Bedrohung von innen

Wie Insider Ihr Firmennetz ausnutzen

30.05.2008

Offene Telnet- und SSH-Ports

Unternehmen, die den Remote-Zugriff auf Systeme über Drittanbieter realisieren, sollten Telnet- und SSH-Ports entweder schließen oder hinreichend absichern. Ohne diesen Schutz benötigt ein Remote-Techniker lediglich eine einzige interne IP-Adresse, um ohne Wissen des Unternehmens in dessen Firmennetz zu gelangen. Sich darauf zu verlassen, dass der Remote-Techniker nur über begrenztes Wissen des firmenspezifischen IP-Adressen-Schemas verfügt, ist riskant - möglicherweise hat er ja direkt vor Ort bei der Firma gearbeitet. Zudem wird für Infrastruktur-Equipment häufig ein gemeinsames und leicht zu erratendes Passwort eingesetzt, was es Insidern erleichtert, sich Zugriff auf unautorisierte Geräte zu verschaffen.

Als Standardpraxis empfiehlt es sich, den Systemzugriff via Telnet und SSH für die Techniker von Drittanbietern auf den typischen Umfang ihrer Dienstleistungen zu beschränken - es sei denn, die Session wird aufgezeichnet oder von einem Firmenmitglied aktiv überwacht. Alternativ lassen sich zwischengeschaltete Systeme als Proxy für diese Sitzungen nutzen, um Kontrolle und Nachvollziehbarkeit zu gewährleisten.

Ports von Server-Konsolen

Techniker verbinden sich häufig über serielle Konsolen-Ports, die Router und Linux/Unix-Server bereitstellen. Um skalierbaren Zugriff zu ermöglichen, verbinden sich Unternehmen meist mit seriellen Konsolen-Ports, indem sie Terminal-Server benutzen. Letztere bieten jedoch standardmäßig nur minimale Sicherheit. Mit dem Zugriff auf einen einzigen Terminal-Server könnte sich ein Insider Zugriff auf tausende Systeme verschaffen und diese lahm legen. Daher ist es ratsam, Terminal-Server regelmäßig auf ihre Sicherheitsfähigkeiten hin zu überprüfen und die Konsolen-Ports von Systemen, auf denen sich sensible Finanz-, Kunden- oder Personaldaten befinden, mit Security-Devices abzusichern.