Kopfload.de - Lad Dein Hirn auf!

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: start » lager » lok_netze » layer2security
Zuletzt angesehen:
lager:lok_netze:layer2security

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
lager:lok_netze:layer2security [20.02.2016 16:00] – angelegt richardlager:lok_netze:layer2security [30.04.2023 15:58] (aktuell) – Status der Diskussion geändert richard
Zeile 1: Zeile 1:
-~~DISCUSSION|Ergänzungen~~+~~DISCUSSION:closed|Ergänzungen~~
 ====== Sicherheit auf der Sicherungsschicht (OSI-Schicht 2) ====== ====== Sicherheit auf der Sicherungsschicht (OSI-Schicht 2) ======
  
Zeile 8: Zeile 8:
 ====Wiretapping ==== ====Wiretapping ====
 Unter Wiretapping wird das Mitschneiden in einem drahtgebundenen Netzwerk verstanden. Ein Gerät hat dabei physikalischen Zugriff auf Netzwerkmedium und kann den Datenverkehr mitschneiden. Das Gerät wird TAP-Device genannt. Unter Wiretapping wird das Mitschneiden in einem drahtgebundenen Netzwerk verstanden. Ein Gerät hat dabei physikalischen Zugriff auf Netzwerkmedium und kann den Datenverkehr mitschneiden. Das Gerät wird TAP-Device genannt.
-Bekannte Angriffe+{{ :lager:lok_netze:bilder:tap.device.jpeg |Ein TAP-Device schneidet den Datenverkehr mit}} 
 + 
 +===== Bekannte Angriffe ===== 
 ====Cache Poisoning==== ====Cache Poisoning====
 Ein Switch leitet (beim normalen Forwarding) einen eingehenden Rahmen nur an den Switch-Port weiter, an dem auch das Ziel (bzw. die Ziel-MAC-Adresse) angeschlossen ist. Ein Angreifer muss somit dafür sorgen, dass die Rahmen an ihn weitergeleitet werden, damit er den Datenverkehr mitlesen kann. Ein Switch leitet (beim normalen Forwarding) einen eingehenden Rahmen nur an den Switch-Port weiter, an dem auch das Ziel (bzw. die Ziel-MAC-Adresse) angeschlossen ist. Ein Angreifer muss somit dafür sorgen, dass die Rahmen an ihn weitergeleitet werden, damit er den Datenverkehr mitlesen kann.
Zeile 15: Zeile 18:
   - ARP bietet die Möglichkeit, dass Systeme ihre MAC-Adresse von sich aus bekannt geben (gratious arp). Ein Angreifer sendet nun gefälschte ARP-Pakete in denen er eine nicht zulässige Zuordnung zwischen MAC-Adresse und IP-Adresse bekannt gibt.   - ARP bietet die Möglichkeit, dass Systeme ihre MAC-Adresse von sich aus bekannt geben (gratious arp). Ein Angreifer sendet nun gefälschte ARP-Pakete in denen er eine nicht zulässige Zuordnung zwischen MAC-Adresse und IP-Adresse bekannt gibt.
   - Ein Angreifer kann alle Anfragen (ARP-Request) mit einer gefälschten Antwort (ARP‑Response) beantworten.   - Ein Angreifer kann alle Anfragen (ARP-Request) mit einer gefälschten Antwort (ARP‑Response) beantworten.
 +{{ :lager:lok_netze:bilder:cache.poisoning.jpeg |Ein Angreifer beantwortet alle ARP-Request mit eigenen ARP-Reply und füllt so den ARP-Cache des Ziels (hier Client A) mit gefälschten Angaben
 +}}
 ====MAC Address Flooding==== ====MAC Address Flooding====
 Wie oben beschrieben besitzt ein Switch eine Zuordnungstabelle (Source Address Table) für die Zuordnung zwischen MAC-Adresse und Switch-Port. Ein angekommener Ethernet-Rahmen wird ausgelesen und in der Zuordnungstabelle wird ein Eintrag für die Ziel-MAC-Adresse des Rahmens gesucht. Wenn ein Eintrag vorhanden ist, wird der Rahmen gemäß des Eintrags weitergeleitet. Wenn allerdings kein Eintrag in der Tabelle vorhanden sendet der Switch den Rahmen an alle Ports weiter. Wie oben beschrieben besitzt ein Switch eine Zuordnungstabelle (Source Address Table) für die Zuordnung zwischen MAC-Adresse und Switch-Port. Ein angekommener Ethernet-Rahmen wird ausgelesen und in der Zuordnungstabelle wird ein Eintrag für die Ziel-MAC-Adresse des Rahmens gesucht. Wenn ein Eintrag vorhanden ist, wird der Rahmen gemäß des Eintrags weitergeleitet. Wenn allerdings kein Eintrag in der Tabelle vorhanden sendet der Switch den Rahmen an alle Ports weiter.
 Wenn ein Angreifer nun die Tabelle des Switches mit falschen Angaben überflutet, hat der Switch für echte Zuordnungen keinen Speicherplatz in der Tabelle und sendet Rahmen für die keine Zuordnung vorhanden ist an alle Ports weiter. Wenn ein Angreifer nun die Tabelle des Switches mit falschen Angaben überflutet, hat der Switch für echte Zuordnungen keinen Speicherplatz in der Tabelle und sendet Rahmen für die keine Zuordnung vorhanden ist an alle Ports weiter.
 +
 +
 =====Mögliche Verteidigungen===== =====Mögliche Verteidigungen=====
 Um Angriffen auf der zweiten OSI-Schicht entgegen zu wirken, ist es sinnvoll den ARP-Verkehr im Netzwerk zu untersuchen. Während eines Angriffes ist der ARP-Verkehr stark erhöht. Um Angriffen auf der zweiten OSI-Schicht entgegen zu wirken, ist es sinnvoll den ARP-Verkehr im Netzwerk zu untersuchen. Während eines Angriffes ist der ARP-Verkehr stark erhöht.
 Ein mögliches Werkzeug für eine Angriffserkennung ist ArpWatch. Das Programm überwacht die ARP‑Tabelle und meldet Unregelmäßigkeiten Ein mögliches Werkzeug für eine Angriffserkennung ist ArpWatch. Das Programm überwacht die ARP‑Tabelle und meldet Unregelmäßigkeiten
 Um den Angriff Cache Poisioning zu verhindern kann man am Switch die maximale Anzahl von MAC-Adressen die pro Port gelernt werden können beschränken. Eine weitere Möglichkeit ist die Einführung einer Authentifizierung auf Schicht 2 (IEEE 802.1X), so dass ein Switch nur dann Daten weiter leitet, wenn sich ein Teilnehmer erfolgreich authentifiziert hat. Um den Angriff Cache Poisioning zu verhindern kann man am Switch die maximale Anzahl von MAC-Adressen die pro Port gelernt werden können beschränken. Eine weitere Möglichkeit ist die Einführung einer Authentifizierung auf Schicht 2 (IEEE 802.1X), so dass ein Switch nur dann Daten weiter leitet, wenn sich ein Teilnehmer erfolgreich authentifiziert hat.
lager/lok_netze/layer2security.1455980436.txt.gz · Zuletzt geändert: 05.07.2018 10:03 (Externe Bearbeitung)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki