Dipl.-Inform. Med. [S]imon P. W. Schmitt

GIT scheint eindeutig das bessere Quelltextversionierungssystem zu sein (entwickelt und verwendet bei den Linux-Kernel-Entwicklern). Doch überzeugt Euch selbst:

Hintergrund:

1. Vortrag von Linus Thorwalls zum Thema GIT bei Google Tech Talks
2. Vortrag von Randal Schwartz bei Google Tech Talks
3. GIT erklärt bei Wikipedia Deutschland bzw. Wikipedia Englisch

Installation:

1. GIT Homepage (Doku, Download, Wiki)
2. Gegenüberstellung GIT vs. SubVersion (SVN)
3. GIT Portierung für Windows (ohne CygWin)
4. GIT für MacOS X

Tutorials:

1. Deutsches GIT-Tutorial
2. Englisches GIT-Tutorial von Kernel.org
3. Cashcourse GIT 4 SVN-Users
4. GIT Getting started (Windows)
5. GIT Getting started (Windows GitHub)

Nützliches und Add-Ons:

1. Noch ein deutscher Blog-Eintrag mit vielen Links und Erfahrungen zu GIT
2. GIT Cheetah (Beta, Ersatz für TortoiseSVN / TortoiseCVS, Explorer-Integration unter Windows)

Wie sind Eure Erfahrungen ? Welche Meinung habt Ihr zu GIT ?

Tweet This Post

Nachdem nun die Diskussion entbrannt ist, ob Ermittlungsbehörden nicht legal auch auf die Daten des heimischen PCs zurückgreifen dürften besinne ich mich rasch doch wieder auf das gute Pretty Good Privacy (kurz: PGP). Die kostenlose aber nicht im geringsten knackbare Verschlüsselungssoftware GnuPGP läuft ja auch auf meinem Mac. Read more…

Tweet This Post

Ein Feature, welches Apple aktuell im iPhone noch nicht zur Verfügung stellt, ist die fehlende Weitergabe der GPRS bzw- EDGE-Verbindung an ein Laptop (auch “Tethering” genannt).

Update: Noch im Sommer 2009 soll “Tethering” mit dem iPhone durch das Firmware Update auf iPhone OS 3.0 möglich werden.

Update: Mit der Beta-Version von iPhone OS 3.0 geht das bereits. Wie, steht hier beschrieben… (das läßt hoffen!!! Can’t wait til June 2009…)

Das iPhone läßt sich aber mit diesem Trick auch unterwegs als Modem nutzen:

1. Man stellt eine Ad-Hoc-WLAN-Verbindung zwischen iPhone und Laptop her
2. Man leitet am Laptop den Internetverkehr über das iPhone und nutzt so die Internet-Flatrate auch fernab jeglicher WLAN HotSpots, indem man den Webbrowser auf den “iPhone Proxy” umleitet.

Doch hier nun die genauen Details:

1. Voraussetzungen
a.) Ein gejailbreaktes iPhone mit installiertem SSH Server (OpenSSH via Installer.app)
b.) Ein Laptop mit WLAN-Funktionalität und SSH (auf dem Mac ist das bereits der Fall unter Windows ist Putty geeignet)

2. Ad-Hoc-Netzwerkverbindung zwischen Laptop und iPhone herstellen
Auf dem Mac hierzu einfach auf Airport > Netzwerk anlegen… klicken und ggf. ein Passwort vergeben.
Dann auf dem iPhone unter Einstellungen > Wi-Fi das soeben erstellte Netzwerk auswählen und sich damit verbinden.
Sicherstellen, daß das iPhone eine EDGE-Verbindung hat (“E” am oberen Bildschirmrand ist sichtbar).
Dann auf dem iPhone unter Einstellungen > Wi-Fi die > NameIhresWLANs > Eigenschaften die aktuelle IP-Adresse merken (sollte 169.254.x.x lauten, z.B. 169.254.71.243) .

Jetzt auf dem Mac per SSH eine Verbindung herstellen: Öffnen Sie das Terminal und geben Sie ssh -ND 9999 root@AktuelleIPAdresseDesiPhones ein. Das kann ein wenig dauern. Das Passwort (sofern noch nicht von Ihnen geändert, was Sie aber unbedingt tun sollten) lautet per default “alpine”. Anschliessend bleibt der Dialog stehen, aber das ist ok.

3. Webbrowser auf SOCKS umstellen
Für Firefox 2.x gibt es hier eine Anleitung.
Bei Safari einfach auf Einstellungen > Erweitert > Proxy-Einstellungen ändern… und dort Proxies konfiguratieren “Manuell” anwählen und einen Haken bei “SOCKS Proxy” setzen und als Proxy-Server “localhost” auf Port “9999″ definieren. Dann auf “OK” und “Anwenden” klicken und schon kann man prima surfen.

