Route 666
Bei Hacker-Angriffen denkt man normalerweise an direkte Einbrüche in Rechner. Viel kritischer sind jedoch Manipulationen am Routing: Ein Angreifer kann dadurch den Verkehr eines ganzen Unternehmensnetzwerks stören, mitlesen oder gar fälschen.
- Felix "FX" Lindner
Wenn zwei Rechner über ein größeres Netzwerk miteinander kommunizieren, wandern die Datenpakete meist über mehrere Zwischenstationen. Das Routing bestimmt dabei, welchen Weg die Pakete nehmen. Es muss sich dynamisch an Veränderungen im Netz anpassen: Geräte kommen hinzu, Verbindungen fallen aus oder sind überlastet und dergleichen mehr. Netzwerkkomponenten wie Switches oder Router kommunizieren daher über verschiedene Protokolle miteinander, um die optimalen Wege untereinander auszuhandeln.
Diese Routing-Protokolle sind ein Angriffspunkt für böswillige Hacker: Durch geschickte Manipulationen können sie den Netzwerkverkehr zum Beispiel umleiten, um ihn abzuhören oder gar zu verfälschen. Das Routing in TCP/IP-Netzen spielt sich vor allem auf zwei Protokoll-Schichten ab: auf dem Link Layer (Schicht 2, zum Beispiel Ethernet) und auf dem Network Layer (Schicht 3, IP).
In beiden Schichten lassen sich Quell- und Zieladressen leicht fälschen. Wenn ein Angreifer also in der Lage ist, Ethernet- beziehungsweise IP-Pakete in ein bestimmtes Netz zu schicken, kann er dort die verschiedenen Routing-Protokolle manipulieren. Auf unterer Ebene wäre hier zunächst das Addres Resolution Protocol (ARP) zu nennen, mit dem ein Gerät anfragt, welche MAC-Adresse zu einer bestimmten IP-Adresse gehört.
Erstaunlicherweise belächelt man zuweilen selbst in Fachkreisen Man-in-the-Middle-Attacken über ARP, obwohl mit ihnen sogar Dienste wie SSH erfolgreich ausehebelt werden können [1, 2]. Hierbei beantwortet ein Angreifer die an alle gesendete Anfrage nach der Ethernet-Adresse eines bestimmten Zielsystems mit seiner eigenen. Dadurch erreicht er, dass die Pakete zwar auf Layer 3 (IP) noch immer an den Empfänger adressiert sind, auf Layer 2 allerdings an ihn selbst. Jetzt muss er die Pakete nur noch an den richtigen Empfänger weiterleiten, nachdem er sie mitprotokolliert oder gar verändert hat. Programme wie Ettercap gehen noch aktiver vor: Sie posaunen unangefragt ARP-Antwortpakete an beliebige Hosts und gaukeln so vor, ein Router zu sein.
Eine ähnliche Angriffsmöglichkeit besteht beim Spanning Tree Protocol (STP). Es dient dazu, in einem Netz mit mehreren Switches zu verhindern, dass ein Ethernet-Frame durch eine Ringverbindung im Netz wieder und wieder dupliziert wird. Die Switches stimmen sich dazu untereinander darüber ab, welche Ports sie nutzen und welche sie blockieren. Hier besteht die Möglichkeit, mit einigen wenigen Layer-2-Paketen den gesamten Inter-Switch-Verkehr über ein System eigener Wahl zu leiten und gegebenenfalls zu verändern. Auch hier sind sich nicht einmal alle Fachleute der Gefahr bewusst oder bezweifeln, dass solche Angriffe in der Praxis überhaupt durchführbar sind [3].
Ein Großteil der tatsächlich vorgenommenen Angriffe auf Netzverkehr wird mit Hilfe von Layer-2-Protokollen durchgeführt. Der Grund ist ein ganz einfacher: Man kann sich kaum bis gar nicht dagegen schützen, denn die Dynamik dieser Protokolle ist ihre Schwäche. Jeder, der schon mal auf einer Konferenz oder Messe ein offenes Netzwerk verwendet hat, kennt das Problem, herauszufinden, ob die MAC-Adresse DE:AD:BE:EF:CA:FE:BA:BE wirklich die des nächsten Routers ist oder eher zum Notebook des schwarz gekleideten jungen Mannes am Nebentisch gehört.
