vii Vorwort Disclaimer



Ähnliche Dokumente
Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

WLAN Konfiguration. Michael Bukreus Seite 1

Anbindung des eibport an das Internet

Anleitung über den Umgang mit Schildern

Übung - Konfigurieren einer Windows 7-Firewall

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Handbuch Fischertechnik-Einzelteiltabelle V3.7.3

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Fragen und Antworten. Kabel Internet

Windows Server 2012 RC2 konfigurieren

Wireless LAN PCMCIA Adapter Installationsanleitung

WLAN MUW-NET Howto für Windows XP SP2, SP3

Hardware - Software - Net zwerke

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

How-to: Webserver NAT. Securepoint Security System Version 2007nx

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

Anleitung zur Installation des Printservers

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Collax PPTP-VPN. Howto

Toolbeschreibung: EVERNOTE

Anleitung. Lesezugriff auf die App CHARLY Termine unter Android Stand:

Tastatur auf Hebräisch umstellen

Hilfedatei der Oden$-Börse Stand Juni 2014

Gezielt über Folien hinweg springen

Zurücksetzen von "Internetprotokoll (TCP/IP)" in Windows XP

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

WLAN - MUW-NET, MUW-GUEST, eduroam // Howto für APPLE iphone/ipad ab ios8

Dazu stellen Sie den Cursor in die Zeile, aus der eine Überschrift werden soll, und klicken auf die gewünschte Überschrift.

Netzwerkeinstellungen unter Mac OS X

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Voraussetzung für die Nutzung dieses Netzes ist eine Rechnerkennung an der Uni Koblenz.

Übung - Konfigurieren einer Windows-XP-Firewall

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Pädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

Schritt 1. Anmelden. Klicken Sie auf die Schaltfläche Anmelden

Inbetriebnahme einer Fritzbox-Fon an einem DSLmobil Anschluss Konfiguration einer PPPOE-Einwahl (DSLmobil per Funk)

Rundum-G. Die Anforderungen durch ständig steigende

Los geht s. aber Anhand meines Beispiels!

Anleitung zur Verwendung der VVW-Word-Vorlagen

Welche Gedanken wir uns für die Erstellung einer Präsentation machen, sollen Ihnen die folgende Folien zeigen.

Mobile Intranet in Unternehmen

1. Einführung Erstellung einer Teillieferung Erstellung einer Teilrechnung 6

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Erfahrungen mit Hartz IV- Empfängern

Das Werk einschließlich aller seiner Texte ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechts

Namibiakids e.v./ Schule, Rehoboth, Namibia

Anleitung E Mail Thurcom E Mail Anleitung Version

Lokales Netzwerk Probleme beim Verbinden eines Linux-Clients mit einem Windows 2003 Server Frage:

Erweiterung AE WWS Lite Win: AES Security Verschlüsselung

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Vernetzen von Heimcomputern, auf denen verschiedene Windows-Versionen ausgeführt werden

das Spanning Tree-Protokoll

TYPO3 Tipps und Tricks

Referenz-Konfiguration für IP Office Server. IP Office 8.1

teamsync Kurzanleitung

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

MULTIWEB Banking. Installation und Update unter Windows

Bkvadmin2000 Peter Kirischitz

> Soft.ZIV. Maple Mathematisches Software System

Es gibt nur eine Bilanz die zählt: Ihre Zufriedenheit.

Drucken von Webseiten Eine Anleitung, Version 1.0

Voraussetzungen zur Nutzung aller LANiS Funktionalitäten

Nach der Installation des FolderShare-Satellits wird Ihr persönliches FolderShare -Konto erstellt.

Übung - Konfiguration eines WLAN-Routers in Windows Vista

Inhaltsverzeichnis Inhaltsverzeichnis

PocketPC.ch Review. SBSH ilauncher 3.1. Erstelldatum: 3. Dezember 2007 Letzte Änderung: 3. Dezember PocketPC.ch_Review_iLauncher.

