Schützen des Netzwerks
Auf dieser Seite
Modulübersicht
Zielsetzung
Betrifft
Verwendung dieses Moduls
Übersicht
Bedrohungen und Gegenmaßnahmen
Vorgehensweise
Überlegungen zum Router
Überlegungen zur Firewall
Überlegungen zum Switch
Weitere Überlegungen
Snapshot eines sicheren Netzwerks
Zusammenfassung
Weitere Informationen
Modulübersicht
Das Netzwerk ist der Einstiegspunkt in Ihre Anwendung. In ihm finden sich die ersten Gatekeeper, über die der Zugang zu den verschiedenen Servern der Netzwerkumgebung geregelt wird. Server werden zum Beispiel durch die Gatekeeper ihres eigenen Betriebssystems geschützt. Es ist jedoch darauf zu achten, dass diese nicht mit Angriffen aus der Netzwerkebene überflutet werden.
In diesem Modul wird die Sicherheit der am Netzwerk angeschlossenen Geräte untersucht. Dadurch können Sie Ihr Augenmerk auf einzelne Punkte Ihrer Konfiguration lenken. Ausgangspunkt dieses Moduls ist die Analyse der möglichen Bedrohungen. Ohne eine Bedrohungsanalyse ist es nicht möglich, eine ausreichende Sicherheit zu gewähren. Schwerpunkt dieses Moduls ist die Software, die als Treiber für die Netzwerkhardware fungiert, über die ASP.NET-Anwendungen bereitgestellt werden.
Am Ende des Moduls finden Sie einen "Snapshot eines sicheren Netzwerks", den Sie als Vergleichsmaßstab für die Beurteilung Ihrer Lösungen heranziehen können.
Zielsetzung
Themenbereiche:
Erhöhen der Sicherheit der Netzwerkkomponenten (Router, Firewall und Switch).
Erhöhen der Routerkonfigurationssicherheit und -belastbarkeit gegenüber Angriffen.
Anwendung der richtigen Firewallfilter und -richtlinien.
Vor- und Nachteile eines Perimeternetzwerks.
Eigenschaften eines sicheren Netzwerks, dargestellt in einem Snapshot.
Gegenmaßnahmen gegen allgemeine Netzwerkbedrohungen wie Sammeln von Informationen, Sniffing, Spoofing, Sitzungsübernahme und Dienstverweigerung.
Betrifft
Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:
Router
Firewalls
Switches
Verwendung dieses Moduls
In diesem Modul werden eine Verfahrensweise und einzelne Schritte zum Schützen eines Netzwerks aufgezeigt. Die Verfahrensweise können Sie an Ihr eigenes Szenario anpassen. Anhand der einzelnen Schritte wird gezeigt, wie das Verfahren in der Praxis umgesetzt wird.
Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:
Beschäftigen Sie sich auch mit Modul 2, "Bedrohungen und Gegenmaßnahmen . In diesem Modul werden potenzielle Bedrohungen für Webanwendungen behandelt.
Beachten Sie den Snapshot. Tabelle 3, am Ende dieses Moduls. In diesem werden die Eigenschaften eines sicheren Netzwerks aufgelistet. Nutzen Sie diese Tabelle als Referenz bei der Konfiguration Ihres Netzwerks.
Verwenden Sie die Prüfliste. Verwenden Sie die "Prüfliste: Schützen des Netzwerks" im Abschnitt "Prüfliste" dieses Handbuchs, mit deren Hilfe Sie die einzelnen Schritte schnell überblicken und überprüfen können. Sie kann auch bei der Fertigstellung der einzelnen Schritte dienlich sein.
Beachten Sie auch die Lieferanteninformationen bei der Umsetzung der Implementierungen. Die Anleitungen in diesem Modul beziehen sich nicht auf die Netzwerkhardware oder -Software bestimmter Hersteller. Ziehen Sie deshalb auch die Herstellerdokumentation bei der Implementierung der in diesem Modul dargestellten Gegenmaßnahmen zu Rat.
Übersicht
Das Netzwerk ist der Einstiegspunkt in Ihre Anwendung. In ihm finden sich die ersten Gatekeeper, über die der Zugang zu den verschiedenen Servern der Netzwerkumgebung geregelt wird. Server werden durch die Gatekeeper ihres eigenen Betriebssystems geschützt. Es ist jedoch darauf zu achten, dass diese nicht mit Angriffen aus der Netzwerkebene überflutet werden. Außerdem muss sichergestellt werden, dass die Gatekeeper des Netzwerks durch Betrüger weder ersetzt noch neu konfiguriert werden können. Kurz gesagt, die Netzwerksicherheit umfasst den Schutz der Netzwerkgeräte und der Daten, die diese weiterleiten.
Die grundlegenden Komponenten eines Netzwerks, die als Front-End-Gatekeeper agieren, sind Router, Firewall und Switch. In Abbildung 15.1 werden diese Kernkomponenten dargestellt.
Abbildung 15.1
Netzwerkkomponenten: Router, Firewall und Switch
Bedrohungen und Gegenmaßnahmen
Ein Angreifer sucht nach schlecht konfigurierten Netzwerkgeräten, um diese auszunutzen. Allgemeine Sicherheitslücken umfassen schwache Standardinstallationseinstellungen, weit geöffnete Zugriffssteuerungen und Geräte, auf die keine Patches angewendet wurden. Folgende Netzwerkbedrohungen sind hochgefährlich:
Sammeln von Informationen
Sniffing
Spoofing
Sitzungsübernahme
Dienstverweigerung
Mit dem Wissen der Bedrohungen, durch die ein Netzwerk beeinträchtigt werden kann, können Sie effektive Gegenmaßnahmen starten.
Sammeln von Informationen
Durch das Sammeln von Informationen können ausführliche Informationen über die Netzwerktopologie, die Systemkonfiguration und über Netzwerkgeräte in die falschen Hände geraten. Ein Angreifer verwendet diese Informationen um gezielte Angriffe auf die entdeckten Sicherheitslücken in Stellung zu bringen.
Sicherheitslücken
Allgemeine Sicherheitslücken, wegen der ein Netzwerk anfällig für einen Angriff wird, sind unter anderen:
Der von Natur aus unsichere Charakter der TCP/IP-Protokollsuite
Konfigurationsinformationen, die von Bannern zur Verfügung gestellt werden
Öffentliche Dienste, die blockiert werden sollten
Angriffe
Übliche Angriffe durch Sammeln von Informationen umfassen:
Ermitteln der Netzwerktopologie mithilfe von Tracert
Öffnen von Ports mithilfe von Telnet, damit Banner abgefangen werden können
Ermitteln offener Ports über Portscans.
Auflisten von Hosts eines Subnetzes über Broadcast-Anfragen
Gegenmaßnahmen
Die folgenden Gegenmaßnahmen können eingeleitet werden:
Verwenden Sie allgemeine Dienstbanner, über die keine Konfigurationsinformationen wie Softwareversionen oder Namen weitergegeben werden.
Verbergen Sie Dienste, die nicht öffentlich zugänglich sein sollen, mithilfe von Firewalls.
Sniffing
Als Sniffing oder auch Lauschangriff wird das Überwachen des Datenverkehrs in einem Netzwerk bezeichnet. Ziel ist es, vertrauliche Daten wie Kennwörter und Konfigurationsinformationen im Klartext zu erhalten. Mit einem einfachen Packet-Sniffer kann der gesamte Datenverkehr in Klartext einfach gelesen werden. Außerdem können einfache Hashingalgorithmen geknackt werden, und der als sicher angenommene Dateninhalt kann entschlüsselt werden.
Sicherheitslücken
Allgemeine Sicherheitslücken, wegen der ein Netzwerk anfällig für das Abfangen von Daten wird, sind unter anderen:
Niedrige physische Sicherheit
Keine Verschlüsselung beim Senden vertraulicher Daten
Dienste, deren Kommunikation im Klartextformat stattfindet, eine schwache Verschlüsselung oder Hashing
Angriffe
Der Angreifer fängt den gesamten Datenverkehr durch Platzieren von Paket-Sniffing-Programmen im Netzwerk ab.
Gegenmaßnahmen
Bewährte Gegenmaßnahmen sind unter anderen:
Hohe physische Sicherheit, durch die verhindert wird, dass bösartige Geräte an das Netzwerk angeschlossen werden können
Verschlüsselte Anmeldeinformationen und verschlüsselter Anwendungsverkehr über das Netzwerk
Spoofing
Als Spoofing oder Identitätsverschleierung wird das Verschleiern der wahren Identität einer Person im Netzwerk bezeichnet. Eine gefälschte Quelladresse wird verwendet, die nicht der tatsächlichen Adresse des Senders des Pakets entspricht. Spoofing kann eingesetzt werden, um die ursprüngliche Herkunft eines Angriffs zu vertuschen oder um Zugriffssteuerungslisten (Access Control Lists, ACLs) zu umgehen, über die der Hostzugriff anhand von Quelladressregeln begrenzt wird.
Sicherheitslücken
Allgemeine Sicherheitslücken, wegen der ein Netzwerk anfällig für Spoofing wird, sind unter anderen:
Die inhärente Unsicherheit der TCP/IP-Protokollsuite
Das Fehlen einer Eingangs- und Ausgangsfilterung. Bei der Eingangsfilterung werden IP-Pakete mit nicht vertrauenswürdigen Quelladressen gefiltert, so dass diese nicht in das System oder das Netzwerk eindringen und es beeinträchtigen können. Bei der Ausgangsfilterung wird ausgehender Datenverkehr aus dem eigenen Netzwerk gefiltert.
Angriffe
Ein Angreifer kann verschiedene Werkzeuge verwenden, um ausgehende Pakete so aussehen zu lassen, als wären sie von einem anderen Netzwerk oder Host gesendet worden.
Gegenmaßnahmen
Sie können Eingangs- und Ausgangsfilterung auf Perimeterroutern verwenden.
Sitzungsübernahme
Bei Sitzungsübernahmen, auch bekannt als Man-in-the-Middle-Angriffe, kann der Angreifer eine Anwendung verwenden, mit der entweder der Client oder der Server getarnt wird. Dies führt dazu, dass entweder der Server oder der Client ausgetrickst werden, da vorgegaukelt wird, dass der Upstream-Host der legitime Host sei. Tatsächlich jedoch ist der Upstream-Host der Host eines Angreifers, der das Netzwerk manipuliert, so dass es scheint, als sei er das gewünschte Ziel. Mit der Sitzungsübernahme können Anmeldeinformationen erschlichen werden, mit denen der Zugriff auf ein System oder auf vertrauliche Informationen möglich wird.
Sicherheitslücken
Allgemeine Sicherheitslücken, wegen der ein Netzwerk anfällig für eine Sitzungsübernahme wird, sind unter anderen:
Niedrige physische Sicherheit
Die inhärente Unsicherheit der TCP/IP-Protokollsuite
Unverschlüsselte Kommunikation
Angriffe
Ein Angreifer kann verschiedene Werkzeuge verwenden, um Spoofing, Routineänderungen und Paketmanipulation zu kombinieren.
Gegenmaßnahmen
Bewährte Gegenmaßnahmen sind unter anderen:
Verschlüsselung der Sitzung
Statusbehaftete Inspektion an der Firewall
Dienstverweigerung
Bei einem Dienstverweigerungsangriff wird der Zugriff auf einen Server oder Dienste für legitime Benutzer verweigert. Bei Dienstverweigerungsangriffen auf Netzwerkebene wird üblicherweise versucht, den Dienst zu verweigern, indem das Netzwerk mit Datenverkehr überflutet wird. Dadurch werden die zur Verfügung stehende Bandbreite und die Ressourcen verbraucht.
Sicherheitslücken
Sicherheitslücken, durch die die Möglichkeiten von Dienstverweigerungsangriffen erhöht werden, sind unter anderen:
Der von Natur aus unsichere Charakter der TCP/IP-Protokollsuite
Schwache Router- und Switchkonfiguration
Unverschlüsselte Kommunikation
Fehler in der Dienstsoftware
Angriffe
Allgemeine Dienstverweigerungsangriffe umfassen:
Brute-Force-Paketüberflutungen wie kaskadierende Broadcast-Angriffe
SYN-Flood-Angriffe
Ausnutzen von Diensten wie Pufferüberläufe
Gegenmaßnahmen
Bewährte Gegenmaßnahmen sind unter anderen:
Filterung von Broadcastanfragen
ICMP-Anfragen (Filtering Internet Control Message Protocol)
Patchen und Aktualisieren von Dienstsoftware
Vorgehensweise
Die Sicherheit beginnt mit dem Verständnis dafür, wie das System oder Netzwerk arbeitet, das geschützt werden muss. In diesem Abschnitt wird die Sicherheit der am Netzwerk angeschlossenen Geräte untersucht. Dadurch können Sie Ihr Augenmerk auf einzelne Punkte Ihrer Konfiguration lenken. Ausgangspunkt dieses Abschnitts ist im Einklang mit dem Grundgedanken dieses Handbuchs die Analyse der möglichen Bedrohungen. Ohne diese Analyse ist es nicht möglich, eine ausreichende Sicherheit zu gewähren.
Die Netzwerkinfrastruktur kann in drei Ebenen gegliedert werden: Zugriff, Verteilung und Kern. Diese Ebenen enthalten die vollständige Hardware, die notwendig ist, um den Zugriff auf interne und externe Ressourcen und von diesen aus zu steuern. Die Empfehlungen beziehen sich auf eine auf ein Internet oder Intranet gerichtete Webzone. Es ist deshalb möglich, dass Sie für Ihr internes oder Firmennetzwerk nicht von Bedeutung sind.
Es gibt folgende Kernkomponenten:
Router
Firewall
Switch
Router
Der Router ist die äußerste Sicherheitsschranke. Über ihn werden IP-Pakete an die angeschlossenen Netzwerke weitergeleitet. Diese Pakete können eingehende Anfragen von Internetclients an den Webserver, Antworten auf Anfragen oder ausgehende Anfragen von Internetclients sein. Der Router sollte dazu verwendet werden, nicht autorisierten und unerwünschten Datenverkehr zwischen Netzwerken zu blockieren. Der Router selbst muss ebenfalls vor Neukonfiguration geschützt werden, indem sichere Verwaltungsschnittstellen verwendet werden und sichergestellt wird, dass auf dem Router die neuesten Softwarepatches und -updates durchgeführt wurden.
Firewall
Die Rolle der Firewall ist, alle unnötigen Ports zu blockieren und nur den Datenverkehr über bekannten Ports zu ermöglichen. Über die Firewall müssen eingehende Anfragen überwacht werden können, damit verhindert wird, dass bekannte Angriffe den Webserver erreichen. Die Firewall ist nützlich, um Angriffe zu verhindern und Eindringversuche, oder im schlimmsten Fall, die Quelle eines Angriffs zu entdecken.
Genauso wie der Router wird auch die Firewall auf einem Betriebssystem ausgeführt, auf das regelmäßig Patches angewendet werden müssen. Die Verwaltungsschnittstellen der Firewall müssen geschützt und unnötige Dienste müssen deaktiviert oder entfernt werden.
Switch
Der Switch hat eine untergeordnete Rolle in einer sicheren Netzwerkumgebung. Switches sind darauf ausgelegt, die Netzwerkleistung zu verbessern und die Verwaltung zu vereinfachen. Aus diesem Grund kann ein Switch leicht konfiguriert werden, indem speziell formatierte Pakete an ihn gesendet werden. Weitere Informationen finden Sie unter "Überlegungen zum Switch" weiter unten in diesem Modul.
Überlegungen zum Router
Der Router ist die allererste Verteidigungslinie. Über ihn wird das Paketrouting ausgeführt. Er kann so konfiguriert werden, dass das Weiterleiten von Pakettypen, wie ICMP oder SNMP (Simple Network Management Protocol), von denen bekannt ist, dass sie unsicher sind oder böswillig verwendet werden können, blockiert oder gefiltert wird.
Wenn Sie den Router nicht steuern können, haben Sie wenig Möglichkeiten das Netzwerk zu schützen. Sie können lediglich Ihren Internetdienstanbieter fragen, welche Verteidigungsmechanismen er auf seinen Routern zur Verfügung hat.
Die Konfigurationskategorien für den Router sind:
Patches und Updates
Protokolle
Administrativer Zugriff
Dienste
Überwachen und Protokollieren
Eindringungserkennung
Patches und Updates
Abonnieren Sie Sicherheitsbenachrichtigungen, die von den Herstellern der Netzwerkhardware bereitgestellt werden. Dadurch sind Sie sowohl in Bezug auf Sicherheitsprobleme als auch in Bezug auf Servicepatches immer auf dem neuesten Stand. Wenn Sicherheitslücken gefunden werden - und sie werden zwangsläufig gefunden -, stellen gute Hersteller schnell Patches zur Verfügung und geben diese Aktualisierungen per E-Mail und über ihre Website weiter. Testen Sie die Updates immer, bevor Sie diese in einer Produktionsumgebung implementieren.
Protokolle
Bei Dienstverweigerungsangriffen werden häufig Sicherheitslücken auf Protokollebene ausgenutzt, zum Beispiel durch Überschwemmen des Netzwerks. Um diese Art von Angriffen abzuwehren, sollten Sie folgende Maßnahmen ergreifen:
Eingangs- und Ausgangsfilterung
Überprüfen des ICMP-Datenverkehrs aus dem internen Netzwerk
Eingangs- und Ausgangsfilterung
IP-Spoofing-Pakete sind Kennzeichen für Eindringversuche, Angriffe und einen sachkundigen Angreifer. Eingehende Pakte mit einer internen Adresse können einen Eindringungsversuch darstellen und sollten keinen Zugang zum Perimeternetzwerk erhalten. Richten Sie den Router außerdem so ein, dass ausgehende Pakete nur geroutet werden, wenn sie eine gültige interne IP-Adresse aufweisen. Das Überprüfen von ausgehenden Paketen schützt Sie nicht vor einem Dienstverweigerungsangriff. Sie stellen dadurch jedoch sicher, dass solche Angriffe nicht von Ihrem Netzwerk ausgehen.
Diese Art der Filterung ermöglicht, auf einfache Weise die wahre Quelle des Urhebers zu ermitteln, da der Angreifer eine gültige und legal erreichbare Quelladresse verwenden muss. Weitere Informationen finden Sie unter "Network Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing" unter http://www.rfc-editor.org/rfc/rfc2267.txt
Überprüfen des ICMP-Datenverkehrs aus dem internen Netzwerk
ICMP ist ein länderunabhängiges Protokoll, das sich auf dem Internetprotokoll befindet und das Überprüfen von Hostverfügbarkeitsinformationen von einem Host zu einem anderen ermöglicht. Häufig verwendete ICMP-Meldungen werden in Tabelle 15,1 dargestellt.
Tabelle 15.1 Häufig verwendete ICMP-Meldungen
Meldung |
Beschreibung |
---|---|
Echoanforderung |
Legt fest, ob ein IP-Knoten (ein Host oder ein Router) im Netzwerk verfügbar ist |
Echoantwort |
Antwortet auf eine ICMP-Echoanfrage |
Ziel nicht erreichbar |
Informiert den Host darüber, dass ein Datagramm nicht übermittelt werden kann |
Quelldrosselung |
Weist den Host an, die Datenrate, mit der die Datagramme gesendet werden, wegen Überlastung zu reduzieren |
Umleiten |
Informiert den Host über eine bevorzugte Route |
Zeitüberschreitung |
Gibt an, dass die Lebensdauer (time to live, TTL) eines Datagramms abgelaufen ist |
Durch Blockieren von ICMP-Datenverkehr am äußeren Perimeterrouter werden Sie vor Angriffen geschützt, zum Beispiel vor Ping-Fluten. Es bestehen andere ICMP-Sicherheitslücken, die das Blockieren dieses Protokolls rechtfertigen. ICMP kann sowohl für die Fehlersuche und -beseitigung als auch für die Netzwerkentdeckung und -zuordnung verwendet werden. Seien Sie deshalb bei der Verwendung von ICMP vorsichtig. Wenn ICMP aktiviert werden muss, sollten Sie es nur im Modus "Echo-Antwort" verwenden.
Verhindern von Gültigkeitsdauermeldungen mit den Werten 1 oder 0
Beim Trace-Routing werden die TTL-Werte 1 und 0 verwendet, um die Routing-Sprünge zwischen einem Client und einem Server zu zählen. Mithilfe von Trace-Routing können Netzwerktopologieinformationen gesammelt werden. Indem Sie Pakete dieses Typs blockieren, verhindern Sie, dass ein Angreifer durch Trace-Routing Informationen über Ihr Netzwerk erfährt.
Kein Empfang und Weiterleiten von gesendetem Broadcastdatenverkehr
Dirigierter Broadcastdatenverkehr kann als Transportmittel für einen Dienstverweigerungsangriff verwendet werden, und um Hosts in einem Netzwerk anzuzeigen. Durch Blockieren bestimmter Quelladressen verhindern Sie zum Beispiel, dass durch böswillige Echoanfragen eine Ping-Flut verursacht wird. Quelladressen, die gefiltert werden sollten, werden in Tabelle 15.2 dargestellt.
Tabelle 15.2 Quelladressen, die gefiltert werden sollten
Quelladresse |
Beschreibung |
---|---|
0.0.0.0/8 |
Ursprüngliche Broadcastmeldung |
10.0.0.0/8 |
RFC 1918-Privates Netzwerk |
127.0.0.0/8 |
Loopback |
169.254.0.0/16 |
Verbindung zu lokalen Netzwerken |
172.16.0.0/12 |
RFC 1918 Privates Netzwerk |
192.0.2.0/24 |
Testnetzwerk |
192.168.0.0/16 |
RFC 1918 Privates Netzwerk |
224.0.0.0/4 |
Klasse D-Gruppenadresse |
240.0.0.0/5 |
Class E reserved |
248.0.0.0/5 |
Nicht belegt |
255.255.255.255/32 |
Broadcastmeldung |
Weitere Informationen über Broadcastunterdrückung mithilfe von Cisco-Routern finden Sie unter "Configuring Broadcast Suppression" auf der Cisco Website unter at http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_guide_chapter09186a00800eb778.html
Administrativer Zugriff
Von wo aus wird auf den Router für Administrationszwecke zugegriffen? Legen Sie fest, über welche Schnittstellen und Ports eine Administrationsverbindung ausgeführt werden darf, und von welchem Netzwerk oder Host aus die Administration ausgeführt werden soll. Beschränken Sie den Zugriff auf diese bestimmten Positionen. Legen Sie für eine Administrationsschnittstelle, die an das Internet grenzt, immer eine Verschlüsselung und Sicherheitsgegenmaßnahmen fest, um eine Übernahme zu verhindern. Weitere Gegenmaßnahmen:
Deaktivieren von nicht verwendeten Schnittstellen.
Zuweisen von strengen Kennwortrichtlinien.
Verwenden von statischem Routing.
Überprüfen von weborientierten Verwaltungsschnittstellen.
Deaktivieren von nicht verwendeten Schnittstellen
Auf dem Router sollten nur erforderliche Schnittstellen aktiviert werden. Eine nicht verwendete Schnittstelle wird nicht überwacht oder kontrolliert und wird wahrscheinlich nicht aktualisiert. Dadurch können Sie unbekannten Angriffen auf diese Schnittstellen ausgesetzt sein.
Zuweisen von strengen Kennwortrichtlinien
Brute-Force-Kennwortsoftware kann mehr als nur Wörterbuchangriffe ausführen. Sie kann Kennwörter herausfinden, bei denen ein Buchstabe durch eine Zahl ersetzt wird. Wenn beispielsweise "K4nnw0rt" als Kennwort verwendet wird, kann dieses geknackt werden. Verwenden Sie beim Erzeugen eines Kennworts immer eine Kombination aus Groß- und Kleinbuchstaben, Nummern und Symbolen
Verwenden von statischem Routing
Statisches Routen verhindert, dass durch speziell geformte Pakete die Routingtabellen im Router geändert werden. Ein Angreifer kann versuchen, Routen zu ändern, um einen Dienstverweigerungsangriff zu verursachen, oder um Anfragen an einen unzulässigen Server weiterzuleiten. Durch Verwenden von statischen Routen muss eine administrative Schnittstelle erst kompromittiert werden, damit Routingänderungen vorgenommen werden können.
Überprüfen von weborientierten Verwaltungsschnittstellen
Legen Sie fest, ob ein interner Zugriff konfiguriert werden kann. Fahren Sie, wenn möglich, die externe Verwaltungsschnittstelle herunter, und verwenden Sie interne Zugriffsmethoden mit Zugriffssteuerungslisten.
Dienste
In einem eingesetzten Router wird jeder offene Port einem Überwachungsdienst zugeordnet. Um die Angriffsoberfläche zu reduzieren, sollten nicht benötigte Standarddienste beendet werden. Beispiele sind bootps und Finger, die selten benötigt werden. Sie sollten den Router zusätzlich überprüfen, um die offenen Ports zu ermitteln.
Überwachen und Protokollieren
Standardmäßig werden alle Verweigerungsvorgänge von einem Router protokolliert. Diese Standardeinstellung sollte nicht geändert werden. Legen Sie Protokolldateien außerdem an einem zentralen Speicherort ab. Moderne Router verfügen über eine Gruppe von Protokollierungsfeatures, die das Einrichten von Einschränkungen anhand der protokollierten Daten ermöglichen. Es sollte ein Überwachungsplan erstellt werden, um die Protokolle regelmäßig auf Hinweise für Eindringungen zu untersuchen.
Eindringungserkennung
Mit festgelegten Einschränkungen am Router für die Verhinderung von TCP/IP-Angriffen sollte der Router in der Lage sein zu erkennen, wann ein Angriff stattfindet und einen Systemadministrator über den Angriff benachrichtigen.
Angreifer erkennen mit der Zeit Ihre Sicherheitsprioritäten und versuchen diese zu umgehen. Erkennungssysteme für Eindringversuche (Intrusion Detection Systems, IDS) können zeigen, an welchen Stellen Angreifer versuchen, Angriffe durchzuführen.
Überlegungen zur Firewall
Eine Firewall sollte immer vorhanden sein, wenn Daten mit einem nicht vertrauenswürdigem Netzwerk, besonders dem Internet, ausgetauscht werden. Außerdem wird empfohlen, dass Sie Ihre Webserver von Downstream-Anwendungen und Datenbankservern über eine interne Firewall trennen.
Nach dem Router mit seinen weitgefächerten Filtern und Gatekeepern, ist die Firewall der nächste Angriffspunkt. In vielen (wenn nicht den meisten) Fällen, haben Sie keinen Verwaltungszugriff auf den Upstream-Router. Viele der Filter und Zugriffssteuerungslisten, die auf den Router angewendet werden, können auch an der Firewall implementiert werden. Die Konfigurationskategorien für die Firewall sind:
Patches und Updates
Filter
Protokollieren und Überprüfen
Perimeternetzwerke
Patches und Updates
Abonnieren Sie Sicherheitsbenachrichtigungen, die von den Herstellern der Firewall und des Betriebssystems bereitgestellt werden. Dadurch werden Sie über Sicherheitsprobleme und aktuelle Patches informiert.
Filter
Durch das Filtern von öffentlich zugänglichen Ports an der Firewall können schädliche Pakete und Dateninhalte effektive blockiert werden. Filter reichen von einfachen Paketfiltern, über die der Datenverkehr auf Netzwerkebene auf der Grundlage von Quell- und Ziel-IP-Adressen und Portnummern beschränkt wird, bis hin zu komplexen Anwendungsfiltern, durch die anwendungsspezifische Dateninhalte untersucht werden. Durch die Verwendung von geschichteten Filtern können Angriffe effektiv abgeweht werden. Es gibt sechs allgemeine Typen von Firewallfiltern:
Paketfilter
Diese können Pakete auf Grundlage der Protokoll-, Quell- oder Zielportnummer und der Quell- oder Zieladresse, oder des Computernamen filtern. IP-Paketfilter sind statisch, d. h. die Kommunikation über einen bestimmten Port ist entweder möglich oder blockiert. Blockierte Pakete werden üblicherweise protokolliert und ein sicherer Paketfilter lehnt standardmäßig ab.
Auf Netzwerkebene ist der Dateninhalt unbekannt und kann vielleicht gefährlich sein. Höherwertige Filtertypen müssen so konfiguriert werden, dass der Dateninhalt untersucht und Entscheidungen auf Grundlage von Kontrollrichtlinien getroffen werden.Filter auf Sitzungsebene
Von diesen werden eher Sitzungen als Dateninhalte untersucht. Ein- und ausgehende Anfragen von Clients werden direkt an der Firewall/Gateway gerichtet und daraufhin wird vom Gateway eine Verbindung zum Server hergestellt. Der Gateway fungiert dabei als Vermittler. Auf Grundlage der Anwendungsverbindungsregeln werden von Filtern auf Sitzungsebene gültige Interaktionen geschützt. Von ihnen wird nicht der tatsächliche Dateninhalt untersucht, es werden die Frames gezählt, um so die Integrität des Pakets sicherzustellen, und Sitzungsübernahmen und Replay-Angriffe zu verhindern.Anwendungsfilter
Hochwertige Anwendungsfilter ermöglichen die Analyse eines Datenflusses für eine Anwendung und eine anwendungsspezifische Verarbeitung der von der Firewall durchgelassenen Daten, zum Beispiel Überprüfung, Filterung, Blockierung, Umleitung und Änderung der Daten. Anwendungsfilter schützen unter anderem gegen folgende Angriffe:Unsichere SMTP-Befehle
Angriffe gegen interne DNS-Server
HTTP-basierte Angriffe (zum Beispiel Code Red und Nimda, bei denen anwendungsspezifisches Wissen ausgenutzt wird)
Ein Anwendungsfilter kann zum Beispiel ein HTTP DELETE blockieren, jedoch ein HTTP GET erlauben. Die Möglichkeiten der Inhaltsfilterung, einschließlich Virenerkennung, Lexikonanalyse und Sitekategorisierung, machen Anwendungsfilter in Webszenarios sowohl als Sicherheitsmaßnahmen als auch zur Durchsetzung von Unternehmensregeln sehr effektiv.
Statusbehaftete Inspektion
Bei Anwendungsfiltern wird die Filterentscheidungen nur auf Grundlage des Dateninhalts getroffen. Bei statusbehafteten Inspektionen wird sowohl der Dateninhalt als auch desssen Kontext verwendet, um Filterregeln festzulegen. Durch Verwendung des Dateninhalts und des Paketinhalts mit Regeln für statusbehaftete Inspektionen, wird die Integrität von Sitzungen und der Kommunikation sichergestellt. Die Untersuchung von Paketen, ihrem Dateninhalt und der Sequenz beschränkt die Skalierbarkeit der statusbehafteten Inspektion.Benutzerdefinierte Anwendungsfilter
Diese Filter sichern die Integrität der Anwendungsserver-/Clientkommunikation.
Wenn Sie Filter auf mehreren Ebenen des Netzwerkstacks verwenden, wird Ihre Umgebung sicherer. Ein Paketfilter kann beispielsweise verwendet werden, um IP-Datenverkehr, der für jeden Port außer Port 80 bestimmt ist, zu blockieren, und über einen Anwendungsfilter können darüber hinaus Daten auf der Grundlage der Eigenschaften des HTTP-Verbs beschränkt werden. Beispielsweise können HTTP DELETE-Verben blockiert werden.
Protokollieren und Überprüfen
Das Protokollieren aller ein- und ausgehenden Anfragen, ungeachtet aller Firewallregeln, ermöglicht die Erkennung von Eindringversuchen oder schlimmer von erfolgreichen, unerkannten Angriffen. Netzwerkadministratoren mussten in der Vergangenheit manchmal Überprüfungsprotokolle analysieren, um festzustellen, wie ein Angriff gelingen konnte. Dadurch konnten Administratoren Lösungen für die Sicherheitslücken finden, lernen, wie diese ausgenutzt werden können, und andere vorhandene Sicherheitslücken entdecken.
Wenden Sie die folgenden Richtlinien für das Protokollieren und das Überprüfen der Protokolle an.
Protokollieren Sie den Datenverkehr, der über die Firewall übertragen wird.
Erhalten Sie einen Protokollzyklus aufrecht, der eine schnelle Datenanalyse ermöglicht. Je mehr Daten Sie haben, desto größer ist die Protokolldatei.
Vergewissern Sie sich, dass die Zeiteinstellung der Firewall mit der restlichen Netzwerkhardware synchronisiert ist.
Perimeternetzwerke
Eine Firewall sollte vorhanden sein, wenn Server mit einem nicht vertrauenswürdigen Netzwerk in Verbindung stehen. Wenn die Webserver mit einem Back-End-Netzwerk verbunden sind, wie mehreren Datenbankservern oder einem Firmennetzwerk, sollten die beiden Netzwerke durch eine Abschirmung von einander getrennt sein. Die Webzone ist am stärksten Angriffen von außen ausgesetzt. Deshalb ist darauf zu achten, dass eine Kompromittierung der Webzone nicht in einer Kompromittierung der Downstream-Netzwerke resultiert.
Standardmäßig sollten durch das Perimeternetzwerk alle ausgehenden Verbindungen blockiert, außer denen, die erwartet werden.
Vorteile eines Perimeternetzwerks
Das Perimeternetzwerk bietet folgende Vorteile:
Hosts sind nicht vertrauenswürdigen Netzwerken nicht direkt ausgesetzt.
Öffentlich zugängliche Dienste sind der einzige externe Angriffspunkt.
Sicherheitsregeln können für den Zugriff zwischen Netzwerken durchgesetzt werden.
Nachteile eines Perimeternetzwerks
Perimeternetzwerke haben folgende Nachteile:
Komplexität des Netzwerks
Zuweisung und Verwaltung von IP-Adressen
Die Anwendungsarchitektur muss auf den Perimeternetzwerkentwurf ausgerichtet werden
Überlegungen zum Switch
Switches werden für das Weiterleiten von Paketen direkt zu einem Host oder Netzwerksegment verwendet und nicht für das Verteilen der Daten auf das gesamte Netzwerk. Aus diesem Grund wird der Datenverkehr nicht von über Switches verbundenen Segmenten gemeinsam verwendet. Dies ist eine Präventivmaßnahme gegen das Abfangen von Paketen zwischen Netzwerken. Ein Angreifer kann diese Sicherheitseinrichtung umgehen, indem er die Switchregeln mithilfe von leicht zugänglichen Verwaltungsschnittstellen, einschließlich bekannten Kontennamen und Kennwörtern und SNMP-Paketen, neu konfiguriert.
Mit den folgenden Konfigurationskategorien wird eine sichere Switchkonfiguration gewährleistet:
Patches und Updates
Virtuelle Lokale Netzwerke (VLANs)
Unsichere Standardeinstellungen
Dienste
Verschlüsselung
Patches und Updates
Patches und Updates müssen installiert und getestet werden, sobald sie verfügbar sind.
VLANs
Virtuelle LANs ermöglichen Ihnen das Trennen von Netzwerksegmenten und das Zuweisen von Zugriffssteuerungen basierend auf Sicherheitsregeln. Obwohl ein VLAN die Netzwerkleistung erhöht, muss es nicht unbedingt Sicherheit bieten. Begrenzen Sie die Verwendung von VLANs auf das Perimeternetzwerk (hinter der Firewall), da es viele unsichere Schnittstellen zur Erleichterung der Verwaltung gibt. Weitere Informationen über VLANs finden Sie im Artikel "Configuring VLANS" auf der Website von Cisco.
Unsichere Standardeinstellungen
Um zu gewährleisten, dass unsichere Standardeinstellungen geschützt werden, sollten Sie alle ab Werk eingestellten Standardkennwörter und SNMP-Communityzeichenfolgen ändern, damit eine Netzwerkspezifizierung oder eine vollständige Steuerung des Switch verhindert wird. Außerdem sind möglicherweise undokumentierte Konten zu identifizieren und die Standardnamen und -kennwörter zu ändern. Diese Kontenarten werden oft auf gut bekannten Switchtypen gefunden und sind weitgehend veröffentlicht und den Angreifern bekannt.
Dienste
Vergewissern Sie sich, dass alle nicht verwendeten Dienste deaktiviert sind. Stellen Sie außerdem sicher, dass das TFTP-Protokoll (Trivial File Transfer Protocol) deaktiviert ist, an das Internet angrenzende Administrationspunkte entfernt wurden und die Zugriffssteuerungslisten so konfiguriert sind, dass der administrative Zugriff eingeschränkt ist.
Verschlüsselung
Obwohl es nicht standardmäßig in dem Switch implementiert ist, stellt die Datenverschlüsselung über die Leitung sicher, dass abgefangene Pakte unbrauchbar sind, wenn ein Monitor in dem Segment des gleichen Switches positioniert wird, oder wenn der Switch kompromittiert wird und dadurch das Sniffing in den Segmenten ermöglicht.
Weitere Überlegungen
Durch folgende Überlegungen können Sie die Netzwerksicherheit weiter verbessern:
Vergewissern Sie sich, dass alle Uhren auf allen Netzwerkgeräten synchronisiert sind. Stellen Sie die Netzwerkuhrzeit ein und lassen Sie alle Quellen von einer zuverlässigen Zeitquelle synchronisieren.
Verwenden Sie die Authentifizierung des Terminal Access Controller Access Control System (TACACS) oder des Remote Authentication Dial-In User Service (RADIUS) für hochsichere Umgebungen als ein Mittel, um den Verwaltungszugriff auf das Netzwerk zu begrenzen.
Definieren Sie ein IP-Netzwerk, das mithilfe von ACLs an Subnetzen oder Netzwerkgrenzen leicht geschützt werden kann.
Snapshot eines sicheren Netzwerks
In Tabelle 15.3 wird ein Snapshot der Merkmale eines sicheren Netzwerks dargestellt. Die Sicherheitseinstellungen wurden von Sicherheitsfachleuten und aus Praxisanwendungen zusammengefasst. Sie können den Snapshot als Referenz beim Bewerten Ihrer eigenen Lösung verwenden.
Tabelle 15.3: Snapshot eines sicheren Netzwerks
Komponente |
Merkmale |
---|---|
Router |
|
Patches und Updates |
Das Betriebssystem des Routers ist mit aktueller Software auf den neuesten Stand gebracht. |
Protokolle |
Nicht verwendete Protokolle und Ports sind blockiert. |
Administrativer Zugriff |
Nicht verwendete Verwaltungsschnittstellen im Router sind deaktiviert. |
Dienste |
Nicht verwendete Dienste sind deaktiviert (zum Beispiel bootps und Finger). |
Überwachen und Protokollieren |
Die Protokollierung ist für den gesamten verweigerten Datenverkehr aktiviert. |
Erkennen des Eindringens |
Das Erkennungssystem für Eindringversuche ist bereit, um einen aktiven Angriff zu identifizieren und zu melden. |
Firewall |
|
Patches und Updates |
Die neuesten Sicherheitsupdates werden auf die Firewallsoftware und das Betriebssystem angewendet. |
Filter |
Die Paketfilterrichtlinie blockiert alles außer den notwendigen Datenverkehr in beide Richtungen. |
Protokollieren und Überprüfen |
Der vollständige zugelassene Datenverkehr wird protokolliert. |
Perimeternetzwerke |
Ein Perimeternetzwerk ist installiert, wenn mehrere Netzwerke Zugriff auf die Server anfordern. |
Switch |
|
Patches und Updates |
Die neuesten Sicherheitspatches sind getestet und installiert oder die Bedrohung durch bekannte Schwachstellen wird abgeschwächt. |
VLANs |
Vergewissern Sie sich, dass VLANs nicht übermäßig verwendet werden oder ihnen übermäßig vertraut wird. |
Unsichere Standardeinstellungen |
Alle werkseitigen Kennwörter werden geändert. |
Dienste |
Nicht verwendete Dienste sind deaktiviert. |
Verschlüsselung |
Datenverkehr über Switches wird verschlüsselt. |
Sonstiges |
|
Protokollierung synchronisieren |
Alle Uhren in Geräten mit Protokollierungsfunktionen werden synchronisiert. |
Administrativer Zugriff auf das Netzwerk |
TACAS oder RADIUS wird zur Authentifizierung von administrativen Benutzern verwendet. |
Netzwerk-Zugriffssteuerungslisten |
Das Netzwerk ist strukturiert, so dass die Zugriffssteuerungslisten auf Hosts und in Netzwerken abgelegt werden können. |
Zusammenfassung
Netzwerksicherheit beinhaltet den Schutz von Netzwerkgeräten und den Daten, welche diese weiterleiten, um eine zusätzliche Sicherheit für Hostserver zu bieten. Die wichtigsten Netzwerkkomponenten, die eine sichere Konfiguration erfordern, sind Router, Firewall und Switch.
In diesem Modul wurden die gefährlichsten Bedrohungen für Ihre Netzwerkinfrastruktur herausgearbeitet und Sicherheitsempfehlungen sowie sichere Konfigurationen aufgezeigt, die es Ihnen ermöglichen, diesen Bedrohungen entgegenzutreten.
Weitere Informationen
Weitere Informationen finden Sie in den folgenden Artikeln:
"Network Ingress Filtering" unter http://www.rfc-editor.org/rfc/rfc2267.txt
"Improving Security on Cisco Routers" unter http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml
"Configuring Broadcast Suppression" unter http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_guide_chapter09186a00800eb778.html
"Cisco IOS Intrusion Detection System Software App Overview" unter http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns292/networking_solutions_white_paper09186a008010e5c8.shtml
"Configuring VLANs" unter http://www.cisco.com/en/US/products/hw/switches/ps663/products_configuration_guide_chapter09186a00800e47e1
.html#1020847