nicht angemeldet
Wie sicher sind übertragene Passwörter ohne SSL?
Hallo!
Mal ne Frage an die Experten:
Wir haben im Büro einen einfachen Router stehen, der per Port Forewarding die Ports 80 an den Apache im LAN, 21 an den FTP-Server im LAN und zur Zeit noch den MySQL Port weiterleitet.
Der Apache ist noch nicht mit SSL konfiguriert, daher werden manchmal Passwörter von einem Client über das Internet unverschlüsselt an den Apache übertragen.
- Da warnen ja immer alle vor -
Jetzt frage ich mich aber - wie soll jemand an das Passwort kommen? Zum einen wird die Verbindung über ein paar Router, auf die ich kleinen Einfluß habe übertragen, und am Ende läuft es über den eigenen Router im LAN und zum Apache.
Da ich auf die anderen Router(sind das nur Router? Aber keine "Server", höchstens Switches, oder?) keinen Einfluß habe konzentriere ich mich erstmal auf meinen Router im LAN.
mein grundsätzliches Problem - der Router ist doch viel zu "dumm" um irgendwelche Software wie Trojaner... auszuführen, also kann man damit doch nichts auspionieren, außerdem kann ich den nur über ein Webinterface einstellen, da habe ich ja nur die gegebenen Möglichkeiten, oder?
2. habe ich den Router noch so konfiguriert, dass ich ihn über das Internet fernwarten kann, dafür wurde ein Port freigeschaltet, so kann man sich jetzt genau so einloggen wie über das LAN. OK, das akzeptiere ich als Sicherheitslücke, da wird man evtl irgendwie drauf kommen und könnte mir zumindest die Einstellungen "zerstören" so das der router nicht mehr läuft.
Aber das kann ich ja einfach abstellen, indem ich diesen port schließe und Fernwartung nicht mehr ermögliche. Ich gehe davon aus dass es bei den Routern der Telekom... auch nicht anders ist. Wie soll denn jetzt noch jemand überhaupt Zugriff auf den Router bekommen, wenn doch nur die oben beschriebenen Ports frei sind? Und wenn man keinen Zugriff auf den Router bekommt, wie soll man dann das Passwort "sniffen" können?
Wie gesagt denke ich die Router der Telekom sind deutlich besser geschützt als meiner :-)
Kann mich jemand jetzt noch aus der Ruhe bringen? Sollte ich mir Sorgen machen?
Viele Grüße
Andreas
-
Moin,
Der Apache ist noch nicht mit SSL konfiguriert, daher werden manchmal Passwörter von einem Client über das Internet unverschlüsselt an den Apache übertragen.
- Da warnen ja immer alle vor -
[wirres Zeug gesnippt]
Kann mich jemand jetzt noch aus der Ruhe bringen? Sollte ich mir Sorgen machen?
Das Problem ist eher nicht in deinem internen Netz zu suchen. Wenn da Sachen ablaufen denen du nicht vertraust hast du eh verloren.
Der Hauptgrund gegen die unverschlüsselten Passwörter ist die Übertragung quer durchs Internet. Führ einfach mal traceroute auf einen beliebigen Rechner aus und du wirst sehen dass in den meisten Fällen ca. 10 bis 20 unterschiedliche Router dazwischenliegen und im Zweifelsfall kannst du keinem davon vertrauen. Dazu kommt noch dass diese Router evt. an Netze angeschlossen sind und jemand in diesem Netz mitsniffen kann.
Um das mal auszuprobieren besorg dir Ethereal (gibts auch für Windows[1]) und setz das mal in deinem eigenen Netz ein. Wenn du keinen Switch benutzt kannst du sofort alles sehen was in deinem Netz abläuft, mit Switch wird es nur unwesentlich komplizierter (google mal nach dsniff).
Fassen wir zusammen: Das Passwort läuft im Klartext durch rund ein dutzend Rechner denen du nicht vertrauen kannst und die potentiell noch mit mehr unvertrauenswürdigen Rechnern verbunden sind.
[1] Ethereal für Windows: http://www.ethereal.com/distribution/win32/, dazu wird noch libpcap benötigt: http://netgroup-serv.polito.it/winpcap/install/default.htm
--
Henryk Plötz
Grüße aus Berlin-
Hi!
[wirres Zeug gesnippt]
so schlimm?
Das Problem ist eher nicht in deinem internen Netz zu suchen. Wenn da Sachen ablaufen denen du nicht vertraust hast du eh verloren.
Ja das ist mir klar, ich denke schon das das Netz intern sicher ist, aber die Frage ist, ob jemand von außen jemand was versucht, direkt auf den Router geht das chonmal nicht, da sollten auch die von Dir genannten tools nichts ausrichten können, aber die Frage ist ja, ob es Leuten gelingen kann, von außen, ob mittels Tronjaner, Wurm... irgendwie Zugriff auf einen Rechner(Win2k) zu bekommen.
Mit Trojanern... vielleicht, aber könnte derjenige dann die von Dir genannten Tools auch auf diesem "infizierten" Rechner ausführen und genau so als wäre er im LAN die Passwörter mitsniffen? ich weiß das das nicht das Problem sein sollte, das ich das selbst zu verantworten habe, aber mich interessiert nur was da erstmal so möglich ist, um zu wissen wogegen man sich "verteidigen" muss!Der Hauptgrund gegen die unverschlüsselten Passwörter ist die Übertragung quer durchs Internet.
Das ist mir klar, aber s.o.
Führ einfach mal traceroute auf einen beliebigen Rechner aus und du wirst sehen dass in den meisten Fällen ca. 10 bis 20 unterschiedliche Router dazwischenliegen und im Zweifelsfall kannst du keinem davon vertrauen.
Was heißt jetzt genau "Rechner"? Nur "dumme Router die selbst nichts anrichten können, oder auch Proxies, die ja meist über richtige Computer laufen und somit auch mit komplexeren Programmen infiziert sein können!
Dazu kommt noch dass diese Router evt. an Netze angeschlossen sind und jemand in diesem Netz mitsniffen kann.
Ich gucke mir die Tools gleich mal an, aber zur Theorie, wieso kann jemand im LAN mitsniffen un extern nicht? Die Daten werden doch nur über ein Kabel zum Router geleitet, und dann wieder über ein Kabel wieder weiter, der Router selbst kann ja keinen Code ausführen, der irgendwelche Daten loggt, außerdem sendet ein Router ja nicht wie ein HUB alle Daten überall hin, sondern nur ein eine best. Adresse, also wie soll ein am Netz hängender Computer an irgendwelche Daten kommen?Grüße
Andreas