Sammanfattning Många restauranger och caféer erbjuder dagligen gratis trådlös

SammanfattningDagens samhälle har övergått och blivit till ettdigitaliserade samhälle. Att kunna vara uppkopplad mot internet har blivit enviktig del av vårt liv.

Många restauranger och caféer erbjuder dagligen gratistrådlös uppkoppling, dels för marknadsföring och dels för att erbjuda kunderinternet. Detta skapar givetvis ett intresse för kriminella handlingar därflera hackare använder skadliga attacker som ARP-spoofing för att stjäla elleravlyssna data som överförs med hjälp av ethern. Den skadliga attacken går ut påatt vilseleda och lura andra internetanvändare genom att hackaren anknyter sinIP-adress med samma MAC-adress som default-gateway. Detta leder till all datasom är ämnad till routern skickas till hackarens enhet. Utifrån problemet sombeskrivits ovan skapades en fråga om hur skyddet mot olika typer avARP-attacker kan förbättras vid användning av publika trådlösa nätverk.

We Will Write a Custom Essay Specifically
For You For Only $13.90/page!


order now

Dettaproblem åtgärdades genom en vetenskaplig metod, vetenskapliga studier ochkunskaper kring ARP-attacker. Den hypotetisk-deduktiva metoden användes som enproblemlösningsmetod. Anledningen till varför den hypotetisk-deduktiva metodenvalts är för att metoden är effektiv när det handlar om att hitta en lösningtill en vetenskaplig frågeställning. För att kunna stärka skyddet motARP-attacker skapades en frågeställning som ser ut på följande sätt: KanAdvanced ARP Spoofing Detection(XArp) upptäcka ARP-spoofing attacker vidanvändning av publika trådlösa nätverk? Målet med detta arbete är att förebyggaARP-attacker innan det är försent och syftet med denna frågeställning är attbidra till att sprida information kring denna form av cyberbrott.

Svaret på frågeställningenavhandlades genom ett fungerande experiment som visar att skadliga attackersåsom ARP-spoofing kan upptäckas i nätverket med hjälp av programvaran XArp.Det finns nackdelar med denna lösning, en av dessa nackdelar handlar om ettannat skydd mot ARP-attacker kanske behöver väljas eftersom en investeringkrävs för att utföra kunna använda alla XArps funktioner. En annan nackdelbestår av den mänskliga faktorn eftersom alla inte är intresserad av att fåveta vilka hot som finns på internet.

Åtgärden till denna nackdel kommer attuppfyllas i framtida arbete med en ny frågeställning som kommer att väckaintresse hos allmänheten. Det finns en del begränsningar som kan kallas förbrister i detta arbete. Detta för att arbetet endast hade fokus om hur skadligaattacker som ARP-spoofing kan bli upptäckta men inte hur de kan förhindras.

Dären ny frågeställning kommer att gå ut på hur ARP-attacker kan förhindras attske i ett lokalt nätverk.     Innehållsförteckning 1. Inledning. 1 2. Bakgrund.. 1 2.1 Internet Protocol (IP).

2 2.2 Media Access Control (MAC). 2 2.3 Address Resolution Protocol (ARP) och ARP-spoofing/poisoining. 2 3. Frågeställning.

2 4. Metod..

3 5. Forskningsetiskt ställningstagande. 3 6. Teknisk beskrivning. 3 6.

1 Social manipulation.. 3 6.2 ARP.. 4 6.2.1 ARP-spoofing & ARP-poisoning.

4 6.3 XArp.. 6 7. Resultat. 6 8.

Diskussion.. 7 9. Slutsatser. 7 10. Framtida arbete. 8 11.

Referenser. 9 1. Inledning Idag finns det nästan alltid någon form av internetanslutning i varjehushåll och varje företag.

Världen har blivit digitaliserat och detta ledertill att flera människor är uppkopplade mot internet. Denna utveckling avnätverkstekniken har medfört en stor förändring av vår vardag till exempelvismed hjälp av datakommunikation kan intressanta resurser utbytas oberoende avvar man befinner sig. Med tanke på att antalet internetanvändare ökar drastisktvingar många platser att övergå från vanliga trådbundna nätverket till trådlösanätverket. Detta är är en av många anledningar till varför människor blir alltmer beroende av att vara uppkopplad hela tiden eftersom att koppla upp sig medhjälp av trådlöst internet är enklare än att rör sig runt med en ethernetkabel.

 Det finns nästan alltid någon form av internetanslutning i de flestarestauranger också, dels för att sköta affärer men även för att marknadsföraoch för att kunna erbjuda trådlös uppkoppling till sina kunder. Kunderna harmöjligheten att utnyttja gratis uppkoppling samtidigt som de befinner sig irestaurangen. Detta skapar givetvis även ett intresse för kriminella handlingardär flera hackare använder nätverksteknik för att antingen stjäla ellersabotera det som överförs trådlöst. Det finns olika sätt att nyttja nätverksteknik vid diverse oetiskahandlingar där man blandannat använder kunskaper om nätverksövervakning för att kunna utföra enattack som kallas för Address Resolution Protocol (ARP) – spoofing. Attackengår ut på att den kriminella kan samla all datatrafik som skickas genomdatamanipulering.

Rapporten syftar till att besvara frågeställningen: KanAdvanced ARP Spoofing Detection (XArp) upptäcka ARP-spoofing attacker vidanvändning av publika trådlösa nätverk?2. Bakgrund Många restauranger och caféer erbjuderdagligen gratis trådlös uppkoppling, dels för marknadsföring ochdels för att erbjuda kunder internet. Detta hjälper kunderna att njuta av sin måltidsamtidigt som de kan utföra sitt arbete på distans. Skillnaden mellan trådbundet Local AreaNetwork (LAN) och trådlösa nätverk är att risken fördata-avlyssning ökar oerhört mycket vid användningen av trådlöst, eftersom trådlösa nätverkanvänder radiosignaler för att skicka och ta emot data. Detta kanmöjliggöra kriminella användare att vilseledaoch manipulera data som överförs och tasemot i etern genom att utföra en attack somkallas ARP-spoofing.

 1 Huvudsyftet med en ARP-attack går ut på attstjäla eller sabotera viktig data som överförs och tasemot trådlöst. Samma attack mot trådbundet LAN är inte lika lätt eftersom detta kräver attde kriminella ansluter sig till en ethernet port som finns på insidan av det nätverk som skaattackeras. 1 2.1 Internet Protocol(IP) En Internet Protocol (IP)-adress är en binäradress som alla nätverksenheter använder för att kommunicera med varandra.

Vidanslutning av ett nytt nätverk blir användaren tilldelad en IP-adress. Dettainnebär att användare får olika IP-adresser beroende på vart denne ansluter sigoch beroende på till vilket nätverk. Det är viktigt att förstå att samma IP-adressinte kan tilldelas på flera enheter eftersom samma IP-adress på flera enheterskapar förvirring för demellanliggande enheterna som routrar ochswitchar, då de inte kan fatta beslut över vemsom ska få datat.

 2 2.2 Media AccessControl (MAC) Media Access Control(MAC)-adressen är den fysiska adressen som finns i varje nätverkskort. Dessatyper av adresser är unika och ska aldrig att ändras, men det går att ändradessa i både Windows och Linux. Nätverksenheter använder MAC-adresser för attverifiera vilken IP-adress som tillhör vilken enhet med hjälp av ARP. 3 2.3 Address Resolution Protocol (ARP) ochARP-spoofing/poisoining ARP 4 är ett protokoll som används för attanknyta en IP-adress till en MAC-adress. När enhet försöker pinga en IP-adress på ettlokalt nätverk, exempelvis till adressen 192.

168.1.1, så kommer systemet att utföra enARP-Look-up i sin ARP-tabell för att kolla vilken MAC-adress som tillhör 192.168.1.

1-adressen. OmIP-adressen inte hittas i ARP-tabellen kommer systemet att reda ut det genom attskicka ut ett broadcast meddelandet som består av ARP-förfrågningen likt”vem äger adressen 192.168.1.1″, till alla enheter på nätverket. Den maskin som har IP-adressen kommer attsvara med ett ARP-meddelandet som säger “Jag är 192.

168.1.1″. Målet med ARP-spoofing och ARP-poisoning 5 är att den kriminella skickar spoofadeARP-meddelande till ett specifikt LAN.

Spoofade ARP-meddelanden handlar om att hackaren anknyter sin MAC-adress med en annanIP-adress som exempelvis den standard-gateway som vanliga användare använder för attnå internet. Detta leder till en farlig läcka i nätverket.3.

