|
|
 | Triple DES på LAN ?
Fra : nejtilspam@sol.dk |
Dato : 01-09-05 21:37 |
|
Hej,
jeg har et par Intel Pro/100s Triple DES netkort. Jeg tænker på at
bruge dem i mit lille netværk på 2-3 maskiner, hastigheden er ligesom
de andre netkort. Giver det mere sikkerhed mod det fæle internet,
eller virker de bare som alle andre netkort ?
| |
 Bjarke Andersen (01-09-2005)
| Kommentar
Fra : Bjarke Andersen |
Dato : 01-09-05 21:44 |
|
nejtilspam@sol.dk crashed Echelon writing
news:1125606996.448204.109010@g47g2000cwa.googlegroups.com:
> jeg har et par Intel Pro/100s Triple DES netkort. Jeg tænker på at
> bruge dem i mit lille netværk på 2-3 maskiner, hastigheden er ligesom
> de andre netkort. Giver det mere sikkerhed mod det fæle internet,
> eller virker de bare som alle andre netkort ?
Det vil give dig nada sikkerhed på hele Internettet. Trafikken skal jo
krypteres hele vejen frem til destinationen, så hvad tror du fx. tv2.dk gør
med en krypteret pakke den ikke kender?
Den vil give dig krypteringen på dit eget netværk og mellem computerne.
--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address
| |
Bo Simonsen (02-09-2005)
| Kommentar
Fra : Bo Simonsen |
Dato : 02-09-05 05:49 |
|
Bjarke Andersen wrote:
>>jeg har et par Intel Pro/100s Triple DES netkort. Jeg tænker på at
>>bruge dem i mit lille netværk på 2-3 maskiner, hastigheden er ligesom
>>de andre netkort. Giver det mere sikkerhed mod det fæle internet,
>>eller virker de bare som alle andre netkort ?
> Den vil give dig krypteringen på dit eget netværk og mellem computerne.
.... hvilket så ikke giver meget mening hvis man sidder på et switchet
netværk.
Bo
| |
 Kasper Dupont (02-09-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 02-09-05 08:27 |
|
Bo Simonsen wrote:
>
> Bjarke Andersen wrote:
>
> >>jeg har et par Intel Pro/100s Triple DES netkort. Jeg tænker på at
> >>bruge dem i mit lille netværk på 2-3 maskiner, hastigheden er ligesom
> >>de andre netkort. Giver det mere sikkerhed mod det fæle internet,
> >>eller virker de bare som alle andre netkort ?
>
> > Den vil give dig krypteringen på dit eget netværk og mellem computerne.
>
> ... hvilket så ikke giver meget mening hvis man sidder på et switchet
> netværk.
Jo, hvis ikke man stoler på alle maskiner på lokalnettet
giver det god mening at kryptere trafik over lokalnettet.
At 3-DES så ikke er nogen vildt stærk cipher er så en
anden sag. Jeg mener i hvert fald man bør skifte nøgle
minimum en gang for hver 512KB man overfører, og hvordan
man så lige får overført nøglerne på sikker vis er jo et
godt spørgsmål.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Bo Simonsen (02-09-2005)
| Kommentar
Fra : Bo Simonsen |
Dato : 02-09-05 16:36 |
|
Kasper Dupont wrote:
>>>>jeg har et par Intel Pro/100s Triple DES netkort. Jeg tænker på at
>>>>bruge dem i mit lille netværk på 2-3 maskiner, hastigheden er ligesom
>>>>de andre netkort. Giver det mere sikkerhed mod det fæle internet,
>>>>eller virker de bare som alle andre netkort ?
>>
>>>Den vil give dig krypteringen på dit eget netværk og mellem computerne.
>>
>>... hvilket så ikke giver meget mening hvis man sidder på et switchet
>>netværk.
> Jo, hvis ikke man stoler på alle maskiner på lokalnettet
> giver det god mening at kryptere trafik over lokalnettet.
> At 3-DES så ikke er nogen vildt stærk cipher er så en
> anden sag. Jeg mener i hvert fald man bør skifte nøgle
> minimum en gang for hver 512KB man overfører, og hvordan
> man så lige får overført nøglerne på sikker vis er jo et
> godt spørgsmål.
Men hvorfor når man sidder på et switchet netværk, ergo oprettes
der en fast fysisk forbindelse mellem modtager og afsender,
hvordan skal den trafik dog bliv aflyttet?
Naturligvis hvis maskinerne ikke sidder på samme switch, og
adgangen til de resterne switche er ikke eksisterende, ville
det være en udemærket idé (for at være sikker på en eller anden
person ikke hijacker en switch, og sætter en maskine op som bridge,
men det er da at gå til extremerne imho).
(Det er ikke selve metoden jeg er interesseret i, men hvornår det er
nyttigt, på et ganske almindelig switchet lokal net, men måske er
kortene fra hubbenes tid)
--
Regards / Med venlig hilsen
Bo Simonsen
http://www.geekworld.dk
| |
jamen (02-09-2005)
| Kommentar
Fra : jamen |
Dato : 02-09-05 18:18 |
|
Bo Simonsen wrote:
> Men hvorfor når man sidder på et switchet netværk, ergo oprettes
> der en fast fysisk forbindelse mellem modtager og afsender,
> hvordan skal den trafik dog bliv aflyttet?
>
Det findes flere forskellige teknikker. En af de mest benyttede er nok
ARP poisoning. Med mindre der er taget forholdsregler mod dette, er det
faktisk ganske nemt at sniffe andre maskiner på et switched lan.
| |
Bo Simonsen (02-09-2005)
| Kommentar
Fra : Bo Simonsen |
Dato : 02-09-05 18:59 |
|
jamen wrote:
> Bo Simonsen wrote:
>
>> Men hvorfor når man sidder på et switchet netværk, ergo oprettes
>> der en fast fysisk forbindelse mellem modtager og afsender,
>> hvordan skal den trafik dog bliv aflyttet?
>>
>
> Det findes flere forskellige teknikker. En af de mest benyttede er nok
> ARP poisoning. Med mindre der er taget forholdsregler mod dette, er det
> faktisk ganske nemt at sniffe andre maskiner på et switched lan.
Hvordan? Maskiner der ikke skal have trafik fra dig får det jo heller
ikke (ergo kender andre maskiner ikke din mac udover din router),
medmindre din computer sender en masse broadcasts.
--
Regards / Med venlig hilsen
Bo Simonsen
http://www.geekworld.dk
| |
jamen (02-09-2005)
| Kommentar
Fra : jamen |
Dato : 02-09-05 19:23 |
|
Bo Simonsen wrote:
> Hvordan? Maskiner der ikke skal have trafik fra dig får det jo heller
> ikke (ergo kender andre maskiner ikke din mac udover din router),
> medmindre din computer sender en masse broadcasts.
>
Det er så bl.a. det ARP poisoning går ud på. Jeg snyder offeret til at
tro, at MAC adressen på hans modpart er min adresse.
Hvis A og B er to hosts som snakker sammen. Jeg er C
A: 192.168.0.2 10-10-10-10-10-10
B: 192.168.0.3 10-10-10-10-10-11
C: 192.168.0.4 10-10-10-10-10-12
Efter A og B har fundet hinandens MAC adresser via ARP broadcasts, så
ligger disse nu i deres ARP cache. (Windows, command prompt: arp -a)
Specielt Windows gør dette nemt. Jeg kan nøjes med at sende én enkelt
ARP response pakke til mine ofre. Hvorefter de godvilligt opdaterer
deres cache. Cachen ser nu sådan ud:
A: 192.168.0.2 10-10-10-10-10-12
B: 192.168.0.3 10-10-10-10-10-12
Dette vil 'snyde' det switchede netværk, og jeg vil modtage deres trafik
| |
jamen (02-09-2005)
| Kommentar
Fra : jamen |
Dato : 02-09-05 19:32 |
|
> ... og jeg vil modtage deres trafik
For at gøre det brugbart, så sætter man selvfølge maskinen op til at
videreroute trafikken, så de rent faktisk modtager hinandens trafik. Det
kaldes også populært et man-in-the-middle angreb
| |
Bo Simonsen (03-09-2005)
| Kommentar
Fra : Bo Simonsen |
Dato : 03-09-05 11:45 |
|
jamen wrote:
> Bo Simonsen wrote:
>
>> Hvordan? Maskiner der ikke skal have trafik fra dig får det jo heller
>> ikke (ergo kender andre maskiner ikke din mac udover din router),
>> medmindre din computer sender en masse broadcasts.
>>
>
> Det er så bl.a. det ARP poisoning går ud på. Jeg snyder offeret til at
> tro, at MAC adressen på hans modpart er min adresse.
>
> Hvis A og B er to hosts som snakker sammen. Jeg er C
>
> A: 192.168.0.2 10-10-10-10-10-10
> B: 192.168.0.3 10-10-10-10-10-11
> C: 192.168.0.4 10-10-10-10-10-12
>
> Efter A og B har fundet hinandens MAC adresser via ARP broadcasts, så
> ligger disse nu i deres ARP cache. (Windows, command prompt: arp -a)
>
> Specielt Windows gør dette nemt. Jeg kan nøjes med at sende én enkelt
> ARP response pakke til mine ofre. Hvorefter de godvilligt opdaterer
> deres cache. Cachen ser nu sådan ud:
>
> A: 192.168.0.2 10-10-10-10-10-12
> B: 192.168.0.3 10-10-10-10-10-12
>
> Dette vil 'snyde' det switchede netværk, og jeg vil modtage deres trafik
Ah ja naturligvis, det havde jeg ikke lige tænkt over, men igen du kan
kun opnå andre computers mac adresse hvis du får trafik fra dem, ergo
hvis din maskine ikke broadcaster vil kun routeren vide din mac, men det
er jo stadigt nok, hvis man sidder på et upålideligt netværk, men nu kom
vi helt af sporet, da kryptering stadigvæk ikke hjælper, hvis din router
ikke er pålidelig. 
--
Regards / Med venlig hilsen
Bo Simonsen
http://www.geekworld.dk
| |
Asbjorn Hojmark (03-09-2005)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 03-09-05 12:30 |
|
On Sat, 03 Sep 2005 12:45:24 +0200, Bo Simonsen <bo@geekworld.dk>
wrote:
> Ah ja naturligvis, det havde jeg ikke lige tænkt over, men igen du kan
> kun opnå andre computers mac adresse hvis du får trafik fra dem, ergo
> hvis din maskine ikke broadcaster vil kun routeren vide din mac,
Alle maskiner broadcaster. Om ikke andet vil ens maskine broadcaste et
ARP efter din default gateway.
Og ellers kan man MAC-floode switchen og få den til at unicast floode
alle pakker på alle porte. Så behøver maskinerne ikke broadcaste noget
som helst.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Bo Simonsen (03-09-2005)
| Kommentar
Fra : Bo Simonsen |
Dato : 03-09-05 15:10 |
|
Asbjorn Hojmark wrote:
> On Sat, 03 Sep 2005 12:45:24 +0200, Bo Simonsen <bo@geekworld.dk>
> wrote:
>
>
>>Ah ja naturligvis, det havde jeg ikke lige tænkt over, men igen du kan
>>kun opnå andre computers mac adresse hvis du får trafik fra dem, ergo
>>hvis din maskine ikke broadcaster vil kun routeren vide din mac,
>
>
> Alle maskiner broadcaster. Om ikke andet vil ens maskine broadcaste et
> ARP efter din default gateway.
Ja naturligvis, der bliver vel sendt et ARP-broadcast af en eller anden
art, selv hvis man tildeler maskinen en fast ip, for at sikre sig ingen
andre ejer den ip?
> Og ellers kan man MAC-floode switchen og få den til at unicast floode
> alle pakker på alle porte. Så behøver maskinerne ikke broadcaste noget
> som helst.
Ah ja, prøve at bruteforce floode med mac adresser?
