Buffl
Buffl
Grundlagen der Sicherheit

LAN-Sicherheit

ib
von ite B.

Grundlagen zu MAC Adressen

Media Access Control

  • Eindeutige Identifikationsnummer für jede netzwerkfähige Hardware

  • Verwaltung der MAC-Adressen und Ports in MAC-Adresstabelle


Switch

leitet Pakete für bekannte MAC-Adressen gezielt an die jeweiligen Ports weiter


Hub

leitet Paket an alle Ports weiter - alle Segmente des LANS sehen alle Pakete


Ziel

Mac-Flooding

Mitlesen von Paketen, die an fremde MAC-Adressen adressiert sind


Funktionsweise

Mac-Flooding

  • Switch wird mit Paketen von flaschen MAC-Adressen „überflutet“

  • Switch füllt die MAC-Adresstabelle mit falschen Einträgen und kennt die echten MAC-Adressen nicht mehr

  • dadurch wird Switch zum HUB und schickt dann alle Pakete auf alle Ports

  • Angreifer kann dadurch Pakete mitlesen, die an andere adressiert sind


Ziel

Mac-Spoofing

Umleiten von Paketen, die an fremde MAC-Adressen adressiert sind

Denial of Service, Abfangen und Erhalt von Paketen


Funktionsweise

Mac-Spoofing

  • Angreifer täuscht Switch falsche MAC-Adresse vor

  • Anstelle echten Zielrechners empfängt Angreifer die an den Zielrechner adressierten Pakete


Gegenmaßnahmen Mac-Angriffe

Wo: auf Switch

  • Sicherheitseigenschaften auf Port- Ebene

    • Wie viele und Welche MAC-Adressen sind erlaubt?

    • Reaktion bei Detektion?

      • Port runterfahren

      • Frame wird ausrangiert oder weitergeleitet


Grundlagen zu ARP

Address Resolution Protocoll

  • ordnet IP-Adressen physikalische Adressen zu

    • IP auf MAC

  • in ARP-Table/Cache gespeichert - schnellere Adressauflösung

    • dynamisch per ARP Protokoll (temporär)

    • manuell eingetragen


  • zunächst wird Subnetzmaske von Empfänger festgestellt

  • Wenn nicht im gleichen Subnetz dann zu IP des Default-Gateways und selber Check


ARP-Spoofing

Ziel:

  • Umleiten von IP-Paketen an den eigenen Rechner

    • Abhören von Daten

    • Grundlage für weitere Angriffe, z.B. Denial of Service, Session Hijacking

Vorgehensweise:

  • ARP-Cache-Einträge auf fremden Rechnern und/oder Netzkomponenten „vergiften“

  • Rechner füllt seinen ARP-Cache mit falschen Angaben

  • Angreifer kann so Pakete abfangen

    • kann sie vom Netz nehmen

    • an den echten Rechner weiterleiten


Grundlagen zu DHCP

Dynamic Host Configuration Protocol

  • Zuweisung Clients von IP-Adresse

  • um weitere nötige IP-Parameter wie Default Gateway, DNS- Server festzulegen

  • manuelle Konfiguration auf Client entfällt - Verwaltung des Netzwerks erheblich vereinfacht


Typen von DHCP-Nachrichten



Code

Typ

Client/Server

Funktion

1

DHCP Discover

Client

Broadcast, um einen DHCP-Server zu finden

2

DHCP Offer

Server

Antwort auf ein DHCP Discover mit den TCP/IP Konfig.parameter

3

DHCP Request

Client

Anforderung von best. Parametern oder Erneuerung der Adresse

4

DHCP

Decline

Server

Server zeigt damit an, dass die Adresse bereits in Gebrauch ist

5

DHCP Ack

Server

Server quitiert die angeforderten Konfigurationasparameter des Clients

6

DHCP Nak

Server

Server zeigt an, dass IP Adresse des Clients inkorrekt ist

7

DHCP Release

Client

Freigabe der IP des Clients

8

DHCP Inform

Client

Client besitzt bereits IP, fragt nur nach lokalen Parametern


Ablauf Zuweisung von IP-Konfiguration per DHCP

Client: DHCP - Discover

Server: DHCP - Offer

Client: DHCP - Request

Serevr: DHCP - Ack (Decline, Nack)





C: DHCP Release, DHCP Inform

Vorteile DHCP

  • ermöglicht zuzverlässige Zuweisung und Konfiguration der IP-Adresse und Parametern

  • Reduziert und erleichtert Netzwerkadministratikon signifikant

  • nimmt Adressen automatisch zurück wenn sie nicht mehr verwendet werden


Sicherheitsrisiken DHCP


  • Sicherheitsrisiken

    • authentifiziert Clients nicht, bevor IP Adressen angeboten werden

    • jede Maschine kann zum Netzwerk hinzgefügt werden


DHCP Starvation

Ziel des Angriffs

  • Belegen aller per DHCP vergebenen IP-Adressen

  • DoS - lahmlegen

Vorgehensweise

  • Angreifer sendet so viele DHCP-Requests, dass der DHCP-Server alle IP-Adressen vergibt

  • andere Clients bekommen keine IP-Adressen mehr und können dann nicht über das Netzwerk kommunizieren

Schutzmaßnahmen

  • auf DHCP Server

    • Erkennen von Anfrageflut

    • Verwendung von statischen DHCP-Adressen (feste Zuordnung MAC-IP)

  • Port Security


DHCP - Rogue Server

Ziel des Angriffs

  • Umleiten von IP-Paketen an eigenen Rechenr

  • Unsauthorisiertes Erlangen von Informationen

  • DoS

  • MitM


Vorgehensweise

  • Angreifer täuscht DHCP-Server vor

  • Opfer ändert IP Konfigurationen

    • default router DNS Server, IP Adresse, Subnetzmaske…


Diskussion Schutzmaßnahmen

  • Isolated/ Promicious Ports

  • VLAN ACLs Redirects:

    • Umleiten von DHCP Anfragen an definierten Port



DNS Grundlagen

Domain Name System

  • übersetzt Domain-Name in IP-Adresse

  • jedes mit dem Internet verbundene Gerät hat eindeutige IP-Adresse

  • DNS Server sparen User IP-Adressen zu merken - Analogie: Telefonbuch


Anwendung DNS


  • Server wird rekursiv verwendet wenn IP zu Domain nicht im eigenen Cache ist

  • wenn im local file „etc/hosts“ IP und Domain eingetragen wird dieser benutzt, sonst rekursiv auf DNS-Server


Ablauf DNS

  • sucht erst in System

  • dann Anfrage an bevorzugten DNS-Server

  • dann DNS-Server an Root Server


4 Server an DNS-Lookup beteiligt

  • DNS-Recursor

    • Bibliothekar

      • der gebeten wird, irgendwo in der Bibliothek ein bestimmtes Buch zu finden

    • empfängt Anfragen von Client über Anwendungen wie Webbrowser

    • Recursor stellt dann zusätzliche Anfragen, um Anfrage zu beantworten

  • Root-Nameserver

    • erste Schritt bei der Übersetzung der für Menschen lesbaren Hostnamen in IP-Adressen

    • Bibliotheksindex

      • der auf verschiedene Bücherregale verweist

    • fungiert als Referenz auf andere spezifischere Positionen

  • TLD-Nameserver

    • bestimmtes Bücherregal in Bibliothek

    • hostet letzten Teil eines Hostnamens

      • (im Beispiel example.com ist der TLD-Server „com“).

  • Autorativer Nameserver

    • Wörterbuch in Bücherregal

    • Wenn autoritative Nameserver Zugriff auf angeforderten Eintrag hat, gibt er die IP-Adresse des angeforderten Hostnamen zurück an DNS-Recursor


10-Schritte des DNS-Lookups

  1. ‚example.com‘ in Webbrowser

    • Abfrage in Internet übertragen

    • von einem rekursiven DNS-Resolver empfangen

  2. Resolver fragt DNS-Root-Nameserver ab

  3. Der Root-Server antwortet mit der Adresse eines DNS-Servers einer Domain auf oberster Ebene - hier .com

  4. Der Resolver sendet Anfrage an die TLD .com.

  5. Der TLD-Server antwortet mit der IP-Adresse des Nameservers der Domain, z. B. example.com.

  6. Srekursive Resolver sendet Anfrage an Nameserver der Domain.

  7. Die IP-Adresse für example.com wird vom Nameserver an Resolver zurückgegeben

  8. Der DNS-Resolver beantwortet die Anfrage des Webbrowsers mit der IP-Adresse der Domain, die ursprünglich angefragt wurde.

  1. Der Browser sendet eine HTTP-Anfrage an die IP-Adresse.

  2. Der Server an der betreffenden IP-Adresse liefert die Webseite, die im Browser geöffnet wird


DNS Spoofing

Ziel des Angriffs

  • Umleiten von bestimmtem Netzwerkverkehr an die eigene Adresse

  • DoS, MitM, ...

Vorgehensweise

  • Angreifer beantwortet DNS-Queries des Opferrechners mit einer IP-Adresse seiner Wahl

    • (seine eigene IP-Adresse oder die eines Servers unter seiner Kontrolle)

  • Client verwendet falsche IP-Adresse für einen Server und sendet die Daten an den Angreifer statt Server


Vorraussetzung:

  • Angreifer sieht DNS Queries des Zielsystems


Schutzmaßnahmen – DNS over TLS

DNS over TLS (DoT)

  • ist ein Protokoll, mit dem DNS-Abfragen über Transport-Layer-Security-Protokoll verschlüsselt übertragen werden

  • TLS (früher Secure Sockets Layer SSL) ist Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet


Beitreten
Vorschau

Author

ite B.

Informationen

Zuletzt geändert

Kurs melden
© 2023 Buffl GmbH