Man-in-the-Middle

Bei einem Man-in-the-Middle-Angriff klinkt sich der Angreifer in die Kommunikation zwischen zwei Stationen ein, die sich einander vertrauen. Dabei täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Aufgrund einer falschen Identität kann der Angreifer das Ziel dazu bringen alle Datenpakete zu ihm zu schicken. Der Angreifer kann dabei die Pakete auswerten und gegebenenfalls manipulieren.

Grundsätzlich kann jeder Router, jedes Gateway oder jeder WLAN-Access-Point ein Man-in-the-Middle sein. Einfach überall, wo alle Netzwerkpakete vorbei kommen oder durchgeleitet werden. Das kann an einem zentralen Internet-Knoten sein, an dem Geheimdienste und Ermittlungsbehörden lauschen. Aber auch die gut aussehende junge Frau mit Ihrem Notebook am Tisch nebenan, die im gleichen WLAN eingebucht ist.
Wenn es darum geht, den Datenverkehr einer bestimmten Zielperson abzugreifen, dann gelingt das dem Angreifer am einfachsten in einem offenen WLAN eines Cafes, Hotels oder andere öffentliche Einrichtungen.

Als Man-in-the-Middle ergeben sich für einen Angreifer viele weitere Angriffspunkte. Meist ist der Vorgang sehr komplex und funktioniert deshalb in der Regel nur bei einer vorhersehbaren Kommunikation. Für aktive Man-in-the-Middle-Angriffe muss der Lauscher zum richtigen Zeitpunkt am richtigen Ort sein, um die Kommunikation zu übernehmen und den Datenverkehr abgreifen zu können. Das allein reicht schon für weiteres Gefahrenpotential aus und kann ein erhebliches Sicherheitsproblem sein.
Manche Angriffe, die auf Man-in-the-Middle basieren sehen vor, dass auf dem Gerät des Ziels ein JavaScript ausgeführt wird, dass ein Angreifer als Man-in-the-Middle in eine unverschlüsselte Webseite einbauen kann. Er ist allerdings darauf angewiesen, dass der Code auch tatsächlich ausgeführt wird. Bei den meisten Browsern dürfte das der Fall sein. Bei einem Mail-Programm oder einem Twitter-Client, zum Beispiel auf einem Smartphone, eher nicht.
Weiterhin bieten vom Benutzer gewählte unsichere Passwörter und öffentlich bekannte Sicherheitslücken in verschiedenerlei Software zusätzliche Angriffspunkte.

Ablauf eines Man-in-the-Middle-Angriffs

Der Man-in-the-Middle muss zwei Verbindungen führen. Die exakte Reihenfolge kann von der hier dargestellten Reihenfolge je nach Implementierung abweichen.

Man-in-the-Middle durch IP-Spoofing

IP-Spoofing zählt zu den typischen Angriffen, die einen Angreifer in die Position eines Man-in-the-Middle bringen kann. IP-Spoofing ist wegen einer systembedingten Schwäche von TCP/IP möglich. Im Prinzip geht es dabei um das Versenden von IP-Paketen mit gefälschter Quell-IP-Adresse.

• IP-Spoofing

Man-in-the-Middle durch ARP-Spoofing

ARP-Spoofing ist eine Variante von IP-Spoofing, womit sich ein Angreifer in die Position eines Man-in-the-Middle bringen kann. Nur das hier die systembedingten Schwächen von Ethernet ausgenutzt werden. Beim ARP-Spoofing werden ARP-Abfrage vorgetäuscht und die MAC-Adresse gefälscht, um den Datenverkehr umzuleiten und abzuhören.

• ARP-Spoofing

Man-in-the-Middle durch DNS-Spoofing

Es gibt verschiedene Varianten von DNS-Spoofing. Im Prinzip geht es immer darum, dass der Angreifer die DNS-Konfiguration des Opfer so verändert, dass alle oder bestimmte Verbindungen über den Server des Angreifers umgeleitet werden.

• DNS-Spoofing

Maßnahmen gegen Man-in-the-Middle

Gegen Man-in-the-Middle-Angriffe hilft nur konsequentes Verschlüsseln aller Verbindungen, der Einsatz aktueller Software und Netzwerk-Monitoring, um Spoofing innerhalb des lokalen Netzwerks zu erkennen und zu melden.

Weitere verwandte Themen:

• Drive-by
• Botnetze
• Spoofing
• DoS - Denial of Service
• Grundlagen der Netzwerk-Sicherheit
• Sicherheitsrisiken und Sicherheitslücken in der Netzwerktechnik

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Collection: Netzwerk-Sicherheit

Was du über Netzwerk-Sicherheit wissen solltest.

eBook kaufen

Collection: Netzwerk-Grundlagen

Was du über Netzwerk-Grundlagen wissen solltest.

eBook herunterladen

Collection: IPv6

Was du über IPv6 wissen solltest.

eBook kaufen

Schützen Sie Ihr Netzwerk

Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.

• Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
• Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
• Laufende Aktualisierung gegen neue Bedrohungen

Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.

Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen