» Home » Verschiedenes » Security

Security

Plug and Play ist nett weil alles ohne Mühe funktioniert aber Sicherheit und Zugriffschutz sind auch in kleinen und mittleren Netzwerken wichtig und erforderlich. Was sollten Sie dabei beachten

Diese Seite beschreibt sehr kurz die Verschiedenen Dinge, um die Sicherheit in ihrem Netzwerk zu erhöhen und Ausfälle und Angriffsflächen zu minimieren. Dies kann auf mehreren Ebenen geschehen und im Idealfall sind alle Schutzfunktionen sinnvoll kombiniet.

Das Kennwort / Die Anmeldung

Noch immer werden zur Anmeldung an verschiedenen Daten normale Kennworte genutzt. Nur wenige Zugänge erfordern z.B. Zertifikate oder andere starke Authentifizierungen. Über Gruppenrichtlinien können Sie auch in ihrer Domäne so genannte "Komplexe Kennworte" fordern. So müssen Benutzer dann auch Sonderzeichen und Zahlen verwenden. Was der Sicherheit dient sorgt aber auch für Ärger, wenn Sonderzeichen auf anderen Tastaturen nicht einfach erreichbar sind. Viele Anwender haben schon Probleme mit der Gross/Klein Schreibung (Caps Lock on) und haben Sie schon mal versucht ihr komplexes Kennwort im OWA-Anmeldebildschirm einzugeben, wenn Sie ein anderes Tastaturlayout vorgesetzt bekommen ? (z.B. im Urlaub)

Die "Cracker" haben mittlerweile aber auch nachgerüstet und dank moderner Grafikkarten GPUs können diese sogar noch ein vielfaches schneller die Hashwerte mit roher Gewalt (Brute Force Attacke) durchprobieren, als dies vor wenigen Jahren noch denkbar war. (Siehe auch http://www.heise.de/ct/inhalt/2009/06/204/). So kann ein normales Kennwort aus Buchstaben und Zahlen [a-zA-Z0-9] mit weniger als 7 Stellen schon in Minuten geknackt werden. Selbst komplexe Kennworte mit der Länge halten einem Angriff nicht länger als 30 Minuten Stand. Der Angreifer muss einfach nur das verschlüsselte Kennwort abgehört haben, was z.B. mit Cain&Abel im LAN gar kein Problem ist. Entsprechende auf Grafikkarten optimierte" Tools gibt es z.B. unter http://3.14.by/en/md5 und anderen Quellen.

Erst mit zunehmender Länge eines Kennwort wird es für solche Angriffe immer schwerer, solche Attacken in vertretbarer Zeit erfolgreich zu fahren. Wenn Sie also ihr Kennwort entsprechend lange wählen und häufig genug (z.B. mindestens alle 60 Tage) ändern, dann ist das Risiko schon erheblich reduziert.

Ein weiterer Aspekt ist natürlich die Übertragung des Kennworts selbst. Wer heute noch per POP3, IMAP4, TELNET oder HTTP auf sensible Daten zugreift, ist selbst schuld, weil ich dann nicht mal das Kennwort knacken muss, sondern zumindest bei "Basic-Auth" direkt einsehen kann.

Neben einem "guten Kennwort" ist natürlich auch eine entsprechend gesicherte Übertragung per SSL (POP3S, IMAP4S, HTTPS, SSH etc.) oder eine starke Authentifizierung (Kerberos, Zertifikate) ratsam, so dass sich wenig Angriffsflächen für Mitleser oder Hash-Cracker bieten.

Leider wird genau das allzu oft vernachlässigt, da die Beantragung, Installation, Verlängerung und Konfiguration von z.B. SSL-Zertifikaten natürlich ein zusätzlicher Aufwand darstellt und auch die Clients entsprechend angepasst werden müssen.

Hinzu kommt auch, dass sie sicher alarmiert sind, wenn an ihrer Eingangstür seltsame Kratzspuren zu finden sind, aber fast niemand aktiv die fehlerhaften Anmeldungen an einem Netzwerk überwacht. Zwar hilft Windows hier mit einer "Lockout"-Strategie, dass nach zu vielen Fehlversuchen ein Konto temporär gesperrt wird, aber das funktioniert nicht bei "geknackten" Kennworten. Eine Überwachung der Anmeldungen kann aber wertvolle Hinweise auf Unregelmäßigkeiten liefern, da sich die meisten Anwender doch primäre an "ihrem" PC anmelden und Fremdanmeldungen daher einfach zu erkennen sind.

Wenn Sie nun die Übertragungswege weiter gesichert haben und auch lange Kennworte einsetzen, dann steigt der Aufwand für Angreifer natürlich sehr hoch an. Auf der anderen Seite belegen aber Projekte wie seti@home und andere, dass Millionen von PCs an einer gemeinsamen Rechenaufgabe arbeiten können. Andererseits gibt es auch immer wieder Viren und BOT-Netze, welche ferngesteuert werden können. Vielleicht erleben wir zukünftig Schadprogramme, die keinen direkten Schaden mehr auf ihrem Wirt verursachen, um möglichst lange unerkannt zu bleiben und statt dessen als verteilter Password-Knacker-Dienst arbeiten.

Empfehlung ?
Es ist sicher nicht einfach einen Ratschlag zu geben, aber ich bin dazu übergegangen, meinen Anwendern keine "komplexen" Kennworte mehr aufzuzwingen, aber die Mindestlänge entsprechend anzuheben, so dass auch mit vielen Grafikkarten eine Attacke auf den Hashwert erst in Jahren und nicht in Tagen erfolgreich ist. Dies wird kombiniert mit einem maximalen Kennwortalter von z.B. 60 Tagen und die Vermeidung jeder Übertragung in unverschlüsselter (FTP, POP3) oder schwach versteckter (BASE64 bei HTTP) Form.

• PWExpire
  Kennworte ausfindig machen, die schon lange unverändert sind und demnächst ablaufen.
• Steve Riley and Jesper Johansson - Protect your Windows Network
  http://www.amazon.com/Protect-Your-Windows-Network-Addison-Wesley/dp/0321336437

Netzwerkphysik (MAC)

Mal abgesehen von einem direkte Zugriff zu einem PC oder Server finden viele unerwünschte Zugriffe natürlich über das Netzwerk statt. Hier muss erst einmal das physikalische Netzwerk untersucht werden. Wenn ich mit meinem Notebook mich einfach an einen freien Port anschließen kann oder einen Mini-Hub in das Anschlusskabel eines anderen PCs oder Druckers einschleife, dann ist der Weg frei für interne Angriffe mit voller Brandbreite. Viele Firmen haben ja nur Angst vor Angriffen aus dem Internet. Das ist aber ein Irrtum.

Aber was kann ein Administrator hier tun ?. Es gibt mehrere Möglichkeiten:

• aktive/inaktive Anschlüsse/Ports
• MAC-Adressen Authentifizierung
• 802.1x

Weitere Details finden Sie auf 802.1x

Sicherer Datentransfer

Sie glauben gar nicht, wie viele Nutzdaten komplett unverschlüsselt über das LAN übertragen werden. D.h. selbst wenn Sie den Zugriff auf das Medium kontrollieren, so sind ja nicht alle Mitarbeiter "gut" bzw. Trojaner und Viren können ohne Wissen des Mitarbeiters die Berechtigungen missbrauchen. Daher sollten Sie generell kontrollieren, welche Protokolle in ihrem Netzwerk genutzt werden und wie diese zu verschlüsseln sind, z.B.:

• IPSec
  Seit Windows 2000 können Sie mittels IPSec die Kommunikation zwischen einzelnen Servern und Gruppen oder auch innerhalb des gesamten Netzwerks verschlüsseln und signieren. Der zusätzliche Ressourcenbedarf ist eher gering. IPSec ist aber nicht nur eine Verschlüsselung als solches, sondern erlaubt auch die Kontrolle bis auf Portebene und Subnetze. Sie können damit Netzwerke quasi von anderen Systemen abschotten. (Stichwort Domain Isolation)
• WPA
  Gerade mit drahtlosen Netzwerken (WiFi) ist natürlich die Verschlüsselung von Daten (WEP, WPA, WPA2 etc.) eine essentielle Funktion, um unerwünschten Mithörern den Zugriff zu erschweren. Im Gegensatz zu kabelgebundenen Netzwerken sind hier fremde Stationen nicht so einfach zu erkennen und müssen sich nicht in den eigenen Räumlichkeiten befinden. Natürlich sollten Sie auch hier nicht vergessen, dass Sie das Endgerät authentifizieren müssen. Eine Verschlüsselung bringt nicht viel, wenn jeder den Schlüssel durch Plug and Play-Techniken einfach so erhält.
• Nutzprotokolle sichern (SSL/TLS)
  Sehr viele andere andere Protokolle (HTTP, FTP, SNMP, TELNET, SMTP, POP3 etc.) werden im eigenen Netzwerk sehr sorgenfrei genutzt. Leider werden hierbei die Kennworte quasi in Klartext übertragen. Dabei ist es mit einer eigenen CA (siehe CA installieren) sehr einfach, zumindest intern alle Verbindungen per SSL abzusichern. Stellen Sie sich vor, Sie melden sich per TELNET auf ihrem Switch oder per POP3 oder OWA an ihrer Mailbox an und jemand liest das Kennwort einfach mit. Einfacher kann ein Angreifer nicht an ihr Kennwort kommen und Programme, die dies per Mausklick erlauben, sind im Internet verfügbar (z.B. Cain&Abel auf www.oxid.it)
  Denken Sie dabei auch die NTLM-Authentifizierung: Wenn sie keine alten Client mehr haben, sollten Sie die Übertragung unverschlüsselter Kennworte verbieten. Zusätzlich können Sie z.B. NTLM V2 erzwingen und die Signierung der Datenpakete verlangen. (Gruppenrichtlinien)
• Segmentierung mit VLANs
  Neben Verschlüsselung und logischer Segmentierung ist natürlich auch eine Trennung der verschiedenen Netzwerke ein praktikabler Weg, um verschiedene Klassen von Clients voneinander zu separieren. Viele Lauschprogramme scheitern an Routern und verschiedene Subnetze sind eine Grundlage, um zwischen Netzwerken mit Filtern aktiv zu arbeiten. Dabei unterstützen VLANs auf Switches, um Subnetze entsprechend logisch zu trennen. In Verbindung mit 802.1x können sie oftmals sogar abhängig von der Anmeldung das System in ein passendes VLAN patchen.

Systemschutz

Die Sicherheit eines Gesamtsystems nicht nur vom Netzwerk abhängig. Auch die Server sollten Sie etwas genauer untersuchen, da Sie als permanent verfügbare Systeme natürlich auch erstes Ziel eines Angriffs sein werden.

• Firewalls
  Wenn Sie schon Windows XP oder Windows 2003 nutzen, dann sollten Sie den Einsatz der vorhandenen Firewall erwägen, um das System besser gegen Angriffe zu schützen. Eine Firewall zum Internet sichert nur die externe Kommunikation aber nicht die sehr viel häufiger auftretenden absichtlichen oder unabsichtlichen Angriffe von innen.
• Bindungen, Portfilter und IPSec
  Erst Windows XP und 2003 enthalten eine "Firewall". Aber selbst bei Windows 2000 können Sie IPSec nutzen, um Verbindungen auf Portebene zu kontrollieren. Auf Windows NT4 konnten Sie schon seit 1995 mit den IP-Portfiltern nur ausgewählte Verbindungen erlauben. Das ist zwar nicht elegant, aber wenn ihr Webserver zwei Netzwerkkarten hatte, dann könnte Sie so die Verbindung aus dem Internet auf Port 80 und 443 beschränken. Das geht sogar noch mit Windows 2003, wenn Sie die Firewall nicht verwenden wollen.
• Dienstbindungen und Beschränkungen
  Beschränken Sie die Dienste auf ihrem Server auf das notwendige Minimum. Ein Webserver mit ASP muss nur dann installiert und aktiv sein, wenn er benötigt ist. Selbst dann kann und muss er mit IISLockD etc. gesichert werden. Viele Server haben auch sie "Simple TCP Dienste" installiert, die vermutlich niemand braucht. Aber auch erforderliche Dienste können besser gesichert werden. Wenn ein Webserver nur von bestimmten Subnetzen erreichbar sein muss, dann stellen Sie dies in den Beschränkungen ein. Auch der anonyme Zugriff auf einem SMTP-Server könnte nur für die Firewall erlaubt sein. Alle anderen Systeme sollten sich anmelden. So können Sie mit ganz wenig Aufwand viele Gefahren abwehren.
• Dienstkonten und Berechtigungen
  Viele Schwächen eines Servers sind keine Probleme der Software, sondern der Menschen davor. Höchste Zeit, dass Sie hier für klare Verhältnisse Sorgen. (Siehe auch Adminkonzept). Entsprechend sollten Sie auch sicher stellen, dass Dienste mit jeweils eigenem Konto gestartet werden, so dass eine getrennte Steuerung der Berechtigung aber auch eine selektive Deaktivierung überhaupt erst möglich ist.
• Monitoring und Checks
  Angriffe zeigen sich oft an vielen Anmeldeversuchen, Zugriffe auf gesperrte Dienste oder einfach Meldungen im Eventlog. Die Aktualität eines System lässt sich mit Tools wie MBSA, ExBPA etc. prüfen. Das gilt auch für die Überwachung von Protokollen der Webserver auf Fehlerseiten. Dies kann ebenfalls automatisiert werden.

Desktop Absicherung

Oft sind es die kleinen Dinge, die ein Gesamtsystem schon sehr viel sicherer machen. Wenn Sie die Haustür einfach nur schließen, dann hilft das schon sehr viel. Wenn ein Einbrecher in ihrem Haus ist, dann kann er auch die Werkzeuge nutzen, die Sie selbst haben. Übertragen bedeutet dies:

• Kennwort, Tokens
  Es ist unverantwortlich, wenn heute Zugänge ohne Kennwort genutzt werden. Eine Authentifizierung ist wichtig und erst wirkungsvoll, wenn das Kennwort auch komplex genug ist und geändert werden muss. Eine stärkere Authentifizierung ist mit Smartcards oder Einmaltokens möglich. Nach einigen Fehlversuchen sollte das Konto für bestimmte Zeit deaktiviert werden und eine Meldung erfolgen.
• Bildschirmschoner mit Schutz, Cookies
  Wird ein Computer oder eine Anwendung eine bestimmte Zeit nicht mehr genutzt, d.h. der Anwender arbeitet nicht mehr aktiv, dann sollte die Verbindung entweder beendet oder zumindest gesperrt werden. Outlook Webzugriff 2003 meldet dazu einen Benutzer nach einigen Minuten Inaktivität ab und erfordert eine erneute Anmeldung. Ihr Windows Desktop kann nach einiger Zeit einen Bildschirmschoner mit Kennwortschutz aktivieren.
• "Log on Local"-Steuerung
  Bei einer Standardinstallation kann ein Anwender, der Mitglied von "Domänen Benutzer" ist, sich auf jedem Computer anmelden, der Mitglied der Domäne oder anderen Domänen im Forest ist. Das muss nicht sein. Über das Recht "Log on Locally", entsprechenden Sicherheitsgruppen und Gruppenrichtlinien können Sie sehr einfach steuern, welche Mitarbeiter sich an welchen Computern anmelden können. Damit stellen Sie sicher, dass sich an den Adminworkstations, die vielleicht per 802.1x andere Systeme erreichen können, keine normalen Benutzer anmelden und umkehrt auch in der Personalabteilung sich nur die Anwender aus der Abteilung anmelden. Dies reduziert das Risiko bzw. die Chancen für böse Buben

Unterstützung durch Net at Work:
Die Umsetzung einer solchen Anmeldesteuerung geht mit Bordmitteln und ganz einfach, wird aber auf der MSXFAQ nicht beschrieben. Sprechen Sie uns einfach an,  wenn Sie hier Bedarf haben.

• Ordnerumleitung
  Daten sind um so sicherer, je weniger ein Angreifer direkt darauf zugreifen kann. Ein Desktop mit Windows kann auch mit Linux oder BartPE gebootet und damit der Zugriff auf Dateien ausgehebelt werden. Nutzdaten sollten daher direkt auf dem Server gespeichert werden. Hierzu eignen sich z.B.: die Ordnerumleitungen von Windows, so dass "Eigene Dateien" und andere Daten nicht auf C:\Dokumente und Einstellungen\Benutzername" sondern auf einem Netzwerklaufwerk gespeichert werden.

Nutzdatensicherung

Zuletzt schauen wir uns natürlich noch mal die Daten selbst an. Die meisten Dokumente werden mehr oder minder ungeschützt auf Dateiservern, USB-Stick, CD-Roms und Backupbändern gespeichert

• Zugriffsrechte
  Der erste Schritt ist natürlich die Steuerung der Zugriffe über Berechtigungen (Siehe Datenhaltung). Wenn die Daten auf dem Server liegen und es keine Lücken gibt, dann ist es sehr schwer, diese Daten unberechtigt zu erhalten. Natürlich sollten Sie auch eine Überwachung dieser Anmeldungen ins Auge fassen um den Versuch eines Missbrauchs zu erkennen.
• EFS, PGPDisk, TrueCrypt
  Eine weitere Funktion ist die Verschlüsselung der Dateien durch das NTFS-Dateisystems oder Zusatzprogramme wie PGP-Disk oder das kostenfreie TrueCrypt. Ein Angreifer benötigt dann immer das entsprechende Zertifikat oder Kennwort um das Archiv zu öffnen. Das größere Problem hierbei ist aber die eingeschränkte Funktion, eben solche Daten gemeinsam mit mehreren Personen zu nutzen. Je nach Produkt sind auch die Datensicherung (Gesamtcontainer statt einzelner Dateien), und die Sicherheit des Kennworts als solches zu berücksichtigen.

REM Kommandozeile zum decodieren aller Dateien in einem Baum, wenn "versehentlich"
REM die Daten beim Kopieren auf den Server verschlüsselt wurden.

cipher /d /s:\\server\share

• Applikationskennworte
  Schon sehr lange können Sie z.B. auch in verschiedenen Anwendungen wie Word, Excel, Acrobat, Access etc. Kennworte auf Dokumente und Datenbanken setzen. Zumindest die neueren Versionen scheinen dabei auch sehr gut gegen Passwortattacken gesichert zu sein. Das Arbeiten wird aber damit auch immer umständlicher, besonders im Team.
• S/Mime und PST-Kennwort
  Für Nachrichten in ihrem Postfach gilt, dass diese auf einem Exchange Server relativ sicher liegen. Nur wenn Sie diese auf ihrem lokalen PC als PST oder OST-Datei mitführen, muss diese Datei z.B.: mit einem Kennwort gesichert werden. Bei der Übertragung von Nachrichten zu anderen Empfängern sollten Sie sich natürlich Gedanken über Verschlüsselung machen. (Siehe auch Verschlüsseln und Signieren)

Soweit eine kurze Übersicht der verschiedenen Stellen, an denen Sie die Sicherheit aktiv steuern können.

Weitere Links

• 802.1x
• Verschlüsseln und Signieren
• Datenhaltung
• Gruppenrichtlinien
• CA installieren
• 823731 How to remove cached user credentials that are used for PEAP authentication in Windows XP
• Microsoft IT Showcase: Improving Security with Domain Isolation: Microsoft IT Implements IP Security (IPsec)
  http://www.Microsoft.com/downloads/details.aspx?FamilyID=a97ddc48-a364-4756-bb3c-91da274118fe&DisplayLang=en
• Setting Up IPsec Domain and Server Isolation in a Test Lab
  http://www.Microsoft.com/downloads/details.aspx?familyid=5ACF1C8F-7D7A-4955-A3F6-318FEE28D825&displaylang=en
• Passfilt Pro von Altus Network Solutions, Inc.
  Verbesserte Richtlinien für Komplexität von Kennworten
  http://www.altusnet.com/
  http://www.gruppenrichtlinien.de/index.html?/Tools/passfiltpro.htm
• IEEE 802.1X: EAP over LAN (EAPOL) for LAN/WLAN Authentication & Key Management
  http://www.javvin.com/protocol8021X.html
• Port based Network Access Control
  http://standards.ieee.org/getieee802/download/802.1X-2001.pdf
• XTweak von Enterasys zum Debugging von 802.1x Anmeldeproblemem
  http://www.enterasys.com/support/tools.html
• Simple Certificate Enrollment Protocol (SCEP) Add-on for Certificate Services
  http://www.microsoft.com/Downloads/details.aspx?familyid=9F306763-D036-41D8-8860-1636411B2D01&displaylang=en
• Wikipedia EFS
  http://en.wikipedia.org/wiki/Encrypting_File_System
• http://www.startpanic.com/
  Unsicherheiten in Browsern etc. aufzeigen

Keywords:

IPSec WiFi 802.1x Security Sicherheit Isolation

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
  • Infofilm
  • NTFS Intern
  • Timesync/NTP
  • Gruppenrichtlinien
  • Windows Gruppen
  • NLB
  • Datenhaltung
  • Vererbung
  • Kerberos
  • Schattenkopien
  • Imagebackup
  • Client Management
  • Update/Patch
  • Bluescreen
  • WSUS
  • RPC
  • RIS und PXE
  • WDS/WAIK
  • Security
  • 802.1x
  • NIS und NFS
  • WPad
  • SQL-Server
  • Cityhosting
  • Podcast
  • MSBlaster
  • Privat PC Sicherheit
  • IBM R40 Praxisbericht
  • Windows Home Server
  • Maus8000
  • Wiki
  • Blog
  • Wurmmails
  • Filesync
  • Contoso
  • GUIDAccess
  • ISDNTechnik
  • Meine erste Facharbeit
  • 6h Lader
  • Bluefritz! Umbau
  • 220V Adapterstecker
  • Hauptschalter
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages