Firewalls, Pro­xy­ser­ver, De­mi­li­ta­ri­sier­te Zonen (DMZ) – Un­ter­neh­men rüsten zunehmend auf, um private Netze vor den Gefahren des Internets zu schützen. Doch nicht alle Attacken erfolgen von außen. Schwächs­tes Glied der Si­cher­heits­ket­te ist das Local Area Network (LAN). Befindet sich ein Angreifer bereits im internen Netzwerk, stehen ihm meist alle Wege offen, den Da­ten­ver­kehr zu be­lau­schen und nach Belieben zu ma­ni­pu­lie­ren. In­nen­tä­ter machen sich dazu die An­greif­bar­keit des ARP-Pro­to­kolls zunutze. Dieses kommt in IPv4-basierten Ethernet-Netz­wer­ken zum Einsatz, um IP-Adressen in MAC-Adressen auf­zu­lö­sen, und stellt Ad­mi­nis­tra­to­ren bis heute vor ein Si­cher­heits­pro­blem.

ARP-Einträge lassen sich durch ge­fälsch­te Da­ten­pa­ke­te mühelos ma­ni­pu­lie­ren. Man spricht in diesem Fall von ARP-Spoofing (engl. to spoof = täuschen, reinlegen), einem Man-in-the-Middle-Angriff, der es Hackern er­mög­licht, sich unbemerkt zwischen zwei kom­mu­ni­zie­ren­de Systeme zu schalten. Wir zeigen, wie sich die Adress­auf­lö­sung via ARP gezielt ma­ni­pu­lie­ren lässt, und stellen mögliche Ge­gen­maß­nah­men vor.

De­fi­ni­ti­on ARP-Spoofing

Als ARP-Spoofing (auch bekannt unter ARP-Poisoning) be­zeich­net man Man-in-the-Middle-Angriffe auf die ARP-Tabellen lokaler Netzwerke. Bei dieser An­griffs­form senden Hacker ge­fälsch­te ARP-Pakete, um sich unbemerkt zwischen zwei kom­mu­ni­zie­ren­de Systeme zu schalten und deren Da­ten­ver­kehr abzuhören oder zu ma­ni­pu­lie­ren.

ARP: Adres­sie­rung im LAN

Anders als im Internet kom­mu­ni­zie­ren Geräte im LAN nicht direkt über IP-Adressen. Statt­des­sen werden für die Adres­sie­rung in lokalen IPv4-Netzen physische Hardware-Adressen genutzt. Bei diesen so­ge­nann­ten MAC-Adressen (Media Access Control) handelt es sich um ein­zig­ar­ti­ge 48-Bit-Nummern, die es er­mög­li­chen, jedes Gerät im LAN über seine Netz­werk­kar­te eindeutig zu iden­ti­fi­zie­ren.

Beispiel einer MAC-Adresse: 00-80-41-ae-fd-7e

MAC-Adressen werden von den je­wei­li­gen Hardware-Her­stel­lern vergeben und sind weltweit einmalig. Theo­re­tisch würden sich diese Hardware-Adressen somit für eine globale Adres­sie­rung eignen. In der Praxis lässt sich dies jedoch nicht umsetzen, da IPv4-Adressen zu kurz sind, um die MAC-Adresse komplett ab­zu­bil­den. In Netz­wer­ken auf Basis von IPv4 ist die Adress­auf­lö­sung via ARP daher un­um­gäng­lich.

Möchte nun ein Rechner A einen Rechner B im gleichen Netzwerk kon­tak­tie­ren, muss dieser für dessen IP-Adresse zunächst die passende MAC-Adresse ermitteln. Dabei kommt das Address Re­so­lu­ti­on Protocol (ARP) zum Einsatz, ein Netz­werk­pro­to­koll, das nach dem Request-Response-Schema arbeitet.

Auf der Suche nach der passenden MAC-Adresse sendet Rechner A zunächst eine Broadcast-Anfrage (den so­ge­nann­ten ARP-Request) an alle Geräte im Netzwerk. Diese be­inhal­tet in etwa folgende In­for­ma­tio­nen:

Ein Rechner mit der MAC-Adresse xx-xx-xx-xx-xx-xx und der IP-Adresse yyy.yyy.yyy.yyy möchte Kontakt mit einem Rechner mit der IP-Adresse zzz.zzz.zzz.zzz aufnehmen und benötigt die passende MAC-Adresse.

Der ARP-Request wird von allen Rechnern im LAN ent­ge­gen­ge­nom­men. Um zu ver­hin­dern, dass vor dem Absenden eines jeden Da­ten­pa­kets eine ARP-Anfrage gestellt werden muss, führt jeder Rechner im Netzwerk eine lokale Tabelle, den ARP-Cache. In diesem werden alle bekannten MAC-Adressen inklusive der zu­ge­ord­ne­ten IP temporär ge­spei­chert.

Alle Rechner im Netzwerk notieren sich somit das in der Broadcast-Anfrage mit­ge­lie­fer­te Absender-Adress­paar. Eine Antwort auf die Broadcast-Anfrage wird jedoch nur von Rechner B erwartet. Dessen ARP-Reply be­inhal­tet folgende In­for­ma­tio­nen:

Hier das System mit der IP-Adresse zzz.zzz.zzz.zzz. Die gesuchte MAC-Adresse lautet aa-aa-aa-aa-aa-aa.

Geht ein solcher ARP-Reply bei Rechner A ein, verfügt dieser somit über alle be­nö­tig­ten In­for­ma­tio­nen, um Da­ten­pa­ke­te an Rechner B zu senden. Der Kom­mu­ni­ka­ti­on über das lokale Netzwerk steht nun nichts mehr im Wege.

Doch was, wenn nicht der gesuchte Ziel­rech­ner antwortet, sondern ein anderes Gerät, das von einem In­nen­tä­ter mit un­lau­te­re­ren Absichten kon­trol­liert wird? Hier kommt ARP-Spoofing ins Spiel.

Bild: Ethernet Type II Frame
Bei­spiel­haf­te Dar­stel­lung eines Ethernet Rahmen. Ein ma­ni­pu­lier­ter Rahmen kann z.B. eine falsche Source MAC Adresse be­inhal­ten.

Was ist ARP-Spoofing?

Das Request-Response-Schema des ARP-Pro­to­kolls ist so angelegt, dass die erste Antwort auf einen ARP-Request ak­zep­tiert und ge­spei­chert wird. Im Rahmen des ARP-Spoofings versuchen Hacker daher dem ei­gent­li­chen Ziel­rech­ner zu­vor­zu­kom­men, ein Reply-Paket mit falschen In­for­ma­tio­nen zu versenden und somit die ARP-Tabelle des an­fra­gen­den Rechners zu ma­ni­pu­lie­ren. Man spricht daher auch von ARP-Poisoning, einer „Ver­gif­tung“ des ARP-Caches. In der Regel be­inhal­tet das Da­ten­pa­ket dabei die MAC-Adresse eines Netz­werk­ge­räts, das sich unter der Kontrolle des An­grei­fers befindet. Das Op­fer­sys­tem verknüpft die Ausgangs-IP somit mit der falschen Hardware-Adresse und sendet in Zukunft alle Da­ten­pa­ke­te unbemerkt an das vom Hacker kon­trol­lier­te System. Dieser hat nun die Mög­lich­keit, den kom­plet­ten Da­ten­ver­kehr mit­zu­schnei­den oder zu ma­ni­pu­lie­ren.

Um unbemerkt zu bleiben, wird der abgehörte Da­ten­ver­kehr in der Regel an das ei­gent­li­che Ziel­sys­tem wei­ter­ge­lei­tet. Ein Angreifer er­schleicht sich somit eine Position als Man in the Middle. Werden ab­ge­fan­ge­ne Da­ten­pa­ke­te nicht wei­ter­ge­lei­tet, sondern verworfen, kann ARP-Spoofing einen Denial of Service (DoS) zur Folge haben. ARP-Spoofing funk­tio­niert sowohl in LAN- als auch in WLAN- Um­ge­bun­gen. Selbst die Ver­schlüs­se­lung draht­lo­ser Netze via Wi-Fi Protected Access (WPA) bietet keinen Schutz. Denn um in lokalen IPv4-Netzen kom­mu­ni­zie­ren zu können, müssen alle ein­ge­bun­de­nen Geräte MAC-Adressen auflösen – und das geht nur über ARP.

Eine bekannte Software, die gezielt auf Broadcast-Anfragen lauert und diese mit ge­fälsch­ten ARP-Replys beat­wor­tet, ist Cain&Abel. Um den ARP-Cache von Netz­werk­ge­rä­ten zu „vergiften“, muss ein Angreifer jedoch nicht zwangs­läu­fig auf ARP-Requests warten. Eine andere Strategie sieht vor, das Netzwerk kon­ti­nu­ier­lich mit ge­fälsch­ten ARP-Replys zu bom­bar­die­ren. Zwar igno­rie­ren die meisten Systeme Ant­wort­pa­ke­te, die sich keiner Anfrage zuordnen lassen; dies ändert sich jedoch, sobald ein Rechner im LAN einen ARP-Request startet und folglich gewillt ist eine Antwort ent­ge­gen­zu­neh­men. Dann ent­schei­det das Timing, ob die Antwort des Ziel­sys­tems oder eines der ge­fälsch­ten Pakete zuerst beim Absender eintrifft. Au­to­ma­ti­sie­ren lässt sich dieses An­griffs­mus­ter durch Programme wie Ettercap.

Bild: ARP Spoofing Beispiel
Bei­spiel­haf­te Dar­stel­lung von ARP Spoofing

ARP-An­griffs­soft­ware im Überblick

Programme, die im Rahmen des ARP-Spoofings als An­griffs­soft­ware zum Einsatz kommen, werden in der Regel als Si­cher­heits-Tools gehandelt und sind im Netz frei er­hält­lich. Ad­mi­nis­tra­to­ren können mithilfe der Programme das eigene Netzwerk über­prü­fen und gegen gängige An­griffs­mus­ter absichern. Zu den be­kann­tes­ten An­wen­dun­gen gehören ARP0c/WCI, Arpoison, Cain&Abel, Dsniff, Ettercap, FaceNiff und NetCut.

  • ARP0c/WCI: Laut An­bie­ter­sei­te handelt es sich bei ARP0c/WCI um ein Tool, das ARP-Spoofing nutzt, um Ver­bin­dun­gen in einem privaten Netzwerk ab­zu­fan­gen. Dazu versendet die Software ge­fälsch­te ARP-Response-Pakete, die den Da­ten­ver­kehr auf das System umleiten, auf dem ARP0c/WCI läuft. Eine Wei­ter­lei­tung an das ei­gent­li­che Ziel­sys­tem erfolgt durch die in­te­grier­te Bridging-Engine. Pakete, die nicht lokal zu­ge­stellt werden, leitet ARP0c/WCI an den ent­spre­chen­den Router weiter. Ein Man-in-the-Middle-Angriff bleibt somit in der Regel unerkannt. Das Programm ist für sowohl für Linux als auch für Windows er­hält­lich und kann auf der An­bie­ter­sei­te kostenlos her­un­ter­ge­la­den werden.
  • Arpoison: Das Kom­man­do­zei­len-Tool Arpoison erzeugt be­nut­zer­de­fi­nier­te ARP-Pakete, bei denen der Benutzer Ziel- und Ab­sen­der­adres­se beliebig festlegen kann. Arpoison lässt sich im Rahmen der Netz­werk­ana­ly­se nutzen, kommt jedoch auch als An­griffs­soft­ware zum Einsatz. Das Tool ist frei verfügbar und steht unter GNU-Lizenz.
  • Cain&Abel: Das als Passwort-Recovery-Tool ent­wi­ckel­te Programm Cain&Abel bietet die Mög­lich­keit, Netzwerke abzuhören und ver­schlüs­sel­te Pass­wör­ter zu de­chif­frie­ren. Seit Version 2.5 enthält die Software zudem ARP-Poisoning-Funk­tio­nen, mit denen sich der IP-Verkehr in ges­witch­ten LANs abfangen lässt. Selbst SSH- und HTTPS-Ver­bin­dun­gen stellen für Cain&Abel keine Hürde dar. Zur Analyse des WLAN-Netz­werk­ver­kehrs un­ter­stützt Cain&Abel seit Version 4.0 den AirPcap-Adapter, der das passive Mitlesen des Da­ten­ver­kehrs im WLAN er­mög­licht. Angriffe gegen WPA-ge­si­cher­te drahtlose Netze sind seit Version 4.9.1 möglich.
  • Dsniff: Bei Dsniff handelt es sich um eine Pro­gramm­samm­lung, die ver­schie­de­ne Tools für die Netz­werk­ana­ly­se und Pe­ne­tra­ti­ons­tests zur Verfügung stellt: Mit Dsniff, Filesnarf, Mailsnarf, Msgsnarf, Urlsnarf und Webspy lassen sich Netzwerke be­lau­schen und Dateien, E-Mails oder Pass­wör­ter abfangen. Arpspoof, Dnsspoof und Macof er­mög­li­chen, Daten auf­zu­spü­ren, die in ges­witch­ten Netz­wer­ken nor­ma­ler­wei­se nicht zu­gäng­lich sind. Man-in-the-Middle-Angriffe auf SSH- und SSL/TLS-ge­si­cher­te Ver­bin­dun­gen lassen sich durch die Programme Sshmitm und Webmitm umsetzen.
  • Ettercap: Bei Ettercap handelt es sich um ein be­nut­zer­freund­li­ches ARP-Spoofing-Tool, das in erster Linie bei Man-in-the-Middle-Attacken zum Einsatz kommt. Die Software un­ter­stützt diverse Linux-Dis­tri­bu­tio­nen sowie Mac OS X (Snow Leopard & Lion). Eine Windows-In­stal­la­ti­on ist möglich, erfordert jedoch zu­sätz­li­che Ein­stel­lun­gen. Neben der Bedienung über die Konsole stehen Nutzern das ncurses-Frontend und die GTK2-GUI als grafische Be­nut­zer­ober­flä­che zur Verfügung. Aktionen wie Sniffing, ARP-Attacken und das Sammeln von Pass­wör­tern lassen sich au­to­ma­ti­sie­ren. Ettercap kann ab­ge­fan­ge­ne Daten ma­ni­pu­lie­ren und greift auch Ver­bin­dun­gen an, die via SSH oder SSL gesichert sind. Das Programm wird offiziell als Si­cher­heits­soft­ware angeboten und kommt bei Pro­dukt­tests zum Einsatz.
  • FaceNiff: Die Android-App FaceNiff erlaubt Nutzern, Session-Cookies in WLAN-Netz­wer­ken mit­zu­le­sen und Sitzungen zu über­neh­men. Angreifer verwenden das Tool, um Facebook-, Amazon- oder Twitter-Konten zu hacken. Dabei spielt es keine Rolle, ob das drahtlose Netzwerk frei zu­gäng­lich ist oder durch WEP, WPA-PSK oder WPA2-PSK ver­schlüs­selt wurde. Einen zu­ver­läs­si­gen Schutz gegen FaceNiff bieten jedoch das Au­then­ti­fi­zie­rungs­pro­to­koll EAP (Ex­ten­si­ble Au­then­ti­ca­ti­on Protocol) sowie SSL. Die Android-Software basiert auf der Firefox-Er­wei­te­rung Firesheep und wird auf Smart­phones in Kom­bi­na­ti­on mit dem vor­in­stal­lier­ten Stock-Browser verwendet.
  • NetCut: Mit der Netzwerk-Ma­nage­ment-Software NetCut verwalten Ad­mi­nis­tra­to­ren ihr Netzwerk auf Basis von ARP. Das Tool ermittelt alle im Netzwerk ver­bun­de­nen Geräte und gibt deren MAC-Adresse aus. Ein simpler Klick auf eine der auf­ge­lis­te­ten Adressen genügt, um das be­tref­fen­de Gerät vom Netzwerk zu trennen. NetCut eignet sich somit besonders für DoS-Attacken, sofern sich der Angreifer im selben Netzwerk befindet wie das Opfer. Man-in-the-Middle-Angriffe lassen sich mit der Software nicht umsetzen.

ARP-Spoofing und Ver­schlüs­se­lung

Gelingt es einem In­nen­tä­ter, sich unbemerkt zwischen zwei Kom­mu­ni­ka­ti­ons­part­ner zu schalten, hat er bei un­ge­schütz­ten Ver­bin­dun­gen freie Hand. Da die gesamte Kom­mu­ni­ka­ti­on einer gehackten Ver­bin­dung über das System des An­grei­fers läuft, kann dieser Daten beliebig mitlesen und ma­ni­pu­lie­ren. Einen Schutz gegen Da­ten­spio­na­ge ver­spre­chen Ver­schlüs­se­lungs­tech­ni­ken und Zer­ti­fi­ka­te zur Au­then­ti­fi­zie­rung. Fängt ein Angreifer lediglich codierte Daten ab, be­schränkt sich der Schaden im schlimms­ten Fall auf einen Denial of Service durch ver­wor­fe­ne Da­ten­pa­ke­te. Vor­aus­set­zung für eine zu­ver­läs­si­ge Da­ten­ver­schlüs­se­lung ist jedoch, dass diese kon­se­quent umgesetzt wird.

Zahl­rei­che Tools, die im Rahmen von Man-in-the-Middle-Angriffen zum Einsatz kommen, bieten neben ARP-Spoofing-Funk­tio­nen auch Client- und Server-Im­ple­men­tie­rung für SSL/TLS, SSH und andere Ver­schlüs­se­lungs­pro­to­kol­le. Diese sind somit in der Lage, ent­spre­chen­de Zer­ti­fi­ka­te zu imitieren und ver­schlüs­sel­te Ver­bin­dun­gen auf­zu­bau­en. So simuliert Cain&Abel bei­spiels­wei­se einen SSL-fähigen Webserver, der dem Op­fer­sys­tem ein nicht ver­trau­ens­wür­di­ges SSL-Zer­ti­fi­kat über­mit­telt. Zwar bekommen Netz­werk­teil­neh­mer in diesem Fall eine Si­cher­heits­war­nung aus­ge­spielt, diese wird von Anwendern jedoch oft ignoriert oder falsch gedeutet. Schu­lun­gen zum Thema Netz­werk­si­cher­heit sollten daher auch den ver­ant­wor­tungs­vol­len Umgang mit digitalen Zer­ti­fi­ka­ten umfassen.

Ge­gen­maß­nah­men

Da sich ARP-Spoofing die Funk­ti­ons­wei­se des Address Re­so­lu­ti­on Protocol zunutze macht, sind prin­zi­pi­ell alle IPv4-Netzwerke anfällig gegen Angriffe dieser Art. Auch die Ein­füh­rung von IPv6 hat das Kern­pro­blem nicht lösen können. Der neue IP-Standard ver­zich­tet zwar auf ARP und regelt die Adress­auf­lö­sung im LAN via NDP (Neighbor Discovery Protocol), das aber ebenfalls anfällig für Spoofing-Attacken ist. Schließen ließe sich die Si­cher­heits­lü­cke durch das Protokoll Secure Neighbor Discovery (SEND) – dieses wird jedoch von den wenigsten Desktop-Be­triebs­sys­te­men un­ter­stützt.

