8 Tipps, um Hacker-Angriffe auf Online Shops zu vermeiden
Als Online-Händler trägt man nicht nur für die eigenen Daten, sondern auch für die der Kunden die Verantwortung. Daher sollte man den Online Shop besonders sorgfältig vor Hacker-Angriffen schützen. Wir nennen die wichtigsten Maßnahmen.
Egal ob als Privatperson oder Unternehmen: Jeder Internet-Auftritt birgt die Gefahr, von Hackern angegriffen zu werden. Gerade als Online-Händler trägt man dabei nicht nur für die eigenen Daten, sondern auch für die der Kunden die Verantwortung. Trusted Shops nennt die wichtigsten Schutzmaßnahmen.
1. Komplexe Passwörter
Online-Händler benötigen viele Passwörter, zum Beispiel für den Administrationszugriff auf das Shopsystem, den Zugang zu Datenbanken oder zu Webhostern. Trusted Shop rät, möglichst komplexe Passwörter auszuwählen, die Buchstaben, Zahlen, Sonderzeichen enthalten und eine Mindestlänge von acht Zeichen nicht unterschreiten.
Zu einfache oder zu kurze Passwörter können leicht entschlüsselt werden. Es ist empfehlenswert, unterschiedliche Passwörter für jeden Zugang zu nutzen, um den Totalschaden bei Verlust eines einzigen Passwortes zu vermeiden. Ein Passwortmanager hilft bei der Verwaltung der unterschiedlichen Passwörter.
2. Virenscanner und Firewalls
Virenscanner auf dem Rechner können Viren und Trojaner abwehren. Eine Firewall, an der ohne Genehmigung keine Änderungen vorgenommen werden können, ist zudem ratsam.
Programme sollten außerdem immer aktuell gehalten werden. Auch das Betriebssystem muss regelmäßig aktualisiert werden, auch hier werden mögliche Sicherheitslücken von den Herstellern geschlossen.
3. Aktuelles Shopsystem
Das gleiche, was für die Virenprogramme und Betriebssysteme gilt, ist ebenso für das Shopsystem entscheidend: Es muss immer auf dem neuesten Stand sein.
Die meisten Anbieter stellen regelmäßige Updates zur Verfügung, in denen bekannte Schwachstellen geschlossen werden und sicherheitsrelevante Features enthalten sein können.
4. Schreibrechte auf dem Webserver
Je mehr Dateien Schreibrechte besitzen, desto größer ist das Risiko, dass Schadprogramme auf den Webserver gelangen können.
Diese Dateien lesen im schlimmsten Fall Daten Ihrer Kundinnen und Kunden aus. Vergeben Sie deshalb nur dort Schreibrechte, wo sie wirklich benötigt werden.
5. Formulare absichern
Formulare werden gerne als Einfallstor für Schad-Software genutzt, zum Beispiel Suchformulare, Benutzerregistrierung oder Kundenlogin. Im Programmcode legt man fest, wie diese Daten verarbeitet und ausgelesen werden.
Deshalb sollte man bei der Erstellung des Codes Algorithmen einbauen (lassen), die es Schadprogrammen erschweren, mittels sogenannter Code-Injection-Angriffe ins System vorzudringen.
6. Sensible Daten verschlüsseln
Es gibt keine hundertprozentige Sicherheit und es wird sie auch niemals geben. Unveröffentlichte Schwachstellen kann kein Hersteller beheben und somit wird jedes System immer angreifbar bleiben.
Umso wichtiger ist es, für den Fall der Fälle gewappnet zu sein. Eine sehr effektive Methode besteht darin, die Daten nur verschlüsselt abzuspeichern und den Schlüssel sicher und getrennt von den Daten aufzubewahren.
Verschafft sich ein Angreifer oder eine Angreiferin Zugang zum System, findet er oder sie nur unlesbare Daten vor.
7. Professionelle Unterstützung holen
Niemand kann in allem ein Spezialist sein. Das gilt besonders für die Informationssicherheit.
Hierfür gibt es Lösungen und Fachpersonal, das in der Absicherung des Online Shops unterstützt und klar benennen kann, wo der Schuh drückt. Die Palette reicht vom automatisierten Schwachstellenscanner bis hin zum externen Informationssicherheitsbeauftragten.
8. Sicherheit als lohnende Investition
Einige der vorgestellten Sicherheitsmaßnahmen sind vermutlich bereits vom privaten Internetgebrauch bekannt. Als Unternehmer steht man jedoch umso mehr in der Pflicht, eigene und die Daten der Kundschaft zu schützen.
Im Fall eines Datenmissbrauchs sind Image-Schäden, wirtschaftliche Einbußen und Strafzahlungen in der Regel enorm. Eine Investition in die Sicherheit der Online-Shops ist daher eine lohnende Investition.
ARP-Poisoning: Was ARP-Poisoning ist und wie man ARP-Spoofing-Angriffe verhindert
ARP Poisoning ist eine Art von Cyberangriff, der Schwachstellen im weit verbreiteten Adress Resolution Protocol (ARP) ausnutzt, um den Netzwerkdatenverkehr zu unterbrechen, umzuleiten oder auszuspionieren. In diesem Beitrag werfen wir einen kurzen Blick auf die Zwecke von ARP, die Schwachstellen, die ARP-Poisoning ermöglichen, und was Sie tun können, um Ihr Unternehmen dagegen abzusichern.
Was ist ARP?
Das Address Resolution Protocol (ARP) existiert, um den mehrschichtigen Ansatz zu unterstützen, der seit den frühesten Tagen der Computernetzwerke verwendet wird. Die Funktionen der einzelnen Schichten – von den elektrischen Signalen, die über ein Ethernet-Kabel laufen, bis hin zum HTML-Code, mit dem eine Website gerendert wird – arbeiten weitgehend unabhängig voneinander. Dadurch können wir IPv4 – eine Netzwerkschicht-Technologie aus den frühen 1980er Jahren – mit neueren Technologien wie WLAN und Bluetooth verwenden: Durch die untere physische Schicht und die Datenverbindungsschicht wird die Datenübertragung über ein bestimmtes Medium wie Funkwellen bewerkstelligt.
ARP wird dazu genutzt, zwischen den Adressen auf der Datenverbindungsschicht – den MAC-Adressen – und den Adressen auf der Netzwerkschicht – in der Regel IP-Adressen – zu übersetzen. Über das Protokoll können vernetzte Geräte „fragen“, welchem Gerät zurzeit eine bestimmte IP-Adresse zugewiesen ist. Geräte können diese Zuordnung auch unaufgefordert dem Rest des Netzwerks mitteilen. Zur Effizienzsteigerung werden diese Antworten normalerweise von Geräten zwischengespeichert, und es wird eine Liste der aktuellen MAC-IP-Zuordnungen erstellt.
Was ist ARP-Poisoning?
Beim ARP-Poisoning werden die Schwachstellen von ARP missbraucht, um die MAC-IP-Zuordnungen anderer Geräte im Netzwerk zu korrumpieren. Sicherheit war bei der Einführung von ARP im Jahr 1982 kein vorrangiges Anliegen, daher haben die Entwickler des Protokolls keine Authentifizierungsmechanismen zur Validierung von ARP-Nachrichten vorgesehen. Jedes Gerät im Netzwerk kann eine ARP-Anfrage beantworten, unabhängig davon, ob die ursprüngliche Nachricht für es bestimmt war oder nicht. Wenn zum Beispiel Computer A nach der MAC-Adresse von Computer B „fragt“, kann ein Angreifer von Computer C aus antworten und Computer A würde diese Antwort als authentisch akzeptieren. Diese Sicherheitslücke hat viele Angriffe ermöglicht. Durch den Einsatz leicht verfügbarer Tools kann ein Bedrohungsakteur den ARP-Cache anderer Hosts in einem lokalen Netzwerk „vergiften“ (Poisoning), indem er ihn mit falschen Einträgen füllt.
