Grundlagen

ARP-Angriffe

Im Intranet basiert die Adressierung, anders als im Internet, nicht auf Layer 3 (IP), sondern auf Layer 2 (Ethernet). Ein Paket findet sein Ziel über die MAC-Adresse. Damit die Auflösung zwischen IPv4- und MAC-Adressen reibungslos funktioniert, kommt ARP (Address Resolution Protocol) beziehungsweise sein Pendant RARP (Reverse ARP) zum Einsatz. Darauf baut eine der häufigsten Angriffe aus dem Internet auf: ARP-Spoofing.
Der einfachste Angriff auf ARP-Ebene basiert darauf, dass der Angreifer kontinuierlich ARP-Reply-Pakete an Computer A schickt und so seine eigene MAC-Adresse für die IP-Adresse von Computer B setzt. Sendet er nun noch ein ARP-Reply an Computer B, in dem seine MAC-Adresse für die von Computer A eingetragen ist, verfügt er über eine bidirektionale Man-in-the-Middle- Verbindung. Dieser Angriff wird auch Network Hijacking genannt. Nun ist der Angreifer in der Lage, sämtlichen Traffic zwischen den beiden Computern zu lesen und zu manipulieren.

Man-in-the-Middle-Angriffe über ARP sind am einfachsten auf dem Client zu erkennen, aber auch Netzwerkgeräte wie Switche können dies, wenn der Traffic des Angriffs über sie läuft. Wie wir schon gesehen haben, wird innerhalb eines internen Netzes ein ARP-Request verschickt, um die zu einer IPv4-Adresse zugehörige MAC-Adresse zu finden. Der Angriff beruht darauf, den Reply auf einen ARP-Request zu fälschen, sodass der Client anstatt der richtigen IP-Adresse die des Angreifers in seinen ARP-Cache einträgt. Die einfachste Art, diesen Angriff zu verhindern, ist es, überhaupt kein ARP-Protokoll zu nutzen, um MAC-Adressen zu verbreiten. Stattdessen werden die MAC-Adressen in allen Geräten des Netzwerks statisch eingetragen.

Viele Netzwerkgeräte bieten heutzutage die Möglichkeit, statisch oder dynamisch MAC-Adressen zu lernen und zu prüfen. Relevante Techniken sind hierbei etwa Port Security, DHCP Snooping, Private VLANs, AID und die Implementierung des 802.1x-Standards.

Es ist nicht sehr schwer, sich vor den beschriebenen Angriffen zu schützen. Entweder setzt der Administrator auf eine Kombination von statischem ARP und Konfigurationsmanagement-Tool oder auf Features seiner Switche. Das Address Resolution Protokoll wurde 1982 standardisiert, als ein Netzwerk noch ausschließlich aus freundlich gesinnten Computern zu bestehen schien. Jeder, der ARP einsetzt, sollte sich darüber im Klaren sein, dass es sich hierbei um kein sicheres Protokoll handelt, und entsprechende Vorsichtsmaßnahmen treffen.
27.03.2015/Lucy Pelzer und Bastian Ballmann/jp/ln

Nachrichten

Hacker-Angriff auf Marriott möglicherweise politisch motiviert [14.12.2018]

Berichten zufolge steckt hinter einer massiven Cyberattacke in einer Marriott-Hotelkette ein chinesischer Geheimdienst, der die persönlichen Informationen von bis zu 500 Millionen Kunden erbeutete. Dies meldet das IT-Sicherheitsunternehmen Vectra. [mehr]

Sicherheitslücken in verbreiteten IoT-Protokollen [14.12.2018]

Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie. Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation. [mehr]

Tipps & Tools

Audioprobleme bei Remotesession beheben [2.12.2018]

Wer Linux-Endgeräte im Zusammenspiel mit der USB-Geräteumleitung von Audiogeräten in einer XenApp/Virtual-Apps-Remotesession nutzt, steht unter Umständen vor folgendem Problem: Die USB-Geräteumleitung von Audiogeräten über einen Linux-Receiver zum Server-VDA auf Basis von Windows Server 2016 funktioniert nicht korrekt. Das Gerät erscheint zwar im Gerätemanager, wird jedoch nicht unter Wiedergabegeräte als Audio-Ein-/Ausgabegerät angezeigt. Doch es gibt eine einfach Lösung. [mehr]

Neues Training: Amazon Web Services für KMUs [26.11.2018]

Nach anfänglichen, hauptsächlich auf Sicherheitsfragen basierenden Bedenken gegen die Nutzung von Public-Cloud-Diensten, steigt der Einsatz von IaaS- oder SaaS-Diensten nun auch bei in Deutschland beheimateten Unternehmen rasant an. Doch gerade für KMU mit einer kleinen IT-Mannschaft gilt es dabei, die Komplexität der von Amazon Web Services angebotenen Dienste ebenso zu beherrschen wie die Integration in die lokale IT. Unser  Training im Frühjahr 2019 greift Ihnen unter die Arme. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen