Sicherheit einer DFÜ-Verbindung

693
dtmland

Wenn Sie zwei Computer mit Windows XP verwenden, können Sie eine "DFÜ-Verbindung" zwischen den beiden Geräten über eine Standard-Festnetztelefonleitung einrichten . Ich kann mir vorstellen, dass dies auch unter Windows 7 und den meisten anderen Betriebssystemen möglich ist. (Linux usw.)

Im Fall von Windows XP können Sie die Verbindung so konfigurieren, dass der Client ein "Kennwort" für die Verbindung zum Server verwendet. Ich vermute, dass dies relativ sicher nicht sicher ist. Jemand mit genügend "Know How", das auf der Telefonverbindung "zwischen den beiden Computern" "lauscht", könnte das Passwort schnüffeln und den Datenverkehr leicht einsehen. Ist dieser Verdacht richtig? Wenn ja, warum und wie?

Was wäre, wenn ich einen SSH-Server einrichten und alle bekannten Hosts und die entsprechenden Schlüssel usw. vorkonfigurieren würde. Ich könnte dann eine sichere Verbindung über die standardmäßige ungesicherte Modemverbindung herstellen. Ist das richtig?

Zum Schluss habe ich eine optionale Frage, ignorieren Sie diese Option (es ist etwas offen, aber es könnte Spaß machen, sie zu beantworten):

Die meisten Verbraucher verwenden heutzutage keine DFÜ-Verbindungen, aber viele kommerzielle Anwendungen tun dies immer noch. Wie hoch ist die Chance, dass "böse Jungs" bei Ihrem durchschnittlichen Festnetz-Telefonanschluss "zuhören"? Glaubst du, dass das tatsächlich passiert?

1

3 Antworten auf die Frage

3
Alois Mahdal

Ist dieser Verdacht richtig? Wenn ja, warum und wie?

Ja, es wird Man-in-the-Middle-Angriff (MITM) genannt, der praktisch über jeden Kommunikationskanal erfolgen kann.

Sicher haben Sie von "bösen" Politikern gehört, die die Post von jemandem manipulieren? Warum haben sie in alten Zeiten Siegel für Botschaften verwendet?

Das Problem ist, dass mit dem Aufkommen des Internet-Zeitalters viel mehr zu manipulieren ist, und dass die Sicherheit selbst bei Dingen, die wir kennen und verwenden, viel weniger Sicherheit bietet.

Ein kleines Beispiel.

Bedenken Sie Folgendes: Sie gehen in eine Bank, um Geld mit klassischer Abrechnung zu senden.

  • in einer bekannten Stadt

  • auf einer bekannten Straße

  • mit vielen Leuten herum

  • Sie kennen vielleicht sogar den Sicherheitsbeamten

  • Sie wissen, wie die Aussage aussehen soll

  • Sie können den Angestellten sogar durch Gesicht und Stimme kennen. Auch wenn sie neu sind, können Sie das kommentieren und reagieren.

Bevor Sie überhaupt das Papier anfassen, gibt es buchstäblich Tausende von Tera-Bytes (na ja, AFAIK hat es nie gemessen, aber es wäre eine riesige Zahl), die Ihr Gehirn nachprüfen wird, damit Sie sicher sind, dass Sie es sind am richtigen Ort, und an diesem Morgen ist nichts Seltsames passiert.

Nun ist diese enorme Menge an Daten ist in der Tat öffentlichen Schlüssel der Bank: Jeder alle Daten bekommen können, aber für Sie, es funktioniert nur, wenn Sie Erinnerungen an den Ort (das ist Ihr privater Schlüssel). Ihr Gehirn (ja, die einzige Maschine, der Sie vertrauen können, nur weil Sie müssen), erledigt alle Dekodierungen und Überprüfungen für Sie. Cool.

Betrachten Sie nun eine HTML-Seite mit einem einfachen Namen / Passwort-Formular. Und ein ... wie groß ... 4096 Byte großes Sicherheitszertifikat. Wo sind die privaten Schlüssel? Zur Vereinfachung können wir sagen, dass sie in Ihrem Betriebssystem sind. Und was macht die Box für Sie? Kannst du nach innen schauen

Willkommen in der Welt der Internetsicherheit.

Nun, ich versuche nicht, Welten mit Universen zu vergleichen oder zu sagen, dass es irgendwie einfach ist, ein Bankzertifikat zu fälschen (es ist lächerlich einfach, dies mit dem HTML-Formular zu tun) oder dass es leicht ist, in die Mitte zu gelangen ( es ist überraschend einfach in den meisten Wi-Fi-Netzwerken). Was ich damit sagen möchte, ist, dass es nie weniger Daten gab, die gefälscht werden mussten, und dass es nie mehr "unsichtbare" Möglichkeiten gab, dies zu tun.

Was wäre, wenn ich einen SSH-Server einrichten und alle bekannten Hosts und die entsprechenden Schlüssel usw. vorkonfigurieren würde. Ich könnte dann eine sichere Verbindung über die standardmäßige ungesicherte Modemverbindung herstellen. Ist das richtig?

Genau dafür wurde ssh entwickelt: relativ sichere Verbindungen über nicht vertrauenswürdige Netzwerke.

Es gibt jedoch weitere Faktoren, die zu berücksichtigen sind.

OK, vorausgesetzt, dass Ihr privater Schlüssel oder Ihr Server nicht gefährdet wurde und Sie einen starken (= langen, 4096 Byte) Schlüssel verwendet haben und Ihr "Feind" keine überragende Rechenleistung hat, vorausgesetzt, Ihr Feind ist dies hören Sie nicht lange genug zu, vorausgesetzt, sie haben so wenig Wissen über Ihre Hard- und Software wie möglich ... ja, es ist möglich, den Einbruch sehr schwer zu machen .

Denken Sie daran: Sicherheit ist keine Technologie. Sicherheit ist eine Denkweise.

Wie hoch ist die Chance, dass "böse Jungs" bei Ihrem durchschnittlichen Festnetz-Telefonanschluss "zuhören"? Glaubst du, dass das tatsächlich passiert?

Die Chancen sind wahrscheinlich sehr schwer zu schätzen, ohne technische Details der Verbindung zu kennen. Wie viele Haie mit Lasern gibt es? Ist es mitten in der Sonne?

Aber im Ernst, ich denke, obwohl Sie die Beweise wahrscheinlich nicht erraten können, gibt es einen anderen Standpunkt:

Können die Mächtigen den Wert einer solchen Option schätzen? (Ich meine, wie alt sind sie? Sind sie schon "die Internetgeneration"?)

Ist es (oder ist es bald möglich), solche Daten zu analysieren und davon zu profitieren?

Sind die Menschen, die in einem gewissen Sinn solche Daten unweigerlich erheben müssen, nur damit ihre Dienste funktionieren können (wie: Ich kann mir kein soziales Netzwerk vorstellen, ohne soziale Daten zu speichern), sind sie "ethisch ausgewogen" genug, so dass sie sie nicht bereits verkaufen ? Würden wir das wissen?

Willkommen in der Welt der Internetethik.

1
cb4

Ist dieser Verdacht richtig? Wenn ja, warum und wie?

Ihr Verdacht ist nicht ganz richtig. Windows XP unterstützt eine Reihe von Sicherheitsoptionen für die Authentifizierung und Verschlüsselung für Remote-Netzwerkverbindungen, einschließlich DFÜ-Verbindungen. Dies ist auf der Microsoft-Website dokumentiert .

Während WinXP so konfiguriert werden kann, dass das Kennwort im Klartext übertragen wird, müssen bei anderen Optionen das Kennwort sicher gesendet und der nachfolgende Datenverkehr verschlüsselt werden. Eine solche Verbindung kann nicht ohne weiteres entdeckt werden. Es gibt jedoch Techniken zum Hacken einer sicheren Verbindung. Einige sind schwieriger als andere zu knacken, abhängig von den gewählten Optionen (40-Bit-Taste [easy] vs. 128-Bit-Taste [härter], zum Beispiel).

Ja, Ihre SSH-Verbindung ist sicher und Sie können einen stärkeren Verschlüsselungsalgorithmus (256-Bit-Schlüssel) als WinXP auswählen.

Zu Ihrer optionalen Frage denke ich, dass die Wahrscheinlichkeit, dass "böse Jungs" (dh jemand, der tun möchte, dass Sie Schaden anrichten) auf einer intermittierenden Einwahlverbindung zu hören ist, gering ist, da Hacker im Allgemeinen nach der "großen Punktzahl" suchen. Sie sollten jedoch stets entfernte Netzwerkverbindungen jeglicher Art sichern und niemals Passwörter über das Kabel im Klartext senden.

0
agz
Is this suspicion correct? If so, why and how? 

Ja, das ist richtig. Dies ist auch bei modernen Verbindungen ein Problem, aber die Verschlüsselung hat dafür gesorgt. (Recherche nach privaten und öffentlichen Schlüsseln)

What if I were to setup an ssh server and pre-configure all the known hosts and appropriate keys and such. I could then achieve a secure connection over the standard un-secure modem connection? Is this correct? 

Ja

What are the chances that "bad guys" are "listening" on your average land line telephone connection? Do you think this actually happens? 

Es hängt davon ab, von wem Sie die "Bösen" betrachten. Angesichts der jüngsten Nachrichten bei der NSA ist es sehr sicher, dass die Regierung "zuhört", und es ist bekannt, dass ISPs und Telefonanbieter Ihr Internet / Telefon protokollieren und überwachen. Wenn Sie sie als "böse Jungs" betrachten, dann ja. Es ist jedoch ziemlich unwahrscheinlich, dass ein zufälliger Fremder in Ihr Telefon / Internet eingreift.

"Dafür hat die Verschlüsselung gesorgt.", ... um es etwas schwieriger zu machen. Niemand wird sich wirklich "darum kümmern". Alois Mahdal vor 11 Jahren 0