5/5 (3) Jetzt Schutz vor Man-in-the-Middle-Angriffe erhalten 2021

Schutz vor Man-in-the-Middle-Angriffe

In meinem letzten Beitrag – Man in the Middle Angriffe verstehen – habe ich euch erklärt, was es mit Man-in-the-Middle-Angriffe auf sich und was damit genau gemeint ist. Daher möchte ich euch in diesem Beitrag Tipps und Tricks mit an die Hand geben, die helfen sollen, euch vor solchen Angriffen zu schützen.

Zu den hier vorgestellten Schutzmaßnahmen ist anzumerken, dass diese Maßnahmen nicht komplett von euch im Einzelnen umzusetzen sind, da es hier natürlich auf die von euch genutzte Infrastruktur ankommt. Soll heißen, ob ihr zum Beispiel eine eigene Domäne eurer eigen nennen könnt beziehungsweise, welche Hardware-Komponenten ihr in eurem Netzwerk einsetzt.

Generell kann ich euch nur den Rat geben, dass ihr ein paar Euro in die Hand nimmt und euch so ein paar Komponenten zulegt, um euer Netzwerk nicht nur vor Man-in-the-Middle-Angriffe, sondern auch vor anderer Art von Bedrohungen zu schützen.

Eine Liste mit Komponenten, die ihr euch vielleicht anschaffen solltet, habe ich euch am Ende von diesem Artikel aufgelistet.

Auch wenn es sich bei manchen dieser Links um Affiliate-Links handelt, so dienen diese nicht dazu, mich mithilfe einer Provision durch von euch gekaufter Produkte zu bereichern (für euch ändert sich eh nichts am Verkaufspreis und ihr unterstützt damit diesen Blog), sondern spiegeln diese eine klare Empfehlung meinerseits, als einen zusätzlichen Schutz vor Attacken da.

Ich empfehle nur das, was ich in gleicher oder aber in ähnlicher Form selbst nutze!

Schutz vor Man-in-the-Middle-Angriffe | Schutzmaßnahmen

Schutz vor Man-in-the-Middle-Angriffe
Schutz vor Man-in-the-Middle-Angriffe

Schutz aktiver Netzwerk-Komponenten (Firewall, Switch, etc.)

Zugangskontrolle für Komponenten

  • Austausch der Standard Benutzerdaten durch sichere Passwörter
  • Physischen Zugang zu Netzwerk-Komponenten erschweren (abschließbarer Raum oder Netzwerkschrank)
  • Mechanische Verriegelung von Ports

Schutz von Endpoints wie PC, Mobile Device, etc.

  • Antivirus-Schutz
  • Einrichten einer Gerätesperre für Mobile-Devices
  • Richtig konfigurierte Firewall
  • Richtig konfigurierte managend-Switch
  • Patchmanagement für Endpoints und Server und aktive Netzwerk-Komponenten
  • Rechte-Freigaben so viel wie nötig und so wenig wie möglich
  • Keine Nutzung von Standard-Passwörter
  • Nur wirklich nötige Serverdienste und Dienste im Allgemeinen freigeben oder zur Verfügung stellen
  • Nicht genutzte USB-Ports schützen

Schutz für passive Netzwerk-Komponenten

  • Mechanische Verriegelung von Ports
  • Zugangskontrolle wo möglich

Zusätzlich erweiterter Schutz vor Man-in-the-Middle-Attacken

Schutz vor Attacken auf Switches

  • Austausch von unmanaged Switch gegen managend Switch
  • Unterteilung des Netzwerks in einzelne virtuelle Subnetworks (VLANs)
  • Einsatz von Dynamic-ARP-Inspection gegen MAC-Flooding und ARP-Poisoing
  • Bindung der Ports an spezifische MAC-Adressen
  • Abschalten nicht benötigter Switch-Ports

Absicherung von Endpoints

  • Statische ARP-Eintrag für das Standard-Gateway setzen

Firewall-Konfiguration

  • Blockieren von Protokoll ICMP-Typ 5 Redirect-Nachrichten
  • DNSSec einrichten

Schutz vor Man-in-the-Middle-Angriffe | Allgemeine Netzwerk-Schutzmaßnahmen

  • Absicherung des Netzwerkverkehrs durch verschlüsselte Verbindungen
  • Nutzung von Authentifizierung (Radius-Server, Active-Directory, etc.)
  • Zertifikatsfehler nicht einfach ignorieren und bedenkenlos akzeptieren

Wichtig für interne Netzwerk-Domänen

  • Nur öffentliche auflösbaren Top Level Domain-Namen für die interne Domänen nutzen, da sonst keine Zertifikate für interne Domänen ausgestellt werden können, die durch eine öffentliche Zertifizierungsstelle zertifiziert sind und diese somit immer beim Aufruf einer internen https-Domain einen Zertifikatsfehler anzeigen.

Man-in-the-Middle-Angriffe – Meine Tipps für Sicherheits-Ergänzungen für euer Netzwerk

In dieser bebilderten Liste ;), habe ich euch mal eine Aufzählung von Komponenten aufgeführt, die ich selbst im Einsatz habe und somit auch für nützlich erachte.

Natürlich muss das jeder für sich selbst entscheiden und seinen eigenen Erfordernissen entsprechend anpassen! Damit möchte ich mitteilen, dass sicherlich nicht jeder 19″ Zoll-Komponenten bei sich im Netzwerk einsetzt oder aber für manche Dinge nicht so viel Geld bereitstellen möchte.

Tools für einen mechanischer Schutz von Netzwerk-Komponenten und Endgeräten

Angebot
LINDY 40470 10 Port Schlösser sichern RJ45 Buchsen mit Schlüssel Schwarz
Mechanische Sicherung, um offene RJ45-Ports an Netzwerk-Komponenten vor unbefugtes Anstecken von Netzwerkkabel zu schützen.
LINDY 40451
Mechanische Sicherung, um offene USB-Ports vor unbefugte Nutzung zu schützen.

Ein absolutes Muss vor der Nutzung manipulierter USB-Sticks und modifizierter Ladekabel von mobilen Endgeräten zu schützen.
Die Nutzung solcher Sticks und Kabel, ist der häufigste Angriffsweg, um Zugriff zu einem Netzwerk zu erhalten!!!

DIGITUS Netzwerk-Schrank 19 zoll 9 HE - Wandmontage - 450 mm Tiefe - Traglast 100 kg - Unique Serie - Glastür - Grau
  • Netzwerk Wandgehäuse mit 9 Höheneinheiten aus 1,1 - 1,5 mm robustes Stahlblech mit hoher Belastbarkeit, pulverbeschichtet
  • Seitenteile des 19zoll Serverschrank abnehmbar und abschließbar, Abschließbare Sicherheitsglastür mit Stahlrahmen
  • Lüftungsschlitze für aktive sowie passive Be- und Entlüftung im Netzwerk-Wandschrank
  • 483 mm (19") Profilschienen an der Vorderseite des 19 zoll Rack, tiefenvariabel
  • Kabelzuführung an Rückseite und Boden des 9HE Netzwerkgehäuse mit Plastikabdeckung, Oberseite mit verschiebbarer Abdeckung

Schutz der aktiven Netzwerk-Komponenten

Managed Switch

D-Link DGS-1100-24PV2 24-Port Gigabit PoE Smart Switch (24 x 10/100/1000 Mbit/s, davon 12 PoE-Ports, lüfterlos) schwarz
D-Link DGS-1100 24-Port Managed Switch mit POE-Unterstützung.

Bei diesem Switch gibt es im Gegensatz zu Switches von Ubiquiti (habe davon die Access-Points im Einsatz) super Konfigurations-Möglichkeiten, um sicherheitsrelevante Einstellung gegen die oben vorgestellten Angriffs-Szenarien zu konfigurieren.

Diesen Switch gibt es auch noch in einer günstigeren Variante ohne POE-Unterstützung.

Angebot
D-Link DGS-1100-16V2 16-Port Gigabit Smart Switch (10/100/1000 Mbit/S, Einfache Plug & PLAY-Installation, lüfterlos)
D-Link DGS-1100 24-Port Managed Switch mit POE-Unterstützung.

Bei diesem Switch gibt es im Gegensatz zu Switches von Ubiquiti (habe davon die Access-Points im Einsatz) super Konfigurations-Möglichkeiten, um sicherheitsrelevante Einstellung gegen die oben vorgestellten Angriffs-Szenarien zu konfigurieren.

Diesen Switch gibt es auch noch in einer günstigeren Variante ohne POE-Unterstützung.

Meine eingesetzten Access-Points

Sind nicht erforderlich!!! Sondern sollen nur einen Einblick geben, welche Netzwerk-Komponenten ich zurzeit, nutze, da ich das des Öfteren gefragt werde.

Angebot
Ubiquiti UAP-AC-M Wireless Access Point UniFi AP AC Mesh
Ubiquiti Unifi AC Mesh Access-Points

Diese Access-Points habe ich in meinem ganzen Haus sowie im Außenbereich eingesetzt.
Als Unifi-Controller läuft bei mir als virtuelle Maschine auf meinen Proxmox-Server.

Klasse finde ich bei diesen Access-Points, dass diese auch im Außenberiech verbaut werden können und so eine günstige Alternative, für die doch meist teureren AC anderer Hersteller sind, die vergleichbare Ausstattung anbieten.

Weiterhin ist der Support mit neuer und aktueller Firmware bisher wirklich super.

Bevor diese Access-Points den Weg zur mir gefunden haben, hatte ich Access-Points der Firma Sophos im Einsatz. Doch waren diese zu einem durch die proprietäre Nutzung (nur verwendbar mit Sophos Firewall-Produkten) ein Dorn im Auge und für meine Einsatzvorgaben (u.a. Einsatz im Außenbereich) einfach zu teuer.

Eingesetzte Hardware-Firewall

Der Einsatz einer Hardware-Firewall ist für mich ein ganz klares „ja muss sein“.

Für alle die Smart Home, KNX, HomeOffice einsetzen und den Sicherheitsaspekt wirklich ernst nehmen, führt an dieser Komponente kein Weg vorbei.

Auch ich sitze in einem „smarten Home“, doch ist bei mir alles schön fein Netzwerktechnisch getrennt und ich kann Dienste mit Heimweh zu ihrem Hersteller ihre Verbindung kappen.

In meiner beratenen beruflichen Tätigkeit unter anderem für größere Projekte in der Baubranche (Elektrotechnik), habe ich technische Elektro-Installationen mithilfe von KNX gesehen, die sich ungesichert und im gleichen Netzwerk wie die IT-Infrastruktur befunden haben und sich so jeder Angreifer Zugang zur Gebäudesteuerung hätte / hat verschaffen können.

NRG Systems APU3C4 Bundle (Board, Gehäuse, mSATA SSD, Netzteil) (120GB, Schwarz)
Dieses APU-Board betriebe ich mit der Firewall-Distribution von OPNSense und bin damit sehr zufrieden.

Eine ausführliche Beschreibung der Spezifikationen, weiterführende Beiträge zur Installation einer Firewall-Distribution und wie ihr ein Bios-Update für dieses Board durchführt, findet ihr weiter unten.

Weiterführende Beiträge zum Thema

Sophos UTM Home Hardware Test | APU3C4

Update Januar 2020Das Board APU2C4 wurde von dem APU3C4 abgelöst und wurde in diesem Test übernommen. Das APU3C4-Board bietet nun erweiterten LTE-Support an, ansonsten hat sich nicht wirklich etwas geändert. Dieses Board ist genau das richtige Stück Hardware für eure Firewall! Performant, klein und stromsparend! Heute möchte ich euch gerne genau die Sophos UTM Home…

Weiterlesen

Sophos UTM Home Edition installieren auf Alix-Board APU3C4

Update Februar 2018 Da an diesem Artikel anscheinend großes Interesse besteht, habe ich in einem neuen Beitrag, einen ausführlichen Test über das Board APU2C4 veröffentlicht. Hier bekommt ihr einen genaueren Eindruck über das Board. Hoffe dieser Artikel hilft euch weiter! Feedback ist sehr willkommen! Sophos UTM Home Edition auf einem Alix-APU3C4-Board installieren In diesem Tutorial…

Weiterlesen

Fazit zu Schutz vor Man in the Middle Angriffe

Wie ihr lesen konntet, gibt es eine Menge an Möglichkeiten, sich eine Schutz Man-in-the-Middle-Angriffe aufzubauen.

Mit diesen Tipps und Tricks seid ihr und euer Netzwerk schon gut und nicht nur vor Sniffing und Man-in-the-Middle-Attacken, sondern auch vor anderen Angriffen auf euer Netzwerk geschützt.

Diese Maßnahmenliste ist schon ziemlich ausführlich aber noch nicht das Ende der Fahnenstange, doch würde andere Maßnahmen schon weitreichende Kenntnisse im Bezug zur IT-Netzwerk / Sicherheit erfordern und ich daher bewusst darauf verzichtet habe, da diese Tipps in meinen Augen vollkommen für den Hausgebrauch sowie in den meisten Firmen ausreichend sind.

Wie immer, würde ich mich sehr über Feedback von euch freuen!

Wie hat dir der Beitrag gefallen?

Letzte Aktualisierung am 30.03.2021 / Affiliate Links / Bilder von der Amazon Product Advertising API

Marcel von SecureBits

Bin schon ewig mit der IT verbunden und interessiere mich hauptsächlich für die Themen IT-Sicherheit, Programmierung und Gesellschaft. Betreibe diesen Blog aus Leidenschaft und setze mich für eine sichere IT-Landschaft ein, um das Recht auf Privatsphäre mit kleinen Mitteln zu schützen. Freue mich immer über Kommentare von euch und wenn es mir möglich ist, helfe ich gerne.

Diesen Blog Unterstützen

Hat dir dieser Beitrag gefallen?


Dann unterstütze doch diesen Blog durch eine kleine Spende.

Mit deiner Unterstützung ermöglichst du neue Projekte und Tutorials für diesen Blog.

Danke dir!


Schreibe einen Kommentar

Click to access the login or register cheese