Einer Schätzung der Unternehmensberatung KPMG aus dem Jahr 2002 zufolge gehen bis zu 80 Prozent aller Sicherheitsvorfälle in Unternehmen auf das Konto der eigenen Angestellten. Mit Hilfe von im Internet frei verfügbaren Hacker-Tools können Mitarbeiter ohne großen Aufwand nicht für sie bestimmte Übertragungen im Netz blockieren, aufzeichnen oder verändern. Das geschieht meist über Angriffe auf das Address Resolution Protocol (Arp).
Arp ist dafür zuständig, innerhalb eines Netzsegments IP-Adressen aufzulösen, indem es die Verbindung mit einer spezifischen Hardwarekennung (MAC-Adresse) und damit einem bestimmten Rechner herstellt. Mit Hilfe von Verfahren wie Arp-Spoofing und Arp-Poisoning kann ein Übeltäter erreichen, dass "fremde" Übertragungen immer über seinen eigenen PC geschickt werden. Dort kann er sie als "Man in the middle" einfach nur abhören oder aber verändern. Selbst verschlüsselte Daten sind dabei nicht vor Missbrauch sicher.
Derartigen widerrechtlichen Aktivitäten will die von ehemaligen Mitarbeitern der Fernuniversität Hagen gegründete Firma ISL mit Arp-Guard einen Riegel vorschieben. Das Tool wurde von dem Hersteller mit Spezialisten der Hochschule gemeinsam entwickelt und besteht aus mehreren Komponenten.
Netz von Sensoren
Neben den im Netz verteilten LAN-Sensoren zur Analyse von Arp-Meldungen gibt es eine zentrale Management-Konsole, auf der der von den Sensoren erfasste Netzverkehr ausgewertet wird. Die LAN-Sensoren können dabei entweder auf dedizierten PCs oder bereits vorhandenen Rechnern mitinstalliert werden. Sie sind jeweils in der Lage, bis zu acht LAN-Switches zu überwachen. Dazu benötigen sie eine Verbindung mit dem Spiegel-Port der Geräte.
Laut Hersteller besteht die Möglichkeit, vorhandene Netzkomponenten, die das Simple Network Management Protocol (SNMP) unterstützen, ebenfalls als Sensor zu verwenden. Pro Sensor sollen sich dann die Arp-Tabellen von Hunderten Routern verwalten lassen. Vor allem in größeren Unternehmen sei dies eine Möglichkeit, um Arp-Attacken kostengünstig und flächendeckend zu erkennen.
Als Minimalkonfiguration für die LAN-Sensoren empfiehlt ISL einen Pentium-III-PC mit 1 Gigahertz Taktrate, 128 MB RAM und 128 MB freiem Festplattenplatz sowie Suse Linux 8.2 oder Red Hat Linux 8.0 als Betriebssystem. Die zentrale Verwaltungskomponente benötigt einen Pentium III mit 1,8 Gigahertz, 256 MB RAM und 1 GB freien Festplattenspeicher. Außerdem wird in jedem Fall eine Netzanbindung vorausgesetzt. Die aktuelle Version von ArpGuard unterstützt Ethernet, Fast Ethernet und Gigabit Ethernet.
Angreifer werden identifiziert
Die Kommunikation zwischen den verteilten Sensoren und der Management-Station erfolgt über verschlüsselte IP-Verbindungen. Das zentrale Arp-Guard-System analysiert die eingehenden Meldungen. Laut ISL kann die Software, wenn sie einen Angriff erkennt, auch die IP-Adresse von dessen Urheber identifizieren.
Anwender können entscheiden, ob sie Arp-Guard selbst in ihrem Netz installieren und betreiben oder aber als Service von ISL (ASP-Modell) nutzen wollen. Unabhängig davon fällt in jedem Fall eine Gebühr an, deren Höhe von der Zahl der zu überwachenden IP-Adressen abhängt. Beim ASP-Modell wird im Unternehmen außer den Sensoren keine weitere Software installiert, die Auswertung erfolgt über eine Management-Konsole bei ISL. ISL verlangt bei diesem Ansatz monatliche Servicebeträge. (ave)
Abb: Kritischer Blick auf die eigenen Leute
Im Netz verteilte LAN-Sensoren überwachen sämtliche Arp-Meldungen. Die so erfassten Daten lassen sich über die zentrale Konsole auswerten. Quelle: ARP-Guard