- Rogue DHCP
-
Ein rogue DHCP-Server stört den Betrieb eines mittels DHCP verwalteten lokalen Netzwerks. Er agiert als eigenständiger Server, der neben dem im Netzwerk vorgesehen Server existiert. Ein rogue DHCP-Server kann für Angriffe auf ein Netzwerk eingesetzt werden oder Ergebnis einer Fehlkonfiguration sein.
Arbeitsweise
Um Netzwerkzugriff zu erhalten stellt ein Client die Anfrage zur Zuweisung einer IP-Adresse an den DHCP-Server, indem er einen Broadcast im lokalen Netzwerk verschickt, den alle Netzwerkteilnehmer erhalten. Auf diese Nachricht antwortet nur der DHCP-Server und überträgt die für den weiteren Netzwerkzugriff notwendigen Daten. Nun versucht der rogue DHCP-Server mit seiner Antwort schneller als der reguläre Server zu sein und übermittelt entweder manipulierte oder schlicht unbrauchbare Parameter.
Im harmlosen Fall kann man mit dieser Technik leicht ein Firmennetzwerk „lahm legen“. Dazu reicht es beispielsweise, keinen Gateway (Computer) zu übermitteln, oder jedem Client wird ein eigenes Subnetz zugewiesen und somit die Verbindung weitestgehend eingeschränkt. Für die Netzwerksicherheit weit drastischere Auswirkungen hat das gezielte Umlenken des Datenverkehrs, indem man DHCP-Optionen wie DNS-Server oder Gateway übermittelt und dabei beispielsweise einen Router einschleust, der den Datenverkehr des Clients von da ab mitschneidet oder einen Janusangriff vorbereitet.
Gegenmaßnahme
Um solche Server im Netzwerk aufzuspüren, liefert das ResourceKit von Microsoft ein Tool namens „DHCPloc“ mit. So kann man Server identifizieren, jedoch nicht ausschalten. Eine Methode von Cisco-Switches ist die Funktion „DHCP Snooping“, die das Weiterleiten gefälschter DHCP-Pakete verhindert. Dieses Feature sollte jedoch nur eingesetzt werden, wenn Clients direkt angeschlossen sind, da der gesamte Port gesperrt wird, wenn ein Angriff stattfindet.
Weblinks
Kategorien:- Sicherheitslücke
- Netzwerkprotokoll auf Anwendungsschicht
Wikimedia Foundation.