Angriffe durch ARP Posioning

[adjustman]

Hallo allerseits.
Mein Provider hat mir folgendes zukommen lassen.

Code: Select all

In einem Sicherheitstest des Datacenters wurde festgestellt, das sogenannte
"Man in the Middle" Angriffe durch ARP Posioning möglich sind. Dies ermöglicht das mitlesen
von Traffic anderer Server trotz des Einsatzes von Switchen.

http://www.watchguard.com/infocenter/editorial/135324.asp

Als Interimslösung zur Verhinderung werden auf dem Borderrouter
und den Rootservern statische ARP Einträge vorgenommen.

Die Einträge auf dem Borderrouter wurden am Wochenende bereits eingepflegt.
Die Kunden werden gebeten statische ARP-Einträge für den Borderrouter zusetzen:

Linux:
arp -s xxx.xxx.xxx.1 00:03:A0:0C:C8:00

Windows:
arp -s xxx.xxx.xxx.1 00-03-A0-0C-C8-00

Dieser Eintrag muss natürlich auch nach einem Reboot noch vorhanden sein, dies muss bei Linux
folgendermaßen angelegt werden:

Linux:

In der Datei /etc/init.d/networking wird nach der Zeile 124 eine weitere hinzugefügt:

124 ifup -a
125 arp -f /etc/ethers
126 echo "done."

In der Datei /etc/ethers wird folgender Eintrag abgelegt:

xxx.xxx.xxx.1 00:03:A0:0C:C8:00

Als endgültige Lösung werden wir Dynamic ARP Inspection auf unseren Core Switches
einsetzen , dafür ist jedoch die Anschaffung zusätzlicher Hardware notwendig.
Diese Hardware wird noch in dieser Woche zur Verfügung stehen.

Kann bitte mal jemand so freundlich sein und das kurz erläutern. Sind "Böhmische Dörfer" für mich. Danke.

[Joe User]

International: http://www.google.com/search?hl=en&ie=U ... gle+Search
Deutsch: http://www.google.com/search?hl=en&ie=U ... gle+Search

Sollte ausreichen ;)

[tobiask]

im aktuellen linux magazin gibts nen langen artikel darüber :D
der is recht gut, hab ich mal gelesen :)

[majortermi]

Code: Select all

Windows:
arp -s xxx.xxx.xxx.1 00-03-A0-0C-C8-00

Das wird aufgrund einer schlechten Netzwerkimplementierung dieses Betriebssystems allerdings wohl nicht viel bringen.

[captaincrunch]

im aktuellen linux magazin gibts nen langen artikel darüber
der is recht gut, hab ich mal gelesen

Ja, der ist ganz nett...nur bleiben leider aufgrund der Beschränkungen des Mediums einige Fragen einiger Leute unbeantwortet.

[tobiask]

im aktuellen linux magazin gibts nen langen artikel darüber
der is recht gut, hab ich mal gelesen

Ja, der ist ganz nett...nur bleiben leider aufgrund der Beschränkungen des Mediums einige Fragen einiger Leute unbeantwortet.

joa, aber für den einstieg ganz gut geschrieben find ich

[captaincrunch]

Etwas genauer wird's unter http://packetstormsecurity.com/papers/p ... oofing.pdf

[adjustman]

danke. Die abschliessende Frage: Macht obenstehende Massnahme Sinn?

[captaincrunch]

Lies den Link, dann weißt du es. ;)

[dodolin]

In einem Sicherheitstest des Datacenters wurde festgestellt, das sogenannte
"Man in the Middle" Angriffe durch ARP Posioning möglich sind. Dies ermöglicht das mitlesen
von Traffic anderer Server trotz des Einsatzes von Switchen.

Und das merken die erst JETZT?! Ich meine, das ist doch ein uralter Hut! Mich würde gerne der Provider interessieren, aber das gehört nicht hier ins Board. Darf ich um ne PN bitten? ;)

Außerdem Rechtschreibfehler bei "Posioning", wenn wir schon beim nitpicken sind.

Als Interimslösung zur Verhinderung werden auf dem Borderrouter
und den Rootservern statische ARP Einträge vorgenommen.

Die Einträge auf dem Borderrouter wurden am Wochenende bereits eingepflegt.
Die Kunden werden gebeten statische ARP-Einträge für den Borderrouter zusetzen:

Also unter einem "Borderrouter" verstehe ich etwas anderes, aber vielleicht handelt es sich ja um ein RZ, bei dem alle Rootserver und Switches direkt am Borderrouter hängen?

Ich denke, ARP Spoofing/Poisoning ist etwas zu komplex und wurde sicher schon an diversen anderen Stellen ausführlich und besser erklärt, als (mir) das hier möglich wäre. Wenn bei den bisher schon aufgeführten Quellen und Links noch konkrete Fragen oder Verständnisprobleme sind, können wir ja hier versuchen, das zu klären.

[adjustman]

... vielleicht handelt es sich ja um ein RZ, bei dem alle Rootserver und Switches direkt am Borderrouter hängen? ...

Ja. Is`n RZ. Und danke nochmal.

[captaincrunch]

Und das merken die erst JETZT?! I

Vermutlich lesen die dortigen Admins das Linux Magazin. ;)

SCNR

[dodolin]

Vermutlich lesen die dortigen Admins das Linux Magazin.

YMMD!

Ja. Is`n RZ.

Das war mir schon klar. Die Betonung bzw. die Pointe lag auch eher auf der 2. Satzhälfte... ;)

Ich bin zwar jetzt nicht so der Routing-Experte, aber IMHO ist ein Borderrouter an der Grenze zwischen "Internet" und "RZ" und zeichnet sich in einem etwas größeren RZ meist dadurch aus, dass er eben NICHT direkt mit Endhosts, sondern mit weiteren, internen Routern des ISPs kommuniziert. Deshalb wundert es mich etwas, wie man auf Endkundenrechnern ARP-Einträge auf den "Borderrouter" setzen soll... aber vermutlich war einfach das Wort "Borderrouter" in diesem Zusammenhang falsch gewählt. Es klingt halt so schön nach groß, wichtig und toll. So richtig marketingmäßig.

[mikespi]

Super dann sind ja meine Fragen, die sich durch das Linux Magazin eröffnet haben, geklärt. :-D

Grüsse
Andi

[dea]

Also ich versteh' des nicht ... jetzt hab' ich mal ein wenig ARPtropin in meine Netzwerkkabel gespritzt und nichts tut sich mehr -- rein gar nichts. Drecks ARP-Poisoning, das funktioniert ja garnicht!


...


;)