Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Welche Verschlüsselung?

geschrieben am 11.06.2008 um 11:53 von hanswurst

Hi Leude,

ich beschäftige mich derweil ein wenig mit den Anonymisieren TOR und JAP. Laut Literatur ist die Einwahl ins Anonymisierungsnetz und der Routingvorgang im Anon-Netz verschlüsselt.

Nun möchte ich das aber nicht nur anhand von einer Literaturquelle aufzeigen, sondern auch mit dem Einsatz eines Scannertools wie z.B. Wireshark, oder was sich sonst so dafür empfehlen lässt.

Da ich in sowas aber noch ein ziemlicher Noob bin, weiß ich leider nicht wirklich wie ich das zeigen kann. TOR läuft ja auf 127.0.0.1:8118 und JAP auf 127.0.0.1:4001. Wenn ich nun aber das scanne, ist alles unverschlüsselt --> was aber auch logisch ist, denn die Daten befinden sich auf dem eigenen Rechner (localhost) wo sie ja noch unverschlüsselt sein dürfen.

Die Frage ist nun einfach was ich scannen soll? Ist der einfach der HTTP-Port 80 wenn ich TOR oder JAP benutze? Kann ja eigentlich nicht sein, da die Kommunikation über 8118 oder 4001 läuft. Generelle Frage ist wie sähe ein solches Scann-Szenario aus? Was muss ich einstellen, welches Device scannen (bei mir läuft alles über WLAN), welche Ports müssen gescannt werden, u.s.w.

Wie zeige ich am besten und logischten das der Traffic verschlüsselt ist? Wie kriege ich raus welche Verschlüsselung verwendet wird? (TLS oder AES oder was anderes?)

Wäre auserordentlich dankbar für Hilfe, da ich mir in dieser Angelegenheit noch nicht sicher bin...

Gruss und Danke schonmal
hanswurst
 

geschrieben am 11.06.2008 um 17:46 von bewa

Re: Welche Verschlüsselung?

"hanswurst" wrote:

Nun möchte ich das aber nicht nur anhand von einer Literaturquelle aufzeigen, sondern auch mit dem Einsatz eines Scannertools wie z.B. Wireshark, oder was sich sonst so dafür empfehlen lässt.


Das riecht irgendwie nach IHK-Abschlussprojekt, oder Hausaufgabe. :-) Egal, schaun wir mal:

Du musst dir zunächst überlegen, *was* du zeigen/untersuchen möchtest. Wenn du zeigen möchtest, das die Kommunikation zwischen den beiden Systemen nicht nur anonymisiert wird, sondern auch verschlüsselt ist, solltest du auch nicht auf, sondern zwischen den beiden Systemen sniffen.

Wenn du einen dritten Rechner hast, hänge den mit Wireshark zwischen zwei verbundene TOR- oder JAP-Knoten. Falls du keinen hast, könntest du zur ein oder zwei Systeme auch virtualisieren (UML, VMWare etc.) - das ergibt häufig zusätzliche Stolperfallen für Einsteiger...

Quote:
Wenn ich nun aber das scanne, ist alles unverschlüsselt


Aufpassen, welches Ziel die Datenübertragung hat! Wenn überhaupt wird ja nur die Übertragung innerhalb des Knotens verschlüsselt, d.h. jeder Knoten-Betreiber kann mitlesen (siehe "TOR-Phishing" vor ein paar Monaten, u.a. auf heise.de zu lesen) und der Datenverkehr wird natürlich wieder entschlüsselt, sobald er den letzten Knoten vor dem Ziel verlässt.

Quote:
Wie kriege ich raus welche Verschlüsselung verwendet wird?


JAP nutzt wenn ich mich richtig erinnere sowohl AES als auch RSA für unterschiedliche Zwecke. Dazu müsste es aber die Specs im Netz geben.
Bei TOR bin ich mir gerade nicht sicher, aber auch das steht irgendwo in den Specs. Sofern da keine shared keys verwendet werden, müsstest du irgendwo im Mitschnitt auch Schlüsselaushandlungen zwischen den Nodes sehen können.
 

geschrieben am 11.06.2008 um 21:43 von hanswurst

Hi bewa,

du hast recht, es ist ein kleiner teil einer Abschlussarbeit ;-)

aber nun zum wesentlichen: du schreibst ich solle einfach einen dritten Rechner zwischen 2 Tor-Nodes hängen. Naja wie stellst du dir das vor? Ich lebe schließlich nicht in einem High-Tech Labor sondern nur in meinem Zimmer...

