Sicherheit der Internetverbindung bei TA-ADSL und inode xDSL

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Sicherheit der Internetverbindung bei TA-ADSL und inode xDSL

Beitragvon Rambaldi » Mi 26 Okt, 2005 21:14

Hallo Leute, ich habe ein paar konkrete Fragen, die Sicherheit der Internet-Verbindung bei TA-ADSL und inode xDLS betreffend:

1)
ADSL: meines Wissens nach wird die Einwahlverbindung über PPtP realisiert. Ist die Datenübertragung vom Kundenmodem zum Provider dabei verschlüsselt? Stellt die Verbindung einen VPN-Tunnel dar? Wenn verschlüsselt: Wie und wie stark?

2)
Gleich wie 1), jedoch für inode xDSL@home, mit a) PPtP und b) PPoE.

Mich würde enfach interessieren, ob jemand, der sich in die Leitung einklinken und Datenpakete über einen längeren Zeitraum mitsniffen würde, etwas damit anfangen könnte, z.B. Paßwörter auslesen, etc.


3)
Wie sicher ist https:// bei z.B. Telebanking? Wie stark verschlüsselt? Wie leicht hackbar bzw. bei Abhören der Leitung: Knackbar?

4)
NAT: Ersetzt es eine Firewall? Wenn nein: Warum nicht? Kann man eigentlich bei einem Endgerät, das NAT aktiviert hat, auch eine statische IP durchschalten?

5)
Sind bei Internet-Providern, die als Endgerät einen geNATteten Router anbieten (manche FunkLAN Provider) eigentlich alle Ports offen?? Über höhere Portadressen können ja - so habe ich gehört - böse Pakete kommen oder so, oder Angriffe auf den pc gestartet werden.

Bitte um kompetente Antworten, ich interessiert die Materie sehr.
Danke!!
Rambaldi
Neu im Board
Neu im Board
 
Beiträge: 8
Registriert: Sa 03 Sep, 2005 13:58
Wohnort: Graz

Beitragvon lordpeng » Mi 26 Okt, 2005 22:33

>Ist die Datenübertragung vom Kundenmodem zum Provider dabei verschlüsselt?
bei herkömmlichen adsl anschlüssen wird pptp lediglich für die authentifizierung verwendet zu alternativen anbietern kann ich nix sagen ...

>Wie sicher ist https:// bei z.B. Telebanking?
ich würde mal behaupten es ist verhältnismässig sicher, die grösste gefahr geht sicherlich von irgendwelchen trojanischen pferden, keyloggern etc. aus, dagegen bringt die beste verschlüssellung nix ...

>NAT: Ersetzt es eine Firewall?
nein
>Wenn nein: Warum nicht
weils ursprünglich nicht dafür entwickelt wurde ... und eigentlich nur als eine art 'übergangslösung' gedacht war, die sicherheit die es den clients bietet ist nur ein nebeneffekt

>Sind bei Internet-Providern, die als Endgerät einen geNATteten Router anbieten
kommt wohl auf den anbieter drauf an
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon ANOther » So 20 Nov, 2005 18:37

@Rambaldi
jeder, der sich irgendwo zugang zur Leitung verschaffen kann, kann mitsniffen... (wenn er´s kann)
zu 3. ich würde lordpeng´s Gefahren noch eine hinzufügen, nämlich die eines Man-In-The-Middle-Angriffe [0]. Du solltest grad bei https-Verbindungen(->pin, tan, ...) genau das Zertifkat des Servers überprüfen...
BTW
Ein Port ist nur offen, wenn ein zugehöriger Dienst dahinter lauscht. Biete keine Dienste an->kein "Angriff" auf "offene Ports".

LG
AN


[0] http://de.wikipedia.org/wiki/Man-In-The-Middle-Angriff
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon max_payne » So 20 Nov, 2005 19:09

>Du solltest grad bei https-Verbindungen(->pin, tan, ...) genau das Zertifkat des Servers überprüfen...

bei netbanking is das aber egal, da gibts mindestens ne chanche von 25:1, dass er nen tan erwischt, der ihm nix mehr bringt!
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon ANOther » So 20 Nov, 2005 19:48

Ich sag dem DNS deines Providers, dass www.deinebank.tld die IP meines krazzen Hackerserverz hat. Du willst was überweisen, surfst auf die Seite deiner Bank, die Anfrage wird allerdings auf meinen Server umgeleitet. Als Spitzenbösewicht hab ich mir die Seite deiner Bank kopiert. Du bestätigst das Zertifikatsgefasel, das deiner aussage nach ziemlich egal ist, und gibst deinen tan ein. Der Server akzeptiert den tan aber nicht, du versuchst nen zweiten tan. Wärend du noch mit dem zweiten tan beschäftigt bist, hab ich meine Überweisungen mit deiner ersten "fehleingabe" bereits getätigt...
Anstatt einen DNS umzukonfigurieren kann ich auch deine hosts-datei erweitern, oder dir eine Mail schicken, mit dem Link zu deiner Bank drauf: http://www.deinebank.tld
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon max_payne » So 20 Nov, 2005 19:57

halt, wenn die tans nach nummern abgefragt sind, nutzt dir der tan nichts; das wäre großer zufall
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon ANOther » So 20 Nov, 2005 20:04

die nummer wurde aber auf MEINEM server abgefragt, dh bei der bank ist er noch gültig, denn ich hab die session entführt...
(http://de.wikipedia.org/wiki/Man-In-The-Middle-Attack)
LG
AN
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon jutta » So 20 Nov, 2005 20:08

Rambaldi hat geschrieben:Sind bei Internet-Providern, die als Endgerät einen geNATteten Router anbieten (manche FunkLAN Provider) eigentlich alle Ports offen??

manche provider forwarden (zumindest bei den billigeren = privatkunden loesungen) alle ports auf eine lan-ip. wenn man diese nicht verwendet, sind die pcs zumindest einmal durchs nat geschuetzt (was imo fuer ein heimnetzwerk meistens ausreicht.) bei hoeheren sicherheitsbedarf sollte man sich um eine loesung mit echter firewall umschauen, die dann auch von jemandem konfiguriert und gewartet wird, der's kann.

ANOther hat geschrieben:Du solltest grad bei https-Verbindungen(->pin, tan, ...) genau das Zertifkat des Servers überprüfen...

was man wie macht?
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon ANOther » So 20 Nov, 2005 20:29

@jutta
auf die Seite hineiern, das nette kleine Schlösschen unterm Duschfenster anklicken, und nach einer vertrauenswürdigen ca suchen. Sollte hingegen ein nettes kleines Popup auftauchen mit kleinen Rufzeichen auftauchen, wäre man gut beraten sich die Sache mit den tans/pins/CC-Nummern zu überlegen....

LG
ANOther, dessen Bankverkehr vorsintflutlich verläuft...
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon hannibal218bc » So 20 Nov, 2005 22:48

jutta hat geschrieben:
ANOther hat geschrieben:Du solltest grad bei https-Verbindungen(->pin, tan, ...) genau das Zertifkat des Servers überprüfen...

was man wie macht?


Das tut üblicherweise Dein Browser für Dich -- der schaut nach, ob dsa Zertifikat gültig und von einer vertrauenswürdigen CA unterschrieben wurde.

Blöderweise kann aber zB. ein Domänenadministrator CAs für alle Clients hinzufügen, dann mit der CA ein Zertifikat unterschreiben und dann wieder eine MITM Attacke durchführen.

Für einen Home-Rechner, den man selbst verwaltet, ist https:// mit einer vernünftigen Bank (zB. BA-CA: 256 bit AES) Stand der Technik. Selbst wenn jemand die Internerverbindung abhört, fängt er damit so schnell nichts an.


lg,
-h
hannibal218bc
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 382
Registriert: Mi 18 Aug, 2004 21:11
Wohnort: Wien

Beitragvon medice » So 20 Nov, 2005 23:24

bzgl Onlinebanking mit https gibts hier was Nettes:
http://ulm.ccc.de/chaos-seminar/web-security
Die Folien zu dem Thema sind allein leider nicht sonderlich einleuchtend (=Endresultat einer Effektgeladenen Folie, die einiges relevantes überdeckt), daher sich vielleicht mal in die Video-Aufzeichnung einklinken die hier auch bereitgelegt ist. Auch der gesamte restliche Vortrag ist imho sehr interessant und gerade für Nicht-Spezialisten wie mich verständlich ;)
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon hannibal218bc » Mo 21 Nov, 2005 03:33

@medice: das sind, wie ich schon im letzten Beitrag geschrieben habe, *client*-side-Attacken, sprich nichts was ein Lauscher im Internet anstellen kann.

Auf der Folie sieht man schön das IE Warnungs-Fenster, das vor einem angeblich von Verisign ausgestellten warnt. Ich will ja nicht sagen dass Otto Normaluser das versteht, aber grundsätzlich checken die Browser sowas schon ;-)


lg,
-h
hannibal218bc
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 382
Registriert: Mi 18 Aug, 2004 21:11
Wohnort: Wien

Beitragvon jutta » Mo 21 Nov, 2005 05:50

hannibal218bc hat geschrieben:Das tut üblicherweise Dein Browser für Dich -- der schaut nach, ob dsa Zertifikat gültig und von einer vertrauenswürdigen CA unterschrieben wurde.

Blöderweise kann aber zB. ein Domänenadministrator CAs für alle Clients hinzufügen, dann mit der CA ein Zertifikat unterschreiben und dann wieder eine MITM Attacke durchführen.

genau das meinte ich mit der frage nach den ueberpruefungsmoeglichkeiten. dass jeder browser bei click auf "details" etc irgendwelche informationen ueber das zertifikat anzeigt, ist mir schon bekannt. aber wer sagt mir, dass die vertrauenswuerdig sind? wenn mir dann noch der IE vorschlaegt, ich soll ein als nicht vertrauenswuerdig erkanntes zertifikat dadurch vertrauenswuerdig machen, dass ich es speichere (siehe letzte folie), habe ich so meine zweifel am system.

bliebe als wirklich sichere loesung also nur, dass ich beim jeweiligen websitebetreiber anrufe und mir informationen ueber die verwendeten zertifikate geben lasse. das wird bei groesseren institutionen (stichwort telebanking, netbanking) wahrscheinlich ein muehsames unterfangen. bis ich bei dem /der zustaendigen gelandet bin, habe ich mein geld auch schon mit reitendem boten ans ziel gebracht.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon hannibal218bc » Mo 21 Nov, 2005 11:18

Beim Online-Banking kann man wohl davon ausgehen, dass wenn der Browser schreit etwas faul ist und man keinesfalls was eingeben sollte.

Blöd ist halt, dass der Browser NICHT schreit... per SSH oder fetchmail kann man zB den Zertifkatsfingerprint hinterlegen, sodass man informiert wird wenn sich das Zertifikat ändert. (okeoke, bei SSH ist das wieder ein bisschen was anderes, aber der Kern triffts)


lg,
-h
hannibal218bc
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 382
Registriert: Mi 18 Aug, 2004 21:11
Wohnort: Wien

Beitragvon medice » Mo 21 Nov, 2005 11:51

@hannibal
klar - aber aus eigener Erfahrung mit lernresistenten Bek- und Verwandten weiß ich, dass die meisten Probleme dadurch auftreten, dass Social-Enginering sehr effektiv sein kann.
Bitte nicht lachen: aber es hat jemand auf ein Mail voller Fehler der deutschen Sprache reagiert, welches nichtmal vorgaukelte von der eigenen Bank zu sein...
zusätzliche Dinge wie sonstiges Gewürm und Trojaner die manipulativ eingreifen können kommen auch noch hinzu.
Meiner Meinung nach ist die Mitm-Attacke bei SSL-gestützten Dingen eher zu vernachlässigen, solange pebkac existiert ;)
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Nächste

Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 22 Gäste