sysad
Goto Top

Ethernet verschlüsseln oder sichern sinnvoll?

Liebe Mitstreiter,

bei einer SOHO-Installation geht das Ethernet-Kabel vom alten Büro (Server, Router, Switches etc) zu neuen Räumen (8 PC-Arbeitsplätze), die da mit dran hängen. Jetzt haben wir festgestellt, dass die Verbindung zwischen beiden etwa 10m über einen relativ leicht zugänglichen Kabelschacht im öffentlichen Treppenhaus geht, d.h. jeder könnte da physisch ran.

Soll ich das irgendwie absichern/verschlüsseln und wenn ja wie.

Danke derweil!

Content-ID: 139355

Url: https://administrator.de/contentid/139355

Ausgedruckt am: 04.12.2024 um 08:12 Uhr

Arch-Stanton
Arch-Stanton 29.03.2010 um 08:36:03 Uhr
Goto Top
Wenn Eure Daten einen höheren Schutz benötigen, als die vom Pentagon, könntest Du den frei zugänglichen Leitungsteil eventuell in ein halboffenes Kunstoffrohr legen und dann mit tape umwickeln. Der einzige Zugriff wäre ja der, daß da jemand die Leitung durchschneidet, die Enden patcht und einen Hub dazwischen setzt und snifft, der Aufwand wäre ja immens.

Gruß, Arch Stanton
manuel-r
manuel-r 29.03.2010 um 08:42:19 Uhr
Goto Top
Ob ihr das solltet oder nicht hält von dem Verhältnis aus Gefährdungspotential und Kosten-Nutzen-Analyse ab. Technisch ist es (bspw. Win Server 20008) durchaus machbar im LAN bspw. IPSec zu machen. Dann kann ein Mithörer mit dem Gebrabbel auf der Leitung nichts anfangen. Dafür muss dann aber eine durchaus nicht gerade simple PrivateKeyInfrastructure (PKI) etabliert werden, die auch wieder jemand managen muss und alle Netzwerkgeräte müssen mitspielen können. Wenn es nicht unbedingt sein muss, würde ich mir das freiwillig nicht unbedingt ans Bein hängen wollen.
Vielleicht reicht es ja schon, wenn ihr einfach statt Kupfer auf LWL umsteigt auf der Verbindung zwischen altem und neuem Büro. Das ist nicht ganz so einfach anzuzapfen. Immerhin müsste man die Leitung auftrennen, neue Verbinder aufspleissen und eine Signalauskopplung einbringen. Das macht man nicht im Vorbeigehen.
Oder ihr macht zwischen altem und neuem Büro eine End-to-End-Verschlüsselung mit zwei IPCops, Edians, Smoothwalls, Monowalls,...

Manuel
maretz
maretz 29.03.2010 um 09:03:05 Uhr
Goto Top
Moin,

absichern? Ja - indem nicht jede Pappnase einfach direkt an den Kabelschacht kommt. Allerdings würde ich da eine vernünftige Abdeckung eher nutzen... (das hat dann aber auch eher was damit zu tun das da ggf. mal nen Stromkabel läuft...)

Verschlüsseln usw.: Sorry, halte ich für Unsinn. Wenn der Kabelschacht selbst leicht zugänglich ist dann bringt die Verschlüsselung rein gar nichts. Hört sich für mich ehrlich gesagt auch eher nach "Spielwiese für die EDV" bei euch an... Denn: Was machst du wenn der böse Mensch einfach nen kleinen Switch vor dem PC am Ende stellt? Oder sind eure PCs auch in Stahlkäfigen eingeschlossen? Und ich halte die Chance für einen kleinen Switch (vom Mitarbeiter ggf. selbst angebracht damit er mit seinem privaten Laptop auch surfen kann) vorm Rechner für deutlich höher als das jemand das Kabel im Kabelschacht anzapft... Und wenn dann wird derjenige idR. bessere Dinge kennen als das Kabel physikalisch anzufassen...
manuel-r
manuel-r 29.03.2010 um 09:37:40 Uhr
Goto Top
@maretz:
Ich bin grundsätzlich auf deiner Seite, dass man es nicht übertreiben muss. Aber gegen
wenn der böse Mensch einfach nen kleinen Switch vor dem PC am Ende stellt [...] damit er mit seinem privaten Laptop auch surfen kann
gibt es ein probates Mittel wenn man will oder muss: 802.1x

Wenn der Kabelschacht selbst leicht zugänglich ist dann bringt die Verschlüsselung rein gar nichts
Ist so nicht ganz richtig: Bei vernünftiger Schlüsselstärke komme ich ohne den Schlüssel nicht an die Daten ran. Da kann ich tagelang mitschneiden wenn ich will.
maretz
maretz 29.03.2010 um 09:43:30 Uhr
Goto Top
Moin,

jap, 802 geht schon. Aber die Frage ist wieviele Leute das in der praxis wirklich aktiv haben... Natürlich kann ich auch mit Radius usw. alles arbeiten - nur seien wir mal ehrlich: Wenn 10% aller Betriebe sowas haben dann ist das schon hoch gegriffen...

Und das mit dem Verschlüsseln ist so eine Sache: Auch da halte ich gegen. Du kannst nen Schlüssel mit 5 MBit nutzen ("fuck for 512 Bit-Schlüssel" ;) ) - und in dem Moment wo die Sekretärin ihr Passwort am Monitor befestigt hat sich das Spiel schon erledigt.

