{"id":5677,"date":"2022-08-12T08:40:21","date_gmt":"2022-08-12T08:40:21","guid":{"rendered":"https:\/\/network-king.net\/netzwerkprotokolle-gefaehrlicher-als-gedacht\/"},"modified":"2022-08-12T08:42:00","modified_gmt":"2022-08-12T08:42:00","slug":"netzwerkprotokolle-gefaehrlicher-als-gedacht","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/netzwerkprotokolle-gefaehrlicher-als-gedacht\/","title":{"rendered":"Netzwerkprotokolle \u2013 gef\u00e4hrlicher als gedacht"},"content":{"rendered":"\n

Sie legen Verbindungs- und Kommunikationsregeln fest und erscheinen dadurch harmlos. Doch der Schein tr\u00fcgt \u2013 denn sie sind h\u00e4ufig auch eine Quelle f\u00fcr Verluste und bereiten den Verantwortlichen deshalb regelm\u00e4\u00dfig Kopfschmerzen. Optimistisch betrachtet k\u00f6nnte man sie auch als eine Art Thermometer f\u00fcr die Entwicklungsstufe der Cybersicherheit von Organisationen bezeichnen.<\/p>\n\n\n\n

Die Rede ist von Netzwerkprotokollen. Hinter ihnen steht der Mechanismus, der die Kommunikation vernetzter Ger\u00e4te und Dienste gew\u00e4hrleistet \u2013 aber sie sind auch f\u00fcr einen entscheidenden Teil der Netzsicherheit verantwortlich. Hier liegt der neuralgische Punkt in Sachen Cybersicherheit: Denn wenn die Protokolle falsch konfiguriert oder nicht h\u00e4ufig genug aktualisiert werden, k\u00f6nnen sie ungewollt Daten, Benutzer und das gesamte Netzwerk gef\u00e4hrden. Und das ebnet auch Cyberkriminellen den Weg.<\/p>\n\n\n\n

Viele weit verbreitete Protokolle wurden vor Jahrzehnten entwickelt \u2013 lange bevor die moderneren Methoden f\u00fcr \u00dcbergriffe und der Cyberkriminalit\u00e4t aufkamen, wie z. B. die Ransomware-Angriffe der heutigen Zeit. Dadurch entstehen Schwachstellen, welche die Sicherheit von Netzwerkdiensten gef\u00e4hrden k\u00f6nnen, wenn sie nicht behoben werden.<\/p>\n\n\n\n

Das eigentliche Problem liegt aber nicht in der Verwendung solcher Protokolle, wie ein aktueller Bericht von ExtraHop<\/a> zeigt: Denn wenn vernetzte Ger\u00e4te, die diese Technologien nutzen, richtig konfiguriert \u2013 d. h. die Ports richtig gesch\u00fctzt \u2013 sind, besteht f\u00fcr das Unternehmen kaum ein Risiko. Mit Port sind dabei Kennungen gemeint, die eindeutig einem Punkt der Verbindung zugewiesen sind, an dem Daten \u00fcber das Netzwerk laufen, um an einen bestimmten Dienst weitergeleitet zu werden. Aus verschiedenen Gr\u00fcnden bleiben jedoch viele dieser Ports offen und kommunizieren mit jedem beliebigen Punkt im Internet \u2013 auch mit b\u00f6swilligen Angreifern.<\/p>\n\n\n\n

Diese Aggressoren verwenden h\u00e4ufig Scanning-Tools, mit denen sie Testnachrichten an Ports senden, die \u00fcblicherweise offengelassen werden. \u00dcber die Analyse der Antworten l\u00e4sst sich dann feststellen, wie das Netz konfiguriert ist und welche Angriffsm\u00f6glichkeiten es gibt. Daraus ergibt sich auch der eingangs erw\u00e4hnte Vergleich mit einem Thermometer, an dem der Reifegrad des Netzwerkschutzes ablesbar ist. \u201ePorts und Protokolle sind im Wesentlichen \u00d6ffnungen und Korridore, die Angreifer verwenden, um schlecht gesch\u00fctzte Netzwerke auszunutzen\u201c, hei\u00dft es in dem Bericht.<\/p>\n\n\n\n

Um diese Angriffsrisiken zu verringern, untersuchten die Forscher von ExtraHop die Verbreitung sensibler Protokolle. Dabei analysierten sie vier Arten von Protokollen: Dateiserverprotokolle, Verzeichnisprotokolle, Datenbankprotokolle und Fernsteuerungsprotokolle.<\/p>\n\n\n\n

Und die Ergebnisse waren gar nicht \u00fcbel: Die Gesamtzahl der Ger\u00e4te mit anf\u00e4lligen Protokollen war im Allgemeinen gering. Problematisch ist jedoch, dass es sich bei den gef\u00e4hrdeten Ger\u00e4ten in der Regel um Server oder Ger\u00e4te handelt, die f\u00fcr wichtige oder kritische Ressourcen zust\u00e4ndig sind. Au\u00dferdem reicht bereits ein anf\u00e4lliges Ger\u00e4t als Einstiegspunkt f\u00fcr Cyberkriminelle aus, um das gesamte Netzwerk zu kompromittieren.<\/p>\n\n\n

\n
\"Tabelle
Quelle: ExtraHop<\/figcaption><\/figure>\n<\/div>\n\n\n

In der Klasse der Dateiserver hat ExtraHop bei seiner Pr\u00fcfung von Unternehmensnetzwerken beispielsweise festgestellt, dass das SMB-Protokoll (Server Message Block) 64 der 10.000 untersuchten Ger\u00e4te dem Internet ausgesetzt hat. In Windows-Umgebungen ist SMB ein h\u00e4ufiger Angriffsvektor. Es gibt drei Versionen, die unter den Bezeichnungen SMBv1, SMBv2 und SMBv3 bekannt sind. Die erste Version ist notorisch unsicher: Laut dem Bericht handelt es sich dabei um das Protokoll, das die WannaCry- und NotPetya-Malware-Varianten nutzen, um in Netzwerke einzudringen. Eine aktuelle ExtraHop-Umfrage<\/a> ergab, dass 68 % der Unternehmen allerdings immer noch SMBv1 verwenden.<\/p>\n\n\n\n

In der Klasse der Verzeichnisprotokolle, die die Suche nach Informationen \u00fcber Benutzer und Ressourcen im Netzwerk erm\u00f6glichen, ist Active Directory (AD) einer der beliebtesten Dienste. Er wurde von Microsoft entwickelt und ist propriet\u00e4r. F\u00fcr den Zugriff auf AD werden zwei Protokolle verwendet: LDAP (Lightweight Directory Access Protocol) und Kerberos. Windows-Systeme verwenden LDAP, um nach Benutzernamen im AD zu suchen. Standardm\u00e4\u00dfig werden diese Abfragen im Klartext durchgef\u00fchrt. Das gibt Angreifern die M\u00f6glichkeit, Benutzernamen aufzudecken und in im Anschluss Brute-Force-Angriffe durchzuf\u00fchren, um Namens- und Passwort\u00fcbereinstimmungen zu generieren.<\/p>\n\n\n\n

Wenn m\u00f6glich empfiehlt ExtraHop, Ger\u00e4te so zu konfigurieren, dass die Abfrage und der Empfang der Antworten mit LDAPS verschl\u00fcsselt erfolgen. Nach den Erkenntnissen von ExtraHop setzte das LDAP-Protokoll 13 der 10.000 untersuchten Ger\u00e4te dem Internet aus \u2013 Kerberos dagegen nur vier.<\/p>\n\n\n\n

In der Klasse der Datenbankprotokolle fand ExtraHop au\u00dferdem heraus, dass TDS (Tabular Data Stream) 3 von 10.000 untersuchten Ger\u00e4ten dem Internet preisgab. Dieses von Microsoft entwickelte Protokoll \u00fcbertr\u00e4gt Daten im Klartext und ist damit anf\u00e4llig f\u00fcr Abh\u00f6rma\u00dfnahmen. Um zu verhindern, dass Authentifizierungsdaten entdeckt werden, sollte der TDS-Datenverkehr in das HTTPS-Protokoll integriert werden. Eine weitere bew\u00e4hrte Praxis besteht darin, von Clients und Datenbankservern stets die Verwendung einer verschl\u00fcsselten Version von TDS zu verlangen.<\/p>\n\n\n\n

In der Klasse der Fernsteuerungsprotokolle stellte ExtraHop schlie\u00dflich fest, dass SSH (Secure Shell) 32 der 10.000 analysierten Ger\u00e4te dem Internet aussetzt. Laut Angabe der Forscher handelt es sich hierbei um ein gut durchdachtes Protokoll mit angemessener Verschl\u00fcsselung f\u00fcr den sicheren Fernzugriff auf Ger\u00e4te. Es ist auf allen Linux-Distributionen und auch auf anderen Betriebssystemen verf\u00fcgbar. Da es weit verbreitet ist, wird es allerdings auch h\u00e4ufig angegriffen. Um das Protokoll zu sch\u00fctzen, sollte es deshalb immer auf dem neuesten Stand gehalten werden.<\/p>\n\n\n\n

Um die die entsprechenden Schritte f\u00fcr eine gut vorbereitete Cybersicherheit einzuleiten, gilt es, die Risiken besser zu verstehen: Empfehlungen zur Analyse von Netzwerkkonfigurationen, Ger\u00e4ten und Datenverkehrsmustern,<\/strong> finden Sie hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Sie legen Verbindungs- und Kommunikationsregeln fest und erscheinen dadurch harmlos. Doch der Schein tr\u00fcgt \u2013 denn sie sind h\u00e4ufig auch eine Quelle f\u00fcr Verluste und bereiten den Verantwortlichen deshalb regelm\u00e4\u00dfig Kopfschmerzen. Optimistisch betrachtet k\u00f6nnte man sie auch als eine Art Thermometer f\u00fcr die Entwicklungsstufe der Cybersicherheit von Organisationen bezeichnen. Die Rede ist von Netzwerkprotokollen. Hinter…<\/p>\n","protected":false},"featured_media":5671,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[70],"tags":[],"company":[],"topic":[],"class_list":["post-5677","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-network"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/5677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=5677"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/5671"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=5677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=5677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=5677"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=5677"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=5677"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=5677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}