Dynamic ARP-Inspection zur Bekämpfung von Sniffing-Angriffen nutzen
Hacker können mit ARP Poisoning oder MAC Flooding Schwachstellen von Switches ausnutzen. Dynamische ARP-Überprüfung deckt die Sicherheitslücken auf.
Das Absichern der Netzwerk-Infrastruktur ist so wichtig wie nie. Heute greifen Mitarbeiter auf Unternehmensressourcen von mobilen Netzwerken, öffentlichen WLANs oder anderen Orten zu. Welche Technologie werden an diese Orten genutzt? Sie verwenden alle Switche. Angreifer können diese Switche ausnutzen, wenn Sie nicht ausreichend durch Dynamic ARP Inspection (DAI) geschützt sind. Eine häufige Methode ist Sniffing. Durch Sniffer gelangen bösartige Hacker beispielsweise an Passwörter, Namen und andere sensible Informationen.
Will ein Angreifer einen Sniffer erfolgreich einsetzen, muss er sich im lokalen Netzwerk befinden oder Zugriff auf einen Switch haben, der den Traffic weiterleitet. Zudem muss er den Netzwerk-Verkehr umleiten, damit er Zugriff darauf hat. Netzwerk-Profis realisieren eine Umleitung mit dem sogenannten Port-Mirroring. Der Angreifer hat zwar wahrscheinlich keinen direkten Zugriff auf die Switche, dennoch kann er sensible Informationen abgreifen. In der Regel begrenzt ein Switch den Traffic, den ein Sniffer sehen kann, um Pakete zu übertragen und die direkt an das System adressiert sind. Netzwerk-Verkehr zwischen anderen Hosts sieht der Angreifer aber nicht, da er nicht zu dem Switch weitergeleitet wird, an dem der Sniffer angestöpselt ist. Der Hacker kann aber versuchen, diese Funktion zu umgehen und zum Beispiel Media-Access-Control- (MAC-) Flooding oder Address- Resolution-Protocol- (ARP-) Poisoning nutzen.
MAC Flooding und ARP Poisoning
MAC Flooding ist der Versuch, eine Content-Addressable-Memory- (CAM-) Tabelle des Switches zu überfluten. Alle Switche erstellen Tabelle, die die MAC-Adressen mit den Port-Nummern des Switches abbilden. Somit weiß der Switch, an welchen Port er jedes Paket weiterleiten muss. Bei älteren Switches existiert das Problem, dass die Speichermenge begrenzt ist. Die CAM-Tabelle füllt sich und der Switch kann keine weiteren Einträge aufnehmen. Einige Switche sind somit möglicherweise vollkommen offen, so dass alle Frames auf alle Ports des Switches gesendet werden. Somit kann ein Angreifer unter Umständen Traffic sehen, der sonst unsichtbar ist.
ARP Poisoning funktioniert durch das Versenden von unerwünschten ARP-Antworten. Cyberkriminelle können den Traffic auf ihr System umleiten. Beide Angriffsarten sind allerdings nicht perfekt. MAC Flooding lässt sich aufspüren, da der Angreifer großen Mengen an Traffic ins Netzwerk einfließen lässt, so dass er sich vermutlich verrät. Netzwerk-Profis erkennen ARP Cache Poisoning anhand der großen Anzahl an ARP-Antworten ohne korrespondierende ARP-Anfrage-Pakete.
Durch dynamische ARP-Überprüfung lassen sich solche Angriffe stoppen. DAI ist ein Security-Feature, das ARP-Pakete validiert. Es funktioniert, indem man die Zugehörigkeit der der IP- zur MAC-Adresse überprüft. Die Ergebnisse werden in einer vertrauenswürdigen Tabelle festgehalten. Im Grunde genommen fängt DAI alle ARP-Anfragen und -Antworten ab, überprüft die entsprechenden Pakete auf Gültigkeit und verwirft ungültige ARP-Pakete.
DAI lässt sich verwenden, um vertrauenswürdige und nicht vertrauenswürdige Schnittstellen zu definieren. Standardmäßig liegt die Quote für nicht vertrauenswürdige Schnittstellen bei 15 Paketen pro Sekunde. Das lässt sich allerdings modifizieren. Sobald DAI implementiert ist, hält es Angreifer von erfolgreichen Angriffen mithilfe von ARP Poisoning ab. Sollten Sie diese Funktion noch nicht in Ihrer Netzwerk-Infrastruktur aktiviert haben, ist es auf jeden Fall eine Überlegung wert.
Über den Autor: Michael Gregg (CISSP, CISA, CISM, CASP) ist ein „ethischer Hacker“, der Cybersecurity- und Penetrations-Tests anbietet. Er hat mehre Bücher über IT-Security veröffentlicht. Zudem ist er für seine Vorträge und Security-Schulungen bekannt. Gregg ist Chief Operations Officer (COO) von Superior Solutions.