Sicherheit aus neuer Perspektive - Teil 3
IPS und Sicherheit von Endgeräten
Intrusion Prevention und der Umgang mit treiberlosen Speichergeräten müssen in vielen Unternehmen noch n die IT-Sicherheitskonzepte integriert werden. Logische Penentration-Tests schaffen Klarheit über weniger bekannte Gefährdungspotenziale.
Nicht autorisierte Devices, WLAN-Access-Points und Laptops von Besuchern sollten nicht im Netzwerk eines Unternehmens angemeldet werden können - dieser Grundsatz war schon Thema des ersten Teils dieser Serie. Technisch anspruchvoller ist der Ausschluss von unerwünschten oder organisationsfremden Devices, die ohne komplexe Treiberinstallation einfach an PCs angeschlossen werden können. In diese Kategorie fallen manche PDAs und MDAs, Plug-and-Play-Devices wie Speichermedien, Bluetooth-Geräte, Kameras und so weiter. Gerade Windows XP ist hier bekanntermaßen tolerant. In vielen Fällen installiert das Betriebssystem die Devices automatisch oder lädt sogar noch benötigte Treiber selbsttätig aus dem Internet.
Will man den unkontrollierten Gebrauch von Systemen dieser Art ausschließen, muss entsprechend den Sicherheitsrichtlinien mittels zentral gesteuerter Schnittstellenüberwachung festgelegt werden, was mit dem PC verbunden werden darf und was nicht. Wichtig ist das zentrale Management deshalb, weil nur damit einerseits der administrative Aufwand minimiert werden kann und andererseits die Möglichkeit besteht, eventuelle Alarme für die Gesamtübersicht des Sicherheitszustands auswerten zu können.
Stellvertretend und ohne Anspruch auf Vollständigkeit seien als Sicherheitsprodukte in diesem Zusammenhang der USB-Protector von Safend und das System Devicewatch von Itwatch genannt. Die Richtlinien werden auf Rechnergruppen oder individuelle Rechner geladen. Werden neue oder unzulässige Geräte an den PC oder Laptop angesteckt, erhält der Benutzer eine vordefinierte Warnung, die das System außerdem mitloggt.
Bei der Absicherung der Schnittstellen darf natürlich nicht vernachlässigt werden, dass gerade bei mobilen Geräten wie Laptops zusätzlich noch eine Verschlüsselung der Festplatten Pflicht ist, die bei Diebstahl oder unberechtigten Zugriffsversuchen Schaden abwendet, und dass eine Quarantänebehandlung stattfinden muss, sobald das mobile Gerät wieder in das "Heimatnetzwerk" zurückkehrt.
Auf allen Geräten - ob mobil oder Desktop - sollte eine Zwei-Faktoren-Authentisierung bestehen, zum Beispiel mit einer Chipkarte oder USB-Token oder auf der Basis biometrischer Merkmale. Welche Methode ein Anwender wählt, hängt von seinem Sicherheitsbedarf ab. Wichtig bei allen Sicherheitsvorkehrungen ist, dass die gewonnenen Informationen auch für die Gesamtansicht des aktuellen Sicherheitszustands in ihrem Unternehmen zur Verfügung stehen müssen (dazu mehr im letzten Teil der Serie).
Logische Penetration-Tests schaffen Klarheit
Klassische Penetration-Tests können nur ein kleines Spektrum der Gefährdungen in einem Netzwerk aufdecken. Besser ist es, einen Penetration-Test mit der Logik und der Vorgehensweise eines externen oder internen Angreifers auszuführen. Derartige "logische Penetration-Tests" fallen allerdings umfangreicher aus als das Scannen auf Vulnerabilities und Backdoors.
Erfahrungen haben gezeigt, dass ein Einbruch in eine Organisation mithilfe logischer Penetration fast immer recht einfach gelingt. Es ist selten ein Problem, Identitäten zu übernehmen (Administrative Rechte, Accounts etc.), indem man das nutzt, was einem Innentäter zur Verfügung stehen würde: seinen PC. Nimmt man die Rolle eines Außentäters ein, führen Social Engineering und passende technische Tools zum Erfolg, also Kommunikation zusammen mit Daten von geschickt genutzten WLAN-Access-Points und Keyloggern und so weiter. Besonders effektiv gestaltet sich die Zusammenarbeit eines Innentäters mit einem Außentäter, wobei sich der Innentäter die Informationen für die Zugänge beschafft und der Außentäter den Diebstahl oder die Sabotage vornimmt.
Mein Verfahren des logischen Pen-Tests geht davon aus, dass ein Angreifer stets das schwächste Glied in der Kette der IT-Infrastruktur nutzt. Dies ist vermutlich ein ihm zugänglicher PC oder Laptop. Diesen auch administrativ zu übernehmen und das Administratorkennwort zu knacken, ist nicht schwer, denn das Internet stellt diverse Tools und verständliche Anleitungen bereit. Zeit hat ein Angreifer ja meist, wenn er frei mit dem Computer hantieren kann.
Bei meinen Test verwende ich bewusst keine Software für Spezialisten, sondern aus dem Internet beschaffte Tools nebst deren Anleitungen sowie frei käufliche Hardware. Angesichts der Tatsache, dass Administratoren in den meisten Fällen nur wenige verschiedene Passworte nutzen - etwa ein Passwort für die PCs und ein Kennwort zum Anmelden an der Domäne - kann man durch cleveres Vorgehen schnell Zugriff auf eine größere Anzahl von Ressourcen erlangen, sich dann still und leise immer weiter durch die Infrastruktur hangeln und Systeme stören, zerstören, modifizieren oder Informationen stehlen.
Logische Penetration-Tests werden von Serviceunternehmen in der Regel nicht-destruktiv durchgeführt. Als Tester zeigt man exakt, wie ein Innentäter vorgeht und übernimmt auch Systeme. Sobald das Vorgehen aber für die auftraggebende Organisation gefährlich werden könnte, brechen die Spezialisten ab und erklären nur die möglichen nächsten Schritte. Das gesamte Vorgehen wird ausführlich dokumentiert und ergibt eine Art Handbuch dessen, was aus Sicherheitsgründen in der Organisation verändert werden muss. Heimlich durchgeführt zeigt ein Penetration-Test auch, ob die Prozesse in der IT-Security von der Technik über die Alarmierung bis zur Abarbeitung richtig eingestellt sind. Meist bleiben meine Angriffe aber unbemerkt oder werden nicht nachverfolgt.
Intrusion-Prevention-Systeme (IPS)
IPS-Systeme sind reinen Intrusion-Detection-Produkten überlegen, weil sie nicht einfach Alarme produzieren, sondern unerwünschte Vorgänge gleich eliminieren.
Das IPS-System analysiert IP-Pakete, setzt auf Content-Inspection, blockt DDoS-Angriffe und arbeitet zusätzlich noch als Quality-of-Service-Device. Es erlaubt, unterbricht oder begrenzt nach definierten Regeln den Datenverkehr. Für weitergehende Untersuchungen können Anomalien auf einem Monitoring-Port ausgegeben, dort gespeichert und später analysiert werden.
IPS-Systeme sollten grundsätzlich an folgenden Stellen arbeiten:
An privaten Netzübergänge von extern (Außenstellen, Zulieferer, Partner),
vor Datacentern oder Serverfarmen im Netz und in Backbones,
als Schutz für Webservices und
zwischen Intra- und Internet.
Der Einsatz eines oder mehrerer IPS-Systeme im Unternehmen ist stets von der Bedrohungsanalyse, Infrastruktur, Gefährdungspotenzial sowie den verwendeten Applikationen abhängig. Auch hier gilt wieder, dass die Alarme der IPS-Systeme zentral ausgewertet werden müssen und zum Aufbau und Betrieb eines effektiven Security-Operation Centers beitragen sollen.
Info: GTEN Tel.: 0811/998850 Web: www.gten.de
Lesen Sie mehr zum Thema
