Sammanfattning Många restauranger och caféer erbjuder dagligen gratis trådlös

Sammanfattning

Dagens samhälle har övergått och blivit till ett
digitaliserade samhälle. Att kunna vara uppkopplad mot internet har blivit en
viktig del av vårt liv. Många restauranger och caféer erbjuder dagligen gratis
trådlös uppkoppling, dels för marknadsföring och dels för att erbjuda kunder
internet. Detta skapar givetvis ett intresse för kriminella handlingar där
flera hackare använder skadliga attacker som ARP-spoofing för att stjäla eller
avlyssna data som överförs med hjälp av ethern. Den skadliga attacken går ut på
att vilseleda och lura andra internetanvändare genom att hackaren anknyter sin
IP-adress med samma MAC-adress som default-gateway. Detta leder till all data
som är ämnad till routern skickas till hackarens enhet. Utifrån problemet som
beskrivits ovan skapades en fråga om hur skyddet mot olika typer av
ARP-attacker kan förbättras vid användning av publika trådlösa nätverk. Detta
problem åtgärdades genom en vetenskaplig metod, vetenskapliga studier och
kunskaper kring ARP-attacker. Den hypotetisk-deduktiva metoden användes som en
problemlösningsmetod. Anledningen till varför den hypotetisk-deduktiva metoden
valts är för att metoden är effektiv när det handlar om att hitta en lösning
till en vetenskaplig frågeställning. För att kunna stärka skyddet mot
ARP-attacker skapades en frågeställning som ser ut på följande sätt: Kan
Advanced ARP Spoofing Detection(XArp) upptäcka ARP-spoofing attacker vid
användning av publika trådlösa nätverk? Målet med detta arbete är att förebygga
ARP-attacker innan det är försent och syftet med denna frågeställning är att
bidra till att sprida information kring denna form av cyberbrott. Svaret på frågeställningen
avhandlades genom ett fungerande experiment som visar att skadliga attacker
såsom ARP-spoofing kan upptäckas i nätverket med hjälp av programvaran XArp.
Det finns nackdelar med denna lösning, en av dessa nackdelar handlar om ett
annat skydd mot ARP-attacker kanske behöver väljas eftersom en investering
krävs för att utföra kunna använda alla XArps funktioner. En annan nackdel
består av den mänskliga faktorn eftersom alla inte är intresserad av att få
veta vilka hot som finns på internet. Åtgärden till denna nackdel kommer att
uppfyllas i framtida arbete med en ny frågeställning som kommer att väcka
intresse hos allmänheten. Det finns en del begränsningar som kan kallas för
brister i detta arbete. Detta för att arbetet endast hade fokus om hur skadliga
attacker som ARP-spoofing kan bli upptäckta men inte hur de kan förhindras. Där
en ny frågeställning kommer att gå ut på hur ARP-attacker kan förhindras att
ske i ett lokalt nätverk.

We Will Write a Custom Essay Specifically
For You For Only $13.90/page!


order now

 

 

 

 

Innehållsförteckning
1. Inledning. 1
2. Bakgrund.. 1
2.1 Internet Protocol (IP). 2
2.2 Media Access Control (MAC). 2
2.3 Address Resolution
Protocol (ARP) och ARP-spoofing/poisoining. 2
3. Frågeställning. 2
4. Metod.. 3
5. Forskningsetiskt ställningstagande. 3
6. Teknisk beskrivning. 3
6.1 Social manipulation.. 3
6.2 ARP.. 4
6.2.1 ARP-spoofing &
ARP-poisoning. 4
6.3 XArp.. 6
7. Resultat. 6
8. Diskussion.. 7
9. Slutsatser. 7
10. Framtida arbete. 8
11. Referenser. 9

1. Inledning

 

Idag finns det nästan alltid någon form av internetanslutning i varje
hushåll och varje företag. Världen har blivit digitaliserat och detta leder
till att flera människor är uppkopplade mot internet. Denna utveckling av
nätverkstekniken har medfört en stor förändring av vår vardag till exempelvis
med hjälp av datakommunikation kan intressanta resurser utbytas oberoende av
var man befinner sig. Med tanke på att antalet internetanvändare ökar drastisk
tvingar många platser att övergå från vanliga trådbundna nätverket till trådlösa
nätverket. Detta är är en av många anledningar till varför människor blir allt
mer beroende av att vara uppkopplad hela tiden eftersom att koppla upp sig med
hjälp av trådlöst internet är enklare än att rör sig runt med en ethernetkabel.

 

Det finns nästan alltid någon form av internetanslutning i de flesta
restauranger också, dels för att sköta affärer men även för att marknadsföra
och för att kunna erbjuda trådlös uppkoppling till sina kunder. Kunderna har
möjligheten att utnyttja gratis uppkoppling samtidigt som de befinner sig i
restaurangen. Detta skapar givetvis även ett intresse för kriminella handlingar
där flera hackare använder nätverksteknik för att antingen stjäla eller
sabotera det som överförs trådlöst.

 

Det finns olika sätt att nyttja nätverksteknik vid diverse oetiska
handlingar där man bland

annat använder kunskaper om nätverksövervakning för att kunna utföra en
attack som kallas för Address Resolution Protocol (ARP) – spoofing. Attacken
går ut på att den kriminella kan samla all datatrafik som skickas genom
datamanipulering. Rapporten syftar till att besvara frågeställningen: Kan
Advanced ARP Spoofing Detection (XArp) upptäcka ARP-spoofing attacker vid
användning av publika trådlösa nätverk?

2. Bakgrund

 

Många restauranger och caféer erbjuder
dagligen gratis trådlös uppkoppling, dels för marknadsföring och
dels för att erbjuda kunder internet. Detta hjälper kunderna att njuta av sin måltid
samtidigt som de kan utföra sitt arbete på distans.

 

Skillnaden mellan trådbundet Local Area
Network (LAN) och trådlösa nätverk är att risken för
data-avlyssning ökar oerhört mycket vid användningen av trådlöst, eftersom trådlösa nätverk
använder radiosignaler för att skicka och ta emot data. Detta kan

möjliggöra kriminella användare att vilseleda
och manipulera data som överförs och tas

emot i etern genom att utföra en attack som
kallas ARP-spoofing. 1

 

Huvudsyftet med en ARP-attack går ut på att
stjäla eller sabotera viktig data som överförs och tas
emot trådlöst. Samma attack mot trådbundet LAN är inte lika lätt eftersom detta kräver att
de kriminella ansluter sig till en ethernet port som finns på insidan av det nätverk som ska
attackeras. 1

 

2.1 Internet Protocol
(IP)

 

En Internet Protocol (IP)-adress är en binär
adress som alla nätverksenheter använder för att kommunicera med varandra. Vid
anslutning av ett nytt nätverk blir användaren tilldelad en IP-adress. Detta
innebär att användare får olika IP-adresser beroende på vart denne ansluter sig
och beroende på till vilket nätverk. Det är viktigt att förstå att samma IP-adress
inte kan tilldelas på flera enheter eftersom samma IP-adress på flera enheter
skapar förvirring för de

mellanliggande enheterna som routrar och
switchar, då de inte kan fatta beslut över vem

som ska få datat. 2

 

2.2 Media Access
Control (MAC)

 

Media Access Control
(MAC)-adressen är den fysiska adressen som finns i varje nätverkskort. Dessa
typer av adresser är unika och ska aldrig att ändras, men det går att ändra
dessa i både Windows och Linux. Nätverksenheter använder MAC-adresser för att
verifiera vilken IP-adress som tillhör vilken enhet med hjälp av ARP. 3

 

2.3 Address Resolution Protocol (ARP) och
ARP-spoofing/poisoining

 

ARP 4 är ett protokoll som används för att
anknyta en IP-adress till en MAC-adress. När enhet försöker pinga en IP-adress på ett
lokalt nätverk, exempelvis till adressen 192.168.1.1, så kommer systemet att utföra en
ARP-Look-up i sin ARP-tabell för att kolla vilken MAC-adress som tillhör 192.168.1.1-adressen. Om
IP-adressen inte hittas i ARP-tabellen kommer systemet att reda ut det genom att
skicka ut ett broadcast meddelandet som består av ARP-förfrågningen likt
“vem äger adressen 192.168.1.1”, till alla enheter på nätverket. Den maskin som har IP-adressen kommer att
svara med ett ARP-meddelandet som säger “Jag är 192.168.1.1”.

 

Målet med ARP-spoofing och ARP-poisoning 5 är att den kriminella skickar spoofade
ARP-meddelande till ett specifikt LAN. Spoofade ARP-meddelanden handlar om att hackaren anknyter sin MAC-adress med en annan
IP-adress som exempelvis den standard-gateway som vanliga användare använder för att
nå internet. Detta leder till en farlig läcka i nätverket.

3. Frågeställning

 

Frågeställningen
som avhandlas i rapporten:

Kan
XArp-säkerhetsapplikation upptäcka ARP-spoofing attacker vid användning av publika trådlösa nätverk?

 

Syftet med denna
frågeställning är att öka medvetenheten hos alla internetanvändare

gällande
användningen av de publika trådlösa nätverken och hur man kan skydda sig ifrån
en ARP-spoofing attack. För att nå målet måste XArp implementeras i olika
restauranger och caféer.

 

4. Metod

 

För att utföra
experimentet kommer den vetenskapliga hypotetiskt deduktiva metoden att användas.

 

Denna metod kan
delas i fem faser:

1. Vetenskaplig
frågeställning:

Kan XArp-
säkerhetsapplikation upptäcka ARP-spoofing attacker vid användning av publika
trådlösa nätverk?

2. Hypotes:

XArp kan upptäcka
olika typer ARP-attacker.

3. Deduktion:

Skapa en analys
samt simuleringar över experimentet som ska utföras.

4. Experiment:

Experiment sker
hos olika restauranger och caféer med tillåtelse från ägarna och gästerna.

5. Verifikation:

Validering kring
resultat av experimentet för att säkerställa hypotesen är pålitlig.

 

Kali Linux och
XArp kommer att användas för att göra experimentet. Anledningen till varför
Kali Linux valdes är för att denna linux-distribution är lätt att använda för
kunna utföra ARP-spoofing experimentet. För att verifiera och upptäcka
ARP-attacker ska XArp vara installerat på de vanliga mobila enheterna i de
restauranger och caféer där ARP-attacker kommer att ske 6.

5. Forskningsetiskt
ställningstagande

 

Arbetet har ett
forskningsetiskt ställningstagande där undersökningen kommer att testas i olika restauranger och caféer för att verifiera om ARP-spoofing
kommer att lyckas eller inte. Däremot så kommer ingen känslig information att
användas för egen vinning, för det är inte etisk rätt att
stjäla eller manipulera datatrafik.

6. Teknisk
beskrivning

 

För att skyddet mot ARP-attacker skall funka som önskat
behövs förståelse för olika tekniker och protokoll.

 

Alla nedanstående tekniker skall studeras. Med hjälp av
dessa

teknologier kommer nätverket att ha en fungerande
säkerhetslösning mot skadliga attacker som ARP-spoofing och poisoning.

 

6.1 Social manipulation

 

Inom nätverkssäkerhet går de flesta
svagheter att åtgärda med en teknisk lösning men en återstående svaghet är
alltid aspekten av människor. Det enklaste sättet att ta sig in på någons
nätverk är att manipulera de som arbetar på platsen där nätverket finns,
personen som vill ha åtkomst låtsas vara någon form av IT-personal eller
vaktmästare. De som arbetar på platsen förväntar sig oftast inte att det är en
bedragare som pratar med dem. Ifall bedragaren har rätt kläder och attityd mot
personen som den kontaktar kommer behovet att vara hjälpsam ofta ge bedragaren
det den vill ha. Social manipulation 7
är huvudsakligen exploatering av det mänskliga psyket och är en stor risk som
många företag fortfarande inte har tänkt eller skapat något bra skydd mot.

Det finns flera olika sätt att utföra social manipulation men de
följer fyra steg:

·      
Insamling av information

·      
Skapandet av en relation

·      
Utnyttjning av relationen

·      
Utnyttjning som ger tillgång till
målet

För att utföra information-steget
letas information fram från publika källor och används för att skapa en
relation till arbetsplatsen samt personalen. När en sådan relation har hittats
kan detta utnyttjas mot personalen och slutligen leda till åtkomst av det
attacken var riktad mot. Detta kan utföras både fysiskt och digitalt. Genom
telefonsamtal, mejl eller att gå in på arbetsplatsen och prata med personal.
Anledningen till att detta är en stor risk för företag är att människor vill
vara hjälpsamma och med rätt attityd mot rätt person blir ingen ifrågasatt. En
ny arbetare kan lätt bli manipulerad av någon som låtsas ha högre auktoritet.
Social manipulation kan utnyttjas för att komma in i ett lokalt nätverk som
sedan kan utnyttjas av svagheterna i ARP.

6.2 ARP

 

När en enhet sänder ett datapaket
till en annan enhet, kommer paketet att först anlända hos default-gateway:en.
För att paketet ska komma fram till rätt enhet kommer routern att utföra en
process som kallas för ARP-lookup. Om enheten hittas kommer den enheten att få
paketet. Ett annat fall där ingen matchande IP-adresser hittas i ARP-cachen
kommer router att åtgärda problemet med en förfrågning i broadcast format.
Denna typen av meddelanden kommer att tas emot av alla enheter förutom den som
skickade meddelanden. Den maskin som känner igen sin IP-adress kommer att svara
med ARP-reply “Den här IP-adressen tillhör mig” på så sätt kan det indikeras
att det är rätt enhet och IP-adressen med maskinens MAC-adress kommer att
sparas i ARP-cachen. Detta är för att samma procedur inte ska behövas upprepa
flera gånger.

ARP 4 är ett “stateless”
protokoll som saknar autentisering. Detta innebär att information om sändaren
inte sparas, även om ARP håller koll på vilken IP som tillhör en MAC-adress så
finns det inte något sätt för enheterna att autentisera varandra. Det är på
grund av dessa delar i ARP protokollet som utgör möjligheten att attackera
nätverk med hjälp av ARP. Generellt sett är ARP-attacker bara använda till för
att komma in i ett nätverk, där man sedan går vidare med man-in-the-middle
(mitm) eller denial-of-service (dos) attacker.

6.2.1 ARP-spoofing &
ARP-poisoning

 

ARP-spoofing 5 6 8 är en metod för att
skapa ett “falskt” ARP packet som ser ut att komma från en annan enhet eller
MAC-adress. Detta är möjligt på grund av att ARP är ett “stateless” protokoll,
där enheter automatiskt cache:ar alla ARP svar de får. Med hjälp av ARP-spoofing
kan ARP-poisoning utföras, där en kriminell kan lura den attackerade att
informationen i sin ARP-tabell är felaktig. Om en sådan attack lyckas kommer
offrets nätverk ha en manipulerad IP-till-MAC adress som tillåter attackeraren
att utföra MitM eller DOS attacker. Detta kan leda till att trafik som är ämnad
till routern skickas till hackarens enhet. Figur 1 visar hur hackaren
vilseleder datatrafik från vanliga användare genom att låtsas vara LAN gateway:en.
ARP-attacker kan tillåta en kriminell att ta emot och modifiera all data som
nätverket skickar.

 

Figur
1 visar en vanlig ARP process och en där den blivit hackad.

 

Det
finns olika programvaror som används för att förebygga ARP-spoofing eller ARP-

poisoning.
Ett av flera sätt som används för att upptäcka dessa attacker går ut på att

implementera
säkerhetsapplikationen XArp. Figur 2 visar hur det grafiska gränssnittet ser ut när XARP används
för att upptäcka ARP-attacker. Om
XArp skulle hitta ARP-attacker kommer statusen att ändra till “ARP attack
detected” och visa vilken IP-adress som
försöker med ARP-attacker.

 

Figur
2 visar XArp I normalt tillstånd.

 

 

6.3 XArp

 

XArp 9 10 är ett avancerad
detektions-program för ARP-spoofing. Programmet är användbart i alla lokala
nätverk som har en risk att vara en måltavla för ARP-attacker. Med XArp kan ett
nätverk skyddas från attacker som kommer från insidan av nätverket, vilket är
en av de vanligaste attackerna som sker. Denna form av cyberbrott kan
manipulera trafik på nätverket, som mejl, web och data. ARP-attacker kan inte
stoppas av traditionella brandväggar på grund av att dessa vanligtvis tittar på
lager 3 och högre inom OSI-lagren. För att upptäcka ARP-attacker har XArp
utvecklats. XArp använder aktiva och passiva moduler för att upptäcka olika
typer av ARP-attacker. Det är viktigt att komma ihåg att XArp endast kan
detektera ARP-attacker och inte förhindra dem.

 

7. Resultat

 

Med hjälp av den
hypotetisk-deduktiva metoden och analysen från vetenskapliga källor samt
experimentet i tillåtna restauranger gick det att komma fram till ett resultat.
Resultatet visar att flera kunder har brister i kunskap om vilka konsekvenser
som kan ske om försiktighetsåtgärder inte vidtas. Risken att bli attackerad av
olika ARP-attacker kan reduceras oerhört mycket om nätverkssäkerhets kunskaper
förbättras i allmänhet. Detta innebär att med hjälp av en
nätverks-säkerhetsutbildning går det att förbättra medvetenhet om vilka
konsekvenser som kan ske och vilket skydd som ska väljas mot en viss
nätverks-attack eftersom skadliga attacker såsom ARP-spoofing oftast inte blir
upptäckta av traditionella brandväggar. För att minimera risken för
ARP-attacker kan XArp användas då den använder passiva och aktiva moduler för
att detektera ARP-attacker. Med det presenterade resultatet kan ARP-attacker
förminskas vid användning av publika trådlös nätverk. Figur 3 är ett exempel på
hur ett nätverk som har en pågående ARP-attack ser ut i XArp.

 

Figur
3, XArp med detekterade ARP-attacker

 

 

 

 

 

8. Diskussion

Utifrån den rekommenderade
lösningen som har tagits upp går det att minimera risker för ARP-attacker vid
användning av publika trådlös nätverk. Detta är för att lösningen har blivit
validerad och XArp visade att vara kapabelt till att detektera attacker och på
så sätt kan ARP-attacker förebyggas. Dock förekommer några nackdelar med
lösningen. En nackdel handlar om att XArp tillhandahåller bara några funktioner
och en investering behöver göras för att aktivera alla funktioner. En annan
nackdel handlar om att alla är inte intresserade av lära sig nätverkssäkerhet
eller förstår inte innebörden att sakna denna kunskap. För att åtgärda ett problem
kan andra ARP-upptäckande program installeras 11. T.ex Netcut som är
ett program som kan förebygga ARP-attacker genom att säkerställa att rätt
IP-adress anknyts till rätt MAC-adress 12.

 

För att förbättra skyddet mot
ARP-attacker kan den rekommenderade lösningen användas eftersom vanliga
traditionella brandväggar oftast inte kan detektera en del skadliga attacker
såsom ARP-spoofing. Implementering av lösningen som tagits upp kommer att försvåra
för attackerare att utföra dataavlyssning samt datamanipulering. Detta har
uppnåtts med experimentet som utfördes där ARP-attacker kunde upptäckas med
hjälp av XArp, kunderna har blivit upplysta av experimentet och på så sätt har
allmänheten fått uppmärksamhet om ARP-attacker. Kunderna har förhoppningsvis
fått ett tillräckligt starkt intryck av vad en ARP-attack kan åstadkomma att
informationen om dem sprids vidare.

 

I det utförda experimentet kan
endast ARP-attacker detekteras, det finns inget sätt att förhindra dessa
attacker, det finns andra lösningar som inte har denna begränsning 11. Uppmärksamheten
till denna form av cyberbrott når inte ut till allt för många människor då
endast kunderna som experimentet har utförts hos har fått denna kunskap. För
att utöka uppmärksamheten till allmänheten måste någon annan form av spridning
för informationen ske, alla har inte intresset och kommer vara svåra att nå.
Arbetet kan kopplas till tidigare resultat från de företag där känslig data
behöver skyddas från att hamna i fel händer. Det är viktigt att hitta balansen
mellan säkerhet och tillgänglighet beroende på vilken sorts information som
existerar på det lokala nätverket. Detta resultat gäller alla lokala nätverk
och bör tas hänsyn till när det finns någon form av information som skickas
över nätverket som inte får hamna hos fel personer. Experimentet kan utföras
hos alla lokala nätverk som har ett publikt trådlöst nätverk. Om samtliga
publika nätverk testar sina nät och implementerar skydd mot ARP-attacker blir
alla som använder nätverken säkrare.

 

9. Slutsatser

 

Med hjälp av den
hypotetisk-deduktiva metoden och vetenskapliga studier samt kunskaper kring
ARP-attacker går det att fastställa att risken för dataavlyssning och datamanipulering
kan reduceras om rätt skydd används. Svaret på frågeställningen “Kan
XArp-säkerhetsapplikation upptäcka ARP-spoofing attacker vid användning av
publika trådlösa nätverk?” är en validering från ett experiment där resultatet
visar att det går detektera ARP-attacker med hjälp av XArp. Det finns andra
faktorer som behöver tas hänsyn till. En av dessa faktorer är brister i kunskap
om ARP-attacker. Detta innebär att människor förlitar sig oerhört mycket på att
brandväggar ska kunna förhindra eller upptäcka alla skadliga attacker, men
brandväggar kan oftast inte skydda på lägre OSI-lager än lager tre. Denna
säkerhet är viktig att uppmärksamma för de som använder en publik uppkoppling
medans de hanterar känslig information men bidrar även till ett säkrare
nätverk.

 

10. Framtida arbete

 

Arbetet som har gjorts har några
begränsningar som kan utföras i framtida arbeten. Att nå ut till allmänheten om
säkerhetsaspekten kan åstakommas på ett annat, bättre sätt och en ny
frågeställning kan tas fram som besvarar hur ett nätverk kan stoppa
ARP-attacker från att ske i ett lokalt nätverk. Den nya frågeställning kan se
ut på följande sätt: “Vilket är det bästa skyddet mot ARP-attacker vid
användning av publika trådlösa nätverk?”.