xDSL.at

[Rambaldi]

Hallo Leute, ich habe ein paar konkrete Fragen, die Sicherheit der Internet-Verbindung bei TA-ADSL und inode xDLS betreffend:

1)
ADSL: meines Wissens nach wird die Einwahlverbindung über PPtP realisiert. Ist die Datenübertragung vom Kundenmodem zum Provider dabei verschlüsselt? Stellt die Verbindung einen VPN-Tunnel dar? Wenn verschlüsselt: Wie und wie stark?

2)
Gleich wie 1), jedoch für inode xDSL@home, mit a) PPtP und b) PPoE.

Mich würde enfach interessieren, ob jemand, der sich in die Leitung einklinken und Datenpakete über einen längeren Zeitraum mitsniffen würde, etwas damit anfangen könnte, z.B. Paßwörter auslesen, etc.


3)
Wie sicher ist https:// bei z.B. Telebanking? Wie stark verschlüsselt? Wie leicht hackbar bzw. bei Abhören der Leitung: Knackbar?

4)
NAT: Ersetzt es eine Firewall? Wenn nein: Warum nicht? Kann man eigentlich bei einem Endgerät, das NAT aktiviert hat, auch eine statische IP durchschalten?

5)
Sind bei Internet-Providern, die als Endgerät einen geNATteten Router anbieten (manche FunkLAN Provider) eigentlich alle Ports offen?? Über höhere Portadressen können ja - so habe ich gehört - böse Pakete kommen oder so, oder Angriffe auf den pc gestartet werden.

Bitte um kompetente Antworten, ich interessiert die Materie sehr.
Danke!!

[lordpeng]

>Ist die Datenübertragung vom Kundenmodem zum Provider dabei verschlüsselt?
bei herkömmlichen adsl anschlüssen wird pptp lediglich für die authentifizierung verwendet zu alternativen anbietern kann ich nix sagen ...

>Wie sicher ist https:// bei z.B. Telebanking?
ich würde mal behaupten es ist verhältnismässig sicher, die grösste gefahr geht sicherlich von irgendwelchen trojanischen pferden, keyloggern etc. aus, dagegen bringt die beste verschlüssellung nix ...

>NAT: Ersetzt es eine Firewall?
nein
>Wenn nein: Warum nicht
weils ursprünglich nicht dafür entwickelt wurde ... und eigentlich nur als eine art 'übergangslösung' gedacht war, die sicherheit die es den clients bietet ist nur ein nebeneffekt

>Sind bei Internet-Providern, die als Endgerät einen geNATteten Router anbieten
kommt wohl auf den anbieter drauf an

[ANOther]

@Rambaldi
jeder, der sich irgendwo zugang zur Leitung verschaffen kann, kann mitsniffen... (wenn er´s kann)
zu 3. ich würde lordpeng´s Gefahren noch eine hinzufügen, nämlich die eines Man-In-The-Middle-Angriffe [0]. Du solltest grad bei https-Verbindungen(->pin, tan, ...) genau das Zertifkat des Servers überprüfen...
BTW
Ein Port ist nur offen, wenn ein zugehöriger Dienst dahinter lauscht. Biete keine Dienste an->kein "Angriff" auf "offene Ports".

LG
AN


[0] http://de.wikipedia.org/wiki/Man-In-The-Middle-Angriff

[max_payne]

>Du solltest grad bei https-Verbindungen(->pin, tan, ...) genau das Zertifkat des Servers überprüfen...

bei netbanking is das aber egal, da gibts mindestens ne chanche von 25:1, dass er nen tan erwischt, der ihm nix mehr bringt!

[ANOther]

Ich sag dem DNS deines Providers, dass www.deinebank.tld die IP meines krazzen Hackerserverz hat. Du willst was überweisen, surfst auf die Seite deiner Bank, die Anfrage wird allerdings auf meinen Server umgeleitet. Als Spitzenbösewicht hab ich mir die Seite deiner Bank kopiert. Du bestätigst das Zertifikatsgefasel, das deiner aussage nach ziemlich egal ist, und gibst deinen tan ein. Der Server akzeptiert den tan aber nicht, du versuchst nen zweiten tan. Wärend du noch mit dem zweiten tan beschäftigt bist, hab ich meine Überweisungen mit deiner ersten "fehleingabe" bereits getätigt...
Anstatt einen DNS umzukonfigurieren kann ich auch deine hosts-datei erweitern, oder dir eine Mail schicken, mit dem Link zu deiner Bank drauf: http://www.deinebank.tld

[max_payne]

halt, wenn die tans nach nummern abgefragt sind, nutzt dir der tan nichts; das wäre großer zufall

[ANOther]

die nummer wurde aber auf MEINEM server abgefragt, dh bei der bank ist er noch gültig, denn ich hab die session entführt...
(http://de.wikipedia.org/wiki/Man-In-The-Middle-Attack)
LG
AN

[jutta]

Sind bei Internet-Providern, die als Endgerät einen geNATteten Router anbieten (manche FunkLAN Provider) eigentlich alle Ports offen??

manche provider forwarden (zumindest bei den billigeren = privatkunden loesungen) alle ports auf eine lan-ip. wenn man diese nicht verwendet, sind die pcs zumindest einmal durchs nat geschuetzt (was imo fuer ein heimnetzwerk meistens ausreicht.) bei hoeheren sicherheitsbedarf sollte man sich um eine loesung mit echter firewall umschauen, die dann auch von jemandem konfiguriert und gewartet wird, der's kann.

Du solltest grad bei https-Verbindungen(->pin, tan, ...) genau das Zertifkat des Servers überprüfen...

was man wie macht?

[ANOther]

@jutta
auf die Seite hineiern, das nette kleine Schlösschen unterm Duschfenster anklicken, und nach einer vertrauenswürdigen ca suchen. Sollte hingegen ein nettes kleines Popup auftauchen mit kleinen Rufzeichen auftauchen, wäre man gut beraten sich die Sache mit den tans/pins/CC-Nummern zu überlegen....

LG
ANOther, dessen Bankverkehr vorsintflutlich verläuft...

[hannibal218bc]

Du solltest grad bei https-Verbindungen(->pin, tan, ...) genau das Zertifkat des Servers überprüfen...

was man wie macht?

Das tut üblicherweise Dein Browser für Dich -- der schaut nach, ob dsa Zertifikat gültig und von einer vertrauenswürdigen CA unterschrieben wurde.

Blöderweise kann aber zB. ein Domänenadministrator CAs für alle Clients hinzufügen, dann mit der CA ein Zertifikat unterschreiben und dann wieder eine MITM Attacke durchführen.

Für einen Home-Rechner, den man selbst verwaltet, ist https:// mit einer vernünftigen Bank (zB. BA-CA: 256 bit AES) Stand der Technik. Selbst wenn jemand die Internerverbindung abhört, fängt er damit so schnell nichts an.


lg,
-h

[medice]

bzgl Onlinebanking mit https gibts hier was Nettes:
http://ulm.ccc.de/chaos-seminar/web-security
Die Folien zu dem Thema sind allein leider nicht sonderlich einleuchtend (=Endresultat einer Effektgeladenen Folie, die einiges relevantes überdeckt), daher sich vielleicht mal in die Video-Aufzeichnung einklinken die hier auch bereitgelegt ist. Auch der gesamte restliche Vortrag ist imho sehr interessant und gerade für Nicht-Spezialisten wie mich verständlich

[hannibal218bc]

@medice: das sind, wie ich schon im letzten Beitrag geschrieben habe, *client*-side-Attacken, sprich nichts was ein Lauscher im Internet anstellen kann.

Auf der Folie sieht man schön das IE Warnungs-Fenster, das vor einem angeblich von Verisign ausgestellten warnt. Ich will ja nicht sagen dass Otto Normaluser das versteht, aber grundsätzlich checken die Browser sowas schon


lg,
-h

[jutta]

Das tut üblicherweise Dein Browser für Dich -- der schaut nach, ob dsa Zertifikat gültig und von einer vertrauenswürdigen CA unterschrieben wurde.

Blöderweise kann aber zB. ein Domänenadministrator CAs für alle Clients hinzufügen, dann mit der CA ein Zertifikat unterschreiben und dann wieder eine MITM Attacke durchführen.

genau das meinte ich mit der frage nach den ueberpruefungsmoeglichkeiten. dass jeder browser bei click auf "details" etc irgendwelche informationen ueber das zertifikat anzeigt, ist mir schon bekannt. aber wer sagt mir, dass die vertrauenswuerdig sind? wenn mir dann noch der IE vorschlaegt, ich soll ein als nicht vertrauenswuerdig erkanntes zertifikat dadurch vertrauenswuerdig machen, dass ich es speichere (siehe letzte folie), habe ich so meine zweifel am system.

bliebe als wirklich sichere loesung also nur, dass ich beim jeweiligen websitebetreiber anrufe und mir informationen ueber die verwendeten zertifikate geben lasse. das wird bei groesseren institutionen (stichwort telebanking, netbanking) wahrscheinlich ein muehsames unterfangen. bis ich bei dem /der zustaendigen gelandet bin, habe ich mein geld auch schon mit reitendem boten ans ziel gebracht.

[hannibal218bc]

Beim Online-Banking kann man wohl davon ausgehen, dass wenn der Browser schreit etwas faul ist und man keinesfalls was eingeben sollte.

Blöd ist halt, dass der Browser NICHT schreit... per SSH oder fetchmail kann man zB den Zertifkatsfingerprint hinterlegen, sodass man informiert wird wenn sich das Zertifikat ändert. (okeoke, bei SSH ist das wieder ein bisschen was anderes, aber der Kern triffts)


lg,
-h

[medice]

@hannibal
klar - aber aus eigener Erfahrung mit lernresistenten Bek- und Verwandten weiß ich, dass die meisten Probleme dadurch auftreten, dass Social-Enginering sehr effektiv sein kann.
Bitte nicht lachen: aber es hat jemand auf ein Mail voller Fehler der deutschen Sprache reagiert, welches nichtmal vorgaukelte von der eigenen Bank zu sein...
zusätzliche Dinge wie sonstiges Gewürm und Trojaner die manipulativ eingreifen können kommen auch noch hinzu.
Meiner Meinung nach ist die Mitm-Attacke bei SSL-gestützten Dingen eher zu vernachlässigen, solange pebkac existiert