Warum reichen Sicherheitsmaßnahmen auf den Computern allein nicht aus?

Moderne Rechnernetze bestehen nicht nur aus den Endcomputern (Smartphones, Tablets, Laptops, PC, Apple-MAC, Servern) und anderen Endgeräten (Drucker, Access Points, Fax, Scanner, Internet of Things). Zur Verbindung dieser sind auch Switches und Router notwendig (siehe Bild). Im Bild ist der Router HQ als Software-Firewall konfiguriert, um das Firmennetz vor Angriffen von außen zu schützen! Sehr oft wird auch eine hardwarebasierte Firewall verwendet, eine sog. Appliance.

Während heute den meisten Benutzern der Computer ziemlich klar ist, dass sie sich um die Aktualiserung der Schutzsoftware kümmern müssen, wie z.B. Schutz vor Viren, Würmern und Trojanischen Pferden, Ransomware usw., ist es nicht sofort klar, warum dies nicht reicht.

Dedizierte Firewalls in Netzen von Schulen, Firmen, Behörden und anderen Organisationen schützen zwar sehr effektiv vor Angriffen von außen, z.B. aus dem Internet, aber nicht vor Angriffen von Nutzern innerhalb eines Computernetzes.

Diese Angriffe erfolgen nicht nur absichtlich, sondern auch unabsichtlich durch Fehlkonfiguration von Linux-Servern in einer nicht ausreichend isolierten Testumgebung.

Im Folgenden sollen einige typische Angriffsmöglichkeiten auf ein IP-Netz bzw. auf Switches und Router näher erläutert werden (Softwaredistribution "Kali Linux". Rechtliche Aspekte beachten!).

Angriffe auf Switches

  • Überfluten der Switching-Tabelle (MAC-Address Flooding):

In den Switches eines Netzes sind nach einer kurzen Anlaufzeit die internen Switching-Tabellen (MAC table) mit der Information gefüllt, an welchem Anschluss welcher Computer zu finden ist. Ein neu hinzukommender Hackercomputer kann den Verkehr zwischen zwei anderen Computern daher nicht mitlesen.

Durch eine kostenlos im Web verfügbare Software kann der Hacker aber die Tabellen im Switch komplett auffüllen, sodass der Switch nun die Ethernet-Rahmen, in welchen die IP-Pakete transportiert werden, mittels Broadcast an alle Anschlüsse und damit an alle Computer weiterleitet: Der Hacker kann den gesamten Verkehr mitlesen, z.B. mit der Software Wireshark.

  • VLAN Hopping Attack:

Switch-Netze sind normalerweise in logische Bereiche, sogenannte Virtual-LANs oder VLANs unterteilt. Diese VLANs entsprechen z.B. Abteilungen eines Unternehmens oder bestimmten Benutzergruppen, wie z.B. Studenten-VLAN oder Lektoren-VLAN an Schulen.

Ein Computer in einem bestimmten VLAN kann mit einem anderen Computer nur dann kommunizieren, wenn die beiden sich im gleichen VLAN befinden.

Will ein Computer  zu einem Computer in einem anderen VLAN Nachrichten schicken so muss ein Router vorhanden sein, der diese Kommunikation herstellt und auch erlaubt (Access Control List ACL).

Durch „VLAN-Hopping“ kann man aber OHNE Router von einem VLAN in ein anderes unberechtigterweise Zugang erhalten. Der Verkehr wird von keinem Router geprüft.

Wiederum ist die dafür notwendige Software im Web kostenlos zum Download für Linux bereit.

  • DHCP-Spoofing Attack:

Das DHCP-Protokoll (Dynamic Host Control Protocol) wird verwendet, damit einem Clientrechner, der sich neu an ein laufendes LAN durch Hochfahren anmeldet, eine IP-Adresse zugewiesen werden kann.

Ein DHCP-Server weist nach Anfrage durch einen Clientcomputer diesem eine IP-Adresse und die Standard-Gateway-Adresse (Default-Gateway) für eine bestimmte Zeit zu (Lease time).

