Man-in-the-Middle-Attacken aufspüren

Finde das Kuckucksei!

Man-in-the-Middle-Attacken stellen für Angreifer einen wirkungsvollen Weg dar, um in Unternehmensnetzwerken Datenpakete abzufangen und dann für unlautere Zwecke zu nutzen. Sogar das Ändern von Paketen ist hierüber möglich. Es gibt aber Tools wie das kostenlose WireShark, die beim Erkennen dieser Art von Attacken helfen. Unser Workshop zeigt, wie Sie dabei am besten vorgehen.
Die Rechner der Mitarbeiter stehen an vorderster Front in Sachen IT-Security. Im Oktober-Heft befassen wir uns deshalb mit dem Schwerpunkt "Endpoint Security". ... (mehr)

Bei einem Man-in-the-Middle-Angriff (MITM) platziert sich ein Angreifer zwischen dem Opfer und den verwendeten Ressourcen. Das versetzt ihn in die Lage, die Kommunikation abzufangen, zu lesen und unter Umständen sogar zu manipulieren. Dabei muss der Angreifer den Datenverkehr nicht komplett umleiten und sich als Ziel der Daten ausgeben. Vielmehr ist es möglich, die Daten im Netzwerk auszulesen und diese ungestört an das echte Ziel weiterlaufen zu lassen. Der Angreifer positioniert sich also in der Mitte des Datenflusses.

Dadurch erkennen viele Anwender und Administratoren die Angriffe erst, wenn es zu spät ist. Denn in den meisten Fällen sind Netzwerkdienste nicht durch MITM-Attacken gestört. Sie laufen normal weiter, während der Angreifer den Zugriff auf den Datenverkehr zwischen Client und Server nutzt. Identitätsdiebstahl, das Fälschen von Transaktionen oder das Stehlen von geistigem Eigentum sind nur einige mögliche Beispiele.

Die Attacken sind in Netzwerken auf Kabelbasis genauso durchführbar wie das Sniffen von Daten in einem WLAN. Dort kommen sie jedoch besonders häufig vor, da öffentliche WLANs oft kaum geschützt sind.

Bevor wir uns mit möglichen Abwehrmechanismen und -werkzeugen wie WireShark befassen, zeigen wir zunächst, wie ein MITM-Angriff mit Techniken wie ARP-Poisoning abläuft und wie Sie ihn entdecken und analysieren. Das hilft dann dabei, das eigene Netzwerk vor derartigen Attacken zu schützen und Ihre interne Sicherheitsstruktur entsprechend zu optimieren.

Einfallstor ARP

MITM-Attacken laufen häufig über den Cache des Address Resolution Protocol (ARP) ab. Dabei handelt es sich um den lokalen Zwischenspeicher für die Zuordnung zwischen IP- und MAC-Adresse. Dessen Inhalt lässt sich in Windows in der Befehlszeile zum Beispiel mit »arp -a« anzeigen. Auf Linux-Rechnern steht dazu »ip n s«

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022