Aufspüren von ARP-Spoofing-Angriffen
Ziel
Threat Defender kann ARP-Spoofing-Angriffe im Netzwerk erkennen und das Gerät isolieren, von dem der Angriff ausgeht.
Angreifer können manipulierte ARP-Nachrichten (Address Resolution Protocol) verwenden, um Datenverkehr auf ein anderes Gerät umzuleiten, z. B. auf den Computer des Angreifers. Die MAC-Adresse des Angreifers wird mit den IP-Adressen legitimer Geräte im Netzwerk verknüpft. Angreifer können dann die umgeleiteten Daten aufzeichnen oder manipulieren. Zum Beispiel können sie sehen, welche Domänen das Opfer aufruft oder eine herunterzuladende Datei durch einen Trojaner ersetzen.
ARP-Spoofing-Angriffe lassen sich durch Überwachen der Beziehungen zwischen IP- und MAC-Adressen aufspüren. Eine IP-Adresse kann immer nur einer MAC-Adresse zugeordnet sein. Wenn eine IP-Adresse innerhalb kurzer Zeit häufig ihre MAC-Adressbeziehung ändert, kann ein ARP-Spoofing-Angriff im Gang sein. Wenn mehrere IP-Adressen ihre MAC-Adressbeziehung auf dieselbe MAC-Adresse ändern, ist ein ARP-Spoofing-Angriff sehr wahrscheinlich.
Threat Defender kann mit zwei Event-Tracking-Tabellen und einem dynamischen Netzwerkobjekt dieses Verhalten erkennen und den ARP-Spoofing-Angriff unterbrechen.
Anlegen des Korrelationsszenarios
Navigieren Sie zunächst zu Policy > Advanced Correlation. Legen Sie ein Korrelationsszenario an, das den Rahmen für die benötigten Event-Tracking-Tabellen, das dynamische Netzwerkobjekt und den Regelsatz bildet.
Anlegen der Event-Tracking-Tabellen
Öffnen Sie im Korrelationsszenario den Reiter Event Tracking Tables. Erstellen Sie zwei Event-Tracking-Tabellen. Eine Tabelle speichert die MAC-Adressen pro IP-Adresse, die andere Tabelle speichert IP-Adressen pro MAC-Adresse.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Event-Tracking-Tabellen:
Name |
Retention Time |
Primary |
Max. Nein. Primary |
Secondary |
Max. Nein. Secondary |
---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
Bemerkung
Unter Maximum Number of Primary Attributes stellen Sie sicher, dass beide Tabellen groß genug für ihr Netzwerk sind.
Eine ausführliche Anleitung zur Erstellung einer Event-Tracking-Tabelle finden Sie unter Eine Event-Tracking-Tabelle erstellen.
Anlegen eines dynamischen Netzwerkobjekts
Erstellen Sie ein dynamisches Netzwerkobjekt im Korrelationsszenario. Es speichert die MAC-Adressen möglicher ARP-Spoofing-Geräte.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für das dynamische Netzwerkobjekt:
Name |
Network |
Size |
Timeout |
---|---|---|---|
|
|
|
|
Eine ausführliche Anleitung zur Erstellung eines dynamischen Netzwerkobjekts in einem Korrelationsszenario finden Sie unter Anlegen eines dynamischen Netzwerkobjekts.
Tipp
Ein Timeout von 0
bedeutet, dass die Einträge nicht automatisch entfernt werden.
Bemerkung
Wenn Ihr Netzwerk spezielle Konfigurationen enthält, z. B. einen Computer mit zwei Netzwerkkarten im selben Subnetz, definieren Sie Ausnahmen für diese Geräte, indem Sie ihre MAC-Adressen im dynamischen Netzwerkobjekt ausschließen.
Erstellen des Regelsatzes
Um IP-/MAC-Adressbeziehungen zu überwachen und Datenverkehr von möglichen Angreifern zu verwerfen, werden in diesem Korrelationsszenario die folgenden vier Regeln benötigt:
Regel 1 verwirft stillschweigend den Datenverkehr, der von Geräten im Netzwerkobjekt
ARP spoofing devices
ausgeht. So werden die identifizierten ARP-Spoofing-Geräte isoliert.Regel 2 trägt alle Client-IP- und MAC-Adressen in die Event-Tracking-Tabelle
ETT 1 - MACs per IP
ein.Regel 3 zählt die Einträge in der Event-Tracking-Tabelle
ETT 1 - MACs per IP
. Wenn einer IP-Adresse mehr als zwei MAC-Adressen zugeordnet sind, kann ein ARP-Spoofing-Angriff im Gang sein. Alle Clients mit mehr als einem Eintrag werden dann in die Event-Tracking-TabelleETT 2 - IPs per MAC
eingetragen.Regel 4 zählt die Einträge in der Event-Tracking-Tabelle
ETT 2 - IPs per MAC
, um das Gerät zu identifizieren, von dem der ARP-Spoofing-Angriff ausgeht. Wenn einer MAC-Adresse mehr als zwei IP-Adressen zugeordnet sind, wird sie zu dem dynamischen NetzwerkobjektARP spoofing devices
hinzugefügt. So wird die Quelle des ARP-Spoofing-Angriffs identifiziert und isoliert.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Source |
Destination |
Condition |
Actions |
---|---|---|---|---|
|
|
Final Action: Drop Traffic and Stop Processing |
||
|
|
Add to Event Tracking Table |
||
|
|
Advanced Correlation Condition: |
Add to Event Tracking Table |
|
|
|
Advanced Correlation Condition: |
Dynamic Network Object |
Eine ausführliche Anleitung zur Erstellung einer Regel in einem Korrelationsszenario finden Sie unter Anlegen von Regeln in einem Korrelationsszenario.
Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
Threat Defender überwacht die IP-/MAC-Adressbeziehungen aller Geräte im Netzwerk. Wenn Client-IP-Adressen mehr als zwei MAC-Adressen zugeordnet sind, kann ein ARP-Spoofing-Angriff im Gang sein. Es kann für dieses Verhalten jedoch auch andere Gründe geben.
Um zu bestätigen, ob ein ARP-Spoofing-Angriff durchgeführt wird, macht Threat Defender die Gegenprobe über die MAC/IP-Adressbeziehungen. Wenn mehrere IP-Adressen mit derselben MAC-Adresse verknüpft sind, bestätigt dies, dass ein ARP-Spoofing-Angriff stattfindet.
Der Verursacher des ARP-Spoofing-Angriffs wird identifiziert. Threat Defender fügt ihn zum dynamischen Netzwerkobjekt hinzu, um ihn zu isolieren. Datenverkehr von Hosts in diesem dynamischen Netzwerkobjekt wird blockiert. Durch diese Hosts durchgeführte ARP-Spoofing-Angriffe werden unterbrochen.
Bemerkung
Wenn der mutmaßliche ARP-Spoofing-Angriff unterbrochen ist, müssen Sie das dynamische Netzwerkobjekt leeren. Klicken Sie dazu auf RESET STATE im Korrelationsszenario.