Absicherung gegen ARP-Spoofing und Netzwerkangriffe

von

Stefan
in

In den bisherigen Teilen dieser Serie haben wir die Funktionsweise von ARP sowie die Risiken durch ARP-Spoofing und Man-in-the-Middle-Angriffe behandelt. In diesem Beitrag geht es nun um konkrete Schutzmaßnahmen und Best Practices, um Netzwerke effektiv abzusichern.

Statische ARP-Einträge

Eine einfache Schutzmaßnahme ist die Verwendung statischer ARP-Tabellen:

  • Zuordnung von IP- zu MAC-Adressen wird manuell vorgenommen.
  • Keine automatischen Aktualisierungen möglich.

Vorteile:

  • Angreifer können den Cache nicht manipulieren.

Nachteile:

  • Verwaltungsaufwand in großen Netzwerken sehr hoch.
  • Nicht flexibel bei Änderungen der Netzwerkinfrastruktur.

Beispiel unter Linux:

sudo arp -s 192.168.1.1 00:11:22:33:44:55

Dynamic ARP Inspection (DAI)

Auf Managed Switches kann Dynamic ARP Inspection aktiviert werden:

  • ARP-Pakete werden vom Switch überprüft.
  • Nur legitime Zuordnungen von IP- und MAC-Adressen werden akzeptiert.

Vorteile:

  • Schutz vor ARP-Spoofing in Echtzeit.
  • Automatische Überprüfung ohne manuellen Aufwand.

Einsatz:

  • Häufig in Unternehmensnetzwerken mit VLANs und zentralem Management.

Einsatz von Intrusion Detection Systemen (IDS)

IDS wie Snort oder Suricata können verdächtige ARP-Pakete erkennen:

  • Mehrere MAC-Adressen für eine IP-Adresse → Warnmeldung.
  • Ungewöhnlich viele ARP-Replies ohne Requests → potenzieller Angriff.

Beispiel:

  • Snort-Regeln können speziell für ARP-Spoofing konfiguriert werden.

Verwendung von sicheren Protokollen

Selbst wenn ein MitM-Angriff erfolgreich ist, können verschlüsselte Protokolle den Schaden begrenzen:

  • HTTPS statt HTTP
  • SFTP statt FTP
  • SSH statt Telnet

So bleiben abgefangene Daten ohne Schlüssel unbrauchbar.

Netzwerksegmentierung und VLANs

  • Angriffe können durch Segmentierung des Netzwerks erschwert werden.
  • VLANs trennen Datenströme logisch, auch wenn physisch dieselbe Hardware genutzt wird.
  • ARP-Spoofing bleibt auf das jeweilige VLAN beschränkt.

Best Practices für Unternehmen

  • Regelmäßige Überwachung des ARP-Verkehrs mit Tools wie Wireshark.
  • Sicherheitsrichtlinien für Netzwerkkonfiguration und Protokolle einführen.
  • Schulungen für Administratoren und Security-Teams zu Angriffserkennung und -abwehr.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert