Stellen Sie sich vor, Ihr IT-Netzwerk ist eigentlich eine Burg. Das Gäste Netz, inklusive Räume, in welchen sich Gäste aufhalten, ist der Marktplatz. Die Netzwerkschnittstellen zu den Clients stellen die Wohnhäuser innerhalb der Burgmauern dar. Und die Server-Umgebung betrachten wir als das Schloss mit der Schatzkammer. Fehlt nur noch der Hacker. Der ist ein Räuber, welcher hinter den Schätzen des Schlosses her ist.

Dieser Räuber konnte schon einen Händler in der Burg überzeugen, dass er der beste Verkäufer ist. Das ermöglichte dem Räuber als Verkäufer getarnt an der 30 Meter hohen Burgmauer mit ihren Wassergräben, Krokodilen und den tausend Wachen auf den Marktplatz zu gelangen. Genau so funktionieren heutige Social Engineering Angriffe. Getarnt gelingt es dem Angreifer alle gängigen Sicherheitskomponenten am Perimeter, wie Firewall, Proxy und IPS auszulassen. Und was soll ihn danach noch aufhalten, die Schätze zu stehlen? Auch schon die Herren des Mittelalters mussten sich Gedanken machen, wie Wertsachen des Burgherrs geschützt werden können.

Der Einstieg

In unserer virtuellen Burg dringt der Räuber, nachdem er sich vom Markt weggeschlichen hat, in ein Wohnhaus ein. Darin erhofft er weitere Informationen zum Schloss zu finden und sein weiteres Vorgehen zu planen. Dazu sucht er sich ein leerstehendes Haus. Zurück in der Moderne wäre das ein freier Netzwerkanschluss. Einmal sein Hackergerät eingesteckt und schon befindet sich der «Räuber» auf Informationssuche.

Barrikaden

Was also kann dagegen gemacht werden. Im Mittelalter würden die leerstehenden Wohnhäuser barrikadiert werden, damit diese nicht besetzt werden. In einem Netzwerk bedeutet das, die nicht gebrauchten Switch-Schnittstellen zu deaktivieren. Wichtig ist natürlich die Übersicht zu behalten, welche Schnittstellen gebraucht werden und welche nicht. Abhilfe kann geschaffen werden, indem die Description-Felder auf den Switchen gebraucht werden. Es können direkt verbundene Geräte oder Netzwerkdosen eingetragen werden. Ein Prozess sollte zudem regeln, dass nicht mehr benötigte Schnittstellen auch wieder deaktiviert werden.

Identifizieren

Nachdem nun unser Räuber kein leerstehendes Haus gefunden hat, in welches er sich einnisten konnte, versucht er in ein Wohnhaus einzudringen, in welchem niemand zuhause ist. Dummerweise sind die Bewohner der Burg alle vorsichtig genug um die Türen abzuschliessen. Genau ein solcher Schutz sollte auch in einem Netzwerk vorgenommen werden. «Schliessen» Sie die Schnittstellen ab, indem definiert ist, welches Gerät auf welcher Schnittstelle angeschlossen ist. Dazu gibt es verschiedene Techniken. Die gängigste, aber auch die unsicherste, ist das hinterlegen der MAC-Adresse des angeschlossenen Gerätes. Unsicher, weil eine solche schnell kopiert werden kann. Besser ist es mittels Switch-Management Anwendungen auf den Clients zu prüfen, ob richtige Zertifikate vorhanden sind, ob die Antiviren Software aktuell ist oder ob es sich um ein Domänengerät handelt. Je nachdem welche Bedingungen der Client erfühlt, wird das Gerät in ein entsprechendes Netzwerk verbunden.

Der Aufstieg

Unser Räuber war erfolgreich und konnte ein Schlüssel zu einem Wohnhaus kopieren. Nun geht es ans Informationen sammeln. Am besten geht das natürlich, wenn das Haus direkt neben dem Schloss liegt. Somit kann er sich frei ans Schloss heranbewegen, um mögliche Schwachstellen zu finden. Es kann erschreckend einfach sein, in die Server-Umgebung einzudringen, wenn sich die Clients und Server im gleichen Netzwerk befinden.

