Schutz mit vorhandenen Mitteln
Lösungen gegen interne Angriffe
Interne Netzwerkangriffe sind für viele Unternehmen ein Tabuthema. Entsprechend spekulativ erscheinen Aussagen über Anzahl der Angriffe und Höhe der Schäden. Fakt ist, dass sie ein Unternehmen schwer treffen können.
In der Regel basieren interne Netzwerkangriffe auf Manipulationen der IP-basierten Kommunikation
in lokalen beziehungsweise unternehmensweiten Netzwerken. Die Angriffe richten sich je nach
Angriffsart und -methode gegen vermittelnde Komponenten wie Switches und Router oder direkt gegen
Endgeräte. Um Angriffe ausführen zu können, werden Adressen von Netzwerkkomponenten verändert,
Adresseinträge manipuliert, Funktionen vermittelnder Systeme lahm gelegt oder zusätzliche
vermittelnde Systeme vorgetäuscht, um Datenströme zu sniffen.
Von ARP Spoofing…
Ein erhebliches Gefährdungspotenzial für die interne Netzwerksicherheit geht von
Spoofing-Angriffen aus. Beim ARP-Spoofing (Address Resolution Protocol) werden gefälschte
Datenpakete versandt, um Adresseinträge von Kommunikationspartnern zu manipulieren. Das Ziel ist
es, den Datenverkehr zwischen zwei Hosts zu sniffen. Solche Man-in-the-Middle-Angriffe sind deshalb
so gefährlich, weil Datenpakete, die von einem vertrauenswürdigen Rechner zu einem anderen
geschickt werden, ohne Wissen von Absender und Empfänger über einen dritten Rechner umgeleitet,
dort mitgeschnitten, kopiert und manipuliert werden können. Die Wahrscheinlichkeit, nach einer
erfolgreichen Man-in-the-Middle-Attacke Angreifer und Opfer zu identifizieren, ist nach
Überschreiben der Speicher-Caches praktisch Null.
…über MAC Flooding…
MAC Flooding stellt eine weitere Möglichkeit dar, unautorisiert die Kommunikation im Netzwerk
mitzuschneiden. Um Datenpakete einem bestimmten Empfänger zusenden zu können, speichern die
vermittelnden Systeme (Switches) von allen angeschlossenen Endgeräten deren MAC-Adressen. Gelingt
es nun, in großer Zahl gefälschte MAC-Adressen ins Netz einzuschleusen, wird der Speicher des
Switches überflutet (Flooding), was diesen veranlasst, sich wie ein Hub zu verhalten. Er schickt
dann alle zu versendenden Datenpakete an alle angeschlossenen Teilnehmer – und damit auch an den
Angreifer, der nun in der Lage ist, den gesamten Netzwerkverkehr zu sniffen.
…bis zu DoS-Attacken
Denial-of-Service-Attacken (DoS) greifen Computer, Server oder Dienste mit dem Ziel an, die
Systeme außer Betrieb zu setzen oder legitimen Anwendern den Zugriff zu verwehren. Einerseits lässt
sich bei den schon genannten Man-in-the-Middle-Angriffen eine DoS-Attacke durch einfaches
Unterbrechen des Kommunikationspfads erreichen, andererseits kann mittels allgemein zugänglicher
DoS-Tools eine große Anzahl Anfragepakete an einen bestimmten Internetserver wie Web-, FTP- oder
Mail-Server gesendet werden, was deren Ressourcen "überschwemmt" ("Syn-Flood"). Das System geht
daraufhin in einen instabilen Zustand über und versagt seine Dienste.
Bisherige Lösungsansätze
In der Regel schützen Unternehmen heute ihr internes Netzwerk durch diverse Sicherheitslösungen
wie Firewalls oder um Intrusion-Detection-Systeme (IDS) erweiterte UTM-Lösungen (Unified Threat
Management) vor Angriffen von außen. Entsprechende Sicherheitslösungen filtern den kompletten
Netzwerkverkehr nach schädlichen, unnützen oder unerwünschten Inhalten und Mustern und lassen nur
regelkonforme Datenpakete in die Unternehmensnetze passieren. Für diese Sicherheitslösungen an den
Netzübergängen befindet sich die interne Kommunikation gewissermaßen im toten Winkel, da nur
entdeckt und abgewehrt werden kann, was durch ihre Kanäle läuft. Die Funktionen, die
Sicherheitssysteme an den Übergangen zwischen Internet und Unternehmensnetz übernehmen, sind im
Prinzip die gleichen, die Intrusion-Detection-Systeme innerhalb von Netzwerken ausüben. IDS sollen
aus allen Ereignissen diejenigen herauszufiltern, die auf Einbruchsversuche, missbräuchliches
Verhalten oder Regelverstöße hindeuten. IDS-Lösungen gewährleisten wie Firewalls dadurch Schutz vor
Angriffen, indem sie – nur beschränkt auf die interne Situation – den gesamten Netzwerkverkehr auf
allen Schichten nach bestimmten Angriffsmustern oder Anomalien filtern. Dabei sind sie auf Host-
oder netzwerkbasierende Sensoren angewiesen, die an allen relevanten Punkten im Netzwerk
installiert sind. In den meisten Fällen erfolgt die Angriffsdefinition durch Abgleich mit vorab
definierten Angriffsmustern. Dieser Ansatz erfordert es, praktisch alle Angriffe in jeglicher
Modifikation für einen Abgleich verfügbar zu halten.
Sicherheit versus Netz-Performance
Sicherheitsmanager befinden sich bei IDS in einem Abwägungsdilemma. Soll wirklich das gesamte
Unternehmensnetz intern geschützt werden, sind an allen kritischen Netzpunkten Sensoren zu
installieren, die mit erheblicher Rechenleistung ausgestattet sein müssen, um tatsächlich alle
ankommenden Datenpakete aufnehmen und filtern zu können. Moderne Unternehmensnetze mit entsprechend
hoher Bandbreite überfordern viele der heute verfügbaren IDS-Sensoren, sodass umfassender Schutz
nicht wirklich zuverlässig gewährleistet werden kann. Hinzu kommt die spürbare Belastung der
Netzübertragungsleistung bei lückenloser Sensorüberwachung. Zum anderen sorgt die Kommunikation der
IDS-Komponenten untereinander für zusätzlichen Traffic im Unternehmensnetz – was bei hohen
Sicherheitsanforderungen zumindest in Teilbereichen ein Redesign des Unternehmensnetzes
erforderlich machen kann.
Sicherheit versus Wirtschaftlichkeit
Schon der hohe finanzielle Aufwand für die Anschaffung aller erforderlichen IDS-Komponenten
dürfte Zweifel an der Wirtschaftlichkeit dieses Sicherheitsansatzes aufkommen lassen. Addieren sich
diese Kosten dann noch mit denen des Netzwerk-Redesigns und den Folgekosten im Administrations- und
Wartungsbereich, dürfte die finanzielle Schmerzgrenze schnell erreicht sein. Hinzu kommt, dass auch
bei höchstem finanziellem Aufwand IDS-Systeme in aller Regel keinen Schutz vor noch unbekannten
Angriffsarten bieten.
Warten auf die Hersteller?
Ein anderer Lösungsansatz könnten intelligente Schutzmechanismen in Netzwerkkomponenten sein,
die Manipulationen an den Adressbeständen erkennen und melden können. Dies hat Sinn und würde einen
Schutz an jedem verfügbaren Port realisieren. Fakt ist allerdings, dass es für solche
Schutzmechanismen noch keine internationalen Standards gibt, und dass die führenden Hersteller
jeweils nicht miteinander kompatible Lösungen entwickeln.
Neuer Lösungsansatz gefragt
Angesichts dieser Fakten sind neue Lösungsstrategien gefragt, die Angriffsschutz und
Kostenaufwand in wirtschaftlicher Hinsicht wesentlich besser ausbalancieren. Möglichst maximaler
Schutz zu möglichst minimalen Kosten – wie könnte ein solche Lösungsansatz im Bereich der internen
Netzwerksicherheit aussehen? Einen neuen Lösungsansatz stellt die Verwendung des Simple Network
Management Protokolls (SNMP) und Syslog dar. SNMP und Syslog sind in fast allen Netzwerken aufgrund
der Verwendung in Netz- und Systemmanagementlösungen bereits aktiv. Die Technologie ist in nahezu
allen Infrastrukturkomponenten (Switches, Router) verfügbar. Sie kann somit flächendeckend genutzt
werden, und jeder Port im Netzwerk lässt sich überwachen. Darüber hinaus ist es möglich,
Komponenten wie Firewalls, IDS, IPS, Server und gegebenenfalls PCs für zusätzliche Überwachung
beliebiger SNMP-Parameter oder Syslog-Meldungen einzubinden. Die Angriffsüberwachung kann somit
jegliche kommunizierenden Komponenten mit einbeziehen. Alle Geräte können inventarisiert und anhand
ihrer Adressparameter und zugehörigen Switchports lokalisiert werden. Adressmanipulationen
beispielsweise durch ARP-Poisoning, IP-Spoofing und so weiter werden erkannt und Angreifer vom
Netzwerk isoliert, bevor Schäden antstehen. Zusätzlich können Router- und Switch-Parameter
überwacht werden, um Angriffe über andere Protokolle (STP, RSTP, HSRP, OSPF und so weiter)
aufzuspüren. Neue Technologien wie WLAN und VoIP bieten neue und gegebenenfalls noch unbekannte
Angriffsmöglichkeiten. Solche Komponenten können in ihrer Funktion identifiziert und einer
gesonderten Überwachung unterzogen werden. Die Überwachung einer solchen Infrastruktur lässt sich
durch eine einzige Komponente für das gesamte Netz vornehmen. Dies spart Kosten, und die
Mitarbeiter müssen keine neuen komplexen Systeme verwalten.
Entdeckung eines ARP-Poisoning-Angriffs
Technisch gesehen nutzt der neue Lösungsansatz die Standardprotokolle SNMP und Syslog, um aus
den vermittelnden Systemen (Switches/Router) und Endgeräten die sich zyklisch verändernden
temporären Caches-Daten herauszulesen. Diese Informationen geben Aufschluss darüber, welche
Komponenten im Netzwerk miteinander kommunizieren und welche MAC-Adressen welchen IP-Adressen,
Netzwerk-Ports oder gegebenenfalls auch Endgeräteseriennnummern zugeordnet sind. Wird nun von einem
internen Teilnehmer im Unternehmensnetz beispielsweise ein ARP-Poisoning-Angriff gestartet, dann
würde der Angreifer mittels eines Angriffs-Tools die Speicher beteiligter Switche überschreiben und
mit einer neuen MAC-Adresse wieder den Kontakt mit seinem Opfer aufnehmen, um jeder im ARP-Cache
enthaltenen IP-Adresse seine eigene MAC-Adresse zuzuordnen. Die Lösung erkennt bei seiner
zyklischen Abfrage der ARP-Cashes via SNMP die für ARP-Poisoning typischen Veränderungen bei der
Zuordnung der Adressbestände und schlägt Alarm.
Gegen Man-in-the-Middle-Angriffe
Ähnliches gilt für Man-in-the-Middle-Attacken. Von einem internen Arbeitsplatz aus wird
beispielsweise eine Router-Funktionalität vorgetäuscht, was auf den anderen Routern beziehungsweise
Endgeräten zusätzliche Einträge provoziert, sodass jedes im Netzwerk ausgetauschte Datenpaket über
den Rechner des Angreifers geleitet wird. Die Lösung registriert die geänderten Einträge,
dokumentiert sie und identifiziert sie – noch bevor Schaden entstanden ist – als Angriff, was nach
entsprechend vorgegebenen Regeln Reaktionen bis zur automatischen Port-Abschaltung auslösen kann.
Da vor Scharfstellung der Lösung alle am Netz befindlichen Endgeräte gescannt und in einer
Datenbank eingepflegt worden sind, werden auch von einem Angreifer über einen nicht genutzten Port
angeschlossenes Endgeräte – Rechner, Access Point, IP-Telefon, Videokamera und so weiter – entdeckt
und gegebenenfalls abgeschaltet.
Welcher Abfragezyklus ist notwendig?
Die skizzierte Lösung wird einmal an beliebiger Stelle im Netz angeschlossen, um
unternehmensweit Ports und die daran angeschlossenen Endgeräte schützen zu können, wobei die
Zuverlässigkeit der Schutzfunktion von dem Zyklus der Netzabfragen abhängig ist. Ein Zyklus von
etwa fünf Minuten sollte sich für einen wirksamen Schutz als ausreichend erweisen, um den
geschilderten Angriffen auf die Spur zu kommen. Angreifer sind in aller Regel auf deutlich längere
Zeitspannen angewiesen, um die für sie gewünschten Resultate erzielen zu können.
Teilung nach Segmenten oder Mandanten
Um sehr große Unternehmensnetze ohne Performence-Einbußen in sehr kurzen Abständen auf
Adressveränderungen hin zu scannen, sollte die Lösung arbeitsteilig auch in genau abgegrenzten
Netzsegmenten einsetzbar sein und alle relevanten Daten in eine Ereignisgesamtschau zusammenführen.
Diese Funktionalität würde es ISPs oder Telecom Carriern erlauben, ihren Kunden interne
Netzwerksicherheit als eine zusätzliche Leistung anzubieten und mandantenweise abzurechnen.
Kosten des neuen Lösungsansatzes
Da zusätzliche Hardware oder Software in Form von Sensoren nicht erforderlich, der
Implementierungsaufwand überschaubar und die Wartung der Systemeinheit vernachlässigbar ist, können
die einzuplanenden Kosten für die Realisierung des hier vorgestellten Lösungsansatzes deutlich
unterhalb herkömmlicher Lösungsstrategieen für interne Netzwerksicherheit angesetzt werden.
Fazit
Um heterogene Unternehmensnetze zu wirtschaftlich vertretbaren Kosten wirksam vor internen
Netzwerkangriffen zu schützen, sollte statt auf weitere Hard- und Softwareaufrüstung auf die
Intelligenz der bereits vorhandenen Infrastruktur gesetzt werden. Mit diesem Lösungsansatz gelingt
ein umfassender Schutz ohne Redesign vorhandener Strukturen zu einem signifikant günstigen
Kosten/Nutzen-Verhältnis.
Lesen Sie mehr zum Thema