Versteh das nicht falsch: Ich bin sicher nicht dafür jedes System offen zu lassen. Aber Sicherheit ist eben kein einzelner Punkt. Und bevor ich anfange zu prüfen ob ich die Ethernet-Daten die im Kabel laufen verschlüsseln kann habe ich gleich eine ganze Reihe von anderen Ansatzpunkten. Und ich glaube im "SOHO"-Bereich wirst du kaum ein Netz finden bei dem die Absicherung nennenswert ist - allein schon aus dem Grund das der Admin dafür ein bisserl fähig sein muss und entsprechend kostet. Und im SOHO-Bereich ist dieser Kostenpunkt meistens einfach nicht drin (und wäre auch wirtschaftlicher Schwachsinn - wenn ich 5 Angestellte habe dann ist das noch so überschaubar das ich mit vertrauen arbeiten kann... )
manuel-r
manuel-r 29.03.2010 um 09:59:09 Uhr
Goto Top
Ich sag ja: Wir sind einer Meinung
Wenn ich an die Daten in einem Unternehmen ran wollte würde ich nur als allerletzte Möglichkeit irgendwo ein Kabel anzapfen. Da gibt es viel einfachere Mittel und Wege, die auch erst nach einiger Zeit auffallen.
Einfaches Beispiel ist der immer wieder gerne genommene Anrufer, der sich als Support XY ausgibt und mal wegen irgendwas wichtigem das Passwort von Mitarbeiter X braucht. Wenn ich das habe muss ich nur noch abends mit der Putzkolonne ins Büro und gut ist's.
Oder man schickt einen als Spaßmail getarnten Keylogger. Oder irgendwas kleines, was die Dateien nach Suchkriterium Y durchsucht und das Gefundene in kleinen Häppchen per Mail verschickt oder auf einen Webserver hochlädt. Machbar ist da vieles. Und vieles davon ist mit einem ungleich geringeren Risiko verbunden entdeckt zu werden als in ein Gebäude zu gehen und dort eine Leitung anzuzapfen.
Alles in allem gebe ich dir also Recht. Ich würde mir (das schrieb ich ja bereits) so eine "Spielwiese der EDV" nicht freiwillig ans Bein nageln. Jede Maßnahme, die potentiell dazu in der Lage ist die Sicherheit zu erhöhen ist nämlich auch potentiell dazu in der Lage die Fehlersuche zu erschweren oder sogar erst Fehler zu verursachen, die man ohne die Maßnahme nicht gehabt hätte.
maretz
maretz 29.03.2010 um 10:45:04 Uhr
Goto Top
Du hast zwei potenzielle Probleme sogar noch vergessen ;)

a) Jede erhöhung der Sicherheit verringert auch gleichzeitig die Arbeitsgeschwindigkeit. Egal ob es das Passwort ist (nehmen wir an ich erhöhe die Sicherheit - jeder Benutzer muss nen 20-Zeichen-Passwort eingeben -> so oft wie das vergessen wird und die erstmal nachfragen müssen verringert sich die Arbeitsgeschwindigkeit). Oder wir nehmen die Verschlüsselung -> das braucht natürlich immer Zeit zum Ver- und Entschlüsseln der Daten. Und wenn dann ein Fehler auftritt dann sucht man sich nen Wolf...

b) Jede erhöhung der Sicherheit zieht auch häufig den Unmut der Benutzer nach sich. Denn: Die wollen idR. nur Arbeiten. Haue ich denen nen 20-Zeichen-Passwort als Pflicht rein dann hauen die mir auch was rein... Müssen die erstmal z.B. nen Datencontainer per PW öffnen um Arbeiten zu können (oder sogar um den Rechner zu starten weil ich aus Sicherheitsgründen die ganze Sys-Platte verschlüsselt habe) dann finden die das idR. weniger komisch...

Natürlich - wenn ich beim BND arbeite und dort eine entsprechende Sicherheitsfreigabe hab -> DANN muss ich mir sowas überlegen. Die Leute dort werden dann auch nachvollziehen können warum die sich da mit ner Smartcard, 5 Fingerabdrücken und ner Blutprobe anmelden müssen. Wenn ich das aber im normalen Büro mache dann muss ich den Kollegen erklären warum ich das für seine Word-Datei so kompliziert mache. Und das dürfte beim SoHo-Unternehmen zu 99,95% dann intressant werden - aber auch Überflüssig ;)
mrtux
mrtux 29.03.2010 um 12:21:26 Uhr
Goto Top
Hi !

Unser Elektriker würde sagen: Stapa-Rohr face-smile

mrtux
sysad
sysad 29.03.2010 um 14:00:18 Uhr
Goto Top
Zitat von @Arch-Stanton:
Wenn Eure Daten einen höheren Schutz benötigen, als die vom Pentagon, könntest Du den frei zugänglichen
Leitungsteil eventuell in ein halboffenes Kunstoffrohr legen und dann mit tape umwickeln.

Da nehme ich dann ein gewebeverstärktes Sicherheitsklebeband...face-wink

Der einzige Zugriff wäre ja der,
daß da jemand die Leitung durchschneidet, die Enden patcht und einen Hub dazwischen setzt und snifft, der Aufwand wäre
ja immens.

Danke, das wollte ich hören......
PS: Das gleiche Problem tritt ja eher bei Telefonleitungen auf, die laufen fast überall irgendwie anzapfbar durch blosse leichtes Abisolieren.


Gruß, Arch Stanton