Firewall, Virenscanner, Mail-Gateway und Proxies gehören inzwischen zu den Standardvorkehrungen, um lokale Netzwerke vor Angriffen aus dem öffentlichen Netz zu schützen. Ergänzend kommen zunehmend Intrusion-Detection-Systeme (IDS) oder Content-Scanner zum Einsatz. Erstere, um im Fall eines Angriffs adäquat reagieren zu können, und Letztere, um Browser-Sessions und E-Mail als Einfallstor für schädlichen Code zu schließen. Die externe Kommunikation mit Kunden, Partnern oder Mitarbeitern ist in vielen Fällen mittels SSL oder VPN gesichert, und sensible E-Mails werden verschlüsselt.
Der direkte Zugang ins LAN dagegen gestaltet sich nicht nur wesentlich einfacher als über eine gut gesicherte Firewall, er ist auch deshalb sehr interessant, weil im internen Netzwerk meist alle Server und Dienste uneingeschränkt verfügbar sind. Außerdem werden im LAN häufig durch den geltenden internen Vertrauensgrundsatz Abstriche hinsichtlich der Überwachung und Verschlüsselung von Daten gemacht.
Pforten für den Zugang ins LAN
Die eigentliche Hürde stellt der physische Zutritt zu den Räumlichkeiten eines Unternehmens beziehungsweise zu den Kabeln und Anschlüssen dar. Ist er erst einmal gegeben, gibt es vielfältige Möglichkeiten, sich in ein LAN einzuklinken. Am einfachsten lassen sich vorhandene, aktive und ungenutzte Anschlüsse nutzen.
Das Zwischenschalten eines Hubs, falls ein Anschluss schon besetzt ist, fällt nicht weiter auf. Ungesicherte Verteilerschränke sowie Abteilungsdrucker bieten sich ebenfalls für den unbemerkten Zugriff an. Bei Bedarf lassen sich auch Kabelverbindungen auftrennen. Besonders unauffällig können vorhandene, unzureichend gesicherte WLAN-Access-Points missbraucht werden. Insbesondere dann, wenn diese nicht durch die IT-Abteilung aufgestellt wurden, sondern von einem Mitarbeiter. In diesem Fall ist mit großer Sicherheit davon auszugehen, dass der Access Point nicht ausreichend geschützt ist.
Gefahren durch Fremdsysteme im LAN
Fremde Computer, Server und sonstige Netzwerkkomponenten können das LAN auf vielfältige Weise gefährden, selbst wenn sie in guter Absicht oder einfach aus Gedankenlosigkeit in das LAN eingebracht werden. Fremdsysteme können sich zwar ohne Benutzeridentifikation im Allgemeinen nicht an den vorhandenen Servern und Anwendungen anmelden. Doch allein dadurch, dass sie unbemerkt im LAN agieren, haben sie eine Fülle von Möglichkeiten, den ordnungsgemäßen Betrieb zu stören oder das gesamte Netz lahm zu legen. Sei es, indem sie sich als Virenschleuder erweisen, unerwünschte Software oder Hardware ins Netz einbringen, unerwünschte, weil störende Dienste wie DHCP- oder Boot-Server anbieten, DoS-Attacken starten oder unerlaubte Netzzugänge schaffen.
Ein unentdeckter WLAN-Access-Point verlängert das LAN bequem für Datenschnüffler aus der Nachbarschaft. Switch-Technologien und VLANs schützen nicht ausreichend vor unerwünschter Datenspionage und weiteren Gefahren. Zum Sniffen lassen sich viele Switches mittels "mac address flooding" in den Hub-Modus zwingen. ARP-Spoofing zum "Unterschieben" eines gefälschten, mitlesenden Standard-Gateways ist als Angriffsmethode noch eleganter. Dafür existieren viele einfach zu bedienende Tools, die nur wenig Wissen voraussetzen.
Lösungen für den LAN-Zugangsschutz
Vorhandene Lösungsansätze, in denen die Switches als physikalische und logische Eingangspforte zum LAN mehr Sicherheitsaufgaben übernehmen, lassen sich in drei Gruppen zusammenfassen.
Authentifizierungen nach IEEE 802.1x in Verbindung von EAP
Einen Switchport erst nach erfolgreicher Authentifizierung freizugeben, wie es 802.1x definiert, stellt eine nahe liegende Lösung dar.
Die Idee hinter IEEE802.1x ist, dass einem physischen Anschluss zwei logische Anschlüsse (Ports) zugeordnet werden. Der physische Anschluss leitet die empfangenen Pakete grundsätzlich an den so genannten freien Port (Uncontrolled Port) weiter. Der kontrollierte Port (Controlled Port) ist nur nach einer Authentifizierung erreichbar, die über den freien Port erfolgt. In der Regel übernimmt ein RADIUS-Server (Remote Access Dial-up User Service - RFC 2138) die Rolle des Authentifizierungs-Servers.
Der Zugangspunkt (Switch oder WLAN-AP) fordert vom Client dessen Identität.
Der Client liefert seine Identität an den Zugangspunkt.
Die Information über den offenen Port leitet der Zugangspunkt an den RADIUS-Server weiter.
Eine Authentifizierung des Client wird vom RADIUS-Server gefordert. Diese Anforderung (Challenge) sendet er zunächst an den Zugangspunkt.
Weiterleitung der Anforderung vom Zugangspunkt an den Client.
Der Client sendet eine Antwort auf die Anforderung an den Zugangspunkt. Diese Antwort enthält die geforderte Authentifizierung, beispielsweise ein bestimmtes Passwort oder eine korrekte Verschlüsselung einer in der Anforderung enthaltenen Zeichenfolge.
Die Antwort leitet der Zugangspunkt an den RADIUS-Server weiter.
Der RADIUS-Server überprüft die Antwort. Im Fall eines Erfolgs sendet er eine entsprechende Meldung an den Zugangspunkt.
Der kontrollierte Port wird vom Zugangspunkt freigegeben. Darüber hinaus leitet er die Meldung an den Client weiter.
Es sind dafür aber eine Reihe von Voraussetzungen zu schaffen. So müssen alle Clients und die beteiligten aktiven Komponenten die notwendigen, kompatiblen Protokolle unterstützen (EAP).
In einer aktuellen reinen Microsoft- und homogenen Switch-Landschaft lässt sich dieser Ansatz realisieren. Den Aufwand dafür sollte man dennoch nicht unterschätzen. Nicht kompatible oder ältere Sonder-Clients, Netzdrucker, Router, WLAN-Access-Points und andere Komponenten lassen sich schwer - und teilweise nur mit Einschränkungen - in dieses Konzept integrieren. Auch der Missbrauch bereits aktivierter Ports kann nicht ausgeschlossen werden, etwa über ein Session Hijacking.
Notwendige zusätzliche Komponenten (RADIUS und eventuell eine PKI-Infrastruktur) erfordern zusätzlichen Aufwand zur Aufrechterhaltung der Gesamtverfügbarkeit des Netzes. Ein Event-Management einschließlich der Lokalisation unautorisierter Zugriffsversuche ist standardmäßig nicht vorgesehen und muss mit zusätzlichen Lösungen realisiert werden.
Broadcast- und Agenten-basierende Lösungen
Solche Lösungen zeichnen sich durch eine vollständige Protokollüberwachung und -auswertung aus. Da wesentliche Protokolle wie beispielsweise ARP auf ihren Broadcast-Bereich beschränkt sind, erfordern sie das direkte Mitlesen des Datenverkehrs oder dedizierte Agenten, welche diese Funktion "vor Ort" übernehmen und nur die Auswertungsergebnisse weitergeben.
Letzteres reduziert die Netzlast. In jedem Fall ist aber die technische Einbeziehung aller Broadcast-Bereiche notwendig, um eine umfassende Überwachung zu gewährleisten. Die dazu erforderliche Infrastruktur ist sehr aufwendig und muss stets nachgepflegt werden.
Für die IP-Kommunikation über das Ethernet ist ARP ein unverzichtbarer Bestandteil, da die eigentliche Adressierung im Ethernet (webcode: p209) anhand der MAC-Adressen stattfindet. Eine MAC-Adresse (Medium Access Control) ist eine auf der Netzwerkkarte festgelegte Kennung, die im Normalfall einzigartig und unveränderbar ist. Die MAC-Adresse hat eine Länge von 48 Bit und wird in der Regel hexadezimal geschrieben.
Die ersten 24 Bit dieser Adresse beinhalten die Herstellerkennung der Netzwerkkarte, die von der IEEE (Institute of Electronic Engineers) vergeben wird. Zum Beispiel die MAC-Adresse
00-0D-56-XX-XX-XX
können Sie somit als die zugehörige Netzwerkkarte von Dell identifizieren. Eine Liste aller herstellerbezogenen MAC-Adressen finden Sie unter standards.ieee.org.
ARP stellt das Bindeglied zwischen IP- und MAC-Adresse dar. Bevor ein IP-Paket verschickt werden kann, ist die MAC-Adresse des Zielrechners zu ermitteln. Dazu versendet ARP einen Broadcast (Rundruf) mit der Frage "who has <IP-Adresse>". Ist der Ziel-Host online, antwortet dieser mit einem an den Absender gerichteten ARP-Reply "<IP-Adresse> is at <MAC-Adresse>". Diese Antwort speichert der Rechner temporär im ARP-Cache, um weitere Anfragen zu vermeiden.
Herstellerlösungen
Enterasys, Alcatel und Cisco gehören zu den führenden Anbietern gehobener Switch-Klassen mit umfassenden Konzepten und Lösungen zur Verbesserung der Netzwerksicherheit. "Secure Network Solutions", "Secured Next Generation Networks" und "Network Admission Control" sind nicht nur verheißungsvolle Namen.
Im Prinzip funktionieren diese Lösungen so, dass ein Gerät nur ins LAN gelassen wird, wenn es eine Reihe von Sicherheitsanforderungen erfüllt, wie beispielsweise einen aktuellen Virenscan mit einem zertifizierten Virenscanner. Ansonsten werden diese Stationen vom Switch an einen Management-Server verwiesen, der zunächst sicherstellt, dass alle Anforderungen erfüllt werden - beispielsweise durch Überspielen der neuesten Virensignaturen und Durchführen eines kompletten Scans. Können die Sicherheitsanforderungen nicht komplett erfüllt werden, erhält die Station nur eingeschränkten oder gar keinen Zugriff auf das LAN. Somit kann man auch problemlos einen "Gast-Zugang" ins LAN schaffen, etwa für Firmenbesucher, die nur schnell E-Mails überprüfen wollen. Diese kommen dann beispielsweise in ein spezielles VLAN , das nur beschränkten Zugriff auf das Internet und keinen Zugriff auf das interne LAN erlaubt.
Letztlich funktionieren diese Lösungen allerdings nur, wenn ausschließlich die entsprechenden Komponenten Verwendung finden. In den meisten Fällen ist dies die Hardware des Herstellers und zusätzlich zertifizierte Software der Partner des Herstellers. Wer will oder kann jedoch seine komplette Netzwerkinfrastruktur über Bord werfen?
Herstellerübergreifende Lösung
Keine der bekannten Lösungen aus diesen Gruppen erfüllt derzeit die einfache Forderung der IT-Praxis, unabhängig von Switch, Client und Protokoll standortübergreifend die MAC-Adressen aller aktiven Knoten zu ermitteln, ihre Autorisierung zu prüfen und bei Feststellen unautorisierter Systeme flexibel zu reagieren. Einen Ansatzpunkt bietet der SNMP-Standard, über den sich mittels eines Toolsets von allen SNMP-fähigen Geräten die relevanten Parameter abfragen lassen.
Diesen Ansatz wählt auch die mikado ag bei ihrem Tool MACmon. Es ermöglicht die echtzeitnahe Überwachung heterogener Netze mit mehreren hundert LAN-Geräten. Dazu ermittelt es die MAC-Adressen aller aktiven LAN-Komponenten durch eine zyklische SNMP-Abfrage aller Switches im zu überwachenden Bereich und prüft sie gegen eine Datenbank.
Werden nicht autorisierte MAC-Adressen entdeckt, greift ein flexibles Ereignis-Management mit Protokollen und Benachrichtigungen verschiedenster Art bis hin zum temporären Sperren der betroffenen Switchports. Umfangreiche Import- und Exportfunktionen, optionale Switchport-Markierungen sowie weitere Funktionen gewährleisten, dass der Betreuungsaufwand sehr gering bleibt. Alle notwendigen Arbeiten lassen sich bequem über eine per SSL verschlüsselte Weboberfläche erledigen.
Voraussetzung für den Einsatz eines solchen Tools ist ein SNMP-Zugang (MIB II und Bridge MIB) zu allen Switches im LAN. Ganz ohne Tücken ist dieses Tool allerdings nicht: Bis Version 2 werden die SNMP-Daten unverschlüsselt übertragen. Soll MACmon also Schreibzugriff auf die SNMP-Geräte erhalten, etwa um Ports per "set"-Befehl zu sperren, ist das Risiko der Abhörmöglichkeit per Sniffing gegen die Vorteile des Tools abzuwägen.
Auch das Problem manipulierter MAC-Adressen ist nicht zu unterschätzen. Das Ziel muss also darin bestehen, einem potenziellen Angreifer die Möglichkeit zu verwehren, durch Sniffing an autorisierte MAC-Adressen zu gelangen. Entsprechend kurze Abfragezyklen erhöhen die Wahrscheinlichkeit, dass ein Angreifer genug Zeit hat, an die Informationen zu gelangen - sie erhöhen jedoch auch den Traffic und die Last auf den Systemen.
Fazit
Eine 100-prozentige Sicherheit zu gewährleisten, kommt einer Sisyphos-Arbeit gleich. Aus diesem Grund aber zu glauben, dass Firewall und Proxy am Netzwerk-Perimeter zum Internet ausreichen (müssen), kann fatale Folgen haben. Eine gesunde Paranoia ist durchaus angebracht, ebenso die Sichtweise, dass jeder LAN-Zugangspunkt ein potenzielles Einfallstor für Angreifer ist.Unter Zugangspunkt sind in diesem Sinne auch alle Switchports und WLAN-Access-Points zu verstehen, denn diese stellen ebenfalls den Netzwerkperimeter dar.
Über den Autor: Peter Pakosch ist Senior Consultant Solutioncenter IT-Sicherheit bei der mikado ag. (mja)