Tobias Scheible Cyber Security & IT-Forensik Dozent

LAN-Netzwerke ausspionieren

LAN-Netzwerke sind das Bindeglied unserer modernen IT-Infrastruktur. Dadurch, dass sie überall verbaut sind, können sie zum Teil auch einfach von Angreifern vor Ort angezapft werden. Mit entsprechender Hardware kann der Traffic ausgeleitet und analysiert werden.

Freitag, 17. Juli 2020
0 Kommentare

Ein Local Area Network (LAN) ist ein Computernetzwerk, das Rechnersysteme innerhalb eines begrenzten Bereichs wie z. B. Gebäude miteinander verbindet. Ethernet ist die mittlerweile gebräuchlichste Technologie, die für lokale Netzwerke verwendet wird und wird daher oft auch als Synonym verwendet. Kabelgebundene Netzwerke haben trotz der Verbreitung von kabellosen Alternativen nicht an Bedeutung verloren. Gerade im Unternehmensumfeld ermöglichen sie schnelle Datenübertragungen zu und zwischen Servern. Neben der Verbindung von Rechnersystemen gibt es eine große Anzahl von Komponenten mit einer LAN-Schnittstelle. Dazu gehören beispielsweise Multifunktionsgeräte, Netzwerkkameras, Produktionsanlagen, Hausautomatisierung und natürlich die Netzwerkgeräte selbst wie Hubs, Swichtes und Router.

Angriffsarten

Sobald ein Angreifer vor Ort ist und Zugriff auf das Netzwerk erlangt, ist es häufig sehr einfach, einen Zugriff auf andere Geräte innerhalb des Netzwerkes zu erhalten, da innerhalb eins lokalen Netzwerks den Teilnehmern häufig immer noch komplett vertraut wird. Gerade exponierte Geräte wie Überwachungskameras oder Drucker sind beliebte Ziele von Angreifern, da sie sich gewöhnlich in wenig frequentierten Bereichen befinden und gleichzeitig einfach zugänglich sind. Ein anderes Beispiel ist das Hausautomatisierungssystem, wo zum Beispiel ein Netzwerkkabel bis zur Klingel in den Außenbereich führt. Hier kann ein Angreifer die Netzwerkverbindung ausstecken und eine IT Security Hardware wie den Lan Tap Pro oder den Plunder Bug anschließen und so die gesamte Übertragung mitschneiden.

Lan Tap Pro

Mit dem LAN Tap Pro ist es möglich, Ethernet-Verbindungen abzuhören. Das Gerät ist ein passiver Ethernet-Tap, der für den Betrieb keinen Strom benötigt und zwischen eine Netzwerkverbindung platziert wird. Ein vorhandenes Kabel wird ausgesteckt und in den Lan Tap Pro eingesteckt, dieser wird dann mit einem weiteren Kabel mit der ursprünglichen Stelle verbunden. Damit leitet er nicht nur die Signale durch, sondern leitet die Verbindung über zwei weitere Ports aus. Diese können nur empfangen, aber nicht senden.

Throwing Star LAN Tap Pro
Throwing Star LAN Tap Pro
Throwing Star LAN Tap Pro Throwing Star LAN Tap Pro

Der LAN Tap wurde entwickelt, um 10 MBit/s und 100 MBit/s Netzwerke zu überwachen. Es ist nicht möglich, 1 Gbit/s Netzwerke zu belauschen. Daher wurde er so konzeptioniert, dass er bewusst die Qualität von 1 GBit/s Netzwerke verschlechtert und sie so zwingt, eine niedrigere Geschwindigkeit zu wählen. Dies ist der Zweck der beiden Kondensatoren (C1 und C2) im Inneren des Gehäuses.

Nutzung

Um ein LAN-Netzwerk mit dem Lan Tap Pro abzuhören, muss die Hardware wie oben beschrieben angeschlossen werden. Einer der beiden Ausgänge wird mit einem Netzwerkkabel mit einem Kali Linux Notebook verbunden. Als Erstes muss der promisc Modus der Netzwerkschnittstelle aktiviert werden, damit alle Netzwerkpakete an den Linux-Kernel weitergereicht werden. Dies geschieht mit dem folgenden Befehl, vorausgesetzt die Netzwerkschnittstelle ist das Interface eth1:

# ip link set eth1 promisc on
Tcpdump

Die eigentliche Aufzeichnung erfolgt mit dem Tool Tcpdump. Sollte es noch nicht installiert sein, kann es mit dem folgenden Aufruf installiert werden:

# sudo apt-get install tcpdump

Anschließend kann Tcpdump gestartet werden. Standardmäßig führt tcpdump die Reverse-DNS-Auflösung von IP-Adressen durch und übersetzt Portnummern in Namen. Verwenden Sie die Option -n, um die Übersetzung zu deaktivieren. Mit der Option -i wird das zu nutzende Netzwerkinterface konfiguriert. Das Ergebnis speichern wir in der Datei network.out.

# sudo tcpdump -n -i eth1 > netwrok.out

Damit wird der gesamte Netzwerkverkehr mitprotokolliert und kann anschließend analysiert werden.

Plunder Bug

Der Plunder Bug von Hak5 ist ein LAN-Tap Gerät im Taschenformat. Neben dem passiven Mithören kann die Hardware auch als aktives Netzwerkgerät agieren. Er besitzt zwei RJ45 LAN-Schnittstellen und einen USB-C-Anschluss.

Plunder Bug Hardware
LAN-Tap Plunder Bug von Hak5 mit aktiven Funktionen
Plunder Bug von Hak5 LAN-Tap Plunder Bug von Hak5 mit aktiven Funktionen

Nutzung

Anschlüsse

Um eine Analyse durchzuführen, wird das vorhandene Netzwerkkabel, zum Beispiel an einem Drucker, ausgesteckt und auf der einen Seite eingesteckt. Auf der anderen Seite wird ein neues LAN-Kabel auf der anderen Seite des Plunder Bug eingesteckt und mit dem Drucker verbunden. Mit einem USB-C-Kabel wird der Drucker mit einem Rechner verbunden. Dort wird er als zusätzliches Netzwerkgerät erkannt. Von modernen Betriebssystemen wird er automatisch erkannt. Falls nicht, sollten die Treiber installiert werden. Nun kann mit Wireshark oder Tcpdump der Netzwerkverkehr mitgeschnitten werden.

Modi

Standardmäßig arbeitet der USB-C-Anschluss des Plunder Bug als aktives Gerät. Es handelt sich daher theoretisch um einen kleinen Router mit einem USB-LAN-Adapter. Das bedeutet, dass er nicht nur den Datenverkehr zwischen den beiden RJ45-Ethernet-Ports empfangen kann, sondern auch als zusätzliches Gerät im Netzwerk fungiert. Dies ist nützlich für die gleichzeitige Durchführung aktiver Netzwerk-Scans (z.B. mit Nmap) bei gleichzeitigem passivem Sniffing von Paketen. Allerdings kann er dadurch auch detektiert werden. Um zwischen passiven (stummgeschalteten) und den standardmäßig aktiven (nicht stummgeschalteten) Modi umzuschalten, werden Scripte für verschiedene Betriebssysteme bereitgestellt.

Gegenmaßnahmen

Als erste Schutzmaßnahe helfen bauliche Maßnahmen, um den Zugriff zu beschränken. Dazu gehört zum Beispiel, dass es in öffentlich zugänglichen Bereichen keine Netzwerkgeräte gibt bzw. dass sie sich in abgeschlossenen Räumen befinden. Alternativ können spezielle Netzwerkstecker verwendet werden, die nur mit einem Schlüssel ausgesteckt werden können.

Segmentierung

Auf der Verwaltungsebene können Netzwerke in unterschiedliche Segmente unterteilt werden, wodurch ein Angreifer keinen Komplettzugriff hat. Zusätzlich können Netzwerke auf unübliche Aktivitäten überwacht werden. Damit kann zum Beispiel der Verlust einer Netzwerkverbindung mit einem Angriff gleichgesetzt werden und so einen Angreifer erkennen und blockieren.

Verschlüsselung

Als weiterer Schritt ist die Verschlüsselung des internen Netzwerkverkehrs eine weitere effektive Maßnahme. Selbst wenn ein Angreifer über die oben beschriebenen Maßnahmen ein LAN-Netzwerk ausspioniert, können keine Daten abgegriffen werden.

Artikelserie

Dieser Blogartikel ist Teil der Artikelserie Netzwerk Spionage, in der ich verschiedene Arten von Angriffsmethoden über die Netzwerkschnittstellen beschreibe, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen:

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.