Netzwerkprotokolle – gefährlicher als gedacht

Sie legen Verbindungs- und Kommunikationsregeln fest und erscheinen dadurch harmlos. Doch der Schein trügt – denn sie sind häufig auch eine Quelle für Verluste und bereiten den Verantwortlichen deshalb regelmäßig Kopfschmerzen. Optimistisch betrachtet könnte man sie auch als eine Art Thermometer für die Entwicklungsstufe der Cybersicherheit von Organisationen bezeichnen.

Die Rede ist von Netzwerkprotokollen. Hinter ihnen steht der Mechanismus, der die Kommunikation vernetzter Geräte und Dienste gewährleistet – aber sie sind auch für einen entscheidenden Teil der Netzsicherheit verantwortlich. Hier liegt der neuralgische Punkt in Sachen Cybersicherheit: Denn wenn die Protokolle falsch konfiguriert oder nicht häufig genug aktualisiert werden, können sie ungewollt Daten, Benutzer und das gesamte Netzwerk gefährden. Und das ebnet auch Cyberkriminellen den Weg.

Viele weit verbreitete Protokolle wurden vor Jahrzehnten entwickelt – lange bevor die moderneren Methoden für Übergriffe und der Cyberkriminalität aufkamen, wie z. B. die Ransomware-Angriffe der heutigen Zeit. Dadurch entstehen Schwachstellen, welche die Sicherheit von Netzwerkdiensten gefährden können, wenn sie nicht behoben werden.

Das eigentliche Problem liegt aber nicht in der Verwendung solcher Protokolle, wie ein aktueller Bericht von ExtraHop zeigt: Denn wenn vernetzte Geräte, die diese Technologien nutzen, richtig konfiguriert – d. h. die Ports richtig geschützt – sind, besteht für das Unternehmen kaum ein Risiko. Mit Port sind dabei Kennungen gemeint, die eindeutig einem Punkt der Verbindung zugewiesen sind, an dem Daten über das Netzwerk laufen, um an einen bestimmten Dienst weitergeleitet zu werden. Aus verschiedenen Gründen bleiben jedoch viele dieser Ports offen und kommunizieren mit jedem beliebigen Punkt im Internet – auch mit böswilligen Angreifern.

Diese Aggressoren verwenden häufig Scanning-Tools, mit denen sie Testnachrichten an Ports senden, die üblicherweise offengelassen werden. Über die Analyse der Antworten lässt sich dann feststellen, wie das Netz konfiguriert ist und welche Angriffsmöglichkeiten es gibt. Daraus ergibt sich auch der eingangs erwähnte Vergleich mit einem Thermometer, an dem der Reifegrad des Netzwerkschutzes ablesbar ist. „Ports und Protokolle sind im Wesentlichen Öffnungen und Korridore, die Angreifer verwenden, um schlecht geschützte Netzwerke auszunutzen“, heißt es in dem Bericht.

Um diese Angriffsrisiken zu verringern, untersuchten die Forscher von ExtraHop die Verbreitung sensibler Protokolle. Dabei analysierten sie vier Arten von Protokollen: Dateiserverprotokolle, Verzeichnisprotokolle, Datenbankprotokolle und Fernsteuerungsprotokolle.

Und die Ergebnisse waren gar nicht übel: Die Gesamtzahl der Geräte mit anfälligen Protokollen war im Allgemeinen gering. Problematisch ist jedoch, dass es sich bei den gefährdeten Geräten in der Regel um Server oder Geräte handelt, die für wichtige oder kritische Ressourcen zuständig sind. Außerdem reicht bereits ein anfälliges Gerät als Einstiegspunkt für Cyberkriminelle aus, um das gesamte Netzwerk zu kompromittieren.

In der Klasse der Dateiserver hat ExtraHop bei seiner Prüfung von Unternehmensnetzwerken beispielsweise festgestellt, dass das SMB-Protokoll (Server Message Block) 64 der 10.000 untersuchten Geräte dem Internet ausgesetzt hat. In Windows-Umgebungen ist SMB ein häufiger Angriffsvektor. Es gibt drei Versionen, die unter den Bezeichnungen SMBv1, SMBv2 und SMBv3 bekannt sind. Die erste Version ist notorisch unsicher: Laut dem Bericht handelt es sich dabei um das Protokoll, das die WannaCry- und NotPetya-Malware-Varianten nutzen, um in Netzwerke einzudringen. Eine aktuelle ExtraHop-Umfrage ergab, dass 68 % der Unternehmen allerdings immer noch SMBv1 verwenden.

In der Klasse der Verzeichnisprotokolle, die die Suche nach Informationen über Benutzer und Ressourcen im Netzwerk ermöglichen, ist Active Directory (AD) einer der beliebtesten Dienste. Er wurde von Microsoft entwickelt und ist proprietär. Für den Zugriff auf AD werden zwei Protokolle verwendet: LDAP (Lightweight Directory Access Protocol) und Kerberos. Windows-Systeme verwenden LDAP, um nach Benutzernamen im AD zu suchen. Standardmäßig werden diese Abfragen im Klartext durchgeführt. Das gibt Angreifern die Möglichkeit, Benutzernamen aufzudecken und in im Anschluss Brute-Force-Angriffe durchzuführen, um Namens- und Passwortübereinstimmungen zu generieren.

Wenn möglich empfiehlt ExtraHop, Geräte so zu konfigurieren, dass die Abfrage und der Empfang der Antworten mit LDAPS verschlüsselt erfolgen. Nach den Erkenntnissen von ExtraHop setzte das LDAP-Protokoll 13 der 10.000 untersuchten Geräte dem Internet aus – Kerberos dagegen nur vier.

In der Klasse der Datenbankprotokolle fand ExtraHop außerdem heraus, dass TDS (Tabular Data Stream) 3 von 10.000 untersuchten Geräten dem Internet preisgab. Dieses von Microsoft entwickelte Protokoll überträgt Daten im Klartext und ist damit anfällig für Abhörmaßnahmen. Um zu verhindern, dass Authentifizierungsdaten entdeckt werden, sollte der TDS-Datenverkehr in das HTTPS-Protokoll integriert werden. Eine weitere bewährte Praxis besteht darin, von Clients und Datenbankservern stets die Verwendung einer verschlüsselten Version von TDS zu verlangen.

In der Klasse der Fernsteuerungsprotokolle stellte ExtraHop schließlich fest, dass SSH (Secure Shell) 32 der 10.000 analysierten Geräte dem Internet aussetzt. Laut Angabe der Forscher handelt es sich hierbei um ein gut durchdachtes Protokoll mit angemessener Verschlüsselung für den sicheren Fernzugriff auf Geräte. Es ist auf allen Linux-Distributionen und auch auf anderen Betriebssystemen verfügbar. Da es weit verbreitet ist, wird es allerdings auch häufig angegriffen. Um das Protokoll zu schützen, sollte es deshalb immer auf dem neuesten Stand gehalten werden.

Um die die entsprechenden Schritte für eine gut vorbereitete Cybersicherheit einzuleiten, gilt es, die Risiken besser zu verstehen: Empfehlungen zur Analyse von Netzwerkkonfigurationen, Geräten und Datenverkehrsmustern, finden Sie hier.