Will der Admin kritische Daten daran hindern, das eigene Unternehmen zu verlassen, dann greift er zu Software, die die Wege nach draußen überwacht und nötigenfalls sperrt. Dieser Artikel zeigt einen Überblick von Netzwerksniffern über Intrusion-Detection-Tools bis hin zur Data Loss Prevention.
Die Daten eines Unternehmens sind diesem zurecht heilig – nicht erst seit PRISM ist bekannt, dass manchmal Daten den Weg aus der eigenen Firma in die Hände Dritter schneller finden, als es den Admins lieb sein darf. Im Kampf gegen Datenlecks und blinde Passagiere helfen dem für die Sicherheit Verantwortlichen zahlreiche Tools und Technologien einen unerwünschten Datenausgang zu erkennen und sukzessive zu verhindern. Dieser Artikel gibt einen Überblick über wichtige Methoden und verweist anhand von Beispielen auf geeignete Lösungen.
Dial-in aus China
Bei der Analyse von Netzwerktraffic gibt es zwei grundverschiedene Ansätze, die bestenfalls teilweise miteinander verwoben sind: Überwachung und (pro-)aktive Maßnahmen. Der Standard ist heute der Mix, also Tools, die den kompletten Datenstrom eines Unternehmens auf verschiedene Parameter erst untersuchen und anschließend Maßnahmen ergreifen. Hier fällt das Stichwort Packet Inspection (PI). Lösungen dieser Art haben den großen Vorteil, dass sie sich zentral umsetzen lassen und nicht von weiteren Komponenten abhängen.
Eine aktuell sehr beliebte Geschichte aus dem Web [1] zeigt exemplarisch erfolgreiche Packet Inspection bei der Arbeit: Ein überlasteter Entwickler, der für mehrere amerikanische Firmen arbeitete, heuerte seinerseits heimlich einen in China lebenden Entwickler an. Der Amerikaner hätte einen ordentlichen Schnitt gemacht, da Arbeitskräfte in China viel billiger als in den USA sind.
Die US-Firma, die den Auftag erteilt hatte, hätte das aus Angst vor Industriespionage natürlich nie erlaubt und beugte dem auch sicherheitstechnisch vor, zum Beispiel mit einem Hardwaretoken-basierten VPN für externe Mitarbeiter. Aber der gewitzte Entwickler hebelte den Schutz aus, indem er den Token-Stick kurzerhand per Post nach China verschickte. So konnte der chinesische Spezialist via VPN die Arbeit auf dem Firmenserver erledigen.
Aufmerksam wurden die Admins des Unternehmens auf die Geschichte nach einiger Zeit aber dennoch. Sie entdeckten nämlich in den Packetflows ihrer Router immer wieder auffällige VPN-Verbindungen nach China – und machten sich auf die Suche nach der undichten Stelle:
IDS, PI, DPI und SPI
Intrusion Detection (ID) und ID-Systeme (IDS) zielen dagegen darauf ab, erfolgreiche Einbrüche zu erkennen: Mit Hilfe von IDS versuchen Admins, anhand vorher festgelegter Parameter Auffälligkeiten auf Systemen zu erkennen. Die ID schlägt Alarm, denn wenn sich beispielsweise die Berechtigungen von Dateien in einem Dateisystem wie von Geisterhand ändern, ist zumindest ein genauerer Blick angesagt.
Eine zuverlässige Erkennung von Angriffen besteht aus der Kombination beider Techniken, einerseits, um auffälligen Netzwerkverkehr zu erkennen, andererseits aber auch, um eventuell kompromittierte Systeme schnell und zuverlässig aus dem Verkehr zu ziehen.
Der Begriff der Packet Inspection ist heute vielerorts nur im Rahmen der “Deep Packet Inspection” geläufig, einer Methode der Datenstrom-Analyse, bei der das Netzwerkequipment selbst den gesamten Datenverkehr analysiert, um aus ihm entsprechende Maßnahmen abzuleiten. So setzen totalitäre Systeme gerne auf DPI: Zwar können auch sie SSH-Verbindungen und SSL-Verschlüsselung nicht wirksam aufbrechen, doch lässt sich mit DPI bereits der Aufbau solcher Verbindungen unterbinden. (Der Handshake des SSL-Verbindungsaufbau wird erkannt und unterbunden.) Der Nachteil: DPI setzt eine spezielle Netzwerkausstattung voraus, deren Anschaffung sich nicht für jedes Unternehmen lohnt. Ähnliches gilt für den mit DPI in Verbindung stehenden administrativen Aufwand.
Eine Alternative zur Deep Packet Inspection per Netzwerkequipment stellt die “Stateful Packet Inspection” dar, die sich üblicherweise mittels Software auf Standardhardware betreiben lässt. Anders als der Name vermuten lässt, kann SPI längst nicht nur mit Stateful-Verbindungen umgehen, beinahe alle Tools behandeln auch UDP-Verbindungen (nicht ganz korrekt) als “stateful”. SPI-Lösungen analysieren die gängigen Datenströme der üblichen Protokolle und bieten somit Funktionalität, die in den meisten Fällen für ausreichenden Schutz sorgt.
Eine Frage der Ebene: NIDS
Eigentlich kann der Admin das zwar auch manuell erledigen, indem er einfach den Output von Tools wie »tcpdump« nutzt, um den gesamten Traffic einzelner Interfaces auf dem Router unter die Lupe zu nehmen. Das aber ist mit viel Arbeit verbunden. Besser klappt es mit Software, die die Analyse von Verbindungsdaten automatisiert und so sehr viel leichter macht. Der bekannteste Vertreter dieser Art ist Snort [2], das “Network Intrusion Detection System” (NIDS), das auch die Möglichkeit bietet, bei potenziellen Angriffen automatisch Gegenmaßnahmen einzuleiten (Network Intrusion Prevention System, NIPS).
Grundsätzlich gilt: Je weiter unten im OSI-Layer-Modell die Untersuchung von Datenströmen ansetzt, desto effizienter funktioniert sie. Snort macht sich diese Eigenschaft zunutze und setzt auf Layer 2 an: Die Empfehlung der Snort-Autoren zielt darauf ab, den Uplink-Port eines Firmengateway mittels Switch-Konfiguration auf einen zweiten Port zu spiegeln, an dem dann ein Server mit aktivem Snort seinen Dienst verrichtet.
Snort kommt mit einer ganzen Menge vordefinierter Checks daher, die gerade im Netz aktive Datenströme für TCP- und UDP-Verbindungen mit bereits bekannten Angriffsmustern (Patterns) vergleichen. Finden sie dabei auffällige Übereinstimmungen, schlägt Snort Alarm. Als Werkzeug für die Protokollanalyse in Netzwerken blickt Snort auf eine lange Geschichte zurück, die Ursprünge des Projekts reichen bis 1998.
DLP
An Admins, die besonders viele Windows-Systeme betreuen, richtet sich die Open Data Loss Prevention Suite (Open DLP, [4], Abbildung 1), die aus zwei Komponenten besteht: Einem Perl-Webfrontend sowie einem Agent speziell für Windows-Systeme, der die ein- und abgehenden Verbindungen nicht nur übersichtlich darstellt, sondern bei Auffälligkeiten auch den Admin alarmiert.

Abbildung 1: Open DLP sucht auf Windows-Hosts in ausgehenden Verbindungen nach bestimmten Patterns und zeigt Zusammenfassungen an.
Die Idee ist, besonders die üblichen Verdächtigen – Viren, die Rechner zu Datentrögen oder Botnet-Zombies machen – schnell und effizient abzufangen. Wer viele Windows-Systeme betreut, sollte sich die Software anschauen, denn angenehmer lassen sich befallene Systeme auf Netzwerkebene kaum identifizieren.
Gegen die Gewohnheit
Zusätzlich zu den NIDS gibt es selbstverständlich auch Host-basierte IDS wie AIDE [5] und LIDS [6], die beispielsweise Rootkits erkennen helfen. Egal wofür sich der Admin entscheidet: Wichtig beim Einsatz von IDS ist ein Faktor, den viele allerdings gerne vergessen: die Gewohnheit.
Die in diesem Artikel vorgestellten Werkzeuge erzeugen fast ausnahmslos ein eher hohes Grundrauschen. AIDE produziert beim Software-Update auf einem überwachten System üblicherweise diverse Warnungen, auch Snort sorgt für viel Traffic in der Mailbox.
Das wird auf Dauer zum gefährlichen Problem: Wenn sich durch etwaige Events die False Positives häufen, stellt sich bei Admins nicht selten eine eher laxe Grundhaltung im Umgang mit solchen Meldungen ein.
So wird der Mensch zur Schwachstelle: Das schönste IDS ist nichts wert, wenn die von ihm produzierten Warnungen ungehört bleiben. Wer ein IDS betreibt, darf das nicht vergessen.
Infos
- CNN: Programmierer “outsourct” seinen eigenen Job nach China: http://edition.cnn.com/2013/01/17/business/us-outsource-job-china
- Snort: http://www.snort.org
- Samhain: http://www.la-samhna.de/samhain/
- Open DLP: http://code.google.com/p/opendlp/
- AIDE: http://aide.sourceforge.net
- LIDS: http://www.lids.org







