ARP-Spoofing-Angriffe aufspüren
Ziel
Threat Defender kann ARP-Spoofing-Angriffe im Netzwerk erkennen und das Gerät isolieren, von dem der Angriff ausgeht.
Angreifer können manipulierte ARP-Nachrichten (Address Resolution Protocol) verwenden, um Datenverkehr auf ein anderes Gerät umzuleiten, z. B. auf den Computer des Angreifers. Die MAC-Adresse des Angreifers wird mit den IP-Adressen legitimer Geräte im Netzwerk verknüpft. Angreifer können dann die umgeleiteten Daten aufzeichnen oder manipulieren. Zum Beispiel können sie sehen, welche Domänen das Opfer aufruft oder eine herunterzuladende Datei durch einen Trojaner ersetzen.
ARP-Spoofing-Angriffe lassen sich durch Überwachen der Beziehungen zwischen IP- und MAC-Adressen aufspüren. Eine IP-Adresse kann immer nur einer MAC-Adresse zugeordnet sein. Wenn eine IP-Adresse innerhalb kurzer Zeit häufig ihre MAC-Adressbeziehung ändert, kann ein ARP-Spoofing-Angriff im Gang sein. Wenn mehrere IP-Adressen ihre MAC-Adressbeziehung auf dieselbe MAC-Adresse ändern, ist ein ARP-Spoofing-Angriff sehr wahrscheinlich.
Threat Defender kann mit zwei Event-Tracking-Tabellen und einem dynamischen Netzwerkobjekt dieses Verhalten erkennen und den ARP-Spoofing-Angriff unterbrechen.
Das Korrelationsszenario erstellen
Navigieren Sie zunächst zu Policy > Advanced Correlation. Legen Sie ein Korrelationsszenario an, das den Rahmen für die benötigten Event-Tracking-Tabellen, das dynamische Netzwerkobjekt und den Regelsatz bildet.
Die Event-Tracking-Tabellen erstellen
Öffnen Sie im Korrelationsszenario den Tab Event Tracking Tables. Erstellen Sie zwei Event-Tracking-Tabellen. Eine Tabelle speichert die MAC-Adressen pro IP-Adresse, die andere Tabelle speichert IP-Adressen pro MAC-Adresse.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Event-Tracking-Tabellen:
Name |
Retention Time |
Primary |
Max. Nein. Primary |
Secondary |
Max. Nein. Secondary |
|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
Bemerkung
Unter Maximum Number of Primary Attributes stellen Sie sicher, dass beide Tabellen groß genug für ihr Netzwerk sind.
Eine ausführliche Anleitung zur Erstellung einer Event-Tracking-Tabelle finden Sie unter Eine Event-Tracking-Tabelle erstellen.
Ein dynamisches Netzwerkobjekt erstellen
Erstellen Sie ein dynamisches Netzwerkobjekt im Korrelationsszenario. Es speichert die MAC-Adressen möglicher ARP-Spoofing-Geräte.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für das dynamische Netzwerkobjekt:
Name |
Network |
Size |
Timeout |
|---|---|---|---|
|
|
|
|
Eine ausführliche Anleitung zur Erstellung eines dynamischen Netzwerkobjekts in einem Korrelationsszenario finden Sie unter Ein dynamisches Netzwerkobjekt erstellen.
Tipp
Ein Timeout von 0 bedeutet, dass die Einträge nicht automatisch entfernt werden.
Bemerkung
Wenn Ihr Netzwerk spezielle Konfigurationen enthält, z. B. einen Computer mit zwei Netzwerkkarten im selben Subnetz, definieren Sie Ausnahmen für diese Geräte, indem Sie ihre MAC-Adressen im dynamischen Netzwerkobjekt ausschließen.
Den Regelsatz erstellen
Um IP-/MAC-Adressbeziehungen zu überwachen und Datenverkehr von möglichen Angreifern zu verwerfen, werden in diesem Korrelationsszenario die folgenden vier Regeln benötigt:
Regel 1 verwirft stillschweigend den Datenverkehr, der von Geräten im Netzwerkobjekt
ARP spoofing devicesausgeht. So werden die identifizierten ARP-Spoofing-Geräte isoliert.Regel 2 trägt alle Client-IP- und MAC-Adressen in die Event-Tracking-Tabelle
ETT 1 - MACs per IPein.Regel 3 zählt die Einträge in der Event-Tracking-Tabelle
ETT 1 - MACs per IP. Wenn einer IP-Adresse mehr als zwei MAC-Adressen zugeordnet sind, kann ein ARP-Spoofing-Angriff im Gang sein. Alle Clients mit mehr als einem Eintrag werden dann in die Event-Tracking-TabelleETT 2 - IPs per MACeingetragen.Regel 4 zählt die Einträge in der Event-Tracking-Tabelle
ETT 2 - IPs per MAC, um das Gerät zu identifizieren, von dem der ARP-Spoofing-Angriff ausgeht. Wenn einer MAC-Adresse mehr als zwei IP-Adressen zugeordnet sind, wird sie zu dem dynamischen NetzwerkobjektARP spoofing deviceshinzugefügt. So wird die Quelle des ARP-Spoofing-Angriffs identifiziert und isoliert.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Source |
Destination |
Condition |
Actions |
|---|---|---|---|---|
|
|
Final Action: Drop Traffic and Stop Processing |
||
|
|
Add to Event Tracking Table |
||
|
|
Advanced Correlation Condition: |
Add to Event Tracking Table |
|
|
|
Advanced Correlation Condition: |
Dynamic Network Object |
Eine ausführliche Anleitung zur Erstellung einer Regel in einem Korrelationsszenario finden Sie unter Regeln in einem Korrelationsszenario erstellen.
Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
Threat Defender überwacht die IP-/MAC-Adressbeziehungen aller Geräte im Netzwerk. Wenn Client-IP-Adressen mehr als zwei MAC-Adressen zugeordnet sind, kann ein ARP-Spoofing-Angriff im Gang sein. Es kann für dieses Verhalten jedoch auch andere Gründe geben.
Inhalt von ETT 1, der andeutet, dass ein ARP-Spoofing-Angriff stattfinden könnte.
Um zu bestätigen, ob ein ARP-Spoofing-Angriff durchgeführt wird, macht Threat Defender die Gegenprobe über die MAC/IP-Adressbeziehungen. Wenn mehrere IP-Adressen mit derselben MAC-Adresse verknüpft sind, bestätigt dies, dass ein ARP-Spoofing-Angriff stattfindet.
Inhalt von ETT 2, der die Quelle des ARP-Spoofing-Angriffs identifiziert.
Der Verursacher des ARP-Spoofing-Angriffs wird identifiziert. Threat Defender fügt ihn zum dynamischen Netzwerkobjekt hinzu, um ihn zu isolieren. Datenverkehr von Hosts in diesem dynamischen Netzwerkobjekt wird blockiert. Durch diese Hosts durchgeführte ARP-Spoofing-Angriffe werden unterbrochen.
Bemerkung
Wenn der mutmaßliche ARP-Spoofing-Angriff unterbrochen ist, müssen Sie das dynamische Netzwerkobjekt leeren. Klicken Sie dazu auf RESET STATE im Korrelationsszenario.