Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Anahng D: IT-Bedrohungskategorien

Inhalt dieses Anhangs ist eine Liste potenzieller Bedrohungen und Angriffe, durch die ein Unternehmen geschädigt werden kann. Darüber hinaus wird in diesem Anhang erläutert, wie derartige Risiken und deren Auswirkungen mithilfe einer Server- und Domänenisolierungslösung begrenzt werden können.

Durch STRIDE identifizierte Bedrohungen

Dieser Abschnitt umfasst eine Reihe der durch das STRIDE-Modell identifizierten Bedrohungen für Netzwerksicherheit wie Spoofing (Nachahmen der Identität), Tampering (Datenmanipulation), Repudiation (Abstreitbarkeit), Information Disclosure (Informationsenthüllung), Denial of Service (Dienstverweigerung ) und Elevation of Privilege (Erhöhung der Berechtigungen). Zusätzlich wird in diesem Abschnitt erläutert, wie die als Teil dieser Lösung implementierten Sicherheitsmaßnahmen die Reduzierung dieser Bedrohung und ihrer Auswirkungen bewirken können.

Vortäuschung einer Identität (Spoofing Identity)

Bedrohungen durch das Nachahmen der Identität (Spoofing) umfassen die illegale Beschaffung der oder den illegalen Zugriff auf die Authentifizierungsinformationen einer anderen Person, zum Beispiel Benutzername oder Kennwort. Diese Bedrohungskategorie beinhaltet Man-in-the-Middle-Angriffe sowie die Kommunikation vertrauenswürdiger Hosts mit nicht vertrauenswürdigen Hosts.

Man-in-the-Middle-Angriffe

Eine von Hackern verwendete gängige Methode ist der so genannte Man-in-the-Middle-Angriff. Mithilfe dieser Methode wird ein Computer zwischen zwei kommunizierende Computer innerhalb einer Netzwerkverbindung platziert, und der "zwischengeschaltete" Computer gibt sich dann als einer der (oder beide) betreffenden Computer aus. Diese Methode ermöglicht dem "Man in the Middle" die Live-Verbindung zu kommunizierenden Computern sowie das Lesen und/oder Modifizieren von Nachrichten während des Datenverkehrs zwischen diesen beiden Computern. Dabei gehen dessen Benutzer davon aus, dass sich die Kommunikation auf die Beiden beschränkt.

Einige Internetdienstanbieter (ISPs) haben Filtermethoden entwickelt, um Man-in-the-Middle-Angriffen und E-Mail-Spoofing den Kampf anzusagen. So autorisieren beispielsweise viele Internetdienstanbieter Benutzer ausschließlich dazu, E-Mails über die Server des jeweiligen ISPs zu senden. Begründet wird diese Einschränkung damit, gegen Spam-Mails vorgehen zu müssen. Diese Einschränkung verhindert jedoch auch, dass autorisierte Benutzer den legitimen E-Mail-Dienst eines Drittanbieters nutzen können. Dies stößt bei vielen fortgeschrittenen Benutzern auf Ablehnung. Einige Kabel-ISPs versuchen, Audio- oder Videoverkehr zu blockieren, um Benutzer dazu zu zwingen, ihre VoIP- oder Videostreamingdienste zu nutzen. Gegenstand anderer Beispiele sind Versuche, VPN-Verkehr jeglicher Art zu unterbinden (Begründung: Bei VPN handele es sich um einen Dienst, der höhere Abonnementgebühren erfordere) und Benutzer von der Verwendung eigener Server abzuhalten.

Die Implementierung von ISP-Filtern erfolgt in der Regel unter Verwendung von Hardwarefunktionen der Router, die mit bestimmten Protokolltypen (UDP oder TCP), Portnummern oder TCP-Flags (ICP, und nicht Daten- oder Quittungspaket) arbeiten. Die Verwendung von IPSec macht diese Art der Filterung unmöglich. Für ISP bleiben lediglich zwei sehr extreme Optionen: sämtlichen IPSec-Verkehr einzustellen oder Verkehr mit bestimmten identifizierten Peers zu unterbinden. Wenn IPSec häufig verwendet wird, können beide Optionen ernstzunehmende Reaktionen der Kunden hervorrufen.

Kommunikation vertrauenswürdiger Hosts mit nicht vertrauenswürdigen Hosts

Diese Bedrohung ist eine Kombination aus verschiedenen kleineren Bedrohungen, wie dem Vortäuschen von Identitäten (Spoofing), Datenänderungen zwischen Endpunkten in einer Übertragung und Lauschangriffen. Die größte Bedrohung geht jedoch vom Spoofing aus. Ziel des Spoofings ist es, einem vertrauenswürdigen Host vorzutäuschen, er kommuniziere mit einem anderen vertrauenswürdigen Host. Host werden nicht nur aufgrund von Kommunikation mit nicht vertrauenswürdigen Hosts isoliert. Da IPSec einen richtliniengestützten Mechanismus verwendet, um die zu Beginn der Verhandlungen erforderliche Sicherheitsstufe zwischen zwei Hosts festzulegen, werden die meisten dieser Fälle unter sorgfältiger Berücksichtigung der Wechselwirkungen zwischen Sicherheit und Kommunikation sowie anschließendem gewissenhaften Entwurf und gewissenhafter Implementierung einer IPSec-Richtlinie, die dem gewünschten Ergebnis entspricht, behandelt. Kapitel 5 "Erstellen von IPSec-Richtlinien für Isolierungsgruppen" beschreibt die Kommunikationsanforderungen für das Woodgrove Bank-Szenario sowie die Vorgehensweise zur Erstellung von IPSec-Richtlinien, die die Art der Kommunikation festlegen.

Unbefugte Änderung von Daten

Die Bedrohungen durch die unbefugte Änderung von Daten umfassen die böswillige Änderung von Daten. Dazu gehören zum Beispiel nicht autorisierte und dauerhafte Veränderungen oder Beschädigungen von Daten auf einer Website oder in einer Datenbank sowie das Ändern von Daten während der Übertragung zwischen zwei Computern in einem offenen Netzwerk. Eine spezifische Bedrohung dieser Kategorie ist die Sitzungsübernahme (Session Hijacking).

Sitzungsübernahme

Entsprechend entworfene Authentifizierungsmechanismen und lange, zufällig gewählte Kennwörter sind der beste Schutz gegen Netzwerksniffing und Wörterbuchangriffe. Die Sitzungsübernahme kann jedoch von Angreifern angewendet werden, um nach der Authentifizierung und Autorisierung eines regulären Benutzers eine Sitzung zu übernehmen. Die Sitzungsübernahme ermöglicht einem Angreifer die Verwendung der Privilegien eines regulären Benutzers. So erhält er Zugriff auf Datenbanken und kann diese modifizieren. Darüber hinaus hat er die Möglichkeit, Software für weitere Penetration zu installieren selbst ohne die Anmeldeinformationen eines regulären Benutzers. Der einfachste Weg, eine Sitzungsübernahme auszuführen ist, den Computer des Angreifers mithilfe eines spezialisierten Hackertools irgendwo im Verbindungspfad zu platzieren. Der Angreifer überwacht den Datenaustausch und übernimmt zu irgendeinem Zeitpunkt die Sitzung. Da sich der Angreifer inmitten des Datenaustauschs befindet, kann er die TCP-Verbindung auf der einen Seite abbrechen und auf der anderen Seite beibehalten, indem er die entsprechenden TCP/IP-Parameter und Sequenznummern verwendet. Die Verwendung von IPSec für Verschlüsselung und Authentifizierung schützt Endpunkte vor der Sitzungsübernahme.

Abstreitbarkeit

Die Bedrohung durch Abstreitbarkeit betrifft Benutzer, die die Ausführung einer Aktion abstreiten sowie andere Benutzer, die keine Möglichkeit haben, das Gegenteil zu beweisen. Ein Beispiel für einer Bedrohung dieser Art wäre das Durchführen einer illegalen Operation in einem System, in dem die Möglichkeit zum Protokollieren dieses verbotenen Prozesses fehlt. Unleugbarkeit bezieht sich auf die Möglichkeit eines Systems, Bedrohungen durch Abstreiten zu begegnen. Wenn beispielsweise ein Benutzer einen Artikel von einem webbasierten Anbieter kauft, muss er den Empfang der Ware schriftlich bestätigen. Der Verkäufer kann dann anhand der unterschriebenen Quittung beweisen, dass der Benutzer das Paket erhalten hat.

Informationsenthüllung

Bedrohungen durch die Enthüllung von Informationen umfasst das Offenlegen von Informationen gegenüber Personen, die eigentlich keinen Zugriff darauf haben. Beispielsweise können Benutzer Dateien lesen, für die ihnen kein Zugriff gewährt wurde, oder ein Eindringling kann Daten bei der Übertragung zwischen zwei Computern lesen. Bedrohungen dieser Kategorie beinhalten nicht autorisierte Verbindungen sowie Netzwerksniffing.

Nicht autorisierte Verbindungen

Viele Netzwerkkonfigurationen haben eine sehr vertrauensvolle Sicherheitshaltung und gewähren Zugriff auf zahlreiche Informationen von Computern innerhalb des Perimeters. Der Zugriff kann aufgrund der mangelhaften Sicherheit einiger Anwendungen explizit (z. B. bei Intranet-Webservern) und implizit sein. Einige Richtlinien beruhen auf einfachen Adresstests. Angreifer können diese Tests jedoch umgehen, indem sie Adressen fälschen.

IPSec kann zur Implementierung einer zusätzlichen Verbindungskontrolle verwendet werden. Es besteht die Möglichkeit, Richtlinienregeln aufzustellen, die eine Reihe von Anwendungen erfordern. Diese sind jedoch erst nach erfolgreicher IPSec-Verhandlung verfügbar.

Netzwerksniffing

Die Erfassung von Netzwerkdatenverkehr ist für Angreifer aus zweierlei Gründen interessant: Kopien wichtiger Dateien während ihrer Übertragung zu erhalten und Kennwörter zu ermitteln, um weiteren Zugriff auf Daten zu erhalten. Mithilfe von Sniffing-Programmen protokollieren Hacker TCP-Verbindungen auf einem Übertragungsnetzwerk und erhalten Kopien der kommunizierten Informationen. Auf einem geswitchten Netzwerk funktionieren diese Tools eher mäßig, trotzdem ist es selbst auf diesen Netzwerken möglich, das ARP (Address Resolution Protocol) mithilfe von speziellen Tools anzugreifen, die IP-Verkehr über den Computer des Angreifers umleiten und dadurch die Protokollierung sämtlicher Verbindungen vereinfachen.

Einige wenige Protokolle wie z. B. Post Office Protocol 3 (POP3) und File Transfer Protocol (FTP) senden immer noch Klartext-Kennwörter über das Netzwerk, die für Angreifer beim "Durchstöbern" des Netzwerkes leicht zugängliche Informationen darstellen. Viele Anwendungen verwenden einen Anfrage/Antwort-Mechanismus (Challenge/Response), mit dem das Problem der Klartext-Kennwörter vermieden werden kann. Die Herausforderung für Angreifer ist jedoch nur unwesentlich größer. Das Kennwort ist nicht direkt erkennbar, kann jedoch durch Wörterbuchangriffe und mithilfe einer Kopie der Challenge/Response-Protokolle häufig hergeleitet werden. Die Verwendung von IPSec zur Verschlüsselung eines solchen Datenaustauschs schützt effektiv vor Netzwerksniffing.

Denial-of-Service

Denial-of-Service (DoS)-Angriffe sind gesteuerte Angriffe auf bestimmte Hosts oder Netzwerke. Bei diesen Angriffen wird in der Regel mehr Netzwerkdatenverkehr an einen Host oder Router gesendet, als dieser innerhalb einer bestimmten Zeit koordinieren kann. Das Ergebnis ist eine Überlastung des Netzwerks; der legitimierte Verkehr wird unterbrochen. DoS-Angriffe können auf viele Angreifer verteilt werden, um sich auf ein bestimmtes Ziel konzentrieren zu können. Die Zielcomputer werden üblicherweise auf die eine oder andere Art manipuliert. Auf den Computern wird ein Malwareskript oder -Programm installiert, das es dem Angreifer ermöglicht, mithilfe dieser Computer eine koordinierte Flut von Netzwerkverkehr zu einem anderen Computer oder einer Gruppe von Computern zu leiten. Die manipulierten Computer werden als Zombies bezeichnet, Angriffe dieser Art werden als verteilte Dienstverweigerungsangriffe (DDoS) bezeichnet.

Da IPSec vor dem Aufbau einer Verbindung Authentifizierung verlangt, können DDoS-Angriffe zum größten Teil verhindert werden (Ausnahmen: Angriffe, bei denen vertrauenswürdige Ressourcen verwendet werden). Das bedeutet, dass internetbasierte DDoS-Angriffe abgewehrt, vom Netzwerk eines Unternehmens ausgehende DoS-Angriffe jedoch erfolgreich sein können, wenn sich angreifende Hosts authentifizieren und über IPSec kommunizieren können.

Unterscheidung zwischen Standard- und Angriffsverkehr

Kurz nachdem der Wurm "Slammer" im Januar 2003 in Aktion getreten war, wurde festgestellt, dass die Netzwerke nicht mit dem durch Slammer verursachten erhöhten Netzwerkverkehr konfrontiert worden wären, hätte man einfache Regeln implementiert, die UDP-Datenverkehr um bis zu 50 % der verfügbaren Bandbreite reduziert hätten. Die infizierten Hosts hätten die Kapazität der verbliebenen 50 % schnell erschöpft, die restliche Bandbreite wäre jedoch für den betrieblichen Verkehr verfügbar gewesen. Bankautomaten wären funktionsbereit geblieben und Administratoren hätten TCP verwenden können, um Patches installieren und Richtlinien propagieren zu können. Die Richtlinie für die Einschränkung des UDP-Datenverkehrs ist zwar sehr simpel, eine simple Richtlinie kann jedoch durchaus zuverlässige Netzwerksicherheit bieten.

Wenn IPSec für wichtigen Datenverkehr verwendet wird, können Administratoren eine etwas erweiterte Version der UDP-Richtlinie anwenden. Unter normalen Umständen können Netzwerkadministratoren den Netzwerkverkehr überwachen und ermitteln, zu welchen Teilen es sich um beispielsweise UDP-, TCP-, oder ICMP-Verkehr handelt. Unter Stress kann ein WFQ (Weighted Fair Queuing)-Algorithmus bewirken, dass die Ressource entsprechend eines Standardmusters gemeinsam verwendet werden kann. Tatsächlich ist es in der Regel möglich, eine solche Richtlinie standardmäßig in Routern zu programmieren, langfristige Tendenzen und Statistiken innerhalb eines Zeitraums regulärer Netzwerkaktivitäten zu erfassen und diese erfassten Daten als WFQs bei Zeiten starker Überlastung anzuwenden.

Würmer und Dienstverweigerungsangriffe

Wie die Vergangenheit zeigt, sind Netzwerke anfällig für Dienstverweigerungsangriffe (Denial-of-Service, DoS). Ein DoS-Angriff erfolgt durch das Senden von übermäßigem Datenverkehr, um die Überlastung eines bestimmten Servers oder Netzwerkbereichs herbeizuführen. Eine Form des DoS-Angriffs ist, das Versenden des Massenverkehrs auf mehrere Computer zu verteilen. Hierbei wird der vermehrte Verkehr gleichzeitig von den verschiedenen Computern an ein ausgewähltes Ziel gesendet. Eine Abwehr dieser Angriffe gestaltet sich als besonders schwierig. So versuchte beispielsweise der Wurm "CodeRed", sich zuerst in eine Reihe von Webservern einzunisten. Anschließend überhäuften die betroffenen Computer die Homepage der US-Regierung mit Anfragen, um die Website des Weißen Hauses lahmzulegen. Tatsächlich waren die Verbreitungsmechanismen der Würmer CodeRed, Nimda und Slammer nichts anderes als Denial-of-Service-Angriffe gegen das Internet. Jeder infizierte Computer führte wiederum Hunderttausende von Versuchen aus, wahllose Ziele zu infizieren. Dieser dadurch verursachte Massenverkehr endete im Zusammenbruch vieler lokaler und regionaler Netzwerke.

IPSec schützt auf unterschiedliche Art und Weise vor DoS-Angriffen und bietet ein zusätzliches Maß an Sicherheit für die potenziellen Opfer dieser Angriffe. Die Aktivitäten der Angreifer werden aufgrund der durch IPSec erzwungenen hohen Ressourcenbeanspruchung verlangsamt. Darüber hinaus ermöglicht IPSec Netzwerkadministratoren die Unterscheidung zwischen den verschiedenen Arten von Netzwerkverkehr.

Erhöhung der Berechtigungen

Durch diese Art von Sicherheitsbedrohung erhält ein unberechtigter Benutzer erweiterte Zugriffsrechte, durch die die Beeinträchtigung oder Zerstörung einer ganzen Systemumgebung möglich wird. Bedrohungen durch die Erhöhung der Berechtigungen beinhalten Situationen, in denen alle Abwehrmaßnahmen eines Systems von einem Angreifer effektiv durchdrungen wurden, um das System zu gefährden und zu beschädigen.

Zum Seitenanfang

Weitere Bedrohungen

Nicht alle Bedrohungsarten lassen sich eindeutig dem STRIDE-Modell zuordnen. Im Folgenden wird beschrieben, wie Bedrohungen sowie deren mögliche Auswirkungen auf eine Server- und Domänenisolierungslösung entgegengewirkt werden kann.

Physische Absicherung

Bei der physischen Absicherung wird der physische Zugriff auf Systeme oder Ressourcen auf die Benutzer reduziert, bei denen diese Zugriffsrechte tatsächlich erforderlich sind. Die physische Absicherung ist die niedrigste Verteidigungsebene gegen beinahe alle IT-Sicherheitsbedrohungen. Bei einem Großteil der Angriffe auf Netzwerkebene bietet die physische Absicherung jedoch keinen ausreichenden Schutz. Trotzdem ist die physische Absicherung als Teil eines Tiefenverteidigungssicherheitsmodells von großer Bedeutung. So kann mithilfe der physischen Absicherung in Form von Wachpersonal, Kameras in Datencentern, Zugriffssteuerung für wichtige Datenspeicherorte sowie Schlüsselkarten oder Türschlössern verhindert werden, dass ein vertrauenswürdiges Gerät manipuliert oder beschädigt wird. Die Kombination dieser Methoden ist ein entscheidender Faktor und kann vor ernsthafteren Sicherheitsverletzungen bei Datencentern schützen.

Ein Angriff auf physische Absicherungen kommt immer einem Angriff auf sämtliche Sicherheitsebenen gleich. Sämtliche in dieser Lösung enthaltenen Erörterungen zum Thema Sicherheit basieren auf der Annahme, dass physische Absicherungen implementiert wurden. Ohne physische Absicherungen können andere Sicherheitsmaßnahmen nicht wirksam werden.

Netzwerksicherheit

Unter einem Netzwerk versteht man ein System aus miteinander verbundenen Computern. Der Großteil der Netzwerkprotokolle und -Dienste wurde nicht vor dem Hintergrund potenzieller böswilliger Absichten konzipiert. In Zeiten von "High-Speed Computing", vereinfachtem Netzwerkzugriff und problemloser Internetverfügbarkeit zielen die Bemühungen böswilliger Benutzer darauf, Systeme und Dienste zum Zwecke der Datenbeschaffung zu missbrauchen oder diese zum Absturz zu bringen. Eine Reihe von Netzwerkbedrohungen wurde zuvor in diesem Anhang ausführlich beschrieben. Weitere Informationen darüber, wie IPSec vor einigen dieser Netzwerkangriffe schützt, finden Sie im IPSec-Abschnitt des Kapitels 19 "Configuring TCP/IP in the Windows® XP Professional Resource Kit" unter www.microsoft.com/resources/documentation/Windows/
XP/all/reskit/en-us/prcc_tcp_naoc.asp (in englischer Sprache).

Anwendungssicherheit

Fast alle auf Anwendungen gerichtete Angriffe zielen auf die Ausnutzung von Sicherheitslücken der jeweiligen Anwendungen oder Betriebssysteme. Da IPSec auf der Netzwerkebene des OSI-Modells (Open Systems Interconnection) implementiert ist, wird geprüft, ob ein Paket zugelassen oder verworfen wird, bevor ein solches Paket die Anwendung überhaupt erreicht. IPSec kann zwar keine Entscheidungen auf Anwendungsebene treffen, kann jedoch auf untergeordneter Ebene eine gewisse Sicherheit für Anwendungsverkehr bieten.

Social Engineering

Unter Social Engineering versteht man das Ausnutzen der "Schwachstelle Mensch", um Zugriffsrechte oder Systeminformationen zu erhalten. Ein potenzieller Angreifer könnte beispielsweise bei einem Unternehmen den Namen einer für ein bestimmtes Projekt verantwortlichen Person telefonisch erfragen. Bei dem Projekt, über das der Angreifer Informationen einholen möchte, könnte es sich z.% B. um die Entwicklung eines neuen Produkts oder Dienstes handeln. Wenn der Angreifer den Namen des Projektleiters (und evtl. sogar dessen Adress- oder Kontaktdaten) herausfindet, verfügt er über Informationen, die er für seine Zwecke nutzen kann.

Da sich diese Art des Angriffs gegen Computerbenutzer richtet, kann IPSec hier nicht greifen. Gleichermaßen muss einem böswilliger Benutzer (ein so genannter Trusted Attacker), der auf isolierte Systeme zugreifen kann und diese Zugriffsrechte für seine Zwecke missbraucht, mithilfe anderer Sicherheitstechnologien zuvorgekommen werden.

Zum Seitenanfang

Zusammenfassung

Dass Unternehmen durch die Server- und Domänenisolierung nicht gegen sämtliche Bedrohungen und Angriffe gefeit sind, steht außer Frage. Ein gutes Verständnis bezüglich der zur Verfügung stehenden Möglichkeiten sowie fundierte Kenntnisse der technischen Herausforderungen sind die Voraussetzungen, mit denen ein Unternehmen seine IT-Umgebung ausreichend schützen kann.

Zum Seitenanfang

| Home | Technische Artikel | Community