[ Aufmachergrafik ] Auf Sand gebautAngreifbarkeit von aktiven Netzwerkkomponenten

Ordnungsmerkmale

erschienen in: <kes> 2003#4, Seite 6

Rubrik: Bedrohung

Schlagwort: Router-Sicherheit

Zusammenfassung: Router und Switches steuern auf den "niederen" Protokollschichten den Datenverkehr im Netz. Da viele Unternehmen diesen Systemen zu wenig Aufmerksamkeit schenken, können allzu häufig triviale Attacken drastische Auswirkungen haben.

Autor: Von Felix Lindner, Oberursel

Gegen Angriffe von außen ist heute praktisch jedes Unternehmensnetz – vermeintlich gut – abgeschirmt. Gemäß dem Sicherheitsparadigma der "Perimeter Security" versucht man, die Guten im Inneren zu schützen und die Bösen vor den Toren zu halten. Oft beschränken sich die Sicherheits-Policies und Schutzmechanismen jedoch auf die Protokollschichten ab TCP/IP (bzw. UDP oder ICMP) und "höher" bis auf Applikationsebene. Wer allerdings die darunter liegenden Protokolle der Netzwerkinfrastruktur unbeachtet lässt, baut seine Trutzburgen allzu leicht auf dem sprichwörtlichen Sand.

Während in den meisten Unternehmen niemand auf die Idee käme, sicherheitsrelevante Daten ohne Authentifizierung zur Verfügung zu stellen, so ist dies doch für kritische Informationen auf niedrigeren Netzwerkebenen gang und gäbe. Gerade diese Informationen haben jedoch entscheidenden Einfluss auf die Vertraulichkeit und vor allem die Verfügbarkeit des Netzwerks selbst.

Kaum ein Unternehmensnetz besteht heute nur aus einem Hub mit einer Handvoll Computern. Sobald aber ein oder mehrere Router existieren, müssen sie natürlich auch konfiguriert werden. Nur in kleineren Netzen geschieht dies meist mit so genannten statischen Routen, die jedem Router genau und (nahezu) unveränderlich mitteilen, wohin er welche Daten weiterleiten muss, damit sie ihren Empfänger erreichen.

Bei größeren Netzwerken ist eine statische Konfiguration der Routen mit zu hohem administrativen Aufwand verbunden. Routing-Protokolle sorgen dann dafür, dass jeder Router weiß, wie er welches Netz erreicht. Zu den bekanntesten Routing-Protokollen gehören:

Nur drei dieser Protokolle unterstützen überhaupt eine Authentifizierung (RIPv2, EIGRP und OSPF) – doch diese wird in der Praxis nur selten eingesetzt. Angreifer können so mithilfe spezieller Tools das verwendete Routing-Protokoll und seine Parameter ermitteln [1] und neue Nachrichten an die Router im Netz senden [2]. Damit lässt sich der Datenfluss gezielt umleiten – zum Beispiel über den Computer des Angreifers, der dann sämtliche Kommunikation mithören, verändern oder blockieren kann.

Nicht zuletzt lassen sich die Router-Protokolle aber auch missbrauchen, um ein Unternehmensnetz komplett lahm zu legen: Werden die Informationen über die Erreichbarkeit der Teilnetze beispielsweise "im Kreis" angegeben, so laufen die IP-Pakete so lange von einem Router zum nächsten, bis ihre Lebenszeit (Time to Live, TTL) abgelaufen ist – das heißt, sie werden ihr Ziel nie erreichen.

Globale Angriffsfläche

Eine in großen Corporate Networks häufig eingesetzte Konfiguration nutzt auf allen Routern EIGRP. Diese Praxis liefert auch bei mehreren tausend Routern ein funktionierendes System. Es entsteht ein weltweites Netzwerk mit hunderten Knotenpunkten, von denen im Idealfall alle wissen, welche anderen Netze sich in diesem Verbund befinden. Wird an einem Router ein Netzwerk hinzugefügt, so nimmt dieser die neue Information in seine Routing-Tabelle auf und macht sie allen anderen Routern per EIGRP bekannt.

TCP/IP-Netzwerke arbeiten bekanntlich paketorientiert, wobei jeder Router (im Prinzip für jedes Paket) unabhängig von allen anderen Routern (und Paketen) entscheidet, wohin er es weiterleitet. Es genügt somit für einen Angriff, einen einzigen Router zu beeinflussen, der "nah" genug am Absender oder Empfänger ist, dass die gewünschten Pakete mehr oder minder zwangsläufig bei ihm durchkommen. Da zudem Router und ihre Konfigurationen üblicherweise nur selten kontrolliert werden, ist die Entdeckungsgefahr recht gering. Bei Protokollen oder Systemen, die keine Authentifikation erfordern, ist das ein Kinderspiel: Um ein komplettes Unternehmensnetz für mehrere Stunden außer Gefecht zu setzen, ist nicht viel mehr als ein (Linux-)PC erforderlich. Dies kann in den meisten Unternehmen der eigene Arbeitsplatzrechner mit einem von CD gebooteten Knoppix [3] sein.

Im Beispiel des EIGRP-Unternehmensnetzwerks würde sich ein Angreifer zunächst eine Liste der wichtigen Netze im Unternehmen erstellen. Danach muss er nur noch das Routing seinen Absichten entsprechend beeinflussen. Während bei der klassischen Paketpost der optimale Weg zwischen zwei Orten mehr oder weniger eindeutig feststeht, sind Routen im Netzwerk eher dynamisch. Damit Router wissen, wie sie ein Paket am besten zustellen, tauschen sie Informationen über die verfügbare Bandbreite, die Entfernung zum Ziel und über Verzögerungszeiten aus, auf deren Grundlage der beste Weg ermittelt wird. Ein Angreifer kann solche Nachrichten leicht fälschen und beliebige Werte einfügen: Wenn plötzlich eine Verbindung mit 100 Gigabit/Sekunde bereitsteht, die nur einen "Hop" vom Ziel entfernt ist, steht ziemlich fest, dass jeder Router diese Verbindung auch nutzt.

Derart gefälschte Nachrichten, von einem Arbeitsplatzrechner an wichtige Router im Netzwerk versendet, können das komplette Routing dieses Netzes zum Erliegen bringen. Fast alle Administratoren größerer Netzwerke haben die Auswirkungen von Routing-Schleifen schon erlebt. Um solche Nachrichten zu fälschen, ist nur ein so genannter Raw Packet Sender notwendig. Solche Tools gibt es reichlich in der Open-Source-Welt. Man kann sich die Pakete sogar, etwa mit Packet Excalibur [4], mit einer grafischen Oberfläche zusammenbauen.

Nur ein Ping

Selbst weniger komplizierte Protokolle können den Informationsfluss im Netzwerk verändern: Das Internet Control Message Protocol (ICMP) ist bekannt für seine Echo-Funktion – allgemein als Ping bezeichnet –, kann aber auch für das Umleiten von Paketen zum Einsatz kommen. Router verwenden die Redirect-Unterfunktion, um einem Computer ein neues Gateway für ein bestimmtes Zielnetz anzugeben. Da es auch hier keinerlei Authentifizierung gibt, kann natürlich auch ein Angreifer eine solche Nachricht versenden. Eine weitere Unterfunktion, das ICMP Router Discovery Protocol (IRDP), wird beim Start von Systemen verwendet, um potenzielle Kandidaten für das Standard-Gateway zu finden. Auch hier kann ein Angreifer anstelle oder parallel zu den tatsächlichen Routern antworten und somit den gesamten abgehenden Datenstrom des betroffenen Systems an sich ziehen.

Innerhalb einzelner Netzwerksegmente oder Virtual Local Area Networks (VLANs) können andere Protokolle dasselbe Ergebnis erzielen: Das Address Resolution Protocol (ARP) wird schon seit langem für das Abfangen und Umleiten von Datenströmen auf Ethernet-Ebene missbraucht. Die zur Verfügung stehenden Tools sind mittlerweile ebenfalls mit grafischer Oberfläche und "Point-and-Click"-Funktionalität zu haben [5]. Hierbei werden die notwendigen Anfragen der Systeme nach den Low-level-Adressen (Media Access Control, MAC) ihrer Kommunikationspartner oder Gateways durch den Angreifer beantwortet, sodass wiederum der gesamte Verkehr über dessen Computer läuft.

Auch das Spanning Tree Protocol (STP), eigentlich für die Kommunikation von Switches untereinander gedacht, können Angreifer missbrauchen. In diesem Fall nutzt dieser den Algorithmus, mit dem die Switches einen logischen Baum formen: Der Übeltäter sendet Anfragen mit derart weltfremden Parametern, dass jeder Switch sich für ihn als die Wurzel des Baumes entscheidet und den Verkehr ganzer Teilnetze an ihn weiterleitet.

Entgegen weit verbreiteten Meinungen sind auch neuere Protokolle und Protokoll-Stacks von solchen Problemen betroffen. Beispielsweise basieren die meisten Voice-over-IP-Implementationen (VoIP) auf Klartextprotokollen wie dem Session Initiation Protocol (SIP), welche sich mit den genannten Mitteln abfangen und manipulieren lassen. Zusätzlich werden verstärkt proprietäre Data-Link-Layer-Protokolle (ISO OSI Layer 2) für Konfigurationsmanagement und Geräteerkennung eingesetzt: Cisco verwendet hier beispielsweise das Cisco Discovery Protocol (CDPv2) für die Erkennung und anfängliche Konfiguration von VoIP-Telefonen. Auch diese Protokolle enthalten keine Möglichkeit der Authentifizierung und können daher von einem Angreifer beliebig an kritische Systeme in der Infrastruktur versandt werden – mit zum Teil verheerenden Effekten (vgl. [6]).

Aktive Komponenten sichern

Oft muss ein Angreifer noch nicht einmal "Protokoll-Hacking" betreiben: In vielen Unternehmensnetzen werden die aktiven Netzwerkkomponenten selbst – Hubs, Switche und zuweilen auch Router – einmal platziert, eingerichtet und dann einfach vergessen. Oft sind entweder gar keine oder nur die Standard-Passwörter [7] eingerichtet und bloß die absolut notwendigsten Einstellungen wie IP-Adresse und Netzmaske weichen vom Auslieferungszustand ab. Auch ein Angreifer braucht sich dann natürlich nur per Telnet oder Web-Browser mit dem Gerät zu verbinden, um die eingebauten Konfigurationsmöglichkeiten zu nutzen. Im Falle von Routing-Protokollen, STP oder einer VLAN- Konfiguration kann selbst das Ein- oder Ausschalten eines einzigen Parameters zu einem Netzwerk-Desaster führen. Solche kleinen Änderungen sind obendrein sehr schwer zu identifizieren und das Beheben des Problems kann einige Zeit in Anspruch nehmen – Zeit, in der das Netzwerk nicht zur Verfügung steht.

Eine häufig übersehene Hintertür in jeder Art aktiver Netzwerkkomponente ist zudem die Konfiguration via Simple Network Management Protocol (SNMP). Abhängig von der Implementation auf dem entsprechenden Gerät kann SNMP durchaus eine komplette Re-Konfiguration vollziehen, und dies oft mit den vom Hersteller vorgegebenen Zugangsdaten (sog. Communities).

Neben solchen Administrationsmängeln gewinnen in jüngster Zeit aber auch bei der Netzwerktechnik Sicherheitsschwachstellen an Bedeutung. Softwarefehler haben in der Vergangenheit bei Routern und Switches nur selten zu einer Verwundbarkeit geführt, die einem Angreifer gestattet hätte, ein korrekt konfiguriertes Gerät zu "übernehmen". Ausnahmen wie der Cisco-Web-Server-Fehler vom Juni 2001 [8] bestätigten hier eher die Regel.

In den letzten Monaten haben Sicherheitsexperten allerdings zunehmend Möglichkeiten gefunden, klassische Fehler wie Buffer Overflows in aktiven Netzwerkkomponenten zu verwenden, um privilegierten Zugang zu den Geräten zu bekommen. Beispielsweise ist es den CORE LABS gelungen, einen Buffer Overflow in Linksys Wireless Routern auszunutzen und vollen Zugriff auf das Gerät zu erhalten [9]. Ähnliche Tendenzen gibt es auch für die Cisco-Systeme: So konnte ein Buffer Overflow in dem selten verwendeten TFTP-Server auf dem Router-Betriebssystem IOS ausgenutzt werden, um dem Router eine vollständig neue Konfiguration, inklusive neuer Passwörter, zu übergeben [10] – und Mitte Juli wurde eine Denial-of-Service-Attacke auf IOS-basierte Router und Switches bekannt [11].

Da zu erwarten ist, dass diese Entwicklung sich fortsetzt, wird es zunehmend wichtiger auch Router und andere Netzwerkkomponenten auf einem aktuellen Softwarestand zu halten. Zurzeit achten nur die wenigsten Unternehmen hierauf. Einzige Ausnahme sind vermutlich große Netzwerkbetreiber, bei denen die Sicherheit der Router schon seit längerer Zeit zum Kerngeschäft gehört.

Gleichermaßen interessant und riskant ist zudem die Entwicklung hin zu integrierten Sicherheitslösungen auf Netzwerkebene: Sowohl Virtual Private Networks (VPN) als auch Firewalls und Sensoren für Intrusion Detection Systems (IDS) werden zunehmend als Appliances angeboten oder direkt in vorhandene Netzwerkkomponenten integriert. Der Trend zu erfolgreichen Angriffen auf Softwarefehler dürfte in Zukunft vor allem die Hersteller solcher "Black-Box"-Lösungen treffen. Speziell VPN-Geräte haben mit der Komplexität der gängigen Protokolle (IPsec) und der kryptographischen Algorithmen gleich zwei schwierig zu sichernde Bereiche. Hinzu kommt, dass derartige Embedded Systems nahezu keine Privilegtrennungen innerhalb des Betriebssystems kennen. Daher haben schon triviale Angriffe auf Protokollebene gegen VPN-Geräte leicht drastische Auswirkungen (vgl. [12]).

----------Anfang Textkasten----------

Sicherheits-Checkliste Netzwerkinfrastruktur

Die folgenden Punkte sollte man sowohl bei bestehenden als auch bei neu zu designenden Netzwerken bedenken:

----------Ende Textkasten----------

Abwehrmaßnahmen

Um sowohl die Netzwerkkomponenten als auch die Informationen in den Routing-Protokollen zu schützen, ist eine enge Zusammenarbeit zwischen Netzwerk- und Sicherheitsspezialisten notwendig, denn es gibt praktisch kein Patentrezept für die Absicherung der unteren Netzschichten. Die Zusammenarbeit beginnt schon bei der Anpassung oder Erweiterung der Security Policy auf aktive Netzwerkkomponenten als schützenswerte Computersysteme. Bei der Installation und Administration von Routern und Switches muss man überdies mit derselben Sorgfalt auf sicherheitsrelevante Aspekte achten wie bei Client- oder Server-Systemen. Für Cisco-Router hat die US-amerikanische National Security Agency (NSA) eine Reihe von Guides veröffentlicht, die als Starthilfe und Referenz empfehlenswert sind [13].

Vor allem ist aber die Erstellung von Baselines und Konfigurationsvorlagen (Templates) eine nicht zu unterschätzende Aufgabe. Nicht alle Funktionen sind bei allen Herstellern vorhanden und auch bei ein und demselben Hersteller kann der Funktionsumfang zwischen zwei Versionen des Betriebssystems oder der Firmware stark variieren. Dazu kommen weit verbreitete Kompatibilitätsprobleme im Protokoll-Bereich. Selbst wenn zwei Router verschiedener Hersteller OSPF-Authentifizierung mittels MD5 unterstützen, muss dies nicht unbedingt bedeuten, dass die beiden Geräte dies auch miteinander schaffen. Dann ist das Expertenwissen eines Netzwerkspezialisten genau so gefragt wie das breite Verständnis eines Sicherheitsdesigners, der beim Auftreten solcher Probleme Architekturänderungen vornehmen kann, die eine vergleichbare Sicherheit bieten.

Zusammenfassend ist festzustellen, dass die Sicherheit der Netzwerkinfrastruktur in vielen Unternehmensnetzen stark vernachlässigt wird. Die Verbesserung dieser Situation erfordert zwar einiges Fachwissen, es handelt sich aber um eine einmalige Investition – vorausgesetzt, spätere Änderungen und Erweiterungen im Netz basieren auf den entwickelten Guide- und Baselines. (Nur) hierdurch wird aber letztlich eine sichere Plattform für die Kommunikation im Unternehmensnetz geschaffen.

Felix Lindner (CISSP) ist Security Consultant bei der n.runs GmbH ([externer Link] www.nruns.com).

Literatur

[1]
Internetwork Routing Protocol Attack Suite IRPAS, [externer Link] www.phenoelit.de/irpas/
[2]
Nemesis packet injection utility, [externer Link] www.packetfactory.net/Projects/nemesis/
[3]
Knoppix Linux Live CD, [externer Link] www.knoppix.org
[4]
Packet Excalibur, A multi-platform graphical and scriptable network packet engine with extensible text based protocol descriptions, [externer Link] www.securitybugware.org/excalibur/
[5]
Ettercap, Multipurpose Sniffer/Interceptor/Logger for Switched LAN, [externer Link] http://ettercap.sourceforge.net/
[6]
Advisories, Articles and Presentations of Voice over IP Vulnerabilities, [externer Link] www.sys-security.org/html/projects/VoIP.html
[7]
Default Password List, [externer Link] www.phenoelit.de/dpl/
[8]
Cisco Security Advisory: IOS HTTP Authorization Vulnerability, [externer Link] www.cisco.com/warp/public/707/IOS-httplevel-pub.html
[9]
CORELABS Advisories, [externer Link] www.corest.com/corelabs/advisories/index.php
[10]
Ultimaratio, A remote Cisco IOS exploit, [externer Link] www.phenoelit.de/ultimaratio/
[11]
Cisco Security Advisory, Cisco IOS Interface Blocked by IPv4 Packets, [externer Link] www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
[12]
Cisco Security Advisory, Cisco VPN 3000 Concentrator Multiple Vulnerabilities, [externer Link] www.cisco.com/warp/public/707/vpn3k-multiple-vuln-pub.shtml
[13]
NSA Security Recommendation Guides, Cisco Router Guides, [externer Link] www.nsa.gov/snac/cisco/