ARP-Poisoning: Definition, Verfahren, Verteidigung und Prävention

ARP-Poisoning (auch bekannt als ARP-Spoofing) ist ein Cyberangriff, der über schädliche ARP-Meldungen durchgeführt wird.

Ein ARP-Angriff ist im Vorfeld schwer auszumachen. War er allerdings erfolgreich, sind die Folgen alles andere als unsichtbar. 

Wenn es einem Hacker gelingt, ARP-Spoofing oder ARP-Poisoning zu implementieren, kann er die Kontrolle über all Ihre Dokumente im Netzwerk übernehmen. Sie können dann ausspioniert werden oder Ihr Datenverkehr wird so lange stillgelegt, bis Sie das verlangte Lösegeld bezahlt haben. 

Nachfolgend zeigen wir Ihnen, wie ein ARP-Angriff funktioniert und welche Lösungen Sie zum Schutz Ihres Servers implementieren können.

 

ARP-Poisoning/ARP-Spoofing

 

Was ist ARP?

2001 haben Entwickler das Address Resolution Protocol (ARP) für Unix-Entwickler eingeführt. Damals wurde ARP als „Arbeitstier“ beschrieben, mit dem Sie auf IP-Ebene Verbindungen mit neuen Hosts herstellen können. 

Dieser Arbeitsschritt ist vor allem dann wichtig, wenn Ihr Netzwerk kontinuierlich wächst und Sie beim Hinzufügen neuer Funktionalitäten nicht jede Anfrage selbst autorisieren möchten. 

Die Grundlage von ARP ist Media Access Control (MAC). MAC ist eine eindeutige Adresse auf Hardware-Ebene für eine Ethernet-Netzwerk-Schnittstellenkarte (NIC). Die Nummern werden werksseitig zugewiesen, lassen sich jedoch durch Software ändern. 

In der Theorie erfüllt ARP folgende Aufgaben:

  • Anfragen annehmen. Wenn ein neues Gerät den Beitritt zum Local Area Network (LAN) beantragt, erhält es eine IP-Adresse. 
  • Zuordnen. Geräte im LAN kommunizieren nicht über die IP-Adresse. Daher ordnet ARP der IP-Adresse eine MAC-Adresse zu. 
  • Anfragen senden. Wenn ARP die für eine IP-Adresse zu verwendende MAC-Adresse nicht kennt, sendet das Protokoll eine ARP-Paketanfrage und fragt bei den anderen Geräten im Netzwerk die fehlenden Informationen ab. 

Diese Funktionalität erspart Netzwerkadministratoren viel Zeit. Die Anfragen werden im Hintergrund verarbeitet und das Netzwerk übernimmt die erforderliche Bereinigung. Dies ist jedoch mit Gefahren verbunden.

ARP-Angriffe. Wichtige Definitionen 

Ein böswilliger Entwickler, der es auf wichtige Daten abgesehen hat, kann Schwachstellen ausnutzen und sich in Ihr System einschleichen, ohne dass Sie etwas davon mitbekommen. 

Es gibt zwei Arten von ARP-Angriffen:

  • ARP-Spoofing: Der Hacker sendet gefälschte ARP-Pakete, um die MAC-Adresse des Angreifers mit einer bereits im LAN vorhandenen IP-Adresse zu verknüpfen. 
  • ARP-Poisoning: Nach erfolgreichem ARP-Spoofing modifiziert der Hacker die ARP-Tabelle des Unternehmens und manipuliert die MAC-Zuordnungen. Der Dominoeffekt nimmt seinen Lauf.

Ziel ist es, die MAC-Adresse des Hackers mit dem LAN zu verknüpfen. Dies hat zur Folge, dass sämtlicher Datenverkehr, der an das kompromittierte LAN gesendet wird, stattdessen beim Hacker landet. 

