1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

IP-spoofing-Schutz für OpenBSD?

Dieses Thema im Forum "OpenBSD - Allgemein" wurde erstellt von raiding, 14 Juni 2017.

  1. raiding

    raiding Member

    Registriert seit:
    9 April 2011
    Beiträge:
    64
    Hy.

    Ich nehme z.Zt. an einer Umschulung teil und wohne für diese Zeit in einem Internat.

    Internetzugang ist hier vorhanden, über einen http-Proxy mit username/passwd-Auth.

    Nun sind hier bei der Einrichtung anscheinend echte "Profis" am Werk gewesen, denn sämtlicher Traffic ist unverschlüsselt einsehbar.
    Das hat nun ein anderer Teilnehmer für sich entdeckt und fängt nun munter an, sämtlichen Traffic aus dem Netzwerk über seine Netzwerkkarte zu leiten. Zumindest sehen die Logs meiner Raspberry-OpenBSD-Firewall verdächtig danach aus ...

    Lange Rede: Gibt es unter OpenBSD die Möglichkeit, eine IP statisch via ARP an eine MAC-Adresse zu binden?

    Am besten schon direkt beim Boot, sobald der Netzwerk-Daemon und PF gestartet werden ..

    Habe die Datei /etc/ethers in der man-Page von arp gesehen. Kann ich die Datei zusammen mit /etc/hosts für diese Zwecke verwenden?

    MfG raiding

    Edit: Zum besseren Verständniss habe ich gleich mal einen dmesg-"Log", der mir während der Installation auf die Kommandozeile gebrüllt wurde, beigelegt. /var/log/messages sieht dann während der Attacken immer so aus ... 12.9.0.1 ist der Proxy/Gateway.
     

    Anhänge:

    Zuletzt bearbeitet: 14 Juni 2017
  2. TCM

    TCM Well-Known Member

    Registriert seit:
    14 März 2005
    Beiträge:
    1.261
    Für diesen Zweck ist keine separate Datei vorgesehen. Ich würde einfach ein
    Code:
    !arp -s ...
    in eine passende /etc/hostname.* packen. Am besten die, in der es sich um das passende Interface dreht.
     
    raiding gefällt das.
  3. raiding

    raiding Member

    Registriert seit:
    9 April 2011
    Beiträge:
    64
    Hey, danke für die schnelle Antwort!

    MAC-Adresse steht seit reboot nun auf permanent. Mal schauen, wie es wirkt.

    Schönen Abend wünsche ich noch
     
  4. m4rkus

    m4rkus Member

    Registriert seit:
    14 Juni 2013
    Beiträge:
    363
    SOCKS5 Proxy über SSH ist keine Alternative?

    Da bekommst du doch eigentlich alle TCP-Ports drüber und wärst sonst geschützt...

    Gruß
    Markus
     
  5. raiding

    raiding Member

    Registriert seit:
    9 April 2011
    Beiträge:
    64
    Gegenfrage: Richte ich den Proxy dann auf dem OpenBSD-Router ein und hat OpenBSD die Software schon mit an Board?

    Mit SOCKS5 habe ich selbst noch nicht gearbeitet...

    Gruß
     
  6. m4rkus

    m4rkus Member

    Registriert seit:
    14 Juni 2013
    Beiträge:
    363
    Auf dem OpenBSD-Router muss ein SSH-Daemon lauschen, der TCPPortForwarding aktiv hat (zumindest für den Benutzer den du verwendest).

    Auf dem (Linux Client) würdest du dann mit "ssh -D<portnummer> benutzer@openbsdrouter" eine Verbindung aufbauen, die dann die ganze Zeit offen sein muss.
    In deinem Browser musst du dann den Socks-Proxy einstellen (Socks5, localhost:<portnummer>).
    Bei Firefox solltest du noch die Einstellung (about:config) network.proxy.socks_remote_dns auf TRUE setzen, damit die DNS-Abfragen ebenfalls durch den Tunnel gehen.

    Gruß
    Markus
     
  7. raiding

    raiding Member

    Registriert seit:
    9 April 2011
    Beiträge:
    64
    Hört sich sehr interessant an, aber damit wäre ja nur die Verbindung von meinem Client zu meinem Router gesichert. Von meinem OBSD-Router zum Internatsproxy wäre der Tunnel dann ja sinnlos, oder täusche ich mich da?
     
  8. peterle

    peterle Forenkasper

    Registriert seit:
    19 August 2006
    Beiträge:
    1.759
    Ort:
    Aachen
    Wenn ich das richtig verstehe, dann befürchtest Du, daß es einem Dritten gelingt, den gesamten Datenverkehr vn Dir in die Welt und zurück mitzuschneiden?
     
  9. raiding

    raiding Member

    Registriert seit:
    9 April 2011
    Beiträge:
    64
    Ich bin davon überzeugt, dass dies bereits geschieht. Auch wenn der Schlumpf (hoffentlich) mit den https-seiten nix anfangen können wird ... ein komisches Gefühl ist es trotzdem.

    Das mit der permanenten ARP-Konfiguration hat aber schon was gebracht. Zumindest läuft das Internet ohne Unterbrechung.

    Ob es dem jetzt allerdings nicht doch noch irgendwie gelingt, Parts mitzuschneiden - keine Ahnung. Ich sehe nur in den Logs, dass 12.9.0.1 versucht wird zu überschreiben. Nicht mehr so krass, wie in dem Bild oben, aber naja ...
     
  10. foxit

    foxit Moderator Mitarbeiter

    Registriert seit:
    4 Juli 2012
    Beiträge:
    1.433
    Ort:
    /home
    Wie wäre es, wenn du die Verantwortlichen (Admins, Lehrer, was auch immer) darauf aufmerksam machst?

    Ansonsten wie schon gesagt einen Socks-Proxy verwenden. Das sollte ein Server sein, der über SSH übers Internet erreichbar ist (z.B. eine VM auf AWS oder Azure genügt. Auch ein Router an einem anderen Standort funktioniert bestens).
     
  11. raiding

    raiding Member

    Registriert seit:
    9 April 2011
    Beiträge:
    64
    Schon geschehen. Die wissen seit Monaten bescheid, können aber laut eigener Aussage nix machen ....

    Ich hatte mal ne Zeitlang nen VPN-Zugang über meinen Router nach draußen. OpenVPN hat ne Maske für User/Passwd-Auth. Hat ssh das auch? Und gibt es "gratis"-ssh-Server im Netz oder nur die Kostenpflichtigen?
     
  12. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    173
    Ich würde mir zu Hause einen OpenVPN Server einrichten und von ausserhalb mittels OpenVPN Client alles über den Tunnel routen.

    Falls man sich nicht in China oder ähnlich zensierenden Ländern aufhält, sollte dieses Szenarium ohne Klimmzüge funktionieren.
     
  13. m4rkus

    m4rkus Member

    Registriert seit:
    14 Juni 2013
    Beiträge:
    363
    "Kann man nichts machen" ist immer so eine interessante Aussage...

    Natürlich kann man da was machen - kommt halt auf den Aufwand an.
    Damit du ungestört surfen kannst, solltest du die SSH- bzw. VPN-Lösung präferieren und dann den Admins mal zur Hand gehen.

    LAN: Herausfinden über welchen Port sämtliche Pakete kommen (oder halt mehr) und Kabel ziehen.
    WLAN: mal in die Luft horchen...

    Gruß
    Markus
     
  14. mark05

    mark05 Member

    Registriert seit:
    19 November 2003
    Beiträge:
    796
    Ort:
    Bergisch Gladbach
    hi

    wenn halbweg vernüftige switche im einsatz sind kann man da schon was machen.

    im zweifel pro port (zimmer ) ein vlan und ip netz .
    das ganze zusammen gefuehrt eunf eine router / firewall , router on a stick .

    geht wunderbar mit openbsd .

    am kann auch pruefen ob der switch isolated vlans kann , dann fallen die netze pro zimmer weg.

    mal abgesehen von thematiken wie port security ( mac addresse am switchport fest eingeben )

    holger
     
  15. roema

    roema Member

    Registriert seit:
    16 Mai 2015
    Beiträge:
    101
    Immer wieder amüsant solche Themen zu lesen!

    ICH würde einen VPN einrichten und dann mittels SSH den notwendigen Traffic drüber schleifen. Den VPN musst du aber anonym bezahlen! ;-) Kleiner Scherz..

    Im Ernst, schei.. drauf, jeder ISP kann deinen Traffic ohne "S" mitlesen und du kannst auch nichts dagegen machen. Solange du keinen ungültigen HTTPS Zertifikate akzeptierst, ist alles gut.

    Jede vernünftige Seite mit Logins unterstützt HTTPS und solange du keine ungültigen Zertifikate aktzeptierst, kann auch keiner den Traffic oder deine Cookies lesen.