Datenverteilung
|
Der eigentliche Angriffspunkt eines Sniffers besteht ja in der Eigenschaft des Hubs, die empfangenen Daten grundsätzlich an alle an ihm angeschlossene Rechner zu senden. Will man sichergehen, kann man anstelle von Hubs auch Switches oder auto-switching Hubs verwenden, welche die Daten im Gegensatz zu den meistens verwendeten Hubs die Daten auch wirklich nur an den Zielrechner weiterleiten. Diese Geräte sind jedoch auch dementsprechend teurer. Man kann aber auch nur wirklich gefährdete Systeme mittels Switches verbinden, wodurch jedoch im Endeffekt auch nicht alle Rechner vor Angriffen durch Sniffer geschützt sind. Hieraus wird ersichtlich, dass diese Vorbeugungsmöglichkeit zwar möglich ist, jedoch trotzdem gewisse Nachteile besitzt. |
Netzwerkkarte |
Eine einfachere und kostengünstige Variante ist es, die am LAN angeschlossenen Computer mit der richtigen Netzwerkkarte auszurüsten. Da ein Sniffer nur dann funktionieren kann, wenn sich die Netzwerkkarte im Promiscuous Mode befindet, scheint die entsprechende Lösung offensichtlich: Es sollten im LAN nur Netzwerkkarten verwendet werden, welche diesen Modus nicht zulassen. Anbieter, welche solche Karten noch in ihrem Sortiment haben könnten wären beispielsweise 3Com, IBM, Hewlett-Packard oder Intel |
IPv6 |
Schon bald wird sich die neue Version von TCP/IP durchsetzen, welches als IPv6 oder IPng bekannt ist. Dieses Protokoll beinhaltet auch IPsec, bei welchem die Daten auf Netzwerkebene verschlüsselt werden und nur vom wirklichen Zielrechner wieder entschlüsselt werden kann. Genauer soll hier jedoch nicht auf IPv6 eingegangen werden. Sobald dieses Protokoll jedoch den neuen Standart im Netz darstellen wird, gibt es keine Probleme mehr mit Sniffern. |
Kryptografie |
In Applikationen verwendete Verschlüsselung
ist wohl das wichtigste Mittel zum Schutz vor Sniffer-Attacken.
SSH: Im Endeffekt gibt es jedoch immer wieder Programme, welche zwar über das Netzwerk fungieren, jedoch keine Möglichkeit zur Verschlüsselung bieten. Erst wenn IPv6 zum Einsatz kommt, kann man von einer sicheren Übertragung ausgehen, da dort die Daten an sich bereits verschlüsselt übertragen werden und ein Sniffer somit nichts mit ihnen anfangen kann. |
Stationen-checken
|
Der Administrator kann auch die im LAN befindlichen Rechner auf entsprechende Netzwerkkarten im Promiscuous Mode oder verdächtigen Applikationen checken. Benutzt der Angreifer jedoch ein zwischengehängtes Notebook, welches er jeweils wieder mitnimmt, so ist diese Variante wohl eher weniger effektiv. Es mag also in kleineren, gut überschaubaren Netzen eine Möglichkeit darstellen, ist jedoch vorallem in grösseren Netzen zum einen sehr aufwendig und zum anderen nicht gerade eine sichere Garantie. |
Reaktionszeit |
Sendet man Daten an einen Rechner, dessen Netzwerkinterface sich im Promiscuous Mode befindet, so wird die Reaktionszeit länger dauern als normalerweise üblich. Es gibt Programme, welche Netzwerke auf ihre Reaktionszeit testen können. Dies wird auch verwendet, um etwa Schwachstellen in Bezug auf die Performance eines Netzwerkes zu testen. Testet man nun ein Netzwerk regelmässig auf die Reaktionszeit der einzelnen angeschlossenen Rechner, lässt sich so ein Rechner, welcher einen potentiellen Sniffer darstellt gut lokalisieren und dann lokal auf Sniffer überprüfen. |
Anti-Sniffer |
Es werden im Netz verschiedenste Programme zum Aufspüren von Sniffern angeboten. Jene Programme, welche den Rechner konktrollieren, auf welchen man gerade lokal zugreift, mögen zwar ihren Zweck erfüllen, doch sind sie kaum von grossem Nutzen. Es gibt jedoch auch Programme, welche feststellen sollen, ob ein anderer Rechner gerade snifft. Es gilt bei solchen Programmen, immer etwas skeptisch zu bleiben, da meist nur Bugs gewisser Netzwerkkarten oder Programme verwendet werden, um auf solche Attacken aufmerksam zu werden. |