Die Mauern

Eine Burg besteht natürlich nicht nur aus einer grossen Mauer um alles herum, sondern auch aus kleineren Mauern im Inneren. Um von einem Teil in einen anderen Teil der Burg zu gelangen, muss der Räuber wiederum ein Tor passieren. Genau das sollte auch in einem Netzwerk beherzigt werden. Dieses sollte in verschiedene Segmente unterteilt werden. Am besten gibt es für jede Gruppe von Komponenten (Drucker, Clients, Server, Gäste, Netzwerkgeräte) ein eigenes Netz. Noch besser ist natürlich die Komponenten zusätzlich nach Abteilungen einzuteilen. Nun bringt natürlich das alleinige Aufstellen einer Mauer keinen wirklichen Schutz, da durch die offenen Tore alle hinein- und hinausgehen können.

Die Wachen

Deshalb müssen auch auf den inneren Mauern Wachen platziert werden. Was so viel heisst, wie eine Firewall zwischen den Netzwerksegmenten zu installieren. Auch hier geht wieder alles über die Vorbereitung. Mit einer Zugriffmatrix können zuerst alle Verbindungen zwischen Clients und Server definiert werden.

burg1
Abbildung 1: Zugriffsmatrix

Auf diese kann aufgebaut werden, in dem definiert wird, welcher Port für welche Verbindung benötigt wird. Bei einer ordentlichen Vorbereitung kann die Firewall ohne grosse Überraschungen in Betrieb genommen werden.

burg2
Abbildung 2: Service Ports

Veröffentlicht

Um dem Volk nahe zu sein, hat der König einen Teil des Schlosses der Öffentlichkeit zur Besichtigung freigegeben. Der Räuber hat davon Wind bekommen und sofort diesen Teil des Schlosses besucht, mit dem Gedanken von dort aus in die privaten Gemächer des Monarchen vorzudringen. Dasselbe geschieht auch in einem modernen Unternehmen. Zum Beispiel wird die Möglichkeit zur Verfügung gestellt, die Mails von ausserhalb der Firma abzurufen. Natürlich werden für den Zugriff Anmeldedaten benötigt, dennoch ist der Server von jedem im Internet erreichbar. Die Schwachstellensuche kann beginnen.

Auftrennung

Wie auch der König den öffentlichen Bereich mit vielen Wachen von seinen privaten Gemächern abtrennt, muss der vom Internet erreichbare Server von den anderen Servern getrennt sein. In den meisten Fällen ist eine solche Segmentierung (DMZ) schon vorhanden, aber bei unseren Audits erleben wir immer wieder, dass sich z.B. der Exchange (inkl. OWA) im Server-Netz (LAN) befindet. Somit werden die eigenen Sicherheitsmechanismen umgangen.

Der Umstieg

Unser Räuber ist bis jetzt in keinem Szenario weitergekommen und langsam am Ende seiner Kräfte. Beim zurückschlendern zu dem Wohnhaus beobachtet er, wie ein Bürger eine Stadtwache um Hilfe bittet. Er sieht wieviel Vertrauen die Stadtwache geniesst und beschliesst das auszunützen. Getarnt als Wache der Stadt geht er auf die Strasse und versucht so viele Informationen von den Bürgern zu sammeln wie möglich. In unserer realen Welt können wir das mit einer Man-in-the-Middle Attacke vergleichen.

Falscher Vermittler

Als erstes versucht der Räuber sich als vertrauenswürdiger Bote der Stadtwache auszugeben. Dazu geht er zu den bestehenden Boten und teilt ihnen mit, dass er der neue Hauptbote ist. Diese sollen in Zukunft alle Nachrichten nur noch über ihn weitergeben. In einem Netzwerk wird dazu das STP (Spanning-Tree-Protokoll) missbraucht. Dieses ist zuständig, dass ein Netzwerk redundant aufgebaut werden kann. Dazu wird im Netzwerk der Root-Switch (Hauptbote) bestimmt. Alle Verbindungen zu diesem sind als aktiv zu bezeichnen, alle anderen fallen in einen Standby-Modus.

burg3
Abbildung 3: Redundantes Netzwerk

In einer schlecht konfigurierten Umgebung kann ein Hacker sich als Root-Switch ausgeben und die Kommunikation über seinen Computer laufen lassen. Mit verschiedenen Anwendungen kann er diese Kommunikation mitschneiden und auswerten.

burg4
Abbildung 4: Angreifer als Root

Um dies in unserem Burgenszenario zu verhindern, wurden allen Boten von offizieller Stelle mitgeteilt, wer Bote und Hauptbote werden darf. In einem Netzwerk wird das auf den Switch-Schnittstellen definiert. Auf diesen kann eine sogenannte BPDU Guard eingerichtet werden. Damit wird verhindert, dass die Struktur der Redundanz von unerlaubten Netzwerkgeräten verändert werden kann.

Falscher Gateway

Als der Räuber merkte, dass es mit den Botengängen nichts wird, überlegte er sich einen neuen Plan. Er schritt verkleidet als Stadtwache vor das Tor der inneren Mauer. Dort verkündete er lauthals, dass sein «Zwillingsbruder» die neue Ansprechperson für alle Anliegen ist. Vergleichbar kann das in einem Netzwerk durch ein DHCP Spoofing bewerkstelligt werden. Dabei gibt sich ein manipuliertes Gerät als DHCP-Server aus, der manipulierte DHCP-Antworten versendet. Mit diesen wird ein Gateway angegeben, welcher unter der Kontrolle des Hackers steht. Somit kann wie im oberen Szenario die komplette Kommunikation mitgeschnitten werden. Der falsche Gateway leitet natürlich die Anfragen an den offiziellen Gateway weiter, damit der Anwender nichts bemerkt.

burg5
Abbildung 5: Man-in-the-Middle

Doch die Verwaltung der Burg war dem Räuber wieder einen Schritt voraus. Auch hier wurde schon im Vorfeld von offizieller Stelle definiert, wer neue Ansprechpartner verkünden darf. In einem Netzwerk wird das ebenfalls, wie im vorherigen Szenario auf den Switchen definiert. Jede Schnittstelle, die nicht mit einem DHCP-Server verbunden ist, wird so eingerichtet, dass von den angeschlossenen Geräten keine DHCP-Antworten kommen dürfen.

Der Abstieg

Am Schluss bleibt dem Räuber nichts weiter übrig, als seine Sachen zu packen und ohne Beute die Burg zu verlassen. Auch wenn er bei seinen Machenschaften nicht erwischt wurde, konnte er nichts mitnehmen. Und genau das ist ein wichtiger Punkt. Heutzutage gibt es tausende von Räubern in der digitalen Welt und die meisten schaffen es mittels Social Engineering Angriffen erfolgreich auf den Marktplatz zu kommen. Die Hürden zwischen Markplatz und Schatzkammer sind dann häufig so gering, dass es für den Räuber einfach ist, sich zu bereichern. Deshalb müssen wir unsere Burgen und Schlösser entsprechend abriegeln. Oder wie es häufig genannt wird: Wir müssen uns vor Angriffen schützen, die von innen kommen. Abriegeln bedeutet nicht nur die leeren Schnittstellen zu barrikadieren oder die verschiedenen Netzwerke durch Mauern zu trennen. Es kommt auf die gesamte Umsetzung der Massnahmen an, um ein hohes Mass an Sicherheit zu erreichen.

Informationen zum Autor
Stefan Fröhlich
Autor: Stefan Fröhlich
Meine Affinität zur IT-Sicherheit habe ich während meiner Zeit als System Engineer erlangt. Dabei habe ich mich vor allem um die Einrichtung, die Wartung und den Betrieb von Security-Komponenten (insbesondere Firewalls) gekümmert. Ich musste immer wieder feststellen, dass eine perfekte Firewall allein wenig nützt. Sicherheit kann nur durch eine ganzheitliche Betrachtungsweise erlangt werden. Genau hier will ich bei goSecurity meine ganze Energie einsetzten. Für die gesamtheitliche Sicherheit Ihrer IT.