ITS-7.3
Transcription
ITS-7.3
7.3 Lauschangriffe (abhören, eavesdropping, sniffing) am Übertragungsmedium: leitungsgebunden: einfach bei Strom schwierig bei LWL nicht leitungsgeb.: sehr einfach ! Voraussetzung: physischer Zugang zum Medium im vermittelnden Rechner: Lesen/Kopieren der zwischengespeicherten Nachrichten; sehr einfach möglich mit speziellen Programmen (sniffers) ITS-7.3 ! Voraussetzung: SystemverwalterRechte 1 im Lokalnetz mit promiscuous mode*: Lesen/Kopieren der empfangenen Nachrichten; sehr einfach möglich mit sniffers * ITS-7.3 ! Voraussetzung: SystemverwalterRechte promiscuous mode = im Lokalnetz spezieller Modus, in dem der Netzanschluss einer Station arbeitet: alle Pakete werden übernommen, nicht nur die an die Station adressierten Pakete 2 Beachte: Sniffer-Programme sind zweischneidig! Angreifer benutzt sie zu Angriffszwecken: Lauschangriff Verteidiger benutzt sie zu Verteidigungszwecken: Einbruchserkennung ITS-7.3 3 Typische Sniffer-Programme: snort (primär für Einbruchserkennung) www.snort.org tcpdump (Unix) man tcpdump windump (Windows) ethereal (Unix) www.ethereal.com dsniff (Unix) monkey.org/~dugsong/dsniff snoop (Solaris) man snoop ITS-7.3 4 Zum Beispiel tcpdump : lohr@lohr:~ $ tcpdump tcpdump: (no devices found) /dev/bpf0: Permission denied lohr@lohr:~ $ su root Password: lohr:/Users/lohr root# tcpdump tcpdump: WARNING: en0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on en0, link-type EN10MB (Ethernet), capture size 96 bytes ^C 0 packets captured 0 packets received by filter 0 packets dropped by kernel lohr:/Users/lohr root# tcpdump -D 1.en0 Ethernet 2.fw0 FireWire 3.en1 Modem 4.lo0 loopback to local host ITS-7.3 5 lohr:/Users/lohr root# tcpdump -i4 -A -s150 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo0, link-type NULL (BSD loopback), capture size 150 bytes 09:49:01.784741 localhost.51134 > localhost.ftp: P 1561170183:1561170188(5) ack 2778385722 win 65535 <nop,nop,timestamp 903484317 903484272> .....:......................................] 5...5..pbla 09:49:01.785260 localhost.ftp > localhost.51134: P 1:37(36) ack 5 win 65535 <nop,nop,timestamp 903484317 903484317> [flowlabel 0x42a24] ......V........................................:] 5...5...500 'bla': command not understood. 09:49:01.878997 localhost.51134 > localhost.ftp: . ack 37 win 65535 <nop,nop,timestamp 903484317 903484317> .....^......................................] 5...5... ^C 3 packets captured 3 packets received by filter 0 packets dropped by kernel lohr:/Users/lohr root# 6 Durch Lauschangriff verletzte Schutzziele: Vertraulichkeit (der übertragenen Nutzdaten) Anonymität - wird verletzt durch Einsicht in die Verkehrsdaten: Ziel- und Absenderadressen) und als Folge der verletzten Vertraulichkeit: Zugangsschutz - wird verletzt, wenn ein Passwort abgelauscht wurde, z.B. bei telnet-Benutzung (password sniffing) ITS-7.3 7 Gegenmaßnahmen: Verschlüsselung der Nutzdaten ? Verkehrsdaten: sichere Protokolle (8) ITS-7.3 8