Home » Netzwerksicherheits- & Technik Forum » Echte DMZ mittels 2 Router hintereinander geschaltet » Themenansicht

Echte DMZ mittels 2 Router hintereinander geschaltet
#0
16.03.2005, 09:35
Mara05
...neu hier

Beiträge: 1
#1 Ich habe nun vor einen FTP Server hinter einer DMZ laufen zu lassen. Da ich gelesen habe das die meisten verk. Soho Router keinen echten DMZ Port haben, habe ich mich dazu entschlossen einen 2 Router dazuzuschalten. Ich habe hier mal ein Bild angefügt damit man es sich besser vorstellen kann.

Da ich nicht wirklich einen Plan von Sicherheit habe nun meine entscheidene Frage. Ich habe nun schon öfters gelesen das Arp Tabellen gefälscht werden können mittels diversen Tools. Man stellt sich also folgendes Znenario vor. Aus irgendwelchen Gründen wäre der FTP Server gehackt. Wäre es denn dann möglich mittels ARP poisining den Datenstrom des 2. Routers komplett abzufangen der ja letztendlich mein Lan schützen soll? Und wenn ja was könnte man dagegen tun das dies auch noch verhindert werden kann?

Liebe Grüsse Mara
Seitenanfang Seitenende
29.03.2005, 17:15
hamilcar
Member

Beiträge: 31
#2 Hallo

Ist meines Wissens nicht zu verhindern, aber ein schwieriger Angriff!

Es wäre gut wenn der 1. Router ein eigenes Interface mit eigener IP hätte für die Verbindung zum SuSe-Server hätte. Dann ließe sich vielleicht auch über VLAN (falls der Router das unterstützt) was machen. Diese Konfiguration wäre auch ohne VLAN-Möglichkeit besser/sicherer.

J.G.
Seitenanfang Seitenende
28.10.2005, 12:01
acidbath
...neu hier

Beiträge: 3
#3 Moinsen.

Auch wenn dieser Thread schon etwas älter ist will ich da doch noch einmal einhaken, weil ich mich seit einigen Wochen ebenfalls mit dieser Fragestellung auseinandersetze.
Gibt es irgendwo detaillierte Informationen wie groß das Risiko eines arp-spoofing tatsächlich ist, ggf. sogar mit der Angabe, welche Router aktuell gefährdet sind? Daß ein Risiko besteht ist sicher unbestritten, aber wenn dieses faktisch nur theoretischer Natur ist, einfach weil es bisher keine Möglichkeit gibt meinen Siemensrouter in einen Hub zu verwandeln oder seinen arp-Tabelle zu modifizieren, dann wäre ich durchaus gewillt, dieses Risiko einzugehen. Alternativ überlege ich zwar, mir mit M0n0wall eine "echte" DMZ aufzubauen, aber dabei können genauso Sicherheitslücken entstehen.
Zu hamilcar: Ich verstehe Dein Posting nicht so ganz. Wenn Mara05 einen Router mit dieser Funktionalität besäße (Einrichtung von VLANs, sprich eigene Subnetze), dann wäre die Problemstellung doch gar nicht existent, oder???

Gruß, acidbath.
Seitenanfang Seitenende
03.11.2005, 16:12
hamilcar
Member

Beiträge: 31
#4 @acidbath
Ich wollte lediglich eine Möglichkeit aufzeigen an die der Originalposter unter Umständen nicht gedacht hat.

Ich halte die Gefahr durch ARP-Spoofing in dieser Konstellation aber generell für vernachlässigbar. Das Spoofing würde dazu führen das der gehackte Server sich für den Router ausgeben kann, aber damit das funktioniert müsste doch auch das Original lahmgelegt werden.

Ein neuer Lösungsansatz der mir gerade eingefallen ist (könnte auch quatsch sein): Wenn es sich bei den beiden Routern zB um Linuxrechnern handelt, dann könnte man fixe ARP-Einträge machen.
Seitenanfang Seitenende
04.11.2005, 09:57
acidbath
...neu hier

Beiträge: 3
#5

Zitat

hamilcar postete
@acidbath
Ich wollte lediglich eine Möglichkeit aufzeigen an die der Originalposter unter Umständen nicht gedacht hat.
Okay, dann ergibt's Sinn.

Zitat

hamilcar postete
Ich halte die Gefahr durch ARP-Spoofing in dieser Konstellation aber generell für vernachlässigbar. Das Spoofing würde dazu führen das der gehackte Server sich für den Router ausgeben kann, aber damit das funktioniert müsste doch auch das Original lahmgelegt werden.
Mein Wissen um diese Schwachstellen ist leider rein theoretischer Natur und auch nicht sonderlich ausgeprägt, weshalb es mir sehr schwer fällt, hier eine Risikoeinschätzung vorzunehmen. Insofern schon einmal vielen Dank für Deine Meinung.
Wobei es neben dem arp-spoofing ja auch noch das arp-flooding gibt (so mich mein Gedächtnis nicht trügt), was den Switch im Router zu einem Hub werden und somit den kompromittierten Rechner alle Pakete im Netz mitlesen läßt. Ich will doch mal schwer hoffen, daß das Risiko ebenfalls vernachlässigbar ist. ;-)

Zitat

hamilcar postete
Ein neuer Lösungsansatz der mir gerade eingefallen ist (könnte auch quatsch sein): Wenn es sich bei den beiden Routern zB um Linuxrechnern handelt, dann könnte man fixe ARP-Einträge machen.
Da muß ich passen. Basieren die arp-Tabellen auf den MAC-Adressen?

Gruß, acidbath.
Seitenanfang Seitenende
08.11.2005, 16:00
hamilcar
Member

Beiträge: 31
#6

Zitat

acidbath postete
Da muß ich passen. Basieren die arp-Tabellen auf den MAC-Adressen?
Hier ist eine gute Zusammenfassung:
http://de.wikipedia.org/wiki/Address_Resolution_Protocol

J.G.
Seitenanfang Seitenende
09.11.2005, 00:04
acidbath
...neu hier

Beiträge: 3
#7

Zitat

hamilcar postete
Hier ist eine gute Zusammenfassung:
http://de.wikipedia.org/wiki/Address_Resolution_Protocol
Danke, deckte sich mit meinem gefährlichen Halbwissen. :-)

Ich habe mir übrigens bei Ebay einen Siemens 505 geholt und werde darauf - so es klappt - OpenWRT installieren; damit habe ich dann das von Dir erwähnte VLAN.

Gruß, acidbath.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1