computerwoche.de

Archiv

Sicherheitsscanner und Attacken-Erkenner

Nur mit Firewalls werden Netze nicht mehr sicher

31.07.1998

Es ist mittlerweile eine Binsenweisheit, daß Firewalls vor Hackern schützen und daher ein Muß für jedes Unternehmensnetz sind. Allerdings nutzt es wenig, wenn der Schutzwall nicht korrekt konfiguriert wurde, in Web- oder FTP-Servern eklatante Sicherheitslücken klaffen oder Fehler in der Betriebssystem-Software vorliegen.

Ein haarsträubendes Versäumnis ist beispielsweise, daß bei vielen Routern das vom Hersteller voreingestellte Default-Paßwort für den Administrator-Zugang unverändert bleibt. Auf diese Weise erschleichen sich Kriminelle, denen die Zugangswörter bekannt sind, ohne großen Aufwand alle Privilegien und können so das Gerät nach Belieben umkonfigurieren.

Unix-Systeme bergen Schwachstellen, da sie teilweise Dienst- programme im Hintergrund ausführen, von denen kaum ein Benutzer weiß. Dementsprechend werden auch die Zugriffsrechte nicht gepflegt. In diese Kategorie fällt zum Beispiel das Dateitransferprogramm Trivial File Trans- fer Protocol (TFTP). Weitere beliebte Angriffspunkte für Hacker stellen alte Versionen einer Software dar. So birgt das mit vie- len Unix-Systemen ausgelieferte E-Mail-Programm "Sendmail" eine potentielle Gefahr, wenn es sich nicht um die aktuelle Version handelt.

Auch Windows-NT-Systeme laden zum Hacken ein. Standardmäßig besitzt das Benutzerkonto für Gäste (Guest-Account) unter Windows NT Server Lesezugriffsrechte auf das Repair-Verzeichnis. Unberechtigte User können sich so des Administrator-Accounts bemächtigen, da sie dort eine Kopie von sicherheitsrelevanten Dateien vorfinden.

Solche Lücken im Netz lassen sich ohne Werkzeuge nur schwer aufspüren. Deshalb wurden sogenannte Security-Scanner entwickelt, die Schwachstellen in einer IT-Umgebung offenlegen sollen. Hierzu überprüfen diese Tools, ob bei Routern, Firewalls, Clients sowie File-, Application- und Web-Servern bestimmte Kriterien für typische Sicherheitslücken zutreffen. Nach einem Suchlauf (Scan) liefert das Werkzeug dem Experten eine Auflistung der verwundbaren Stellen in der IT-Umgebung.

Gleichzeitig erhält er Tips für deren Beseitigung. Beispielsweise könnte der Scanner dem Administrator raten, einen Patch für ein Betriebssystem einzuspielen, Konfigurationsparameter zu ändern oder eine aktuelle Version einer Software zu installieren.

Scanner helfen außerdem beim Erstellen von Security-Audits. Auf diese Weise wird der Ist-Zustand der IT-Sicherheit im Unternehmen ermittelt. Zeigen sich dabei Mängel, können die Verantwortlichen Gegenmaßnahmen treffen. Internet-Service-Provider sowie auf DV-Sicherheit spezialisierte Firmen bieten solche Audits als Dienstleistung an.

Falls sich ein Unternehmen eine Sicherheitspolitik zurechtgelegt hat, läßt sich mit Scannern prüfen, ob sie auch wirklich eingehalten wird. Schreibt ein solches Regelwerk beispielsweise Paßwörter mit einer Mindestlänge von zwölf Zeichen vor, kann der Scanner nachforschen, ob diese Vorgabe befolgt wird. "Zudem lassen sich Trendanalysen generieren, die aufzeigen, wie sich die Sicherheitslage im Netz mit der Zeit verändert", erklärt Andreas Bröhl, Consultant bei der Comcad GmbH aus Burscheid.

Viele Anwenderunternehmen wiegen sich in Sicherheit, da sie bisher noch nicht Opfer einer Attacke wurden. Oft wissen diese Firmen nicht, daß sie bereits ausspioniert werden, da erfahrene Eindringlinge keine deutlichen Spuren hinterlassen. Deshalb ersannen Softwarehersteller Programme zur "Intrusion Detection". Diese "Alarmanlagen" horchen das Firmennetz nach verdächtigen Datenübertragungen ab.

Ähnlich wie Computerviren verraten sich auch Hacker durch typisches Verhalten. So läßt sich etwa nachweisen, ob ein Unbekannter versucht, ein Paßwort zu knacken. Ferner erkennen die Tools, wenn ein Krimineller eine Denial-of-Service-Attacke vorbereitet. Bei diesen Methoden versuchen die Angreifer, ein System lahmzulegen, um es daraufhin ungestört auszuspionieren.

In erster Linie dienen Intrusion-Detection-Werkzeuge dazu, Angriffe zu melden beziehungsweise nach einer Attacke Ursachenforschung zu betreiben. Die Tools werden aber auch selbständig aktiv, indem sie bestimmte Hacker-Attacken abwehren. Versucht ein Unbekannter beispielsweise, eine unerlaubte Telnet-Verbindung zu einem Host aufzubauen, erkennt die Sicherheitssoftware dies und beendet die Session sofort. "Real Secure", eine Analysesoftware des US-Anbieters ISS, ist zudem in der Lage, bei einem Angriff die Konfiguration einer Firewall zu ändern. Die Lösung erlaubt dies bisher jedoch nur im Zusammenspiel mit Checkpoints "Firewall 1".

Offenbar lassen sich Hacker erst durch das Konzert von richtig konfigurierten Firewalls, Sicherheitsscannern sowie Intrusion-Detection-Tools wirksam bekämpfen. Dies scheint zumindest die Auffassung der einschlägigen Branche zu sein. Warum sonst haben sich große Anbieter aus der Netzwerk- und Internet-Szene in letzter Zeit ein nahezu komplettes Portfolio an Produkten für Netzsicherheit zugelegt?

Beispielsweise übernahm Cisco den Security-Spezialisten Wheel Group und bietet nun die Produkte "Netranger" (Intrusion Detection) sowie "Netsonar" (Scanner). Network Associates Inc. (NAI) nahm die Technik der Wheel Group in Lizenz, welche die Grundlage für die "Cybercop"-Produkte lieferte. Außerdem verleibte sich NAI den Firewall-Anbieter Trusted Information Systems ein. Auch Security Dynamics sah sich am Markt um und kaufte die US-Firma Intrusion Detection Inc. Ab September will Hewlett-Packard mit "Node Sentry" ebenfalls ein Produkt zum Überwachen von Netzen anbieten. Die Lösung basiert auf der Softwaretechnik von Cisco.

Besonders erfolgreich bei der Vermarktung von kommerziellen Scannern und Netz-Alarmanlagen ist Internet Security Systems, der Marktführer in diesem Geschäft. Sie verzichteten allerdings bisher auf eine eigene Firewall. Dies weckt Begehrlichkeiten anderer Anbieter. So unterzeichnete beispielsweise Check Point ein OEM-Agreement mit ISS. Der Firewall-Hersteller will die Real-Secure-Software unter eigenem Label vertreiben und in seine Firewall 1 integrieren.