Netzwerksicherheit auf dem PrüfstandSicherheits-Check
13,6 Angriffe pro Tag
Netzwerksicherheit auf dem Prüfstand
Anfang März legte Symantec seinen halbjährlich erscheinenden Threat Report vor. Die darin veröffentlichten Zahlen geben wenig Grund zur Freude. Ein Unternehmen war zwischen Juli und Dezember 2004 im Durchschnitt 13,6 Angriffen pro Tag ausgesetzt.
Das Ausspähen vertraulicher Informationen hat dabei vor allem in den letzten drei Monaten des vergangenen Jahres einen enormen Aufschwung erlebt. Bei der Administration eines Netzwerks, das eine Verbindung zum Internet hat, sollte die Sicherheit von Daten und Anwendungen daher an erster Stelle stehen. Denn geraten vertrauliche Daten Ihrer Firma oder gar sensibe Kundendaten in falsche Hände, sind der Imageschaden und der finanzielle Verlust groß. Das betrifft kleine Firmen und Web-Agenturen genauso wie große Unternehmen.
Dabei kommt die Gefahr für das Netzwerk schon lange nicht mehr nur von außen auf Sie zu. Falsch oder unzureichend konfigurierte lokale Netzwerke stellen ebenfalls eine erhebliche Gefahr dar. Internet Professionell zeigt, wo die Gefahren im LAN auftreten und wie Sie mögliche Sicherheitslücken schließen.
Der Feind in den eigenen Reihen
Netzwerksicherheit auf dem Prüfstand
Wer sein Netzwerk und Zugang vom Internet aus sicher machen will, der muss nicht nur vor der eigenen Haustür kehren, sondern auch für innere Sicherheit sorgen. Die Schutzmaßnahmen sollten also im Netzwerk beginnen.
Können Sie sich vorstellen, dass Ihr Kollege gerade Ihre sicher geglaubte Internet-Banking-Verbindung im Klartext mitlesen kann oder in den letzten zehn Minuten Ihre Passwörter für den firmeninternen E-Mail-Server abgefangen hat? Während das Mithören und Auswerten von Netzwerkdaten und deren Auswertung vor einigen Jahren noch eine Menge Netzwerk-Know-how erforderte, gibt es heute im Internet eine Reihe von Windows-Tools, die jedermann schnell zum Hobby-Hacker machen. Das Windows-Tool Cain & Abel von Oxid (www.oxid.it) soll im Folgenden zeigen, wie einfach man Daten unbemerkt abfangen kann. Einzige Voraussetzung: Der PC muss im gleichen Subnetzwerk wie sein Angriffsziel installiert sein. Per Setup-Datei wird Cain & Abel installiert. Die notwendigen Treiber können dabei gleich automatisch mit eingespielt werden. Vor dem Angriff muss sich Cain&Abel einen Überblick über das Netzwerk verschaffen. Ein ARP-Scan hilft, andere Rechner im Netzwerk zu finden.
Man-in-the-Middle-Angriffe
Netzwerksicherheit auf dem Prüfstand
Ein Angriff mit dem Tool erfolgt auf dem klassischen Man-in-the-Middle-Angriffsweg. Während Rechner A glaubt, eine direkte Verbindung mit Rechner B zu haben, klemmt sich Cain & Abel zwischen die Verbindung von A und B. Sämtliche ausgetauschten Daten laufen dann nicht mehr den direkten Weg zwischen A und B, sondern werden über C umgeleitet. Möglich wird ein solcher Angriff mit dem Adress Resolution Protocol (ARP), das im LAN die Zuordnung zwischen IP-Adresse und physischer Netzwerkkarte vornimmt. Bei einem Angriff übernimmt Cain & Abel die Identität des Kommunikationsziels, indem es sich alle an den Rechner gerichtete Pakete zuschicken lässt.
Die Gefahren, die ein solcher Angriff mit sich bringt, sind groß. Cain & Abel besitzt beispielsweise eine Funktion, um eine per SSL geschützte HTTP-Verbindung komplett mitzuschneiden. Beim Verbindungsaufbau zwischen Client und Server erstellt Cain & Abel eine Kopie des SSL-Zertifikats, mit dem der Server seine Echtheit gegenüber dem Client ausweisen soll. An Stelle des Servers sendet jetzt der Angreifer in der Mitte die Daten und das Zertifikat an den Client zurück. Durch den Browser wird der Anwender zwar darauf hingewiesen, dass etwas mit dem SSL-Zertifikat des Servers nicht stimmt, allzu häufig wird dieser Hinweis jedoch ignoriert und die Verbindung trotzdem aufgebaut. Während man sich bei der Verbindung in Sicherheit wiegt, protokolliert Cain & Abel sämtliche übertragenen Daten wie zum Beispiel Kontonummern, Passwörter oder geheime Unterlagen im Klartext.
LAN vor ARP-Angriff schützen
Netzwerksicherheit auf dem Prüfstand
Dies ist nur ein Beispiel dafür, wie einfach man einen Man-in-the-Middle-Angriff aufbauen kann. Cain & Abel bietet noch eine Reihe weiterer Angriffsmöglichkeiten auf Passwörter und geschützte Verbindungen.
Warum kann ein solcher Angriff funktionieren und wie kann man sich dagegen schützen? Jedes Netzwerk, das einen ungehinderten Zugang ermöglicht, kann Opfer eines Angriffs werden. Schützen lässt sich der Zugang zum LAN bereits durch die eingesetzte Hardware. Viele Switches bieten die Möglichkeit, auf einem Port nur einen Rechner mit einer bestimmten MAC-Adresse zuzulassen. Sobald eine Netzwerkkarte mit einer anderen als der konfigurierten MAC-Adresse angeschlossen wird, wird der Port automatisch gesperrt. Ein weiteres Hilfsmittel ist die Konfiguration von VLANs auf einem Switch. Nur Rechner, die zu einem VLAN gehören, können miteinander kommunizieren. Auf der Software-Seite bietet sich das Tool ARP-Watch (ftp.ee.lbl.gov/arpwatch.tar.gz) an. Es ist in der Software-Ausstattung vieler Linux-Distributionen bereits enthalten. ARP-Watch erkennt Angriffe, die mit Hilfe von Manipulationen des ARP-Protokolls erfolgen, und meldet sie.
Sichere Zugangsdaten
Netzwerksicherheit auf dem Prüfstand
Wer Tools wie Cain & Abel einsetzt, muss nicht einmal eine HTTPS-Verbindung übernehmen, um in den Besitz von vertraulichen Zugangsdaten und Passwörtern zu gelangen. Von vielen Anwendungen werden die Zugangsdaten im Klartext über das Netzwerk gesendet, ohne dass der Benutzer hiervon Kenntnis hat. Wer zum Beispiel eine Datei per FTP von einem Internet-Server lädt oder über POP3 seine E-Mails vom Server abruft, sendet bei der Kontaktaufnahme mit dem Server sein Login und Passwort im Klartext über das Netzwerk.
Tools wie Ethereal können den kompletten Netzwerk-Datenverkehr unter Linux oder Windows mitprotokollieren und diesen anschließend noch bequem nach Nutzerwünschen filtern. Noch einfacher geht es mit dem zuvor schon verwendeten Cain & Abel. Hier werden Passwörter gleich automatisch herausgefiltert und nach Anwendungen sortiert. Zusätzlich zu den Passwörtern, die im Klartext über das Netzwerk gehen, fängt Cain&Abel auch verschlüsselte Passwörter ab und kann diese anschließend an den im Programm integrierten Brute-Force-Passwortknacker übergeben.
Neben den bereits genannten Methoden zur Abwehr ungewollter Netzwerkzugänge durch die Möglichkeiten der eingesetzten Hardware bieten sich auch auf Anwendungsprotokollebene Alternativen an. Statt einer unsicheren Telnet-Verbindung sollte man auf sichere SSH- Verbindungen (Version 2) setzen. Beim Dateitransfer bieten sich SFTP (www.winscp.net) und SCP als Alternative zu FTP an. Für die sichere E-Mail-Übertragung ist der Einsatz von SSL-gesicherten Verbindungen zwischen Client und Server das Mittel der Wahl. Outlook-Anwender aktivieren die gesicherte Verbindung für ein E-Mail-Konto unter Weitere Einstellungen, Erweitert, Dieser Server verwendet eine sichere Verbindung.
Durch die Hintertür
Netzwerksicherheit auf dem Prüfstand
Einer der wichtigsten Ansatzpunkte für ein allumfassendes Sicherheitsmanagement ist die Absicherung des Übergangspunkts zwischen LAN und Internet. An einem zentralen Punkt muss der komplette Datenverkehr zwischen dem internen Netzwerk und dem Internet zusammenfließen. Hier gilt es, Sicherheits-Tools wie Virenscanner, Spamfilter und Content-Filter zu installieren, um die Sicherheit des kompletten Datenverkehrs mit der Außenwelt zu gewährleisten. Neben ausgereiften Sicherheitsmaßnahmen für die Gefahren, die aus dem Internet drohen, gilt es ebenfalls, geeignete Abwehrmechanismen für interne Bedrohungen be
reitzuhalten.
Für den Transport von Daten zwischen dem heimischen PC und dem Office-Rechner haben sich USB-Memorysticks als Datenträger etabliert. Durch den Einsatz von USB-Sticks können Daten ungehindert in und aus dem Netzwerk kopiert werden.
Mit Hilfe von Tools wie Drivelock von Centertools (www.centertools.de) lässt sich der Zugriff auf USB-Memory-Sticks verwalten und so der ungeregelte Zugang zum LAN per USB-Anschluss ausschließen. Wer als Administrator den Einsatz von USB-Sticks zulässt, sollte sicherstellen, dass jeder PC mindestens mit einem Virenscanner ausgestattet ist, der über die aktuellen Virensignaturen verfügt.
Privates Mailen & Surfen
Netzwerksicherheit auf dem Prüfstand
Nicht zu unterschätzen ist auch die Gefahr, die durch privates Websurfen oder den Abruf privater E-Mails am Arbeitsplatz entsteht. Werden E-Mails statt über den zentralen Firmenserver parallel auch per Web-Frontend oder direkt per POP3/Imap von einem Freemail-Anbieter abgerufen, so können auf diesem Weg Viren und Würmer den Weg in das Netzwerk finden und gleichzeitig heimlich vertrauliche Informationen nach außen gelangen.
Ungewollten Internet-Aktivitäten der Anwender schiebt die Firewall einen Riegel vor. Werden für alle Clients im LAN Internet-Verbindungen zu den TCP-Ports 110 (POP3), 25 (SMTP) und der TCP-Port (143) sowie 995 (POP3 mit SSL) und 993 (Imap mit SSL) gesperrt, ist der Abruf der E-Mails auf den Standard-Ports nicht mehr möglich.
Die Kontaktaufnahme zum Web-Interface des Freemailers lässt sich damit jedoch nicht unterbinden. Eine Sperrung des HTTP/HTTPS-Ports auf der Firewall würde sicherlich zu einem Proteststurm führen. Ein möglicher Lösungsansatz ist die Sperrung sämtlicher IP-Adressen der Server von Freemailern. Auf Grund der Vielzahl der unterschiedlichen Dienste ist dies in der Praxis jedoch ebenfalls kaum zu realisieren.
Statt auf IP-Ebene die Daten zu filtern, empfiehlt sich der Einsatz von Content-Filtern, die auf Anwendungsprotokollebene die übertragenen Daten kontrollieren und unerwünschte Inhalte blocken. Kommerzielle Lösungen, wie sie beispielsweise von Webwasher angeboten werden, erlauben dem Administrator die Auswahl der zu blockierenden Inhalte und sperren unerwünschte URLs automatisch aus. Als nützlicher Nebeneffekt arbeiten die Content-Filter zusätzlich noch als Virenscanner für Internet-Downloads. Eine Alternative zu den kommerziellen Produkten ist die Installation des kostenlosen HTTP-Proxys Squid (www.squid.org). Eine Reihe von Add-ons wie Viralator (viralator.sourceforge.net) oder Dans Guardian (www.dansguardian.org) erweitern den Proxy um Sicherheitsfunktionen zum Virenscan von Downloads und zur Content-Filterung.
Gefahren erkennen und reagieren
Netzwerksicherheit auf dem Prüfstand
Nicht immer können Firewall-Regeln, Virenscanner und Content-Filter einen Angriff aus dem Internet oder dem LAN erkennen und abwehren. Fast täglich werden neue Sicherheitslücken in weit verbreiteten Produkten bekannt, die eine Gefahr für das System und die darin gespeicherten Daten darstellen. Wem es gelingt, ein speziell präpariertes Programm ins Firmennetz einzuschleusen oder selbst eine Software zu entwickeln, die gezielt eine bestimmte Schwachstelle attackiert, der kann von innen heraus massiven Schaden an der IT-Infrastruktur anrichten.
Bei der Erkennung und der Abwehr von bekannten und unbekannten Angriffen über das Netzwerk nehmen Intrusion-Detection-Systeme (IDS) eine Schlüsselrolle ein. Ein IDS sollte dabei nicht nur den Datenverkehr zwischen LAN und Internet überwachen, sondern mit einem zusätzlichen Sensor ebenfalls einen Blick auf die lokalen Netzwerke werfen.
Bremsklötze für das IDS
Netzwerksicherheit auf dem Prüfstand
Für den wirksamen Einsatz eines IDS muss dieses wie auch ein Angreifer sämtliche Pakete im Netzwerk analysieren können. In modernen geswitchten LAN-Umgebungen kann dies zu einem Problem werden, da der Switch die Daten nur an die für die Kommunikation relevanten Systeme verschickt. Einige Switch-Anbieter versehen ihre Geräte mit speziellen Spiegel-Ports, auf die der komplette Datenverkehr, der den Switch passiert, zusätzlich kopiert wird. Ein an diesem Port angeschlossenes IDS kann so sämtliche Datenpakete analysieren.
Trotzdem besteht die Gefahr, dass bei einer Vielzahl von gleichzeitigen Verbindungen nicht alle Daten kopiert werden können oder dass die Datenmenge die Kapazität des IDS-Ports übersteigt. Gleichzeitig mit dem Switch muss auch das IDS die Menge an Daten in Echtzeit verarbeiten können eine ausreichend dimensionierte und leistungsfähige Hardware ist hier Pflicht. Das IDS-System sollte dediziert für die Gefahrenerkennung und -abwehr eingesetzt werden. Die kostenlose IDS-Lösung Snort (www.snort.org) kennt eine Vielzahl bekannter Angriffskonzepte und deren Signaturen und kann den kompletten Netzwerkverkehr überwachen.
Für die Speicherung der gesammelten IDS-Ereignisse empfiehlt sich der Einsatz einer zentralen Datenbank. Snort unterstützt die Datenbanksysteme MySQL und Postgres. Für die Konfiguration und den Betrieb eines Snort-IDS stehen eine Reihe von Zusatz-Tools wie zum Beispiel die Analysis Console for Intrusion Databases (ACID) zur Verfügung. Bei kommerziellen IDS-Anbietern wie Enterasys Networks oder Cisco gibt es IDS-Komplettpakete aus einer Hand. Wichtig für den Betrieb eines IDS ist, dass dessen Signaturdatenbank wie bei einem Virenscanner stets auf dem neuesten Stand ist und damit neuartige Angriffe erkennen und abwehren kann.