MITM & Sniffing in Eduroam Netzwerken

Screeze · 30.09.2011, 11:33

Da ich kürzlich in ein Studentenwohnheim eingezogen bin, und mein Studium beginnen werde, flammt mir aktuell eine Frage immer wieder auf:

Ich habe vom Wohnheim aus über ein "Eduroam"-Netzwerk direkte Verbindung zum Hochschulnetzwerk und darüber läuft meine Internetverbindung nun. Da das hier ja theoretisch eine Art LAN ist, frage ich mich ob hier auch die selben Sicherheitsprobleme gelten, wie in einem LAN. Speziell denke ich hier an MITM-Attacken und sniffen des Netzwerktraffics (bekanntlich bieten ja nicht alle webseiten ssl).
Ich habe mir mal mit einem simplen IP-Scan die "Umgebung" angesehen, und einige im Netzwerk befindliche Rechner finden können, darunter einige Switche&Router, aber auch PCs von (vermutlich) anderen Studenten. Ich kann mit diesem Wissen auch auf Dateifreigaben der anderen Clienten zugreifen, und die Loginmasken der Router sind auch erreichbar.

Soweit ja noch unproblematisch, wie sieht es aber nun mit MITM aus? Ich könnte das zwar testen (mein Fachreferat habe ich über exakt dieses Thema gehalten, und dabei das ganze an unserem alten Schulnetzwerk vorgeführt, dort war es aber ein simples LAN), aber ich habe wenig Lust gleich zu Beginn meinen Anschluss gesperrt zu bekommen, und frage deshalb lieber mal hier nach

Kennt sich jemand in dem Bereich aus, wie hier Schutzvorkehrungen getroffen werden normalerweise?

Besten Dank,
Screeze

cnc_darklord · 30.09.2011, 16:32

Ich denke da musst Du dir keine Sorgen machen.

http://www.eduroam.org/index.php?p=faq

Normalerweise hat der Netzwerkadmin genug Ahnung was er tut. E-Mails beantworten diese auch sehr freundlich.

tr0y · 30.09.2011, 16:50

eduroam ist ein infrastructure layer der dich in eine existierende Netzwerkstruktur bringt, regelt aber nicht die Zugriffe darin. Man in the Middle ist in RADIUS-Relays allerdings relativ uncool aber möglich. Insofern euer Campus über Router-Zugriffe per Dial-In-Hostnet verfügt würd ich den Admin entlassen..

Sicher das das was du gesehen hast kein Looking Glasses ( LG ) war ?

Screeze · 30.09.2011, 18:27

Zitat:

Normalerweise hat der Netzwerkadmin genug Ahnung was er tut.

Normalerweise. Ich weiß aber eben nicht inwiefern hier überhaupt Vorkehrungen getroffen werden können.

Zitat:

eduroam ist ein infrastructure layer der dich in eine existierende Netzwerkstruktur bringt, regelt aber nicht die Zugriffe darin. Man in the Middle ist in RADIUS-Relays allerdings relativ uncool aber möglich.

Das heißt jetzt effektiv? Nicht unmöglich heißt für mich automatisch nicht sicher. Gerade da Informatikstudenten ja gerne dazu neigen alles auszutesten (wie ich aus eigener Erfahrung weiß

)

Zitat:

Insofern euer Campus über Router-Zugriffe per Dial-In-Hostnet verfügt würd ich den Admin entlassen..

Sicher das das was du gesehen hast kein Looking Glasses ( LG ) war ?

Öhm da kenne ich mich ehrlich gesagt nicht so gut aus. Auf Netzwerkebene bin ich weniger bewandert als in anderen Bereichen, aber wenn du das meinst: Ich bin nach Eingabe der IPs im Browser auf die Loginmasken von diversen Routern gelandet, und per Eingabe von \\IP in Windows auf den Dateifreigaben von 2 Windows-PCs.

Prinzipiell würde ich klar vermuten, dass in so einem Netzwerk alles entsprechend abgesichert wurde, aber ich sag lieber niemals nie und frag vorher nach, auch interessehalber

tr0y · 30.09.2011, 18:57

Nunja, in der Regel sollten Uni-Netzwerke zentrale Storage-Hubs haben und nicht mit Freigaben umsich werfen. Dial-In-Hostnets sind allgemein so gesichert das jeder Host der dorthin verbindet demilitarisiert gegenüber jedem anderen Host existiert. Im klartext, du bist zwar in Domäne "Bla", kannst aber ohne Authorisation des "Domänen-Controllers" ( wird heute anders gelöst; sollte hier nur als "Subjekt" angesehen werden ) nix sehen / tun / machen. Zugriffe über entsprechende Ports werden ebenfalls nur erlaubt wenn der Domänen-Controller das für dich vorsieht und entsprechend in deine Demilitarized Zone forwardet.

