IT-Defense 2009: Unternehmen vernachlässigen die Netzwerkabwehr
Experte: Zahlreiche Schwachstellen in Ciscos IOS-Routern
Wenn das Netzwerk übernommen ist, schützen auch keine Kryptozertifikate mehr. Deshalb glaubt Sicherheitsexperte Felix "FX" Lindner: "Cisco statt Microsoft anzugreifen ist für die Underground Economy mittlerweile der wesentlich kosteneffizientere Weg, um erfolgreich zu sein."
Der Sicherheitsspezialist und Leiter der Security Labs hat den führenden Netzwerker vor allem
deshalb unter die Lupe genommen, weil Cisco einen Marktanteil von rund 90 Prozent bei Routern mit
einem Preis von über 1.500 Dollar halte. Aber auch andere Router wie vom Hersteller Juniper rückten
aufgrund von frei zugänglichen Informationen (Free BSD) zunehmend in den Fokus.
Gerade bei Cisco seien Router-Ziele entsprechend attraktiv. Erschwerend komme hinzu, dass viele
Unternehmen die Produkte aufgrund der hohen Anschaffungskosten oftmals über längere Zeit im Einsatz
halten. Dabei genieße im Unternehmen meist Verfügbarkeit die oberste Priorität.
Die Sicherheit hingegen werde vernachlässigt. "Wenn externe Eindringlinge beispielsweise den
Switch kontrollieren, können sie den Traffic beliebig verändern", gibt Lindner zu bedenken. Lindner
vermisst seitens des Herstellers Cisco mehr Transparenz im Informationsfluss zur vollständigen
Überwachung des Routings.
Deshalb seien auch versierte Experten mit der wasserdichten Absicherung überfordert. Manche
Features wie das Einfallstor eines Anrufbeantworters bei IOS-Boxen seien zudem nicht deaktivierbar,
sodass beispielsweise das 12.4 Enterprise Default Feature automatisch eine Voice-XML-Anwendung aus
der Box heraus starte.
Als Highlights unter den Schwachstellen sieht der Experte neben schwachen Passwörtern und offen
durch Mitarbeiter in Foren nachvollziehbaren SNMP-Konfigurationen (Simple Network Management
Protocol) auch zahlreiche Bugs direkt vom Hersteller sowie das in den meisten Unternehmen übliche
zentrale Logging.
"Das hierarchisch aufgebaute Management bei der Netzwerksicherheit hat eben seinen Preis", so
Lindner. Wer die Router über die Schwachstellen angreife, könne somit die Konfiguration auslesen
und verändern – und somit alle darunter liegenden hierarchische Funktionen kontrollieren.
"Niemand im Unternehmen sollte deshalb direkt mit dem Router reden", fordert der Experte. Es
gebe aber durchaus probate Schutzmaßnahmen, versprüht Lindner einen vorsichtigen Optimismus: "Die
beste Methode besteht darin, den Traffic bereits am Router-Interface zu blocken."
Zudem seien IOS-Forensic-Tools wie CIR mittlerweile in der Lage, Rootkits und Shellcodes zu
erkennen, die sich im Netzwerk unbemerkt breitmachen. Auch eine zuverlässige Ausführung von Code
durch Spezialisten sei prinzipiell möglich. Jedoch verfüge die kriminelle Szene über immer mehr
ausgereifte Exploit-Mechanismen und Tools, die das Risiko für die Unternehmen weiter erhöhten.
Nur eine entsprechend fundierte forensische Analyse bringt laut Felix Lindner eindeutige
Erkenntnisse über die tatsächlich relevanten Routing-Defizite im Unternehmen. Daraus gelte es,
individuell maßgeschneiderte Abwehrmaßnahmen abzuleiten.
Lothar Lochmaier/wg
Lesen Sie mehr zum Thema
