PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : arp-Spoofing und -Poisoning



Nemesis
04.08.2006, 19:25
hi,
einige von euch haben sicher schon mitbekommen, dass es recht einfach ist netzwerkverkehr zu belauschen und zu manipulieren.
ich bin auf der suche nach gegenmaßnahmen.

ich hab da im linuxmagazin nen artikel (http://www.linux-magazin.de/Artikel/ausgabe/2004/06/034_arp_spoofing/arp_spoofing.html) gefunden, aber dem zufolge ist man dem ganzen ja recht ausgeliefert.

gibt es einen wirkungsvollen schutz gegen sowas?

theton
05.08.2006, 05:50
Es gibt keinen Rechner, der 100% sicher ist. Gerade das Sniffen von Daten ist nunmal nicht zu vermeiden. Hier ist die Wachsamkeit des Users und die Verschluesselung der Verbindungen gefragt. Beides zusammen bietet einen recht guten Schutz gegen das Ausspionieren von Daten-Streams. Also z.B. nicht einfach die Zertifikate von verschluesselten Verbindungen akzeptieren, wenn diese sich offensichtlich geaendert haben. Dann lieber eine Rueckfrage bei der Gegenseite machen, wenn es sich um kritische Daten handelt u.ae..

Keruskerfürst
05.08.2006, 08:36
Vor allem würde ich, wenn die Daten wichtig sind, eine Verschlüsselung mit einer Länge von mehr als 256Bit verwenden.

mcas
05.08.2006, 08:43
Ich meine mal gelesen zu haben, dass man da was machen kann, aber das wäre auch nicht 100% gewesen und den aufwand kann man eher dazu verwenden die Sachen zu beherzigen, die theton genannt hat.

Nemesis
05.08.2006, 08:58
hm, das dachte ich mir fast ...
weiss jemand wie denn das mit ssl verschlüsselung ausschaut, sind da erhebliche geschwindigkeitseinbusen in kauf zu nehmen ?

Keruskerfürst
05.08.2006, 09:03
1. Wenn der Prozessor des Servers die Verschlüsselung übernimmt, verbraucht dies viel Rechenleistung.
2. Es gibt Kryptografiekarten, die das oben genannte mit Hardware ausführen.

Nemesis
05.08.2006, 09:50
gibt es vielleicht auch ne möglichkeit in der art, dass sich ein rechner mit einem schlüssel identifizieren muss, tut er dies nicht, oder ist der schlüssel falsch, werden keine packete zu ihm gesendet?
das würde doch auch einem MitM-Angriff vorbeugen?

SkydiverBS
05.08.2006, 11:46
Hallo!

Ich habe damals den Artikel im Linux-Magazin gelesen und war auch erschrocken wie einfach es im geswitchten LAN ist eine Kommunikation abzuhören.

Habe auch mal ein Referat darüber gehalten. Falls es jmd. interessiert: http://www.crufty.de/download/itsec-arpref.pdf. Wenn ihr den Linux-Magazin-Artikel schon gelesen habt bringt euch mein Dokument kein neues Wissen höchstens nochmal eine kurze Zusammenfassung der Gegenmaßnahmen.


gibt es vielleicht auch ne möglichkeit in der art, dass sich ein rechner mit einem schlüssel identifizieren muss, tut er dies nicht, oder ist der schlüssel falsch, werden keine packete zu ihm gesendet?
das würde doch auch einem MitM-Angriff vorbeugen?
Stimmt! So was ähnliches gibt es schon seit längerem für WLAN und wird wohl auch immer häufiger im kabelgebundenen LAN eingesetzt. Hab bei einer kurzen Google-Suche zwei Treffer gefunden, die dir einen knappen Überblick geben und dir ein paar Stichpunkte für weitere Suchen nennen: http://www-wlan.uni-regensburg.de/8021x.html und http://www.tecchannel.de/netzwerk/sicherheit/432447/

Hoffe das ist was du suchst!

Gruß,
Philip

Nemesis
05.08.2006, 12:02
naja, ich würde mal behaupten im wlan is sowas unnütze, da kann man den ganzen verkehr auch so mitschneiden, egal an wen er adressiert ist.
in geswitchten netzen is das anders, der switch schickt doch die packete nur an die adresse für die sie gedacht sind. (bitte korrigieren, sollte ich ffalsch liegen)
das einfache ist ja nun, dass an nur pc a sagen muss, dass man der router ist und dem router dass man pc a ist, und schon läuft der verkehr am pc vorbei und mann kann alles mitschneiden.
das is ne böse sache, vor allem wenn man passwörter unverschlüsselt überträgt.

SkydiverBS
05.08.2006, 13:37
naja, ich würde mal behaupten im wlan is sowas unnütze, da kann man den ganzen verkehr auch so mitschneiden, egal an wen er adressiert ist.
Klar, wenn du schon Zugriff zum WLAN hast oder es unverschlüsselt ist, dann empfängst du auch die Pakete von allen anderen Teilnehmern im Klartext. Aber ich dachte du meintest mit deiner Frage den Zugriffsschutz eines Netzwerkes, also ob jemand sich damit verbinden darf oder nicht. Für WLAN gibt es das ja schon lange (siehe WEP und WPA) und kann eben durch einen Radius-Server noch verbessert, bzw. zentral verwaltet werden.
Und eben dieses System mit Radius-Server und entsprechenden Authentifizierungs-Protokollen (EAP) kann auch in LANs eingesetzt werden, um festzulegen wer mit dem Netzwerk kommunizieren darf und wer nicht.


in geswitchten netzen is das anders, der switch schickt doch die packete nur an die adresse für die sie gedacht sind. (bitte korrigieren, sollte ich ffalsch liegen)
das einfache ist ja nun, dass an nur pc a sagen muss, dass man der router ist und dem router dass man pc a ist, und schon läuft der verkehr am pc vorbei und mann kann alles mitschneiden.
das is ne böse sache, vor allem wenn man passwörter unverschlüsselt überträgt.
FULL ACK

Deswegen sollte man sich überlegen ob man IPSec auch im LAN einsetzen, um sich gegen solche Angriffe zu schützen!

Gruß,
Philip

theton
05.08.2006, 13:51
Geschwindigkeitsnachteile gibt es bei SSL nunmal leider, wie bei jeder Verschluesselung. Sicherheit hat ihren Preis und den bezahlt man meist mit Zeit. Z.B. werden Websites, die man ueber Secure-HTTP (https) abruft vom Browser nicht gecacht und natuerlich braucht die Verschluesselung selbst etwas mehr Zeit und mehr Rechenleistung sowohl Server- als auch Client-seitig. Ich persoenlich denke aber, dass einem die Sicherheit der eigenen persoenlichen Daten diese Zeit Wert sein sollte.
Ansonsten halt Augen auf und nicht immer gleich jede Meldung vom System wegklicken oder ungelesen bestaetigen. Sicherheit ist nunmal auch Sache des Users und nicht nur des Rechners.

Nemesis
06.08.2006, 21:24
ipsec müsste dann vom router auch unterstützt werden?
ich hab da nämlich ne option im router "Allow IPsec" aber kann mit der nix anfangen, einstellen kann man auch nix, nur häckchen oder net.

Mondi
31.10.2006, 14:30
man kann arp-spoofing leider nicht verhindern aber es gibt Tools um eine solche Arthacke zu erkennen.

ARPwatch (http://www.i-eye.net/dokumentation/ARPwatch.php)

Es meldet neue MAC-Adressen im Netzwerk und erkennt auch wenn eine MAC-Adresse in deinem arp-cache geändert wird.

Wen ich mich recht erinnere nehmen aktuelle Linux/UNIX Systeme kein arp-replay an ohne einen arp-request abgesetzt zu haben.
Allerdings gibt es auch noch andere Möglichkeiten den arp-cache zu manipulieren und diese Manipulation wird durch ARPwatch aufgezeigt aber nicht verhindert.