Funktioniert ähnlich dem bekannten Dial-In System wie du es vom DSL Anschluss ( PPPoE->PPPoA-PPPoE->HostNet ) kennst, nur basierend auf einem Server statt auf einem Router-Cluster. Der Pendant dazu ist eine full-inspecting Firewall ( Packet Inspecting / SI ), die den gesamten Netzwerverkehr mit implementierter Anbindung an den RADIUS-Server steuert, zumeist als SSTM-Firewall ( Single Side Transparency Mode ) oder FTM-Firewall ( Full Transparency Mode ) in solchen Netzen anzutreffen.

Dirty Networks gibs natürlich auch, dort steht in der Regel nur ein RADIUS Server rum, der die Dial-In's verwaltet, aber zumindest da sind die Router "dicht" ( Config-Panels sind nur per IP-Tunnel erreichbar ) und jede öffentliche Windows-Freigabe veranlasst den RADIUS-Server dazu deine Verbindung zu kappen.

Screeze · 30.09.2011, 19:31

Ok, wenn ich das richtig verstanden habe, sollte ich also gar keinen Zugriff auf andere Clients bekommen? Ich vermute auch eher, dass es sich hier um ein Subnet o.ä. handelt, welches nur für das Wohnheim gilt, da es nur geschätzt 5-10 PC's waren, die restlichen ~5-10 Geräte waren Router/Switche. Im Hochschulnetz sollten da definitiv mehr PCs hängen, also das gesamte Netzwerk kann das nicht sein.

tr0y · 30.09.2011, 19:50

Ist zu vermuten, Ja. Die Router die du da gesehen hast waren wohl Router von anderen Studenten damit die ihre 20 iPads, die 8 Server und den Gammel-Gaming-Laptop sowie die IP-Cam vom sterbenden Hamster ans Netz kriegen ^^

Screeze · 30.09.2011, 22:49

Das würde ich ausschließen, da es nur 2 versch. Typen von Routern/Switches waren und diese am ende der ip-range mit aufeinanderfolgenden Zahlen im letzten Block (ich glaube x.x.x.248 - x.x.x.254 in etwa) angelegt waren. Zudem ist uns das aufstellen von Switches/Routern verboten (ok daran halten ist so eine Sache .....) Davon abgesehen handelt es sich um ein neues Wohnheim, in dem aktuell meines Wissens gerade einmal ca 10-12 Studenten endgültig eingezogen sind, der Rest kommt in den nächsten Tagen. Von diesen sind (neben mir) lediglich 2 andere Studenten aus dem IT-Bereich, einer davon hat def. kein Zusatzgerät online, und mein Router ist nicht mitgezählt

Zitat:

die 8 Server

Server zu hosten ist uns nur mit Sondergenehmigung erlaubt und wird wohl auch überwacht angeblich.

Dennoch bleibt nun die Frage nach der Sicherheit?

tr0y · 01.10.2011, 00:05

Welche IP der Router hat, ist den 254 Endgeräten dahinter egal,..

Ich kann nur ins blaue raten was mit der Netzwerk-Infrastruktur bei euch so geht.. und wieviel genau da in Sicherheit investiert wurde.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

30.09.2011, 11:33
Screeze Erfahrener Benutzer Registriert seit: 04.01.2009 Beiträge: 844 PHP-Kenntnisse: Fortgeschritten	MITM & Sniffing in Eduroam Netzwerken Da ich kürzlich in ein Studentenwohnheim eingezogen bin, und mein Studium beginnen werde, flammt mir aktuell eine Frage immer wieder auf: Ich habe vom Wohnheim aus über ein "Eduroam"-Netzwerk direkte Verbindung zum Hochschulnetzwerk und darüber läuft meine Internetverbindung nun. Da das hier ja theoretisch eine Art LAN ist, frage ich mich ob hier auch die selben Sicherheitsprobleme gelten, wie in einem LAN. Speziell denke ich hier an MITM-Attacken und sniffen des Netzwerktraffics (bekanntlich bieten ja nicht alle webseiten ssl). Ich habe mir mal mit einem simplen IP-Scan die "Umgebung" angesehen, und einige im Netzwerk befindliche Rechner finden können, darunter einige Switche&Router, aber auch PCs von (vermutlich) anderen Studenten. Ich kann mit diesem Wissen auch auf Dateifreigaben der anderen Clienten zugreifen, und die Loginmasken der Router sind auch erreichbar. Soweit ja noch unproblematisch, wie sieht es aber nun mit MITM aus? Ich könnte das zwar testen (mein Fachreferat habe ich über exakt dieses Thema gehalten, und dabei das ganze an unserem alten Schulnetzwerk vorgeführt, dort war es aber ein simples LAN), aber ich habe wenig Lust gleich zu Beginn meinen Anschluss gesperrt zu bekommen, und frage deshalb lieber mal hier nach Kennt sich jemand in dem Bereich aus, wie hier Schutzvorkehrungen getroffen werden normalerweise? Besten Dank, Screeze __________________ Develovision Blog Geändert von Screeze (30.09.2011 um 11:39 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

30.09.2011, 16:32
cnc_darklord Benutzer Registriert seit: 04.09.2009 Beiträge: 34 PHP-Kenntnisse: Anfänger	Ich denke da musst Du dir keine Sorgen machen. http://www.eduroam.org/index.php?p=faq Normalerweise hat der Netzwerkadmin genug Ahnung was er tut. E-Mails beantworten diese auch sehr freundlich.

30.09.2011, 16:50
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	eduroam ist ein infrastructure layer der dich in eine existierende Netzwerkstruktur bringt, regelt aber nicht die Zugriffe darin. Man in the Middle ist in RADIUS-Relays allerdings relativ uncool aber möglich. Insofern euer Campus über Router-Zugriffe per Dial-In-Hostnet verfügt würd ich den Admin entlassen.. Sicher das das was du gesehen hast kein Looking Glasses ( LG ) war ? __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

30.09.2011, 18:57
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Nunja, in der Regel sollten Uni-Netzwerke zentrale Storage-Hubs haben und nicht mit Freigaben umsich werfen. Dial-In-Hostnets sind allgemein so gesichert das jeder Host der dorthin verbindet demilitarisiert gegenüber jedem anderen Host existiert. Im klartext, du bist zwar in Domäne "Bla", kannst aber ohne Authorisation des "Domänen-Controllers" ( wird heute anders gelöst; sollte hier nur als "Subjekt" angesehen werden ) nix sehen / tun / machen. Zugriffe über entsprechende Ports werden ebenfalls nur erlaubt wenn der Domänen-Controller das für dich vorsieht und entsprechend in deine Demilitarized Zone forwardet. Funktioniert ähnlich dem bekannten Dial-In System wie du es vom DSL Anschluss ( PPPoE->PPPoA-PPPoE->HostNet ) kennst, nur basierend auf einem Server statt auf einem Router-Cluster. Der Pendant dazu ist eine full-inspecting Firewall ( Packet Inspecting / SI ), die den gesamten Netzwerverkehr mit implementierter Anbindung an den RADIUS-Server steuert, zumeist als SSTM-Firewall ( Single Side Transparency Mode ) oder FTM-Firewall ( Full Transparency Mode ) in solchen Netzen anzutreffen. Dirty Networks gibs natürlich auch, dort steht in der Regel nur ein RADIUS Server rum, der die Dial-In's verwaltet, aber zumindest da sind die Router "dicht" ( Config-Panels sind nur per IP-Tunnel erreichbar ) und jede öffentliche Windows-Freigabe veranlasst den RADIUS-Server dazu deine Verbindung zu kappen. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr. Geändert von tr0y (30.09.2011 um 19:12 Uhr).

30.09.2011, 19:31
Screeze Erfahrener Benutzer Registriert seit: 04.01.2009 Beiträge: 844 PHP-Kenntnisse: Fortgeschritten	Ok, wenn ich das richtig verstanden habe, sollte ich also gar keinen Zugriff auf andere Clients bekommen? Ich vermute auch eher, dass es sich hier um ein Subnet o.ä. handelt, welches nur für das Wohnheim gilt, da es nur geschätzt 5-10 PC's waren, die restlichen ~5-10 Geräte waren Router/Switche. Im Hochschulnetz sollten da definitiv mehr PCs hängen, also das gesamte Netzwerk kann das nicht sein. __________________ Develovision Blog

30.09.2011, 19:50
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Ist zu vermuten, Ja. Die Router die du da gesehen hast waren wohl Router von anderen Studenten damit die ihre 20 iPads, die 8 Server und den Gammel-Gaming-Laptop sowie die IP-Cam vom sterbenden Hamster ans Netz kriegen ^^ __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

01.10.2011, 00:05
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Welche IP der Router hat, ist den 254 Endgeräten dahinter egal,.. Ich kann nur ins blaue raten was mit der Netzwerk-Infrastruktur bei euch so geht.. und wieviel genau da in Sicherheit investiert wurde. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.