Angriffe durch ARP Posioning

Lesenswerte Artikel, Anleitungen und Diskussionen
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Angriffe durch ARP Posioning

Post by adjustman » 2004-05-17 20:42

Hallo allerseits.
Mein Provider hat mir folgendes zukommen lassen.

Code: Select all

In einem Sicherheitstest des Datacenters wurde festgestellt, das sogenannte
"Man in the Middle" Angriffe durch ARP Posioning möglich sind. Dies ermöglicht das mitlesen
von Traffic anderer Server trotz des Einsatzes von Switchen.

http://www.watchguard.com/infocenter/editorial/135324.asp

Als Interimslösung zur Verhinderung werden auf dem Borderrouter
und den Rootservern statische ARP Einträge vorgenommen.

Die Einträge auf dem Borderrouter wurden am Wochenende bereits eingepflegt.
Die Kunden werden gebeten statische ARP-Einträge für den Borderrouter zusetzen:

Linux:
arp -s xxx.xxx.xxx.1 00:03:A0:0C:C8:00

Windows:
arp -s xxx.xxx.xxx.1 00-03-A0-0C-C8-00

Dieser Eintrag muss natürlich auch nach einem Reboot noch vorhanden sein, dies muss bei Linux
folgendermaßen angelegt werden:

Linux:

In der Datei /etc/init.d/networking wird nach der Zeile 124 eine weitere hinzugefügt:

124 ifup -a
125 arp -f /etc/ethers
126 echo "done."

In der Datei /etc/ethers wird folgender Eintrag abgelegt:

xxx.xxx.xxx.1 00:03:A0:0C:C8:00

Als endgültige Lösung werden wir Dynamic ARP Inspection auf unseren Core Switches
einsetzen , dafür ist jedoch die Anschaffung zusätzlicher Hardware notwendig.
Diese Hardware wird noch in dieser Woche zur Verfügung stehen.
Kann bitte mal jemand so freundlich sein und das kurz erläutern. Sind "Böhmische Dörfer" für mich. Danke.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriffe durch ARP Posioning

Post by Joe User » 2004-05-17 21:35

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

tobiask
Posts: 164
Joined: 2004-05-02 12:08
Location: NRW

Re: Angriffe durch ARP Posioning

Post by tobiask » 2004-05-17 21:44

im aktuellen linux magazin gibts nen langen artikel darüber :D
der is recht gut, hab ich mal gelesen :)

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Angriffe durch ARP Posioning

Post by majortermi » 2004-05-17 21:48

adjustMan wrote:

Code: Select all

Windows:
arp -s xxx.xxx.xxx.1 00-03-A0-0C-C8-00
Das wird aufgrund einer schlechten Netzwerkimplementierung dieses Betriebssystems allerdings wohl nicht viel bringen.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Angriffe durch ARP Posioning

Post by captaincrunch » 2004-05-17 21:52

im aktuellen linux magazin gibts nen langen artikel darüber
der is recht gut, hab ich mal gelesen
Ja, der ist ganz nett...nur bleiben leider aufgrund der Beschränkungen des Mediums einige Fragen einiger Leute unbeantwortet.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

tobiask
Posts: 164
Joined: 2004-05-02 12:08
Location: NRW

Re: Angriffe durch ARP Posioning

Post by tobiask » 2004-05-17 21:53

CaptainCrunch wrote:
im aktuellen linux magazin gibts nen langen artikel darüber
der is recht gut, hab ich mal gelesen
Ja, der ist ganz nett...nur bleiben leider aufgrund der Beschränkungen des Mediums einige Fragen einiger Leute unbeantwortet.
joa, aber für den einstieg ganz gut geschrieben find ich

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Angriffe durch ARP Posioning

Post by captaincrunch » 2004-05-17 21:59

DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Angriffe durch ARP Posioning

