Was tun gegen ARP-Spoofing?
Ich weiß, dass es Präventionsmöglichkeiten gegen ARP-Spoofing gibt, aber was kann man unternehmen, wenn der Hacker es schon geschafft hat in das Netzwerk einzudringen? Gibt es Tools, um den Angriff abzuwehren?
2 Antworten
I'm eigenen Netzwerk kannst du auf so etwas prüfen. Dazu gibt es Firewalls mit IPS und Paketsniffer. Diese Angriffe sind Recht leicht zu erkennen.
In einem öffentlichen WLAN bietet ein VPN einen gewissen Schutz.
Aber wenn schon jemand in deinem Netzwerk ist, ist ARP Spoofing nicht die einzige Gefahr und nicht Mal die schlimmste Bedrohung.
Ich würde sagen das sollte man im Detail besprechen. Auf jeden Fall forensisch untersuchen was er im Netzwerk macht und entsprechende Beweise sichern! Dann eine Anzeige erstatten.
Dazu gibt es Firewalls mit IPS
Eine Firewall steht in der Regel auf der Netzwerkgrenze. Ein auf der Firewall integriertes IPS wird deshalb kaum etwas vom ARP Spoofing innerhalb eines Netzwerkes mitbekommen. Schließlich werden die ARP Replies nicht von der Firewall gesehen. Gegen ARP Spoofing sollte man deshalb bereits auf den Switches im Zugangsbereich ansetzen.
- Gibt es Host Firewalls (es sagt ja keiner, dass ein PS den anderen in einem Netzwerk vertrauen muss oder gar soll)
- Wird die Firewall meist auch der Router sein und darum selber ARP-Pakte ungefragt bekommen und das sollte das IDS triggern.
Gibt es Host Firewalls
Richtig, Host-Firewalls habe ich nicht berücksichtigt. Das ist aber Software und somit eine Firewall und kein IPS. Aber ja, es gibt auch Host-IPS. So etwas wird typischerweise nicht im Heimnetz eingesetzt und ist für den Normalanwender nicht administrierbar. Im Unternehmensnetz wird man Host-IPS allenfalls auf Servern einrichten, nicht aber im Endgeräte-Bereich. Insofern können Host-IPS nur in bestimmten Bereichen hilfreich sein. Dazu kommt, dass ein Host-IPS nicht beurteilen kann, ob ein ARP Reply richtige oder gefälschte Daten enthält.
Wird die Firewall meist auch der Router sein und darum selber ARP-Pakte ungefragt bekommen und das sollte das IDS triggern.
Ich kenne keinen Heimrouter, auf dem man ein IPS/IDS installieren kann. Im Unternehmensnetz ist der Router in der Regel keine Firewall. Aber ja, man kann ggf. ein IPS/IDS auf einem Router integrieren. Aber auch hier stellt sich für das IPS/IDS die Frage: Welche Daten sind richtig? Zudem: ARP Spoofing mache ich per Unicast, nicht per Broadcast. Der Request ist ein Broadcast, der Reply jedoch nicht. Das bedeutet: Ja, ein Heimrouter würde den Reply sehen, weil der auch den Switch integriert hat. Im Unternehmensnetz ist das nicht der Fall, da wird, je nach Topologie, der ARP Reply an den Opfer-Rechner gar nicht beim Router ankommen.
Deswegen fängt man das sinnvollerweise auf dem Switch im Zugangsbereich ab. Der kann die notwendigen Daten kennen, um einen legitimen von einem gefälschten ARP Reply zu unterscheiden.
Ist beides machbar - ich hab aber eigentlich grad weder Zeit noch Lust zum Haare spalten.
Und ja - entsprechender Schutz ist aufwendig aber wenn jemand schon danach fragt, dann wird er oder sie einen Grund haben und wahrscheinlich auch bereit sein den entsprechenden Aufwand zu betreiben.
Je nach Software sieht die Firewall / das IPS was raus geht und was rein kommt. Entdeckung basiert dann auf ungefragten Antworten. Da wir hier meist eine Race-Condition haben und der Angreifer darum schneller sein muss als der eigentliche Rechner, wird er entsprechend Spammen und darüber ginge die Erkennung dann. Auch über die entsprechende statistische Auswertungen auf die Menge, Veränderungen im ARP Cache, und hast du nicht alles gesehen.
Aber ich hab derzeit keine Zeit mich durch die Handbücher diverser Systeme zu ackern was die nicht alles überwachen / auswerten.
Weiß man was man macht, reichen aber auch nur 3 Minuten mit Wireshark oder TCPdump...
Dennoch würde mich interessieren wie du dir das vorstellst - entsprechende Hardware sehe ich beim dem Fragesteller nicht...
Da würde ich eher auf eine "Host-Firewall" (wird halt meist so verkauft auch wenn das Ding einige IPS/IDS Funktionen hat) setzen wie sie von diversen Anbietern für in paar Euro / PC / Jahr anbeboten wird. Die besseren sind zwar auch schon ein gewisser Aufwand zum Konfigurieren, sollten aber meiner Meinung nach reichen.
Meine Vorschlag ohne Ist-Analyse wäre zB Software am Host + IPfire oder ähnliches.
Eventuell eine Kleiner Fortinet oder dergleichen... Wir kennen das Budget absolut nicht und fischen nur im Trüben. Wir wissen ja nicht mal ob es um eine kleine Firma geht oder um ein privates Netzwerk.
Und Just4fun will ich jetzt auch nicht Produkte und Software zusammensuchen auf Verdacht. Aber wenn du willst mach du das mal.
Je nach Software sieht die Firewall / das IPS was raus geht und was rein kommt.
Na ja, eher je nach Implementierung und Netzwerkstruktur.
Entdeckung basiert dann auf ungefragten Antworten.
Beim ARP ist das Versenden von ungefragten Antworten durchaus legitim. Das ist ja das Problem. Hier muss ein legitimer gratitious ARP von einem illegitimen unterschieden werden. Das bedeutet: Das IPS muss Kenntnis über die aktuellen und legitimen IP-Adress/MAC-Adress-Kombinationen haben. Das ist nur möglich, wenn diese statisch dem IPS beigebracht werden und/oder DHCP Snooping gemacht wird. DHCP Snooping ist keine Fähigkeit, die ich von IPS kenne. Auf einem Heimrouter könnte das implementiert werden, der kennt alle nötigen Daten. Ich kenne aber keinen Heimrouter, auf dem das implementiert ist.
Da wir hier meist eine Race-Condition haben und der Angreifer darum schneller sein muss als der eigentliche Rechner, wird er entsprechend Spammen
Das muss noch nicht einmal sein. In der Regel reicht ein einmaliges ARP Reply aus. So häufig sind gratitious ARPs nicht.
Auch über die entsprechende statistische Auswertungen auf die Menge, Veränderungen im ARP Cache, und hast du nicht alles gesehen.
Theoretisch möglich. Ich kenne aber kein IPS, dass dies in Bezug auf ARP macht.
Weiß man was man macht, reichen aber auch nur 3 Minuten mit Wireshark oder TCPdump...
Wenn ein Angreifer gerade seinen arpspoof im Dauerlauf in Betrieb hat, sieht man das. Aber wer macht eine solche Analyse dauerhaft? Im übrigen würde ein Blick in die ARP-Tabelle der Endgeräte reichen, sofern diese das zulassen. Bei Mobilgeräten könnte das schwieriger werden.
Dennoch würde mich interessieren wie du dir das vorstellst - entsprechende Hardware sehe ich beim dem Fragesteller nicht...
Wenn ich ehrlich bin: Ich sehe gar keine konkrete Hardware beim FS. Über das konkrete Umfeld hat er sich nicht geäußert. Wir wissen nicht, ob es sich um ein Heimnetz oder ein Unternehmensnetz oder sonstwas handelt.
Die besseren sind zwar auch schon ein gewisser Aufwand zum Konfigurieren, sollten aber meiner Meinung nach reichen.
Sollte - wenn die Software wirklich auf ARP Replys schaut. Ich habe da meine Zweifel.
Sollte - wenn die Software wirklich auf ARP Replys schaut. Ich habe da meine Zweifel.
Ich hab es vorgeschlagen weil ich ein Produkt im Hinterkopf habe, das das konnte - müsste es nochmal raus suchen..
Wie du siehst hab ich dem FS angeboten sich zu melden und das ist nicht passiert - so lange ich nicht weis was Sache ist bin ich mal hier raus.
ARP Spoofing ist ja nur im lokalen Netz möglich. Wenn jemand bereits in das Netzwerk eingedrungen ist, ist ARP Spoofing wahrscheinlich Deine geringste Sorge. Du musst das Problem an der Wurzel anfassen und verhindern, dass jemand in das Netzwerk eindringt.
Gegen ARP Spoofing stellen manche professionellen Netzwerkgeräte (also keine Heimgeräte) Werkzeuge wie ARP Inspection zur Verfügung.
Vielen Danke für Ihre Antwort! Und was kann man dann dagegen tun, wenn jemand im Netzwerk ist?