Sniffer im Netwerk

[DeK]

Es geht darum, ein Netzwerk zu erstellen, in dem PCs sowohl per LAN als auch WLAN angeschlossen werden sollen. Allerdings gibt es dabei das Problem, dass einige der User es nicht lassen können, Dinge wie Sniffer auszuprobieren. Da ich nunmal recht wenig Lust habe, dass diese alle gesendeten und empfangenen Daten in die Hände bekommen, nun meine Frage:

Wenn im LAN einen Sniffer eingesetzt wird, kann man damit dann auch den Verkehr analysieren, der über WLAN gesendet wird? Als Internetzugang soll ein WLAN-Router mit mehreren LAN-Ports dienen, z.B. die FritzBox 7170 (welcher es genau wird, ist noch nicht sicher).

 

[emeraldmine]

Die Software ist mit Sicherheit nicht mehr legal - empfehle CLOSED

 

[DeK]

Aber sonst noch alles frisch, was?!

Es geht darum, den erfolgreichen Einsatz eines Sniffers durch Maßnahmen zu verhindern und nicht darum ein netzwerk zu erstellen, welches alles einfach mitmacht, ich hab keine Lust meine Daten zu verschleudern.

 

[emeraldmine]

Ja wer soll sich mit so illegaler Software beschäftigen ? Ich , wie viele andere auch nicht.

 

[b03ch7]

Wenn im LAN einen Sniffer eingesetzt wird, kann man damit dann auch den Verkehr analysieren, der über WLAN gesendet wird?

Nein. Nur der Switch und die an der Kommunikation beteiligten Partner sehen den Netzwerkverkehr.

@emeraldmine: Da du nicht weißt, wann und wo welche Programme legal und illegal sind, lass es sein.

 

[DeK]

Also ist das WLAN vom LAN - wie auch immer - getrennt und es gibt keinerlei Möglichkeit über das LAN den WLAN-Verkehr zu sammeln?

 

[DeusoftheWired]

Solange ein Switch und kein Hub benutzt wird, ist zumindest das Kabelgebundene relativ sicher, denn Hubs gehören zu Layer 1, sind dumm und senden alle Pakete an jeden Teilnehmer; nicht dagegen Switches – die verteilen nach IP.

Wenn du es sicher haben willst, spalte das Netz in zwei VLANs auf: Eins für die Funker und eins für die Kabelmenschen. Gegen Zugriffe von außen finden sich hier (und auf drölf Zillionen anderer Webseiten) grundlegende Maßnahmen. Solange dir keiner deiner sniffenden Kollegen mit ARP-Spoofing kommt, sollte das ausreichen.

 

[Revolution]

Wir sind hier in nem "Heimnetzwerk" bzw. light Office bereich. VLANS und Co sind dafür warscheinlich zu teuer mir sind zumindestens keine günstigen guten geräte bekannt.

Im Lan bekommst du mit der FritzBox nur deine eigenen Pakete zu sehen. Wenn es ins Wlan geht änder sich das, jeder der im WLAN ist hat die möglichkeit alles mitzuloggen WLAN ist immmer im Hub modus alle können alles emfangen. Jemand vom WLAN kann aber keine Pakete des Lans mitsniffern und anders rum.

Wenn du mit leuten im Netzwerk bist musst den denen ein bestimmtes vertrauen entgegen bringen ansonsten musst du mit VPN auf nen externen Webserver.

 

[DeK]

Und gegen ARP-Spoofing ist man machtlos oder nur mit teuer Geld?

 

[DeusoftheWired]

Danke für die Info, Revolution. Daß die WLAN-Clients durch den Hub-Betrieb alles untereinander empfangen, hätte mir eigentlich klar sein sollen. Aber gut, daß du’s erläutert hast.
Daß wir in diesem Thread im SOHO-Bereich sind, ist mir schon klar. Ich dachte nur, daß eine FritzBox auch so etwas Läppisches wie VLAN kann, wenn mein mickriges AR860, das vom Provider gestellt wird, das beherrscht.

@DeK: Wie man sich dagegen wehrt, geht über meine Kompetenzen. Da kann ich dich nur an die Wiki und die darin aufgeführten Links verweisen. Einen Sniffer zu benutzen und ARP-Spoofing zu betreiben, sind aber zwei paar Schuhe. Letzteres dürfte die Fähigkeiten der meisten Script-Kiddies übersteigen.

 

[DeK]

Die FritzBox kann eigentlich nichts, was mit Sicherheit zu tun hat. Die Links bei wiki helfen nich so wirklich, meist sind es Links auf Programme wie Ettercap. Die einzige Möglichkeit scheint viel Geld für einen Router oder aber eine komplett verschlüsselte Kommunikation zu sein, ma schaun, was sich da machen lässt.

 

[systemkiller]

Schau Dir mal den Switch von Netgear an FSM726

24 Port , managed layer 2 Switch - kann VLAN und einiges andere mehr - recht günstig

 

[mensch183]

Und gegen ARP-Spoofing ist man machtlos oder nur mit teuer Geld?

Gegen ARP Spoofing der einfachen Form (Angreifer bemächtigt sich fremder MACs um Traffic an diese Ziele vom Switch an sich selbst weiterzuleiten zu lassen) helfen feste Port<-->MAC Zuordnungen auf dem Switch. Das kann jeder Switch mit Management und ist nicht so das Problem.

Schwieriger ist ARP Cache Poisoning (Angreifer verbiegt ARP-Tabellen der anderen Rechner/Router). Das ist dank fertiger Tools durchaus Script-Kiddie-kompatibel. Ein Beispiel gibts hier. Dagegen müssen sich entweder alle angeschlossenen Rechner/Router mit festen ARP-Tabellen schützen (ist unrealistisch) oder der Switch muß den ARP-Traffic analysieren und filtern können, was nur "ausgefeiltere" Systeme können. Bei Cisco heißt das Feature "Dynamic ARP Inspection".

Ergo: Teuer Geld + viel Hirnschmalz bei der Konfiguration oder schützenswerten traffic auf höheren Ebenen verschlüsseln. Auf jeden Fall sollte man sich von dem Gedanken "switched ethernet --> kein sniffen möglich" trennen.