[linux-l] sockets und ip's

[Olaf Radicke]

Am Sa, 2003-10-11 um 20.29 schrieb Oliver Bandel:
> On Sat, Oct 11, 2003 at 01:48:49PM +0200, Olaf Radicke wrote:
> > 
> > Und ist es möglich das ein Klient "lügen" kann und von
> > sich behaupten kann er sei ein anderer? Also sich in
> > einer Sitzung "dazwischen schieben"? 
> 
> Ja, klar geht das.
> Ist wohl im Moment noch nicht sehr üblich, aber man kann das machen.
> Überall, wo Bits über die Leitung gehen, kann man sich dazwischen
> hängen.... in wieweit verschlüsselte Protokolle helfen, ist fraglich.
> Kenne mich mit Krypto-Protokollen nicht so sehr aus, aber ich denke mal
> (so aus dem Bauch heraus vermutet), daß die IP-Adresse nicht
> verschlüsselt übertragen wird... die Nutzdaten liegen ja nicht
> in der selben OSI-Schicht wie die IP-Kenndaten.
> Aber wenn man sich bei verschlüsselter Kommunikation dazwischen hängt,
> dann muß man ja erst mal die Kommunikationsmöglichkeit aufbauen
> können... sich also Authentifizieren.
> In wieweit das auch exploitbar ist, weiß ich nicht.

Ich habe mir da folgendes überlegt:

Bei jeder Antwort vom Server an den Klienten wird eine Frase 
mitgeschickt. Bei der nächsten Anfrage des Klienten muss selbiger
eine md5 Summe aus seinem Passwort und der letzten Frase bilden
und mitschicken. So kann der Server sehen das die Anfrage immer
noch von dem selben kommt. Selbst wenn die Frase abgefangen wird,
fielt noch das Passwort, das nie über das Netz geschickt wird
und nur der Server und der (richtige) Klient hat. Aber durch
das md5 wird das natürlich auch wieder langsamer.

MfG
Olaf