Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerkanalyse

Netzwerksicherheit

Viele große Unternehmen geben Millionenbeträge für Sicherheit aus. Diese Geld wird jedoch in der Regel in Firewalls zum Internet und Virenscanner investiert.
Auf Angriffe von Innen ist heute kaum eine Firma vorbereitet. Dabei ist die Gefahr, die von einem frustrierten Mitarbeiter ausgeht sicher nicht zu unterschätzen. Wie will man den Einsatz von Wireshark und Ettercap verhindern?

Schutz vor Sniffern

Eigentlich verspricht die Überschrift schon zuviel. Es gibt keinen wirklichen Schutz vor Sniffern.

Port-Security auf Basis von MAC-Adressen ist sicher interessannt. Doch der administrative Aufwand ist gewaltig. Und was was macht die Netzwerkhotline bei Anrufen wie: "Ich bin hier im Konferenzraum 1 und mein Laptop kommt nicht ins Netz."? Natürlich wird sie vom Anrufer einen schriftlichen Antrag auf Freischaltung seiner MAC-Adresse mit Unterschrift aller Geschäftsführer verlangen..."

Der einzige wirksame Schutz ist Verschlüsselung (IPSec, PGP, SSL, etc.). Das schützt zwar nicht vor dem Aufzeichnen des Netzwerkverkehrs, macht allerdings die Aufzeichnung relativ nutzlos für den Angreifer. Allerdings sollte man aufpassen mit wem man den „Tunnel“ aufbaut und z.B. bei SSL auch lesen von wem das Zertifikat kommt.

Aber sonst gibt’s ja noch den KeyGhost und Magic Lantern...

Vor ARP-Poisening und anderen Attacken auf dem Layer 2 schützen sogenannte Private VLANs (PVLANS).

Erkennen von Sniffer

Wie kann ich einen Sniffer in meinem Netzwerk erkennen? Die Anwort ist ziemlich ernüchternd: „Wenn der Angreifer gut ist, gar nicht!“. Einen Sniffer hinter einem Tap oder an einem manipulierten Ethernetkabel wird man nur sehr schwer aufspüren.

Da die meisten Angreifer aber nicht gut genug sind, gibt es einige Methoden:

DNS-Lookup

Die meisten Sniffer versuchen IP-Adressen zur Anzeige in Hostnamen aufzulösen. Dazu sind Zugriffe auf einen DNS-Server nötig. Man kann also durch Zugriffe auf nicht existierende IP-Adressen und Monitoring des DNS-Severs erkennen ob und von wem man beobachtet wird.

Promiscuous Mode

Normalerweise lesen Netzwerkkarten nur den Traffic der an ihre MAC-Adresse adressiert ist und Broadcasts. Zum tracen schaltet man die Karte in einen speziellen Modus, den Promiscuous Mode. In dieser Betriebsart gibt die Karte alle Frame an die höheren Layer weiter. Es existieren einige Programme die versuchen dieses Verhalten zu erkennen.

Time Domain Reflectometer

Einen Tap in einem elektrischen oder optischen Kabel kann nur mit einen TDR bzw. OTDR erkennen. Dafür benötigt man natürlich Angaben zum intakten, ungetapten Kabel. Einen Tap der nur 50 cm vor dem Kabelende sitzt wird man aber auch mit dem (O)TDR nicht erkennen.

Köder auslegen / Honeypots

Ein Angreifer wird den Netzwerkverkehr beobachten um die Erkenntnise auch zu nutzen. Verbindungen zu gefakten Hosts mit Klartextpassworten (Telnet, POP3, SMTP) können einen so auf die Spur des Angreifers führen, wenn dieser die so gewonnenen Erkenntnisse nutzt und die eigentlich unbenutzten Adressn anspricht.

Honeypots (Honigtöpfe) eignen sich im Allgemeinen recht gut um „black hats“ im Netzwerk zu erkennen. Auch im Internet betreiben einige Leute Honeypots. Die bekanntesten Vertreter sind sicher www.honeynet.org. Dort findet man auch zahlreiche Traces auf freier Wildbahn. Diese eignen sich sehr gut als Studienobjekt.

URL: www.honeynet.org

Sabotage

Bei Suche nach Netzwerkproblemen sollte man auch einen mutwilligen oder versehentlichen Angriff nicht ausschließen – zu viele User lesen die einschlägigen Zeitschriften und surfen im Internet.

MAC-Flooding

Was macht ein Switch eigentlich wenn seine MAC-Adressen-Tabelle voll ist?

Auf jeden Fall mit der im eigene Netz eingesetzten Hard- und Software testen.

Spanning Tree (STP)

Über das Spanning Tree-Protokoll wählen Brücken ihre Rootbridge und legen die besten Wege im LAN fest. Dabei spielt der Austausch von Bridge Protocol Data Units (BPDU) eine entscheidene Rolle. In diesen BPDU’s teilen die Brücken ihren Nachbarn unter anderem die Bridge-Priority mit. Dieser Wert wird aus einem frei konfigurierbarem Teil und der MAC-Adresse der Brücke gebildet. Die Brücke mit der kleinsten Priorität wird die Rootbridge.

Wenn man die Rootbridge nicht bewusst auswählt und konfiguriert, kann man die Performance und Stabilität auch ohne Sabotage auf ein Minimum reduzieren. Was aber passiert, wenn ein Angreifer bewusst eine langsame Brücke am Edge meines Netzes anschließt und diese zur Rootbridge macht, oder einfach nur gefakte BPDU’s mit sehr niedriger Priorität ins Netz sendet?

Vorbeugung: Spanning Tree am Edge des Netzes deaktivieren? Allerdings sind STP-Loops nicht besonders lustig.

Cisco Discovery Protocol (CDP)

Cisco-Komponenten informieren ihre Nachbarn alle 60 Sekunden via CDP über interessante Einzelheiten: Hostname, IP-Adresse, Hardwareplattform, IOS-Version. CDP ist vollkommen ungesichert und wird in der Standardkonfiguartion auch an Userports gesendet. Diese Infos sind für einen Angreifer sehr nützlich.

Ciscos Netzmanagementplattform Cisco Works benutzt CDP um Geräte im Netz zu finden und zu identifizieren. Was passiert also wenn ich meinen Sniffer CDP sprechen lasse? Mit etwas Glück entdeckt mich Cisco Works als neue Netzkomponente und wird versuchen mich via SNMP und Telnet anzusprechen. Dabei landen dann die SNMP-Communities und Telnet-Passwörter als Klartext in meinem Sniffer.

Es gibt auch einen kleinen CDP-Server für Linux.

Vorbeugung: CDP nur auf den wirklich notwendigen Ports laufen lassen.

DHCP

Da normalerweise der DHCP-Server seine Adressen an jedermann verteilt, ist der Schutz vor DoS-Attacken recht schwierig. Ein kleines Script reicht aus, um einen DHCP-Server alle Adressen für ein Netz „abzunehmen“. Die echten Clients erhalten dann keine IP-Adresse mehr.

Auch die Implementierung eine eigenen DHCP-Servers durch einen Angreifer ist denkbar einfach. Dieser kann dann ungehindert seine Konfigurationsdaten an die Clients verteilen.

Vorbeugung: Abhilfe schaffen hier nur Server und Clients mit eigener Authentifizierung.

Trunks und VLAN's

Für die Übertragung auf einem Trunk werden die Frames speziell markiert (ISL oder dot1q). Wenn man also Zugriff auf einen Trunk hat kann man Frames in jedes beliebiege VLAN einschleusen. Vorstellbar ist auch das Senden von ISL- oder dot1q-Frames an einen Access-Port oder das mehrfache Encapsulieren von Frames.

Vorbeugung: Trunking nur auf Ports aktivieren wo es benötigt wird. Nur die erforderlichen VLAN's auf den Trunks zulassen.

Virtual Trunking Protocol (VTP)

Via VTP tauschen Cisco-Switche Informationen über VLAN’s aus. VTP-Server versenden dabei die Infos an VTP-Clients. Ein Client glaubt dabei alle Infos bei denen das VTP-Password und die VTP-Domain stimmt und die Serialnumber höher ist als die eigene.

Durch Implemtierung eines falschen VTP-Servers kann man also recht einfach ganze VLAN’s aus dem Netz entfernen.

Vorbeugung: VTP-Domain und Passwort möglichst eigenwillig setzen.

Routing Protokolle

Per Default nutzen die meißten Routing Protokolle keine Authentifizierung. Eine böswillige Station kann also ohne Probleme eine beliebiege Route an ihren Nachbarn weitergeben. Wie das aussieht, wenn eine Station am Edge des Netzes eine neue Default-Route verteilt mag sich jeder selber ausmalen.

Vorbeugung: Nur Routing Protokolle mit aktivierter Authentifizierung benutzen. Am Edge des Netzes Routing deaktivieren.

Hot Standby Router Protocol (HSRP)

HSRP etabliert zwischen mehreren physischen Routern einen virtuellen Routern. Diesen virtuellen Router nutzen die Clients in der Regel als Default-Gateway. Die Wahl des aktiven Routers wird über Prioritäten gesteuert. Eine Station die sich zum aktiven Router wählen läßt hat da schon so einige Möglichkeiten...

Vorbeugung: Password im HSRP aktivieren und den aktiven Router mit der maximalen Priorität laufen lassen. Leider überträgt HSRP das Password aber im Klartext. Denkbar ist auch eine Access Liste die nur HSRP-Hellos von bekannten Router akzeptiert.

Wireless LAN

Die Ausbreitung von Funkwellen kann nur schwer kontrolliert werden. Die Ausleuchtung eines Access Point geht daher oft über das Firmengelände oder die eigene Wohnung hinaus.

Ein potentieller Angreifer hat also fast unbegrenzt Zeit sich unerkannt an den Sicherheitsvorkehrungen zu probieren. Sehen Sie den schwarzen Lieferwagen vor Ihrem Fenster?
Folgende einfache Vorkehrungen sollte man treffen:

SSID-Broadcasting deaktivieren

Damit verhindert man ein versehentliches einbuchen von Clients in den Access Point (AP). Der AP ist jetzt nur noch mit spezieller Software (Kismet ist Dein Freund) aufzuspüren.

MAC-Adressen filtern

Auch diese Maßnahme verhindert ein versehentliches Einbuchen von Clients. Ein versierter Angreifer wird allerdings sehr schnell eine gültige MAC-Adresse herausfinden und diese in seine Karte eintragen.

WPA oder WEP aktivieren

Das Überwinden der Verschlüsselung verlangt vom Angreifer schon etwas Mühe. WEP ist allerdings relativ leicht zu überwinden. Mit Programmen wie airsnort oder wepcrack benötigt der Angreifer nur eine größere Menge Daten um den WEP-Key zu bestimmen. WPA/PSK bringt wesentlich besseren Schutz.

Wenig Schutz bietet das Deaktivieren den DHCP-Servers des AP. Dadurch kann sicher ein einfaches Einbuchen eines Clients verhindert werden, der Blackhat wird sich davon nicht aufhalten lassen.

Auf jeden Fall ist der Aufbau eines VPN-Tunnels z.B. mittels IPSec auf der Funkstrecke zu empfehlen. Eine aktive Überwachung der eingebuchten Clients hilft Angreifer frühzeitig zu erkennen.

Die Clients sollte man so einstellen, das sie sich nur am eigenen Access Point einbuchen.

SSL / HTTPS

Das Protokoll SSL (Secure Socket Layer) gilt als recht sicher. Die Sicherheit basiert allerdings auf dem Verbindungsaufbau mit einer vertrauenswürdigen Gegenstelle. Bei einer Man-in-the-Middle-Attack (MitM) mit ettercap wird Ihnen der Angreifer ein falsches Zertifikat unterschieben. Die Mehrzahl der Nutzer ignoriert den Warnhinweis ihres Browsers und baut eine SSL-Verbindung mit dem Angreifer auf.

Weitergabe und Veröffentlichung von Traces

Manchmal ist es hilfreich, Tracefiles zur Fehlersuche an andere Personen zu geben. Vorher sollte man auf jeden Fall alle vertraulichen Informationen (Usernamen, Passwörter) aus dem Trace entfernen. Von WildPackets gibt es dafür den PacketScrubber.
Alternativ kann man seinen Trace auch als ASCII-File speichern und mit einen Texteditor bereinigen.

URL: www.wildpackets.com/products/packetscrubber

Interessante Websites

Auf Gaijin.at finden Sie viele nützliche Informationen zur Sicherheit im Internet. Neben aktuellen Artikel gibt es dort Tools und Downloads.

Aktuelle Informationen

 

<-- Typische Probleme Teil 2 Inhalt Interessante Bücher -->

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012