Nach einem erfolgreichen ARP-Angriff hat der Hacker folgende Möglichkeiten:

  • Hijacking: Dritte können den gesamten Datenverkehr an das LAN überwachen, bevor er freigegeben wird. 
  • Service verweigern: Dritte können Datenverkehr vom infizierten LAN zurückhalten, bis eine Lösegeldforderung erfüllt wird. 
  • Als Mittelsmann fungieren: Bei einem Man-in-the-Middle-Angriff können Dritte nahezu jede Aktion durchführen, darunter auch Dokumente vor dem Senden modifizieren. Diese Angriffe gefährden die Vertraulichkeit und schmälern das Vertrauen der Nutzer. Sie gehören zu den gefährlichsten Angriffen überhaupt. 

Wenn ein Hacker einen End-Host übernehmen möchte, muss er schnell sein. ARP-Prozesse laufen innerhalb von etwa 60 Sekunden ab. In einem Netzwerk jedoch können Anfragen bis zu 4 Stunden lang gespeichert bleiben. Dies lässt dem Hacker genügend Zeit, den Angriff zu planen und durchzuführen.

Bekannte ARP-Schwachstellen

Als ARP entwickelt wurde, lauteten die Ziele Geschwindigkeit, Funktionalität und Autonomie. Das Protokoll war nicht auf Sicherheit ausgelegt und lässt sich mit ein paar einfachen Handgriffen manipulieren und für schädliche Zwecke missbrauchen. 

Dazu benötigt ein Hacker lediglich ein paar Tools.

  • Verbindung: Der Hacker benötigt die Kontrolle über einen mit dem LAN verbundenen Computer. Idealerweise ist der Hacker direkt mit dem LAN verbunden.
  • Programmierkenntnisse: Der Hacker muss wissen, wie er die ARP-Pakete schreiben muss, damit sie direkt akzeptiert bzw. im System gespeichert werden. 
  • Externe Tools: Mithilfe eines Spoofing-Tools wie Arpspoof sendet der Hacker gefälschte oder aus anderen Gründen nicht authentische ARP-Antworten. 
  • Geduld: Manche Hacker gelangen blitzschnell in Systeme. Andere wiederum müssen erst Dutzende oder gar Hunderte von Anfragen senden, bevor sich das LAN austricksen lässt. 

ARP ist zustandslos und Netzwerke lesen ARP-Antworten meist in den Cache ein. Je länger sie dort verweilen, desto gefährlicher werden sie. Eine einzige nicht gelöschte Antwort genügt, um den nächsten Angriff zu starten und ARP-Poisoning zu ermöglichen. 

In einem herkömmlichen ARP-System gibt es keine Identitätsprüfung. Hosts können weder die Authentizität eines Pakets bestimmen, noch deren Ursprung feststellen.

Prävention von ARP-Poisoning-Angriffen 

Hacker führen eine Reihe von vorprogrammierten Schritten aus, um die Kontrolle über ein LAN zu gewinnen. Zuerst senden sie ein gefälschtes ARP-Paket, dann eine Anfrage, um eine Verbindung zur Fälschung herzustellen, und schließlich übernehmen sie das Kommando. Da die Anfrage allen Computern im LAN zugestellt wird, sind alle von der Fremdsteuerung betroffen. 

Netzwerkadministratoren haben zwei Möglichkeiten, ARP-Spoofing zu erkennen:

  1. Passives Verfahren: Überwachung des ARP-Datenverkehrs auf inkonsistente Zuordnungen. 
  2. Aktives Verfahren: Injektion gefälschter ARP-Pakete in das Netzwerk. Mithilfe eines solchen Spoofing-Angriffs können Sie die Schwachstellen in Ihrem System identifizieren. Bei schneller Behebung lassen sich bereits in der Ausführung befindliche Angriffe stoppen. 

Einige Entwickler versuchen, Fälschungen mithilfe von selbst geschriebenem Code zu erkennen. Dies ist jedoch mit Risiken verbunden. Wenn das Protokoll zu streng ist, könnte sich der Zugriff aufgrund einer übermäßig hohen Anzahl von Fehlalarmen verlangsamen. Ist das Protokoll hingegen zu freizügig, werden bereits laufende Angriffe ignoriert, da die Sicherheitslage falsch eingeschätzt wird. 

