IP-spoofing-Schutz für OpenBSD?

raiding

Well-Known Member
Hy.

Ich nehme z.Zt. an einer Umschulung teil und wohne für diese Zeit in einem Internat.

Internetzugang ist hier vorhanden, über einen http-Proxy mit username/passwd-Auth.

Nun sind hier bei der Einrichtung anscheinend echte "Profis" am Werk gewesen, denn sämtlicher Traffic ist unverschlüsselt einsehbar.
Das hat nun ein anderer Teilnehmer für sich entdeckt und fängt nun munter an, sämtlichen Traffic aus dem Netzwerk über seine Netzwerkkarte zu leiten. Zumindest sehen die Logs meiner Raspberry-OpenBSD-Firewall verdächtig danach aus ...

Lange Rede: Gibt es unter OpenBSD die Möglichkeit, eine IP statisch via ARP an eine MAC-Adresse zu binden?

Am besten schon direkt beim Boot, sobald der Netzwerk-Daemon und PF gestartet werden ..

Habe die Datei /etc/ethers in der man-Page von arp gesehen. Kann ich die Datei zusammen mit /etc/hosts für diese Zwecke verwenden?

MfG raiding

Edit: Zum besseren Verständniss habe ich gleich mal einen dmesg-"Log", der mir während der Installation auf die Kommandozeile gebrüllt wurde, beigelegt. /var/log/messages sieht dann während der Attacken immer so aus ... 12.9.0.1 ist der Proxy/Gateway.
 

Anhänge

  • tmp_9936-IMG_20170614_185012346739189.jpg
    tmp_9936-IMG_20170614_185012346739189.jpg
    1.003,8 KB · Aufrufe: 429
Zuletzt bearbeitet:
Für diesen Zweck ist keine separate Datei vorgesehen. Ich würde einfach ein
Code:
!arp -s ...
in eine passende /etc/hostname.* packen. Am besten die, in der es sich um das passende Interface dreht.
 
Hey, danke für die schnelle Antwort!

MAC-Adresse steht seit reboot nun auf permanent. Mal schauen, wie es wirkt.

Schönen Abend wünsche ich noch
 
SOCKS5 Proxy über SSH ist keine Alternative?

Da bekommst du doch eigentlich alle TCP-Ports drüber und wärst sonst geschützt...

Gruß
Markus
 
SOCKS5 Proxy über SSH ist keine Alternative?

Da bekommst du doch eigentlich alle TCP-Ports drüber und wärst sonst geschützt...

Gegenfrage: Richte ich den Proxy dann auf dem OpenBSD-Router ein und hat OpenBSD die Software schon mit an Board?

Mit SOCKS5 habe ich selbst noch nicht gearbeitet...

Gruß
 
Auf dem OpenBSD-Router muss ein SSH-Daemon lauschen, der TCPPortForwarding aktiv hat (zumindest für den Benutzer den du verwendest).

Auf dem (Linux Client) würdest du dann mit "ssh -D<portnummer> benutzer@openbsdrouter" eine Verbindung aufbauen, die dann die ganze Zeit offen sein muss.
In deinem Browser musst du dann den Socks-Proxy einstellen (Socks5, localhost:<portnummer>).
Bei Firefox solltest du noch die Einstellung (about:config) network.proxy.socks_remote_dns auf TRUE setzen, damit die DNS-Abfragen ebenfalls durch den Tunnel gehen.

Gruß
Markus
 
Auf dem OpenBSD-Router muss ein SSH-Daemon lauschen, der TCPPortForwarding aktiv hat (zumindest für den Benutzer den du verwendest).

Hört sich sehr interessant an, aber damit wäre ja nur die Verbindung von meinem Client zu meinem Router gesichert. Von meinem OBSD-Router zum Internatsproxy wäre der Tunnel dann ja sinnlos, oder täusche ich mich da?
 
Wenn ich das richtig verstehe, dann befürchtest Du, daß es einem Dritten gelingt, den gesamten Datenverkehr vn Dir in die Welt und zurück mitzuschneiden?
 
Wenn ich das richtig verstehe, dann befürchtest Du, daß es einem Dritten gelingt, den gesamten Datenverkehr vn Dir in die Welt und zurück mitzuschneiden?

Ich bin davon überzeugt, dass dies bereits geschieht. Auch wenn der Schlumpf (hoffentlich) mit den https-seiten nix anfangen können wird ... ein komisches Gefühl ist es trotzdem.

Das mit der permanenten ARP-Konfiguration hat aber schon was gebracht. Zumindest läuft das Internet ohne Unterbrechung.

Ob es dem jetzt allerdings nicht doch noch irgendwie gelingt, Parts mitzuschneiden - keine Ahnung. Ich sehe nur in den Logs, dass 12.9.0.1 versucht wird zu überschreiben. Nicht mehr so krass, wie in dem Bild oben, aber naja ...
 
Das hat nun ein anderer Teilnehmer für sich entdeckt und fängt nun munter an, sämtlichen Traffic aus dem Netzwerk über seine Netzwerkkarte zu leiten.
Wie wäre es, wenn du die Verantwortlichen (Admins, Lehrer, was auch immer) darauf aufmerksam machst?

Ansonsten wie schon gesagt einen Socks-Proxy verwenden. Das sollte ein Server sein, der über SSH übers Internet erreichbar ist (z.B. eine VM auf AWS oder Azure genügt. Auch ein Router an einem anderen Standort funktioniert bestens).
 
Wie wäre es, wenn du die Verantwortlichen (Admins, Lehrer, was auch immer) darauf aufmerksam machst?

Schon geschehen. Die wissen seit Monaten bescheid, können aber laut eigener Aussage nix machen ....

Ich hatte mal ne Zeitlang nen VPN-Zugang über meinen Router nach draußen. OpenVPN hat ne Maske für User/Passwd-Auth. Hat ssh das auch? Und gibt es "gratis"-ssh-Server im Netz oder nur die Kostenpflichtigen?
 
Ich würde mir zu Hause einen OpenVPN Server einrichten und von ausserhalb mittels OpenVPN Client alles über den Tunnel routen.

Falls man sich nicht in China oder ähnlich zensierenden Ländern aufhält, sollte dieses Szenarium ohne Klimmzüge funktionieren.
 
"Kann man nichts machen" ist immer so eine interessante Aussage...

Natürlich kann man da was machen - kommt halt auf den Aufwand an.
Damit du ungestört surfen kannst, solltest du die SSH- bzw. VPN-Lösung präferieren und dann den Admins mal zur Hand gehen.

LAN: Herausfinden über welchen Port sämtliche Pakete kommen (oder halt mehr) und Kabel ziehen.
WLAN: mal in die Luft horchen...

Gruß
Markus
 
hi

wenn halbweg vernüftige switche im einsatz sind kann man da schon was machen.

im zweifel pro port (zimmer ) ein vlan und ip netz .
das ganze zusammen gefuehrt eunf eine router / firewall , router on a stick .

geht wunderbar mit openbsd .

am kann auch pruefen ob der switch isolated vlans kann , dann fallen die netze pro zimmer weg.

mal abgesehen von thematiken wie port security ( mac addresse am switchport fest eingeben )

holger
 
Immer wieder amüsant solche Themen zu lesen!

ICH würde einen VPN einrichten und dann mittels SSH den notwendigen Traffic drüber schleifen. Den VPN musst du aber anonym bezahlen! ;-) Kleiner Scherz..

Im Ernst, schei.. drauf, jeder ISP kann deinen Traffic ohne "S" mitlesen und du kannst auch nichts dagegen machen. Solange du keinen ungültigen HTTPS Zertifikate akzeptierst, ist alles gut.

Jede vernünftige Seite mit Logins unterstützt HTTPS und solange du keine ungültigen Zertifikate aktzeptierst, kann auch keiner den Traffic oder deine Cookies lesen.
 
Zurück
Oben