Newsletter

Hier können Sie sich für unseren News-letter und unsere eJournals anmelden.

 

anmelden

 
Home arrow it security arrow Angriffsszenarien im Netzwerk: Den Feind mit den eigenen Waffen schlagen

it security

it security widmet sich allen Aspekten der IT-Sicher-heit in strategischer und technischer Hinsicht. Das Magazin stellt praktische und kostengünstige Lösun-gen in den Bereichen Auditing, Penetrationstests, Hacking-Szenarien, Security Management-Konsolen, Firewalls, IDS/IPS, Antiviren-Programme und vielen anderen mehr vor. Zur Zielgruppe gehören unter anderem die Leiter der Bereiche Datensicherheit und Internet in Großunternehmen und dem Mittelstand.

 

Inhaltsangabe

Angriffsszenarien im Netzwerk: Den Feind mit den eigenen Waffen schlagen PDF  | Drucken |  E-Mail
18. März 2008

Jedes IT-System hat Schwachstellen über die – manchmal mit etwas Anstrengungen verbunden, oftmals jedoch ohne großen Aufwand – ein Angreifer in das Unternehmensnetzwerk eindringen kann. Folglich sollte es das Ziel eines jeden Geschäftsführers, CSO oder IT-Sicherheitsbeauftragten sein, potentielle Gefahrenquellen in der unternehmensinternen IT-Infrastruktur zu kennen und diese so weit wie möglich zu eliminieren.

Hiobsbotschaften über Viren, Würmer, Spyware, Trojaner oder andere Malware sind bestens verbreitet – nicht aber das Knowhow über taugliche Strategien gegen feindliche Übergriffe. Um sich dem Problem zu nähern, ist eine systematische Vorgehensweise gefragt. Diese bedingt im ersten Schritt eine Klassifizierung der Angreifer, denn der Schutzbedarf orientiert sich nicht zuletzt am Täterbild: Sinnvoller Weise unterscheidet man hier in Außen- und Innentäter, denn sowohl Motivation als auch Methoden der beiden Tätergruppen sind unterschiedlich. Der Grund des Angriffs von einem Außentäter ist zunehmend monetär begründet. Im Gegensatz dazu haben In-nentäter eine Zugangsberechtigung zum Betriebsgelände und einen erlaubten Zu-griff auf die IT-Systeme. Generell sind es Sicherheitslücken in der unternehmensinternen Infrastruktur, die Eindringlinge in die Lage versetzen, die Verfügbarkeit von IT-Systemen zu beeinträchtigen sowie Informationen unberechtigt zu lesen oder zu verändern. Zunehmend ist im Bereich der digitalen Gefahren nahezu jede IT-Infrastruktur durch diverse Bedrohungen hochgradig gefährdet. Diese können in verschiedene Klassen eingeteilt werden – verbreitete Angriffsszenarien hierbei sind unter anderem:

* Sabotage der Systeme

* Denial-of-Service (DoS)-Attacken

* Kompromittierung des Unternehmensimage zum Beispiel durch Veränderung von publizierten Inhalten auf der Webseite

* Missbrauch der Systeme durch illegitime Nutzung der Ressourcen für Angriffe auf andere Unternehmen

In der Ausführung bedient sich der Angreifer im wesentlichen der typischen Methoden:

* Hackerangriffe
* Spionage
* Spoofing, Phishing oder Pharming
* Social Engineering

Vorgehensweise

Wie geht ein Außentäter vor, um Angriffspunkte ausfindig zu machen? Um die Schwachstellen in einer spezifischen Netzwerkumgebung zu ermitteln, gehen Außentäter sehr gezielt vor. Im ersten Schritt wird versucht, auf relativ legalem Wege möglichst viele Informationen über das Unternehmen zu sammeln. Primäre Anlaufstelle für das so genannte passive Ausspionieren sind die öffentlich zugänglichen Quellen. Anhaltspunkte für die Recherche bietet der Internetauftritt – danach wird die Informationssuche zunehmend konkret: Sammeln von Angaben und Mitteilungen über das Unternehmen aus Beiträgen in Newsgroups und Foren oder oftmals Einholen einer direkten Auskunft von den Mitarbeitern, zum Beispiel durch gezielte Abfrage am Telefon. Entscheidend bei der passiven Spionage ist, dass die Aktivitäten nicht durch die IT-Systeme des Unternehmens erfasst werden können. Im nächsten Schritt – dem aktiven Ausspionieren – wird das Netzwerk des Unternehmens gezielt untersucht, zum Beispiel über DNS-Lockups oder Port Scans. Im Ge-gensatz zum passiven Ausspionieren ist das Risiko entdeckt zu werden für den Angreifer bedeutend höher, da diese Aktivitäten theoretisch mitgeloggt und somit seitens des Unternehmens registriert werden könnten.

Ein Fallbeispiel

Innovative Produkte zu entwickeln kostet Zeit und Geld, auch sind hierfür kompe-tente Mitarbeiter vonnöten. Aufgrund dieser Aspekte wird zunehmend versucht, mittels illegaler Methoden das Know-how vom Mitbewerber – teils von Unternehmen, teils gar staatlich organisiert – einfach zu entwenden. Für einen Angriff bedarf es lediglich einer Software – der so genannten Spyware –, die nach dem Aufspielen ermöglicht, Rechner von einem entfernten Standort zu überwachen oder fernzusteuern; dies gestattet unter anderem auch den Zugriff auf Daten, etwa die der Forschung und Entwicklung. Mit Spyware können Rechner beispielsweise dann infiziert werden, wenn die Sicherheitssysteme nicht auf dem aktuellen Stand sind. Häufig allerdings ist die Spionagesoftware individuell designt, so dass herkömmliche Sicherheitssysteme hier nicht wirklich helfen.

Basis für eine gezielte Vorgehensweise

Das Testen der IT-Systeme dient zur Eruierung des aktuellen Sicherheitsstatus und darauf basierend zur Feststellung des tatsächlichen Bedarfs. Dabei werden in erster Linie die verschiedenen Angriffspunkte eines Unternehmens im Hinblick auf ihre Schwachstellen überprüft. Diese sind vorzufinden

* in der Infrastruktur (zum Beispiel Gebäude, Serverräume),

* in den IT-Systemen (etwa Firewalls, Webserver)

* auf Grund von mangelndem Sicherheitsbewusstsein von Mitarbeitern (zum Beispiel ungewollte Verbreitung von vertraulichen Informationen in Newsforen).

Überprüfungen via Penetrationtest


Ein Penetrationstest ist ein umfassender Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Im Rahmen eines Penetrationstests wird die Überprüfung möglichst vieler – oder bevorzugt aller – Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems vorgenommen. Hierzu kommen Mittel und Methoden zum Einsatz, die ein feindlicher Angreifer anwenden würde, um unautorisiert in das System einzudringen. Wesentlicher Teil eines Penetrationstests sind Werkzeuge mittels derer Angriffsattacken auf IT-Systeme praktisch nachgestellt und möglichst alle Angriffsmuster nachgebildet werden können, die sich aus den zahlreichen bekannten Angriffsmethoden herausbilden. In Abhängigkeit davon, was getestet werden soll, finden Penetrationstests entweder von einem Standort außerhalb des Unternehmens oder direkt vor Ort statt.

Black- oder Grey Box

Bei einem Penetrationstest von einem externen Standort findet eine Begutachtung der folgenden Systeme statt:

* Internet-Anbindung (unter anderem Firewall, Mail-Gateway, VPN-Gateway)
* sonstige IT-Infrastruktur (unter anderem Citrix)
* VPN-Infrastruktur und entsprechend andere.

In der Regel werden Angriffe im Rahmen der Tests alternativ als BlackBox- oder GreyBox-Angriffe durchgeführt. Im ersten Szenario erfolgt ein klassischer Hackerangriff ohne detailliertes Know-how über die vorhandene Infrastruktur von einem externen Standort zum Beispiel über das Internet oder Dial-In. Bei GreyBox-Angriffen liegen ausgewählte Informationen vor, etwa IP-Adressen. Insgesamt erhalten die beauftragten Angreifer jedoch keinerlei Angaben zur Infrastruktur des Unternehmens, sondern sammeln alle Informationen hierüber eigenständig, etwa über WHOIS- & RIPE-Einträge oder Netcraft.

Penetrationstest vor Ort

Der interne Penetrationstest direkt am Standort des Unternehmens dient unter anderem zur Diagnose, welche Auswirkungen beispielsweise durch einen Fehler in der Firewall-Konfiguration entstehen könnten oder was bei einem erfolgreichen Angriff auf die Firewall passiert. Auch kann eruiert werden, welche Möglichkeiten Personen mit Zugang zum internen Netzwerk haben, etwa den Zugriff auf Prozess-Know-how im Bereich Forschung und Entwicklung oder auf die Kalkulationen in der Finanzbuchhaltung. Um diese Sicherheitslücken ausfindig zu machen, findet unter anderem in einer Zielerfassung eine Verifizierung aller belegten IP-Adressen statt. Mit der Durchführung von Penetrationstests werden verschiedene Ziele verfolgt: Diese sind, neben der Identifikation von Schwachstellen und dem Aufdecken potentieller Fehler, welche sich aus der (fehlerhaften) Bedienung ergeben, in erster Linie die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene sowie die Bestätigung der IT-Sicherheit durch einen externen neutralen Dritten. Die Vorgehensweise bietet sich für die Konzeption oder Weiterentwicklung der Sicherheitsstrategie an, weil sich hieraus eine möglichst objektive Basis ergibt, anhand derer die verschiedenen Kriterien evaluiert werden können. Denn allgemein gilt ein System dann als sicher, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Deshalb ist es wichtig, die Barrieren möglichst hoch zu setzen und damit die Chancen für einen erfolgreichen Einbruch zu minimieren. Auf der anderen Seite muss jedoch auch die Kosten-/Nutzen-Relation überprüft werden. Um insgesamt aussagekräftige Ergebnisse zu erhalten, ist die dezidierte Planung des Penetrationstests ein Muss. Dabei lassen sich Qualität und Aussagekraft eines Penetrationstests jedoch kaum anhand der eingesetzten Werkzeugen bewerten; beide Faktoren sind in erster Linie abhängig von der Genauigkeit der getroffenen Annahmen beziehungsweise Szenarien sowie von der strukturierten Durchführung.


Wolfgang Straßer

Diesen Artikel finden Sie auch in der Ausgabe 2-2008 des it security.

 
< zurück
[ Zurück ]