Geswitchte Netze ebenfalls gefährdet

Neues Sniffer-Tool bedroht Sicherheit von Firmennetzen

09.06.2000
SAN MATEO (IDG) - Das Mitlesen von Datenverkehr stellt eine große Gefahr für Unternehmen dar. Bislang bot der Wechsel zu einem geswitchten Netz einen recht guten Schutz vor solchen Attacken. Doch jetzt ist ein neues Tool aufgetaucht, das auch diese Hürde schafft.

Die COMPUTERWOCHE weist immer wieder darauf hin: Mit relativ einfach erhältlichen Tools - so genannten Sniffern - kann jeder Angestellte im Unternehmen den Datenverkehr im Netz auslesen und so E-Mails mitlesen, Passwörter ausspähen und in letzter Konsequenz sogar Zugriff auf geschützte Dateien oder Rechner erhalten.

Wer es sich leisten kann, schiebt solchem Treiben einen Riegel vor, indem er die komplette Kommunikation verschlüsselt - Sniffer schauen dann in die Röhre. Eine weniger kostspielige Variante ist die, von einer Infrastruktur, bei der sich alle Mitarbeiter die vorhandene Bandbreite teilen (Shared Medium), zu einer geswitchten Architektur zu migrieren. Das hat neben der erhöhten Sicherheit auch den Vorteil, dass den Anwendern die vorhandene Bandbreite jeweils exklusiv für ihre Übertragungen zur Verfügung steht.

Da beim Switching eingehende Daten direkt zum Ausgangsport durchgeleitet wurden, bestand bislang kaum die Möglichkeit, Pakete abzufangen. Doch jetzt hat Dug Song, ein Programmierer am Center for Information Technology Integration (CITI) an der Universität von Michigan, ein Tool entwickelt, das dieses und noch einiges mehr schafft.

Mittels der Funktion "Arpredirect" kann das Programm einem Switch vorgaukeln, die Netzadresse des Standard-Gateways habe sich geändert. Der Switch schickt nun sämtliche Pakete statt an das Gateway an diese Adresse - die des Angreifers, der sie ausliest und dann weiterleitet, als sei nichts geschehen.

Neben dem sehr leistungsfähigen Sniffer "Dsniff", der in der Lage ist, eine ganze Reihe von nicht oder nur schwach verschlüsselten Passwörtern zu lesen, enthält die Softwarepackung auch das Tool "Mailsnarf". Diese kann nicht nur Netzverkehr ablauschen, sondern überdies abgehörte E-Mail-Nachrichten zusammensetzen und in lesbarer Form präsentieren. "Webspy" kopiert URL-Adressen, die beim Surfen im Web verschickt werden, und sendet sie an den Browser des Sniffers - der Angreifer kann dann auf seinem Bildschirm genau mitverfolgen, welche Web-Seiten sich der Bespitzelte gerade anschaut.

Gegen ein Werkzeug wie dieses hilft nur, den gesamten Netzverkehr zu verschlüsseln. Um einem solchen Sniffer auf die Spur zu kommen, kann ein Tool wie "Arpwatch" eingesetzt werden. Es überwacht speziell Adress-Resolution-Protocol-(ARP-)Pakete im Netz und schlägt Alarm, wenn ARP-Adresseinträge geändert werden.