Comments on: arpwatch gegen ARP-Spoofing

By: Valle

Valle — Sun, 13 Mar 2011 00:19:12 +0000

Hallo Robert! Danke für dein Kommentar. Du hast natürlich absolut Recht mit dem was du sagst. Das sind auch die Gründe, warum wir arpwatch bisher auch noch nicht installiert haben. Wirkliche Sicherheit für dieses Netzwerk würde wesentlich mehr Arbeits- und Geldaufwand erfordern. Dieser Aufwand ist es laut den Zuständigen an meiner Schule nicht wert. Deswegen ist bis heute (und der Post ist bereits recht alt ) das Schulnetzwerk ein regelrechtes Schlachtfeld für ~~Hacker~~ Script-Kiddies.

By: Robert

Robert — Sat, 12 Mar 2011 21:40:06 +0000

Hallo,
da wir bei uns an der Schule eventuell auch bald ein WLAN-Netzwerk einrichten wollen hab ich mich in letzter Zeit auch vermehrt mit ARP-Spoofing auseinander gesetzt.
Aber bei der Idee mit arpwatch fällt mir nur eine Schwachstelle ein:
Solange die Überwachung vom ARP-Cache nicht auf einem zentralen Switch läuft (was wenn überhaupt wahrscheinlich nur mit Cisco Switches möglich wäre) müssen ja die ARP-Replies auch an dem Rechner ankommen, auf dem arpwatch läuft, damit ARP-Spoofing erkannt werden kann. Das ist dann aber nur bei Ethernet Broadcasts möglich, Unicasts würden ja nur beim Zielrechner ankommen.
Wenn der Angreifer also zuerst versucht, alle MAC-Adressen rauszufinden (getestet, funktioniert meistens, unter anderem mit Windows 7) und dann an diese per Unicast ARP-Replies sendet (funktioniert z.B. bei Windows 7 auch unaufgefordert), dann wird der ARP-Cache manipuliert, aber arpwatch erkennt es nicht da die Switches das ja nur an den Zielrechner weiterleiten.
Wenn es dich interessiert kann ich dir gerne die Testscripts und die Testergebnisse mailen, wie du sicher verstehen kannst möchte ich die hier nicht unbedingt veröffentlichen (Scriptkiddies und so…).

Liege ich mit der Behauptung richtig oder hab ich da irgend einen Denkfehler?

By: Say

Say — Thu, 18 Mar 2010 16:02:08 +0000

Also das einzige wirksame zur Absicherung eines WLANs bleibt RADIUS, das sollte in einer Schule ja kein Problem darstellen, da es sicher ja schon eine Schülerdatenbank gibt, aus denen man dann Logins für die Schüler generieren kann.

Natrülich muessen die AP’s das Ganze unterstützen, aber oft kann man durch einen alternative Firmware (OpenWRT, …) sowas erreichen.

By: Valle

Valle — Thu, 03 Dec 2009 17:50:31 +0000

Danke für deinen Hinweis, ich werde mir snort dann mal anschauen!

By: massai

massai — Thu, 03 Dec 2009 01:18:52 +0000

Möglich ist auch eine Installation von Snort, vielleicht gepaart mit ein paar Intrusion Detection Features, um solche Leute direkt aus dem Netz zu bannen.

Snort könnte euch dazu auch noch helfen eine große Zahl an weiteren Attacken zu erkennen… ARP-Poisioning ist ja nicht die einzige Gefahr für euer offenes Netzwerk.

Eine sichere Konzeption eines solchen Netzwerkes ist aber natürlich auch ein sehr guter Weg. Am besten wäre wohl die Kombination aus beiden