ISDN, VPN, ... und die liebe Sicherheit

[CAMISOLITE]

Hallo Volk,

habe da mal eine etwas allgemeine Frage. Das Thema Netzwerk und Sicherheit bezieht sich in fast allen Fällen (hier im Forum und auch sonst) auf Verbindungen über das Internet/Intranet.

Mich würde mal interessieren wie es um die Sicherheit einer reinen ISDN-Verbindung gestellt ist ? Also eine direkte Einwahl über Telefonnummer auf einen anderen Rechner. Auf diesem anderen ("Empfänger"-) Rechner wird zunächst die Absender-Rufnummer abgeglichen, bei Erfolg geht's zum Login über Loginname/Passwort.

Was mir bisher dazu einfällt:

+ Es ist ein geschlossenes System.

- Auch Telefonleitungen kann man abhören, aber der übliche Hacker hat i. d. R. nicht die Möglichkeit dazu.

Wie sieht es mit dem Fälschen von Absenderrufnummern aus (vgl. Faxgeräte) ? Kann ich diesen Nummern vertrauen oder eher nicht (vgl. IP-Adressen) ?

Wie würdet Ihr eine solche Verbindung absichern ?

Wie beurteilt Ihr die Sicherheit dann im Vergleich zu "herkömmlichen" VPN-Lösungen ?

Brauche einfach mal ein paar Anregungen und Meinungen. Sicherheitsexperten vor !

 

[morph]

Es ist sicher möglich, die Absenderkennung zu fälschen. Aus diesem Grunde würde ich Callback benutzen (d.h. Server ruft zurück und User authentifiziert sich).

 

[marty]

Also prinzipell würde ich schon mal sagen, das eine direkte ISDN Einwahl sicherer ist. Da haben dann im Allgemeinen nur Regierungen und Geheimdienste überhaupt eine Chance was abzugreifen. Natürlich solltest du aufpassen, wenn jemand an dem Vermittlungskasten vor dem Haus sich zu schaffen macht.
ISDN Nummer, die per CLIP übertragen werden, lassen sich bestimmt fälschen, aber ob das so einfach geht...
Ich würde dir eine Mischung vorschlagen: Einwahlrouter, die sich nur um die Verbindung mittels ISDN kümmern und hinten dran dann noch mal eine VPN Lösung, so das du auch über ISDN IPSec fährst. Es gibt auch Router, die dir sowas komplett anbieten (Bintec, Cisco usw). Mit *BSD oder Linux sollte sich sowas auch realisieren lassen, aber da heißt es dann wieder basteln und probieren. (gut, bei Cisco muß man das meistens auch )

marty

 

[TCM]

darauf, dass sich keiner in die leitung klinken kann oder dass die rufnummer von ottonormal-kiddies vielleicht nicht gefaelscht werden koennte, wuerde ich mich nicht verlassen. das ist im endeffekt nur obscurity.

ein sicheres vpn sollte deswegen _immer_ sein, wenns ueber leitungen geht, die du nicht beeinflussen kannst.

 

[doxygen]

Hallo!

Nochmal zu den Absenderufnummern.
Das ist für Ottonormalverbraucher nicht zu fälschen. Die nächste Vermittlungsstelle setzt die korrekte Nummer ein, falls der Teilnehmer eine für den Anschluss ungültige überträgt. Es gibt aber durchaus Firmen, die z.B. im Bereich ISDN entwickeln, die Nummern ändern können.
Insofern gebe ich TCM recht. Wenn man sicher gehen möchte, dann sollte man selber was tun.
Am Besten IPSec mit Zertifikaten nutzen. ;-)

Gruß, Dox.

 

[tzuiop]

Hallo!

Nochmal zu den Absenderufnummern.
Das ist für Ottonormalverbraucher nicht zu fälschen. Die nächste Vermittlungsstelle setzt die korrekte Nummer ein, falls der Teilnehmer eine für den Anschluss ungültige überträgt. Es gibt aber durchaus Firmen, die z.B. im Bereich ISDN entwickeln, die Nummern ändern können.
Insofern gebe ich TCM recht. Wenn man sicher gehen möchte, dann sollte man selber was tun.
Am Besten IPSec mit Zertifikaten nutzen. ;-)

Gruß, Dox.

Hallo, ich glaub so schwer kann es doch nicht sein.

Ich habe heute einen Anruf von meiner eigen Genion-Homezone-Festnetznummer bekommen und nach Abnahme wurde ich zu jemandem durchgeleitet zu jemanden den ich kenne, aber den ich nie angerufen habe und der auch mich nicht angerufen hat.

Da hat jemand der mich schon seit längerem auf dem Kicker hat - uns quasi telefonisch verkuppelt.

Kann mir jemand helfen und sagen wie das geht. Is mir fast unheimlich.

Danke
Martin

 

[Gecko]

Hallo, ich glaub so schwer kann es doch nicht sein.

Ich habe heute einen Anruf von meiner eigen Genion-Homezone-Festnetznummer bekommen und nach Abnahme wurde ich zu jemandem durchgeleitet zu jemanden den ich kenne, aber den ich nie angerufen habe und der auch mich nicht angerufen hat.

Da hat jemand der mich schon seit längerem auf dem Kicker hat - uns quasi telefonisch verkuppelt.

Kann mir jemand helfen und sagen wie das geht. Is mir fast unheimlich.

Danke
Martin

Hallo Martin,

kann mir eigentlich nur vorstellen, das dieses über eine Gesprächsumleitung - Rufumleitung funktioniert in der Du die Nummern deffinierst auf die das Gespräch umgeleitet werden soll.
Eigentlich sind diese garnicht so schwer herauszufinden, gibt ja zBsp das Klicktel Tool auch für den PDA - javafähiges Handy mit (Midp 2.0) und hier kannst Du über Rückwärtssuche Personen - die dazugehörige Telefonnummer herausfinden und dann diese makaberen Spässe betreiben.
Da ich zum Beispiel den Black-Berry 7290 nutze (is aber eigentlich egal welcher Berry) kann ich bei diesem eine Blacklist erstellen - generieren (einstellbar unter Optionen- Liste - Blacklist) und die Nummern-Nummernliste(unbegrenzt) an ne 0900(frühere 0190) Nummer weiterleiten.
Sowas kannste machen um dich zBsp gegen Telefon-Talibans zu verteidigen den dann wird das aber so richtig teuer für die falls diese Dich mitten in der Nacht rausklingeln.

mfg hoffe ich konnte Dir weiterhelfen der Gecko

ps.

wen Du Dich aus dem Tefefonregister-buch austragen lassen willst so dauert das bis zu einer Woche und kostet auch so um die 50 Euronen bei der Telekom.

 

[tzuiop]

Hallo Gecko,

kannst Du das nochmal für Blöde erklären.

Wie kommt meine Telefonnummer als Anrufer auf mein Display.

Ich weiß, dass man wenn man bei uns in der Firma die SMS-Funktion des Mailprogrammes nutzt - man auch eine falsche Absendernummer mitschicken kann - sehr clever kann man bestimmt jede Menge Mist mit bauen.

Deswegen vermute ich, dass das auch irgendwie geht, wenn man von einem PC aus ins Normal-Netz telefoniert.

Wie er da dann die Rückrufnummern aktiviert - also so ganz peil ich das nicht... irgendwo muss er die Gebühren ja lassen?

Ich hab jetzt mal die Mailboxfunktion deaktiviert. Diese dummen Automaten...

Danke erstmal, ihr könnt ja mal Mund, Nase und Ohren offen halten - es gibt bestimmt ne recht einfache Möglichkeit bei irgendeinem Service-Provider im Internet.
Martin

 

[kith]

Hallo Volk,
Wie würdet Ihr eine solche Verbindung absichern ?

mit einem vpn

Wie beurteilt Ihr die Sicherheit dann im Vergleich zu "herkömmlichen" VPN-Lösungen ?

das einzige was ich in diesem zusammenhang als "sicherheitsfeature" (um was gehts ueberhaupt? authentifizierung, abhoersicherheit oder beides?) sehe, ist die authentifizierung ueber login/passwort und das koennen vpns besser.
generell hat fuer mich die uebertragungstechnik egal ob isdn, dsl, oder verbales zurufen erstmal nichts mit sicherheit zutun. es erschwert ggf nur das "abhoern".

 

[Gecko]

Hallo Gecko,

kannst Du das nochmal für Blöde erklären.

Wie kommt meine Telefonnummer als Anrufer auf mein Display.

Ich weiß, dass man wenn man bei uns in der Firma die SMS-Funktion des Mailprogrammes nutzt - man auch eine falsche Absendernummer mitschicken kann - sehr clever kann man bestimmt jede Menge Mist mit bauen.

Deswegen vermute ich, dass das auch irgendwie geht, wenn man von einem PC aus ins Normal-Netz telefoniert.

Wie er da dann die Rückrufnummern aktiviert - also so ganz peil ich das nicht... irgendwo muss er die Gebühren ja lassen?

Ich hab jetzt mal die Mailboxfunktion deaktiviert. Diese dummen Automaten...

Danke erstmal, ihr könnt ja mal Mund, Nase und Ohren offen halten - es gibt bestimmt ne recht einfache Möglichkeit bei irgendeinem Service-Provider im Internet.
Martin

Moin Martin,

also die Thematik ist in der Tat sehr kompliziert, habe Dir etwas Theorie hierzu zusammengetragen:

einmal dieser Link: ccc. telephone faq

http://www.ccc.de/faq/phone-net

dann diesen Link: (Artikel aus der PC-Welt)

http://www.pcwelt.de/news/sicherheit/108950/

es gab auch mal das Programm SMS-Faker das Fälschen ermöglichte, sogar einen Anbieter der diese *S..eissprogramm anbot und damit warb.
Zum Glück mittlerweile vom Netz genommen (Böses Tool)

Meine Vermutung zu Deinem Problem und Ärgerniss geht allerdings in diese Richtung

dazu dieser Link:
http://www.netzeitung.de/internet/358764.html

zum Beispiel ist es möglich solche makraben Spässe wie bei Dir aus dem Ausland zu betreiben.

noch eine interesante Story zu diesem Themenkomplex:

dazu dieser Link:
http://www.pcwelt.de/news/sicherheit/133131/index.html


dazu noch ne Story von Paris Hilton die anscheinend das Caller ID Spoofing beherrscht:

dazu dieser Link:
http://www.silicon.de/enid/auch_das_noch/21897

dann noch etwas Theorie zu diesem Themenkomplex:

dazu dann dieser Link:
http://www.testticker.de/pcpro/praxis/security/article20060104046.aspx

wie Du siehst ein Riesen Themenkomplex und überhaupt nicht einfach zu verstehen, es gibt mittlerweile gute Sachbücher die sich hiermit explizit beschäftigen.

Hoffe aber ich konnte Dir hier etwas weiterhelfen

mfg der Gecko leg mich jetzt hin muss heute ab 18:00 Nachtschicht arbeiten, aber bleibe weiter da dran.

 

[tzuiop]

WOW!!! Das ist ja ne Hilfsbereitschaft. Danke da werd ich ja erstmal einiges zu lesen haben...

THX
Martin

 

[tzuiop]

###

http://www.spoofcard.com/

So ich denke Gecko Du liegst goldrichtig.

GANZ FETTES DANKE!!!!!!!

Ich hab's also geahnt, dass es genauso einfach ist wie JAP-SW oder "Tor" oder irgendwas anderes in der Art zu verwenden, was der Heini für seine Drohmails und Wiki-Attacken verwendet.

Damit zeigt sich mal wieder, dass es ziemlich kritisch ist, wenn Diensteanbieter ein Know-How marktfähig machen und dort ein Publikum findet, welches durch die Dienste in die Lage versetzt wird hochtechnisches Know-How zu nutzen - was sonst eine gewissen Intelligenz voraussetzen würde - aber gleichzeitig fehlt dem Nutzerkreis der notwendige Intellekt mit solchen Dingen sinnvoll umzugehen.

 

[Gecko]

###

http://www.spoofcard.com/

So ich denke Gecko Du liegst goldrichtig.

GANZ FETTES DANKE!!!!!!!

Ich hab's also geahnt, dass es genauso einfach ist wie JAP-SW oder "Tor" oder irgendwas anderes in der Art zu verwenden, was der Heini für seine Drohmails und Wiki-Attacken verwendet.

Damit zeigt sich mal wieder, dass es ziemlich kritisch ist, wenn Diensteanbieter ein Know-How marktfähig machen und dort ein Publikum findet, welches durch die Dienste in die Lage versetzt wird hochtechnisches Know-How zu nutzen - was sonst eine gewissen Intelligenz voraussetzen würde - aber gleichzeitig fehlt dem Nutzerkreis der notwendige Intellekt mit solchen Dingen sinnvoll umzugehen.

Hallo Martin,

es ist mir eine EHRE konnte sowieso nicht pennen-schlafen (Umstellungsprobs-W-Schicht)

Jederzeit wieder und immer wieder gerne

MFG ein etwas müder Gecko der nun in seine Arbeitsklamotten rein muss (viel Zeug) und dann langsam losfahren muss (Arbeit etwas weiter weg)