Checkliste: Wie Sie ihr Data Center und Netzwerk richtig sichern

Mit Wireshark lässt sich die richtige Firewall-Konfiguration testen und Angriffe blockieren. Unser Experte zeigt Anwendungsbeispiele für Wireshark.

Durch Netzwerke fließen viele Datenpakete, die eine potentielle Gefahr sein können. Ein Umstand den jeder beachten sollte, der sich mit IT-Security beschäftigt.

IT-Security-Mitarbeiter sind dafür verantwortlich, täglich Millionen Datenpakete zu bändigen. Als gefährlich eingestufte Pakete müssen blockiert oder anderweitig beseitigt werden. Es gibt zahlreiche Methoden, die sich automatisch darum kümmern. Dazu gehören unter anderem Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) und Web-Applikations-Firewalls. Sind diese Lösungen richtig implementiert, bilden sie eine wirksame Maßnahme gegen bösartigen Traffic.

Dennoch bieten sie keinen hundertprozentigen Schutz und oft kommt es vor, dass Cyberkriminelle diese Verteidigungs-Mechanismen erfolgreich umgehen. Zu häufig bleiben Einbrüche unbemerkt. Für den Kampf mit Angreifern sollten Security-Profis im Umgang mit Wireshark geschult sein.

  • Zwei Capture Points definieren: Einen in der DMZ, den andere hinter der Firewall.

Zunächst sollte sich der Administrator von der Effizienz der Firewall überzeugen. Dazu implementiert er zwei Capture Points an unterschiedlichen Stellen im Netzwerk. Starten Sie eine Aufzeichnung im sogenannten „promiscuous mode“ an einem Durchgangs-Gerät innerhalb der demilitarisierten Zone (DMZ). Dadurch lassen sich alle auf das Netzwerk zukommenden Pakete ungefiltert abfangen. Den zweite Capture Point setzen Sie direkt hinter der Firewall. Je nach Netzwerk-Topologie könnte die Bereitstellung eines Monitoring-Ports nötig sein. Nachdem der Prozess eine bestimmte Zeit abgelaufen ist, speichern sie die Ergebnisse und analysieren diese.

  • Der Vergleich der beiden Ergebnisse verrät etwas über die Effizienz der Firewall.

Vergleichen Sie die beiden Captures im Bezug auf die konfigurierten Regeln in der Firewall und suchen Sie nach Unstimmigkeiten. Zum Beispiel sind viele Firewalls so konfiguriert, dass jeder Telnet-Traffic auf TCP-Port 23 blockiert wird. Ein Angreifer könnte versuchen, von außerhalb eine Verbindung über diesen Port zu einem internen Gerät herzustellen. Sehen Sie sich zunächst das Capture aus der DMZ an und stellen sicher, dass die Telnet-Anfrage definitiv in Richtung Firewall ging. Gleichen Sie es anschließend mit der internen Aufzeichnung ab und tippen „telnet“ in das entsprechende Filter-Feld. Führen sie den Filter aus. Sollte Wireshark Telnet-Traffic verzeichnen, ist die Überprüfung der Firewall-Konfiguration notwendig.

  • Der Telnet-Test zeigt wahrscheinlich kein Ergebnis. Es ist aber ein guter Ansatz, um die Methode kennenzulernen.

Erfahrene Security-Experten erkennen, dass der beschriebene Telnet-Test einfach ist. Daher zeigt er wahrscheinlich keine Ergebnisse an. Selbst einfache, aber moderne Firewalls blockieren in der Regel unsichere Protokolle wie zum Beispiel Telnet und FTP. Um die Methode kennenzulernen, ist der Telnet-Test allerdings ein guter Anfang. Starten Sie die beiden Aufzeichnungen neu und tauchen Sie tiefer in die Materie ein.

  • Netzwerk-Ports in alle Richtungen absichern.

Stoppen Sie die Captures nach einer Weile und speichern die entsprechenden PCAP-Dateien. Hat das Netzwerk, auf dem die Aufzeichnungen ausgeführt wurden, Internet-Zugriff, wird die Anzahl der aufgezeichneten Pakete hoch sein.

Die meisten Unternehmen haben eine Website, die auf zwei Möglichkeiten betrieben wird. Entweder hat die Firma einen eigenen Web-Server auf dem wahrscheinlich Port 80 geöffnet ist. Da HTTP-Traffic via Port 80 keine Authentifizierung fordert, manipulieren Cyberkriminelle häufig HTTP-Pakete. Damit spazieren sie praktisch durch die Vordertür, um an das Diebesgut zu gelangen. HTTP-Paketen ist in den meisten Firewalls ein Durchgang erlaubt. Deswegen versuchen viele Angreifer auf diese Weise in das Netzwerk einzubrechen.

Zum Beispiel könnte ein Cyberkrimineller ein HTTP-Paket so manipulieren, dass der Web-Server mit sensiblen Daten antwortet. Diese sollten einem Anwender normalerweise nicht zugänglich sein. Ein Angreifer könnte einen Pfad-Namen mit einem Wildcard Character (Stellvertreterzeichen) einspeisen. Der entsprechende Knoten wird in diesem Fall angewiesen, alle Dateien in einem bestimmten Verzeichnis zu senden. Eine bösartige HTTP-GET-Methode sieht wie folgt aus:

GET /complete_table/*.html HTTP/1.1\r\n

Nehmen wir an, die Firewall ist nicht für die Ausführung so genannter „Deep-Packet Inspection“ des Web-Traffics konfiguriert. In diesem Fall könnte die Anfrage dazu führen, dass der Endanwender alle HTML-Dateien im Verzeichnis /complete_table/ sieht. Tippen Sie in das entsprechende Filter-Feld der internen Wireshark-Aufzeichnung:

http.request.method==GET && http.request.uri=="/complete_table/*"

Ersetzen Sie /complete_table/* mit dem Pfad, der die Dateien enthält, auf die via HTTP zugegriffen wurde. Ist der Web-Server Linux-basiert, könnte der Pfad wie folgt aussehen:

/var/www/your_files*

Der spezielle Eintrag gefolgt vom Feld http.request.uri unterscheidet sich von Netzwerk zu Netzwerk. Entscheidend ist aber, nach Stellvertretersymbolen wie zum Beispiel * zu suchen, die verdächtig erscheinen. Sollten Sie diese Symbole finden, starten Sie weitere Untersuchungen bis es eine logische Erklärung gibt.

Firewalls und andere Schutzmechanismen für das Netzwerk unterscheiden sich. Manche Technologien sind qualitativ besser, komplex konfigurierbar und hochperformant. Andere dienen in erster Linie als Übergangslösung. Was auch immer für Abwehrmechanismen verwendet werden, die Intuition der Sicherheitsmitarbeiter bleibt weiterhin eine Konstante bei der Analyse des Netzwerks und der Bekämpfung von Angriffen.

Artikel wurde zuletzt im Dezember 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Data-Center-Systems-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close