Seite 6: Tunnel

Inhaltsverzeichnis

Tunnel

Ein anderer Ansatz ist die Ende-zu-Ende-Sicherung der Kommunikation, sodass ein Angreifer zwar die Verbindung über seinen Rechner umleiten kann, aber dennoch die Daten nicht lesen kann. Üblicherweise setzt man hier IPSec oder SSH in der sicheren Versionen 2 oder SSL mit bidirektionaler Authentifizierung [15]. Allerdings ist dies mit größeren Umkonfigurationen der Endgeräte verbunden und auch alle Server müssen es unterstützen. Daher schützt diese Lösung eigentlich nur firmeninternen Verkehr -- die Verbindung vom Arbeitsplatzrechner zur Online-Auktion im Internet bleibt weiter angreifbar.

Einen hundertprozentigen Schutz vor ARP-Spoofing-Angriffen zu erreichen, ist sehr schwer. Da die Gefahr aber nur im LAN besteht, dämmen zusätzliche organisatorische und technische Maßnahmen Spionageversuche wirksam ein. Arbeiten die Anwender auf ihren Arbeitsplatz-PCs unter Windows als eingeschränkte Nutzer, so lassen sich etwa Ettercap und Cain&Abel gar nicht erst installieren. Das Booten eines Knoppix, um die Restriktionen unter Windows zu umgehen, verhindert der Administrator durch Einstellungen im passwortgeschützten BIOS auf jedem Rechner. Gegen ein mitgebrachtes Laptop mit gespoofer MAC-Adresse helfen aber auch diese Maßnahmen nicht.

Links & Literatur

[1] KPMG-Studie: Global survey finds companies underestimate internal threat

[2] Server-Nachsitzen, Neuer Test von Strato- und Intergenia-Mietservern, c't 02/05, S. 42

[3] Eigenheim zur Miete, Dedizierte Internet-Server der Einstiegsklasse, c't 12/04, S. 142

[4] RFC 826 - An Ethernet Address Resolution Protocol

[5] Windows 2000 TCP/IP Implementation Details

[6] dsniff

[7] Cain & Abel

[8] ettercap NG

[9] Sygate

[10] SnoopNetCop Professional

[11] Logische Netze, Virtuelle Netze schaffen mehr Sicherheit, c't 01/05, S. 90

[12] Snort

[13] arpwatch

[14] Torwächter, kurz vorgestellt, c't 24/04, S. 82

[15] Der Pförtner zum Netz - Ein IPSec-Gateway im Eigenbau (dab)