Netzwerksicherheit
Viele große Unternehmen geben Millionenbeträge für Sicherheit aus. Diese Geld
wird jedoch in der Regel in Firewalls zum Internet und Virenscanner investiert.
Auf Angriffe von Innen ist heute kaum eine Firma vorbereitet. Dabei ist die Gefahr, die von einem
frustrierten Mitarbeiter ausgeht sicher nicht zu unterschätzen. Wie will man den Einsatz von Wireshark und Ettercap verhindern?
Schutz vor Sniffern
Eigentlich verspricht die Überschrift
schon zuviel. Es gibt keinen wirklichen Schutz vor Sniffern.
Port-Security auf Basis von MAC-Adressen ist sicher interessannt. Doch der administrative Aufwand ist gewaltig.
Und was was macht die Netzwerkhotline bei Anrufen wie: "Ich bin hier im Konferenzraum 1 und mein Laptop kommt nicht ins Netz."?
Natürlich wird sie vom Anrufer einen schriftlichen Antrag auf Freischaltung seiner MAC-Adresse mit Unterschrift aller
Geschäftsführer verlangen..."
Der einzige wirksame Schutz ist
Verschlüsselung (IPSec, PGP, SSL, etc.). Das schützt zwar
nicht vor dem Aufzeichnen des Netzwerkverkehrs, macht allerdings die
Aufzeichnung relativ nutzlos für den Angreifer. Allerdings
sollte man aufpassen mit wem man den „Tunnel“ aufbaut und
z.B. bei SSL auch lesen von wem das Zertifikat kommt.
Aber sonst gibt’s ja noch den
KeyGhost und Magic Lantern...
Vor ARP-Poisening und anderen Attacken
auf dem Layer 2 schützen sogenannte Private VLANs (PVLANS).
Erkennen von Sniffer
Wie kann ich einen Sniffer in meinem
Netzwerk erkennen? Die Anwort ist ziemlich ernüchternd: „Wenn
der Angreifer gut ist, gar nicht!“. Einen Sniffer hinter einem
Tap oder an einem manipulierten Ethernetkabel wird man nur sehr
schwer aufspüren.
Da die meisten Angreifer aber nicht gut
genug sind, gibt es einige Methoden:
DNS-Lookup
Die meisten Sniffer versuchen
IP-Adressen zur Anzeige in Hostnamen aufzulösen. Dazu sind Zugriffe auf
einen DNS-Server nötig. Man kann also durch Zugriffe auf nicht
existierende IP-Adressen und Monitoring des DNS-Severs erkennen ob
und von wem man beobachtet wird.
Promiscuous Mode
Normalerweise lesen Netzwerkkarten nur
den Traffic der an ihre MAC-Adresse adressiert ist und Broadcasts.
Zum tracen schaltet man die Karte in einen speziellen Modus, den
Promiscuous Mode. In dieser Betriebsart gibt die Karte alle Frame an
die höheren Layer weiter. Es existieren einige Programme die
versuchen dieses Verhalten zu erkennen.
Time Domain Reflectometer
Einen Tap in einem elektrischen oder
optischen Kabel kann nur mit einen TDR bzw. OTDR erkennen. Dafür
benötigt man natürlich Angaben zum intakten, ungetapten
Kabel. Einen Tap der nur 50 cm vor dem Kabelende sitzt wird man aber
auch mit dem (O)TDR nicht erkennen.
Köder auslegen / Honeypots
Ein Angreifer wird den Netzwerkverkehr
beobachten um die Erkenntnise auch zu nutzen. Verbindungen zu
gefakten Hosts mit Klartextpassworten (Telnet, POP3, SMTP) können
einen so auf die Spur des Angreifers führen, wenn dieser die so
gewonnenen Erkenntnisse nutzt und die eigentlich unbenutzten Adressn
anspricht.
Honeypots (Honigtöpfe) eignen sich
im Allgemeinen recht gut um „black hats“ im Netzwerk zu
erkennen. Auch im Internet betreiben einige Leute Honeypots. Die
bekanntesten Vertreter sind sicher www.honeynet.org. Dort findet man
auch zahlreiche Traces auf freier Wildbahn. Diese eignen sich sehr
gut als Studienobjekt.
URL: www.honeynet.org
Sabotage
Bei Suche nach
Netzwerkproblemen sollte man auch einen mutwilligen oder
versehentlichen Angriff nicht ausschließen – zu viele
User lesen die einschlägigen Zeitschriften und surfen im
Internet.
