arpwatch gegen ARP-Spoofing
Schon vor einiger Zeit berichtete ich über die Möglichkeiten, die ARP-Spoofing so mit sich bringt. Da dies nun auch in meiner Schule immer populärer wird, habe ich mich nun dazu entschlossen zusammen mit den Informatik Lehrern meiner Schule dagegen vorzugehen. Letzte Woche hielt ich einen zweistündigen Vortrag vor einigen interessierten Lehrer und Angestellten der Schule. Dabei zeigte ich die unterschiedlichen Möglichkeiten, die man zusammen mit arpspoof, dnsspoof, Wireshark uvm. so hat. Fazit: Das muss geändert werden. Meine Schule bietet ein kostenlos für jeden Schüler im gesamten Has verfügbares WLAN-Netzwerk an, mit dem man mit den Schul-Laptops (oder so wie ich mit eigenen Laptops) das Webangebot der Schule nutzen kann. Im bisher noch komplett geswitchten Netzwerk kann man so nach Lust und Laune sniffen.
Also habe ich mich mal auf die Suche nach sinnvollen Gegenmaßnahmen gemacht. Dabei sind wir zum Entschluss gekommen, dass primär erstmal die Netzwerk Infrastruktur geändert werden muss. VLANs für verschiedene LAN Bereiche der Schule und für jeden Access Point verhindern schonmal ein ARP-Spoofing im gesamten Netz.
Eine weitere Maßnahme wird der experimentelle Einsatz von “arpwatch“. Arpwatch überwacht den ARP Traffic im Netzwerk und ist in der Lage Änderungen im ARP-Cache zu erfassen. Sollte ein mutmaßlicher Angriff erfasst worden sein, so kann arpwatch den Administrator mit Hilfe einer E-Mail benachrichtigen. Dieses System habe ich in meinem heimischen Netzwerk bereits mit Erfolg getestet.
Allerdings ergeben sich trotzdem noch Haken. Leider bin ich bisher mangels Hardware bzw. Zugang nicht dazu gekommen auch nur irgendwas mit VLANs machen zu können. Sofern mich mein Verständis eines VLANs aber nicht täuscht, dürfte es nicht möglich sein, ARP-Anfragen über das VLAN hinweg zu senden. Folglich kann arpwatch nur Attacken in einem bestimmten VLAN auffassen – was natürich keinen Sinn mehr macht. Ein anderes Problem ist, dass wir noch nich genau wissen, ob und wie man solche Attacken nicht nur automatisch erfassen sondern auch direkt unterbinden kann. Ideal wäre es, einen böswilligen Teilnehmer direkt vom Access Point aus zu sperren, sodass dieser keine Verbindung mehr zum WLAN hat. Allerdings widerspricht das doch etwas dem ursprünglichen Sinn des gesamten Netzwerkes; nämlich den Schülern auch während des Unterrichts Internet zu Verfügung zu stellen. Andererseits ist Unterricht auch nicht für ARP-Spoofing gedacht.
Ich werde auf jeden fall noch einige Gedanken an diesem Problem verschwenden. Die Sache mal von der anderen Seite, d.h. aus Sicht des Netzwerkadministrators zu betrachten bringt ganz neue Probleme aber auch Vorteile mit sich. Ich hoffe weiterhin auf Unterstützung seitens der Lehrer, ohne deren Zustimmung ich wohl vorerst keine Möglichkeit haben werde, mit derartig großen Netzwerken Erfahrung zu sammeln.
Möglich ist auch eine Installation von Snort, vielleicht gepaart mit ein paar Intrusion Detection Features, um solche Leute direkt aus dem Netz zu bannen.
Snort könnte euch dazu auch noch helfen eine große Zahl an weiteren Attacken zu erkennen… ARP-Poisioning ist ja nicht die einzige Gefahr für euer offenes Netzwerk.
Eine sichere Konzeption eines solchen Netzwerkes ist aber natürlich auch ein sehr guter Weg. Am besten wäre wohl die Kombination aus beiden
Danke für deinen Hinweis, ich werde mir snort dann mal anschauen!
Also das einzige wirksame zur Absicherung eines WLANs bleibt RADIUS, das sollte in einer Schule ja kein Problem darstellen, da es sicher ja schon eine Schülerdatenbank gibt, aus denen man dann Logins für die Schüler generieren kann.
Natrülich muessen die AP’s das Ganze unterstützen, aber oft kann man durch einen alternative Firmware (OpenWRT, …) sowas erreichen.