Grundlagen

ARP-Angriffe

Im Intranet basiert die Adressierung, anders als im Internet, nicht auf Layer 3 (IP), sondern auf Layer 2 (Ethernet). Ein Paket findet sein Ziel über die MAC-Adresse. Damit die Auflösung zwischen IPv4- und MAC-Adressen reibungslos funktioniert, kommt ARP (Address Resolution Protocol) beziehungsweise sein Pendant RARP (Reverse ARP) zum Einsatz. Darauf baut eine der häufigsten Angriffe aus dem Internet auf: ARP-Spoofing.
Der einfachste Angriff auf ARP-Ebene basiert darauf, dass der Angreifer kontinuierlich ARP-Reply-Pakete an Computer A schickt und so seine eigene MAC-Adresse für die IP-Adresse von Computer B setzt. Sendet er nun noch ein ARP-Reply an Computer B, in dem seine MAC-Adresse für die von Computer A eingetragen ist, verfügt er über eine bidirektionale Man-in-the-Middle- Verbindung. Dieser Angriff wird auch Network Hijacking genannt. Nun ist der Angreifer in der Lage, sämtlichen Traffic zwischen den beiden Computern zu lesen und zu manipulieren.

Man-in-the-Middle-Angriffe über ARP sind am einfachsten auf dem Client zu erkennen, aber auch Netzwerkgeräte wie Switche können dies, wenn der Traffic des Angriffs über sie läuft. Wie wir schon gesehen haben, wird innerhalb eines internen Netzes ein ARP-Request verschickt, um die zu einer IPv4-Adresse zugehörige MAC-Adresse zu finden. Der Angriff beruht darauf, den Reply auf einen ARP-Request zu fälschen, sodass der Client anstatt der richtigen IP-Adresse die des Angreifers in seinen ARP-Cache einträgt. Die einfachste Art, diesen Angriff zu verhindern, ist es, überhaupt kein ARP-Protokoll zu nutzen, um MAC-Adressen zu verbreiten. Stattdessen werden die MAC-Adressen in allen Geräten des Netzwerks statisch eingetragen.

Viele Netzwerkgeräte bieten heutzutage die Möglichkeit, statisch oder dynamisch MAC-Adressen zu lernen und zu prüfen. Relevante Techniken sind hierbei etwa Port Security, DHCP Snooping, Private VLANs, AID und die Implementierung des 802.1x-Standards.

Es ist nicht sehr schwer, sich vor den beschriebenen Angriffen zu schützen. Entweder setzt der Administrator auf eine Kombination von statischem ARP und Konfigurationsmanagement-Tool oder auf Features seiner Switche. Das Address Resolution Protokoll wurde 1982 standardisiert, als ein Netzwerk noch ausschließlich aus freundlich gesinnten Computern zu bestehen schien. Jeder, der ARP einsetzt, sollte sich darüber im Klaren sein, dass es sich hierbei um kein sicheres Protokoll handelt, und entsprechende Vorsichtsmaßnahmen treffen.
27.03.2015/Lucy Pelzer und Bastian Ballmann/jp/ln

Nachrichten

Firmware-Schadcode gesichtet [20.01.2022]

Malware, die die Firmware von Rechnerkomponenten befällt, ist besonders schwer zu entdecken und zu entfernen. Nun hat Kaspersky Labs den dritten Fall eines Firmware-Bootkits "in the wild" entdeckt. Der Schädling namens "MoonBounce" nistet sich im UEFI ein. Dieses befindet sich im SPI-Flash, einer Speicherkomponente außerhalb der Festplatte. [mehr]

Vernetzte Angreifer [12.01.2022]

Ransomware gehört zu den besonders variantenreichen Angriffstaktiken im Bereich Cyber-Kriminalität. Die jüngsten Entwicklungen um einen neuen Bedrohungsakteur sind Gegenstand der aktuellen Forschungsergebnisse von BlackBerry. Dessen Research and Intelligence-Team hat jüngst eine ungewöhnliche Verbindung zwischen den Aktionen dreier verschiedener Bedrohungsgruppen aufgedeckt, in deren Zentrum ein vierter Akteur namens Zebra2104 steht. [mehr]

Tipps & Tools

Vorschau Februar 2022: Cloudmanagement [19.01.2022]

Der Gang in die Cloud klingt erst einmal verlockend für viele Unternehmen. Doch lauern bei genauem Hinsehen zahlreiche Fallstricke, die IT-Verantwortlichen das Leben schwer machen. Im Februar befasst sich IT-Administrator mit dem Schwerpunkt "Cloudmanagement". Darin erfahren Sie, worauf es bei der Migration von Storage in die Cloud ankommt und wie Sie die Google Cloud Platform im Auge behalten. Außerdem zeigen wir im Februar-Heft die Überwachung virtueller Umgebungen mit ManageIQ und was Salt, Puppet, Chef und Ansible bei der Cloudverwaltung zu bieten haben. [mehr]

Intensivseminar zu Kubernetes-Infrastrukturen [17.01.2022]

Mit Kubernetes verwalten IT-Verantwortliche containerisierte Arbeitslasten und Services und profitieren dabei von deklarativer Konfiguration und erleichterter Automatisierung. Die containerzentrierte Managementumgebung koordiniert die Computer-, Netzwerk- und Speicherinfrastruktur für die Workloads. Wie Admins Kubernetes einrichten und auf der Plattform Anwendungen sicher in Containern betreiben, zeigt unser Online-Intensivseminar im kommenden Frühjahr detailliert und praxisnah. Sichern Sie schon heute Ihren Platz, Abonnenten nehmen wie immer zum Vorzugspreis teil.  [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen