:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Nutzer müssen Fingbox in the Middle vertrauen Fingbox: ARP-Rowdy mit guten Absichten
Für ein einfaches Netzwerkgerät ohne Routingfunktionen bietet die Fingbox einen erstaunlichen Funktionsumfang. Wir haben uns genauer angeschaut, welche technischen Tricks der Anbieter hierfür nutzt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Bei genauerem Hinsehen entpuppt sich die Fingbox als Hülle für eine kompakte Platine. Deren Prozessor versteckt sich unter einem passiven Kühlkörper; überdies ist eine WLAN-Antenne für das 2,4-GHz-Band verbaut. Als Betriebssystem kommt Linux Ubuntu Core zum Einsatz. Die USB-A-Buchse ist offenbar ebensowenig für Endanwender vorgesehen wie der nicht dokumentierte Zugriff per SSH. Nutzer müssen die Fingbox lediglich per RJ45 mit dem Ethernet sowie per Micro-USB mit Strom versorgen.
Das Gerät bezieht seine Netzwerkadresse automatisch per DHCP und lässt sich topographisch als beliebiges, am Gateway angeschlossenes Netzwerkdevice beschreiben – nimmt also nicht die zentrale Rolle eines Routers ein. Insofern ist interessant zu untersuchen, wie es die Lösung dennoch schafft, einen Überblick über das Netzwerk zu liefern, Bandbreiten zu messen oder einzelne Geräte zu blockieren.
Versuchsaufbau
Um die Funktionsweise der Fingbox näher zu betrachten haben wir das Device auf verschiedene Weise angeschlossen. Zum einen haben wir die Fingbox direkt mit einer Fritz!Box verkabelt. Für weitergehende Analysen wurde das Gerät andererseits mit dem Hub einer als Access Point fungierenden Firewall/Router-Kombination (Cisco RV110) verbunden. Diesen haben wir wiederum mit einem Switchport gekoppelt, welcher für weitere Untersuchungen gespiegelt wurde, etwa für eine Analyse per Wireshark.
Grundlegende Funktionsweise
Bereits die Kommandozeilenvariante von Fing gibt einen ersten Anhaltspunkt auf die Funktionsweise der Fingbox. Ebenso wie die reine Software auch, kann die Hardware des Herstellers das lokale Netz regelmäßig nach aktiven Devices durchsuchen. Hierfür bedient sich die Lösung des Address Resolution Protocol (ARP) – also jenes Protokolls, das sich um die Auflösung von MAC- und IP-Adressen im lokalen Netzwerk kümmert.
Das lässt sich per Wireshark recht gut nachvollziehen, indem die entsprechenden Pakete mit folgendem Filter ausgewählt werden:
arp and eth.src==[MAC der Fingbox]In unserem mit 255.255.255.0 maskierten LAN verschickt die Fingbox regelmäßig – das heißt etwa halbminütlich – ARP-Broadcasts an nahezu alle 256 möglichen IP-Adressen im Netz. Dabei spart die Fingbox sich selbst sowie die RV110 aus. Somit dauert es auch einige Sekunden, bis neue Geräte im Netzwerk erkannt werden.
Blockieren und Pausieren
Anders als Fings Softwarelösungen ist die Fingbox dauerhaft aktiv und bietet sich damit für erweiterte Funktionen an. Zu diesen zählt etwa das komplette Blockieren einzelner Geräte respektive die Trennung vom Internet. Beides funktioniert ganz ähnlich.
Soll ein Gerät vom Internet getrennt werden, überflutet die Fingbox das jeweilige Device mit ARP-Paketen. Darin ordnet die Fingbox ihre eigene MAC-Adresse der IP-Adresse des Gateways zu. Damit glaubt der Client zwar, seine Anfragen immer noch an das Gateway zu schicken. Dessen IP wird jedoch auf die MAC-Adresse der Fingbox aufgelöst, Anfragen laufen ins Leere. Bekannt ist ein solches Szenario unter dem Begriff ARP-Spoofing. Das funktioniert allerdings nur solange, bis das Gateway selbst ein (korrektes) ARP-Paket mit den eigenen Daten schickt. Dann ist für einen Moment wieder eine Verbindung ins Internet möglich – bis dann wieder die manipulierten Pakete der Fingbox eintreffen.
Soll ein Gerät blockiert werden, sendet die Fingbox derweil manipulierte ARP-Pakete an alle anderen Rechner im Netz. Der Ansatz ist dabei wieder der gleiche, nur führen diesmal nicht Anfragen an das Gateway ins Leere, sondern Anfragen an einen bestimmten Rechner. In unserer Testumgebung funktionierte dieses Procedere aber nicht perfekt, soll heißen: Pings zu „blockierten“ Rechnern kamen weitaus häufiger durch als zu erwarten gewesen wäre.
Invasive Messungen
Auch bei der Breitband-Analyse nutzt Fing wieder den Kniff mit ARP. Um den Datenverbrauch einzelner Geräte zu messen agiert die Fingbox als Man in the Middle – ordnet der IP des Gateways also wieder die eigene MAC-Adresse zu. Anders als beim Blockieren werden Daten nun aber wieder zum tatsächlichen Gateway weitergeleitet.
Das steigert nicht nur die Latenz des Datenverkehrs um (vernachlässigbare) Millisekunden im einstelligen Bereich, sondern erhöht auch die Last im gesamten Netzwerk – Daten müssen schließlich zunächst zur Fingbox reisen, welche die Informationen dann erneut über das Netz verschickt. Für den Endanwender verläuft die Manipulation indessen vollkommen transparent: Auch beim HTTPS-Zugriff verhielten sich Browser unauffällig und gaben keine Warnungen aus.
Auswirkungen auf das Netzwerk
Die ARP-Tricks der Fingbox sind unter mehreren Gesichtspunkten problematisch. Wenngleich der Anbieter das Gerät als Sicherheitslösung für private Netzwerke bewirbt, nutzt er doch selbst zweifelhafte Hacks. Rein technisch muss man diese Verfahren als ARP-Spoofing respektive Man-in-the-Middle-Angriff beschreiben.
Ob der Zweck diese Mittel rechtfertigt und wie sicherheitsbewusste Anwender darauf reagieren, soll an dieser Stelle nicht weiter diskutiert werden. Nicht von der Hand zu weisen ist allerdings die Kritik, dass bösartige Nutzer das Sicherheitsdevice für Angriffe auf fremde Netze missbrauchen könnten – etwa um angeschlossene Geräte gezielt zu blockieren.
Abseits ethischer Bedenken geht das ARP-Spoofing zu Lasten der gesamten Netzwerkperformance. Wenn der Hersteller behauptet, dass sich die Fingbox im regulären Betrieb nicht negativ auf die Netzwerkleistung auswirkt, ist das eben nur die halbe Wahrheit. Freilich läuft der Datenverkehr – anders bei klassischen Firewalls oder Routern – nicht über die Fingbox und die stellt somit keinen Flaschenhals dar. Andererseits flutet das Device das Netzwerk regelmäßig mit jeder Menge ARP-Requests, deren Volumen bei blockierten oder pausierten Devices weiter zunimmt. Bei der Bandbreiten-Analyse verdoppelt die Fingbox überdies den jeweils untersuchten Traffic im Netz. Und schließlich ist das Blocken per ARP auch nicht zu hundert Prozent zuverlässig.
Weitere Funktionen und KRACK-Spektakel
Neben den bisher beschriebenen Funktionen bietet die Fingbox weitere Features, die der Hersteller mitunter recht wortgewaltig präsentiert. So nutzte der Anbieter die im Oktober bekannt gewordene KRACK-Schwachstelle, um für die Fähigkeiten seines Wireless Intrusion Detection Systems (WIDS) zu werben. Letztlich handelte es sich dabei jedoch um eine allgemeine Erkennung unautorisierter Access Points. Diese Rogue Detection deckt implizit eben auch das mit KRACK beschriebene Szenario ab.
Anzumerken ist überdies, dass der Digital Fence der Fingbox lediglich im 2,4-GHz-Band arbeitet. Laut Hersteller genüge das, weil die meisten Geräte sich auch dann in diesem Band melden, wenn sie im 5-GHz-Spektrum aktiv sind. Damit decke die Lösung immer noch die meisten Geräte ab, sagt Fing. Inwieweit Angreifer die fehlende Funkfrequenz des WIDS (Wireless Intrusion Detection System) für ihre Zwecke ausnutzen bleibt allerdings offen.
Finales Fazit
Nach dem überwiegend positiven Fazit in Teil 2 dieser Serie, muss das endgültige Urteil nun etwas durchwachsender ausfallen. Die Fingbox bleibt eine nützliche und interessante Anschaffung für private Nutzer, wenn sie sich die technischen Hintergründe zumindest vergegenwärtigen. Gefährlich könnte das Gerät derweil in den Händen böswilliger Nutzer werden, die gezielt Netzwerke manipulieren. Für Unternehmen empfiehlt selbst der Hersteller andere, leistungsfähigere Produkte.
:quality(80)/images.vogel.de/vogelonline/bdb/1335900/1335952/original.jpg "Selbst ohne zusätzliche Hardware ist Fing bereits ein sehr nützliches Netzwerktool. (Fing (Screenshot))")
Vom erfolgreichen Crowdfunding einer kostenlosen App
Fing: die geballte Macht von Find und Ping
:quality(80)/images.vogel.de/vogelonline/bdb/1335900/1335955/original.jpg "Die LEDs der Box lassen sich stufenlos per App dimmen. (Srocke)")
DigitalFence stoppt Rogue APs, geplante Pausen bremsen Kinder
Fingbox: Monitoring für den Hausgebrauch
(ID:45068817)
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940457/original.jpg "Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945975/original.jpg "Cloudflare hilft mit dem API Gateway dabei, Programmierschnittstellen aufzuspüren und abzusichern. (Cloudflare)")