Zertifikat für Mailserver

lst_hoe02 at kwsoft.de lst_hoe02 at kwsoft.de
Do Okt 20 11:22:22 CEST 2016 

Zitat von Gregor Hermens <gregor.hermens at a-mazing.de>:

> Hallo Walter,
>
> Am Donnerstag, 20. Oktober 2016 schrieb Walter H.:
>> On Thu, October 20, 2016 07:57, Gregor Hermens wrote:
>> > In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des
>> > Opfers nehmen können,
>>
>> was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;
>>
>> > was bei genügend krimineller Energie kein Hexenwerk ist...
>>
>> doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert
>> mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt
>> ;-)
>>
>> oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte
>> Person ist ausgeschlossen;
>
> wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers
> einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver als
> auch Mailserver ausgeben.
>
> Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, diesem die SSID eines
> offenen WLAN geben, daß das Opfer auch benutzt, mich in die Nähe des Opfers
> begeben und so dafür sorgen, daß sich dessen Smartphone statt über das
> Mobilfunknetz über das ihm bekannte WLAN mit dem Internet verbindet.  
> Der echte
> Resolver und dessen andere Nutzer bekommen davon nichts mit, ich habe aber
> Zugriff auf den gesamten unverschlüsselten Traffic des Opfers und kann
> verschlüsselten Traffic terminieren für alle Gegenstellen, deren Zertifikat
> ich fälschen konnte. Der Angriff auf eine einzelne Person ist imho also sogar
> leichter als der auf eine ganze Gruppe.
>
>> hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen
>> Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein
>> derartiger MITM-Angriff das kleinere Problem ...
>
> Das ist aber nicht der Normalfall. Aber auch hier reicht es, wenn ich mich
> zwischen das Opfer und seinen Resolver setzen oder den Resolver z.B.  
> per Cache
> Poisoning beeinflussen kann. Das Opfer müsste z.B. Certificate Pinning
> betreiben, um sich zu schützen.
>
> Gruß,
> Gregor

Dafür gibt es DNSSEC und DANE. Zertifikat Pinning skaliert nicht und  
verschiebt die Sicherheits Entscheidung zum Endanwender, der i.d.R.  
mit Zertifikate verifizieren überfordert ist.

Gruß

Andreas



-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5558 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20161020/ffebd412/attachment-0001.bin>

Mehr Informationen über die Mailingliste postfix-users