Anzeige

Security Netz

Threat Defender in Aktion - Use Cases

Nachdem wir uns bisher auf einer eher abstrakten Ebene mit Threat Defender beschäftigt und mit dessen grundlegenden Arbeitsweise vertraut gemacht haben, wollen wir uns nun auch ein paar praktische Use Cases ansehen. Abhängig vom Deployment Modus - passiv am Mirror-Port oder aktiv als Network Switch - kann Threat Defender entweder als reines Auskunftssystem dienen oder eben auch aktiv in den Netzwerkverkehr eingreifen. Der Einsatz im passiven Modus ist also vor allem dann sinnvoll, wenn Threat Defender ausschließlich als mächtige Informationsquelle genutzt werden soll, mit dem sich das Netzwerk interaktiv aus verschiedenen Blickwinkeln betrachten lässt. Die mit Hilfe der Threat Intelligence Engine gewonnenen Erkenntnisse kann Threat Defender - beispielsweise per E-Mail - an einen Administrator übermitteln oder auch Aktionen per Web-Hook an anderen Sicherheitssystemen auslösen. 

Network Access Control

Unbekannte Geräte im Netzwerk stellen eine latente Bedrohung für die Sicherheit von Netzwerken dar. So könnten unbedarfte Anwender auf die Idee kommen, aus Gründen der Bequemlichkeit mitgebrachte Geräte wie Wireless Access Points ans Netzwerk anzuschließen und damit auch unbefugten Dritten Zugang zum Netzwerk zu verschaffen. Da diese Geräte häufig auch einen DHCP Server beinhalten besteht darüber hinaus die Gefahr, dass falsche IP-Adressen an die Clients im Netz verteilt werden. Üblicherweise übernehmen daher Systeme für die Netzwerkzugriffskontrolle (Network Access Control, NAC) die Aufgabe, fremde Geräte im Netzwerk zu detektieren und an der Kommunikation zu hindern. Threat Defender kann diese Aufgabe übernehmen.

Unabhängig vom Installationsszenario lernt Threat Defender nach der ersten Aktivierung automatisch alle MAC-Adressen der erkannten Geräte im Netzwerk und trägt diese als Assets in die interne Datenbank ein. So lange die automatische Erkennung von Assets aktiv ist ("Inventory / Asset Setting / Auto Discovery"), erstellt Threat Defender laufend neue Datenbankeinträge, wenn bisher unbekannte Geräte im Netzwerk erkannt werden. In Kombination mit einer entsprechenden Richtlinie lässt sich der Zugriff auf das Netzwerk für diese neuen Geräte sehr elegant einschränken. Per Default werden neue Geräte von Threat Defender mit dem vordefinierten Label "#AutoDiscovered" gekennzeichnet. Damit wir neue Geräte von bereits bekannten zweifelsfrei unterscheiden können, ändern Sie daher zunächst das Label für neue Geräte unter "Inventory / Asset Setting / Auto Discovery" auf einen anderen Namen, z. B.  "#NewDeviceDiscovered". Im nächsten Schritt erstellen Sie über "Policy / Rules / Add Global Rule" eine neue Richtlinie und vergeben einen Namen, z. B. "NAC" sowie eine entsprechende Beschreibung. Im Bereich "Source & Destination" wählen Sie unter Source Networks "Any" und unter Destination Networks "Internal" aus. Danach aktivieren Sie den Slider "Assets" und wählen unter Source Tags aus der Liste unser Label mit dem Namen #NewDeviceDiscovered aus. Da wir den Zugriff auf das Netzwerk für neue Geräte unterbinden möchten, wählen Sie unter "Actions / Final Action" "Drop Traffic and Stop Processing" aus und speichern die neue Policy mit Klick auf den "Save" Button. Um die neue Regel zu aktivieren klicken Sie abschließend auf den "Apply Change" Button ganz oben links im Hauptmenü.

ARP Spoofing erkennen

Neben der Problematik unbekannter bzw. fremder Geräte im Netzwerk stellen aktive Manipulationen an Netzwerkverbindungen ein weiteres großes Problem dar. So können Angreifer gefälschte ARP-Nachrichten (Adress Resolution Protocol) versenden, um Netzwerkverbindungen so zu beeinflussen, dass enthaltene Daten als "man in the middle" mitgelesen oder diese sogar verändert werden können. Auf diese Weise kann ein Angreifer beispielsweise den legitimen Download eines Benutzers durch ein Malware-Programm ersetzen oder auch Druckjobs auf ihrem Weg vom Client zum Drucker verändern. Threat Defender kann dieses sog. ARP-Spoofing erkennen und spoofende Geräte blockieren in dem er die Beziehungen zwischen IP- und MAC-Adressen überwacht. Denn eine IP-Adresse kann jeweils immer nur mit einer MAC-Adresse verknüpft werden. Wenn also mehrere IP-Adressen ihre MAC-Adress-Beziehung auf ein und dieselbe MAC-Adresse ändern, handelt es sich mit hoher Sicherheit um einen ARP-Spoofing Angriff.

Um ARP-Spoofing Angriffe erkennen und blockieren zu können analysiert Threat Defender die MAC-IP- sowie die IP-MAC Adressbeziehung zunächst in jeweils einer eigenen Tracking-Tabelle. Verdächtige Geräte werden anschließend in einem dynamischen Netzwerkobjekt gesammelt auf welches Threat Defender dann mit einer passenden Regel (z. B. Drop Traffic and Stop Processing) reagiert.

Thomas Zeller, freier Journalist
Thomas Zeller
freier Journalist, OSS Security | Technische Redaktion für Open Source & IT-Security

Artikel zu diesem Thema

Cloud-Security
Mär 27, 2020

Konvergente Technologien für Sicherheit in der Cloud

Mit wachsenden digitalen Geschäftsanforderungen investieren Unternehmen massiv in die…
Cyberrisk
Jan 21, 2020

Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf

Cybervorfälle sind erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit. Im…
Mai 28, 2019

Threat Hunting: Methoden und Möglichkeiten

Jedes Unternehmen sieht sich heute gezwungen, Cyberrisiken anders als bisher zu begegnen.…

Weitere Artikel

Supply Chain

Attacken auf die Software-Supply-Chain haben sich verdreifacht

Aqua Security, ein Anbieter cloudnativer Security, gab heute die Ergebnisse der aktuellen Studie „Software Supply Chain Security Review“ über Angriffe auf Software-Supply-Chains bekannt. Die Experten konnten über einen Zeitraum von sechs Monaten feststellen,…
Bankkarten

Eine gehackte deutsche Zahlungskarte kostet 16 Euro im Dark Web

Eine neue Studie von NordVPN hat 31.000 deutsche Zahlungskarten analysiert, die im Dark Web verkauft werden. Laut dieser Untersuchung liegt der angebotene Durchschnittspreis einer deutschen Zahlungskarte bei 15 Euro und 79 Cent.
Spionage

DazzleSpy attackiert Besucher von pro-demokratischer Nachrichtenseite in Hongkong

Die Webseite des Radiosenders D100 in Hongkong wurde kompromittiert. Ein Safari-Exploit wird ausgeführt, der eine Spionagesoftware auf die Macs der Besucher des Nachrichtenportals installiert.
Mond Rot

MoonBounce: Gefährliches Rootkit schlummert in der Firmware

Sicherheitsforscher von Kaspersky haben ein kleines, aber gefährliches Rootkit gefunden, das vom Unified Extensible Firmware Interface (UEFI) eines Computers Malware nahezu ungestört verbreiten kann.
Software Supply Chain

Angriffe auf die Software-Lieferkette stellen ein großes Risiko dar – aber sie können verhindert werden

Immer häufiger werden Software-Lieferketten angegriffen. Dies stellt eine große Gefahr dar, weil dann auf einen Schlag viele Unternehmen weltweit betroffen sein können. Wie können Unternehmen sich gegen solche Angriffe schützen?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.