ARP-Poisoning

Das Abhören kompletter Telefonate in geswitchten Netzwerken ermöglicht ARP-Poisoning. Über das ARP-Protokoll teilen sich Kommunikationspartner gegenseitig die zu ihrer IP-Adresse (OSI-Modell, Schicht 3) passende MAC-Adresse (Schicht 2) mit.

Dazu sendet das anfordernde Gerät ein ARP-Request an alle Stationen in einem LAN-Segment. In dieser Anfrage ist die IP-Adresse des angefragten Endgeräts enthalten.

Das entsprechende Endgerät antwortet darauf mit einem ARP-Reply, in dem die MAC-Adresse zu der gefragten IP-Adresse enthalten ist. Der Datenaustausch kann daraufhin stattfinden.

Das ARP-Protokoll besitzt jedoch keinerlei Mechanismen zum Verifizieren dieser Informationen. Mit anderen Worten: Ein Angreifer kann mittels gefälschter ARP-Pakete behaupten, er besäße eine bestimmte IP-Adresse. So kann er die Kommunikation über seinen eigenen Rechner umleiten.

Dazu manipuliert der Angreifer die ARP-Tabelle der Kommunikationspartner durch das kontinuierliche Senden gefälschter ARP-Replies. Das veranlasst die Opfer dazu, ihre Nachrichten und Datenpakete an den Angreifer zu senden.

Hier helfen verschiedene Gegenmaßnahmen: Der Einsatz managebarer Switches gestattet eine sichere Konfiguration und schützt vor dem Zugriff unberechtigter Nutzer. Ungenutzte Switch-Ports sollten umgehend abgeschaltet werden, um die Zahl der Angriffpunkte zu verringern.

Eine entsprechende Konfiguration (Port-Security) gewährleistet, dass verwendete Ports bei Änderung der MAC-Adresse sofort herunter fahren. Das sogenannte Sticky-ARP speichert die Zuordnung von IP- und MAC-Adressen für einen bestimmten Zeitraum, so dass diese nicht überschrieben werden können.

Virtual-LAN unterteilt das Unternehmensnetz in verschiedene Bereiche. Wird das UC-System auch nur virtuell von Teilen der IT-Infrastruktur getrennt, ist ARP-Poisoning aus anderen Netzbereichen nicht mehr möglich.