Page 1 of 1
Angriffe durch ARP Posioning
Posted: 2004-05-17 20:42
by adjustman
Hallo allerseits.
Mein Provider hat mir folgendes zukommen lassen.
Code: Select all
In einem Sicherheitstest des Datacenters wurde festgestellt, das sogenannte
"Man in the Middle" Angriffe durch ARP Posioning möglich sind. Dies ermöglicht das mitlesen
von Traffic anderer Server trotz des Einsatzes von Switchen.
http://www.watchguard.com/infocenter/editorial/135324.asp
Als Interimslösung zur Verhinderung werden auf dem Borderrouter
und den Rootservern statische ARP Einträge vorgenommen.
Die Einträge auf dem Borderrouter wurden am Wochenende bereits eingepflegt.
Die Kunden werden gebeten statische ARP-Einträge für den Borderrouter zusetzen:
Linux:
arp -s xxx.xxx.xxx.1 00:03:A0:0C:C8:00
Windows:
arp -s xxx.xxx.xxx.1 00-03-A0-0C-C8-00
Dieser Eintrag muss natürlich auch nach einem Reboot noch vorhanden sein, dies muss bei Linux
folgendermaßen angelegt werden:
Linux:
In der Datei /etc/init.d/networking wird nach der Zeile 124 eine weitere hinzugefügt:
124 ifup -a
125 arp -f /etc/ethers
126 echo "done."
In der Datei /etc/ethers wird folgender Eintrag abgelegt:
xxx.xxx.xxx.1 00:03:A0:0C:C8:00
Als endgültige Lösung werden wir Dynamic ARP Inspection auf unseren Core Switches
einsetzen , dafür ist jedoch die Anschaffung zusätzlicher Hardware notwendig.
Diese Hardware wird noch in dieser Woche zur Verfügung stehen.
Kann bitte mal jemand so freundlich sein und das kurz erläutern. Sind "Böhmische Dörfer" für mich. Danke.
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 21:35
by Joe User
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 21:44
by tobiask
im aktuellen linux magazin gibts nen langen artikel darüber :D
der is recht gut, hab ich mal gelesen :)
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 21:48
by majortermi
adjustMan wrote:Code: Select all
Windows:
arp -s xxx.xxx.xxx.1 00-03-A0-0C-C8-00
Das wird aufgrund einer schlechten Netzwerkimplementierung dieses Betriebssystems allerdings wohl nicht viel bringen.
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 21:52
by captaincrunch
im aktuellen linux magazin gibts nen langen artikel darüber
der is recht gut, hab ich mal gelesen
Ja, der ist ganz nett...nur bleiben leider aufgrund der Beschränkungen des Mediums einige Fragen einiger Leute unbeantwortet.
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 21:53
by tobiask
CaptainCrunch wrote:im aktuellen linux magazin gibts nen langen artikel darüber
der is recht gut, hab ich mal gelesen
Ja, der ist ganz nett...nur bleiben leider aufgrund der Beschränkungen des Mediums einige Fragen einiger Leute unbeantwortet.
joa, aber für den einstieg ganz gut geschrieben find ich
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 21:59
by captaincrunch
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 21:59
by adjustman
danke. Die abschliessende Frage: Macht obenstehende Massnahme Sinn?
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 22:01
by captaincrunch
Lies den Link, dann weißt du es. ;)
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 22:08
by dodolin
In einem Sicherheitstest des Datacenters wurde festgestellt, das sogenannte
"Man in the Middle" Angriffe durch ARP Posioning möglich sind. Dies ermöglicht das mitlesen
von Traffic anderer Server trotz des Einsatzes von Switchen.
Und das merken die erst JETZT?! Ich meine, das ist doch ein uralter Hut! Mich würde gerne der Provider interessieren, aber das gehört nicht hier ins Board. Darf ich um ne PN bitten? ;)
Außerdem Rechtschreibfehler bei "Posioning", wenn wir schon beim nitpicken sind.
Als Interimslösung zur Verhinderung werden auf dem Borderrouter
und den Rootservern statische ARP Einträge vorgenommen.
Die Einträge auf dem Borderrouter wurden am Wochenende bereits eingepflegt.
Die Kunden werden gebeten statische ARP-Einträge für den Borderrouter zusetzen:
Also unter einem "Borderrouter" verstehe ich etwas anderes, aber vielleicht handelt es sich ja um ein RZ, bei dem alle Rootserver und Switches direkt am Borderrouter hängen?
Ich denke, ARP Spoofing/Poisoning ist etwas zu komplex und wurde sicher schon an diversen anderen Stellen ausführlich und besser erklärt, als (mir) das hier möglich wäre. Wenn bei den bisher schon aufgeführten Quellen und Links noch konkrete Fragen oder Verständnisprobleme sind, können wir ja hier versuchen, das zu klären.
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 22:14
by adjustman
dodolin wrote:
... vielleicht handelt es sich ja um ein RZ, bei dem alle Rootserver und Switches direkt am Borderrouter hängen? ...
Ja. Is`n RZ. Und danke nochmal.
Re: Angriffe durch ARP Posioning
Posted: 2004-05-17 22:14
by captaincrunch
Und das merken die erst JETZT?! I
Vermutlich lesen die dortigen Admins das Linux Magazin. ;)
SCNR
Re: Angriffe durch ARP Posioning
Posted: 2004-05-18 01:46
by dodolin
Vermutlich lesen die dortigen Admins das Linux Magazin.
YMMD!
Ja. Is`n RZ.
Das war mir schon klar. Die Betonung bzw. die Pointe lag auch eher auf der 2. Satzhälfte... ;)
Ich bin zwar jetzt nicht so der Routing-Experte, aber IMHO ist ein Borderrouter an der Grenze zwischen "Internet" und "RZ" und zeichnet sich in einem etwas größeren RZ meist dadurch aus, dass er eben NICHT direkt mit Endhosts, sondern mit weiteren, internen Routern des ISPs kommuniziert. Deshalb wundert es mich etwas, wie man auf Endkundenrechnern ARP-Einträge auf den "Borderrouter" setzen soll... aber vermutlich war einfach das Wort "Borderrouter" in diesem Zusammenhang falsch gewählt. Es klingt halt so schön nach groß, wichtig und toll. So richtig marketingmäßig.
Re: Angriffe durch ARP Posioning
Posted: 2004-05-18 13:56
by mikespi
Super dann sind ja meine Fragen, die sich durch das Linux Magazin eröffnet haben, geklärt. :-D
Grüsse
Andi
Re: Angriffe durch ARP Posioning
Posted: 2004-05-18 22:28
by dea
Also ich versteh' des nicht ... jetzt hab' ich mal ein wenig ARPtropin in meine Netzwerkkabel gespritzt und nichts tut sich mehr -- rein gar nichts. Drecks ARP-Poisoning, das funktioniert ja garnicht!
...
;)