Nutzer müssen Fingbox in the Middle vertrauen

Fingbox: ARP-Rowdy mit guten Absichten

| Autor / Redakteur: Dirk Srocke / Andreas Donner

Auf der Fingbox läuft ein für IoT-Systeme optimiertes Linux Ubuntu Core.
Auf der Fingbox läuft ein für IoT-Systeme optimiertes Linux Ubuntu Core. (Bild: Srocke)

Für ein einfaches Netzwerkgerät ohne Routingfunktionen bietet die Fingbox einen erstaunlichen Funktionsumfang. Wir haben uns genauer angeschaut, welche technischen Tricks der Anbieter hierfür nutzt.

Bei genauerem Hinsehen entpuppt sich die Fingbox als Hülle für eine kompakte Platine. Deren Prozessor versteckt sich unter einem passiven Kühlkörper; überdies ist eine WLAN-Antenne für das 2,4-GHz-Band verbaut. Als Betriebssystem kommt Linux Ubuntu Core zum Einsatz. Die USB-A-Buchse ist offenbar ebensowenig für Endanwender vorgesehen wie der nicht dokumentierte Zugriff per SSH. Nutzer müssen die Fingbox lediglich per RJ45 mit dem Ethernet sowie per Micro-USB mit Strom versorgen.

Das Gerät bezieht seine Netzwerkadresse automatisch per DHCP und lässt sich topographisch als beliebiges, am Gateway angeschlossenes Netzwerkdevice beschreiben – nimmt also nicht die zentrale Rolle eines Routers ein. Insofern ist interessant zu untersuchen, wie es die Lösung dennoch schafft, einen Überblick über das Netzwerk zu liefern, Bandbreiten zu messen oder einzelne Geräte zu blockieren.

Versuchsaufbau

Um die Funktionsweise der Fingbox näher zu betrachten haben wir das Device auf verschiedene Weise angeschlossen. Zum einen haben wir die Fingbox direkt mit einer Fritz!Box verkabelt. Für weitergehende Analysen wurde das Gerät andererseits mit dem Hub einer als Access Point fungierenden Firewall/Router-Kombination (Cisco RV110) verbunden. Diesen haben wir wiederum mit einem Switchport gekoppelt, welcher für weitere Untersuchungen gespiegelt wurde, etwa für eine Analyse per Wireshark.

Grundlegende Funktionsweise

Bereits die Kommandozeilenvariante von Fing gibt einen ersten Anhaltspunkt auf die Funktionsweise der Fingbox. Ebenso wie die reine Software auch, kann die Hardware des Herstellers das lokale Netz regelmäßig nach aktiven Devices durchsuchen. Hierfür bedient sich die Lösung des Address Resolution Protocol (ARP) – also jenes Protokolls, das sich um die Auflösung von MAC- und IP-Adressen im lokalen Netzwerk kümmert.

Das lässt sich per Wireshark recht gut nachvollziehen, indem die entsprechenden Pakete mit folgendem Filter ausgewählt werden:

arp and eth.src==[MAC der Fingbox]

In unserem mit 255.255.255.0 maskierten LAN verschickt die Fingbox regelmäßig – das heißt etwa halbminütlich – ARP-Broadcasts an nahezu alle 256 möglichen IP-Adressen im Netz. Dabei spart die Fingbox sich selbst sowie die RV110 aus. Somit dauert es auch einige Sekunden, bis neue Geräte im Netzwerk erkannt werden.

Wireshark dokumentiert das vorlaut rüpelhafte ARP-Flooding der Fingbox.
Wireshark dokumentiert das vorlaut rüpelhafte ARP-Flooding der Fingbox. (Bild: Srocke (Screenshot))

Blockieren und Pausieren

Anders als Fings Softwarelösungen ist die Fingbox dauerhaft aktiv und bietet sich damit für erweiterte Funktionen an. Zu diesen zählt etwa das komplette Blockieren einzelner Geräte respektive die Trennung vom Internet. Beides funktioniert ganz ähnlich.

Soll ein Gerät vom Internet getrennt werden, überflutet die Fingbox das jeweilige Device mit ARP-Paketen. Darin ordnet die Fingbox ihre eigene MAC-Adresse der IP-Adresse des Gateways zu. Damit glaubt der Client zwar, seine Anfragen immer noch an das Gateway zu schicken. Dessen IP wird jedoch auf die MAC-Adresse der Fingbox aufgelöst, Anfragen laufen ins Leere. Bekannt ist ein solches Szenario unter dem Begriff ARP-Spoofing. Das funktioniert allerdings nur solange, bis das Gateway selbst ein (korrektes) ARP-Paket mit den eigenen Daten schickt. Dann ist für einen Moment wieder eine Verbindung ins Internet möglich – bis dann wieder die manipulierten Pakete der Fingbox eintreffen.

Bei den lila eingefärbten Zeilen wird es interessiert: Die Fingbox mappt ihre MAC-Adresse auf die IP des geblockten Rechners und lässt Pings ins Leere laufen.
Bei den lila eingefärbten Zeilen wird es interessiert: Die Fingbox mappt ihre MAC-Adresse auf die IP des geblockten Rechners und lässt Pings ins Leere laufen. (Bild: Srocke (Screenshot))

Soll ein Gerät blockiert werden, sendet die Fingbox derweil manipulierte ARP-Pakete an alle anderen Rechner im Netz. Der Ansatz ist dabei wieder der gleiche, nur führen diesmal nicht Anfragen an das Gateway ins Leere, sondern Anfragen an einen bestimmten Rechner. In unserer Testumgebung funktionierte dieses Procedere aber nicht perfekt, soll heißen: Pings zu „blockierten“ Rechnern kamen weitaus häufiger durch als zu erwarten gewesen wäre.

Invasive Messungen

Auch bei der Breitband-Analyse nutzt Fing wieder den Kniff mit ARP. Um den Datenverbrauch einzelner Geräte zu messen agiert die Fingbox als Man in the Middle – ordnet der IP des Gateways also wieder die eigene MAC-Adresse zu. Anders als beim Blockieren werden Daten nun aber wieder zum tatsächlichen Gateway weitergeleitet.

Das steigert nicht nur die Latenz des Datenverkehrs um (vernachlässigbare) Millisekunden im einstelligen Bereich, sondern erhöht auch die Last im gesamten Netzwerk – Daten müssen schließlich zunächst zur Fingbox reisen, welche die Informationen dann erneut über das Netz verschickt. Für den Endanwender verläuft die Manipulation indessen vollkommen transparent: Auch beim HTTPS-Zugriff verhielten sich Browser unauffällig und gaben keine Warnungen aus.

Auswirkungen auf das Netzwerk

Die ARP-Tricks der Fingbox sind unter mehreren Gesichtspunkten problematisch. Wenngleich der Anbieter das Gerät als Sicherheitslösung für private Netzwerke bewirbt, nutzt er doch selbst zweifelhafte Hacks. Rein technisch muss man diese Verfahren als ARP-Spoofing respektive Man-in-the-Middle-Angriff beschreiben.

Ob der Zweck diese Mittel rechtfertigt und wie sicherheitsbewusste Anwender darauf reagieren, soll an dieser Stelle nicht weiter diskutiert werden. Nicht von der Hand zu weisen ist allerdings die Kritik, dass bösartige Nutzer das Sicherheitsdevice für Angriffe auf fremde Netze missbrauchen könnten – etwa um angeschlossene Geräte gezielt zu blockieren.

Abseits ethischer Bedenken geht das ARP-Spoofing zu Lasten der gesamten Netzwerkperformance. Wenn der Hersteller behauptet, dass sich die Fingbox im regulären Betrieb nicht negativ auf die Netzwerkleistung auswirkt, ist das eben nur die halbe Wahrheit. Freilich läuft der Datenverkehr – anders bei klassischen Firewalls oder Routern – nicht über die Fingbox und die stellt somit keinen Flaschenhals dar. Andererseits flutet das Device das Netzwerk regelmäßig mit jeder Menge ARP-Requests, deren Volumen bei blockierten oder pausierten Devices weiter zunimmt. Bei der Bandbreiten-Analyse verdoppelt die Fingbox überdies den jeweils untersuchten Traffic im Netz. Und schließlich ist das Blocken per ARP auch nicht zu hundert Prozent zuverlässig.

Potentieller Angriff auf WPA2 entdeckt

KRACK attackiert WLAN-Verschlüsselung

Potentieller Angriff auf WPA2 entdeckt

16.10.17 - Eine Schwachstelle in WPA2 gefährdet den Verschlüsselungsstandard für WLANs. Sicherheitsforscher haben eine Möglichkeit gefunden, wie sich WLAN-Clients und Access Points attackieren und deren Schlüssel knacken lassen. Updates schaffen Abhilfe – müssen aber von den Herstellern kommen. lesen

Weitere Funktionen und KRACK-Spektakel

Neben den bisher beschriebenen Funktionen bietet die Fingbox weitere Features, die der Hersteller mitunter recht wortgewaltig präsentiert. So nutzte der Anbieter die im Oktober bekannt gewordene KRACK-Schwachstelle, um für die Fähigkeiten seines Wireless Intrusion Detection Systems (WIDS) zu werben. Letztlich handelte es sich dabei jedoch um eine allgemeine Erkennung unautorisierter Access Points. Diese Rogue Detection deckt implizit eben auch das mit KRACK beschriebene Szenario ab.

Anzumerken ist überdies, dass der Digital Fence der Fingbox lediglich im 2,4-GHz-Band arbeitet. Laut Hersteller genüge das, weil die meisten Geräte sich auch dann in diesem Band melden, wenn sie im 5-GHz-Spektrum aktiv sind. Damit decke die Lösung immer noch die meisten Geräte ab, sagt Fing. Inwieweit Angreifer die fehlende Funkfrequenz des WIDS (Wireless Intrusion Detection System) für ihre Zwecke ausnutzen bleibt allerdings offen.

Finales Fazit

Nach dem überwiegend positiven Fazit in Teil 2 dieser Serie, muss das endgültige Urteil nun etwas durchwachsender ausfallen. Die Fingbox bleibt eine nützliche und interessante Anschaffung für private Nutzer, wenn sie sich die technischen Hintergründe zumindest vergegenwärtigen. Gefährlich könnte das Gerät derweil in den Händen böswilliger Nutzer werden, die gezielt Netzwerke manipulieren. Für Unternehmen empfiehlt selbst der Hersteller andere, leistungsfähigere Produkte.

Fing: die geballte Macht von Find und Ping

Vom erfolgreichen Crowdfunding einer kostenlosen App

Fing: die geballte Macht von Find und Ping

03.01.18 - Mit einer geradezu spektakulär erfolgreichen Crowdfunding-Kampagne für ein Security- und Troubleshooting-Device hat Fing von sich Reden gemacht – dabei gelingt der Einstieg in das Netzwerkscanning noch immer kostenlos. lesen

Fingbox: Monitoring für den Hausgebrauch

DigitalFence stoppt Rogue APs, geplante Pausen bremsen Kinder

Fingbox: Monitoring für den Hausgebrauch

04.01.18 - Mit einer vergleichsweise kostengünstigen und einfachen Hardware liefert Fing eine vielseitige Lösung für Security und Monitoring in kleineren Netzwerken. Nachfolgend beleuchten wir, was das Device leistet und welche Alternativen es gibt. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45068817 / Netzwerk-Security-Devices)