 10 Geschrieben 3. Mai 2005 Melden Teilen Geschrieben 3. Mai 2005 Hallo, habe über die Suchfunktion paar interessante Beiträge gefunden, wollte auf das Thema allerdings noch mal für meine Situation eingehen. Da in einem geswitchten Netzwerk nur Punkt zu Punk-Verbindungen hergestellt werden, ist es - im Gegensatz zu Hub-Netzwerken - wohl eher Sinnlos den Netzwerktraffic mit IPSec zu verschlüsseln. Gibt es trotz dieser Tatsache in einem geswitchten Netzwerk ein Argument, IPSec zu implementieren? Besteht eine Möglichkeit, ohne physische Manipulation den Datenverkehr zwischen zwei Endpunkten über einen Switch zu sniffen? Zu meiner Situation: Ich gehe nicht davon aus, dass in dem relevanten Netzwerk ein User vorhanden ist oder sein wird, der spezielle Angriffstools verwenden kann. Ein Fremdzugriff einer nicht autorisierten Person kann so gut wie ausgeschlossen werden. Würde sich dann eine IPSec-Implementierung überhaupt lohnen oder wäre das dann hauptsächlich vergeudeter Perfektionismus? Dann schon mal Danke für die Antworten! Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 3. Mai 2005 Melden Teilen Geschrieben 3. Mai 2005 Hi, Eine der riesengrossen Neuerungen von Windows Longhorn Server wir nap http://www.microsoft.com/nap sein. Dafür ist IPSEC die beste Voraussetzung. Ergo, du bereitest mit IPSEC schon die Grundlage, dein Netzwerk bestens zu schützen. Frage ist, ob es Verschlüsselung sein muss, oder Authentication nicht auch ausreicht. Schont Ressourcen und nicht verschlüsselter Netztraffic lässt sich bedeutend leichter troubleshooten. NAP ist nicht nur von Microsoft initiiert, sondern ein Konsortium vieler grosser IT-Firmen (Cisco, Symantec,. etc..) Sofern du auf Security verzichten kannst, kannst dus dir selbstverständlich auch sparen cu blub Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 3. Mai 2005 Melden Teilen Geschrieben 3. Mai 2005 Da in einem geswitchten Netzwerk nur Punkt zu Punk-Verbindungen hergestellt werden, ist es - im Gegensatz zu Hub-Netzwerken - wohl eher Sinnlos den Netzwerktraffic mit IPSec zu verschlüsseln. Hä!? Wie kommst du denn darauf? Gibt es trotz dieser Tatsache in einem geswitchten Netzwerk ein Argument, IPSec zu implementieren? Da ich dir einen Absatz drüber nicht zustimme fällt diese 'Tatsache' für mich weg. ;) Besteht eine Möglichkeit, ohne physische Manipulation den Datenverkehr zwischen zwei Endpunkten über einen Switch zu sniffen? Ja. Stichwort: ARP Spoofing. Zu meiner Situation: Ich gehe nicht davon aus, dass in dem relevanten Netzwerk ein User vorhanden ist oder sein wird, der spezielle Angriffstools verwenden kann. Um eine Knoppix CD einzulegen und ettercap zu starten muss man kein Profi sein. ;) Ein Fremdzugriff einer nicht autorisierten Person kann so gut wie ausgeschlossen werden. 'so gut wie' ist eben nicht gleich 'kann ausgeschlossen werden'. Würde sich dann eine IPSec-Implementierung überhaupt lohnen oder wäre das dann hauptsächlich vergeudeter Perfektionismus? Tja, wie wichtig ist dir Sicherheit? Das kannst du wohl nur selbst beantworten. Zitieren Link zu diesem Kommentar
asterisk 10 Geschrieben 4. Mai 2005 Autor Melden Teilen Geschrieben 4. Mai 2005 @blub: Danke für die Antwort. Allerdings wird eine Migration auf Windows Longhorn Server für dieses LAN lange kein Thema darstellen. Allerdings ist NAP wirklich interessant. Danke für die Info! Hä!? Wie kommst du denn darauf? Durch naive sichtweise der technischen Gegebenheiten :) Da Switches eben Punkt zu Punkt Verbindungen verwenden ging ich davon aus, dass es keine Möglichkeit gibt, sich dazwischenzuschalten (siehe Aussage darüber ;) Da ich dir einen Absatz drüber nicht zustimme fällt diese 'Tatsache' für mich weg. ;) Sehe ich ein :) Ja. Stichwort: ARP Spoofing. Aaaahhhhh! Sachen gibts ;) Um eine Knoppix CD einzulegen und ettercap zu starten muss man kein Profi sein. ;) Richtig, aber allein schon um zu wissen was 'ne Knoppix CD is muss man schon etwas Ahnung von Computern haben (wie gesagt: "etwas"). Und davon gibt es in dieser Umgebung nicht sehr viele. Aber ich sehe ein, dass da natürlich ein Sicherheitsrisiko ist. 'so gut wie' ist eben nicht gleich 'kann ausgeschlossen werden'. Richtig. Tja, wie wichtig ist dir Sicherheit? Das kannst du wohl nur selbst beantworten. Sicherheit ist natürlich wichtig. Was mich allerdings noch interessieren würde: Wird IPSec öfter zur Absicherung von LANs genutzt oder ist dies mehr die Ausnahme? Kann man ein durch IPSec gesichertes LAN als Sicher betrachten? Also zumindest aus der Sicht des Netzwerkverkehrs. Oder gibt es hier dann wieder Mittel und Wege....? Schon mal Danke! Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 Hi, wollen wir mal das Pferd von hinten aufzäumen. a. Welche Daten werden denn im Netz erhoben ? b. Wie hoch ist die Wahrscheinlichkeit eines internen Angriffs ? c. Welcher Schaden entsteht wenn Daten von innen nach außen gelangen ? Wenn wichtige Entwicklungsdaten im Netz erhoben werden und der Betrieb so oder so im Visier von Industriespionen ist dann würde ich IPSec empfehlen. Sollte nur ein paar Wordfiles und Exceltabellen durchs Netz gehen, halte ich die Implementierung für verzichtbar. Schaut Euch mal "Cain" (Von Cain und Abel abgeleitet) an, da kann man schon einmal den großen inneren Drang einer höheren Netzwerksicherheit verspüren um wieder ruhig schlafen zu können. Sollten deine User allerdings zu den Leuten zählen, welche froh sind den PC an- und ausschalten zu können :D , dann ist ein interner Angriff meistens sehr unwahrscheinlich. Das ist immer eine leidige Diskussion. Wenn man mal den Gedanken weiterspinnt, dann müsste man sich in solchen Umgebungen, welche ja sooo wichtige Daten im Netz produzieren, auch darüber nachdenken Switche - Server etc. redundant auszulegen. Schaut Dir mal das Produkt "Intraprotector" von Fujitsu an. Ist ein poraktiver interner und bezahlbarer Netzwerkschutz. Wenn nämlich eine Person, mit Cain ein Passwort und Username mitschneidet (auch bei Kerberos möglich), dann bringt dir IPSec auch nichts mehr. Zum Thema NAP. NAP geht ja noch einen Schritt weiter. Da wird Computern z.B. der Netzwerkzutritt verwehrt wenn der Patchstand und das Virenpattern nicht stimmen. MS macht uns Admins schon nicht arbeitslos ;). Finde den Ansatz nicht schlecht, von Cisco ist ja schon auf dem Markt allerdings kaum bezahlbar. Ergo, in gewissen Konstelationen ist IPSec im LAN mit sicherheit vernünftig, aber nicht in immer. Gruß Data Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 Da Switches eben Punkt zu Punkt Verbindungen verwenden ging ich davon aus, dass es keine Möglichkeit gibt, sich dazwischenzuschalten (siehe Aussage darüber ;) Es wird nichts dazwischengeschaltet - wobei das ginge auch (Wiretap) - sondern es werden ARP-Einträge manipuliert und damit Anfragen umgeleitet. Was mich allerdings noch interessieren würde: Wird IPSec öfter zur Absicherung von LANs genutzt oder ist dies mehr die Ausnahme? Wofür denn sonst? Kann man ein durch IPSec gesichertes LAN als Sicher betrachten? Also zumindest aus der Sicht des Netzwerkverkehrs. Oder gibt es hier dann wieder Mittel und Wege....? Mittel und Wege gibt es immer. Ich bin kein IPSec Experte, gehe aber davon aus, das es auch Fehler in der Implementierung gibt. Eine Schwachstelle könnten Zerfikate sein. Wenn unberechtigte Benutzer es schaffen, z.B. mit gefälschten Anforderungen Zertifikate von einer CA zu erlangen wäre das schon mal ein Problem. Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 Hi, Mittel und Wege gibt es immer. Ich bin kein IPSec Experte, gehe aber davon aus, das es auch Fehler in der Implementierung gibt. Eine Schwachstelle könnten Zerfikate sein. Wenn unberechtigte Benutzer es schaffen, z.B. mit gefälschten Anforderungen Zertifikate von einer CA zu erlangen wäre das schon mal ein Problem. Wie gesagt, einmal ein Passwort mitgesnifft und an einem PC angemeldet schon ist das schönste MS VPN im LAN kompromitiert. Zertifikate stufe ich von der Sicherheit höher ein. Idealerweise wäre ein Kombi mit einem Token. Aber mache das mal den Usern klar. :D Gruß Data Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 Passwort mitsniffen sollte in Zeiten von KerberosHashs doch vorbei sein. Aber zugegeben, es ist eine Krankheit selbst unter den WindowsAdmins als Administrator am AdminPC angemeldet mit dem IE im Internet zu surfen... cu blub Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 Wenn wichtige Entwicklungsdaten im Netz erhoben werden und der Betrieb so oder so im Visier von Industriespionen ist dann würde ich IPSec empfehlen. Das IPSec Industriespione von der Arbeit abhält bezweifle ich... ;) Sollte nur ein paar Wordfiles und Exceltabellen durchs Netz gehen, halte ich die Implementierung für verzichtbar. Kommt auf den Inhalt an... Schaut Euch mal "Cain" (Von Cain und Abel abgeleitet) an, da kann man schon einmal den großen inneren Drang einer höheren Netzwerksicherheit verspüren um wieder ruhig schlafen zu können. Cain kenne ich natürlich. In meinen Augen ist das nur ein simples Script Kiddie Tool. Wenn man mal den Gedanken weiterspinnt, dann müsste man sich in solchen Umgebungen, welche ja sooo wichtige Daten im Netz produzieren, auch darüber nachdenken Switche - Server etc. redundant auszulegen. Das ist IMHO ein anderes Thema. Sicherheit / Fehlertoleranz. Wenn nämlich eine Person, mit Cain ein Passwort und Username mitschneidet (auch bei Kerberos möglich), dann bringt dir IPSec auch nichts mehr. Hast du dich schon mal mit Ablaufdiagrammen der Windows Kerberos Authentifizierung beschäftigt? Was soll eine Person mit mitgesnifften Kerberos Logins anfangen? Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 Passwort mitsniffen sollte in Zeiten von KerberosHashs doch vorbei sein. Bei Kerberos gibt es keine Hashes oder habe ich Kerberos falsch verstanden? Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 Wie gesagt, einmal ein Passwort mitgesnifft und an einem PC angemeldet schon ist das schönste MS VPN im LAN kompromitiert. Ach ja? Und wie? Zertifikate stufe ich von der Sicherheit höher ein. Kommt drauf an, wie die Zertifikate ausgestellt werden. Idealerweise wäre ein Kombi mit einem Token. Token? Aber mache das mal den Usern klar. :D Smartcards. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 ja carlito, u.a. hast du Kerberos falsch verstanden Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 ja carlito, u.a. hast du Kerberos falsch verstanden Würdest du mich dann bitte aufklären... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 4. Mai 2005 Melden Teilen Geschrieben 4. Mai 2005 lies dir z.b. in der technischen Referenz das Kapitel Kerberosauthentifzierung durch: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/4a1daa3e-b45c-44ea-a0b6-fe8910f92f28.mspx Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 5. Mai 2005 Melden Teilen Geschrieben 5. Mai 2005 Hi, Zitat von carlito:Cain kenne ich natürlich. In meinen Augen ist das nur ein simples Script Kiddie Tool. Gerade weil Cain so einfach zu bedienen ist halte ich es für recht gefährlich. Zitat von carlito:Hast du dich schon mal mit Ablaufdiagrammen der Windows Kerberos Authentifizierung beschäftigt? Was soll eine Person mit mitgesnifften Kerberos Logins anfangen? Ja, und Du meinst damit wären alle Probleme aus der Welt ? Zum Thema kompromitieren: Wenn Username und Passwort bekannt sind, dann setzt Du Dich einfach an einen PC innerhalb des LANs. Irgendein Büro ist schließlich immer leer. Sehr blauäugig Deine Einstellung. Smartcards Bin ich kein Freund von Samrtcards, bieten zuviel Fläche für Notizen, z.B. Userzuordnung :D. Zitat von carlito:Das ist IMHO ein anderes Thema. Sicherheit / Fehlertoleranz. Gebe ich Dir recht, es war ja auch nur "weitergesponnen". Für mich wäre das der zweite logische Schritt. Zitat von carlito:Das IPSec Industriespione von der Arbeit abhält bezweifle ich... Man darf ja wohl noch übertreiben, oder :p . Die größte Gefahr, die irgendwie hier noch gar nicht angesprochen wurde, sind die User selbst. Social engineering ist glaube ich die größte Gefahr und da hilft dann auch kein IPSec oder Kerberos mehr. Irgendwie habe ich aber das dumme Gefühl, dass wir irgendwie vom Thema abkommen. ;) Gruß Data Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.