Sichere Verbindung im LAN

#1 Hallo Forum,

ich bin dank google auf euch aufmerksam geworden und würde mal gerne eine Diskussionsrunde anwerfen.
Da Ich Student bin, bin ich letztens aus Kostengründen in ein Studentenwohnheim gezogen.

Wir haben hier ein Netzwerk mit einem zentralen Gateway auf der üblichen 192.168.1.1.
Nun hat jeder Student seine eigene feste IP Adresse bekommen.

Leider gibt es hier sehr viele... naja, sagen wir mal... unseriöse Typen.
Es ist ja bekanntlich keine Schwierigkeit mittels einfachen Tools wie ettercap und Wireshark selbst in geswichten LANs den Netzwerkverkehr auf seinen Rechner umlegen zu lassen und dann mittels des eben genannten Sniffers alles mitzulesen.
Als Informatikstudent testet man sowas natürlich auch und ich fand es erschreckend, wie einfach man private Infos mitlesen konnte. Vorher musste ich mir da nie Gedanken drüber machen da ich mein eigenes Netz hatte.
ICQ Mitteilungen, Emails, besuchte Webseiten, ja selbst Passwörter auf verschlüsselten Seiten konnten mit ein bisschen Arbeit und Know-how abgefangen werden...

Nun stellt sich mir natürlich die Frage, wie man sich gegen ein so genanntes ARP-Spoofing schützen kann.
Eine Lösung wäre, dem Switch feste IP - Mac Verbindungen zu geben. Das hier aber ein enormer administrativer Aufwand nötig ist, brauche ich ja nicht erwähnen
Eine andere Möglichkeit wäre noch Snort oder arpwatch als Präventivschutz einzusetzen, allerdings melden die Programme nur so einen Angriff. Snort sogar erst nachdem der Angriff vorbei ist... also kein Echtzeitschutz.

Am besten wäre es, wenn man jede IP in ein eigenes VPN sperrt. Das Problem ist nur, dass ich auf den Router keine Adminrechte habe und die Admins hier auch eher Hobbyseitig arbeiten.

Besteht die Möglichkeit, irgendwie als normaler LAN-User seine IP mittels VPN an den Router zu binden, damit andere nicht mitsniffen können?

Ansonsten bin ich auch für andere Lösungen offen!
Ich hoffe auf eine rege Beteiligung

Danke und Gruß,
seels

#2 Wie du schon erwähnstest, bist du nur Admin deines lokalen PCs und nicht verantwortlich für das LAN.
In diesem Fall wird wohl nur das Wechseln auf verschlüsselnde Protokolle und/oder verschlüsselnde Proxys
weiterhelfen.

Für Email sollte POP3S, IMAPS, SSMTP für Abhilfe sorgen. Alternativ oder zusätzlich ist die Nutzung von
(Open)PGP bestimmt nicht verkehrt.

Den HTTP-Verkehr könnte man grundsätzlich über einen Proxy a'la TOR oder JAP laufen lassen.

IRC, sofern genutzt und vom Server unterstützt, lässt sich mit IRCS betreiben.

ICQ nutze ich nicht, aber ggf. existiert auch hier -wie bei vielen der restlichen Protokolle- die Variante, die
Client-Software über einen geeigneten Socks-Proxy zwangszutunneln. Die Kombination von Freecap und
TOR ist nicht übel (Reden wir überhaupt
von einem Windows OS?).

Ergo: Alle Protokolle, die Verschlüsselung anbieten, solltest du statt den üblichen Standards nutzen.

Gruß,

Sepia

#3 Ettercap oder auch CainAbel arbeiten mittels Manipulation Deines ARP Caches. Dagegen kann man "eigentlich" wenig machen, aufgrund der prinzipbedingten Schwäche des ARP Protokolls. Der Angreifer verändert den ARP Cache in der Regel dahingehend, dass er dir ARP Reply Pakete sendet, und deinem PC vorgaukelt, die IP des Gateways (meist Routerinterface) hätte die MAC Adresse der netzwerkkarte des Angreifers. Dadurch sendet dein PC alle Daten zwangsläufig an den AngreiferPC, und dieser Routet die DAten weiter, liest sie aber gleichzeitig mit.

Was du machen kannst, wäre dein ARP Eintrag des Gateways statisch zu machen, mittels

arp -s <ip-adresse-des-gateways> <mac-adresse-des-gateways>

Durch den statischen Eintrag kann der Eintrag nicht mehr manipuliert werden, u. ettercap u. cain funktionieren nicht mehr, behaupte ich mal.

Ansonsten ist die Nutzung verschlüsselter Protokolle freilich immer ne gute Idee - aber nicht immer machbar. Ferner sollte man Webserver Zertifikate genau anschauen, bevor man sie trotz Fehlermeldung akzeptiert. Zertifikate könen nämlich easy durch ettercap oder cain generiert werden, und die verbindung auch tatsächlich verschlüsseln - allerdings geht die verschlüsselung nur bis zum angreiferpc, der gemütlich deine Passwörter abfängt und dabei energisch in der Nase popelt!


HTTP und Standard Emailverkehr ist übrigens durchs ganze Internet nicht verschlüsselt - also vergleichbar mit ner Postkarte. jeder Briefträger der sie in die Hand kriegt kann sie lesen. Und das unabhängig davon ob in deinem eigenen Netz einer snifft oder nicht. Irgendeiner im Internet kann (und tut) bestimmt sniffen (und die ersnifften Daten mehr oder wengier interessant finden).