Bericht vom Treffen der Lugrav am 26.03.2015 - Sicherheitsl�cken von billigen Switches

So M�r 29 18:50:14 CEST 2015

Hallo,

wer braucht sie nicht, diese kleinen Switches, die fuer wenig Geld ueber den Ladentisch 
gehen. Sie verf�gen �ber eine Handvoll Ports und sind nicht managebar.

Dass solche Switches Sicherheitsluecken auf Layer 2 des Ethernets oeffnen, verkennt man 
leicht.

Das Treffen der Lugrav am 26.03.2015 zeigte, wie man sich gegen Angriffe wehren kann. 

Zu nenen sind Denail-of-Service- und Man-in-the-Middle-Angriffe, die auf dem altbekannten 
ARP-Spooffing (auch als ARP-Poisioning bezeichnet) oder auf dem weniger bekannten Port-
Stealing beruhen. 

Port-Stealing richtet sich direkt gegen Billig-Switches (und mangelhaft administrierte 
Profi-Switches). Konstruktionsbedingt ist Port-Stealing bei Billig-Switches nicht zu 
verhindern.

Man-in-the-Middle-Angriffe sind besonders gefaehrlich, obowohl sie "nur" auf Layer 2 
stattfinden. Denn sie k�nnen mittelbar alle h�heren Layer kompromittieren. Nach einem 
erfolgreichen Man-in-the-Middle-Angriff kann der Netzwerkverkehr des Opfers mitgelesen, 
unterbrochen oder gar manipuliert werden. 

Im Fall des Port-Stealing hat das Opfer kaum eine Chance, den Angriff zu bemerken.

Deshalb ist weitere Vorsorge noetig.

Zur Sprache kam, in welchen Netzwerk-Segementen diese Angriffe m�glich sind, welche 
Luecken im ARP-Protokoll dabei ausgenutzt werden und worauf die konstruktiven Schwaechen 
von Billig-Switches zurueckzufuehren sind. 

Moegliche Verteidigungsma�nahmen wurden vorgestellt und nach ihrer Wirksamkeit hin sortiert.

In erster Linie geht es darum, Angriffe zu verhindern oder zu unterbrechen. Ist das nicht 
moeglich, gilt es, moegliche Schaeden zu begrenzen und zuletzt darum, solche Angriffe 
wenigstens erkennen zu koennen.

Welche Konsequenzen sich den Nutzern der Spielwiese der Lugrav, der virtuellen Netzwerk-
Simulation zur Erprobung von Serverdiensten, stellen, ist eingehend eroertert worden. 
Nun steht dem Einsatz der Spielwiese in der neuen Version nichts mehr entgegen.

Anschlie�end klang das Treffen in einen lebhaften Kloen aus.

pv:)