Sicherheit im konvergenten Netz
Fortsetzung des Artikels von Teil 1
DoS-Attacke: Nichts geht mehr
Im Gegensatz zu getrennten Netzen für Sprach- und Datenkommunikation trifft eine Denial-of-Service-Attacke das UC-Netz besonders stark, denn die Attacke legt unter Umständen die gesamte Unternehmenskommunikation lahm – beispielsweise durch das Überfluten des Netzes oder entsprechender Dienste. Damit werden in kurzer Zeit so viele Verbindungen aufgebaut oder Anfragen gestellt, dass das betroffene System komplett ausgelastet ist und neue Anfragen nicht mehr aufnimmt. Ein Beispiel für eine DoS-Attacke ist DHCP Starvation. Das Dynamic Host Configuration Protocol (DHCP) teilt Computersystemen automatisch eine Netzwerk-Konfiguration mit. Dazu gehört das Zuweisen einer IP-Adresse an das anfordernde System ebenso wie die Information über Adressen des Standard-Gateways und der DNS-Server. Bei DHCP Starvation versucht ein Angreifer, das komplette Adressgebiet eines DHCP-Servers zu reservieren, sodass kein anderes Endgerät mehr eine IPAdresse beziehen kann. Das verhindert die korrekte Adresskonfiguration und setzt sozusagen durch „Aushungern“ von IPAdressen das gesamte Kommunikationsnetz außer Betrieb.
Mit den entsprechenden Gegenmaßnahmen lassen sich solche Angriffe schnell eindämmen: Mittels DHCP-Snooping lässt sich auf dem Switch die maximale Anzahl von zulässigen DHCP-Anfragen pro Port konfigurieren. Ist diese Zahl überschritten, können automatisch Gegenmaßnahmen, wie das Herunterfahren des Ports, eingeleitet werden. Zusätzlich sind auch die Ports, an denen sich zulässige DHCP-Server befinden, so zu konfigurieren, dass nur von dort DHCP-Offer-Pakete gesendet werden dürfen. DHCP-Offer-Pakete enthalten die IP-Adresskonfiguration für Clients. Diese Methode sorgt auch für den Fall vor, dass absichtlich oder versehentlich weitere DNS-Server in das Unternehmensnetz integriert werden und ungültige Adressen im Netz verteilen. Da auf vielen Geräten standardmäßig ein DHCP-Server konfiguriert ist, reicht oft schon das Anschließen an das Unternehmensnetz aus, um dieses Problem zu verursachen.
ARP Poisoning: Angreifer hört mit
Das Abhören kompletter Telefonate in geswitchten Netzwerken ermöglicht ARP Poisoning: Über das ARP-Protokoll teilen sich Kommunikationspartner gegenseitig die zu ihrer IP-Adresse (OSI-Modell, Schicht 3) passende MAC-Adresse (Schicht 2) mit. Dazu sendet das anfordernde Gerät ein ARP-Request (Address Resolution Protocol) an alle Stationen in einem LAN-Segment. In dieser Anfrage ist die IP-Adresse des angefragten Endgeräts enthalten. Das entsprechende Endgerät antwortet darauf mit einem ARP-Reply, in dem die MACAdresse zu der gefragten IP-Adresse enthalten ist. Der Datenaustausch kann daraufhin stattfinden.
Das ARP-Protokoll besitzt jedoch keinerlei Mechanismen zum Verifizieren dieser Informationen. Mit anderen Worten: Ein Angreifer kann mittels gefälschter ARPPakete behaupten, er besäße eine bestimmte IP-Adresse und so die Kommunikation über seinen eigenen Rechner umleiten. Dazu manipuliert der Angreifer die ARPTabelle der Kommunikationspartner durch das kontinuierliche Senden gefälschter ARP-Replies. Das veranlasst die Opfer dazu, ihre Nachrichten und Datenpakete an den Angreifer zu senden.
Hier helfen verschiedene Gegenmaßnahmen: Der Einsatz von managebaren Switchen gestattet eine sichere Konfiguration und schützt vor dem Zugriff unberechtigter Nutzer. Ungenutzte Switch-Ports sollten umgehend abgeschaltet werden, um Angriffpunkte zu minimieren. Eine entsprechende Konfiguration (Port Security) gewährleistet, dass verwendete Ports bei Änderung der MAC-Adresse sofort herunterfahren. Das so genannte Sticky ARP speichert die Zuordnung von IP-und MAC-Adressen für einen bestimmten Zeitraum, sodass diese nicht überschrieben werden können. Virtual LAN unterteilt das Unternehmensnetz in verschiedene Bereiche. Wird das UC-System auch nur virtuell von Teilen der IT-Infrastruktur getrennt, ist ARP Poisoning aus anderen Netzbereichen nicht mehr möglich.
- Sicherheit im konvergenten Netz
- DoS-Attacke: Nichts geht mehr
- Manipulierte Multimediaströme
