Drücke „Enter”, um zum Inhalt zu springen.

Sicherheitslücken im Firmennetzwerk erkennen

0

Ein Beitrag von Yannic Nevado, Hochschule Darmstadt, Fachbereich Informatik.

Da ein Unternehmen seine Infrastruktur in der Regel nicht selbst Hostet, wird diese in einem Rechenzetrum angemietet. Das Rechenzentrum garantiert durch standardisierte Prozesse, aktuelle Software und erprobte Schutzmechanismen gegen Angriffe mehr Sicherheit. Zudem sind sensible Unternehmensdaten durch Backup-Systeme vor Verlust geschützt.

Das Firmennetzwerk hingegen, ist ein eigenes, räumlich abgekapseltes Netzwerk, welches über Router Zugriff auf die gehostete Hard- und Software im Rechenzetrum hat. Die verschiedenen Rechnernetze sind standardmäßig durch Firewalls geschützt. Es werden nur Datenpakete von bestimmten Adressen zugelassen. Bestimmte Angriffspunkte, beziehen sich direkt auf die Hardware eines Unternehmens, wie z.B. Router oder eine Firewall.

Durch Unwissen, oder Unachtsamkeit kann vor allem durch den Faktor Mensch Schadsoftware in ein Unternehmen eingeschleust werden. Die Angriffspunkte in einem Unternehmen müssen sich deswegen nicht nur direkt auf das Unternehmen am Standort konzentrieren, sondern beziehen auch die Mitarbeiter und Dienstleister des Rechenzentrums mit ein.

Komponenten einer typischen Infrastrukur

A

Apache Webserver

Die Adress-Komponente „Port 80“, die über Netzwerkprotokolle definiert wird, ist in der Regel für HTTP-Anwendungen freigegeben. Auf diesem Port kann ein Webserver installiert werden. Der Webserver selbst ist ebenfalls eine Software, auf der mehrere Dienste installiert sein können (z.B. WordPress). Aufgabe dieser Dienste ist es, über den Webserver mithilfe des HTTP-Protokolls, Dokumente an Clients (Endgeräte) zu übertragen.

B

DNS Server

Der „Domain Name Server“ ist ein Verzeichnisdienst. Die DNS Server-Software dient der Namensauflösung. Es wird eine IP-Adresse angefragt (z.B: 203.0.113.195) und der DNS Server gibt auf eine erfolgreiche Anfrage eine Domain zurück. (z.B: www.wikipedia.org)

C

Firewall

Die als Firewall bezeichnete Softwarekomponente schützt vor unautorisierten Zugriffen. Sie unterstützt die Definition von Regeln, die bestimmen, wer von wo aus zugreifen darf.

D

Router

Router sind physische Geräte, die Netzwerkpakete zwischen verschiedenen Rechnernetzen weiterleiten.

E

Access-Point

Der „Access-Point“ oder „Wireless Access-Point“ ist ein phyisches Gerät, das das eine Verbindung zu einem WLAN-Netz herstellt und so als externer Zugangspunkt die Reichweite des Netzes vergrößert.

F

Secure Shell (SSH)

SSH steht für „secure shell“. Das Netzwerkprotokoll ermöglicht es Nutzern, eine shell (Kommandozeile) auf einem Server zu öffnen, ohne eine physikalische Verbindung herzustellen.

G

Virtual Private Network (VPN)

Das so genannte „Virtual Private Network“ ist eine verschlüsselte Verbindung in ein anderes Rechennetz. In diesem Artikel über VPN wird die Funktionsweise genau erklärt.

H

Content Management System (CMS)

Ein Unternehmen kann sich mit einem CMS eine Webseite bauen, die das Einpflegen von aktuellen Inhalten ermöglicht.

I

Wiki Software

z.B. Mediawiki – ähnelt stark Wikipedia, einer online Enzyklopädie. Die Software wird in Unternehmen oft verwendet, um Anleitungen für Systeme oder Ansprechpartner für Probleme zu dokumentieren.

.

Mögliche Angriffspunkte

1

Online Passwort Angriff

Ist der Nutzername eines SSH-Users auf dem Server bekannt, kann ein online Passwortangriff für den bekannten Nutzernamen vorgenommen werden. Dabei werden so viele Passwort-Varianten wie nur möglich ausprobiert. Eine hierzu geeignete Software, wäre z.B. „hydra“.

2

DNS – Zonentransfer

Bei einem DNS-Server ist durch Fehlkonfigurationen in der config Datei ein DNS-Zonentransfer möglich. Hat man einmal Zugriff auf den Nameserver, können z.B. mithilfe der Software „dig“ weitere Namen von interenen Services ausspioniert werden.

3

SQL – Injection

Über Eingabemöglichkeiten in Formularfeldern lassen sich direkt SQL-Abfragen auf der dahinterliegenden Datebank der Software durchführen. Nutzernamen oder sogar unverschlüsselt abgelegte Passwörter können so problemlos ausgelesen werden. Die Software „sqlmap“ eignet sich zum Test von möglichen SQL-Injection Angriffen.

4

Bind- oder Reverse Shell

Über File Upload Funktionen auf dem Webinterface könnte man PHP Dateien mit Schadcode einschleusen, die überlicherweise auf einem File Server abgelegt werden. Der Code könnte beispielsweise Systembefehle enthalten, die eine Commandozeile auf der Angreifermaschine öffnen. Dieses Prinzip nennt sich Bind- oder Reverse-Shell.

5

Admin – Zugriff

Für bestimmte Sofwareanwendungen wie z.B. WordPress gibt es voreingestellte Admin User mit Default Passwörtern, die von manchen Nutzern oft nicht geändert werden. Oft werden von Nutzern auch nur „einfache“ Passwörter verwendet, die sie sich leicht merken können. Durch probieren der am häufigsten genutzten Passwörtern besteht die Möglichkeit, sich als Administrator einzuloggen.

6

Cross-Site Scripting

Über Eingabefelder in Formular- oder Suchfeldern kann man Javascript Code einfügen, der z.B. Session Cookies von Admin Usern etc. ausgeben kann, oder direkt den Content auf dem Webinterface verändert. Diese Art von Angriff nennt sich Cross-Site-Scripting und lässt sich durch Entwickler im Backend verhindern.

7

Standardpasswörter

Für manche Router und deren Hersteller gibt es gesetzte Standardbenutzer und Passwörter, die man ausprobieren kann, um Admin Zugang auf die Software eines Routers zu bekommen. Dann könnte man bestimmte Hardwareadressen von Laptops, etc. sperren, die dann nicht mehr ins WLAN kommen. Als Angreifer kann man dann den Netzwerktraffic abfangen oder das Unternehmen erpressen um die Hardwareadressen wieder frei zu geben.