MAC-Flooding
Was macht ein Switch eigentlich wenn
seine MAC-Adressen-Tabelle voll ist?
Auf jeden Fall mit der im eigene Netz
eingesetzten Hard- und Software testen.
Spanning Tree (STP)
Über das Spanning Tree-Protokoll
wählen Brücken ihre Rootbridge und legen die besten Wege im
LAN fest. Dabei spielt der Austausch von Bridge Protocol Data Units
(BPDU) eine entscheidene Rolle. In diesen BPDU’s teilen die
Brücken ihren Nachbarn unter anderem die Bridge-Priority mit.
Dieser Wert wird aus einem frei konfigurierbarem Teil und der
MAC-Adresse der Brücke gebildet. Die Brücke mit der
kleinsten Priorität wird die Rootbridge.
Wenn man die Rootbridge nicht bewusst
auswählt und konfiguriert, kann man die Performance und
Stabilität auch ohne Sabotage auf ein Minimum reduzieren.
Was aber passiert, wenn ein Angreifer
bewusst eine langsame Brücke am Edge meines Netzes anschließt
und diese zur Rootbridge macht, oder einfach nur gefakte BPDU’s
mit sehr niedriger Priorität ins Netz sendet?
Vorbeugung: Spanning Tree am Edge des
Netzes deaktivieren? Allerdings sind STP-Loops nicht besonders
lustig.
Cisco Discovery Protocol (CDP)
Cisco-Komponenten informieren ihre
Nachbarn alle 60 Sekunden via CDP über interessante
Einzelheiten: Hostname, IP-Adresse, Hardwareplattform, IOS-Version.
CDP ist vollkommen ungesichert und wird
in der Standardkonfiguartion auch an Userports gesendet. Diese Infos
sind für einen Angreifer sehr nützlich.
Ciscos Netzmanagementplattform Cisco
Works benutzt CDP um Geräte im Netz zu finden und zu
identifizieren. Was passiert also wenn ich meinen Sniffer CDP
sprechen lasse? Mit etwas Glück entdeckt mich Cisco Works als
neue Netzkomponente und wird versuchen mich via SNMP und Telnet
anzusprechen. Dabei landen dann die SNMP-Communities und Telnet-Passwörter
als Klartext in meinem Sniffer.
Es gibt auch einen kleinen CDP-Server für
Linux.
Vorbeugung: CDP nur auf den wirklich
notwendigen Ports laufen lassen.
DHCP
Da normalerweise der DHCP-Server seine
Adressen an jedermann verteilt, ist der Schutz vor DoS-Attacken recht
schwierig. Ein kleines Script reicht aus, um einen DHCP-Server alle
Adressen für ein Netz „abzunehmen“. Die
echten Clients erhalten dann keine IP-Adresse mehr.
Auch die Implementierung eine eigenen
DHCP-Servers durch einen Angreifer ist denkbar einfach. Dieser kann
dann ungehindert seine Konfigurationsdaten an die Clients verteilen.
Vorbeugung: Abhilfe schaffen hier nur
Server und Clients mit eigener Authentifizierung.
Trunks und VLAN's
Für die Übertragung auf einem
Trunk werden die Frames speziell markiert (ISL oder dot1q). Wenn man
also Zugriff auf einen Trunk hat kann man Frames in jedes beliebiege
VLAN einschleusen. Vorstellbar ist auch das Senden von ISL- oder
dot1q-Frames an einen Access-Port oder das mehrfache Encapsulieren
von Frames.
Vorbeugung: Trunking nur auf Ports
aktivieren wo es benötigt wird. Nur die erforderlichen VLAN's
auf den Trunks zulassen.
Virtual Trunking Protocol (VTP)
Via VTP tauschen Cisco-Switche
Informationen über VLAN’s aus. VTP-Server versenden dabei
die Infos an VTP-Clients. Ein Client glaubt dabei alle Infos bei
denen das VTP-Password und die VTP-Domain stimmt und die Serialnumber
höher ist als die eigene.
Durch Implemtierung eines falschen
VTP-Servers kann man also recht einfach ganze VLAN’s aus dem
Netz entfernen.
Vorbeugung: VTP-Domain und Passwort
möglichst eigenwillig setzen.
Routing Protokolle
Per Default nutzen die meißten
Routing Protokolle keine Authentifizierung. Eine böswillige
Station kann also ohne Probleme eine beliebiege Route an ihren
Nachbarn weitergeben. Wie das aussieht, wenn eine Station am Edge des
Netzes eine neue Default-Route verteilt mag sich jeder selber
ausmalen.
Vorbeugung: Nur Routing Protokolle mit
aktivierter Authentifizierung benutzen. Am Edge des Netzes Routing
deaktivieren.
Hot Standby Router Protocol (HSRP)
HSRP etabliert zwischen mehreren
physischen Routern einen virtuellen Routern. Diesen virtuellen Router
nutzen die Clients in der Regel als Default-Gateway. Die Wahl des
aktiven Routers wird über Prioritäten gesteuert. Eine
Station die sich zum aktiven Router wählen läßt hat
da schon so einige Möglichkeiten...
Vorbeugung: Password im HSRP aktivieren
und den aktiven Router mit der maximalen Priorität laufen
lassen. Leider überträgt HSRP das Password aber im
Klartext. Denkbar ist auch eine Access Liste die nur HSRP-Hellos von
bekannten Router akzeptiert.
Wireless LAN
Die Ausbreitung von Funkwellen kann nur
schwer kontrolliert werden. Die Ausleuchtung eines Access Point geht
daher oft über das Firmengelände oder die eigene Wohnung
hinaus.
Ein potentieller Angreifer hat also
fast unbegrenzt Zeit sich unerkannt an den Sicherheitsvorkehrungen zu
probieren. Sehen Sie den schwarzen Lieferwagen vor Ihrem Fenster?
Folgende einfache Vorkehrungen sollte man treffen:
SSID-Broadcasting deaktivieren
Damit verhindert man ein
versehentliches einbuchen von Clients in den Access Point (AP). Der
AP ist jetzt nur noch mit spezieller Software (Kismet ist Dein Freund) aufzuspüren.
MAC-Adressen filtern
Auch diese Maßnahme verhindert
ein versehentliches Einbuchen von Clients. Ein versierter Angreifer
wird allerdings sehr schnell eine gültige MAC-Adresse
herausfinden und diese in seine Karte eintragen.
WPA oder WEP aktivieren
Das Überwinden der Verschlüsselung
verlangt vom Angreifer schon etwas Mühe.
WEP ist allerdings relativ leicht zu überwinden. Mit Programmen wie airsnort oder wepcrack benötigt
der Angreifer nur eine größere Menge Daten um den WEP-Key zu bestimmen.
WPA/PSK bringt wesentlich besseren Schutz.
Wenig Schutz bietet das Deaktivieren den DHCP-Servers des AP. Dadurch kann sicher ein
einfaches Einbuchen eines Clients verhindert werden, der Blackhat wird sich davon nicht aufhalten lassen.
Auf jeden Fall ist der Aufbau eines
VPN-Tunnels z.B. mittels IPSec auf der Funkstrecke zu empfehlen. Eine
aktive Überwachung der eingebuchten Clients hilft Angreifer
frühzeitig zu erkennen.
Die Clients sollte man so einstellen, das sie sich nur am eigenen Access Point einbuchen.
SSL / HTTPS
Das Protokoll SSL (Secure Socket Layer) gilt als recht sicher.
Die Sicherheit basiert allerdings auf dem Verbindungsaufbau mit einer vertrauenswürdigen Gegenstelle.
Bei einer Man-in-the-Middle-Attack (MitM) mit ettercap wird Ihnen der Angreifer ein falsches Zertifikat unterschieben.
Die Mehrzahl der Nutzer ignoriert den Warnhinweis ihres Browsers und baut eine SSL-Verbindung mit dem Angreifer auf.
Weitergabe und Veröffentlichung von Traces
Manchmal ist es hilfreich, Tracefiles zur Fehlersuche an andere Personen zu geben.
Vorher sollte man auf jeden Fall alle vertraulichen Informationen (Usernamen, Passwörter) aus dem Trace entfernen.
Von WildPackets gibt es dafür den PacketScrubber.
Alternativ kann man seinen Trace auch als ASCII-File speichern und mit einen Texteditor bereinigen.
URL: www.wildpackets.com/products/packetscrubber
Interessante Websites
Auf Gaijin.at finden Sie viele nützliche Informationen zur Sicherheit im Internet.
Neben aktuellen Artikel gibt es dort Tools und Downloads.
Aktuelle Informationen
|