| title | Schutz vor Man-in-the-Middle-Angriffe erhalten | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| hero | /images/posts/it-security/Man-in-the-Middle-Angriffe-abwehren.jpg | ||||||||
| description | Einfache Tipps und Tricks, wie du dich gegen Man in the middle-Attacken schützen kannst. | ||||||||
| menu |
|
||||||||
| date | 2021-01-27 | ||||||||
| categories |
|
||||||||
| tags |
|
In meinem letzten Beitrag - Man in the Middle Angriffe verstehen - habe ich euch erklärt, was es mit Man-in-the-Middle-Angriffe auf sich und was damit genau gemeint ist. Daher möchte ich euch in diesem Beitrag Tipps und Tricks mit an die Hand geben, die helfen sollen, euch vor solchen Angriffen zu schützen.
Zu den hier vorgestellten Schutzmaßnahmen ist anzumerken, dass diese Maßnahmen nicht komplett von euch im Einzelnen umzusetzen sind, da es hier natürlich auf die von euch genutzte Infrastruktur ankommt. Soll heißen, ob ihr zum Beispiel eine eigene Domäne eurer eigen nennen könnt beziehungsweise, welche Hardware-Komponenten ihr in eurem Netzwerk einsetzt.
Generell kann ich euch nur den Rat geben, dass ihr ein paar Euro in die Hand nimmt und euch so ein paar Komponenten zulegt, um euer Netzwerk nicht nur vor Man-in-the-Middle-Angriffe, sondern auch vor anderer Art von Bedrohungen zu schützen.
Eine Liste mit Komponenten, die ihr euch vielleicht anschaffen solltet, habe ich euch am Ende von diesem Artikel aufgelistet.
Auch wenn es sich bei manchen dieser Links um Affiliate-Links handelt, so dienen diese nicht dazu, mich mithilfe einer Provision durch von euch gekaufter Produkte zu bereichern (für euch ändert sich eh nichts am Verkaufspreis und ihr unterstützt damit diesen Blog), sondern spiegeln diese eine klare Empfehlung meinerseits, als einen zusätzlichen Schutz vor Attacken da.
Ich empfehle nur das, was ich in gleicher oder aber in ähnlicher Form selbst nutze!
- Austausch der Standard Benutzerdaten durch sichere Passwörter
- Physischen Zugang zu Netzwerk-Komponenten erschweren (abschließbarer Raum oder Netzwerkschrank)
- Mechanische Verriegelung von Ports
- Antivirus-Schutz
- Einrichten einer Gerätesperre für Mobile-Devices
- Richtig konfigurierte Firewall
- Richtig konfigurierte managend-Switch
- Patchmanagement für Endpoints und Server und aktive Netzwerk-Komponenten
- Rechte-Freigaben so viel wie nötig und so wenig wie möglich
- Keine Nutzung von Standard-Passwörter
- Nur wirklich nötige Serverdienste und Dienste im Allgemeinen freigeben oder zur Verfügung stellen
- Nicht genutzte USB-Ports schützen
- Mechanische Verriegelung von Ports
- Zugangskontrolle wo möglich
- Austausch von unmanaged Switch gegen managend Switch
- Unterteilung des Netzwerks in einzelne virtuelle Subnetworks (VLANs)
- Einsatz von Dynamic-ARP-Inspection gegen MAC-Flooding und ARP-Poisoing
- Bindung der Ports an spezifische MAC-Adressen
- Abschalten nicht benötigter Switch-Ports
- Statische ARP-Eintrag für das Standard-Gateway setzen
- Blockieren von Protokoll ICMP-Typ 5 Redirect-Nachrichten
- DNSSEC einrichten
- Absicherung des Netzwerkverkehrs durch verschlüsselte Verbindungen
- Nutzung von Authentifizierung (Radius-Server, Active-Directory, etc.)
- Zertifikatsfehler nicht einfach ignorieren und bedenkenlos akzeptieren
- Nur öffentliche auflösbaren Top Level Domain-Namen für die interne Domänen nutzen, da sonst keine Zertifikate für interne Domänen ausgestellt werden können, die durch eine öffentliche Zertifizierungsstelle zertifiziert sind und diese somit immer beim Aufruf einer internen https-Domain einen Zertifikatsfehler anzeigen.
In dieser Liste (* Affiliate-Links - damit unterstützt ihr diesen Blog), habe ich euch mal eine Aufzählung von Komponenten aufgeführt, die ich selbst im Einsatz habe und somit auch für nützlich erachte.
Natürlich muss das jeder für sich selbst entscheiden und seinen eigenen Erfordernissen entsprechend anpassen! Damit möchte ich mitteilen, dass sicherlich nicht jeder 19" Zoll-Komponenten bei sich im Netzwerk einsetzt oder aber für manche Dinge nicht so viel Geld bereitstellen möchte.
- Mechanische Sicherung, um offene RJ45-Ports an Netzwerk-Komponenten vor unbefugtes Anstecken von Netzwerkkabel zu schützen.
- Mechanische Sicherung, um offene USB-Ports vor unbefugte Nutzung zu schützen
WICHTIG !!!
Ein absolutes Muss vor der Nutzung manipulierter USB-Sticks und modifizierter Ladekabel von mobilen Endgeräten zu schützen. Die Nutzung solcher Sticks und Kabel, ist der häufigste Angriffsweg, um Zugriff zu einem Netzwerk zu erhalten!!!
Persönlich habe ich diesen Netzwerkschrank mit 600mm Tiefe und 16HE im Einsatz und bin damit sehr zufrieden, da der Hersteller auch viel Zubehör hierfür anbietet.
Bei diesem Switch gibt es im Gegensatz zu Switches von z.B.Ubiquiti, super Konfigurations-Möglichkeiten, um sicherheitsrelevante Einstellung gegen die oben vorgestellten Angriffs-Szenarien zu konfigurieren. Weiterhin habt ihr auch die Möglichkeit, diesen Switch auch standalone zu betreiben und somit ohne SDN zu nutzen.
Diesen Switch gibt es auch noch in einer günstigeren Variante ohne POE-Unterstützung.
Sind nicht erforderlich!!! Sondern sollen nur einen Einblick geben, welche Netzwerk-Komponenten ich zur Zeit, nutze, da ich das des Öfteren gefragt werde.
Diese Access-Points habe ich in meinem ganzen Haus sowie im Außenbereich eingesetzt. Als Unifi-Controller läuft bei mir als virtuelle Maschine auf meinen Proxmox-Server.
Klasse finde ich bei diesen Access-Points, dass diese auch im Außenberiech verbaut werden können und so eine günstige Alternative, für die doch meist teureren AC anderer Hersteller sind, die vergleichbare Ausstattung anbieten.
Weiterhin ist der Support mit neuer und aktueller Firmware bisher wirklich super.
Bevor diese Access-Points den Weg zur mir gefunden haben, hatte ich Access-Points der Firma Sophos im Einsatz. Doch waren diese zu einem durch die proprietäre Nutzung (nur verwendbar mit Sophos Firewall-Produkten) ein Dorn im Auge und für meine Einsatzvorgaben (u.a. Einsatz im Außenbereich) einfach zu teuer.c
Der Einsatz einer Hardware-Firewall ist für mich ein ganz klares "ja muss sein".
Für alle die Smart Home, KNX, HomeOffice einsetzen und den Sicherheitsaspekt wirklich ernst nehmen, führt an dieser Komponente kein Weg dran vorbei.
Auch ich sitze in einem "smarten Home", doch ist bei mir alles schön fein netzwerktechnisch getrennt und ich kann Dienste mit Heimweh zu ihrem Hersteller,8iiiiiiiiii ihre Verbindung kappen.
In meiner beratenen beruflichen Tätigkeit unter anderem für größere Projekte in der Baubranche (Elektrotechnik), habe ich technische Elektro-Installationen mithilfe von KNX gesehen, die sich ungesichert und im gleichen Netzwerk wie die IT-Infrastruktur befunden haben und sich so jeder Angreifer Zugang zur Gebäudesteuerung hätte / hat verschaffen können.
Persönlich nutze ich die unten verlinkte Hardware und als Firewall-Distro nutze ich scon seit Jahren OPNsense.
Wie ihr lesen konntet, gibt es eine Menge an Möglichkeiten, sich eine Schutz Man-in-the-Middle-Angriffe aufzubauen.
Mit diesen Tipps und Tricks seid ihr und euer Netzwerk schon gut und nicht nur vor Sniffing und Man-in-the-Middle-Attacken, sondern auch vor anderen Angriffen auf euer Netzwerk geschützt.
Diese Maßnahmenliste ist schon ziemlich ausführlich aber noch nicht das Ende der Fahnenstange, doch würde andere Maßnahmen schon weitreichende Kenntnisse im Bezug zur IT-Netzwerk / Sicherheit erfordern und ich daher bewusst darauf verzichtet habe, da diese Tipps in meinen Augen vollkommen für den Hausgebrauch sowie in den meisten Firmen ausreichend sind.
Wie immer, würde ich mich sehr über Feedback von euch freuen!