Pflichtenheft aktuell (2)

[Stephan Beyer]

hallo alexander,

> Notebook mit ethereal und dsniff drauf an irgendeiner Netzwerkdose in
> geswitchter Umgebung. Das hat nicht zwei Minuten gedauert den Switch so
> zu verwirren, dass der nur noch wie ein dummer Hub gearbeitet hat und
> alle Daten an alle Ports gingen.

so hardwareseitig habe ich das noch garnicht betrachtet

> Danach war das Sniffen so einfach, dass man es ohne weiteres jedem
> Mausschubser beibringen könnte. Du glaubst nicht, wie schnell da die
> Passwörter von Websites (Webmail), POP etc. ausspioniert sind. 



> Meine persönliche Konsequenz war, bei der Erweiterung des Netzwerks nur
> noch entsprechend geschützte Switches zu kaufen und soweit möglich SSL zu
> verwenden.

SSL alleine muesste es aber doch auch tun? so fuer low-budget ;)
nur die server (http, pop, imap etc) mit ssl auszuruesten stellt ja kaum
ein problem dar (entsprechende pakete installieren), problem ist eher,
dass, das umsonst ist, wenn der client kein ssl will, also zb emails
ohne ssl abgerufen werden... insoweit moeglich, koennte man dafuer eine
art serverseitigen ssl-zwang einfuehren, der es aber auch nicht bringt,
da ein zb alter mailclient sich trotzdem unverschluesselt einloggt, die
daten uebers netz gehen, nur der server es dann nicht annimmt ;)

interessant wird es auch beim proxy. man muesste ja naemlich auch diese
daten verschluesseln, also ein https-proxy, wobei ich nicht weiss, ob
sich nicht trotzdem da die unverschluesselten daten vorher wegsniffen
lassen (und ich glaub das geht).

> > > > Laufwerk t als Tauschverzeichnis
        :
> 
> Ich sehe bei dem Verfahren die gleichen Vorteile wie Du, kann aber auch
> Hans-Dietrichs Gegenargumente teilweise nachvollziehen. Vielleicht kann
> man ein Standard-Verfahren benutzen und den Admin das andere als
> Alternative auswählen lassen, wenn ihm der Standard nicht passt. Das
> dürfte nicht so ein großer Aufwand sein.

ich glaub, so wurde das von hdk nun auch im pflichtenheft
verankert :)

gruss
stephan