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Jederzeit Ordnung halten

Installationshinweise für OpenOffice Portable auf einem Wechseldatenträger Stand: 27. März 2003 LS Stuttgart, Kaufmännische ZPG

Inbetriebnahme einer Fritzbox-Fon an einem DSLmobil Anschluss Konfiguration einer DSL-Einwahl (DSLmobil per Kabel)

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Konfiguration von PPTP unter Mac OS X

1. Der Router ist nicht erreichbar Lösungsansatz: IP Adresse des Routers überprüfen ( entweder irgendwo auf dem Gerät aufgeklebt oder im Handbuch )

Anbindung eines Lancom 831A

Dokumentenverwaltung im Internet

2) Geben Sie in der Anmeldemaske Ihren Zugangsnamen und Ihr Passwort ein

Ausbildungsberuf. Fachinformatiker/-in Systemintegration

Internet- Installationsanleitung für Zyxel 660R / 660H / 660HW

VibonoCoaching Brief -No. 18

FTP-Leitfaden RZ. Benutzerleitfaden

A n l e i t u n g : F i r m w a r e U p d a t e d u r c h f ü h r e n

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

FH-SY Chapter Version 3 - FH-SY.NET - FAQ -

Speicher in der Cloud

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

Transkript:

vii Disclaimer Die in diesem Buch vorgestellten Techniken und Beispiele führen in der Regel zu Ausfällen im gesamten LAN oder Teilen davon. Aus diesem Grund dürfen entsprechende Tests nur in separaten, vom übrigen Netzwerk abgeschotteten Testbereichen durchgeführt werden, für die ein autorisierter Zugang besteht. Obwohl alle Beispiele getestet wurden, übernimmt der Autor keine Garantie für Richtigkeit der dargestellten Beispiele und Techniken. Es besteht keine Haftung für irgendwelche Schäden, die sich aus dem Gebrauch des Buches ergeben, insbesondere nicht für Schäden, die durch nicht-autorisierte Dritte verursacht werden. (Bitte beachten Sie auch die Hinweise auf der Impressumsseite.) Warum ist die Sicherheit in lokalen Netzwerken überhaupt von Bedeutung? Laut einer Studie der Gartner-Gruppe 1 erfolgen mehr als 70 Prozent aller unberechtigten Zugriffe auf EDV-Systeme durch autorisierte Benutzer, seien es die eigenen Mitarbeiter oder Partner, und sogar mehr als 95 Prozent aller Angriffe, die zu einem signifikanten finanziellen Verlust führen. Es werden die persönlichen Dateien von Kollegen eingesehen und die eigene Personalakte modifiziert oder die Mitarbeiter geben vertrauliche Informationen über zukünftige Marketingstrategien und Entwicklungspläne an Konkurrenten weiter. Finanzielle Schäden enstehen daher nicht nur durch professionelle Hacker oder Industriespione, sondern vor allem durch interne Benutzer, die vorsätzlich wie verärgerte Angestellte oder einfach durch unsachgemäße Bedienung Datenverluste oder -beschädigungen hervorrufen und interne Informationen an Außenstehende weitergeben. Jeder Netzwerkadministrator hat in der Regel auch das lokale Netzwerk zu betreuen (sei es ein geswitchtes Ethernet oder ein WLAN), aber fast keiner kümmert sich wirklich um die Sicherheit in seinem LAN nach der Devise: Ich habe ja VLANs, die bieten mir doch genügend Schutz. Wie im weiteren Verlauf des Buchs deutlich wird, bieten VLANs keineswegs eine erhöhte Sicherheit. Da die meisten Angriffe, die einen wirklichen Schaden zur Folge haben, immer noch von internen, autorisierten Personen erfolgen, ist die Betrachtung von lokalen Netzwerken für die Sicherheit des gesamten Unternehmensnetzwerks von immenser Bedeutung, und der Administrator 1. Gartner Group : http://security1.gartner.com/story.php.id.12.s.1.jsp

