Seite 4: Schutz im LAN

Inhaltsverzeichnis

Schutz im LAN

Wie gut man sich der ARP-Spoofing-Angriffe erwehren kann, hängt davon ab, wie früh Abwehrmaßnahmen ansetzen. Am wirksamsten ist es, bereits die Adress-Manipulation zu unterbinden. Eine einfache Möglichkeit PCs gegen ARP-Spoofing resistent zu machen, ist die Verwendung statischer ARP-Einträge (arp –s ). Dies bedeutet aber, dass alle IP-Adressen mit den dazugehörigen MAC-Adressen von Kommunikationspartnern innerhalb einer Broadcast-Domain in den ARP-Cache eingetragen werden müssen. Das ist mit hohem administrativen Aufwand verbunden und in lokalen Netzen mit DHCP kaum möglich. Als Kompromiss kann der Netzadmin zumindest die MAC-Adresse des Standard-Gateways fest eintragen. Unter Windows sind statische ARP-Einträge leider erst ab XP möglich. Bei allen Versionen davor werden die Einträge zwar als statisch angezeigt, sie lassen sich aber trotzdem überschreiben.

Bei Laptops die häufig an unterschiedlichen LAN-Umgebungen, Home-Office- oder WLAN-Netzen angeschlossen werden, ist ein statischer ARP-Cache ohnehin schwer einzusetzen. Personal Firewalls wie die von Sygate oder spezielle Tools wie SnoopNetCop Pro überwachen den lokalen ARP-Cache und bieten so zusätzlichen Schutz [9,10]. Meist wird der Benutzer aber nur auf einen Angriff hingewiesen -- weitere Maßnahmen muss er dann selbst einleiten.

Quarantäne

Alternativ kann man den Schutz natürlich von den Endgeräten in die Netzwerkkomponenten verlagern. Die Hersteller bieten hier zwei Ansätze, die die Sicherheit im LAN erhöhen. Durch virtuelle LANs (VLANs) lassen sich Endgeräte logischen Netzsegmenten zuordnen und somit voneinander separieren [11]. Nur innerhalb eines Segmentes ist noch eine Kommunikation auf Ethernet-Ebene möglich -- ARP-Informationen verlassen ein VLAN nicht mehr. Die Kommunikation zwischen VLANs erfolgt über einen Router. Dafür muss er Mitglied in jedem VLAN sein.

Je weniger Endgeräte in einem Segment sind, desto weniger kann ein Angreifer stören. Im günstigsten Fall ist jeder PC in einem eigenen VLAN nach 802.1q. Allerdings hat die Sache zwei Haken. Einige Switches unterstützen nur eine kleine Zahl von VLANs, sodass der Idealfall kaum zu schaffen ist. Zudem ist der Router Mitglied in allen VLANs, weshalb ein Angreifer den Verkehr vom Router auf Rechner in anderen Segmenten immer noch auf sich umbiegen kann. Allerdings ist er nicht in der Lage, den Verkehr anschließend an den eigentlichen Empfänger weiterzuleiten. Eine Man-in-the-Middle-Attacke lässt sich so zwar nicht mehr bewerkstelligen, aber als Denial-of-Service-Attacke eignet sich ARP-Spoofing weiterhin.

Auch die von teureren Cisco-Switches unter IOS 12.1(6) EA2 angebotene Option "switchport protected" zur Isolierung der Ports hilft hier nicht weiter. Da der Port des Routers oder Gateways nicht geschützt sein darf, gilt hier das gleiche wie bei VLANs. Immerhin lassen sich die CAM-Tabellen solcher Switches mit der Option "switchport port-security" vor dem Überfluten schützen.

Als alternative Methode verfügen Catalyst-3560/3750-Switches mit Enhanced Multilayer Image (EMI) und Switche der Serie 4500 sowie 6500 über (Dynamic) ARP Inspection (DAI). Damit überwachen die Geräte, ob ARP-Pakete mit ungültiger IP-MAC Zuordnung im Netz unterwegs sind und protokollieren oder verwerfen sie, bevor sie beim Endgerät ankommen. Die dazu notwendige Datenbasis kann eine DHCP-Datenbank oder eine manuell erstellte Liste (ARP Access Control List) sein.