Grundlagen

ARP-Angriffe

Im Intranet basiert die Adressierung, anders als im Internet, nicht auf Layer 3 (IP), sondern auf Layer 2 (Ethernet). Ein Paket findet sein Ziel über die MAC-Adresse. Damit die Auflösung zwischen IPv4- und MAC-Adressen reibungslos funktioniert, kommt ARP (Address Resolution Protocol) beziehungsweise sein Pendant RARP (Reverse ARP) zum Einsatz. Darauf baut eine der häufigsten Angriffe aus dem Internet auf: ARP-Spoofing.
Der einfachste Angriff auf ARP-Ebene basiert darauf, dass der Angreifer kontinuierlich ARP-Reply-Pakete an Computer A schickt und so seine eigene MAC-Adresse für die IP-Adresse von Computer B setzt. Sendet er nun noch ein ARP-Reply an Computer B, in dem seine MAC-Adresse für die von Computer A eingetragen ist, verfügt er über eine bidirektionale Man-in-the-Middle- Verbindung. Dieser Angriff wird auch Network Hijacking genannt. Nun ist der Angreifer in der Lage, sämtlichen Traffic zwischen den beiden Computern zu lesen und zu manipulieren.

Man-in-the-Middle-Angriffe über ARP sind am einfachsten auf dem Client zu erkennen, aber auch Netzwerkgeräte wie Switche können dies, wenn der Traffic des Angriffs über sie läuft. Wie wir schon gesehen haben, wird innerhalb eines internen Netzes ein ARP-Request verschickt, um die zu einer IPv4-Adresse zugehörige MAC-Adresse zu finden. Der Angriff beruht darauf, den Reply auf einen ARP-Request zu fälschen, sodass der Client anstatt der richtigen IP-Adresse die des Angreifers in seinen ARP-Cache einträgt. Die einfachste Art, diesen Angriff zu verhindern, ist es, überhaupt kein ARP-Protokoll zu nutzen, um MAC-Adressen zu verbreiten. Stattdessen werden die MAC-Adressen in allen Geräten des Netzwerks statisch eingetragen.

Viele Netzwerkgeräte bieten heutzutage die Möglichkeit, statisch oder dynamisch MAC-Adressen zu lernen und zu prüfen. Relevante Techniken sind hierbei etwa Port Security, DHCP Snooping, Private VLANs, AID und die Implementierung des 802.1x-Standards.

Es ist nicht sehr schwer, sich vor den beschriebenen Angriffen zu schützen. Entweder setzt der Administrator auf eine Kombination von statischem ARP und Konfigurationsmanagement-Tool oder auf Features seiner Switche. Das Address Resolution Protokoll wurde 1982 standardisiert, als ein Netzwerk noch ausschließlich aus freundlich gesinnten Computern zu bestehen schien. Jeder, der ARP einsetzt, sollte sich darüber im Klaren sein, dass es sich hierbei um kein sicheres Protokoll handelt, und entsprechende Vorsichtsmaßnahmen treffen.
27.03.2015/Lucy Pelzer und Bastian Ballmann/jp/ln

Nachrichten

Verwundbare IT im Gesundheitswesen [24.04.2019]

Vectra hat die Forschungsergebnisse seines Spotlight-Reports 2019 für das Gesundheitswesen bekannt gegeben. In der Branche hält demnach das Internet der Dinge vermehrt Einzug. In Kombination mit nicht partitionierten Netzwerken, unzureichenden Zugangskontrollen und der Verwendung von Altsystemen entstehe eine riesige, anfällige Angriffsfläche. [mehr]

BlackBerry-Verschlüsselung für Privatkunden [23.04.2019]

BlackBerry stellt seine Ende-zu-Ende-Verschlüsselungsplattform für Unternehmen, BBM Enterprise, nun auch für die individuelle Nutzung zur Verfügung. Hintergrund ist die Entscheidung des bisherigen Anbieters Emtek, die Unterstützung von BBM für Konsumenten zu Ende Mai 2019 einzustellen. Für die ersten 12 Monate ist die App kostenfrei verfügbar. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

nVidia-GRID-Treiber auf Citrix bereitstellen [7.04.2019]

In einer Citrix-Umgebung kann das Problem auftauchen, dass nVidia-GRID-Treiber nicht richtig funktionieren, wenn sie per Citrix AppLayering bereitgestellt werden. Wenn sie in einem Layer installiert sind, scheinen die nVidia-GRID-Treiber auf dem später gepublishten Image nicht zu arbeiten. Zur Problemlösung existiert zumindest ein Workaround. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen