Ein Local Area Network (LAN) ist ein Computernetzwerk, das Rechnersysteme innerhalb eines begrenzten Bereichs wie z. B. Gebäude miteinander verbindet. Ethernet ist die mittlerweile gebräuchlichste Technologie, die für lokale Netzwerke verwendet wird und wird daher oft auch als Synonym verwendet. Kabelgebundene Netzwerke haben trotz der Verbreitung von kabellosen Alternativen nicht an Bedeutung verloren. Gerade im Unternehmensumfeld ermöglichen sie schnelle Datenübertragungen zu und zwischen Servern. Neben der Verbindung von Rechnersystemen gibt es eine große Anzahl von Komponenten mit einer LAN-Schnittstelle. Dazu gehören beispielsweise Multifunktionsgeräte, Netzwerkkameras, Produktionsanlagen, Hausautomatisierung und natürlich die Netzwerkgeräte selbst wie Hubs, Swichtes und Router.
Sobald ein Angreifer vor Ort ist und Zugriff auf das Netzwerk erlangt, ist es häufig sehr einfach, einen Zugriff auf andere Geräte innerhalb des Netzwerkes zu erhalten, da innerhalb eins lokalen Netzwerks den Teilnehmern häufig immer noch komplett vertraut wird. Gerade exponierte Geräte wie Überwachungskameras oder Drucker sind beliebte Ziele von Angreifern, da sie sich gewöhnlich in wenig frequentierten Bereichen befinden und gleichzeitig einfach zugänglich sind. Ein anderes Beispiel ist das Hausautomatisierungssystem, wo zum Beispiel ein Netzwerkkabel bis zur Klingel in den Außenbereich führt. Hier kann ein Angreifer die Netzwerkverbindung ausstecken und eine IT Security Hardware wie den Lan Tap Pro oder den Plunder Bug anschließen und so die gesamte Übertragung mitschneiden.
Lan Tap Pro
Mit dem LAN Tap Pro ist es möglich, Ethernet-Verbindungen abzuhören. Das Gerät ist ein passiver Ethernet-Tap, der für den Betrieb keinen Strom benötigt und zwischen eine Netzwerkverbindung platziert wird. Ein vorhandenes Kabel wird ausgesteckt und in den Lan Tap Pro eingesteckt, dieser wird dann mit einem weiteren Kabel mit der ursprünglichen Stelle verbunden. Damit leitet er nicht nur die Signale durch, sondern leitet die Verbindung über zwei weitere Ports aus. Diese können nur empfangen, aber nicht senden.
Weitere Informationen zum Throwing Star Lan Tap Pro gibt es im extra Blog-Artikel.
Plunder Bug
Der Plunder Bug von Hak5 ist ein LAN-Tap Gerät im Taschenformat. Neben dem passiven Mithören kann die Hardware auch als aktives Netzwerkgerät agieren. Er besitzt zwei RJ45 LAN-Schnittstellen und einen USB-C-Anschluss.
Nutzung
Um eine Analyse durchzuführen, wird das vorhandene Netzwerkkabel, zum Beispiel an einem Drucker, ausgesteckt und auf der einen Seite eingesteckt. Auf der anderen Seite wird ein neues LAN-Kabel auf der anderen Seite des Plunder Bug eingesteckt und mit dem Drucker verbunden. Mit einem USB-C-Kabel wird der Drucker mit einem Rechner verbunden. Dort wird er als zusätzliches Netzwerkgerät erkannt. Von modernen Betriebssystemen wird er automatisch erkannt. Falls nicht, sollten die Treiber installiert werden. Nun kann mit Wireshark oder Tcpdump der Netzwerkverkehr mitgeschnitten werden.
Standardmäßig arbeitet der USB-C-Anschluss des Plunder Bug als aktives Gerät. Es handelt sich daher theoretisch um einen kleinen Router mit einem USB-LAN-Adapter. Das bedeutet, dass er nicht nur den Datenverkehr zwischen den beiden RJ45-Ethernet-Ports empfangen kann, sondern auch als zusätzliches Gerät im Netzwerk fungiert. Dies ist nützlich für die gleichzeitige Durchführung aktiver Netzwerk-Scans (z.B. mit Nmap) bei gleichzeitigem passivem Sniffing von Paketen. Allerdings kann er dadurch auch detektiert werden. Um zwischen passiven (stummgeschalteten) und den standardmäßig aktiven (nicht stummgeschalteten) Modi umzuschalten, werden Scripte für verschiedene Betriebssysteme bereitgestellt.
Gegenmaßnahmen
Als erste Schutzmaßnahe helfen bauliche Maßnahmen, um den Zugriff zu beschränken. Dazu gehört zum Beispiel, dass es in öffentlich zugänglichen Bereichen keine Netzwerkgeräte gibt bzw. dass sie sich in abgeschlossenen Räumen befinden. Alternativ können spezielle Netzwerkstecker verwendet werden, die nur mit einem Schlüssel ausgesteckt werden können.
Auf der Verwaltungsebene können Netzwerke in unterschiedliche Segmente unterteilt werden, wodurch ein Angreifer keinen Komplettzugriff hat. Zusätzlich können Netzwerke auf unübliche Aktivitäten überwacht werden. Damit kann zum Beispiel der Verlust einer Netzwerkverbindung mit einem Angriff gleichgesetzt werden und so einen Angreifer erkennen und blockieren.
Als weiterer Schritt ist die Verschlüsselung des internen Netzwerkverkehrs eine weitere effektive Maßnahme. Selbst wenn ein Angreifer über die oben beschriebenen Maßnahmen ein LAN-Netzwerk ausspioniert, können keine Daten abgegriffen werden.
Artikelserie
Dieser Blogartikel ist Teil der Artikelserie Netzwerk Spionage, in der ich verschiedene Arten von Angriffsmethoden über die Netzwerkschnittstellen beschreibe, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen:
- Spionage von Bluetooth-Verbindungen
- LAN-Netzwerke ausspionieren
- LAN-Netzwerke infiltrieren
- WLAN-Verbindungen unterbrechen
- WLAN Man-in-the-Middle-Angriffe
- 12.11.2024 (Workshop) Hacking- und Pentest-Hardware Workshop, scheible.it, Böblingen (weitere Infos)