Quellen:
http://www.dragonforged.com/blog/2007/09/tethering-the-iphone-for-os-x.html
http://lifehacker.com/software/feature/use-your-iphones-internet-connection-on-your-laptop-327066.php

Tweet This Post

Bis T-Mobile die automatische iPhone-Einbuchung in die eigenen WLAN-Hotspots fertigstellt hat, kann man mit dem folgenden Trick die Eingabe von Benutzername und Passwort auf der Hotspot-Login-Seite umgehen. Dafür legt man sich einfach ein Lesezeichen mit folgender URL im Webbrowser Safari an:
https://hotspot.t-mobile.net/wlan/index.do?username=USERNAME@t-mobile.de&password=PASSWORT&strHinweis=Zahlungsbedingungen&strAGB=AGB
Wer seine Zugangsdaten nicht kennt, kann diese per SMS mit dem Wort “open” an 9526 (im T-Mobile-Netz) anfordern.

Für gejailbreakted iPhones existiert “Devicescapes Connect-App” als eigenständige Anwendung. Diese kann über Installer.app installiert werden.

Tweet This Post

Sobald mal im Besitz ein “gehacktes” iPhone’s ist, kann man über den “Installer.app” zahlreiche weitere Softwarepackete installieren. Darunter auch den Apache WebServer und PHP als Skriptsprache.

Hier nun eine kleine Anleitung:

1. Voraussetzungen
Ein gejailbreaktes iPhone mit SSH-Server (für den Zugriff auf das Dateisystem und die Shell) und installiertem “BSD Subsystem”.

2. Grundinstallation
Zunächst installiert man auf dem iPhone via “Installer.app” die Pakete “Apache” und “PHP”. Zum Testen kann man im Safari ja mal http://127.0.0.1 eingeben (localhost geht nicht) oder von einem Mac/PC im gleichen (W)LAN über einen Webbrowser auf die aktuelle IP-Adresse des iPhones (Einstellungen > Wi-Fi > Eigenschaften des aktuell verbundenen WLAN-Netzes) zugreifen.

Der Webserver ist nun also unter http://aktuelleIPAdresseDesiPhones erreichbar. Die Webseiten liegen auf dem iPhone übrigens unter /Library/WebServer/Documents. Die Konfiguration unter /etc/httpd/ bzw. /private/etc/httpd/. Die Logfiles unter /private/log/httpd/ und die Icons unter /usr/share/httpd/icons/. Die Dokumentation theoretisch unter /Library/WebServer/Documents/manual/ (ist aber um Platz zu sparen leer) und CGI-Module werden unter /Library/WebServer/CGI-Executables/ erwartet (auch noch leer).

PHP findet sich auf dem iPhone nun unter /opt/iPhone/.

3. iPhone Apache Webserver konfigurieren
Wie auch sonst üblich muss man nun dem Apache Webserver
via Konfigurationsdatei PHP als Skriptsprache noch beibringen. Hierzu einfach die Datei /etc/httpd/httpd.conf öffnen und die folgenden Zeilen einfügen:

ScriptAlias /php /opt/iphone/bin
AddType application/x-httpd-php .php
Action application/x-httpd-php “/php/php-cgi”

Anschliessend noch die Textdatei /etc/profile öffnen und die Pfadangabe in Zeile 3 um PHP erweitern (sieht dann ungefähr so aus):

PATH = "/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin:/opt/iphone/bin"

Jetzt den Webserver auf der Shell des iPhone neu starten (hierzu entweder das via “Installer.app” installierbare VT100-Terminal benutzen oder vom Mac mittels Terminal und installiertem OpenSSH auf dem iPhone als Root verbinden durch Eingabe von ssh root@AktuelleIpAdresseDesiPhones) :

apachectl restart

Oder einfacher: Das iPhone kurz ausschalten und wieder einschalten.

Jetzt noch eine simple PHP-Testseite auf das iPhone schieben:

phpinfo.php:
<?
phpinfo();
?>

speichern als /Libary/Webserver/Documents/phpinfo.php und im Webbrowser aufrufen.

Glückwunsch…!

Tipp:
Mittels “Installer.app” kann man auch ein Tool namens “UiCtl” installieren. Damit kann man sehr einfach die laufenden Daemons / Services auf dem iPhone kontrollieren, also auch den Apache (alias org.apache.httpd). Mittels des Tools “Services” kann man hingegen sehr einfach gezielt EDGE, BT, WLAN und SSH an/aus schalten.

Tipp:
Die Konfigurationsdateien kann man auch prima hier als ZIP herunterladen.
Den Inhalt von “profile” schiebt man auf dem iPhone in den Ordner /private/etc/ und die “httpd.conf” in den Ordner /private/etc/httpd/. Dann das iPhone einmal neu starten – fertig.

Tweet This Post

Die simple Frage “Was wiegt das Internet” hat eine erstaunliche Antwort:

ca. 1.3 * 10^-8 kg

Hier die Begründung:

1. Was wiegt eine Elektron ?

Die Ruhemasse eines Elektrons beträgt 9,109 381 88(72) · 10⁻³¹ kg. Für unsere Abschätzung nehmen wir einfach mal den Wert 10^-30 kg. Oder anders ausgedrückt: Um 100 kg Elektronen zu sammeln benötigen wir 10³² Elektronen.

2. Wie viele Elektronen benötigt man um ein Bit abzuspeichern?

Um diese Frage zu beantworten muss man wissen wie in einem Rechner Bits gespeichert werden: In einer typischen Zelle die ein 0 oder eine 1 kodiert landen derzeit etwa 40,000 Elektronen. Ergo haben wir pro Bit ca. 40.000 Elektronen also ca. 4*10^-26 kg pro Bit.

3. Wieviel Bits hat das Internet ?

Unter der Annahme, das eine Email mit Word-Dateianhang ca. 50 kByte groß ist läßt sich folgern: Da 8 Bit bekanntlich ein Byte sind und ein kByte 1025 Bytes entspricht, besteht unsere Durchschnittsemail aus 409.600 Bits (wovon im Schnitt die Hälfte aus etwas wiegenden 1-en besteht) und wiegt somit sagenhafte 0.2047 * 10^-26 kg pro Email .

4. Wieviel macht der Emailverkehr im gesamten Internetverkehr aus ?

Eine Untersuchung von C. Holliday (Internet Growth 2006) kommt auf das Ergebnis, das der Email-Verkehr ca. 9% des gesamten Internetverkehrs ausmacht und der Gesamtverkehr bei 40 x 10¹⁵ Bytes anzusiedeln ist.

5. und daraus folgt:

Der gesamte Internetverkehr eines Tages wiegt demnach ca. 1.3 * 10^-8 kg oder ca. 0.0013 * 10^-5 g oder ca. 0.0000013 * 10^-2 mg

Siehe auch:

1. http://discovermagazine.com/2007/jun/how-much-does-the-internet-weigh
2. http://adamant.typepad.com/seitz/2006/10/weighing_the_we.html

Tweet This Post

eBay und PayPal testen seit dieser Woche zum ersten Mal öffentlich
einen gemeinsam mit VeriSign entwickelten Sicherheitsschlüssel. Dabei
handelt es sich um ein kleines technisches Gerät, das auf ebenso
einfache wie effektive Weise zum Schutz von eBay- oder PayPal-Konten
beiträgt: Alle 30 Sekunden generiert das Gerät einen individuellen
6-stelligen Sicherheitscode, der nach der Aktivierung bei jedem
Einloggen in das eBay- oder PayPal-Konto ergänzend zum Passwort
abgefragt wird. Der Sicherheitsschlüssel kann ab sofort gegen eine
einmalige Gebühr in Höhe von 4,95 Euro beim Online-Zahlungsservice
PayPal bestellt werden, wozu ein PayPal-Konto erforderlich ist.

Doppelter Schutz durch „Zwei-Faktor-Authentifizierung“

Mit der Einführung des Sicherheitsschlüssels setzen eBay und PayPal
erstmals die so genannte „Zwei-Faktor-Authentifizierung“ zur
Absicherung von Nutzer-Konten ein. Bei dieser Form des Kontozugangs
werden zwei „Faktoren“ zum Schutz des Mitgliedskontos kombiniert: Der
eine Faktor besteht darin, „dass der Nutzer etwas weiß – üblicherweise
sein Passwort. Der andere Faktor basiert darauf, „dass der Nutzer etwas
besitzt“ – beispielsweise einen greifbaren Gegenstand wie den
Sicherheitsschlüssel. Diese zweifache Absicherung reduziert das Risiko
eines Missbrauchs des Mitgliedskontos durch Dritte deutlich. Denn ein
unbefugter Zugriff auf das Konto ist dank des zweiten Faktors auch dann
nicht möglich, wenn das Passwort in die Hände eines Dritten gelangt
ist.

Offizielle Testphase in drei Märkten

Mit Hilfe der „Zwei-Faktor-Authentifizierung“ und dem neuen
Sicherheitsschlüssel tragen eBay und PayPal zu einer weiteren Erhöhung
der Sicherheit ihrer Nutzer bei. Dabei kann jeder Nutzer natürlich
selbst entscheiden, ob er für sein eBay- oder PayPal-Konto ein „zweites
Schloss einbauen“ und den zusätzlichen Schutz für sich in Anspruch
nehmen möchte. An der ersten offiziellen Testphase des eBay- und
PayPal-Sicherheitsschlüssels beteiligen sich neben Deutschland auch die
eBay-Marktplätze in den USA und Australien. Weitere Informationen zur
Bestellung und Funktion finden Nutzer auf der eBay-Webseite unter www.ebay.de/sicherheitsschluessel sowie über die PayPal-Website unter www.paypal.de/sicherheitsschluessel.

Tweet This Post

<p align="justify">Nicht nur aus dem Internet werden PCs angegriffen, um Trojaner und Spyware zu installieren. Auch im LAN, beispielsweise in der Firma, versuchen bösartige Zeitgenossen Informationen auszuspähen. Verbindungen zum Homebanking-Server oder zur Online-Auktion lassen sich dort sehr einfach belauschen. Selbst geswitchte Netzwerke bieten keinen Schutz, wenn Angreifer die Verbindung mittels ARP-Spoofing über sich umleiten.Zur Abwehr von Eindringlingen aus der Außenwelt ist in den letzten Jahren viel Aufwand und Geld in Sicherheitstechniken wie Firewalls, Content-Filter und Intrusion Prevention Systeme gesteckt worden. Der innere Schutz ist hingegen fast überall zu kurz gekommen. Gerade das lokale Netz ist aber meist das schwächste Glied [1]. Hier ist es ein leichtes, zu spionieren und zu manipulieren. Zwar sind auf vielen PCs Virenscanner und Personal Firewalls installiert, die schützen aber nicht gegen alle Angriffe und wiegen selbst erfahrene Anwender in falscher Sicherheit.Neben Denial-of-Service-Attacken auf den PC des Kollegen oder auf den Firmenserver gehört das Mitlauschen von Datenverkehr zu den häufigsten Angriffsarten. </p><p align="justify">In älteren Netzwerken, deren PCs über einen Hub miteinander verbunden waren, war nur ein Sniffer-Programm wie Ethereal notwendig, um sämtlichen Datenverkehr mitzulesen. Seit der Einführung von Switches ist das etwas schwieriger. Da der Switch nur noch Pakete an den Port mit der richtigen Ziel-MAC-Adresse weiterleitet, sieht man nur noch den eigenen Datenverkehr sowie uninteressante Broadcasts anderer Systeme. Oft halten selbst Netzwerkadministratoren dies für ein Sicherheitsfeature, das so unüberwindlich wie eine Firewall ist. </p><p align="justify">Allerdings lässt sich ein Switch mit einfachen Mitteln austricksen: Mit sogenanntem <strong>ARP-Spoofing</strong> leiten Angreifer den Verkehr zwischen Geräte an anderen Ports einfach über den eigenen Rechner um und können so alle Daten mitlesen oder fälschen. Das ganze funktioniert sogar in den Rechenzentren vieler Webhoster, die dedizierte Webserver vermieten. Tests belegen immer wieder, dass sich der Verkehr anderer Server auf den eigenen umbiegen lässt [2,3].</p><p align="justify"><strong>Täuschung</strong>Das <strong>Address Resolution Protocol (ARP)</strong> dient in lokalen, auf Ethernet beruhenden Netzen der Zuordnung einer MAC-Adresse zu einer IP-Adresse [4]. Die Kenntnis der IP-Adresse eines Servers allein genügt nicht, um mit ihm eine Verbindung aufzunehmen — denn alle TCP/IP-Pakete müssen ja in Ethernet-Frames transportiert werden. </p><p align="justify">Deshalb muss ein Client zunächst die Ziel-Ethernetadresse (MAC) erfragen, indem er einfach per Broadcast die Frage stellt: &quot;Welche MAC-Adresse hat der Rechner mit der IP-Adresse B?&quot; (<strong>ARP-Who-has</strong>). Der Rechner, mit dieser IP-Adresse antwortet darauf mit &quot;IP B ist unter MAC B zu erreichen&quot; an den Fragesteller. Um nicht jedes Mal nachfragen zu müssen, legt der Client die Zuordnung IP-MAC in einem lokalen <strong>ARP-Cache</strong> ab.</p><p align="justify">ARP bietet keine Funktionen, um sicherzustellen, dass die Antwort auch wirklich von dem Rechner kommt, mit dem man eine Verbindung aufbauen will. So kann prinzipiell jedes System im LAN vortäuschen, der Besitzer einer IP-Adresse zu sein. Zudem erlaubt das ARP-Protokoll die Verarbeitung von Antwort-Paketen, für die gar keine Anfrage gestellt wurde. Mit sogenannten Gratuitous-ARP-Paketen teilen beispielsweise Windows-PCs nach dem Hochfahren allen anderen Rechnern ihr MAC-IP-Paar mit und testen gleichzeitig, ob es einen IP-Adresskonflikt gibt [5]. Die anderen Systeme speichern solche Paare ohne Murren im Cache.</p><p align="justify"><strong>Missbrauch</strong>Ein Angreifer kann nun die Verbindung zwischen einem Client und Server oder Router über sich umleiten, indem er den Opfern manipulierte ARP-Pakete mit seiner eigenen MAC-Adresse sendet. Dieses Einschleusen von gefälschten Adresspaaren in den Zwischenspeicher nennt man auch <strong>Cache-Poisoning</strong>. Anschließend schickt der angegriffene Client seine Paket ohne weitere ARP-Anfragen immer zuerst an den Angreifer, der diese nach der Inspektion an der Server weiterleitet. Umgekehrt sendet der Server seine Antwort erst an den Angreifer, bevor dieser sie an den Client schickt. In solch einer <strong>Man-in-the-Middle-Position</strong> lässt sich fortan die gesamte IP-basierte Kommunikation zwischen den beiden Systemen mitlesen – sofern sie nicht verschlüsselt ist.</p><p align="justify">Mit umgeleiteten Verbindungen kann ein Angreifer nicht nur etwa E-Mails und Zugangskennwörter ausspähen, sondern er kann auch Daten zu manipulieren. Besonders lohnende Ziele dafür sind Name-Server-Anfragen, da sich über sie auch die Kommunikation mit externen Servern umleiten lässt. Durch eine gefälschte DNS-Auskunft landet ein Opfer beispielsweise nicht auf dem eBay-Server, sondern auf einem präparierten System. </p><p align="justify"><strong>Holzhammer</strong>Neben dem ARP-Spoofing gibt es weitere Methoden, um Verbindungen in geswitchten Netzwerken zu belauschen. Die Zuordnung von MAC-Addressen zu Switchports sowie deren VLAN-Zugehörigkeit speichern Switches in einem Content Addressable Memory (CAM). Überflutet ein Angreifer diesen Speicher mit zu vielen MAC-Adressen, fallen viele Switches in den Hub-Modus zurück, in der sie sämtliche Pakete an alle Ports ausgeben. Das Tool macof aus der Netzwerk-Tool-Sammlung Dsniff erledigt solche Angriffe automatisch [6].</p><p align="justify">Auch durch das Klonen von MAC-Adressen kann sich ein Angreifer als ein anderer Netzteilnehmer ausgeben. Die Adressen von Ethernetadaptern sind zwar weltweit eindeutig, lassen sich aber temporär überschreiben. Die geklonte Adresse ist im LAN uneingeschränkt nutzbar, wenn man das Originalendgerät lahm legt, etwa durch eine DoS-Attacke.BastelstundeWurde die Fähigkeit zum Spionieren und Manipulieren vor einiger Zeit noch Experten und Hackern zugeschrieben, so existieren mittlerweile Windows-Tools, die einfach zu installieren und zu bedienen sind. Dazu zählen insbesondere <strong>Cain&amp;Abel</strong> und <strong>Ettercap</strong>, die nicht nur den eigentlichen ARP-Angriff ausführen und einen Angreifer in die Man-in-the-Middle-Position bringen, sondern durch Filter auch einzelne Protokolle analysieren [7,8]. Die einzige Hürde ist es, die IP-Adresse des anzugreifenden Rechners und dessen Kommunikationspartners herauszufinden – letzterer ist in den meisten Fällen das Standard-Gateway.</p><p align="justify">In umgeleiteten Telnet-, FTP-, HTTP- und POP3-Datenströmen entdeckte Passwörter zeigen Cain&amp;Abel und Ettercap sofort an. Verschlüsselte Kennwörter versucht zumindest Cain&amp;Abel mit seinem integrierten Passwort-Cracker per Wörterbuch- oder Brute-Force-Angriff zu entschlüsseln. Für Linux-Plattformen existieren weitaus mehr Programme, wie etwa die Kommandozeilen-Tools Arpoison, Hunt und die Sammlung Dsniff. Diese setzen aber Netzwerkkenntnisse zur Bedienung voraus, bieten dafür aber zahlreiche Angiffsmethoden und Anwendungsfilter. Einzig die Unix-Version von ettercap hat eine rudimentäre Bedienoberfläche. Ab ettercap NG wartet das Tool zwar mit einer komfortableren GUI auf, die ist allerdings weniger intuitiv zu bedienen.</p><p align="justify">Ist eine Verbindung erst einmal umgeleitet, filtert Cain &amp; Abel automatisch alle Passwörter aus. Sogar per HTTPS übertragene Kennwörter zur Anmeldung an Web-Oberflächen erkennt das Tool.</p><p align="justify">Mit Cain&amp;Abel ist es unter anderem besonders einfach, eine SSL-gesicherte Verbindung et
wa zum Online-Banking kompromittieren. Es bricht diesen Schutz auf, indem es einen SSL-fähigen Web-Server simuliert und dem Opfer selbst erstellte SSL-Zertifikate präsentiert. Diese sind zwar nicht vertrauenswürdig und lassen im Browser eine Warnung erscheinen, aber so mancher Anwender ignoriert die schon gewohnheitsmäßig. Da der Client seine SSL-Verbindung nur zum Rechner des Angreifers aufgebaut hat, kann dieser die Daten im Klartext mitlesen und mit einer neuen SSL-Verbindung an den Bank-Server weitersenden. Außer der Warnung über das seltsame Zertifikat, bemerkt das Opfer solche Manipulationen nicht.</p><p align="justify">Auf ähnliche Weise lassen sich auch SSH-Verbindungen austricksen. Zwar sollte ein neuer Server-Key stutzig machen, trotzdem ignorieren viele Anwender auch diese Warnung. Bei Putty genügt dazu ein Klick, bei openssh muss der Anwender allerdings schon den alten Eintrag aus seiner know_hosts-Liste löschen. Zudem kann Cain&amp;Abel eine Designschwäche in SSHv1 ausnutzen, um Passwörter on-the-fly mitzulesen.Schutz im LANWie gut man sich der ARP-Spoofing-Angriffe erwehren kann, hängt davon ab, wie früh Abwehrmaßnahmen ansetzen. Am wirksamsten ist es, bereits die Adress-Manipulation zu unterbinden. Eine einfache Möglichkeit PCs gegen ARP-Spoofing resistent zu machen, ist die Verwendung statischer ARP-Einträge. Dies bedeutet aber, dass alle IP-Adressen mit den dazugehörigen MAC-Adressen von Kommunikationspartnern innerhalb einer Broadcast-Domain in den ARP-Cache eingetragen werden müssen. Das ist mit hohem administrativen Aufwand verbunden und in lokalen Netzen mit DHCP kaum möglich. Als Kompromiss kann der Netzadmin zumindest die MAC-Adresse des Standard-Gateways fest eintragen. Unter Windows sind statische ARP-Einträge leider erst ab XP möglich. Bei allen Versionen davor werden die Einträge zwar als statisch angezeigt, sie lassen sich aber trotzdem überschreiben.</p><p align="justify">Bei Laptops die häufig an unterschiedlichen LAN-Umgebungen, Home-Office- oder WLAN-Netzen angeschlossen werden, ist ein statischer ARP-Cache ohnehin schwer einzusetzen. Personal Firewalls wie die von Sygate oder spezielle Tools wie SnoopNetCop Pro überwachen den lokalen ARP-Cache und bieten so zusätzlichen Schutz [9,10]. Meist wird der Benutzer aber nur auf einen Angriff hingewiesen – weitere Maßnahmen muss er dann selbst einleiten.</p><p align="justify"><strong>Quarantäne</strong>Alternativ kann man den Schutz natürlich von den Endgeräten in die Netzwerkkomponenten verlagern. Die Hersteller bieten hier zwei Ansätze, die die Sicherheit im LAN erhöhen. Durch virtuelle LANs (VLANs) lassen sich Endgeräte logischen Netzsegmenten zuordnen und somit voneinander separieren [11]. Nur innerhalb eines Segmentes ist noch eine Kommunikation auf Ethernet-Ebene möglich — ARP-Informationen verlassen ein VLAN nicht mehr. Die Kommunikation zwischen VLANs erfolgt über einen Router. Dafür muss er Mitglied in jedem VLAN sein.Je weniger Endgeräte in einem Segment sind, desto weniger kann ein Angreifer stören. Im günstigsten Fall ist jeder PC in einem eigenen VLAN nach 802.1q. Allerdings hat die Sache zwei Haken. Einige Switches unterstützen nur eine kleine Zahl von VLANs, sodass der Idealfall kaum zu schaffen ist. Zudem ist der Router Mitglied in allen VLANs, weshalb ein Angreifer den Verkehr vom Router auf Rechner in anderen Segmenten immer noch auf sich umbiegen kann. Allerdings ist er nicht in der Lage, den Verkehr anschließend an den eigentlichen Empfänger weiterzuleiten. Eine Man-in-the-Middle-Attacke lässt sich so zwar nicht mehr bewerkstelligen, aber als Denial-of-Service-Attacke eignet sich ARP-Spoofing weiterhin.</p><p align="justify">Auch die von teureren Cisco-Switches unter IOS 12.1(6) EA2 angebotene Option &quot;switchport protected&quot; zur Isolierung der Ports hilft hier nicht weiter. Da der Port des Routers oder Gateways nicht geschützt sein darf, gilt hier das gleiche wie bei VLANs. Immerhin lassen sich die CAM-Tabellen solcher Switches mit der Option &quot;switchport port-security&quot; vor dem Überfluten schützen.Als alternative Methode verfügen Catalyst-3560/3750-Switches mit Enhanced Multilayer Image (EMI) und Switche der Serie 4500 sowie 6500 über (Dynamic) ARP Inspection (DAI). Damit überwachen die Geräte, ob ARP-Pakete mit ungültiger IP-MAC Zuordnung im Netz unterwegs sind und protokollieren oder verwerfen sie, bevor sie beim Endgerät ankommen. Die dazu notwendige Datenbasis kann eine DHCP-Datenbank oder eine manuell erstellte Liste (ARP Access Control List) sein.</p><p align="justify"><strong>Augenzeuge</strong>Verhindert die vorhandene Infrastruktur oder ein zu schmales Budget den Einsatz präventiver Maßnahmen, bleibt nur die kontinuierliche Überwachung des Netzverkehrs durch zusätzliche Komponenten. Mit der schnellen Identifizierung von ARP-Spoofing-Versuchen und dem rechtzeitigen Eingriff lassen sich auch so Angriffe erfolgreich abwehren. Dazu ist es notwendig, alle ARP-Meldungen mitzulesen und zu analysieren, beispielsweise indem man Überwachungskomponenten an den Spiegelport eines Switches anschließt. Allerdings besteht hier die Gefahr, dass an diesem Port nicht immer alle Pakete ankommen: Da der Switch versucht, die Pakete aller Ports dorthin zu kopieren, kann der Spiegelport bei hoher Netzlast Pakete verwerfen. Eine andere Möglichkeit bietet die permanente Kontrolle der ARP-Tabelle des Standard-Gateways.</p><p align="justify">Auch Intrusion Detection Systeme (IDS) sind aufgrund ihres Designs mit Netzsensoren in LAN-Segmenten prinzipiell zur Abwehr von ARP-Spoofing-Angriffen geeignet. Da diese Systeme aber in erster Linie zur Erkennung von Angriffen auf höhere Protokollschichten entwickelt wurden, muss ein IDS auf seine individuelle Eignung geprüft werden. So erkennt die IDS-Software Snort in Netzen mit dynamischer Adressvergabe eine Umleitung per Ettercap erst beim Beenden des Angriffs [12]. Das Tool verschickt beim Beenden eines Spoofing-Angriffes nämlich ungewöhnliche Pakete (SRC MAC conflict). Mit statischer Zuordnung der IP-/MAC-Adressen in der Konfiguration ist aber auch Snort in der Lage, Spoofing-Attacken sofort zu erkennen.</p><p align="justify"><strong>Werkzeug</strong>Arpwatch, ein Open-Source-Tool für UNIX-Plattformen, kann ARP-Pakete in einem lokalen Netz lesen, daraus die MAC-IP-Informationen entnehmen und speichern, sowie mit vorhanden Einträgen vergleichen [13]. Nach einer Lernphase schlägt Arpwatch bei Paketen Alarm, die zu keinem Eintrag passen. Der Einsatz von Arpwatch eignet sich in kleineren Netzen, da sich der Aufwand dort noch in Grenzen hält. Bei Verwendung von DHCP meldet Arpwatch allerdings die für diese Umgebungen erlaubten Änderungen der MAC-IP-Zuordnung. Hier muss ein Administrator selber herausfinden, ob es sich um einen echte Angriff handelt.</p><p align="justify">Ein speziell zur Erkennung von ARP-Angriffen entwickeltes Produkt ist der ARP-Guard [14]. Ihm liegt eine Sensor-Management-Architektur zugrunde, bei der mehrere Sensoren Adress-Informationen beobachten und an das Management-System weiterleiteten. Das Management analysiert die Meldungen und leitet im Angriffsfall Gegenmaßnahmen ein, etwa indem es automatisch Ports am Switch abschaltet. Die Sensoren können sowohl die Pakete an einen Mirrorport auswerten als auch die ARP-Tabellen aus Routern mittels SNMP auslesen.</p><p align="justify"><strong>Tunnel</strong>Ein anderer Ansatz ist die Ende-zu-Ende-Sicherung der Kommunikation, sodass ein Angreifer zwar die Verbindung über seinen Rechner umleiten kann, aber dennoch die Daten nicht lesen kann. Üblicherweise setzt man hier IPSec oder SSH in der sicheren Versionen 2 oder SSL mit bidirektionaler Authentifizierung [15]. Allerdings ist dies mit größeren Umkonfigurationen der Endgeräte verbunden und auch alle Server müssen es unterstützen. Daher schützt diese
Lösung eigentlich nur firmeninternen Verkehr – die Verbindung vom Arbeitsplatzrechner zur Online-Auktion im Internet bleibt weiter angreifbar.Einen hundertprozentigen Schutz vor ARP-Spoofing-Angriffen zu erreichen, ist sehr schwer. Da die Gefahr aber nur im LAN besteht, dämmen zusätzliche organisatorische und technische Maßnahmen Spionageversuche wirksam ein. Arbeiten die Anwender auf ihren Arbeitsplatz-PCs unter Windows als eingeschränkte Nutzer, so lassen sich etwa Ettercap und Cain&amp;Abel gar nicht erst installieren. Das Booten eines Knoppix, um die Restriktionen unter Windows zu umgehen, verhindert der Administrator durch Einstellungen im passwortgeschützten BIOS auf jedem Rechner. Gegen ein mitgebrachtes Laptop mit gespoofer MAC-Adresse helfen aber auch diese Maßnahmen nicht. </p><p align="justify"><strong>Links &amp; Literatur</strong>[1] KPMG-Studie: Global survey finds companies underestimate internal threat<br />[2] Server-Nachsitzen, Neuer Test von Strato- und Intergenia-Mietservern, c't 02/05, S. 42<br />[3] Eigenheim zur Miete, Dedizierte Internet-Server der Einstiegsklasse, c't 12/04, S. 142<br />[4] RFC 826 – An Ethernet Address Resolution Protocol<br />[5] Windows 2000 TCP/IP Implementation Details<br />[6] dsniff<br />[7] Cain &amp; Abel<br />[8] ettercap NG<br />[9] Sygate<br />[10] SnoopNetCop Professional<br />[11] Logische Netze, Virtuelle Netze schaffen mehr Sicherheit, c't 01/05, S. 90<br />[12] Snort<br />[13] arpwatch<br />[14] Torwächter, kurz vorgestellt, c't 24/04, S. 82<br />[15] Der Pförtner zum Netz – Ein IPSec-Gateway im EigenbauQuelle: Heise Security Know-how (http://www.heise.de/security/artikel/55269/5) </p>