Verschlüsselung kann hilfreich sein. Dringt ein Hacker in Ihr System ein und findet dort nur unlesbaren Text ohne Decodierungsschlüssel vor, ist der Schaden begrenzt. Um vollständigen Schutz zu gewährleisten, müssen Sie die Verschlüsselung jedoch konsequent anwenden. 

Die Verwendung eines VPN kann im Ausnahmefall für Schutz sorgen. Dabei stellen die Geräte die Verbindung über einen verschlüsselten Tunnel her, sodass die gesamte Kommunikation unmittelbar verschlüsselt wird.

Mögliche Tools für mehr Schutz vor ARP-Spoofing

Zahlreiche Unternehmen bieten Überwachungsprogramme, mit denen sich das Netzwerk überwachen und ARP-Probleme identifizieren lassen.

Häufig verwendete Lösungen:

  • Arpwatch: Mit diesem Linux-Tool überwachen Sie die Ethernet-Aktivität und erkennen Änderungen an IP- und MAC-Adressen. Prüfen Sie das Protokoll täglich und rufen Sie die Zeitstempel auf, um nachzuvollziehen, wann ein Angriff stattgefunden hat.
     
  • ARP-GUARD: Eine grafische Übersicht gibt Aufschluss über Ihr vorhandenes Netzwerk, unter anderem zu Switches und Routern. Sie erhalten einen Überblick über die Geräte in Ihrem Netzwerk und können dadurch einfacher Regeln zum Kontrollieren zukünftiger Verbindungen definieren.
     
  • XArp: Dieses Tool erkennt Angriffe unterhalb der Firewall. Sie werden benachrichtigt, sobald ein Angriff startet und erhalten Anweisungen für die nächsten Schritte.
     
  • Wireshark: Dieses Tool bietet eine grafische Übersicht sämtlicher Geräte in Ihrem Netzwerk. Es ist sehr leistungsstark, seine fachgerechte Implementierung erfordert jedoch umfassendes Know-how.
     
  • Paketfilterung: Bei diesem Firewall-Verfahren verwalten Sie den Netzwerkzugriff, indem Sie ein- und ausgehende IP-Pakete überwachen. Die Pakete werden basierend auf Quell- und Ziel-IP-Adresse, Ports und Protokollen zugelassen oder gestoppt.
     
  • Statisches ARP: Die ARPs werden in den Cache gelesen und dauerhaft gespeichert. Sie fungieren somit als permanente Zuordnungen zwischen MAC- und IP-Adresse. 

Zusammenarbeit mit Okta 

Wir wissen, dass Sie auf sichere Systeme angewiesen sind und dass es nicht einfach ist, den Anfang zu finden und die richtige Vorgehensweise zu wählen. Wir können Ihnen dabei helfen. Erfahren Sie, wie Okta Sie bei der Prävention von ARP-Poisoning-Angriffen unterstützen kann.

Referenzen

ARP Networking Tricks (ARP-Netzwerktricks), Computerworld, Oktober 2001.

Domain 4: Communication and Network Security (Designing and Protecting Network Security), CISSP Study Guide (Third Edition) , 2016.

Fact Sheet: Man-in-the-Middle Attacks, Internet Society, März 2020.

On Investigating ARP Spoofing Security Solutions, International Journal of Internet Protocol Technology, April 2010.

Traditional ARP, Practical Networking, Januar 2017.

Address Resolution Protocol Spoofing Attacks and Security Approaches: A Survey, Security and Privacy, Dezember 2018.

ARP Attack Detection Limitations, Security the Infosec Bag.

Arpwatch Tool to Monitor Ethernet Activity in Linux, TecMint, April 2013.

ARP-GUARD Datasheet, ARP-GUARD.

Website, XArp.

Website, Wireshark.