Ein generelles Problem in Netzen: Tools die Session-Hijacking erlauben können es ermöglichen sich zwischen Verbindungen zu klemmen. Wichtig dabei ist eben das die Verbindungen transparent über dieses Programm gezogen werden: der Anwender merkt es nicht. Das funktioniert auch über Switches hinweig - die entsprechenden Programme stehlen die Verbindung per ARP-Spoofing und hängen sich dann dazwischen. Helfen kann hier nur eine konsequente Umstellung auf Protokolle die mit beidseitigen Zertifikaten und Verschlüsselungen arbeiten - wo also sowohl Server als auch Client sicherstellen, das sie mit dem richtigen Partner sprechen. Aber auch hier sind immer noch Angriffspunkte möglich. Absolute Sicherheit in Netzen in denen man keine Kontrolle über die Infrastruktur hat gibt es nicht.
Die Technik, die hinter dem Angriff steht, ist übrigens ziemlich interessant: es wird zum Einen per ARP-Spoofing erstmal die Verbindung geklaut. Dann werden alle Verbindungen über den Zwischenrechner geleitet. Dabei gibt sich der Rechner dem Server gegenüber als der Client aus, und umgekehrt. Verschlüsselung nutzt also nur dann, wenn im Protokoll regelmäßig Checks über ein gemeinsames Secret ermittelt werden und wenn die beiden Partner sich mittels asymmetrischer Verfahren als sie selbst zu erkennen geben. Trotzdem kann der Mittelsmann sich oft noch als der andere ausgeben, in dem er Daten einer transparent durchgereichten Verbindung benutzt um sie später neu abzuspielen (dadurch können einige Verschlüsselungsaufbauten geknackt werden).
Letztendlich kann das Problem nur auf unterster Ebene gelöst werden - sicherung der Verbindungen auf unterstem Protokoll-Level. Erst wenn schon auf IP-Ebene entsprechende Sicherheitsmechanismen ziehen, erst dann kann man überhaupt darauf hoffen das man dieses Problem in den Griff kriegen kann.
In der Zwischenzeit können Admins ein bischen absichern in dem sie mittels ARP-Wächtern und Überwachungsprogrammen erkennen, wenn entsprechende Angriffe stattfinden. Aber auch das ist nur ein sehr wackeliges und unzuverlässiges Hilfsmittel, da der Admin theoretisch alle Protokolle regelmäßig durchsehen muss - und die Anzeichen sind oft nur sehr minimal (wie z.B. das kurzzeitige Auftreten einer unbekannten MAC-Adresse im Netz).
Bei RP-Online: Multimedia fand ich den den Originalartikel.
