Angriff von innen

Seite 5: Augenzeuge

Augenzeuge

Verhindert die vorhandene Infrastruktur oder ein zu schmales Budget den Einsatz präventiver Maßnahmen, bleibt nur die kontinuierliche Überwachung des Netzverkehrs durch zusätzliche Komponenten. Mit der schnellen Identifizierung von ARP-Spoofing-Versuchen und dem rechtzeitigen Eingriff lassen sich auch so Angriffe erfolgreich abwehren. Dazu ist es notwendig, alle ARP-Meldungen mitzulesen und zu analysieren, beispielsweise indem man Überwachungskomponenten an den Spiegelport eines Switches anschließt. Allerdings besteht hier die Gefahr, dass an diesem Port nicht immer alle Pakete ankommen: Da der Switch versucht, die Pakete aller Ports dorthin zu kopieren, kann der Spiegelport bei hoher Netzlast Pakete verwerfen. Eine andere Möglichkeit bietet die permanente Kontrolle der ARP-Tabelle des Standard-Gateways.

Auch Intrusion Detection Systeme (IDS) sind aufgrund ihres Designs mit Netzsensoren in LAN-Segmenten prinzipiell zur Abwehr von ARP-Spoofing-Angriffen geeignet. Da diese Systeme aber in erster Linie zur Erkennung von Angriffen auf höhere Protokollschichten entwickelt wurden, muss ein IDS auf seine individuelle Eignung geprüft werden. So erkennt die IDS-Software Snort in Netzen mit dynamischer Adressvergabe eine Umleitung per Ettercap erst beim Beenden des Angriffs [12]. Das Tool verschickt beim Beenden eines Spoofing-Angriffes nämlich ungewöhnliche Pakete (SRC MAC conflict). Mit statischer Zuordnung der IP-/MAC-Adressen in der Konfiguration ist aber auch Snort in der Lage, Spoofing-Attacken sofort zu erkennen.

Werkzeug

ARP-Guard-Warnung — Der ARP-Guard bemerkt die Rangelei zweier Rechner um eine IP-Adresse und schlägt gegebenenfalls Alarm

Arpwatch, ein Open-Source-Tool für UNIX-Plattformen, kann ARP-Pakete in einem lokalen Netz lesen, daraus die MAC-IP-Informationen entnehmen und speichern, sowie mit vorhanden Einträgen vergleichen [13]. Nach einer Lernphase schlägt Arpwatch bei Paketen Alarm, die zu keinem Eintrag passen. Der Einsatz von Arpwatch eignet sich in kleineren Netzen, da sich der Aufwand dort noch in Grenzen hält. Bei Verwendung von DHCP meldet Arpwatch allerdings die für diese Umgebungen erlaubten Änderungen der MAC-IP-Zuordnung. Hier muss ein Administrator selber herausfinden, ob es sich um einen echte Angriff handelt.

Ein speziell zur Erkennung von ARP-Angriffen entwickeltes Produkt ist der ARP-Guard [14]. Ihm liegt eine Sensor-Management-Architektur zugrunde, bei der mehrere Sensoren Adress-Informationen beobachten und an das Management-System weiterleiteten. Das Management analysiert die Meldungen und leitet im Angriffsfall Gegenmaßnahmen ein, etwa indem es automatisch Ports am Switch abschaltet. Die Sensoren können sowohl die Pakete an einen Mirrorport auswerten als auch die ARP-Tabellen aus Routern mittels SNMP auslesen.