Angriff von innen

Inhaltsverzeichnis

Zur Abwehr von Eindringlingen aus der Außenwelt ist in den letzten Jahren viel Aufwand und Geld in Sicherheitstechniken wie Firewalls, Content-Filter und Intrusion Prevention Systeme gesteckt worden. Der innere Schutz ist hingegen fast überall zu kurz gekommen. Gerade das lokale Netz ist aber meist das schwächste Glied [1]. Hier ist es ein leichtes, zu spionieren und zu manipulieren. Zwar sind auf vielen PCs Virenscanner und Personal Firewalls installiert, die schützen aber nicht gegen alle Angriffe und wiegen selbst erfahrene Anwender in falscher Sicherheit.

Neben Denial-of-Service-Attacken auf den PC des Kollegen oder auf den Firmenserver gehört das Mitlauschen von Datenverkehr zu den häufigsten Angriffsarten. In älteren Netzwerken, deren PCs über einen Hub miteinander verbunden waren, war nur ein Sniffer-Programm wie Ethereal notwendig, um sämtlichen Datenverkehr mitzulesen. Seit der Einführung von Switches ist das etwas schwieriger. Da der Switch nur noch Pakete an den Port mit der richtigen Ziel-MAC-Adresse weiterleitet, sieht man nur noch den eigenen Datenverkehr sowie uninteressante Broadcasts anderer Systeme. Oft halten selbst Netzwerkadministratoren dies für ein Sicherheitsfeature, das so unüberwindlich wie eine Firewall ist. Allerdings lässt sich ein Switch mit einfachen Mitteln austricksen: Mit sogenanntem ARP-Spoofing leiten Angreifer den Verkehr zwischen Geräte an anderen Ports einfach über den eigenen Rechner um und können so alle Daten mitlesen oder fälschen. Das ganze funktioniert sogar in den Rechenzentren vieler Webhoster, die dedizierte Webserver vermieten. Tests von c't belegen immer wieder, dass sich der Verkehr anderer Server auf den eigenen umbiegen lässt [2,3].