|
|
Rubrik: Produkte/Hintergrund Secaron: Wie agieren selbstverteidigende Netzwerke? IDS-Systeme - So arbeitet der "Cisco Security Agent" (25.08.04) - Gefahren für das
Netzwerk sind heute größer als je zuvor. Doch es gibt viele aktuelle Methoden
und Produkte, um die Sicherheit zu verstärken. Die Kombination aus
EAP-Authentisierung am Switch-Port, Network Admission Control, Intrusion
Detection, Cisco Security Agent, Realtime Monitoring und Virenschutz bildet
einen wirksamen Schutz gegen die Gefahren aus dem Internet und von
Mitarbeitern. Je nach verwendeten Produkten im Netzwerk sind viele
Schutzmechanismen verfügbar, die nur oft nicht aktiviert sind. Dies sollte
man überprüfen um mit geringem Aufwand eine Basis für selbstverteidigende Netzwerke
zu schaffen.
Anzeige
Gefahren für Netzwerke Fast wöchentlich liest man in den Zeitungen und Zeitschriften Pressemeldungen von neuen Würmern und Viren. Der Schaden, der dabei angerichtet wird, ist immens hoch. Doch was kann man wirklich dagegen tun? Lokale Virenscanner und Virusscan-Gateways sind heute Standard. Doch reicht das gegen diese Gefahren aus? Das Problem liegt heute vor allem darin, wie viel Zeit einem Administrator bleibt, zwischen dem Bekannt werden einer Schwachstelle, die von Angreifern ausgenutzt werden kann, dem Erscheinen eines Patches und dem Auftreten eines Exploits, welcher die Schwachstelle ausnutzt. Schaut man in die Vergangenheit so sieht man, dass zum Beispiel beim Nimda Virus 331 Tage zwischen dem Erscheinen des Patches und dem Auftreten des Virus lag. Eigentlich sollte dies lang genug sein, um alle Clients und Server zu aktualisieren und damit immun gegen die Gefahr zu werden. Leider war dies nicht der Fall und Hunderttausende von Rechnern wurden infiziert. Bei neueren Viren wie Slammer war der Zeitraum zwischen Patch und Exploit noch 180 Tage. Also nur noch die halbe Zeit. Die Neuerung bei diesem Virus war vor allem die Geschwindigkeit, mit der er sich verbreitete. Slammer brauchte nur 11 Minuten um weltweit 75.000 Computer zu infizieren. Aller 8,5 Sekunden verdoppelte sich die Zahl der infizierten PCs. Wie lange braucht ein Antivirus-Hersteller um neue Pattern als Schutz gegen Viren zu erstellen? Sicherlich länger als 11 Minuten. Schaut man sich noch aktuellere Viren und Würmer wie zum Beispiel Blaster an, so fällt die Zeit zwischen Patch und Exploit weiter (25 Tage bei Blaster) und die Geschwindigkeit der Verbreitung steigt weiter an. Bei all den genannten Beispielen hätte ein Administrator aber immer noch die Chance gehabt mit einem Patch vorzubeugen. Was ist aber nun, wenn ein Exploit vor dem Patch erscheint (Day-Zero-Attack)? Was macht eine Firma in diesem Fall? Die Verbindung zum Internet trennen? Oder gibt es vielleicht auch andere Wege einen Virus ins Netzwerk einzuschleusen? Genau an diesem Beispiel setzt das Konzept von selbstverteidigenden Netzwerken an. Wenn man ein heutiges Netzwerk einer Firma betrachtet, so besteht es eigentlich immer aus Swichtes, Routern, Firewalls, Workstations, Notebooks und Servern. Die Gefahren gehen dabei immer von zwei Stellen aus: dem Internet und dem Mitarbeiter. Für den Schutz von Angriffen aus dem Internet gibt es Methoden, die mehr oder weniger viel Schutz bieten. Aber gegen Angriffe die von Mitarbeitern ausgehen oder über Mitarbeiter eingeschleust werden helfen die Standardmittel nicht. Eine große Gefahr sind vor allem Mitarbeiter die unbewusst handeln, die zum Beispiel Ihr Notebook nach dem Urlaub gleich direkt und ungeschützt ins Internet hängen und allen Viren, Würmern und Trojanern ausgeliefert sind. Wenn diese Notebooks dann ein paar Tage später im Büro direkt mit dem Firmennetzwerk verbunden werden, gehen die Probleme los. Das gleiche Problem tritt auf, wenn Rechner von externen Mitarbeitern mit dem Firmennetz-werk verbunden werden. Dies ist zwar meist verboten, wird aber nach den Erfahrungen trotzdem gemacht. Security Policy für Netzwerke Eine Sicherheitsrichtline für Netzwerke bildet die
Grundlage für selbstverteidigende Netzwerke. Im RFC 2196 "Site Security
Handbook" liest man folgende Definition: "A security policy is a
formal statement of the rules by which people who are given access to an
organization's technology and information assets must abide." Sie beinhaltet verschiedene Aspekte für die Sicherheit in Netzwerken. Ausgangspunkt ist eine Klassifikation der Daten und die Ermittlung des Schutzbedarfs und des Sicherheitslevels. Nur mit diesem Ausgangspunkt ist es möglich eine Beurteilung der notwendigen technischen Maßnahmen durchzuführen. Authentisierung im Netzwerk ist ein weiterer Punkt dieser Policy. Dabei wird zum Beispiel definiert, ob eine Authentifizierung am Switch notwendig ist. Eine Unterteilung der Netzwerkprotokolle nach "zugelassen" bzw. "verboten" bildet eine weitere Grundlage für die automatische Überwachung des Netzwerkdatenverkehrs. Weitere Teile der Security Policy für Netzwerke sind die Nutzungsbestimmungen für das lokale Netzwerk, das Internet und Remote-Access-Verbindungen. Dies sind vor allem organisatorische Einschränkungen, die aber durch technische Unterstützung überprüft werden können. Ein ganz wichtiger Teil ist natürlich das Logging und die Auswertung der Log-Daten. Damit wird definiert, was alles ausgewertet wird, um den Status des Netzwerkes zu bestimmen. Intrusion Detection Systeme /
Intrusion Prevention Systeme Für die Erkennung von Angriffen im Netzwerk können auch Intrusion Detection Systeme (IDS) eingesetzte werden. Grundsätzlich gibt es zwei Arten von IDS-Systemen: Host-IDS-Systeme, die auf Clients bzw. Servern installiert werden und Network-IDS-Systeme, die den Datenverkehr im Netzwerk überwachen. Netzwerk-IDS-Systeme sind als Appliance von verschiedenen Herstellern verfügbar, können teilweise aber auch auf bestehenden Routern und Firewall aktiviert werden. Sie analysieren den Datenverkehr nach Auffälligkeiten. Beispiele dafür sind Portscans, Denial of Service-Angriffe, Angriffe von Viren (z. B. Angriff des Virus Code Red durch Aufruf einer bestimmten Webseite auf einem Server) oder Trojanern. Ein NIDS kann nun auf diese Events reagieren. Je nach Hersteller besteht zum Beispiel die Möglichkeit beim Auftreten von Events die verursachenden Rechner an der Firewall automatisch zu blocken. Andere Systeme können allen Verbindungen von einem Event einen Reset senden. Sobald das IDS auf Events regiert spricht man von einem Intrusion Prevention-System. Das Problem bei aktivem Reagieren auf Events sind Fehlalarme. Es ist zum Beispiel möglich, dass bei einer Applikation durch die Erstellung eines Reports über verschiedene Datenquellen aus dem Netzwerk das IDS "denkt", dass ein Denial of Service-Angriff vorliegt, da die Applikation innerhalb von zwei Sekunden 250 Netzverbindungen geöffnet hat. Um dies zu vermeiden ist das aktive Eingreifen von IDS-Systemen nur bei Events empfehlenswert, die eindeutig von keinem "normalen" Programm ausgelöst werden. Ein Problem von vielen IDS-Systemen ist, dass sie signaturbasiert arbeiten. Damit ist es einem normalen IDS nicht möglich auf unbekannte Probleme im Netzwerk zu regieren. Je nach Hersteller gibt es auch die Möglichkeit, dass IDS-Systeme auf Anomalien im Netzwerk reagieren können. Cisco Security Agent Für den Schutz des Clients in einem Netzwerk gegen die verschiedensten Angriffe bietet Cisco eine neues innovatives Produkt an, den "Cisco Security Agent" (CSA). Dieser Agent bildet eine Mischung aus Personal Firewall und eine Art "Host Intrusion Detection System (HIDS)". Der große Unterschied zu einem normalen HIDS ist, dass der CSA keine Signaturen benötigt. Der CSA arbeitet komplett regelbasiert. Er unterbricht alle Systemaufrufe unter Windows, Solaris und Linux, um diese in einer zusätzlichen Sicherheits-schicht zu prüfen und zu analysieren. Die Prüfungen gehen auf Basis von Netzwerkzugriffen, von Daten-zugriffen, von Zugriffen auf Konfigurationen und von der Ausführbarkeit von Programmen. Diese Systemaufrufe werden anhand der Regeln geprüft und dann zugelassen oder unterbunden. Diese Technik wird "INCORETechnology "(INtercept, COrrelate, Rules, Engine) genannt. Durch die Regeldefinitionen hat man die Möglichkeit das Betriebssystem und die installierten Programme so einzuschränken, dass nur freigegebene Ressourcen benutzt werden können. Damit kann der Benutzer im Extremfall kein Programm auf dem Rechner installieren bzw. ausführen, wenn es nicht freigegeben wurde. Der Vorteil dieser Möglichkeiten besteht vor allem darin, einen extra Schutz gegen Viren und Würmer zu erhalten, da diese meist auf Schwächen des Betriebssystems aufsetzen, die per Regeln blockiert werden. Selbst unbekannte und neue Viren kann man damit abwehren. Beispiele für Regeln:
·
Der Prozess Internet
Explorer und alle Unterprozesse bekommen nur lesenden Zugriff auf die eigenen
DLLs.
·
Der Prozess Internet Explorer und alle Unterprozesse bekommen schreibenden Zugriff auf das Verzeichnis "Temporäre Internetdateien"
·
Der Prozess Internet
Explorer und alle Unterprozesse dürfen auf dem gesamten System keine Dateien
ausführen.
·
Der Prozess Internet
Explorer und alle Unterprozesse dürfen nur auf den eigenen Speicherbereich
zugreifen.
·
Der Prozess Internet
Explorer und alle Unterprozesse bekommen nur lesenden Zugriff auf die
Registry.
·
Der Prozess Internet
Explorer und alle Unterprozesse dürfen nur Netzwerkverbindungen zum Proxy
Server aufbauen. Anhand dieser Regeln sieht man, wie stark eine Einschränkung möglich ist. Der Benutzer hat nun nur noch Zugriff auf den Proxy Server im Firmennetzwerk und kann nicht mehr beliebig im Internet mit einer direkten Verbindung surfen. Sollte eine neue Schwachstelle im Internet Explorer bekannt werden und über diese versucht werden Daten auf die Festplatte zu schreiben und auszuführen, so blockiert dies der Cisco Security Agent. Man schafft es also bei restriktiven Regeln einen Schutz gegen unbekannte Gefahren aufzubauen. Dies bringt vor allem im Fall des Auftretens eines Virus bzw. Wurm im Netzwerk einen Zeitgewinn, so dass auch Rechner ohne das Einspielen eines Patches einen Eigenschutz entwickeln. Die Regeln sind auch auf andere Anwendungen wie zum Beispiel Webserver, aber auch interne Systemkomponenten wie RPC oder den Authentisierungsdienst übertragbar. Das Management der verschiedenen Regeln und Regelsets bietet Cisco eine Integration in "Cisco Works VPN/Security Management Solution" (VMS). Sicherer Netzwerkzugriff Ein nicht firmeneigener Computer, sollte zu einem sicheren Netzwerk keinen Zugriff erhalten. Um dies sicherzustellen bieten heutige Switches die Möglichkeit über EAP/802.1x den physikalischen Zugriff auf das Netzwerk nur nach Authentifizierung der Endgeräte zu ermöglichen. Dies kann über Zertifikate oder Benutzername und Passwort erfolgen. Damit kann als erstes ein unerwünschter Client vom Netzwerk automatisch getrennt werden. Es erfolgt eine automatische Sicherstellung, dass nur firmeneigene Computer die vom Administrator konfiguriert wurden Zugriff auf das Netzwerk erhalten. Das gesamte Management erfolgt zentral. Eine andere Variante, um den Zugriff einzuschränken ist die Nutzung von Port Security (Zuordnung Switchport zu MAC-Adresse) auf den Switchen. Dies bedeutet einen enorm hohen administra-tiven Aufwand zum Beispiel bei Umzügen in Gebäuden oder beim Austausch einer Netzwerkkarte. Diese Lösung ist heute nicht mehr State-of-the-Art. Mit EAP/802.1x ist man wesentlich flexibler, da nicht der Netzwerkport fix eingestellt wird, sondern nur eine Beziehung zwischen Endgerät und Netzwerk, egal an welchem Port, besteht. EAP/802.1x ist zusätzlich auch bei WLAN-Verbindungen nutzbar. Ablauf EAP-Authentisierung für
sicheren Netzwerkzugriff
·
Network Admission Control Cisco System implementiert mit "Network Admission Conrol" (NAC) eine Technologie in die Netzwerkkomponenten, welche die oben beschriebenen Probleme versucht einzudämmen. NAC wird ein herstellerübergreifender Standard. Mit Hilfe von NAC besteht die Möglichkeit die bestehende Security Policy auf technischer Ebene am Client zu überprüfen und je nach Ergebnis des Policy Checks automatisch zu reagieren. Grundlage für die Überprüfung am Client bildet der Cisco Trust Agent (CTA), der verschiedene Informationen zur Verfügung stellt. Dieser Agent ist in den aktuellen Versionen der Antiviren-Software von Symantec, Network Associates und Trend Mirco, im Cisco Security Agent (CSA) aber auch als freies Einzelprodukt von Cisco erhältlich. Sobald der Client nun eine Verbindung zum Server aufbauen möchte, wird diese Verbindung vom ersten Netzwerkgerät (Switch, Router) unterbrochen. Das Netzwerkgerät fragt nun über EAP/UDP den Cisco Trust Agent an. Dieser
gibt Auskunft über:
Ø
CTA Version
Ø
Betriebssystem
Ø
Betriebssystem-Version
Ø
Installierte Service Packs
Ø
Installierte
Hotfixes/Patches
Ø
CSA Version
Ø
CSA Status (aktiviert,
deaktiviert)
Ø
Letzte CSA Regel
Aktualisierung
Ø
Installierter Virenscanner
Ø
Virenscanner Version
Ø
Scan engine Version
Ø
Virenpattern Version
Ø
Virenscanner Status
(aktiviert, deaktiviert)
Ø
Virenscanner letzte Prüfung
·
Ablauf Network Admission
Control Die Informationen werden nun vom Netzwerk-Device an den Policy Server übertragen. Dieser prüft verschiedene Parameter. Daten über zum Beispiel den Virenscanner werden an einen extra Policy Server der Virenscanner-Software weitergeleitet. Aufgrund der Informationen entscheidet nun der primäre Policy Server, ob alles ok ist, ob der Rechner eingeschränkten Zugriff bekommt, um zum Beispiel den Virenscanner und Sicherheits-Patches zu aktualisieren, oder ob der Rechner gar keinen Zugriff zum Netzwerk bekommt. Die Einschränkung der Rechner erfolgt je nach Netzwerk-Gerätetyp entweder über ein Quarantäne-VLAN oder per Access-Liste. Nach einem Update erfolgt dann eine erneute Prüfung und bei Erfüllung der Policy bekommt der Rechner Vollzugriff auf die Netzwerk-ressourcen. Komponenten
selbstverteidigender Netzwerke
·
Real Time Monitoring Damit der Netzwerk-Administrator bzw. Operator einen Überblick über alle Systeme in einem Netzwerk (Router, Switche, Webserver, Mailserver, ...) und alle Security-Komponenten (IDS, CSA, Firewalls, ...) hat ist es essentiell alle Daten in einem zentralen System zu erfassen und auszuwerten. Im Rahmen der Auswertung werden die Daten korreliert und gefiltert, so dass in einer Übersichtsdarstellung nur die Probleme angezeigt werden, denn einen Administrator interessiert es nicht, dass der Benutzer A einmal sein Passwort bei der Anmeldung am Switch falsch eingegeben hat, sondern er möchte wissen, ob ein unbekannter Benutzer an einem Port 100 Mal versucht hat einen Account zu knacken. Nur so kann man den tatsächlichen Status der Sicherheit erfassen und auswerten.
·
Virenschutz Auf einen aktuellen lokalen Virenscanner kann selbstverständlich trotz selbstverteidigender Netzwerke nicht verzichtet werden. Der Cisco Security Agent als Beispiel verhindert zwar das Ausbreiten eines Virus, kann ihn aber nicht löschen. Dies bleibt weiterhin die Aufgabe des lokalen Virenscanners. Der Markt bietet heute auch Möglichkeiten des Virenscannens auf Netzwerkebene mittels Virusscanner Appliances oder Virusscanner-Einschüben (Blades) für Switches. Diese Appliances terminieren Netzwerk-Sessions von Viren. Dies stellt sicherlich eine interessante Erweiterung der Palette der Virenscanner dar. Eine effektive Gesamtlösung für selbstverteidigende Netzwerke kann nur durch eine gute Konzeption, lösungsbezogene Produktauswahl und kompetente Implementierung realisiert werden. Dabei sind Themen wie Interoperabilität zwischen Produkten verschiedener Hersteller nicht zu vernachlässigen. Eine Unterstützung durch kompetente und erfahrene Partner hilft bei den Phasen des Aufbaus selbstverteidi-gender Netzwerke, um anforderungsgerechte Lösungen zu entwickeln und zu implementieren. Christian Koch, Autor des Beitrages, ist Consultant bei der
Secaron AG. Secaron AG Ansprechpartnerin: Sabine Ziegler Tel. (0811) 9594-144, Fax (0811) 9594-220 E-Mail: ziegler@secaron.de Web: www.secaron.de
|
