staging.inyokaproject.org

* Wie kann ich den Datenverkehr in einem Ethernetkabel so bearbeiten das er für einen Dritten nutzlos wird?

Ich spiele jedes Jahr im Sommer mit dem Gedanken meine besonders exothermen IT-Geräte in den Keller zu stellen, so heizen diese die Wohnung nicht auf. Der Vermieten hat mir auch das OK gegeben ein Ethernetkabel durch die Hausverkabelung von meiner Wohnung bis in den Keller zu legen, W-Lan ist zu weit weg und Datendurchsatz wäre zu gering.

Da ich die anderen Mieter im Haus aber nicht gut genug kenne um ihnen böwilliges Handeln abzusprechen muss ich mich Schnüffeleien schützen. Das Kabel durchzuschneiden, zwei Stecker dazwischen zu basteln und mittels Gerät den ganze Traffic mitzulesen oder sich so in mein Heimnetz einzuklinken ist eine Sache von Minuten. Schutz vor mechnischen Angriffen scheidet also aus und der Einsatz von LWL ist zu teuer.

Wie kann ich also den Traffic so schützen, so das es für einen Dritten unmög ... nur sehr schwer möglich sein sollte sich da einzuklinken oder mituzhören.

Das geht nicht. Wenn möglich würde ich den Traffic verschlüsseln, also verschlüsselte Protokolle einsetzen.

Reihner schrieb:

[…] Ich spiele jedes Jahr im Sommer mit dem Gedanken meine besonders exothermen IT-Geräte in den Keller zu stellen

Wie viel Leistung?

Wesentlich sinnvollere Maßnahmen sind (spart Geld und schont Umwelt und Klima):

• Tausch veralteter Hardware durch energiesparende Geräte

• Verzicht auf unnötige Berechnungen

• Abschalten der Geräte, wenn sie nicht gebraucht werden.

Sonst bleibt Die nur Ende-Ende-Verschlüsselung - was die Abwärme des gesamten Systems natürlich erhöht.

Reihner schrieb:

Das Kabel durchzuschneiden, zwei Stecker dazwischen zu basteln und mittels Gerät den ganze Traffic mitzulesen oder sich so in mein Heimnetz einzuklinken ist eine Sache von Minuten. Schutz vor mechnischen Angriffen scheidet also aus ...

BTW: Bei meinen Servern ist das schon immer so konfiguriert, dass wenn sie keine Netzwerkkabel-Verbindung mehr zum Router haben, fahren sie ordnungsgemäß runter. D. h., wenn jemand das Kabel durchschneidet und sich einklinkt, wird er feststellen, dass kein Traffic vorhanden ist.

Mir kommt das Ansinnen leicht paranoid vor. Der skizzierte Angriff ist nicht für jeden DAU umsetzbar, erst recht, sich in dein Heimnetz einzuklinken, ohne dass du das merkst. Wohnt ein Ex-Stasi Oberst bei dir im Haus? 😀

Davon ab: welche Geräte wären denn das überhaupt, die du auslagern willst?

lubux schrieb:

BTW: Bei meinen Servern ist das schon immer so konfiguriert, dass wenn sie keine Netzwerkkabel-Verbindung mehr zum Router haben, fahren sie ordnungsgemäß runter. D. h., wenn jemand das Kabel durchschneidet und sich einklinkt, wird er feststellen, dass kein Traffic vorhanden ist.

Kurz ein Link-Down wegen nem Neustart des Routers und der Rechner ist offline. Wer das haben will, gerne, aber ich würde da andere Lösungen bevorzugen.

DJKUhpisse schrieb:

Kurz ein Link-Down wegen nem Neustart des Routers und der Rechner ist offline.

Ich verstehe nicht was Du damit sagen willst.

Der Router startet nicht neu. Und wenn mein ISP den Router neu startet und ich im Urlaub bin, will ich nicht, dass die Server offline gehen bzw. runter fahren. Die Server sollen nur dann offline gehen bzw. runter fahren, wenn sie (aus welchem Grund auch immer) keine Verbindung mehr zu ihrem gateway (Router) haben und somit nutzlos sind (weil sie ja aus dem Internet nicht mehr erreicht werden können).

lubux schrieb:

DJKUhpisse schrieb:

Kurz ein Link-Down wegen nem Neustart des Routers und der Rechner ist offline.

Ich verstehe nicht was Du damit sagen willst.

Der Router startet nicht neu. Und wenn mein ISP den Router neu startet und ich im Urlaub bin, will ich nicht, dass die Server offline gehen bzw. runter fahren. Die Server sollen nur dann offline gehen bzw. runter fahren, wenn sie (aus welchem Grund auch immer) keine Verbindung mehr zu ihrem gateway (Router) haben und somit nutzlos sind (weil sie ja aus dem Internet nicht mehr erreicht werden können).

Wenn der Link runtergeht, weil man den Stecker zieht, ist das für den Server das gleiche wie wenn der Router neustartet (auch da geh der Link runter). Dann fährt dein Server runter, auch wenn er in paar Minuten wieder erreichbar wäre.

Dazu kommt, dass man ein Ethernet-Kabel auch ohne komplettes Durchtrennen abhören kann, speziell bei ungeschirmten Kabeln.

Daher muss man andere Methoden wie Verschlüsselung des Traffics nutzen, um sich zu schützen.

DJKUhpisse schrieb:

Wenn der Link runtergeht, weil man den Stecker zieht, ist das für den Server das gleiche wie wenn der Router neustartet (auch da geh der Link runter). Dann fährt dein Server runter, auch wenn er in paar Minuten wieder erreichbar wäre.

Nein, denn das ist eine Frage wie lange der Router zum neustarten braucht. Beim Neustart sind es nur wenige Sekunden, in denen der Router (per arp) nicht erreichbar ist und das wird von meiner Konfiguration berücksichtigt. Über Wartungsarbeiten werde ich von meinem ISP i. d. R. rechtzeitig informiert:

In seltenen Fällen kann es nach einer Wartungsarbeit notwendig sein, dass Sie Ihr Modem für 30 Sekunden vom Strom trennen müssen, damit Ihre Dienste wieder einwandfrei funktionieren.

BTW: Ein Router darf auch mal kaputt gehen und dann wäre es ja auch nicht schlimm, wenn die Server runterfahren.

DJKUhpisse schrieb:

Dazu kommt, dass man ein Ethernet-Kabel auch ohne komplettes Durchtrennen abhören kann, speziell bei ungeschirmten Kabeln.

Ja, aber ich habe auf das vom TE geschilderte Szenario:

Das Kabel durchzuschneiden, zwei Stecker dazwischen zu basteln und mittels Gerät den ganze
Traffic mitzulesen oder sich so in mein Heimnetz einzuklinken ist eine Sache von Minuten.

geantwortet. Bei mir wird das Kabel nicht durchgeschnitten und auch nicht abgehört. Ich benutze diese Konfiguration nur, damit auch jemand anders die Server runterfahren kann bzw. damit sie nicht nutzlos eingeschaltet bleiben, wenn sie ihr gateway eh nicht erreichen können.

Ich benutze diese Konfiguration nur, damit auch jemand anders die Server runterfahren kann bzw. damit sie nicht nutzlos eingeschaltet bleiben, wenn sie ihr gateway eh nicht erreichen können.

Und was, wenn 2 Minuten später das Gateway wieder erreichbar ist?

DJKUhpisse schrieb:

Und was, wenn 2 Minuten später das Gateway wieder erreichbar ist?

Naja, dann geht die Welt auch nicht unter und die kompetente "Fachkraft" die (auch) mit dem gießen der Blumen beauftragt ist, bekommt telefonisch (zusätzlich) den Auftrag, die Server zu starten. So einfach kann das Leben sein. 😉

Um mal wieder auf die eigentliche Frage zurückzukommen: Das ist mit modernen Geräten nicht möglich. Falls jemand, wie auch immer, (Netzwerk-)Zugriff auf deinen Rechner hat und sich soweit auskennt, das er Daten abgreifen kann, dann interessiert das installierte Betriebssystem gar nicht. Heuztutage haben wir Intels Management Engine, AMDs Platform Security Processor & Konsorten, die vollen Zugriff auf den kompletten Speicher, inklusive Bildschirminhalt bieten. Eine etwas veraltete Ausführung dazu kann man unter https://libreboot.org/faq.html#intelme nachlesen (AMD im Anschluss). Da diese Software komplett außerhalb des Nutzerzugriffs läuft und sowohl proprietär, als auch signed ist, helfen auch die vielen reverse engeneering Versuche nichts (Bei manchen Systemen wie dem X220 kann man die Chips allerdings umflashen).

Intel_Management_Engine zeigt eine Liste von bekannten Sicherheitsproblemen. Wie immer bei solchen Produkten, in denen auch noch Drittanbieter mit reinmischen, ist die Zahl der unbekannten Sicherheitslücken hoch und erfahren nur von denen, die behoben wurden.

Wir sind also sowieso alle transparent, nicht nur diejenigen mit technisch versierten Nachbarn 😉

DJKUhpisse schrieb:

Das geht nicht.

So ist es!

Sobald jemand physikalischen Zugriff auf das Netzwerkkabel hat, hat er auch Zugriff auf das Netzwerk, wenn nicht entsprechende Sicherheitsmaßnahmen (z.B. nic cert, NAP) im Netz getroffen wurden. Das Mitlesen der über das Netzwerk bewegten Daten (Stichwort: promiscous mode) ist hierbei noch der harmloseste Vorgang. Hierbei wird das Kabel nicht mal getrennt. Die eigene nic kann ja alles hören/aufnehmen/auswerten, was vorbei rauscht (ok, nicht alles, nur das das der Switch auf der Leitung transportiert).

Abhilfe schafft das schon erwähnte NAP oder das "WLAN-Kabel" (😉). Das Aufsetzen eines NPS/NAP Environments dürfte für den privaten Hausgebrauch aber etwas zu hoch sein. Eine einfache Lösung, die mit einem Netzwerkkabel zu verwendenden Geräte zu beschränken ist die Begrenzung auf bekannte MACs. Dies ist aber nicht besonders sicher, da heute MACs sehr leicht ausgelesen und angepasst werden können.

DJKUhpisse schrieb:

Das geht nicht. Wenn möglich würde ich den Traffic verschlüsseln, also verschlüsselte Protokolle einsetzen.

kB schrieb:

Sonst bleibt Die nur Ende-Ende-Verschlüsselung

Ich nehme an ihr bezieht euch dabei auf SMB-Verschlüsselung, HTTPS für Serverdienste uws. . Leider verhindert dies nicht, dass sich eine beliebige Person über einen dazwischen geklemmten Switch in meinem "Heimnetz" einnisten.

Mein ursprünglicher Gedanke war: Zwei billige Endgeräte mit (mindestens) zwei Ethernetports zu nehmen, in den einen Port das Ethernetsignal einzuspeisen, in den Geräten das Ethernetsignal komplett asymmetrisch zu verschlüsseln (inklusive Header, Protokolltyp und Gedöns), und am zweiten Gerät wieder zu entschlüsseln. So dass die Datenpakete nicht einmal als solche zu erkennen sind. Ein potenzielle Angreifer erkennt nichts und kann sich auch nicht ins Netz einklinken. Das übersteigt meine IT-Kenntnisse jedoch um mehrere Lichtjahre. Ich hab gehofft da gibt es was einfacheres.

Oder ob es Switches gibt bei dennen man einstellen kann dass an Port X werden nur dann Daten übertragen wenn am anderen Ende die MAC-Adresse abcdefg ist, ansonsten kein Anschluss auf dieser Leitung.

kB schrieb:

Wesentlich sinnvollere Maßnahmen sind ...

voxxell99 schrieb:

Mir kommt das Ansinnen leicht paranoid vor...

Thema verfehlt, das steht hier nicht die Diskussion.

Ich nehme an ihr bezieht euch dabei auf SMB-Verschlüsselung, HTTPS für Serverdienste uws. . Leider verhindert dies nicht, dass sich eine beliebige Person über einen dazwischen geklemmten Switch in meinem "Heimnetz" einnisten.

Ein Netzwerk sollte so gestaltet sein, dass ein Rechner nicht angreifbar ist, auch nicht, wenn der Angreifer auf dem gleichen Link (im Heimnetz) ist. Dass da anderen Blödsinn wie rogue DHCP oder rogue IPv6-RA möglich ist, ist ne andere Sache.