Ausserdem geht es mir vielmehr darum zu zeigen, das die Einwahl ins Anon-Netz verschlüsselt ist --> also muss ich doch wohl die Kommunikation zwischen meinem Rechner und dem ersten Node des Anon-Netzes überprüfen. Nur Wie genau?

Ach ja, ich weiß natürlich aus Docs genau welche Art von Verschlüsselung benutzt wird, wollte nur wissen ob man das auch irgendwo mit Wireshark oder nem anderen Prog sieht, und nicht nur aus Docs lesen kann.

Gruss
 

geschrieben am 11.06.2008 um 22:02 von bewa

Quote:
Ausserdem geht es mir vielmehr darum zu zeigen, das die Einwahl ins Anon-Netz verschlüsselt ist --> also muss ich doch wohl die Kommunikation zwischen meinem Rechner und dem ersten Node des Anon-Netzes überprüfen.


Auch da ist die sauberste Variante: Häng' einen eigenen Rechner als Sniffer dazwischen. Dann siehst du definitiv nur den Traffic, der auch über die Leitung geht.

Die Billig-Variante: Sniffe auf deinem Rechner den Traffic der "nach draußen" geht. Da solltest du nur verschlüsselten Traffic in Richtung TOR sehen. Nachteil dieser Variante ist klar, das man sauber trennen muss, welcher Traffic auf dem Rechner verbleibt und welcher nach außen geht.
 

geschrieben am 11.06.2008 um 22:44 von hanswurst

Ok bewa,

klingt alles logisch und richtig was du da sagst. Ich kann augrund meiner Rechner Kapazitäten höchstens die Billig Variante durchführen. Nur was genau soll ich da als Sniffer Filter einstellen? Port 80 also den normalen HTTP, oder doch den Port 8118 für Tor? Bedenke das ich mit sniffer Tools ein ziemlicher Noob bin, denn ich hab damit noch fast nix gemacht...

Greetz und Danke für die Tips
 

geschrieben am 12.06.2008 um 07:40 von bewa

"hanswurst" wrote:

klingt alles logisch und richtig was du da sagst. Ich kann augrund meiner Rechner Kapazitäten höchstens die Billig Variante durchführen. Nur was genau soll ich da als Sniffer Filter einstellen?


Ich würde erstmal auf den TOR-Server filtern, mit dem sich dein Rechner verbindet. Alles weitere sollte sich dann ja zeigen. Port 8118 ist doch nur der übliche *lokale* Port für den TOR-Proxy, wenn man nicht über SOCKS gehen kann/will, oder habe ich das jetzt soo falsch im Kopf?!

Falls du übrigens mal wirklich selbst einen Server aufsetzen möchtest gibt es hier eine ganz nette Anleitung:
http://www.torproject.org/docs/tor-doc-server.html.de
 

geschrieben am 12.06.2008 um 10:58 von hanswurst

hi bewa,

ich habe nun folgendes gemacht/getetstet:

Interface: eth2 (also meien wlan-karte)
Capture Filter: keiner (also alles was von meinem Rechner raus geht)
Capture paketes in promiscuous mode war aktiviert

Ich habe zuerst ein Scannvorgang ohne TOR gemacht, und mich in einem Forum (welches nur HTTP unterstützt, kein HTTPS) mit Usernamen/Passwort angemeldet. Ohne Tor Verwendung konnte ich dann in den Wireshark Paketen direkt das Passwort rauslesen.

Danach habe ich das selbe mit eingeschlaltetem Tor gemacht. Nun konnte man keine Passwort mehr rauslesen.

Damit habe ich doch schon gezeigt das eine Verschlüsselung aktiv ist. Oder habe ich irgendwo noch einen Denkfehler? Wie gesagt mache sonst garnichts mit Sniffer/Hackertools.

Greetz
hanswurst
 

geschrieben am 12.06.2008 um 14:22 von bewa

"hanswurst" wrote:

Damit habe ich doch schon gezeigt das eine Verschlüsselung aktiv ist. Oder habe ich irgendwo noch einen Denkfehler?


Wenn eine Verschlüsselung aktiv ist, darfst du gar nichts mehr oberhalb von TCP oder UDP lesen können. Je nach Verschlüsselung siehst du dann wahrscheinlich SSL- oder TLS-Pakete statt HTTTP.

Vergleiche mal die Mitschnitte vorher und nachher: Unverschlüsselt kannst du den Datenverkehr komplett lesen - hat ja geklappt, sonst könntest du das Passwort nicht lesen. Verschlüsselt muss jeglicher (in diesem Fall HTTP-)Datenverkehr unlesbar sein.
Es geht ja bei Anonymisierung in erster Linie nicht darum, irgendwelche Passwörter zu sichern, sondern zu verhindern das jemand mitliest, mit wem jemand kommuniziert und evtl. was drin steht.

Wenn du untersuchen möchtest, ob Anonymisierung klappt, musst du zeigen bzw. nachprüfen, ob:
- Bei unverschlüsselter Übertragung sichtbar ist, mit wem du kommunizierst, z.B. mit dem Webserver des Forums.
- Bei verschlüsselter Übertragung *nicht* sichtbar ist, mit wem du kommunizierst. Sonst wäre ein Teil der Anonymisierung ja witzlos. Es gibt schliesslich zwei Ziele: a) Das Ziel sieht nicht, wer etwas wissen möchte, weil der Proxy dazwischen steckt. b) Deine Umgebung sieht nicht, mit wem du kommunizierst.
 

geschrieben am 12.06.2008 um 15:00 von hanswurst

Hi bewa,

hab vorhin nochmal ein bisje rumgebastelt, und vielleicht sogar eine bessere Lösung gefunden. Ich habe folgendes gemacht:

da TOR/JAP ja nur mit TCP arbeitet, habe ich mir die erstmal in den Filter gesetzt. Dann habe ich den Filter noch so gemacht, das alle Pakete aufgezeichnet werden, wovon mein Rechner die Quelle ist.

D.h. ich zeichne jetzt Pakete auf, die von meinem Rechner raus gehen, bei aktiver Anonymisierung. Die IP-Adressen die ich dabei auffand konnte ich als Tor-Entry-Node bzw. Jap-Eingangsmix identifizieren. Soweit sogut.

Passwörter, Usernamen oder besuchte Seiten konnten nicht aus diesen Paketen gewonnen werden. Ich hoffe ich hab nirgendswo ein Denkfehler. Dann hätte ich gezeigt das die Kommunikation zw. meinem Rechner und dem eingang zum Anon-Netz verschlüsselt ist.

Gruss
hanswürst
 

geschrieben am 13.06.2008 um 07:44 von Otaku19

"hanswurst" wrote:

aber nun zum wesentlichen: du schreibst ich solle einfach einen dritten Rechner zwischen 2 Tor-Nodes hängen. Naja wie stellst du dir das vor? Ich lebe schließlich nicht in einem High-Tech Labor sondern nur in meinem Zimmer...

also in meinem "Zimmer" stehen 3 Rechner... ein Snifferrechner kostet dich so daumen mal pi 50€

Das beste ist für sowas sowieso n eigneen Knotenrechner zu betreiben :D
 

geschrieben am 13.06.2008 um 10:29 von hanswurst

Hi Otaku,

ich hab sogar mehr oder weniger 3 Rechner (wovon 2 Schrottwert haben;-))

aber dann müsste ich ja in meinem Zimmer 2 Tor-Nodes betreiben, um dann noch einen Rechner zw. die 2 Tor-Nodes zu setzen. Dazu müsste ich erstmal 2 Tor-Nodes aufsetzen. Das ist glaube ich ziemlich viel Aufwand. Oder wie würdest du das machen?


Ausserdem birgt es gewisse Gefahren Tor-Nodes zu betreiben. Betreibst du ein Node?

Greetz
 

geschrieben am 16.06.2008 um 08:37 von Otaku19

nein, ich halte von diesem Unsinn nichts
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019