Angriffe von Außen UND Innen erkennen

FirewallDas Bundesamt für Sicherheit in der Informationstechnik (BSI) vermeldete am 21.1.2014: „Bei der Analyse von Botnetzen wurden 16 Millionen gestohlene digitale Identitäten entdeckt“. Obwohl in erster Linie unvorsichtige Verbraucher betroffen gewesen sein dürften, zeigt der Fall eine gefährliche Schutzlücke auf, die in der Praxis häufig übersehen wird, die wir hier näher erläutern möchten. Dabei setzen wir voraus, dass es inzwischen zum etablierten Standard gehört, sich mittels Firewall und NAT gegen unerwünschte Verbindungen aus dem Internet zu schützen, d.h. analog zu einem Wassergraben um eine Burg, soll der Angreifer fern gehalten werden. Leider greift dieser Schutzmechanismus nicht mehr, wenn wie im vorliegenden Fall, der Angreifer via Phishing durch das Eingangstor marschiert und ein „Trojanisches Pferd“ einschleust. Was ist also zu tun, um sich dennoch zu schützen? Zwei pragmatische Schritte schaffen erste Abhilfe.

1. Firewall richtig konfigurieren

Eine Firewall sollte erst einmal alle Verbindung von außen blockieren und somit ein direktes Eindringen ins interne Netzwerk verhindern. Eingehende Verbindungsversuche werden also grundsätzlich abgewehrt und nur Pakete, die zu einer bestehenden, von innen aufgebauten Verbindung gehören, werden weitergereicht. Diese Art von Firewall filtert allerdings keine Schadsoftware/Trojaner, die bereits im internen Netzwerk sind, und Verbindungen nach außen aufbauen. Eine erste Abhilfe schafft daher eine Firewall-Konfiguration, die nach außen ebenfalls Ports blockiert. Für die betrieblich benötigten Ports, z.B. HTTP (Port 80), HTTPS (Port 443) oder SMTPS (Port 587), werden dann spezielle Filterregeln zum Durchleiten erstellt. So kann erst einmal keine Malware über das typische IRC-Protokoll (Port 6667) nach außen ihren Kontrollserver kontaktieren, um neue Befehle zu erhalten. Unverschlüsselt Emails über SMTP (Port 25) können ebenfalls nicht versendet werden und auch unerwünschte Peer-2-Peer Verbindungen werden gestoppt. Da es aber inzwischen auch Malware gibt, die über den erlaubten Standard HTTP Port nach außen kommuniziert, sind zusätzliche Maßnahmen in Form eines sogenannten Intrusion Detection Systems (IDS) erforderlich.

2. Intrusion Detection/Prevention Systeme nutzen

Im Unterschied zur filternden Firewall schaut ein (netzwerkbasiertes) IDS nicht nur auf die Ports, sondern auch auf die dahinterliegenden Protokolle und insbesondere die Paketinhalte. Das ermöglicht es, den Netzwerkverkehr detaillierter nach Auffälligkeiten zu untersuchen als eine Firewall das könnte. Das IDS besitzt dafür Regeln, um nach bestimmten Mustern zu suchen. Die Erkennung kann z.B. durch bereits bekannte Hosts/IP-Adressen oder durch die Art der Anfrage an Parametern stattfinden. Ergänzt man die Erkennung um einen Automatismus, der zielgenaue Abwehrmaßnahmen auslöst (Intrusion Prevention System/IPS), kann ein Angriff zeitnah gestoppt werden.

Verwendet beispielsweise ein Mitarbeiter eines Krankenhauses seinen Arbeits-Laptop ebenfalls zu Hause, und ist durch unzureichende Sicherheitsmaßnahmen mit Malware infiziert worden, kann diese Malware sich im Krankenhaus weiterverbreiten. Ein IDS kann solche „Drive-by-Downloads“ aufdecken, unterbinden und somit Schlimmeres verhindern. Ebenfalls kann ein IDS die Kontaktaufnahme zum Kontrollserver der Malware erkennen, den infizierten Laptop im lokalen Netzwerk identifizieren, und die weitere Kommunikation unterbinden.

Fazit

Wenn man die Firewall(s) richtig konfiguriert und um ein IDS/IPS-System ergänzt, kann man den nächsten Warnungen sicher ein Stück weit gelassener entgegen blicken. Der pragmatische Einsatz der vorhandenen Open Source Tools, wie beispielsweise IPFire, wirkt sich zudem schonend auf das Budget aus. Disclaimer: Diese Informationen ersetzen keine Beratung und sind immer im entsprechenden Kontext zu interpretieren.

No tags.
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.