Schaltet nun ein Hacker/Attacker einen Laptop als DCHP-Server an ein Switch-Netz an und meldet sich der Rogue-Server früher als der legitimierte DHCP-Server beim anfragenden Client so kann der Rogue-Server falsche Informationen verteilen, die zum Zusammenbruch des gesamten Netzes führen können

Durch DHCP-Snooping kann dieser Angriff verhindert werden:

  •  ARP Spoofing Attack:

Das Address Resolution Protocol ARP wird verwendet, um die physikalische Ethernet-Adresse (MAC-Adresse) eines Computers zu erfahren. Kennt ein Rechner die IP-Adresse eines anderen Rechners sendet er einen ARP-Request ins Netz und hofft die MAC-Adresse vom Computer gesendet zu bekommen (ARP Reply).

ARP-Reply-Nachrichten dürfen aber auch an einen Computer gesendet werden auch wenn dieser kein ARP-Request gesendet hat (Gratious ARP Reply).

Dies wird von Hackern ausgenützt um den Datenverkehr zu einem bestimmten Rechner zu sich selbst umzuleiten, indem er in einem ARP-Reply die MAC-Adresse eines anderen Rechners vorgaukelt (Spoofing).

 

Wiederum finden sich im Internet die dafür notwendigen Softwareprodukte zum kostenlosen Download!

  •  IP Address Spoofing Attack:

Bei diesem Angriff gaukelt der Hacker anderen Rechnern eine andere IP-Adresse vor um unberechtigterweise alle für diesen Rechner bestimmten IP-Pakete zu bekommen.

  •  Spanning-Tree Attack:

Bei Netzwerken mit aus mehr als zwei Switches kann es zu sog. Schleifen kommen, wenn redundante Wege zwischen den Switches geschaltet werden.

 

Um das zu verhindern verwenden alle Switches untereinander das Spanning-Tree-Protocol (STP), um zu entscheiden, welche Verbindungen (Links) keine Ethernet-Frames weiterleiten dürfen, dh blockiert werden müssen.

Ein Switch übernimmt dabei die Rolle eines zentralen Verteilknotens: Root Bridge (Root Switch). Über diesen Switch läuft der GESAMTE Verkehr im LAN, im Bild oben z.B. S1.

Kann nun ein Hacker einen Switch ins LAN einschleusen, welcher die neue Root-Bridge bildet, so läuft über diesen nun der gesamte Verkehr, der vom Hacker ausgewertet werden kann:

Vor dem Attacker-Angriff:

 

            Nach dem Attacker-Angriff:

          

            Um das zu verhindern stehen viele Features zur Verfügung:

            BPDU-Guard, Root-Guard, Loop-Guard, PortFast usw.

  •  Zusammenfassung:

Die oben dargestellten Angriffe auf Switchnetze (LAN) sind bei Weitem nicht vollzählig. Auch Router können durch Angriffe in ihrer Funktion lahmgelegt oder falsch programmiert werden. Letztendlich sind die Konsequenzen folgende:

  • Informationsdiebstahl
  • Lahmlegen von ganzen Netzen oder Netzteilen (Denial of Service DoS)
  • Vertraulichkeitsverlust durch Stehlen von Passwörtern
  • Vortäuschen von falschen Informationen (Fake News)
  • Informationsmanipulation

Im beginnenden Zeitalter der Vernetzung von Geräten, die keine Computer mehr sind, wie z.B. Motoren, Sensoren, Heizungssteuerungen, Industrieanlagen usw., können solche Angriffe verheerende Folgen für Haushalte und wichtige Infrastrukturanlagen haben: Internet of Things IoT.

Eine sehr gute Kenntnis der Funktionsweise von IP-Netzen, der möglichen Schwachstellen und des Schutzes der Komponenten durch interne Gerätefeatures sind die wichtigsten Voraussetzungen, um diese Probleme zu vermeiden.

Die Hersteller von Switches und Routern haben in ihre Geräte eine Fülle von Funktionen zur Abwehr aller Arten von Angriffen eingebaut. Sie müssen nur noch von kundigen Administratoren aktiviert werden!

Diese Kenntnisse werden im Cisco-Kurs "CCNA Security" vermittelt.