ratNetw0rk Statistik

Schutz gegen MITM


So im anderen Tutorial habe ich euch gezeigt wie ihr mit einer Man in the Middle Daten klauen könnt oder um euren eigenes Netzwerk zu Überwachen und damit nach Malware zu suchen. Aber wie kann ich mich gegen einen solchen Angriff schützenden selbst Kaspersky Internet Security erkennt den Angriff nicht.

Hier gehe ich wieder auf Windows und Linux ein.

Fangen wir mit Windows an dazu klaue ich mir mal ein paar Zeilen vom den Redmondern aus ihren TechNet.

Konfiguration unter Windows

Alle modernen Windows-Versionen bringen von Hause aus das Kommandozeilen-Programm "arp" mit, über welches der Anwender den ARP-Cache auslesen und beeinflussen kann.

> arp -a (zeigt den ARP-Cache an)
> arp -s (fügt einen statischen Eintrag hinzu)
> arp -d (löscht einen Eintrag)

Der Aufruf des folgenden Kommandos löscht den kompletten ARP-Cache.

> netsh interface ip delete arpcache

Als vorbeugende Schutzmaßnahme ist empfehlenswert, wichtige Einträge wie verwendete Gateways oder Name-Services, die sich im gleichen Netzwerksegment befinden, statisch in den ARP-Cache einzutragen. Mit einer Batch-Datei, die beim Systemstart geladen wird, ist das problemlos zu bewerkstelligen.

Erzeugen eines statischen ARP-Caches

Gehen Sie zum Absichern bestimmter Hosts wie folgt vor:

1. Pingen Sie die Hosts an, die Sie statisch eintragen möchten. Dadurch wird ein Eintrag im ARP-Cache generiert, den Sie wie oben beschrieben auslesen können.

2. Erstellen Sie eine Datei "arpstart.bat" und öffnen Sie diese mit dem Texteditor.

3. Fügen Sie die Adressen wie folgt in diese Datei ein:

> arp -s

als Beispiel:

> arp -s 192.168.20.11 00-30-c1-5e-68-74
> arp -s 192.168.20.12 00-05-01-0e-63-21
> arp -s 192.168.20.13 00-03-12-53-68-11

Legen Sie in der Registry im Verzeichnis

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run einen neuen Eintrag als Zeichenfolge (REG-SZ) an und verweisen Sie damit auf die erstellte Batch-Datei; zum Beispiel c:\arpstat.bat. Damit wird bei jedem Systemstart das Skript geladen und die Einträge fest in den Cache geschrieben.

Ein Fehler in der ARP-Implementierung von Windows XP erlaubt jedoch, auch einen statischen ARP-Cache zu überschreiben, weswegen vor der Installation des statischen ARP-Caches die entsprechenden Hotfixes zu installieren sind. http://support.microsoft.com/kb/842169



Untouchable: Ein statischer ARP-Cache hilft, böswillige Veränderungen an der MAC/IP-Zuordnung zu verhindern.

Tools für Windows
Als präventive Schutzmaßnahme empfiehlt es sich, in jedem Netzwerksegment das Tool XArp im Hintergrund mitlaufen zu lassen. Das Programm protokolliert sämtliche Veränderungen in der Zuordnung zwischen IP-und MAC-Adresse und stellt diese übersichtlich dar.



XArp: XArp erkennt nur Veränderungen im ARP-Cache des eigenen Hosts.

So kann man das unter Windows machen, unter Linux verwenden wir das Programm ArpWatch welches in der Large ist das gesamte Netzwerk zu Überwachen und nicht nur den eigenen Computer wie es Windows macht.

Beschreibung
ARPwatch zählt nicht zur den Vollwertigen IDS Programmen sondern zur der Software die sich auf eine spezielle Art von Angriffen spezialisiert haben. So ist ARPwatch nur in der Lage solche Angriffe zuerkennen die durch eine Manipulation des ARP Protokolls durchgeführt werden. Zur solchen Angriffen zählt zum Beispiel ARP Spoofing.

Wer Debian verwendet kann das ARPwatch unter der Synaptic Installieren.

Wen wir es installiert haben starten wir eine Shell und erstellen folgende Datei.
vi /var/lib/arpwatch/arp.dat

Nun öffnen wir die Confing mit vi,nano oder gedit
vi /etc/arpwatch.conf

Wir tragen nun folgende Zeile Hinzu.
eth0 -a -n 192.0.0.0/24 -m User@Computername

Nun Restarten wir ARpWatch
/etc/init.d/arpwatch restart

So nun öffnen wir bei mir unter Debian E-Mail - Evolution ist Standartmäßig dabei.
Wir erstellen ein neues Konto unter Bearbeiten -> Einstellungen -> Hinzufügen
In das Feld E-Mail-Adresse geben wir unseren Linux User ein und den Systemnamen.



Dann auf Vor und unter Server-Art: wählen wir Standard-Unix-mbox-Spool-Datei und als Pfad /var/mail/username bei mir ist das enel



Dann auf vor, in welchem zeitabstand er die Mail checken soll könnt ihr selber bestimmen und auf Vor, hier geben wir SMTP und Localhost an.



Weiter mit Vor und dann Anwenden.

So nun haben wir Unser Konto und wen wir das aufklappe mit dem kleinen Pfeil an der Seite den Posteingang.Wen wir jetzt mit Ettercap eine Man in The Middle starten werden wir eine ganze Reihe Mail bekommen was uns zeigt das es Funktioniert.



So können wir beobachten ob uns jemand belauscht, Bots sind auch in der Large Man in the Middle Attacken auszuführen ,besonders viele rbot und RxBot sowie einige nzm varianten.

by rat