Post by adjustman » 2004-05-17 21:59

danke. Die abschliessende Frage: Macht obenstehende Massnahme Sinn?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Angriffe durch ARP Posioning

Post by captaincrunch » 2004-05-17 22:01

Lies den Link, dann weißt du es. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Angriffe durch ARP Posioning

Post by dodolin » 2004-05-17 22:08

In einem Sicherheitstest des Datacenters wurde festgestellt, das sogenannte
"Man in the Middle" Angriffe durch ARP Posioning möglich sind. Dies ermöglicht das mitlesen
von Traffic anderer Server trotz des Einsatzes von Switchen.
Und das merken die erst JETZT?! Ich meine, das ist doch ein uralter Hut! Mich würde gerne der Provider interessieren, aber das gehört nicht hier ins Board. Darf ich um ne PN bitten? ;)

Außerdem Rechtschreibfehler bei "Posioning", wenn wir schon beim nitpicken sind.
Als Interimslösung zur Verhinderung werden auf dem Borderrouter
und den Rootservern statische ARP Einträge vorgenommen.

Die Einträge auf dem Borderrouter wurden am Wochenende bereits eingepflegt.
Die Kunden werden gebeten statische ARP-Einträge für den Borderrouter zusetzen:
Also unter einem "Borderrouter" verstehe ich etwas anderes, aber vielleicht handelt es sich ja um ein RZ, bei dem alle Rootserver und Switches direkt am Borderrouter hängen?

Ich denke, ARP Spoofing/Poisoning ist etwas zu komplex und wurde sicher schon an diversen anderen Stellen ausführlich und besser erklärt, als (mir) das hier möglich wäre. Wenn bei den bisher schon aufgeführten Quellen und Links noch konkrete Fragen oder Verständnisprobleme sind, können wir ja hier versuchen, das zu klären.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Angriffe durch ARP Posioning

Post by adjustman » 2004-05-17 22:14

dodolin wrote: ... vielleicht handelt es sich ja um ein RZ, bei dem alle Rootserver und Switches direkt am Borderrouter hängen? ...
Ja. Is`n RZ. Und danke nochmal.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Angriffe durch ARP Posioning

Post by captaincrunch » 2004-05-17 22:14

Und das merken die erst JETZT?! I
Vermutlich lesen die dortigen Admins das Linux Magazin. ;)

SCNR
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Angriffe durch ARP Posioning

Post by dodolin » 2004-05-18 01:46

Vermutlich lesen die dortigen Admins das Linux Magazin.
YMMD!
Ja. Is`n RZ.
Das war mir schon klar. Die Betonung bzw. die Pointe lag auch eher auf der 2. Satzhälfte... ;)

Ich bin zwar jetzt nicht so der Routing-Experte, aber IMHO ist ein Borderrouter an der Grenze zwischen "Internet" und "RZ" und zeichnet sich in einem etwas größeren RZ meist dadurch aus, dass er eben NICHT direkt mit Endhosts, sondern mit weiteren, internen Routern des ISPs kommuniziert. Deshalb wundert es mich etwas, wie man auf Endkundenrechnern ARP-Einträge auf den "Borderrouter" setzen soll... aber vermutlich war einfach das Wort "Borderrouter" in diesem Zusammenhang falsch gewählt. Es klingt halt so schön nach groß, wichtig und toll. So richtig marketingmäßig.

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Angriffe durch ARP Posioning

Post by mikespi » 2004-05-18 13:56

Super dann sind ja meine Fragen, die sich durch das Linux Magazin eröffnet haben, geklärt. :-D

Grüsse
Andi

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Angriffe durch ARP Posioning

Post by dea » 2004-05-18 22:28

Also ich versteh' des nicht ... jetzt hab' ich mal ein wenig ARPtropin in meine Netzwerkkabel gespritzt und nichts tut sich mehr -- rein gar nichts. Drecks ARP-Poisoning, das funktioniert ja garnicht!


...


;)