Jump to content

Lohnt sich IPSec-Implementierung in geswitchtem LAN?

asterisk
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Velius Grand Master

Velius   10

Geschrieben
Geschrieben

Da wird's etwas schwammig, denn damit hab' ich mich (noch) nicht wirklich befasst aber wie macht man denn eine DOS mit einer SID??

 

Ich denke dass man in 5-15 Jahre so ziemlich alles knacken kann, was jetzt so rumläuft...

Allerdings war ich doch etwa verwundert, als das letzte mal ein Revisor da war. Die richtig Fetten schwachstellen konnte er auf die Schnelle auch nur mit einem Domain Admin, bzw. Root Passwort finden. Und die meisten lücken waren schlicht auf schlampige Admin Arbeit zurück zu führen.

 

Na ja, auf eine 100% sichere IT....

 

 

Velius

Link zu diesem Kommentar
Data1701 Veteran

Data1701   10

Geschrieben
Geschrieben

Hi,

 

laut MS sollt die NTDS.dit sicher sein, und selbst MS kennt keinen Weg daran zukommen - Angeblich :D .

 

Ich habe neulich erst die Anfrage bekommen, ob ich garantieren kann, dass wichtige Daten unter Windows auch in 5 o. 15 Jahren nicht entschlüsselt werden können.

 

Wenn Du dann noch einen Computer hast der die Daten lesen kann. Gut in 5 Jahren vielleicht aber in 15 :confused: . Das Frauenhofer Institut sucht momentan nach Techniken, wie Sich Daten für die Ewigkeit archivieren lassen, oder könnt Ihr Garantieren, dass Ihr in 10 Jahren eine wichtige eMail widerherstellen könnt die für das Finanzamt von Bedeutung ist ? Aber mal beim Thema bleiben.

 

Als ich meine Abschlußarbeit vor 3 Jahren über die Implementierung eines VPN-Netzwerkes geschrieben habe, ging man noch davon aus, dass 3DES ungefähr 50 Jahre Schutz bietet. Nun wie die Zeit vergeht.

 

Das mit den lokalen Admins soll ja unter Longhorn ein jähes Ende finden. Warten wir es mal ab.

 

Gruß Data

Link zu diesem Kommentar
carlito Veteran

carlito   10

Geschrieben
Geschrieben

Habt ihr kein autom. Entsperren. Sonst bist du ziemlich anfällig gegen DOS-Attacken und am Morgen geht erstmal nichts mehr.

 

Daran sollte man immer denken, wenn man Kennwortrichtlinien verwendet. Leider wird das oft vergessen. Selbst böswillige Mitarbeiter können so absichtlich Probleme verursachen. Zusätzlich empfiehlt sich die GPO Einstellung: "Letzten Benutzernamen nicht anzeigen" (o.ä.) zu aktivieren.

 

Wenn ich das DSRM-Passwort habe, kann ich alles mögliche installieren, dll's austauschen, die ntds.dit wegkopieren, korrumpieren etc. ... kein gutes Gefühl, wenn jemand dieses PW bekommt. Ausserdem, wer hat schon verschiedene DSRMs auf allen DCs.

 

Kannst du bitte mal genauer erklären, wie man das ausnutzen könnte?

Link zu diesem Kommentar
Velius Grand Master

Velius   10

Geschrieben
Geschrieben
Man kann doch mit Tools die SIDs auslesen, und so z.B. den Namen des Administrator Kontos herausbekommen, falls dieses umbenannt wurde. Allerdings gibt es auch eine GPO Einstellung um genau dies zu verhindern.

 

 

Geht aber auch nur mit lokalem Zugriff....

 

 

Nach miener Erfahrung können die meisten Angreiffer nur Schaden anrichten, wenn sie leicht an ein Admin Passwort kommen. Wenn du lokalen Zugriff auf einenn Rechner hast, dann stehen dir viele Möglichkeiten zur Auswahl: Part-PE, HDD in anderen Rechner bauen usw..

 

Allerdings habe ich persöhnlich noch keine erlebt, der an einigermasen ausgereiften Sicherheitsmechanismen vorbei gekommen ist.

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Hallo,

Alles noch ein bischen Zukunftsmusik:

http://www.cs.dartmouth.edu/~jford/crypto.html#7

 

Mit der Technik wirds dann wirklich sicher, weil der Ansatz nicht mehr lautet, "noch längerer Key, noch raffinierterer Algorithmus". Sobald jemand ausser Sender oder Empfänger versucht den SecretKey auszuspähen, verändert er ihn aufgrund physikalischer Quantengesetze auch schon und der Key ist zerstört. Da die physikalischen Gesetze ziemlich sicher auch in der Zukunft gelten, können noch so leistungsfähige Rechner diesen Key niemals knacken können.

 

Bin da aber auch nur interessierter Laie

 

cu

blub

Link zu diesem Kommentar
MichaHH

MichaHH   10

Geschrieben
Geschrieben

Nochmal um das Thema Keberos aufzugreifen. Macht ja auch nur Sinn, wenn alle Clients zur Domäne gehören. Weiterhin würde ich als erstes empfehlen die Standardrichtlinien für IPSec zu entfernen, wenn dieses über einen W2k3 DC geschehen soll, da diese alle ungesicherte Kommunikation zulassen. Über ADS lässt sich IPSec ja gut einbinden.

 

Zertifikate bieten für Clients die nicht zur Domäne gehören immernoch den besten Schutz.

 

Zum Thema ARP Spoofing:

http://www.microsoft.com/germany/technet/datenbank/articles/600593.mspx#EHAA

 

Weiterhin ist natürlich physische Sicherheit 100 % Grundlage der Netzinfrastruktur. Dann denke ich ist es eigentlich fast unmöglich eine NTDS.dit oder SAM des DC zu kopieren. IPSec ist daher immernoch das was man an Sicherheit bekommen kann.

 

Man sollte ggf. vorher erstmal die Struktur genau analysieren und dann Änderungen umsetzen:

http://www.bsi.bund.de/gshb/index.htm

Link zu diesem Kommentar
Data1701 Veteran

Data1701   10

Geschrieben
Geschrieben

@Velius

 

3DES ist immernoch ein adequater Schutz, nur AES ist sicherer und performt besser

 

Korrekt, aber man sieht ja wie die Welt sich langsam AES zuwendet und 3DES nicht mehr so attraktiv ist. Liegt zwar mit Sicherheit an der höheren Perfomance von AES, aber für die Aussage, dass 3DES noch 50 Jahre Schutz bietet würde ich meine Hand nicht ins Feuer legen.

 

Allerdings habe ich persöhnlich noch keine erlebt, der an einigermasen ausgereiften Sicherheitsmechanismen vorbei gekommen ist.

 

Was ist mit gestohlenen Rechnern ? Wie sieht denn da das Standardadminverhalten aus. Alle Passwörter der User die sich dort jemals angemeldet haben sofort ändern und Computerkonto löschen ?

 

Gruß Data

Link zu diesem Kommentar
Velius Grand Master

Velius   10

Geschrieben
Geschrieben

 

 

 

Was ist mit gestohlenen Rechnern ? Wie sieht denn da das Standardadminverhalten aus. Alle Passwörter der User die sich dort jemals angemeldet haben sofort ändern und Computerkonto löschen ?

 

Wir habe diesbezüglich (noch) keine Richtlinie, aber das Passwort ändern wäre das erst was ich anordnen würde. Computerkono löschen würde wohl das nächste sein. Regelmäsig die Admin Passwörter rotieren lassen kann auch nicht schaden, bzw sollte Pflicht sein .....

 

Wenn man dann noch dieverse Anmeldeversuche oder Objektzugriffe Protokollieren lässt (GPO) und regelmäsig prüft...aber eben, kommt auch stark auf die Branche an, oder wie sensitiv die Daten sind.

 

 

P.S.: Die grossen Schwachstelle von 3DES ist ja der Teil des Schlüssels, der in allen drei Phasen verwendet wird. Wenn dann noch Perfect Forward Secrecy drin ist, sieht's schon besser aus, ist aber etwas Resourcen hungriger. Ausserdem gibt es ja den Quickmode von IPsec, wo der eigenliche Schlüssel in festgelegten Intervallen ausgetauscht wird.

Link zu diesem Kommentar
Data1701 Veteran

Data1701   10

Geschrieben
Geschrieben
Zita von Velius:

Wir habe diesbezüglich (noch) keine Richtlinie, aber das Passwort ändern wäre das erst was ich anordnen würde. Computerkono löschen würde wohl das nächste sein. Regelmäsig die Admin Passwörter rotieren lassen kann auch nicht schaden, bzw sollte Pflicht sein .....

 

Es gibt immer was zu tun. Etwas schwieriger wird es schon, wenn man ein Diensteaccount zurücksetzen muss, welches ja normalerweise nie von einem benutzt wird, außer z.B. der Backupsoftware die nötigen Rechte zu erteilen.

 

Gruß Data

Link zu diesem Kommentar
MichaelaD Contributor

MichaelaD   11

Geschrieben
Geschrieben
Gibt es trotz dieser Tatsache in einem geswitchten Netzwerk ein Argument, IPSec zu implementieren?

 

Man kann einen Switch in einen Modus versetzen, wo er sich wie ein Hub verhält. Für diesen Modus gibt es auch einen Namen, aber fragt mich nicht danach.

 

Was mich interessiert: Was spricht gegen einen Switch der VLAN kann? Jeder Client kommt in ein eigenes VLAN. Die Client-VLANs können ausschließlich mit den Switch-Ports kommunizieren an denen ein Server hängt. Beim Sniffen würde man nur seinen eigenen Datenverkehr sniffen können.

 

Alternativ, aber das habe ich auch noch nicht ganz verstanden, bietet doch der ISA 2004 eine Funktion mit der Prüfung, welcher Client sich gerade verbinden will. Der Client muss sich ausweisen und bekommt sonst keinen Zugriff bzw. bleibt in Quarantäne. So kann der bösartige Nutzer zwar eine Knoppix-CD booten, kann damit aber nichts anfangen, weil er außer dem ISA-Server keinen weiteren Host im LAN ereichen kann.

 

Würde das das Problem auch lösen?

 

CU Michaela

Link zu diesem Kommentar
Data1701 Veteran

Data1701   10

Geschrieben
Geschrieben
Für diesen Modus gibt es auch einen Namen, aber fragt mich nicht danach.

 

promiscuous mode Nennt sich dieser Modus.

 

Jeder Client ein VLAN :confused: . Beim 76er Switch :confused: Viel Spaße beim konfigurieren, ich glaube nicht dass Du das hinbekommst.

 

Zu deinem ISA-Einwurf. Verbiege einfach den ARP-Cache am Switch und schon bringt die Sache nichst mehr, das der ISA davon ausgeht, dass Du zum Netzt gehörst.

 

Gruß Data

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...