Was kann zum Beispiel gegen ARP basierende Attacken gemacht werden?

Mir ist zu diesem Thema ein sehr interessantes Projekt aufgefallen. ArpON ist der Name und bedeutet „ARP handler inspection“. Hierbei handelt es sich um einen Dienst, der ARP absichern soll, um MITM Man-in-the-Middle Angriffe durch ARP Spoofing/Poisioning basierende Angriffe zu vermeiden. Der Dienst erkennt und blockiert verschiedene Angriffe, wie DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking und SSL/TLS Hijacking Attacks.

Möglich gemacht wird dies mit drei verschiedenen Anti-ARP-Poisioning Techniken. Die erste Technik basiert auf SARPI oder auch statische ARP Inspektion in fest konfigurierten Netzwerken ohne DHCP mit fest vergebenen IP Adressen. Der zweite Ansatz basiert auf DARPI, der dynamischen ARP Inspektion in Netzwerken, die dynamisch mit DHCP automatisch konfiguriert werden. Die dritte Methode basiert auf HARPI. Diese Methode wird auch Hybrid ARP Inspection genannt und wird in „hybriden“ Netzwerken verwendet, die einmal teilweise mit DHCP automatisch konfiguriert werden und zudem statisch vergebene IP Adressen besitzen.

Die Methoden SARPI, DARPI und HARPI beschützen das Netzwerk vor uni- und bi-direktionalen mitsamt verteilten Angriffsszenarien. Bei dem Schutz vor unidirektionalen Angriffen ist es nötig ArpON auf dem Hostsystem installiert und aktiv zu haben, worauf sich der Angriff bezieht. Beim Szenario eines bidirektionalen Schutzes vor Angriffen muss ArpON auf beiden Hostsystemen installiert sein, die zueinander eine Verbindung aufgebaut haben. Der Schutz vor verteilten Angriffen auf die Hostsysteme muss ArpON auf allen Rechnern installiert sein, die sich in dem zu schützenden Netzwerk befinden. Alle Systeme, die nicht mit ArpON geschützt worden sind, können sich gegen einen Angreifer nicht zur Wehr setzen.

ArpON ist also eine hostbasierte Lösung, welche nicht das ARP Protokoll mit samt den Tücken verändert. Es setzt vielmehr einige praktische Techniken zum Schutz der Systeme vor ARP Angriffe ein, um die Erfolgchancen eines Angreifer in diesem Bereich entscheidend zu minimieren.

Alles weitere befindet sich hier: http://arpon.sourceforge.net/