--
Regards / Med venlig hilsen
Bo Simonsen
http://www.geekworld.dk
| |
Asbjorn Hojmark (03-09-2005)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 03-09-05 17:03 |
|
On Sat, 03 Sep 2005 16:10:12 +0200, Bo Simonsen <bo@geekworld.dk>
wrote:
>> Alle maskiner broadcaster. Om ikke andet vil ens maskine broadcaste et
>> ARP efter din default gateway.
> Ja naturligvis, der bliver vel sendt et ARP-broadcast af en eller anden
> art, selv hvis man tildeler maskinen en fast ip, for at sikre sig ingen
> andre ejer den ip?
Det gør nogen OS'er (også). Men uanset hvad, vil den som sagt ARP'e
efter sin default gateway.
> Ah ja, prøve at bruteforce floode med mac adresser?
Ja, det er relativt simpelt.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Bo Simonsen (03-09-2005)
| Kommentar
Fra : Bo Simonsen |
Dato : 03-09-05 17:21 |
|
Asbjorn Hojmark wrote:
> On Sat, 03 Sep 2005 16:10:12 +0200, Bo Simonsen <bo@geekworld.dk>
> wrote:
>
>
>>>Alle maskiner broadcaster. Om ikke andet vil ens maskine broadcaste et
>>>ARP efter din default gateway.
>
>
>>Ja naturligvis, der bliver vel sendt et ARP-broadcast af en eller anden
>>art, selv hvis man tildeler maskinen en fast ip, for at sikre sig ingen
>>andre ejer den ip?
>
>
> Det gør nogen OS'er (også). Men uanset hvad, vil den som sagt ARP'e
> efter sin default gateway.
Ah ja naturligvis, da der på de nederste lag kun kommunikeres vh.a. mac.
Mange tak for forklaringen.
--
Regards / Med venlig hilsen
Bo Simonsen
http://www.geekworld.dk
| |
Kasper Dupont (03-09-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 03-09-05 09:01 |
|
Bo Simonsen wrote:
>
> Men hvorfor når man sidder på et switchet netværk, ergo oprettes
> der en fast fysisk forbindelse mellem modtager og afsender,
Nej.
> hvordan skal den trafik dog bliv aflyttet?
ARP poisoning, MAC spoofing eller blot ved
at overfylde switchens MAC tabel.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Asbjorn Hojmark (03-09-2005)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 03-09-05 09:48 |
|
On Fri, 02 Sep 2005 17:36:24 +0200, Bo Simonsen <bo@geekworld.dk>
wrote:
> Men hvorfor når man sidder på et switchet netværk, ergo oprettes
> der en fast fysisk forbindelse mellem modtager og afsender,
Der oprettes ikke en 'fast fysisk forbindelse'; hver enkelt pakke
switches uafhængigt...
> hvordan skal den trafik dog bliv aflyttet?
Der er flere metoder. Tag fx "MAC flooding", "ARP poisoning" / "ARP
spoofing" og "rogue DHCP server" med til Google. Evt. kan du starte
med at kigge på Ettercap, der kan det meste.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
James Rune Hansen (02-09-2005)
| Kommentar
Fra : James Rune Hansen |
Dato : 02-09-05 16:54 |
|
<nejtilspam@sol.dk> skrev i en meddelelse
news:1125606996.448204.109010@g47g2000cwa.googlegroups.com...
Hej,
jeg har et par Intel Pro/100s Triple DES netkort. Jeg tænker på at
bruge dem i mit lille netværk på 2-3 maskiner, hastigheden er ligesom
de andre netkort. Giver det mere sikkerhed mod det fæle internet,
eller virker de bare som alle andre netkort ?
Du skal bare lige huske at hvis du sender en 3DES trafik til din router så
vil den ikke dekryptere det og sende det ud på nettet.
Så din router skal faktisk være en PC med 2 netkort i hvor det ene så er et
3DES kort som sider på LAN siden.
Men jeg kan godt se iden med dette hvis du skal beskytte noget data eller
forskningsresultater. Men mod virus og hackere fra internettet hjælper det
ikke da de højest synligt vil sende noget ind igennem din firewall og så vil
de komme ud af den som 3DES.
Hvad med at se på IPsec imellem windows maskiner, hvis det alså er det som
du kører
/James
| |
|
|