Einen möglichen Schutz vor der Ma­ni­pu­la­ti­on des ARP-Caches bieten statische ARP-Einträge, die sich unter Windows bei­spiels­wei­se über das Kom­man­do­zei­len­pro­gramm ARP und den Befehl arp -s setzen lassen. Da Einträge dieser Art jedoch manuell vor­ge­nom­men werden müssen, be­schränkt sich diese Schutz­maß­nah­me in der Regel auf die wich­tigs­ten Systeme im Netzwerk.

Eine weitere Maßnahme gegen den Miss­brauch von ARP stellt die Un­ter­tei­lung des Netzwerks durch Layer-3-Switches dar. Un­kon­trol­liert erreichen Broadcast-Anfragen so nur die Systeme, die sich im gleichen Netz­seg­ment befinden. ARP-Requests in andere Segmente werden vom Switch geprüft. Arbeitet dieser auf der Netz­werk­schicht (Layer 3), wird neben der MAC-Adresse auch die IP-Adresse mit vor­her­ge­hen­den Einträgen ab­ge­gli­chen. Fallen dabei Un­stim­mig­kei­ten oder häufige Neu­zu­ord­nun­gen auf, schlagt der Switch Alarm. Die benötigte Hardware ist jedoch mit hohen An­schaf­fungs­kos­ten verbunden. Ad­mi­nis­tra­to­ren müssen abwägen, ob der Zugewinn an Si­cher­heit den fi­nan­zi­el­len Aufwand recht­fer­tigt. Nicht geeignet sind hingegen die deutlich güns­ti­ge­ren Layer-2-Switches, die auf der Si­che­rungs­schicht arbeiten. Zwar re­gis­trie­ren auch diese eine Ver­än­de­rung der MAC-Adresse, die Zuordnung zur je­wei­li­gen IP-Adresse bleibt jedoch un­be­ach­tet.

Zahl­rei­che Software-Her­stel­ler bieten zudem Mo­ni­to­ring-Programme an, mit denen sich Netzwerke über­wa­chen und auf­fäl­li­ge ARP-Vorgänge aufspüren lassen. Bekannte Tools sind die Open-Source-Software Arpwatch sowie ARP-Guard und XArp. Außerdem lassen sich Intrusion-Detection-Systeme wie Snort einsetzen, um die Adress­auf­lö­sung via ARP zu über­wa­chen.

  • Arpwatch: Wird das platt­form­über­grei­fen­de Open-Source-Tool Arpwatch in ein lokales IPv4-Netzwerk in­te­griert, zeichnet dieses kon­ti­nu­ier­lich alle ARP-Ak­ti­vi­tä­ten im LAN auf. Allen ein­ge­hen­den ARP-Paketen entnimmt das Programm die mit­ge­lie­fer­ten Adress­in­for­ma­tio­nen und speichert diese in einer zentralen Datenbank. Finden sich dabei ältere Einträge, die mit aktuell über­mit­tel­ten Daten nicht über­ein­stim­men, sendet das Programm eine E-Mail-Warnung an den Ad­mi­nis­tra­tor. Dieses Verfahren ist effektiv, eignet sich jedoch nur für Netzwerke mit sta­ti­schen IP-Adressen. Werden LAN-IPs dynamisch über einen DHCP-Server verteilt, führt jede Änderung der IP/MAC-Zuordnung zu einem Fehlalarm.
  • ARP-Guard: Auch ARP-Guard der Firma ISL be­ob­ach­tet das interne Netzwerk und stützt sich dabei auf zwei ver­schie­de­ne Sensoren. Der LAN-Sensor arbeitet ähnlich wie Arpwatch, ana­ly­siert ein­ge­hen­de Da­ten­pa­ke­te und schlägt bei Un­stim­mig­kei­ten Alarm. Darüber hinaus verfügt die Sensor-Ma­nage­ment-Ar­chi­tek­tur der Software über einen SNMP-Sensor, der über das Simple Network Ma­nage­ment Protocol (SNMP) auf die im LAN ver­bun­de­nen Endgeräte zugreift und deren ARP-Tabellen ausliest. So lassen sich nicht nur ARP-Angriffe lo­ka­li­sie­ren und abwehren; das in­te­grier­te Adress­ma­nage­ment er­mög­licht zudem, un­er­wünsch­te Geräte auf­zu­spü­ren und deren Zugang zum Netzwerk zu un­ter­bin­den.
  • XArp: Die Software XArp setzt auf aktive und passive Module, um das Netzwerk vor ARP-Spoofing zu schützen. Die passiven Module ana­ly­sie­ren ARP-Pakete, die im Netzwerk versendet werden, und gleichen die mit­ge­lie­fer­te Adress­zu­ord­nung mit älteren Einträgen ab. Werden dabei Un­stim­mig­kei­ten fest­ge­stellt, schlägt das Programm Alarm. Dabei stützt sich der Kon­troll­me­cha­nis­mus auf sta­tis­ti­sche Analysen und überprüft den Netzwerk-Traffic anhand diverser Muster, die den Ent­wick­lern zufolge ARP-Angriffe kenn­zeich­nen. Die Emp­find­lich­keit dieses Traffic-Filters lässt sich stu­fen­wei­se anpassen. Die aktiven Module der Software senden eigene Pakete ins Netzwerk, um die ARP-Tabellen der er­reich­ba­ren Geräte zu va­li­die­ren und mit gültigen Einträgen zu befüllen.
     
  • macmon: Die Network Access Control (NAC)-Lösung macmon des Berliner Un­ter­neh­mens macmon secure ist BSI-zer­ti­fi­ziert und arbeitet her­stel­ler­un­ab­hän­gig in he­te­ro­ge­nen Netz­wer­ken. Sie erfordert keine Agenten oder Sensoren und auch keine Ver­än­de­run­gen in der Netz­werk­struk­tur. macmon NAC bietet eine gra­phi­sche und lü­cken­lo­se Übersicht aller Netzwerk- und Endgeräte durch das Auslesen von nahezu allen gängigen Netz­werks­wit­ches. Dabei werden die aus­ge­le­se­nen ARP-In­for­ma­tio­nen mit zu­sätz­lich her­an­ge­zo­ge­nen In­for­ma­tio­nen eines DHCP-Servers ver­gli­chen und so Angriffe wie ein ARP-Spoofing oder eine Ab­wei­chung der Zuordnung von IP- und MAC-Adressen zu­ver­läs­sig erkannt. In der Folge lassen sich Endgeräte, die sich nicht ent­spre­chend richt­li­ni­en­kon­form verhalten, isolieren oder ganz vom Netzwerk trennen.

Auch das Intrusion-Detection-System (IDS) Snort verfügt über einen in­te­grier­ten Arpspoof-Prä­pro­zes­sor, der es er­mög­licht, den Da­ten­ver­kehr im Netzwerk zu über­wa­chen und manuell Ver­gleichs­lis­ten anzulegen. Dies ist jedoch ver­gleichs­wei­se aufwendig.

Zudem kommen IDS meist nur am Übergang zu fremden Netz­wer­ken zur Anwendung. Ob sich der Einsatz innerhalb des LANs rechnet, muss im Ein­zel­fall ent­schie­den werden. Mitunter stößt eine solche Maßnahme auf Wi­der­stand durch den Be­triebs­rat. Ein Ad­mi­nis­tra­tor, der das Netzwerk via IDS überwacht, hat Zugriff auf den gesamten Netz­werk­ver­kehr und somit auf alle Ak­ti­vi­tä­ten der Mit­ar­bei­ter eines Un­ter­neh­mens – die damit mögliche Kon­troll­funk­ti­on ist in der Regel nicht erwünscht.

Zum Hauptmenü