Haftungsausschluss: Dieser Beitrag dient ausschließlich Bildungs- und Informationszwecken. Die hier gezeigten Informationen und Angriffe dürfen niemals für illegale Zwecke oder auf Systemen, für die keine explizite Erlaubnis eingeräumt wurde, verwendet werden. Solche Handlungen können gegen geltende Gesetze verstoßen und schwerwiegende rechtliche Konsequenzen nach sich ziehen.

Zusammenfassung

Dieser Eintrag unserer SecCore Essential Serie behandelt Sicherheitsaspekte im Netzwerk-Layer von Unternehmensnetzwerken. Diese Schicht ist entscheidend dafür, dass sich Angriffe nicht weiter ausbreiten können und Bewegungen im Netzwerk eingeschränkt werden. Um dieses SecCore Essential zu implementieren müssen die folgenden Einstellungen erfüllt sein:

  • Es muss zumindest die folgende VLAN-Struktur implementiert sein:
    • Office VLAN: Standard-Endpoints (Clients, Workstations, Laptops)
    • Untrusted Devices VLAN: Drucker, IoT-Geräte etc.
    • Server VLAN: Dienste wie Dateiserver, Anwendungsserver und Datenbanken
    • Management VLAN: Administrative Systeme wie Monitoring, Jump-Hosts und Management-Oberflächen
    • DMZ VLAN (wenn nötig): Systeme, die aus dem Internet erreichbar sind (z.B. Webserver, Email-Gateways, VPN-Endpunkte)
  • Mindestens die folgenden Stateful-Firewallregeln (ACL) zwischen diesen VLANs sollten konfiguriert werden:
    • Server VLAN → Office VLAN: DENY all connections
      • Server dürfen keine Verbindungen zu Clients herstellen
    • Untrusted Devices VLAN → Any VLAN: DENY all connections
      • Datenverkehr muss auf explizit erlaubte Server (Druckserver) eingeschränkt werden
    • Office VLAN → Management VLAN: DENY all connections
      • Endpoints dürfen nicht auf Management-Infrastruktur zugreifen
    • DMZ VLAN → Any VLAN: DENY all connections
      • DMZ Systeme dürfen nicht auf interne Netzwerke zugreifen
    • Office VLAN → Server VLAN: ALLOW only strictly necessary traffic
      • Applikationsspezifische Server und Ports werden benötigt und müssen freigeschaltet werden
  • Network Access Control (NAC) basierend auf zumindest MAC-Adressen muss implementiert sein

Einleitung

Der Netzwerk-Layer verbindet alle Geräte im Unternehmen. Einige wichtige Maßnahmen müssen hierbei beachtet werden, um Angriffe auf Backup- oder Finanzsysteme zu verhindern.

Häufige Angriffsvektoren

Die folgenden Abschnitte beschreiben mögliche Angriffsvektoren auf den Netzwerk-Layer.

Fehlende Netzwerksegmentierung und ACLs

Ohne Netzwerksegmentierung und Access Control Lists können sich Angriffe uneingeschränkt zwischen allen Geräten im Netzwerk ausbreiten. Diese fehlende logische Trennung ermöglicht es Schadsoftware wie Ransomware, sich schnell zu verbreiten. Dadurch steigt das Risiko von Berechtigungserweiterungen und Datenverlusten erheblich.

Sensible Ressourcen werden unnötigen Risiken ausgesetzt, wenn diese von allen Netzwerken oder Geräten aus erreichbar sind. Schwachstellen können über verschiedene Systeme hinweg ausgenutzt werden. Diese Tatsache ist besonders kritisch für Systeme, die aus dem Internet erreichbar sind. Nur ein einziger Exploit kann ausreichen, um Zugang zum gesamten internen Netzwerk zu erhalten.

Ein sinnvoller Ansatz zur Netzwerksegmentierung könnte wie folgt aussehen:

Network Segmentation Diagram

Anmerkung: Eine generelle DENY-Regel wird hier angenommen. Es werden nur explizit erlaubte Verbindungen im Diagramm dargestellt.

Fehlende Network Access Control

Wenn derzeit keine NAC implementiert ist, können sowohl bösartige Personen als auch unwissende Mitarbeitende beliebige Geräte mit dem internen Netzwerk verbinden. In Umgebungen, in denen Netzwerkports frei zugänglich sind, können Angriffe über Fernzugriffsgeräte (sogenannte Implants) durchgeführt werden, die einfach mit einem Netzwerkport verbunden werden.

Es gibt zwei Möglichkeiten, NAC zu implementieren: mithilfe von MAC-Adressen oder über Zertifikate über 802.1x.

Eine Lösung, welche auf MAC-Adressen basiert bietet nur wenig Schutz vor tatsächlichen Angriffen, kann jedoch gegen Mitarbeitende helfen, die versuchen, einen eigenen Router oder andere Geräte anzuschließen. MAC-Adressen können mit bestimmten Tools einfach kopiert werden, wodurch diese Form der Netzwerkzugriffskontrolle umgangen wird.

Eine NAC, die auf Zertifikaten basiert, ist viel robuster gegen Angriffe, da zunächst ein gültiges Gerätezertifikat erforderlich ist. Auch wenn 802.1x nicht absolut sicher ist, erfordert das Umgehen dieser Lösung einiges an Aufwand und ein mit dem Netzwerk verbundenes gültiges Gerät. Sie ist daher für die meisten Szenarien ausreichend.

Angriffsszenario

Dieses Szenario beschreibt, wie ein Angriff auf eine einfache NAC-Lösung durchgeführt werden kann, und welche Auswirkungen dies haben kann. Es ist wie folgt aufgebaut:

  • Es wurde keine Netzwerksegmentierung implementiert, alle Geräte befinden sich im selben VLAN
  • Es wurde eine Netzwerkzugriffskontrolle auf MAC-Adressen Basis implementiert
  • Es wurde Zugang zu einem freien Netzwerkport erlangt
  • Es wurde keine Rücksicht auf OPSEC genommen, der direkteste Ansatz wurde gewählt

Um Zugang zum internen Netzwerk zu erlangen, wurde zunächst die MAC-Adresse eines Druckers kopiert:

MAC-Adress-Spoofing-Angriff im internen Netzwerk

Da keine Netzwerksegmentierung implementiert ist, sind alle im Unternehmen verwendeten Server und Dienste einschließlich sensibler und Management-Systeme, erreichbar. Mit dem Tool Nmap1 kann nun ein Port-Scan auf alle erreichbaren Systeme durchgeführt werden: NMAP Scan Die Ausgabe dieses Befehls zeigt interessante Systeme wie openmediavault.lab.local. Hierbei handelt es sich um ein NAS-System welches mit der Open-Source Software OpenMediaVault betrieben wird. Im nächsten Schritt kann versucht werden, auf dieses Systemen mit Standardzugangsdaten zuzugreifen. Diese sind öffentlich im Internet einsehbar: Default Login Nach erfolgreichem Login kann die Konfiguration des Systems ausgelesen und durchsucht werden. Dadurch kann aufgedeckt werden, dass ein Backup-Task konfiguriert wurde, welcher mit einem hinterlegten Domain-Administrator Account ausgeführt wird: Backup Task

Wird der Task geöffnet, kann das Passwort dieses Accounts im Klartext ausgelesen werden: Password in Cleartext Diese Zugangsdaten können nun mit Tools wie NetExec2 verwendet werden, um sich am Domain-Controller anzumelden: Domain Controller Access

Gegenmaßnahmen

Wenn die in der Zusammenfassung genannten Sicherheitsvorkehrungen getroffen werden, hätte dieser Angriff auf mehrere Arten verhindert werden können:

  • Eine NAC-Lösung auf Basis von 802.1x hätte den Zugriff auf das interne Netzwerk effektiv verhindert.
  • Eine Netzwerksegmentierung hätte verhindert, dass auf das sensible Backup-System zugegriffen werden hätte können, selbst wenn die NAC umgangen worden wäre.
  • Da das Backup-System nicht mit der Domäne verbunden gewesen wäre, wären auch keine Zugangsdaten in diesem gespeichert gewesen.