Risiko Netzwerk – Teil 3: Das Vortäuschen falscher Tatsachen

Wie auch im echten Leben gibt es auch im Netz unterschiedlichste Möglichkeiten, unter falscher Flagge zu agieren und so den Gegner oder das System zu täuschen. Im Netzwerk-Bereich nennt sich diese Methodik der virtuellen Kriegsführung Spoofing.

Der Laie wird nur in seltensten Fällen davon etwas mitbekommen, da der Eindringling meist unentdeckt unter falscher Identität agiert.


Spoofing bedeutet das Erschleichen von Vertrauen unter Vorgabe einer falschen Identität. In der IT unterscheidet man zwischen unterschiedlichen Spoofing-Arten, da sich mittlerweile einige Techniken herauskristallisiert haben, mit denen nahezu unbemerkt Identitäten vorgetäuscht werden können:

Spoofing-Art Bedeutung Maßnahme
IP-Spoofing Vorgabe einer falschen IP-Adresse Paketfilter-Firewall einrichten
DNS-Spoofing Vergabe einer falschen IP-Namenszuordnung ins DNS-Kommunikationssystem, Cache pollution digitale Signaturen beim Austausch von DNS-Einträgen einführen
ARP-Spoofing Einstreuen einer falschen Zuordnung von IP- und MAC-Adresse in ARP-Cache von Netzwerkknotenpunkten Verwendung von statischen ARP-Tabellen auf Routern, Switchen und Firewalls
RIP-Spoofing Setzen falscher/anderer Routingeinträge und Umleiten der Daten Angabe von Kernelparametern zur Unterbindung dessen
Web-Spoofing URL-Rewriting, man-in-the-middle-Angriff Stetige Prüfung von Zertifikaten und der Vertrauenswürdigkeit verschlüsselter Verbindungen

    Exkurs in die Geschichte der Netzkriminalität

Der bekannteste Fall in Bezug auf Spoofing ist wohl der Angriff von Kevin Mitnick, der 1994 auf das Netz des Sicherheitsexperten Tsutomu Shimumura stattfand. Kevin Mitnick begann seinen Angriff mit mehreren Verbindungsanfragen an den rlogin Port des Servers seines Opfers, diese Anfragen besaßen allerdings gefälschte interne IP-Adressen. Aufgrund dieser Last brach der Server zusammen. Nachdem Kevin Mitnick die TCP-Sequenznummerngenerierung analysiert hatte, konnte er unter Vorgabe der Identität des zusammengebrochenen Servers eine TCP-Verbindung aufbauen und den Zugang für zukünftige Angriffe weiter öffnen.
Kevin Mitnick wurde verhaftet, bekam im Jahr 1999 eine Haftstrafe von 4 Jahren, saß aber zu diesem Zeitpunkt bereits mehrere Jahre in Untersuchungshaft. Im Januar 2000 wurde er mit der Auflage entlassen, dass er drei Jahre lang (also bis Januar 2003) weder Computer noch Mobiltelefon oder ähnliche Gerätschaften benutzen durfte.

Spoofing ist ein essenzieller Bestandteil der meisten Einbruchsversuche in Netzwerke. Durch die Angabe einer falschen Identität können fremde Verbindungen entführt (auch Hijacking genannt) oder beendet werden, und das Nachvollziehen eines Einbruchs / Einbruchversuchs gestaltet sich äußerst schwierig. Umso wichtiger ist es, mit offenen Augen durch die Welt zu gehen. Ein fremder PC an einer Netzwerkdose in einem Unternehmen kann schon ein eindeutiger Hinweis darauf sein, dass etwas im Netzwerk nicht mit rechten Dingen zugeht. Aus diesem Grunde sollte man grundsätzlich

  • Gästen nur in einer vom restlichen Netzwerk getrennten Zone in einem eigenen Netzwerk Zugang zum WLAN gewähren, im besten Fall mit HTML-Authentifizierung und temporär gültigen Internet-Zugangsdaten, wie sie aus Hotels bekannt ist, aber leider noch viel zu wenig verbreitet ist
  • Einen aktuellen Verschlüsselungsstandard im WLAN verwenden und Kennwörter so wenigen Personen wie möglich mitteilen
  • Für sicherheitsrelevanten Datenaustausch grundsätzlich verschlüsselte/digital signierte Verbindungen nutzen (und diese fortwährend auf ihre Echtheit prüfen)
  • Alle ungenutzten Netzwerkports an Switchen, Routern und Servern softwareseitig deaktivieren oder mindestens mit Optionen wie port-security ausstatten
  • Zutritt zu zentralen und dezentralen Netzwerkkomponenten auf einen möglichst kleinen Personenkreis beschränken und ausschließlich mit digitaler ID-Karte oder einem userbasierten NFC-Zugang zugänglich machen
  • Gäste, Kunden und Fremde grundsätzlich nur gegen Vorlage eines Ausweises und Angabe einer Besuchsperson in das Gebäude lassen
  • Zertifikate auf Aktualität prüfen und potentielle Gefahren in der Administration der Firewall für den Zugriff der Mitarbeiter sperren
  • Antiviren- und Malware-Programme/Appliances stets aktuell halten und ggf. bei EOL das Gerät gegen ein neueres ersetzen
  • Von Schädlingen befallene Systeme zeitnah vom Netz nehmen und nach Möglichkeit vollständig neuinstallieren, um einen erneuten Befall aus „Restbeständen“ oder eine stille Weiterverbreitung der Schädlinge auszuschließen
  • Personal schulen – denn nur, wer um mögliche Gefahren weiß, kann darauf achten, sich nicht selbst unbewusst in Gefahr zu begeben
Natürlich sind dies nur einige Anhaltspunkte, die die Sicherheit in Unternehmen und leicht abgewandelt auch im Privatbereich erheblich erhöhen und es Angreifern grundsätzlich erschweren, an Daten heranzukommen, die nicht für die Öffentlichkeit bestimmt sind. Eine hundertprozentige Garantie, dass man sich auf der sicheren Seite sein kann, dass niemand mitliest, wird niemand geben können, da es immer wieder Leute gibt, die als Antwort auf eine höhere Mauer höhere Leitern bauen und sie so dennoch erklimmen.
Welche Sicherheitsmaßnahmen sollten aus Eurer Sicht ebenfalls getroffen werden, um Spoofing zu verhindern oder zumindest einzudämmen? Schreibt´s in die Kommentare!
– nugaxstruxi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.