Mein Laptop mit Linux Debian folgende (Netzwerkmanager):
IPv4-Adresse: 192.168.0.10
Netzmaske: 255.255.255.255
Gateway: 192.168.0.1
Ich möchte nicht, dass andere Geräte im Netzwerk mein Laptop erkennen, daher habe ich die Netzmaske von 255.255.255.0 auf 255.255.255.255 gestellt. Als standard war dort 255.255.255.0 eingestellt.
Ist das der richtige Weg, um den Laptop im Netzwerk unsichtbar zu machen?
Wenn das Gerät im selben Netzwerk ist, d.h. so wie genannt eine Adresse 192.168.0.x hat, so kann er immer gefunden werden.
Wird die Adresse verstellt und das Routing nicht angepasst, ist der Rechner nicht mehr sichtbar.
Was soll denn konkret erreicht werden? Wird anderen im eigenen Netz nicht vertraut?
wie definierst Du denn „unsichtbar“? Dass er von keinem der üblichen Multicasts (NetBIOS, mDNS, …) gefunden wird? Heißt ja noch lange dass ihn kein aktiver Scanner findet oder er nicht auf Anfragen reagiert.
Also entweder den Netzwerkstecker ziehen oder sicherstellen, dass alle Netzwerkanfragen geeignet authentifiziert und verschlüsselt sind.
Netzmaske. Die Netzmaske gibt in dem Fall an, wie groß das Netzwerk sein darf. 255.255.255.0 bedeutet, das es 256 IPs in dem Netz gibt. 2 Davon musst Du abziehen. Eine ist für das Netz selber, in dem Fall die .0, die .255 wäre die Broadcast Adresse.
Nach Deiner Einstellung wird in dem Netz gar keine Kommunikation mehr möglich sein, da eine Netzmaske von 255.255.255.255 oder im CIDR Format /32 keine Hosts mehr zulässt.
„Wenn das Gerät im selben Netzwerk ist, d.h. so wie genannt eine Adresse 192.168.0.x hat, so kann er immer gefunden werden.“
Das ist nicht korrekt. Wenn die Maschine auf keine Anfragen anwortet, z.B kein RST sendet, sondern die Anfragen einfach dropped, dann sieht man exakt gar nichts. Sofern man von einem aktiven Scan ausgeht.
Ich weiss nicht, was Du damit bezwecken willst. In der Regel kann man z.B sein Wifi so einstellen, dass Hosts in dem Subnet andere Clients weder sehen können, noch mit diesen kommunizieren können. Sieht man sich das allerdings auf einem anderen Layer an, z.B jemand zeichnet den Wifi Traffic auf, sieht man auch diese Kommunikationen anhand der MAC Adresse.
Fazit: In einem LAN, was ein vertrauenswürdiges Netz sein sollte, sind diese Eingreife nutzlos. Klar, kann man aus Spass nen Paketfilter einstellen, der alle Anfragen von anderen Clients in dem Netz dropped, aber was will man damit erreichen? Spätestens jemand der das ganze Netzwerk abschnüffeln kann, z.B mit nem TAP Device, Monitor Port, … sieht alles.
Das ist so nicht richtig. Eine IP-Adresse mit der Subnetzmaske 255.255.255.255 ist technisch gesehen eine gültige Konfiguration, aber sie hat eine sehr spezifische Bedeutung und Anwendung. Diese Konfiguration wird oft als „Host-Route“ bezeichnet und wird in der Regel für Punkt-zu-Punkt-Verbindungen verwendet, wie z.B. bei VPNs oder bei bestimmten Arten von Direktverbindungen zwischen zwei Geräten. Bei der Angabe von Weiterleitungszielen in einer Firewall zum Beispiel werden u.U. solche Adressen verwendet.
In einem herkömmlichen LAN- oder WAN-Netzwerk wäre diese Art von Konfiguration jedoch ungewöhnlich und nicht praktikabel, da sie keine Kommunikation mit anderen Geräten im Netzwerk erlaubt, außer über spezielle Routing-Konfigurationen.
Fazit: Ich glaube schon, dass der Host mit der /32 Netzmaske über ein Gateway mit der Netzmaske /24 kommunizieren kann, halt nur nicht im quasi „selben Netz“ (/24) mit anderen Hosts und die auch nicht mit ihm aber versteckt ist er deswegen noch lange nicht. Dafür gibt es brauchbarere Methoden wie VLAN oder VPN.
Ich denke schon, dass meine Aussage so korrekt ist. Es war hier nicht die Rede von FWs, P2P, VPNs, MPLS, V(X)LAN und auch nicht von Host Routen.
Wenn er das so einstellt, wird er nichts mehr in dem Netz erreichen können. Und selbst die Aussage mit den besseren Lösungen wie VPN und VLAN ist nicht korrekt. Wie sollte ein VPN ihn unsichtbar in demselben Subnetz bzw der Broadcast Domain machen? VLANs sind auch kein Sicherheitsmerkmal, besonders bei etwaigen billo switches und routern. Siehe VLAN Hopping, Double Tagging etc. pp… Nicht ohne Grund hat man ein OOB Mgmt in Enterprise Netzen… und das physisch getrennt. Naja… sollte man haben^^
Das ist nicht korrekt. In einem Single-Host-Netzwerk gibt es weder eine Netzadresse, da es sich nicht um ein Netz im eigentlichen Sinne handelt, noch eine Broadcastadresse, da es keine weiteren Hosts in diesem Netzwerk gibt.
Die Adresse 192.168.0.10/32 ist durchaus eine gültige Adresse, obwohl sie eine recht spezielle Konfiguration erfordert. Beispielsweise muss auf dem Host eine statische Route eingerichtet werden, die den gesamten Datenverkehr an das Gateway 192.168.0.1/24 weiterleitet. Ebenso muss auf dem Gateway eine entsprechende Route zurück zum Host konfiguriert werden, damit das Gateway den Weg zu diesem im Grunde ja unbekannten Netz kennt. Die Routingtabellen könnten beispielsweise folgendermaßen aussehen:
Klar ist das korrekt. Da mit einer /32 Maske nur ein einziger Host übrig bleibt. Und in seinem /24 Netz, welches 254 IP Adressen hat, wird keine Kommunikation mehr möglich sein mit anderen Geräten. Es sei denn, er generiert routen. Aber was bringt es das zu erklären, wenn jemand mit der /32 seinen Host verstecken will? Und das es keine Netzadresse bzw. BC geben kann, ergibt sich auch aus dem was ich geschrieben habe. Wenn man nun ganz pingelig sein möchte, kann man auch sagen, dass man sogar eine Netzadresse an einen host geben kann. Somit wäre dann z.B ein Rechner unter 10.0.1.0 erreichbar Nebenher werden ggf. auch andere services, die der Router ggf. bereitstellt nicht mehr funktionieren. Broadcast und so
Ich könnte jetzt austesten wer Recht hat, aber eigentlich ist es egal. Vermutlich kann ein Angreifer zumindest dann mit dem Laptop kommunizieren, wenn er dafür die Adresse des Gateways verwendet, denn dort sollte jede Anfrage landen die nicht im lokalen Netz ist. Ich würde nie empfehlen auf die Adressierung als Sicherheitsmechanisus zu vertrauen, sondern immer Authentifizierung und Verschlüsselung empfehlen.
Normalerweise leiten Gateways den Datenverkehr nicht zurück in das Netzwerk, aus dem die Anfrage stammt. Aber ich grüble gerade darüber, was passieren würde, wenn ein Host im Netz 192.168.0.0/24 selbst eine statische Route zum Host 192.168.0.10/32 über das Gateway einrichtet:
Im Grunde genommen handelt es sich dabei ja um zwei verschiedene Netzwerke. Auch wenn es beim ersten Anblick nicht so aussieht. Wir lassen Firewalls oder Paketfilter auf dem Gateway jetzt einmal außer Acht. Dies klingt nach einem prima Projekt für einen Abend während der Weihnachtsfeiertage…
Edit: Vermutlich wird es aber daran scheitern, dass beide Netzwerke über ein und dasselbe Interface des Gateways zu erreichen sind. Wenn das Gateway auch ein wenig Schläue besitzt und sonst auch kein VLAN Tagging stattfindet, sollte es das eigentlich nicht zulassen. Bin gespannt…
BTW: Was soll die Regel, dass man keine zwei aufeinanderfolgende Antworten posten darf, wenn man zwei unterschiedlichen Autoren antwortet? Jetzt habe ich die Antwort auf Joachim hier unterbringen müssen…
Das diskutieren wir hier öfter.
Am besten zitierst Du eine Zeichenfolge aus dem Beitrag, auf den Du antwortest (nicht manuell).
Dann wird auch der Autor benachrichtigt.
dann hast Du zwei interessante Testfälle. Ich dachte eher daran, dass der Angreifer die IP und MAC des Gateways übernimmt. Das könnte dann (falls vorhanden) den Switch verwirren…aber vermutlich merkt der sich den zuletzt aktiven Host, der Angreifer muss also nur ordentlich Pakete schicken…
Ganz einfach. Das kommt auf die Implementation des Network Stacks an. Heute sollte das mit Cisco, Juniper , HPE, Fortinet, PA, Extreme Networks, Barracuda, Nokia, FireEye, BlueCoat, SecuNet, Thales, … kein Problem sein.
Nebenher werden ggf. auch andere services, die der Router ggf. bereitstellt nicht mehr funktionieren. Broadcast und so