Frågeställning Frågeställningensom avhandlas i rapporten:KanXArp-säkerhetsapplikation upptäcka ARP-spoofing attacker vid användning av publika trådlösa nätverk? Syftet med dennafrågeställning är att öka medvetenheten hos alla internetanvändaregällandeanvändningen av de publika trådlösa nätverken och hur man kan skydda sig ifrånen ARP-spoofing attack. För att nå målet måste XArp implementeras i olikarestauranger och caféer. 4. Metod För att utföraexperimentet kommer den vetenskapliga hypotetiskt deduktiva metoden att användas.

 Denna metod kandelas i fem faser:1. Vetenskapligfrågeställning:Kan XArp-säkerhetsapplikation upptäcka ARP-spoofing attacker vid användning av publikatrådlösa nätverk?2. Hypotes:XArp kan upptäckaolika typer ARP-attacker.

3. Deduktion:Skapa en analyssamt simuleringar över experimentet som ska utföras.4.

Experiment:Experiment skerhos olika restauranger och caféer med tillåtelse från ägarna och gästerna.5. Verifikation:Validering kringresultat av experimentet för att säkerställa hypotesen är pålitlig. Kali Linux ochXArp kommer att användas för att göra experimentet. Anledningen till varförKali Linux valdes är för att denna linux-distribution är lätt att använda förkunna utföra ARP-spoofing experimentet.

För att verifiera och upptäckaARP-attacker ska XArp vara installerat på de vanliga mobila enheterna i derestauranger och caféer där ARP-attacker kommer att ske 6.5. Forskningsetisktställningstagande Arbetet har ettforskningsetiskt ställningstagande där undersökningen kommer att testas i olika restauranger och caféer för att verifiera om ARP-spoofingkommer att lyckas eller inte. Däremot så kommer ingen känslig information attanvändas för egen vinning, för det är inte etisk rätt attstjäla eller manipulera datatrafik.6. Tekniskbeskrivning För att skyddet mot ARP-attacker skall funka som önskatbehövs förståelse för olika tekniker och protokoll.

 Alla nedanstående tekniker skall studeras. Med hjälp avdessa teknologier kommer nätverket att ha en fungerandesäkerhetslösning mot skadliga attacker som ARP-spoofing och poisoning. 6.1 Social manipulation Inom nätverkssäkerhet går de flestasvagheter att åtgärda med en teknisk lösning men en återstående svaghet äralltid aspekten av människor. Det enklaste sättet att ta sig in på någonsnätverk är att manipulera de som arbetar på platsen där nätverket finns,personen som vill ha åtkomst låtsas vara någon form av IT-personal ellervaktmästare. De som arbetar på platsen förväntar sig oftast inte att det är enbedragare som pratar med dem. Ifall bedragaren har rätt kläder och attityd motpersonen som den kontaktar kommer behovet att vara hjälpsam ofta ge bedragarendet den vill ha. Social manipulation 7är huvudsakligen exploatering av det mänskliga psyket och är en stor risk sommånga företag fortfarande inte har tänkt eller skapat något bra skydd mot.

Det finns flera olika sätt att utföra social manipulation men deföljer fyra steg:·      Insamling av information·      Skapandet av en relation·      Utnyttjning av relationen·      Utnyttjning som ger tillgång tillmåletFör att utföra information-stegetletas information fram från publika källor och används för att skapa enrelation till arbetsplatsen samt personalen. När en sådan relation har hittatskan detta utnyttjas mot personalen och slutligen leda till åtkomst av detattacken var riktad mot. Detta kan utföras både fysiskt och digitalt. Genomtelefonsamtal, mejl eller att gå in på arbetsplatsen och prata med personal.Anledningen till att detta är en stor risk för företag är att människor villvara hjälpsamma och med rätt attityd mot rätt person blir ingen ifrågasatt. Enny arbetare kan lätt bli manipulerad av någon som låtsas ha högre auktoritet.Social manipulation kan utnyttjas för att komma in i ett lokalt nätverk somsedan kan utnyttjas av svagheterna i ARP.

6.2 ARP När en enhet sänder ett datapakettill en annan enhet, kommer paketet att först anlända hos default-gateway:en.För att paketet ska komma fram till rätt enhet kommer routern att utföra enprocess som kallas för ARP-lookup. Om enheten hittas kommer den enheten att fåpaketet. Ett annat fall där ingen matchande IP-adresser hittas i ARP-cachenkommer router att åtgärda problemet med en förfrågning i broadcast format.Denna typen av meddelanden kommer att tas emot av alla enheter förutom den somskickade meddelanden.

Den maskin som känner igen sin IP-adress kommer att svaramed ARP-reply “Den här IP-adressen tillhör mig” på så sätt kan det indikerasatt det är rätt enhet och IP-adressen med maskinens MAC-adress kommer attsparas i ARP-cachen. Detta är för att samma procedur inte ska behövas upprepaflera gånger. ARP 4 är ett “stateless”protokoll som saknar autentisering.

Detta innebär att information om sändareninte sparas, även om ARP håller koll på vilken IP som tillhör en MAC-adress såfinns det inte något sätt för enheterna att autentisera varandra. Det är pågrund av dessa delar i ARP protokollet som utgör möjligheten att attackeranätverk med hjälp av ARP. Generellt sett är ARP-attacker bara använda till föratt komma in i ett nätverk, där man sedan går vidare med man-in-the-middle(mitm) eller denial-of-service (dos) attacker.6.

2.1 ARP-spoofing &ARP-poisoning ARP-spoofing 5 6 8 är en metod för attskapa ett “falskt” ARP packet som ser ut att komma från en annan enhet ellerMAC-adress. Detta är möjligt på grund av att ARP är ett “stateless” protokoll,där enheter automatiskt cache:ar alla ARP svar de får. Med hjälp av ARP-spoofingkan ARP-poisoning utföras, där en kriminell kan lura den attackerade attinformationen i sin ARP-tabell är felaktig.

Om en sådan attack lyckas kommeroffrets nätverk ha en manipulerad IP-till-MAC adress som tillåter attackerarenatt utföra MitM eller DOS attacker. Detta kan leda till att trafik som är ämnadtill routern skickas till hackarens enhet. Figur 1 visar hur hackarenvilseleder datatrafik från vanliga användare genom att låtsas vara LAN gateway:en.

ARP-attacker kan tillåta en kriminell att ta emot och modifiera all data somnätverket skickar.   Figur1 visar en vanlig ARP process och en där den blivit hackad. Detfinns olika programvaror som används för att förebygga ARP-spoofing eller ARP-poisoning.Ett av flera sätt som används för att upptäcka dessa attacker går ut på attimplementerasäkerhetsapplikationen XArp. Figur 2 visar hur det grafiska gränssnittet ser ut när XARP användsför att upptäcka ARP-attacker.

OmXArp skulle hitta ARP-attacker kommer statusen att ändra till “ARP attackdetected” och visa vilken IP-adress somförsöker med ARP-attacker.  Figur2 visar XArp I normalt tillstånd.  6.3 XArp XArp 9 10 är ett avanceraddetektions-program för ARP-spoofing. Programmet är användbart i alla lokalanätverk som har en risk att vara en måltavla för ARP-attacker. Med XArp kan ettnätverk skyddas från attacker som kommer från insidan av nätverket, vilket ären av de vanligaste attackerna som sker.

Denna form av cyberbrott kanmanipulera trafik på nätverket, som mejl, web och data. ARP-attacker kan intestoppas av traditionella brandväggar på grund av att dessa vanligtvis tittar pålager 3 och högre inom OSI-lagren. För att upptäcka ARP-attacker har XArputvecklats. XArp använder aktiva och passiva moduler för att upptäcka olikatyper av ARP-attacker. Det är viktigt att komma ihåg att XArp endast kandetektera ARP-attacker och inte förhindra dem.  7. Resultat Med hjälp av denhypotetisk-deduktiva metoden och analysen från vetenskapliga källor samtexperimentet i tillåtna restauranger gick det att komma fram till ett resultat.Resultatet visar att flera kunder har brister i kunskap om vilka konsekvensersom kan ske om försiktighetsåtgärder inte vidtas.

Risken att bli attackerad avolika ARP-attacker kan reduceras oerhört mycket om nätverkssäkerhets kunskaperförbättras i allmänhet. Detta innebär att med hjälp av ennätverks-säkerhetsutbildning går det att förbättra medvetenhet om vilkakonsekvenser som kan ske och vilket skydd som ska väljas mot en vissnätverks-attack eftersom skadliga attacker såsom ARP-spoofing oftast inte blirupptäckta av traditionella brandväggar. För att minimera risken förARP-attacker kan XArp användas då den använder passiva och aktiva moduler föratt detektera ARP-attacker. Med det presenterade resultatet kan ARP-attackerförminskas vid användning av publika trådlös nätverk. Figur 3 är ett exempel påhur ett nätverk som har en pågående ARP-attack ser ut i XArp.  Figur3, XArp med detekterade ARP-attacker     8.

DiskussionUtifrån den rekommenderadelösningen som har tagits upp går det att minimera risker för ARP-attacker vidanvändning av publika trådlös nätverk. Detta är för att lösningen har blivitvaliderad och XArp visade att vara kapabelt till att detektera attacker och påså sätt kan ARP-attacker förebyggas. Dock förekommer några nackdelar medlösningen. En nackdel handlar om att XArp tillhandahåller bara några funktioneroch en investering behöver göras för att aktivera alla funktioner. En annannackdel handlar om att alla är inte intresserade av lära sig nätverkssäkerheteller förstår inte innebörden att sakna denna kunskap. För att åtgärda ett problemkan andra ARP-upptäckande program installeras 11.

T.ex Netcut som ärett program som kan förebygga ARP-attacker genom att säkerställa att rättIP-adress anknyts till rätt MAC-adress 12.  För att förbättra skyddet motARP-attacker kan den rekommenderade lösningen användas eftersom vanligatraditionella brandväggar oftast inte kan detektera en del skadliga attackersåsom ARP-spoofing. Implementering av lösningen som tagits upp kommer att försvåraför attackerare att utföra dataavlyssning samt datamanipulering. Detta haruppnåtts med experimentet som utfördes där ARP-attacker kunde upptäckas medhjälp av XArp, kunderna har blivit upplysta av experimentet och på så sätt harallmänheten fått uppmärksamhet om ARP-attacker. Kunderna har förhoppningsvisfått ett tillräckligt starkt intryck av vad en ARP-attack kan åstadkomma attinformationen om dem sprids vidare. I det utförda experimentet kanendast ARP-attacker detekteras, det finns inget sätt att förhindra dessaattacker, det finns andra lösningar som inte har denna begränsning 11.

Uppmärksamhetentill denna form av cyberbrott når inte ut till allt för många människor dåendast kunderna som experimentet har utförts hos har fått denna kunskap. Föratt utöka uppmärksamheten till allmänheten måste någon annan form av spridningför informationen ske, alla har inte intresset och kommer vara svåra att nå.Arbetet kan kopplas till tidigare resultat från de företag där känslig databehöver skyddas från att hamna i fel händer. Det är viktigt att hitta balansenmellan säkerhet och tillgänglighet beroende på vilken sorts information somexisterar på det lokala nätverket.

Detta resultat gäller alla lokala nätverkoch bör tas hänsyn till när det finns någon form av information som skickasöver nätverket som inte får hamna hos fel personer. Experimentet kan utförashos alla lokala nätverk som har ett publikt trådlöst nätverk. Om samtligapublika nätverk testar sina nät och implementerar skydd mot ARP-attacker bliralla som använder nätverken säkrare. 9.

Slutsatser Med hjälp av denhypotetisk-deduktiva metoden och vetenskapliga studier samt kunskaper kringARP-attacker går det att fastställa att risken för dataavlyssning och datamanipuleringkan reduceras om rätt skydd används. Svaret på frågeställningen “KanXArp-säkerhetsapplikation upptäcka ARP-spoofing attacker vid användning avpublika trådlösa nätverk?” är en validering från ett experiment där resultatetvisar att det går detektera ARP-attacker med hjälp av XArp. Det finns andrafaktorer som behöver tas hänsyn till.

En av dessa faktorer är brister i kunskapom ARP-attacker. Detta innebär att människor förlitar sig oerhört mycket på attbrandväggar ska kunna förhindra eller upptäcka alla skadliga attacker, menbrandväggar kan oftast inte skydda på lägre OSI-lager än lager tre. Dennasäkerhet är viktig att uppmärksamma för de som använder en publik uppkopplingmedans de hanterar känslig information men bidrar även till ett säkrarenätverk. 10. Framtida arbete Arbetet som har gjorts har någrabegränsningar som kan utföras i framtida arbeten. Att nå ut till allmänheten omsäkerhetsaspekten kan åstakommas på ett annat, bättre sätt och en nyfrågeställning kan tas fram som besvarar hur ett nätverk kan stoppaARP-attacker från att ske i ett lokalt nätverk.

Den nya frågeställning kan seut på följande sätt: “Vilket är det bästa skyddet mot ARP-attacker vidanvändning av publika trådlösa nätverk?”.