Mehr als ein Smartphone samt passender App braucht ein Angreifer nicht, um per ARP-Spoofing Daten und Passwörter abzugreifen oder gleich ganze Web-Sessions zu übernehmen. Tools wie XArp bieten dagegen einen wirksamen Schutz.
Ein offenes WLAN ist eine immer gerne gesehene Möglichkeit, schnell das Smartphone zu synchronisieren und Apps wie Facebook oder Twitter auf den neuesten Stand zu bringen. Um den Mobilfunkvertrag zu schonen, präferieren die meisten Mobiltelefone automatisch den WLAN-Zugang und verbinden sich selbständig zu bekannten Netzen. Dabei beachtet kaum jemand, dass solche frei zugänglichen Netze auch Angreifern ideale Jagdgründe bieten [1].
Dabei setzten Attacken noch nicht einmal professionelle Kenntnisse voraus: Mit Smartphone-Apps wie DroidSheep oder FaceNiff (siehe Kasten “Automatisierte Angriffe”) nutzen auch Amateure diese Möglichkeit, um mal eben auf Knopfdruck Session-Cookies abzufangen und damit Web-Sitzungen zu übernehmen, wie zum Beispiel für Facebook. Während DroidSheep nur auf den Netzwerkverkehr lauscht und rein passiv angreift, erweitert FaceNiff das Angriffsfeld durch Techniken des ARP-Spoofing und fängt somit eine viel größere Menge an Verkehr ab.
Doch diese Gefahr droht nicht nur in offenen Netzen. Auch in normalerweise geschlossenen Netzen gelingt Angreifern der Zugang oft schnell, zum Beispiel über Netzwerkdosen. Zudem fällt der Zugriff von außen auf das lokale Netzwerk relativ leicht, sobald ein erstes Opfer-System über das Internet kompromittiert wurden.
Bei dem bereits erwähnten ARP-Spoofing handelt es sich um eine weit verbreitete und einfache Möglichkeit, Daten im lokalen Netzwerk durch Man-in-the-Middle-Angriffe abzugreifen. Zudem können sich Angreifer hier auf eine ausgezeichnete Unterstützung durch diverse Tools abstützen. Solche ARP-Spoofing-Attacken nutzen die Schwächen eines grundlegenden Netzwerkprotokolls, des sogenannten Address Resolution Protocol.
ARP
Das Address Resolution Protocol (ARP, [2]) stellt eine wichtige Basisfunktion für IPv4-basierte Netzwerke bereit, erweist sich in der Praxis jedoch auch als Sicherheitsproblem. Ähnlich wie DNS einen Domain-Namen zur zugehörigen IP-Adresse auflöst, die dann für das IP-Routing auf OSI-Schicht 3 zum Einsatz kommt, löst ARP eine IP-Adresse in die dazugehörige MAC-Adresse auf und ermöglicht somit auf Layer 2 die Paketweiterleitung durch Hubs und Switches. Somit wird ARP auch vornehmlich in lokalen Netzen eingesetzt, also LANs und WLANs. Die MAC-Adresse identifiziert dabei die Netzwerkkarte über eine 6-Byte-Zahl, wobei die vorderen drei Byte den Hersteller der Netzwerkkarte identifizieren [3] und die hinteren drei Byte die Netzwerkkarte innerhalb des Nummernraums des Herstellers kennzeichnen.
Das ARP-Protokoll arbeitet nach dem Request-Response-Schema (Zustandslos): Um ein Paket an eine IP-Adresse zu verschicken, fragt der Absender im lokalen Netz per Broadcast nach der zugehörigen MAC-Adresse. Ein System, das die entsprechende MAC-Adresse kennt oder selbst besitzt, antwortet dem Anfragenden direkt mit einem Reply-Paket, das die angefragte MAC-Adresse sowie die zugehörige IP-Adresse beinhaltet. Die heute verwendete Basisversion von ARP implementiert keinerlei Schutz, wie etwa eine Authentifizierung oder Verschlüsselung, für dieses Frage-Antwort-Spiel – hier setzt ARP-Spoofing an.
Der ARP-Cache
IP-Adressen und erfolgreich aufgelöste, zugehörige MAC-Adressen speichert das System lokal im ARP-Cache. Weiterhin lernen Switches die entsprechende Zuordnung von Port und MAC-Adresse über eingehende Pakete. Unter Linux haben die Einträge im ARP-Cache – Sie können sich diese mittels arp -a anzeigen lassen – meist eine Lebenszeit von einer Minute [4]. Für eine ARP-Spoofing-Attacke schiebt der Angreifer dem Opfer-System eine gefälschte Zuordnung von IP- zu MAC-Adresse unter.
Dazu sendet der Angreifer beispielsweise ein ARP-Reply-Paket, das zwar die angefragte IP-Adresse, jedoch statt der zugehörigen echten MAC-Adresse jene seiner eigenen Netzwerkkarte beinhaltet (Abbildung 1). Diese Information landet im ARP-Cache des Opfers. Durch die gefälschte Zuordnung leitet das System nun alle Pakete zur Netzwerkkarte des Angreifers weiter, ohne dass dies für das Opfer zunächst erkennbar wäre.
Abbildung 1: Nach diesem Schema funktioniert ein Angriff per ARP-Spoofing.
Der grundlegende ARP-Spoofing-Angriff lässt sich beispielsweise für einen Man-in-the-Middle- oder Denial-of-Service-Angriff verwenden: Der Angreifer liest alle Pakete mit und leitet sie dann entweder an die korrekte MAC-Adresse weiter oder löscht sie einfach. Bereits 1997 wurde diese Art des Angriffs das erste Mal strukturiert beschrieben [5], seither haben weder die Problematik noch der resultierende Angriff geändert. Streng genommen stellt ein ARP-Angriff in den meisten Fällen laut Protokoll überhaupt kein illegitimes Verhalten dar und lässt sich somit auch nicht trivial verhindern. So existiert beispielsweise für ARP-Spoofing keine Signatur, die man in statischen Paketfiltern implementieren könnte.
ARP-Spoofing funktioniert in LANs wie in WLANs. Dabei stellt eine Verschlüsselung wie zum Beispiel WPA keinen Schutz dar: Um im Netzwerk kommunizieren zu können, müssen die beteiligten Systeme die MAC-Adressen auflösen, was nur über ARP funktioniert und damit die Möglichkeit zu ARP-Spoofing eröffnet.
ARP-Angriffe im Detail
Das Netzwerk verteilt ARP-Anfragen normalerweise auf Schicht 2 an alle Teilnehmer, da es keine zentrale Anlaufstelle für das Auflösen von IP- zu MAC-Adressen gibt. Die Ziel-MAC-Adresse der Anfrage lautet somit FF:FF:FF:FF:FF:FF und jeder Switch im Netzwerk dupliziert das ARP-Paket an alle Ports.
Per ARP-Spoofings will der Angreifer nun ein System überreden, eine von ihm vorgegebene, gefälschte Zuordnung von IP- zu MAC-Adresse zu übernehmen. Das kann er entweder durch ein ARP-Request- oder ein ARP-Reply-Paket erreichen. Abbildung 2 zeigt den Aufbau eines ARP-Pakets sowie die Standardwerte für die Verwendung in IP-basierten Ethernet-Netzen.
Abbildung 2: Der Aufbau eines ARP-Pakets im Detail.
Für den Gebrauch im lokalen Ethernet hat das Feld Hardware type den Wert 0x0001, das Feld Protocol type ist für den Gebrauch in IP-basierten Netzen als 0x800 definiert. Die Felder Hardware address length und Protocol address length definieren die Längen der Adressformate, also hier 4 Byte für IP-Adressen und 6 Byte für MAC-Adressen. Das Opcode-Feld definiert, ob es sich bei dem Paket um ein ARP-Request-Paket handelt (0x01) oder ein ARP-Response-Paket (0x02). Die vier folgenden Felder stellen die eigentlichen Nutzdaten des ARP-Pakets dar, also die Zuordnung von IP- zu MAC-Adresse. Hierbei enthält das Paket zwei Zuordnungen: Zum einen jene des Absender-Systems des Pakets, zum anderen die des Ziel-Systems.
Bei einem ARP-Request-Paket ist die Zuordnung des Ziel-Systems unvollständig, also nur die IP-Adresse bekannt. Somit lautet die MAC-Adresse hier 00:00:00:00:00:00, um sie als ungültig zu kennzeichnen. Beim Senden eines ARP-Reply-Pakets dienen die IP- und MAC-Adresse des anfragenden Systems als Ziel-IP und Ziel-MAC-Adresse. Somit enthalten sowohl Request- also auch Reply-Pakete nutzbare Zuordnungen von IP- zu MAC-Adresse.
Welche dieser Informationen im ARP-Cache landen, hängt stark vom Betriebssystem ab. Im konservativsten Fall nimmt ein System nur solche Informationen in seinen ARP-Cache auf, die aus solchen ARP-Reply-Paketen stammen, die direkt an das System gerichtet wurden. Im Prinzip kann aber jegliche Information in ARP-Request- und Reply-Paketen Einzug in den ARP-Cache halten, unabhängig davon, an wen die Pakete gerichtet waren. Für die Sicherheit von ARP spielt die Strategie der Aufnahme in den ARP-Cache ohnehin eine geringe Rolle, da auch bei der konservativen Strategie die Möglichkeit besteht, das Opfer dazu zu bewegen, eine gefälschte Zuordnung in den ARP-Cache aufzunehmen.
Im einfachsten Fall sendet der Angreifer dazu kontinuierlich ARP-Reply-Pakete mit gefälschter Zuordnung. Ein “unvorsichtiges” Opfer-System nimmt diese Zuordnung sofort in seinen ARP-Cache auf, auch wenn es nicht selbst aktiv eine Anfrage gesendet hat. Ein “konservatives” System ignoriert solche Pakete. Sobald es jedoch eine Anfrage ins Netz sendet, ist es gewillt, Reply-Pakete aufzunehmen. In diesem Fall entscheidet das Timing, also die Frage, welches Reply-Paket das Opfer-System zuerst erreicht: Das des legitimen Systems, nach dessen MAC-Adresse gefragt wurde, oder das des Angreifer-Systems, das kontinuierlich gefälschte Zuordnungen aussendet.
Für beide Angriffsvarianten gibt es handliche Werkzeuge: Ettercap beispielsweise sendet laufend gefälschte Pakete ins Netz, Cain&Abel dagegen fährt eine weniger auffällige Strategie und reagiert gezielt auf ARP-Anfragen. Eine Reihe gängiger Werkzeuge für ARP-Attacken stellt der Kasten “Automatisierte Angriffe” vor.
Automatisierte Angriffe
Passende Tools für ARP-Angriffe gibt es reichlich, für jedes Level an Expertise und Automatisierungsgrad ist etwas dabei. Die Bandbreite reicht von Konsolenprogrammen mit einer Vielzahl an Konfigurationsmöglichkeiten und manueller Bedienung wie zum Beispiel Dsniff [16] bis hin zu vollautomatisierten Werkzeugen, die über wenige Mausklicks ARP-Spoofing vornehmen, auf den Netzwerkverkehr lauschen und automatisch Passwörter extrahieren und cracken.
Medienwirksam bekannt wurden jüngst die eingangs erwähnten Tools Droidsheep [17] und FaceNiff [18]. Deren genereller Ansatz basiert darauf, Session-Cookies mitzulesen und die dort verpackte Anmeldeinformation selbst zu nutzen. Während Droidsheep nur Daten mitliest, die automatisch beim Angreifer ankommen, verwendet FaceNiff regelrechtes ARP-Spoofing und lässt sich somit breiter gestreut anwenden. Generell sind die mit diesen Tools gefahrenen Angriffe nichts Neues, haben jedoch durch den Smartphone- und Facebook-Fokus und in Verbindung mit offenen WLANs einige Aufmerksamkeit erlangt.
Ettercap [19], eines der ersten automatisierten und benutzerfreundlichen ARP-Spoofing-Tools, zielt auf Man-in-the-Middle-Attacken über grundlegendes ARP-Spoofing ab. Zusätzliche Plugins erlauben dann das Ausnutzen der Mittelsmann-Position, beispielsweise um den Datenverkehr in Echtzeit zu manipulieren oder im Webbrowser das zu sehen, was das Opfer sieht. Es gibt zahllose Möglichkeiten, eine Man-in-the-Middle-Situation auszunutzen, und dementsprechend breit fallen die Funktionen der Angriffstools aus. Bei einem Man-in-the-Middle Angriff gilt es ja zwei Systeme hinters Licht zu führen, nämlich die beiden, dessen Kommunikation der Angreifer abhören will. Im Falle von via TLS verschlüsseltem Verkehr wie bei HTTPS kann der Angreifer allerdings nur die verschlüsselten Daten abzufangen.
Cain&Abel [20] bietet sehr fortgeschrittene Techniken an um das Opfer zu überlisten und auch verschlüsselten Verkehr abzuhören. Dazu überwacht das Programm den Datenverkehr und reagiert, sobald das Opfer eine HTTPS-Verbindung aufbaut. Für die entsprechende Domain erzeugt es dann on-the-fly ein Zertifikat und bietet es dem Opfer an. Macht dieses den Fehler, das ungültige Zertifikat zu akzeptieren, so hat der Angreifer Zugriff auf den Klartext. Da ungültige oder abgelaufene Zertifikate recht oft vorkommen und jedem Nutzer schon einmal untergekommen sind, liegt die Hemmschwelle recht niedrig, solche Zertifikate zu akzeptieren.
Eine andere Art, verschlüsselte Verbindungen auszutricksen, bietet Sslstrip [21]: Da die meisten Nutzer zuerst über HTTP surfen und dann erst über Links auf HTTPS landen, macht es sich Sslstrip einfach und ändert im unverschlüsselten HTTP-Verkehr schlicht alle Links in HTTP, die eigentlich auf HTTPS zeigen. Zusätzlich schiebt das Tool dem Browser ein schönes Favicon mit Schloss-Symbol unter, das dieser dann anzeigt. So bemerken nur erfahrene und wirklich aufmerksame Nutzer, dass die Verbindung gar nicht gesichert ist. Obendrein entfällt hier jegliche Warnung bezüglich ungültiger Zertifikaten. So kann der Angreifer auf einfache Weise den gesamten Datenverkehr abfangen, inklusive Benutzernamen und Passwörtern.
Andere Werkzeuge wie NetCut [22] zielen nicht auf eine Man-in-the-Middle-Attacke ab, sondern unterbinden die Kommunikation des Opfers – ein klassischer Denial-of-Service also. Dazu schieben sie dem Opfer in der Regel eine Zuordnung der IP-Adresse des Gateways zu einer ungültigen MAC-Adresse unter. Manche Tools unterbreiten stattdessen die MAC-Adresse des Angreifers, der dann allen ankommenden Datenverkehr schlicht löscht.
Angriffe erkennen
Die einfachste Möglichkeit, sich vor ARP-Spoofing zu schützen, bieten statische Einträge im lokalen ARP-Cache. Diese gilt es jedoch manuell einzutragen und entsprechend zu warten. Solange Sie in Ihrem Netzwerk keine Server verwenden, sondern in erster Linie nur über ein Gateway aufs Internet zugreifen, ist dies durchaus praktikabel. Sobald Sie jedoch im Netzwerk auch auf andere Systeme sicher zugreifen müssen, verursacht diese Methode einen zu hohen Aufwand.
Virtual LANs (VLANs) bieten dem Administrator eine gute Möglichkeit zur logischen Separierung von Domänen, innerhalb derer ARP zum Einsatz kommt. Diese logische Trennung minimiert die Wahrscheinlichkeit von ARP-Spoofing. Professionelle Switches bieten weitere Möglichkeiten, sich vor ARP-Spoofing zu schützen: Ein Port-Security genanntes Feature erlaubt es, an einen Port des Switches eine feste MAC-Adresse zu binden. Das verhindert, dass ein Angreifer sich eine andere MAC-Adresse zulegen kann, da der Switch entsprechende Daten nicht an seinen Port weiterleitet.
Daneben lässt sich der Verkehr auch über einen VPN-Tunnel zu einem vertrauenswürdigen Netzwerk schützen. Wie bei TLS gilt es auch hier auf korrekte Zertifikate zu achten. Ein solcher VPN-Tunnel schützt jedoch nur, solange man keine Server im lokalen Netzwerk nutzt, sondern lediglich via Gateway auf das Internet zugreift. Gerade in Internet-Cafés stellt ein VPN also eine gute Möglichkeit dar, seinen Datenverkehr zu schützen. Zwar verhindert es nicht ein ARP-Spoofing, doch der Angreifer kann den Verkehr nicht entschlüsseln. Diese Möglichkeit klappt zudem unabhängig davon, ob der Server, auf den man zugreift, eine sichere Kommunikationsvariante wie TLS unterstützt.
Als sehr hilfreich erweisen sich auch Browser-Plugins wie HTTPS-Everywhere [6] und HTTPS-Finder [7]: Sie leiten, wann immer möglich, HTTP-Verbindungen automatisch auf HTTPS um und sichern somit die HTTP-Verbindung Ende-zu-Ende ab. Wie schon erwähnt, müssen Sie hier den entsprechenden Zertifikaten besondere Aufmerksamkeit zukommen lassen, da Angriffswerkzeuge wie Cain&Abel solche on-the-fly generieren und einspeisen.
Daneben gibt es mehrere Tools, die den ARP-Verkehr und/oder den lokalen ARP-Cache auf Unregelmäßigkeiten überwachen. Die App DroidSheep Guard [8] beispielsweise dient als Gegenstück zur Angriffs-App DroidSheep. Dazu überwacht sich schlicht den lokalen ARP-Cache, vergleichbar dem auf Linux altbekannten Arpwatch [9].
XArp
Im Folgenden beschreiben wie die Software XArp [10] näher, die Sie auf der Heft-DVD finden (siehe Kasten “XArp auf der Heft-DVD”). XArp verwendet eine Vielzahl an Mechanismen, um ARP-basierte Angriffe zu erkennen. Diese lassen sich in passive und aktive Module unterscheiden. Passive Module überwachen den Netzwerkverkehr und analysieren alle ARP-Pakete. Aktive Module versenden Pakete im Netzwerk, um den ARP-Cache mit gültigen Einträgen zu befüllen und um Einträge im ARP-Cache zu validieren.
XArp auf der Heft-DVD
Auf der DVD zu dieser Ausgabe finden Sie die XArp-Binaries für 32- und 64-Bit-Systeme als DEB-Pakete im Verzeichnis LU/xarp. Bei XArp handelt es sich nicht um freie Software, die Anwendung unterliegt einer kommerziellen Lizenz. Die XArp-Basisvariante dürfen Sie jedoch unbegrenzt kostenlos verwenden. Um die Professional-Variante des Tools zeitlich unbegrenzt für den persönlichen Gebrauch zu nutzen, stellt der Entwickler Christoph P. Mayer freundlicherweise exklusiv für LinuxUser-Leser einen kostenlosen Schlüssel bereit.
Um XArp zur Professional-Variante aufzurüsten, geben Sie im entsprechenden Dialog, den Sie links oben im Programmfenster unter Register XArp Professional aufrufen, als Name LinuxUser Magazin ein, als Key 24247-431bf-6beba-98476. Das Programm quittiert die gültige Eingabe mit Key valid. Thank you for buying XArp! Anschließend müssen Sie die Anwendung neu starten, um in den Genuss der Professional-Features zu kommen.
Falls Sie XArp Professional für den kommerziellen Einsatz oder auf der Windows-Plattform nutzen möchten, für die das Programm ebenfalls zur Verfügung steht, können Sie über die Website [10] dafür einen Registrierungsschlüssel zum Einzelpreis von 20 Euro erwerben. Bei Abnahme einer größeren Anzahl an Lizenzen greift ab 5 Stück ein abgestufter Mengenrabatt.
Zur Konfiguration stellt XArp zwei unterschiedliche GUIs bereit: Für Standard-Anwender bietet es die Wahl zwischen vier vordefinierten Sicherheitsstufen (Abbildung 3). Diese reichen von einem passiven Verhalten mit reiner Überwachung bis hin zu aggressiver Überwachung mit starker aktiver Validierung von TCP-Verbindungen und Einträgen im ARP-Cache. Entsprechend der Sicherheitsstufe passt XArp auch die passiven Module zur Inspektion des Netzwerkverkehrs an. Angriffe seitens bekannter Angriffswerkzeuge erkennt XArp bereits in der niedrigsten Sicherheitsstufe. Daneben sammelt es Informationen über die Systeme im Netzwerk und bietet damit die Möglichkeit, den Überblick über das (W)LAN zu behalten.
Abbildung 3: Die XArp-Benutzeroberfläche für Standard-Anwender stellt vier vordefinierte Sicherheitsstufen zur Wahl.
Power-Anwendern erlaubt XArp, alle passiven und aktiven Module manuell feinzutunen (Abbildung 4). Dies erfolgt pro Netzwerkinterface und ermöglicht damit ein Maßschneidern. XArp erkennt alle Angriffe gegen das eigene System sowie, wenn es den ARP-Verkehr zwischen den Systemen mithören kann, auch Angriffe gegen andere Systeme. Unter Linux bietet XArp mit der Pro-Version weiterhin den Schutz vor ARP-Spoofing. Hierbei filtert es mittels arptables den ARP-Verkehr komplett aus und verwaltet seinen ARP-Cache direkt. Das stellt sicher, dass nur valide Einträge ihren Weg in den ARP-Cache finden und XArp Angriffe nicht nur erkennt, sondern auch abwehren kann.
Abbildung 4: In der XArp-Benutzeroberfläche für Power-Anwender können Sie alle aktiven und passiven Module feintunen.
Die Installation von XArp, das als Binary in Form von DEB-Paketen vorliegt, erledigen Sie beispielsweise auf neueren Ubuntu-Versionen mit den Befehlen aus dem Listing 1. Bitte lesen Sie dazu auch die Anmerkungen im Kasten “XArp auf der Heft-DVD”. Damit die Software auf die Netzwerkschnittstellen zugreifen kann, benötigt sie entsprechende Rechte. Deshalb starten Sie XArp entweder von der Kommandozeile aus über sudo xarp oder über den Menü-Eintrag, der beim Installieren in der Menürubrik Internet angelegt wurde. Mit dem Parameter --hide versteckt sich XArp automatisch beim Start in der Taskleiste. Diese Option nutzen Sie zum Beispiel, um XArp für den automatischen Start im Hintergrund zu konfigurieren.
Listing 1
$ wget http://chrismc.de/development/xarp/xarp-2.2.2-i686-ubuntu-10.04.1.deb $ sudo apt-get install arptables libc6 libpcap0.8 libwxgtk2.8-0 libxerces-c3.1 menu $ sudo dpkg -i xarp-2.2.2-i686-ubuntu-10.04.1.deb
Ausblick
Sämtliche bisher genannten Ansätze basieren darauf, ARP-Spoofing zu erkennen in einem zweiten Schritt zu verhindern. Alle akzeptieren also die Tatsache, dass ARP inhärente Sicherheitsprobleme aufweist, und versuchen, diese zu handhaben. Andere Ansätze ersetzen das ARP-Protokoll durch sichere Varianten, basierend auf kryptografischen Mechanismen. So verwendet S-ARP [11] zum Sichern der Zuordnung von IP- zu MAC-Adressen eine asymmetrische Verschlüsselung. Ähnliche auf Verschlüsselung beruhende Ansätze nutzen auch T-ARP [12], Secure Link Layer und L2Auth, die es jedoch noch nicht aus den Laboren in die Praxis geschafft haben.
Die kommende Generation der Internet-Protokoll-Suite, IPv6, bietet ein neues Konzept, das die kryptografische Sicherung der IP-MAC-Zuordnung ermöglicht. Im Gegensatz zu anderen auf Verschlüsselung beruhenden Ansätzen benötigt das Secure Neighbor Discovery (SEND, [13]) – zumindest für das Verhindern von Spoofing – keine zentrale Verwaltungsinstanz für die Schlüssel und senkt damit den administrativen Aufwand erheblich. SEND nutzt dabei sogenannte Cryptographically Generated Addresses (CGA, [14]). Das Konzept dieser kryptografisch generierten Adressen wurde ursprünglich entwickelt, um Binding-Updates bei Mobile IPv6 zu sichern.
Als Basis dient hier ein Schlüsselpaar aus privatem und öffentlichem Key. Aus dem öffentlichen Schlüssel generiert das System dann über eine Hashfunktion eine Bytefolge, die es für den Host-Teil der IPv6-Adresse verwendet. Dies erlaubt dem System, zu beweisen, dass die hieraus resultierende IPv6-Adresse ihm gehört, da nur es selbst den zugehörigen privaten Schlüssel kennt. Dieser kryptografische Beweis gelingt einem potenziellen Angreifer hingegen nicht, was die Problematik des ARP-Spoofing löst.
Der Linux-Kernel implementiert SEND bisher jedoch noch nicht. Immerhin gibt es aber erste Proof-of-Concept-Implementierungen, wie beispielsweise NDprotector [15].
Fazit
Wenn sie das nächste Mal über ein offenes WLAN – etwa bei Starbucks – ihre E-Mails abrufen, denken Sie daran, wie einfach ARP-Spoofing ist, und achten sie auf Verdächtiges, wie zum Beispiel ungültige Zertifikate. Auf der absolut sicheren Seite bleiben Sie mit Werkzeugen wie zum Beispiel XArp, die das Netzwerk überwachen und jeden ARP-Spoofing-Versuch sofort erkennen.
Glossar
-
Man-in-the-Middle
-
Attacke, bei der sich der Angreifer zwischen zwei Kommunikationspartner setzt und nach beiden Seiten vorgibt, der jeweils andere Teilnehmer zu sein. So leitet er die gesamte Kommunikation über seinen Rechner und kann sie abhören und manipulieren.
-
OSI-Schicht
-
Das international genormte Modell für Netzwerke teilt die Kommunikation in sieben Schichten (engl.: “Layer”) auf. Dabei umfasst Layer 2 (“Data Link”, Sicherungsschicht) beispielsweise die Ethernet-Kommunikation, Layer 3 (“Network”, Vermittlungsschicht) jene per IP.
-
Zustandslos
-
Zustandslose Systeme und Protokolle führen keinerlei Sitzungsdaten mit und behandeln jede Anfrage, auch mehrere des selben Kommunikationspartners, als unabhängige Transaktionen.
-
Broadcast
-
“Rundsendung” an alle Systeme im Netzwerk, beispielsweise an die IP-Adresse 192.168.0.255. Auf Ethernet-Ebene wird dies in die MAC-Adresse
FF:FF:FF:FF:FF:FFumgesetzt. -
TLS
-
Transport Layer Security. Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet, auch bekannt unter der früheren Bezeichnung SSL (Secure Sockets Layer). TLS 1.0 entspricht der SSL-Version 3.1.
Infos
[1] “Die Hotspot-Falle”: http://heise.de/-1394646
[2] Address Resolution Protocol: https://tools.ietf.org/html/rfc826
[3] OUI-Liste: http://standards.ieee.org/develop/regauth/oui/public.html
[4] Lebenszeit eines Eintrags im ARP-Cache: /proc/sys/net/ipv4/neigh/eth0/gc_stale_time
[5] ARP-basierte Angriffe (1997): http://insecure.org/sploits/arp.games.html
[6] HTTPS-Everywhere: https://www.eff.org/https-everywhere
[7] HTTPS-Finder: https://code.google.com/p/https-finder
[8] DroidSheep Guard : http://droidsheep.de/?page_id=265
[9] Arpwatch: http://ee.lbl.gov
[10] XArp: http://www.chrismc.de/development/xarp
[11] S-ARP:http://alor.antifork.org/projects/s-arp
[12] T-ARP: http://siis.cse.psu.edu/tools.html
[13] SEND: https://tools.ietf.org/html/rfc3971
[14] Cryptographically Generated Addresses: https://tools.ietf.org/html/rfc3972
[15] NDprotector: https://amnesiak.org/NDprotector
[16] Dsniff: http://www.monkey.org/~dugsong/dsniff
[17] Droidsheep: http://www.droidsheep.de
[18] FaceNiff: http://faceniff.ponury.net
[19] Ettercap: http://ettercap.sourceforge.net
[20] Cain&Abel: http://www.oxid.it/cain.html
[21] SSLstrip: http://www.thoughtcrime.org/software/sslstrip
[22] NetCut: http://www.arcai.com