viii sollte nicht nur die Sicherheit des Internetzugangs oder des Mailservers in den Vordergrund stellen. Aus diesem Grund ist die Überprüfung der Schwachstellen von LANs von ganz besonderer Bedeutung für die Sicherheit des gesamten Unternehmens-Netzwerks. Die in diesem Buch beschriebenen Switch- und Router-basierenden Lösungsansätze haben ihren Fokus auf den Sicherheitsmechanismen, die Cisco Catalyst Switches bieten. Sie existieren in der Regel aber auch auf Switches anderer Hersteller teilweise unter einem anderem Namen, so dass man nach dem Verständnis der entsprechenden Technik auch andere Switches entsprechend konfigurieren kann (z. B. heißt ARP Inspection auf den 3COM Switches ARP Snooping). Dieses Buch unterscheidet sich von den meisten anderen Fachbüchern dahingehend, dass es kompakt geschrieben ist und als ein übersichtliches Nachschlagewerk aufgebaut ist. In jedem Kapitel gibt es Überblick über das behandelte Protokoll, anschließend werden die verschiedenen Angriffspunkte beschrieben und darauf aufbauend bestehende Schutzmaßnahmen beschrieben, Um die Arbeitsweise der verschiedenen Protokolle näher zu verdeutlichen, sind häufig Traces aufgenommen. Bei den Beispielen wurde Wert darauf gelegt, neben der Konfiguration auch die Ausgaben der zugehörigen Kommandos von den Switches, Routern und den Linux-Systemen mit einzubeziehen. In der Praxis verwende ich diese Beispiele oft, um eine Referenzkonfiguration mit den entsprechenden Ausgaben als Vergleich zur Hand zu haben. Voraussetzungen Das Buch bietet keine Einführung in LANs, Spanning-Tree, IPv4 oder andere Protokolle, sondern gibt einen detaillierten technischen Überblick über die aktuell bekannten Sicherheitsrisiken, die sich für den Betrieb eines lokalen Netzwerks ergeben. Im Allgemeinen setzt die Betrachtung von sicherheitsrelevanten Schwachstellen fundiertes Wissen in diesen Bereichen voraus. Um einen bestmöglichen Nutzen aus dem Inhalt dieses Buches ziehen zu können, sollte der Leser zumindest Grundkenntnisse in den folgenden Bereichen haben: LAN Switching Spanning-Tree-Protokoll IPv4, insbesondere ARP, ICMP, DNS und DHCP sowie RADIUS und Kerberos Kryptografie (symmetrische und asymmetrische Verschlüsselungsverfahren) Konfiguration von Cisco Catalyst Switches (CatOS und Native IOS) Konfiguration von Cisco Routern, insbesondere HSRP und evtl. VRRP Netzwerkkonfiguration unter Linux, insbesondere iptables, ebtables und arptables (zum Verständnis der beschriebenen Angriffsbeispiele) Jedes einzelne Kapiteln gibt jedoch einen kurzen, kompakt geschriebenen Überblick über die vorgestellten Protokolle. Weitergehende, detaillierte Informationen findet

ix der Leser in den entsprechenden RFCs (Request for Comments) und IEEE-Standards. Aufbau des Buchs Das Buch ist in mehrere größere Teile gruppiert, die jeweils einen bestimmten Teilbereich abdecken: MAC-basierende Angriffe In diesen Kapiteln wird auf die Gefahren von MAC Spoofing, MAC Flooding und ARP Spoofing eingegangen und die Schutzmaßnahme Catalyst Port Security, private VLANs, VLAN ACLs und ARP Inspection beschrieben. Layer-2-basierende Angriffe (STP, IEEE 802.1Q Trunking) In diesen Kapiteln findet der Leser eine detaillierte Analyse verschiedener VLAN- Angriffe, die auf den Protokollen IEEE 802.1Q und VLAN Trunking Protocol (VTP) basieren. Anschließend wird das Spanning-Tree-Protokoll (STP) mit den aktuellen Erweiterungen Rapid und Multiple Spanning Tree (RSTP und MSTP) beschrieben und darauf aufbauend verschiedene Angriffsszenarien dargestellt. IP-basierende Angriffe In diesen Kapiteln wird hauptsächlich auf verschiedene Verfahren eingegangen, wie ein Angreifer die Funktionalität des Default Gateway übernehmen kann. Dazu zählen die Angriffe, die Schwachstellen der folgenden Protokolle ausnutzen: ICMP, HSRP, VRRP oder DHCP. Im Bereich des DHCP-Protokolls gehe ich anschließend noch näher auf verschiedene andere Probleme mit diesem IP-Protokoll ein und erläutere DHCP Snooping als einen möglichen Schutzmechanismus und beschreibe zum Abschluss noch verschiedene Möglichkeiten, wie man IP Spoofing teilweise vermeiden kann. IEEE 802.1x als Port-basierende Authentifizierung In diesen Kapiteln wird sehr detailliert auf die Port-basierende Authentifizierung eingegangen, die durch IEEE 802.1x zur Verfügung gestellt wird. Dazu zählt die genaue Beschreibung des EAPOL-Protokolls sowie Beispielkonfigurationen für Windows XP und Linux-Clients als auch Konfigurationsbeispiele für einen CiscoACS und einen Linux-RADIUS-Server. Abgerundet wird dieses Kapitel durch zwei ausführlich beschriebene Traces für eine EAP-MD5- und EAP-TLS- Authentifizierung. Überblick über Wireless LANs Da die Schwachstellen von Wireless LANs schon relativ häufig beschrieben wurden, gibt dieses Kapitel einen kompakten Überblick über den Aufbau des 802.11- Protokolls, die bekannten Schwachstellen und darüber, welche sicherheitsrelevanten Möglichkeiten die neuen Standards WPA und IEEE 802.11i bieten.

x Abschließender Überblick über die sichere Konfiguration der Catalyst Switches Zum Abschluss gibt es noch eine übersichtliche Beschreibung, wie man die Catalyst Switches aus Sicht der Netzwerksicherheit am besten konfigurieren sollte. Da das Buch als ein Nachschlagewerk aufgebaut ist, sind die einzelnen Teile in der Regel in sich abgeschlossen und können daher jeweils als separate Referenz dienen. Im Anhang des Buches befinden sich folgende Teile, die den Charakter des Buches als Referenz und Nachschlagewerk ergänzen sollen: Technische Referenz zu den Themengebieten Kryptografie, Kerberos, RADIUS, SSL/TLS und SSH Übersicht über die im Buch erläuterten Befehle Übersicht über die beschriebenen Beispiele Übersicht über die Traces Übersicht über die verwendeten Programme Abkürzungsverzeichnis Ausführlicher Index Konventionen der Schreibweise Fachausdrücke sind in der Regel in englischer Schreibweise belassen, da sowohl die Standards als auch die Cisco-Handbücher größtenteils englischsprachig vorliegen und es meines Erachtens sinnvoll ist, die dort verwendeten Ausdrücke unverändert zu belassen. Im Text vorkommende Befehle werden in der Schrift Arial dargestellt, zugehörige Argumente kursiv und wichtige Teile eines Befehls in fett. Optionale Schlüsselwörter oder Argumente sind in eckigen Klammern angegeben und mehrere mögliche Werte werden durch getrennt. Ausgaben von Kommandos und die Netzwerktraces sind in Letter Gothic gehalten und wichtige Teile der Ausgabe wiederum in fett hervorgehoben. Arial Switch- und Router-Kommandos Fett Wichtige Bestandteile eines Befehls Kursiv Argument eines Befehls # Kommando Kommando (teilweise auch mit vorangestelltem Hostnamen) kennzeichnet mehrere mögliche Schlüsselwörter oder Argumente eines Befehls [ ] kennzeichnet optionale Argumente Letter Gothic Ausgabe von Kommandos und von Netzwerktraces Fett Wichtige Teile der Ausgabe bzw. des Trace 0x123 Es handelt sich um einen Hexadezimalwert 123 Es handelt sich um einen Dezimalwert

Danksagung xi Argument wichtiges Argument interface name switchport trunk native vlan 500 switchport trunk encapsulation dot1q isl [ switchport nonegotiate ] mögliche Schlüsselwörter optionaler Befehl Bei der IOS-Konfiguration wird normalerweise die Ebene, in der man sich befindet, durch den Prefix hostname(config...)# angegeben. Da dies aber zu unübersichtlich gewesen wäre, habe ich die Kommandos, die zu einem Untermenü gehören, eingerückt dargestellt. Danksagung Der Autor möchte vor allem Oliver Meuter für die hilfreichen Anmerkungen bei der Korrektur des Manuskripts und die Erstellung der Wireless Traces danken.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback