Häufige Sicherheitsbedrohungen in der modernen EDV
Da Skype for Business Server ein Kommunikationssystem der Unternehmensklasse ist, sollten Sie sich der allgemeinen Sicherheitsangriffe bewusst sein, die sich auf die Infrastruktur und Kommunikation auswirken können.
Angriff mit kompromittiertem Schlüssel
Ein Schlüssel ist ein geheimer Code oder eine geheime Nummer zur Verschlüsselung, Entschlüsselung oder Überprüfung geheimer Informationen. In der Public Key-Infrastruktur (PKI) werden zwei vertrauliche Schlüssel verwendet, die berücksichtigt werden müssen:
Der private Schlüssel, der sich im Besitz des jeweiligen Zertifikatinhabers befindet
Der Sitzungsschlüssel, der nach der erfolgreichen Identifikation und dem Sitzungsschlüsselaustausch durch die Kommunikationspartner verwendet wird
Ein Angriff mit kompromittierten Schlüsseln liegt vor, wenn der Angreifer den privaten Schlüssel oder den Sitzungsschlüssel ermittelt. Gelingt dem Angreifer die Ermittlung des Schlüssels, kann er den Schlüssel zum Entschlüsseln verschlüsselter Daten ohne Wissen des Absenders verwenden.
Skype for Business Server verwendet die PKI-Features im Windows Server-Betriebssystem, um die Schlüsseldaten zu schützen, die für die Verschlüsselung für TLS-Verbindungen (Transport Layer Security) verwendet werden. Die für die Medienverschlüsselung verwendeten Schlüssel werden über TLS-Verbindungen ausgetauscht.
Denial-of-Service-Angriff auf das Netzwerk
Bei einem Denial-of-Service-Angriff werden die normale Netzwerknutzung und -funktion durch legitime Nutzer vom Angreifer verhindert. Hierbei überfluten Angreifer den Dienst mit legitimen Anforderungen, sodass er für die berechtigten Nutzer nicht mehr erreichbar ist. Bei einem Denial-of-Service-Angriff eröffnen sich den Angreifern folgende Möglichkeiten:
Er kann ungültige Daten an Anwendungen und Dienste senden, die in dem angegriffenen Netzwerk ausgeführt werden, um ihre Funktionsweise zu beeinträchtigen.
Er kann große Datenmengen senden, um das System zu überlasten, bis es nicht mehr oder nur noch verzögert auf legitime Anforderungen reagiert.
Er kann die Spuren seines Angriffs vertuschen.
Er kann Benutzer vom Zugriff auf die Netzwerkressourcen abhalten.
Abhöraktionen ("Sniffing", "Snooping")
Abhöraktionen sind Aktionen, bei denen sich Angreifer Zugriff auf den Datenpfad in einem Netzwerk verschaffen und anschließend den Datenverkehr überwachen und lesen können. Dies wird auch als „Schnüffeln“ (auch „Lauschangriff“, englisch Sniffing oder Snooping) bezeichnet. Wenn der Datenverkehr aus reinem Text besteht, können Angreifer ihn lesen, sobald sie Zugriff auf den Pfad haben. Ein Beispiel wäre ein Angriff, bei dem ein Router auf dem Datenpfad kontrolliert wird.
Die Standardempfehlung und -einstellung für Datenverkehr innerhalb Skype for Business Server besteht darin, gegenseitiges TLS (MTLS) zwischen vertrauenswürdigen Servern und TLS von Client zu Server zu verwenden. Diese Schutzmaßnahme macht einen derartigen Angriff innerhalb der Zeitspanne, in der eine Unterhaltung erfolgt, äußerst schwer oder unmöglich. Mit TLS werden alle Parteien authentifiziert und der gesamte Datenverkehr wird verschlüsselt. Damit können Abhöraktionen nicht verhindert werden, aber Angreifer können den Datenverkehr nicht lesen, es sei denn, die Verschlüsselung geht verloren.
Das TURN-Protokoll (Traversal Using Relay NAT) schreibt keine Verschlüsselung des Datenverkehrs vor, und die gesendeten Informationen sind durch die Nachrichtenintegrität geschützt. Obwohl es für Lauschangriffe offen ist, können die gesendeten Informationen (d. h. die IP-Adressen und der Port) direkt extrahiert werden, indem einfach die Quell- und Zieladressen der Pakete betrachtet werden. Der A/V-Edgedienst stellt sicher, dass die Daten gültig sind, indem die Nachrichtenintegrität der Nachricht mithilfe des Schlüssels überprüft wird, der von einigen Elementen abgeleitet wird, einschließlich eines TURN-Kennworts, das nie in Klartext gesendet wird. Wenn SRTP (Secure Real Time Protocol) verwendet wird, wird der Mediendatenverkehr ebenfalls verschlüsselt.
Identitätsspoofing (IP-Adresse und Spoofing der Anrufer-ID)
Identitätsspoofing tritt auf, wenn der Angreifer eine Telefonnummer eines gültigen Benutzers (Anrufer-ID) oder eine IP-Adresse eines Netzwerks, Computers oder einer Netzwerkkomponente ermittelt und verwendet, ohne dazu autorisiert zu sein. Ein erfolgreicher Angriff ermöglicht es dem Angreifer, so zu agieren, als wäre der Angreifer die Entität, die normalerweise durch die Telefonnummer (Anrufer-ID) oder die IP-Adresse identifiziert wird.
Im Kontext von Skype for Business Server kommt IP-Adressspoofing nur dann ins Spiel, wenn ein Administrator beides getan hat:
Er hat Verbindungen konfiguriert, die nur TCP (Transmission Control Protocol) unterstützen. (Dies ist nicht zu empfehlen, da die TCP-Kommunikation unverschlüsselt ist.)
Er hat die IP-Adressen dieser Verbindungen als vertrauenswürdige Hosts markiert.
Dies ist für TLS-Verbindungen (Transport Layer Security) weniger ein Problem, da TLS alle Parteien authentifiziert und den gesamten Datenverkehr verschlüsselt. Die Verwendung von TLS verhindert Spoofingangriffe auf bestimmte Verbindungen (Mutual TLS-Verbindungen). Ein Angreifer könnte jedoch weiterhin die Adresse des DNS-Servers spoofen, der Skype for Business Server verwendet. Da die Authentifizierung in Skype for Business jedoch mit Zertifikaten erfolgt, verfügt ein Angreifer nicht über ein gültiges Zertifikat, das zum Spoofen einer der Parteien in der Kommunikation erforderlich ist.
Auf der anderen Seite kommt Das Spoofing der Anrufer-ID ins Spiel, wenn Sie einen SIP-Trunk zwischen einem Anbieter, einem PSTN-Gateway oder einem anderen PBX-System und Skype for Business Server eingerichtet haben. In diesen Fällen bietet Skype for Business Server keinen Schutz vor Spoofing der Anrufer-ID. Dies bedeutet, dass ein Skype for Business Benutzer einen Anruf aus dem SIP-Trunk mit einer gefälschten Anrufer-ID empfangen kann, die die Telefonnummer oder den Anzeigenamen (falls umgekehrte Nummernsuche zutrifft) eines anderen Skype for Business Benutzers anzeigt. Der Schutz darauf sollte auf der Anbieterseite, pstn oder pbX-Gateway angewendet werden.
Man-in-the-Middle-Angriff
Von einem "Man-in-the-Middle-Angriff" spricht man, wenn Angreifer die Kommunikation zwischen zwei Nutzern ohne deren Wissen über ihren eigenen Computer leiten. Die Angreifer können die übertragenen Daten überwachen und lesen, ehe sie an den eigentlichen Empfänger weitergeleitet werden. Beide Kommunikationspartner senden unwissentlich Daten an die Angreifer und empfangen von ihnen Daten, sind aber dabei in dem Glauben, ausschließlich mit der beabsichtigten Person zu kommunizieren. Dies kann passieren, wenn es Angreifern gelingt, die Active Directory-Domänendienste so zu ändern, dass ihr Server als vertrauenswürdiger Server hinzugefügt wird, oder wenn sie den DNS-Eintrag (Domain Name System) so ändern können, dass Clients auf ihrem Weg zum Server über den Computer der Angreifer geleitet werden. Ein Man-in-the-Middle-Angriff kann auch bei Mediendatenverkehr zwischen zwei Clients erfolgen, wobei jedoch in skype16_server_short Point-to-Point-Audio-, Video- und Anwendungsfreigabe-Datenströme mit dem Secure Real-Time Transport Protocol (SRTP) verschlüsselt werden. Bei Skype for Business Server Punkt-zu-Punkt-Audio-, Video- und Anwendungsfreigabe werden Datenströme jedoch mit SRTP verschlüsselt, wobei kryptografische Schlüssel verwendet werden, die zwischen den Peers ausgehandelt werden, die sip (Session Initiation Protocol) über TLS verwenden. Server wie Gruppenchat nutzen HTTPS zur Erhöhung der Sicherheit des Webdatenverkehrs.
Angriff mit Aufzeichnungswiederholung (RTP-Datenverkehr)
Ein Replay-Angriff liegt vor, wenn eine gültige Medienübertragung zwischen zwei Parteien abgefangen und für böswillige Zwecke erneut übertragen wird. SRTP, das in Verbindung mit einem sicheren Signalisierungsprotokoll verwendet wird, schützt Übertragungen vor Replay-Angriffen, indem es dem Empfänger ermöglicht, einen Index der bereits empfangenen RTP-Pakete zu verwalten und jedes neue Paket mit den bereits im Index aufgeführten Paketen zu vergleichen.
SPIM (Spam over Instant Messaging)
Spim sind unaufgeforderte kommerzielle Chatnachrichten oder Anwesenheitsabonnementanforderungen. Das an sich ist zwar keine Kompromittierung des Netzwerks, aber es ist dennoch mindestens ärgerlich, kann Ressourcenverfügbarkeit und Produktion verringern und möglicherweise zu einer Beeinträchtigung des Netzwerks führen. Ein Beispiel dafür sind Angreifer, die sich gegenseitig durch das Senden von Anforderungen überbieten. Benutzer können sich gegenseitig blockieren, um dies zu verhindern, aber in einem Partnerverbund kann dies schwierig sein, wenn ein koordinierter Spim-Angriff erfolgt, sei denn, Sie deaktivieren den Verbund für den Partner.
Viren und Würmer
Ein Virus ist eine Codeeinheit, deren Zweck die Reproduktion zusätzlicher, ähnlicher Codeeinheiten ist. Ein Virus benötigt, um zu funktionieren, einen Host, z. B. eine Datei, eine E-Mail oder ein Programm. Ein Wurm ist eine Codeeinheit, deren Zweck darin besteht, zusätzliche, ähnliche Codeeinheiten zu reproduzieren, aber keinen Host benötigt. Viren und Würmer treten vor allem bei Dateiübertragungen zwischen Clients oder beim Versenden von URLs von anderen Benutzern auf. Wenn sich ein Virus auf Ihrem Computer befindet, kann er beispielsweise Ihre Identität verwenden und Sofortnachrichten in Ihrem Namen versenden.
Informationen zur Identifikation von Personen
Skype for Business Server hat das Potenzial, Informationen über ein öffentliches Netzwerk offenzulegen, die möglicherweise mit einer Person verknüpft werden können. Bei diesen Informationen kann es sich um zwei Kategorien von Angaben handeln:
Erweiterte Anwesenheitsdaten Erweiterte Anwesenheitsdaten sind Informationen, die ein Benutzer über einen Link für einen Verbundpartner oder mit Kontakten innerhalb eines organization freigeben oder nicht freigeben kann. Diese Daten werden nicht an Benutzer in einem öffentlichen IM-Netzwerk weitergegeben. Client-Richtlinien und andere Client-Konfigurationen können dem Systemadministrator eine gewisse Kontrolle verschaffen. In Skype for Business Server kann der erweiterte Anwesenheits-Datenschutzmodus für einen einzelnen Benutzer konfiguriert werden, um zu verhindern, dass Skype for Business Benutzer, die sich nicht in der Kontaktliste des Benutzers befinden, die Anwesenheitsinformationen des Benutzers sehen. Der erweiterte Anwesenheitsschutzmodus verhindert nicht, dass Benutzer von Microsoft Office Communicator 2007 und Microsoft Office Communicator 2007 R2 die Anwesenheitsinformationen eines Benutzers sehen. Ausführliche Informationen zum Bereitstellen des Clients und der Anwesenheit finden Sie unter Bereitstellen von Clients für Skype for Business Server und Planen von Instant Messaging und Anwesenheit in Skype for Business Server.
Obligatorische Daten Obligatorische Daten sind für den ordnungsgemäßen Betrieb des Servers oder clients erforderlich und stehen NICHT unter der Kontrolle der Client- oder Systemverwaltung. Es handelt sich um Informationen, die auf Server- oder Netzwerkebene für das Routing, die Statuspflege und die Signalübermittlung erforderlich sind.
In den folgenden Tabellen wird angegeben, welche Daten über ein öffentliches Netzwerk offengelegt werden.
Erweiterte Anwesenheitsdaten
| Offengelegte Daten | Mögliche Einstellungen |
|---|---|
| Persönliche Daten |
Name, Titel, Unternehmen, E-Mail-Adresse, Zeitzone |
| Telefonnummern |
Geschäftlich, mobil, privat |
| Kalenderdaten |
Frei/Gebucht, Abwesenheitsmitteilung, Besprechungsdetails (für Personen mit Zugriff auf Ihren Kalender) |
| Anwesenheitsstatus |
Abwesend, verfügbar, gebucht, nicht stören, offline |
Pflichtdaten
| Offengelegte Daten | Beispieldaten |
|---|---|
| IP-Adresse |
Tatsächliche Computer- oder NAT-Adresse |
| SIP-URI |
jeremylos@litwareinc.com |