am 07.01.2002 Aktualisiert by Reini

 

NIE OHNE RISIKO

 

" FLASH 's HOMPAGE "

 

 

 

 

Restrisiken bei Internet-Anbindungen

Die schnelle technologische Entwicklung des Internets erfordert eine ständige Anpassung von Sicherheitsmechanismen an die neuen Rahmenbedingungen. Ein Beispiel hierfür ist die starke Steigerung des Datendurchsatz im Internet in den letzten Jahren, die enorme Anforderungen an die Performance der Sicherheitssysteme stellt.

Aber auch der Einsatz verschiedener Protokolle unterliegt einem ständigem Prioritätenwandel. So haben beispielsweise die über HTTP erreichbaren Suchmaschinen den Dienst ARCHIE völlig überflüssig gemacht. Weitere Beispiele für das Verdrängen von Protokollen durch HTTP sind Gopher und WAIS. Diese Beispiele haben den Einsatz von Sicherheitsmechanismen vereinfacht, da die verdrängten Protokolle nicht mehr unterstützt werden müssen. Doch die meisten Entwicklungen der letzten Jahre führten dazu, dass die Absicherung von Rechnern und Netzen komplizierter geworden ist. Noch vor wenigen Jahren konnten die Webserver problemlos per FTP administriert werden und brauchten keine weitere Kopplung mit dem internen Netz des jeweiligen Betreibers. Heutzutage werden viele Webseiten erst direkt bei der Abfrage aus einer Datenbank heraus generiert, sodass der Inhalt der Webseite immer aktuell ist. Diese Vorgehensweise, so sinnvoll sie aus Aktualitätsgründen und Arbeitsersparnissen auch sein mag, erhöht das Risiko für ein erfolgreiches Eindringen in das interne Netz. Dies ist umso kritischer, da sowohl viele Firewalls keine entsprechenden Protokollüberprüfungen (z. B. durch einen SQL-Proxy) bieten als auch die Entwickler des Content-Managements die Restriktionen einer guten Firewall nicht oder nur wenig berücksichtigen.

Die Neu- bzw. die Weiterentwicklung von bestehenden Protokollen führt ebenfalls häufig zu Sicherheitsproblemen. So ist die Internettelefonie nicht oder nur sehr schlecht mit einem guten IT-Sicherheitskonzept zu vereinbaren, und auch Internet-Radio oder Internet-Fernsehen stellen für den IT-Sicherheitsbeauftragten kaum lösbare Probleme dar. Schließlich ist sogar ein einfaches Upgrade der eingesetzen Browser-Software kein triviales Problem. Die Dokumentation der Webbrowser ist oft mangelhaft, sodass die Sicherheitsaspekte von neu eingebauten Features nur mit großem Aufwand abgeschätzt werden können. Noch schlimmer wird es, wenn selbst Textverarbeitungsprogramme selbständig Verbindungen in das Internet aufbauen und E-Mail-Programme beim bloßen Lesen einer entsprechenden E-Mail den Rechner mit einem Virus infizieren können.

Im Folgenden sollen jedoch diese Sicherheitsprobleme, die hauptsächlich aus der Verwendung von Standardsoftware resultieren, nicht weiter betrachtet werden, da diese Problematik hinreichend bekannt sein sollte. In diesem Beitrag soll der Idealfall einer sehr sicheren Internetanbindung betrachtet werden, in dem die obigen Gefährdungen berücksichtigt wurden. Denn selbst bei einem solchen Szenario bleiben Restrisiken. Insbesondere werden die Problematik der Verfügbarkeit und die Kontrolle der Kommunikation bei Verwendung von Verschlüsselung vorgestellt.

Neue Angriffsarten

Die grundlegenden Techniken für Angriffe über das Internet haben sich in den letzten Jahren nicht verändert, allerdings wurde innerhalb des letzten Jahres die Effektivität bestimmter Techniken enorm gesteigert. Diese Effektivitätssteigerung hängt unter anderem mit den immer schneller werdenden Netzen und der Vereinheitlichung der verwendeten Technik zusammen. Beispielsweise ist der durch den LoveLetter verursachte Schaden so groß gewesen, weil sich der LoveLetter innerhalb von Stunden im gesamten Internet über ein weit verbreitetes E-Mail-Programm in so kurzer Zeit ausbreiten konnte, dass Warnungen oder gar Virenupdates zu spät kamen.

Die Hauptschadwirkung hatte der LoveLetter allerdings weniger dadurch erreicht, dass er Daten verändert oder gelöscht hat, sondern durch seine rasche Verbreitung und dem damit verbundenem E-Mail-Aufkommen. Durch die Überlastung einiger Mailserver konnten viele E-Mails nicht zeitgerecht bzw. gar nicht zugestellt werden. Durch diese Schadwirkung hat der LoveLetter einen Verfügbarkeitsangriff auf das Internet durchgeführt und ist somit einer der vielen Vorfälle in diesem Jahr, bei denen durch Angriffe bestimmte Bereiche oder Dienste des Internets in ihrer Funktion stark beeinträchtigt wurden. Ein Großteil dieser Angriffe war sehr einfach. Die meisten Webserver im Internet können maximal einige hundert Anfragen pro Sekunden beantworten, die besten Webserver-Cluster eventuell einige tausend. Gelingt es einem Angreifer, zehntausend Anfragen pro Sekunde abzuschicken, so ist der betroffene Webserver nicht mehr in der Lage, diese alle zu beantworten und Anfragen regulärer Kunden werden nicht mehr bearbeitet. Da diese vielen Anfragen nicht von einem einzelnen Rechner aus gestartet werden können, haben die Angreifer dies gleichzeitig von einigen hundert Rechnern aus durchgeführt. Ein solcher koordinierter Angriff auf die Verfügbarkeit wird Distributed Denial of Service (DDoS) genannt. Mittlerweile gibt es mehrere verschiedene Programme, mit denen diese Koordinierungsaufgabe leicht zu bewältigen ist. Glücklicherweise ist diese Art Angriffe zwar sehr einfach zu verstehen, aber nicht leicht durchzuführen. Die grundlegende Voraussetzung für diesen Angriff ist, wie oben erwähnt, ein Zugriff auf einige hundert Rechner notwendig. Zwar gibt es viele unsicher konfigurierte Rechner im Internet, aber das Eindringen in sehr viele Rechner ist trotzdem aufwendig und mit einem Entdeckungsrisiko verbunden. Erschwerend kommt hinzu, dass ein DDoS-Angriff von jedem Rechner nur einmal durchgeführt werden kann, da ein solcher Missbrauch die zuständigen Administratoren alarmieren sollte (Falls die Administratoren den Angriff nicht bemerken, so erfahren sie es spätestens dann, wenn der Angegriffene sich bei ihnen beschwert.).

Einige der DDoS-Angriffe haben auch Techniken wie IP-Spoofing verwendet, die das Aufspüren der verantwortlichen Rechner stark erschwerten und die Effektivität des Angriffs nochmals steigern konnten.

Schutzmaßnahmen gegen DDoS-Angriffe

Das Problem bei den DDoS-Angriffen ist, dass ein Einzelner sich davor nicht vollständig schützen kann. Wirksame Maßnahmen gegen verteilte Denial-of-Service-Angriffe müssen in einer konzertierten Aktion an vielen Stellen in der vorhandenen komplexen Internetstruktur getroffen werden. Entsprechende Empfehlungen zum Schutz vor verteilten Denial of Service-Angriffen im Internet sind HIER zu finden.

Völlig hilflos ist ein Serverbetreiber gegen DDoS-Angriffe jedoch nicht, denn er kann durch eigene Maßnahmen die Widerstandsfähigkeit gegenüber den Angriffen erhöhen. Hier sind einige dieser Maßnahmen aufgezählt:

So wie man im täglichen Leben nicht hundertprozentig davon ausgehen kann, auf bestimmten Straßen keinen Stau vorzufinden, so ist auch im Internet eine ungestörte Kommunikation nicht garantiert. Allerdings wird der Straßenverkehr nur in sehr seltenen Ausnahmen, wie beispielsweise bei Demonstrationen, absichtlich blockiert, und selbst dann können Fahrzeuge mit Blaulicht noch immer vorankommen. Im heutigen Internet kommen DDoS-Angriffe zwar (noch) nicht häufig vor, sie sind jedoch möglich. Erschwerend kommt hinzu, dass der Verursacher dieser Angriffe nur sehr schlecht aufzufinden ist, was die Hemmschwelle stark herabsetzt. Da es im Internet so etwas wie "IP-Pakete mit Blaulicht" nicht gibt, muss es für wirklich kritische Bereiche alternative Kommunikationswege geben.

Verschlüsselung versus Firewall

Direkte Angriffe aus dem Internet auf Netze, die durch eine Firewall geschützt sind, sind in der Regel nur durch Fehlkonfigurationen der Regelsätze erfolgreich. Bei einer einfachen Internetanbindung, die sich auf E-Mail und HTTP beschränkt und über eine als Application-Gateway realisierte Firewall erfolgt, ist ein solcher Angriff mit vertretbarem Aufwand nur unter Mithilfe interner Mitarbeiter möglich. Diese Mithilfe kann dabei durchaus unabsichtlich sein. So könnte der Angreifer dem Mitarbeiter eine entsprechend präparierte E-Mail mit einem Schadprogramm (getarnt in einem nützlichen Programm) schicken, welches nach unbeabsichtigter Installation durch den Mitarbeiter interne Dokumente an den Angreifer verschickt. Eine andere Möglichkeit, ein solches Schadprogramm zu installieren, ist das Locken eines Mitarbeiters auf eine präparierte Webseite, auf der sich schädliche aktive Inhalte befinden, die auf dem Rechner des Mitarbeiters ein entsprechendes Programm installieren.

Gegen eine solche unbeabsichtigte Mithilfe bei Angriffen hilft beispielsweise das Abblocken von aktiven Inhalten und von ausführbaren Programmen auf der Firewall. Hierbei gibt es allerdings ein Problem: Wie vollständig ist diese Filterung? Es gibt so viele verschiedene Formen von ausführbaren Befehlen (seien es sogenannte DLLs unter Windows, Shellskripte unter Unix, normale exe-Programme unter DOS, Makros in Textdokumenten, Javascript und ActiveX auf Webseiten), dass eine vollständige Filterung nahezu ausgeschlossen ist. Aber selbst wenn diese Filterung perfekt wäre, wie sollen verschlüsselte Daten behandelt werden?

Um Daten vertraulich über das Internet zu übertragen, ist eine Verschlüsselung der einzig sinnvolle Weg. Leider ist bei einer Ende-zu-Ende Verschlüsselung die Firewall zu keiner inhaltlichen Analyse mehr fähig und muss die Daten ungeprüft weiterleiten. Zur Lösung dieses Problems gibt es zwei Ansätze:

  1. Der Firewall wird die Möglichkeit zur Entschlüsselung durch die Verwendung spezieller Schlüssel ermöglicht. Die Ende-zu-Ende Verschlüsselung wird beibehalten.
  2. Die Ende-zu-Ende Verschlüsselung wird aufgehoben, d. h. die Firewall entschlüsselt alle Daten und verschlüsselt sie dann wieder neu (als "man in the middle").

Die erste Variante scheint sehr vielversprechend, doch ist das Vertrauen in die Sicherheit einer solchen Lösung seit dem Bekanntwerden eines diesbezüglichen Fehlers in einem verbreitetem E-Mail-Verschlüsselungsprogramm nur sehr gering. Außerdem ist die allgemeine Akzeptanz eines Nachschlüssels nur sehr gering. Die zweite Variante hat hauptsächlich den Nachteil, dass es sich um keine Ende-zu-Ende Verschlüsselung handelt und die Daten umkryptiert werden müssen. Dies erhöht erstens den Rechenaufwand, macht zweitens das Schlüsselmanagement sehr kompliziert und erhöht drittens die Risiken für die Vertraulichkeit. Als Alternative bleiben jedoch nur die ungeprüfte Weiterleitung von verschlüsselten Daten oder ihr vollständiges Abblocken! Leider ist momentan aufgrund fehlender Produkte das vollständige Blocken die einzige zentrale technische Möglichkeit zum Schutz vor schädlichen Inhalten in verschlüsselten Übertragungen. Im Rahmen einer Sensibilisierung von Mitarbeitern und dem Ausschalten von aktiven Inhalten im Webbrowser könnte allerdings auch SSL über die Firewall hinweg eingesetzt werden, ohne dass die Sicherheit der internen Rechner dadurch allzusehr gefährdet würde. Ähnliches gilt auch für verschlüsselte E-Mails, wobei der Mitarbeiter geschult werden muss, nicht fremde Programme auszuführen. Beides setzt jedoch eine hohe Akzeptanz bei den Mitarbeitern und ein sehr restriktives IT-Sicherheitskonzept voraus. Denn Daten, die aus dem Internet kommen, haben immer ein Potenzial, im internen Netz Schaden anzurichten. Es sollte daher genau überlegt werden, mit welchen Programmen diese Daten betrachtet werden sollen. Dies trifft insbesondere auf Webbrowser und E-Mail-Programme zu. Je weniger Funktionen diese zu bieten haben, desto weniger Missbrauch ist mit ihnen möglich.

Tunnelung einer Firewall

Die im letzten Abschnitt genannten Gefährdungen sind nur durch die unabsichtliche Mithilfe eines internen Mitarbeiters möglich. Viel problematischer wird es, wenn ein Mitarbeiter ein aktiver Helfer bei einem Angriff ist. Hier soll nicht der Fall betrachtet werden, dass dieser Mitarbeiter selber der Angreifer ist, sondern welche Möglichkeiten er hat, externen Angreifern Zugriff auf das interne Netz zu geben.

Ist diesem Mitarbeiter Webzugriff auf das Internet erlaubt, bedeutet dies, dass er sowohl Daten in das Internet schicken kann, nämlich welche Webseite er sehen möchte, als auch die Antworten empfangen kann. Sobald es eine solche bidirektionale Kommunikation gibt, können über diese beliebige Daten ausgetauscht werden! Es gibt Programme, die über HTTP zwischen zwei Rechnern beliebige andere Protokolle übertragen können. Eine Firewall kann hieran wenig ändern, da es sich um das erlaubte Kommunikationsprotokoll HTTP handelt.

Hat nun der Mitarbeiter auf seinem internen Rechner dieses Programm installiert, kontaktiert sein Rechner einen anderen Rechner im Internet und ein Tunnel durch die Firewall ist offen. Eventuell ist für dieses Szenario noch nicht einmal die wissentliche Mithilfe eines Mitarbeiters nötig, wenn ihm ein entsprechendes Schadprogramm untergeschoben wird. Bisher sind Programme zur Tunnelung von Firewalls aber noch nicht als trojanische Pferde aufgetaucht.

Diese Tunnelung unter Verwendung von HTTP ist nur eine von vielen Möglichkeiten. Grundsätzlich ist ein solcher Tunnel immer möglich, sobald eine Kommunikation mit frei wählbaren Parametern erlaubt ist. So gibt es schon seit längerem ein Programm zur Tunnelung unter Verwendung von ICMP, und seit kurzem ist dies auch mit DNS realisiert.

Schutzmöglichkeiten gegenüber einer Firewalltunnelung

Wie schon oben erwähnt, kann eine Firewall einen Tunnel in einem erlaubtem Protokoll nicht verhindern. Allerdings kann sie die unabsichtliche Öffnung eines solchen Tunnels durch eine starke Authentisierung verhindern und somit die von trojanischen Pferden ausgehenden Gefährdungen verringern. Weiterhin wird eine Tunnelung in der Regel ein anderes Kommunikationsprofil aufzeigen als das einer normalen Nutzung. So ist ein Tunnel über DNS sehr auffällig, da in kürzester Zeit sehr viele DNS-Anfragen gestellt werden müssen. Werden diese von der Firewall protokolliert, so ist ein solcher Tunnel bei einer Analyse der Logdaten möglicherweise erkennbar.

Sobald ein Programm zur Tunnelung von Firewalls bekannt wird, können die Firewalls auf bestimmte Charakteristiken der jeweiligen Programme sensibilisiert werden und so die Tunnelung doch verhindern. Dies wird jedoch sehr aufwendig sein, weil die Tunnelprogramme immer wieder modifiziert werden.

Zum Schluss seien hier zwei weitere triviale Angriffsszenarien vorgestellt, bei denen die Firewall völlig umgangen wird. So könnte es dem Mitarbeiter durchaus möglich sein, den Angreifer zu sich an die Arbeit einzuladen, sodass die Notwendigkeit eines Tunnels durch die Firewall gar nicht mehr besteht. Den gleichen Effekt hat ein Telefongespräch zwischen Mitarbeiter und Angreifer, in dem der Mitarbeiter im Prinzip vom Angreifer ferngesteuert wird, d. h. er tippt Befehle nach Anleitung ein und liest die Ergebnisse dem Angreifer vor.

Fazit

Es muss jedem Internetbenutzer bewusst sein, dass die Nutzung des Internets immer mit einem Restrisiko verbunden ist. So ist das Internet zwar im Regelfall hoch verfügbar, jedoch momentan gegenüber absichtlichen Angriffen auf die Verfügbarkeit relativ hilflos. Für kritische Abläufe mit zu garantierenden Antwortzeiten sind deshalb Alternativen zum Internet bereit zu halten.

Um die internen Daten vor Zugriff aus dem Internet zu schützen, sind Firewalls eine notwendige Voraussetzung, aber sie reichen nicht aus. Da ein Angreifer mit absichtlicher und auch unabsichtlicher Mithilfe eines internen Mitarbeiters Zugriff auf das geschützte Netz erhalten kann, müssen auch Schutzmaßnahmen gegenüber Innentätern ergriffen werden. Die Einbettung einer Firewall in das IT-Sicherheitskonzept erfordert neben der technischen Umsetzung auch organisatorische Vorkehrungen. Insbesondere müssen die Mitarbeiter über die verbleibenden Restrisiken aufgeklärt werden, damit sie durch ihr Verhalten die Eintrittswahrscheinlichkeit eines Schadens weiter reduzieren können.

 

 

 

NEXT

BACK

 

 

am 07.01.2002 Aktualisiert by Reini