Das Vorgehen der Angreifer - und der Verteidiger

Workshop: SSL Stripping erkennen und bekämpfen - Teil 2: Abwehr

Vielfältige Lösungen für Löcher im ARP-Konzept

So lange wie ARP Spoofing existiert, so lange gibt es bereits Gegenmaßnahmen. Heute ist eine Vielzahl unterschiedlicher Lösungen im Einsatz, die massive Unterschiede bei Kosten und Administrationsarbeit aufweisen.

Auf der Softwareseite wird meist angesetzt, indem ARP schlicht deaktiviert wird. Dies mag in kleinen Netzwerken praktikabel sein: Fügt man hier nicht ständig neue Rechner hinzu, so lässt sich die Liste der Teilnehmer auch von Hand verteilen. Neben der verstärkten Sicherheit kann dies sogar zu einem kleinen Geschwindigkeitsgewinn führen. Jedoch ist es bei größeren Unternehmen nicht mehr möglich, die vielen hundert Interfaces vom Smartphone bis zum Server händisch zu konfigurieren. Hier stünde der Aufwand in keinem Verhältnis zum Ergebnis.

Ähnlich sieht es bei der manuellen Subnet-Verwaltung aus. Grenzt man die Rechner entsprechend ihrer Sicherheitsstufe voneinander ab, so ergibt sich entweder ein monströser Aufwand mit sich ständig ändernden Zuordnungen oder ein sehr grobmaschiges Sicherheitsnetz.

Ein anderer Ansatz ist, aktiv das ARP zu überwachen. Hierfür gibt es ein von der Network Research Group am Lawrence Berkeley National Laboratory entwickeltes Tool namens arpwatch. Dieses überwacht das lokale Netz auf typische Anzeichen einer Protokollverletzung, etwa eine Überflutung mit ARP-Antworten, und schlägt Alarm. Ist man bereit, dem Programm voll und ganz zu vertrauen, so stellt es sicher eine brauchbare Lösung dar.

Wie erwähnt, existieren außerdem viele kommerzielle Lösungen, die dazu dienen, Eindringlinge abzuwehren, die meist auch ARP-Attacken mit einbeziehen. Dies können etwa spezielle Switches sein, die einzelne Ports bei typischen Angriffsmustern abschalten, Layer-3-Switches, die portweise VLANs erzeugen, oder Intrusion Detection Systems, die einen ganzheitlichen Ansatz verfolgen. Diesen Möglichkeiten ist jedoch gemein, dass sie sehr hohe Kosten verursachen und nebenbei auch nicht gerade trivial zu administrieren sind.

Schlussendlich gilt weiterhin die Warnung vor der grundsätzlichen Disparität von Sicherungs- und Angriffsmethoden. So muss ein Angreifer nur eine einzige erfolgreiche Methode finden, während der Verteidiger sich stets gegen sämtliche Eventualitäten zu versichern hat. Und ARP Spoofing ist bei Weitem nicht die einzige Technik, mit der ein MITM-Angriff eingeleitet werden kann. Als bekannteste weitere Beispiele seien nur das DNS Spoofing oder die Einrichtung eines Rogue DHCP Server erwähnt. Hat eine dieser Methoden Erfolg, so lässt sich SSL Stripping ohne Abwandlungen durchführen.