Tweet This Post

<div align="justify">
Problem: Sie verwenden Ihren Laptop sowohl zu Hause als auch im Büro. An beiden Orten hängt der Rechner im Windows-Netzwerk und hat eine feste IP-Adresse. Im Büro soll er aber eine andere IP-Adresse haben als im heimischen Netz. Der Laptop läuft unter Windows 2000 oder XP. Lösung: Wenn Sie bereits mit den Hardware-Profilen unter Windows 2000/XP gearbeitet haben, mag es nahe liegend erscheinen, für die beiden Netzwerkkonfigurationen jeweils ein eigenes Profil zu erstellen. Dieser nahe liegende Weg funktioniert allerdings nicht, da die Hardware-Profile keinerlei Netzwerkeinstellungen speichern. Die Windows-Systeme 2000 und XP bringen aber ein anderes Werkzeug mit, um schnell zwischen mehreren TCP/IP-Konfigurationen zu wechseln: Mit &quot;Netsh&quot;, einem Befehl für die Kommandozeile, exportieren Sie die Einstellungen in eine Scriptdatei, die Sie dann jederzeit wieder einlesen können. Um beispielsweise Ihrem Notebook im Heimnetz eine andere feste IP-Nummer zu verschaffen als im Büronetz, sind die folgenden Schritte nötig: 1. Melden Sie sich mit Administrator-Rechten am Computer an. Nehmen Sie in den Eigenschaften der LAN-Verbindung die gewünschten Einstellungen für das Heimnetz vor, und schließen Sie das Eigenschaften-Menü. 2. netsh -c interface dump&gt;%windir%\heimnetz in die Datei &quot;Heimnetz&quot; im Windows-Verzeichnis. Die Eingabeaufforderung lassen Sie für die nächsten Schritte geöffnet. 3. Gehen Sie nun wieder in die Eigenschaften der LAN-Verbindung, und legen Sie diesmal die IP-Einstellungen für das Büronetzwerk fest. 4. In der Eingabeaufforderung speichern Sie nun abermals mit &quot;Netsh&quot; die eben vorgenommene IP-Konfiguration, diesmal für das Büronetz: netsh -c interface dump&gt;%windir%\büronetz 5. Im Windows-Verzeichnis liegen nun die Dateien &quot;Heimnetz&quot; und &quot;Büronetz&quot; für die jeweiligen Netzwerke. Um eine der gespeicherten Konfigurationen einzulesen, verwenden Sie wieder den Befehl &quot;Netsh&quot;. Das Kommando netsh -f %windir%\heimnetz aktiviert beispielsweise die IP-Nummer für das heimische Netzwerk. Der Befehl erledigt die Umstellungen, ohne dass ein Neustart nötig ist. Je nach Rechnerausstattung kann die Änderung aber einige Sekunden dauern. Damit Sie bei einem Wechsel nicht immer über die Kommandozeile gehen müssen, können Sie die Befehle in eine Batchdatei schreiben, die Sie bei Bedarf aufrufen. Lassen Sie sich von Windows XP Home und Professional nicht verwirren. Diese Windows-Versionen geben eine Fehlermeldung aus, wenn Sie gespeicherte Konfigurationen mit &quot;netsh -f&quot; wieder einlesen. Microsoft hat den Befehl anscheinend nicht getestet, denn Windows XP stolpert über zwei falsche Angaben in den Konfigurationsdateien. Dieser Bug ist zwar ziemlich ärgerlich, allerdings leicht zu beheben: Öffnen Sie die Dateien &quot;Büronetz&quot; und &quot;Heimnetz&quot; mit einem Text-Editor, und suchen Sie die Zeilen auf, die mit &quot;set dns&quot; und &quot;add dns&quot; beginnen. Löschen Sie am Ende der Zeilen jeweils den Eintrag &quot;register=PRIMARY&quot;. Nach diesem kleinen Eingriff verarbeitet auch Windows XP die Dateien fehlerlos. </div>

Tweet This Post

<div align="justify">
Kommen wir nun aber zur Nutzung der hosts-Datei.Unter Windows 9x/ME liegt die hosts-Datei im Windows-Hauptverzeichnis (z.B. c:\windows\ ). Unter Windows NT/2000 liegt die hosts-Datei unter [WinNT-Verzeichnis]\system32\drivers\etc (z.B. c:\WINNT\system32\drivers\etc\ ).Existiert in dem jeweiligen Verzeichnis die Datei hosts (falls es dort die Datei hosts.sam gibt, benennen Sie diese in hosts um), öffnen Sie diese, andernfalls erstellen Sie bitte eine leere Datei mit dem Namen hosts .Sie werden jetzt eine Datei mit folgendem (wenn Sie eine neue Datei erstellt haben, ist diese natürlich leer) Inhalt:# Copyright (c) 1993-1999 Microsoft Corp.## Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP# für Windows 2000 verwendet wird.## Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen# Hostnamen stehen.# Die IP-Adresse und der Hostname müssen durch mindestens ein# Leerzeichen getrennt sein.## Zusätzliche Kommentare (so wie in dieser Datei) können in# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,# aber müssen mit dem Zeichen '#' eingegeben werden.## Zum Beispiel:## 102.54.94.97 rhino.acme.com # Quellserver# 38.25.63.10 x.acme.com # x-Clienthost127.0.0.1 localhostZeilen, vor denen ein &quot;#&quot; steht, sind Kommentare, d.h. diese Zeilen werden nicht beachtet.Eine Zeile in der hosts-Datei ist folgenderweise aufgebaut:IP-Adresse zugewiesener NameSie können einer IP-Adresse – wie gesagt – mehrere Namen zuweisen.Eine hosts-Datei für den Netzwerkbetrieb könnte folgendermaßen aussehen:192.168.0.1 www192.168.0.1 mail192.168.0.1 news192.168.0.254 router192.168.0.2 rechner1192.168.0.3 rechner2192.168.0.4 rechner3In diesem Beispiel würde der Rechner mit der IP-Adresse 192.168.0.1 über die Namen &quot;www&quot;, &quot;mail&quot; und &quot;news&quot; ansprechbar.Der Rechner mit der IP-Adresse 192.168.0.254 würde den Namen &quot;router&quot; tragen (Router und Proxy-Server haben als Endung der IP-Adresse &quot;traditionell&quot; .254 ) usw.</div>

Tweet This Post