Schritte eines ARP-Poisoning-Angriffs
Die genauen Schritte eines ARP-Poisoning-Angriffs variieren, umfassen aber im Allgemeinen mindestens die folgenden:
1. Angreifer wählt ein oder mehrere Zielgeräte aus
Der erste Schritt bei der Planung und Durchführung eines ARP-Poisoning-Angriffs ist die Auswahl eines Ziels. Dies kann ein bestimmter Endpunkt im Netzwerk, eine Gruppe von Endpunkten oder ein Netzwerkgerät wie ein Router sein. Router sind attraktive Ziele, da ein erfolgreicher ARP-Poisoning-Angriff gegen einen Router den Datenverkehr für ein komplettes Subnet stören kann.
2. Angreifer startet Tools und beginnt mit dem Angriff
Wenn man einen ARP-Poisoning-Angriff durchführen möchte, stehen einem zahlreiche Tools zur Verfügung. Nachdem der Angreifer das Tool seiner Wahl gestartet und die entsprechenden Einstellungen vorgenommen hat, beginnt er mit dem Angriff. Nun kann er sofort mit dem Senden von ARP-Nachrichten beginnen oder warten, bis eine Anfrage empfangen wird.
3. Angreifer nutzt den falsch geleiteten Datenverkehr aus
Sobald der ARP-Cache eines oder mehrerer Zielcomputer korrumpiert wurde, führt der Angreifer in der Regel irgendeine Art von Aktion mit dem falsch geleiteten Datenverkehr durch. Er kann beispielsweise überprüft oder modifiziert werden, oder der Angreifer „blackholet“ ihn, sorgt also dafür, dass er sein Ziel nie erreicht. Die genaue Aktion hängt von den Motiven des Angreifers ab.
Arten von ARP-Poisoning-Angriffen
Es gibt zwei allgemeine Möglichkeiten für einen ARP-Poisoning-Angriff: Der Angreifer kann entweder warten, bis er ARP-Anfragen für ein bestimmtes Ziel sieht und dann eine Antwort ausgeben; oder er kann eine unaufgeforderte Broadcast-Meldung verschicken, was als „gratuitous ARP“ (unaufgefordertes ARP) bezeichnet wird. Der erste Ansatz ist im Netzwerk weniger auffällig, aber möglicherweise auch weniger weitreichend in Bezug auf seine Auswirkungen. Ein unaufgefordertes ARP kann unmittelbarer sein und eine größere Anzahl von Zielgeräten betreffen, hat aber den Nachteil, dass er viel Netzwerkverkehr erzeugt. Bei beiden Ansätzen können die korrumpierten ARP-Caches der Zielrechner für weitere Zwecke missbraucht werden:
Man-in-the-Middle-Angriff (MiTM)
MiTM-Angriffe sind wahrscheinlich das häufigste und potenziell gefährlichste Ziel, das durch ARP-Poisoning verfolgt wird. Der Angreifer sendet gefälschte ARP-Antworten für eine bestimmte IP-Adresse, in der Regel das Standard-Gateway für ein bestimmtes Subnet. Dadurch werden die ARP-Caches der Zielgeräte mit der MAC-Adresse des Angreifergeräts statt mit der des lokalen Routers gefüllt. Die Zielgeräte leiten dann Netzwerkdatenverkehr irrtümlich an den Angreifer weiter. Mit Tools wie Ettercap kann der Angreifer als Proxy agieren und Informationen anzeigen oder ändern, bevor er den Datenverkehr an sein vorgesehenes Ziel sendet. Auf dem Zielgerät wirkt alles absolut normal.
Indem ARP-Poisoning mit DNS-Poisoning kombiniert wird, wird ein MiTM-Angriff deutlich effektiver. In einem solchen Szenario kann dann der angegriffene Benutzer eine legitime Website wie eintippen und die IP-Adresse des Angreifergeräts erhalten, anstelle der rechtmäßigen Adresse.
DoS-Angriff (Denial of Service)
Ein DoS-Angriff zielt darauf ab, einem oder mehreren Opfern den Zugriff auf Netzwerkressourcen zu verweigern. Im Fall von ARP kann ein Angreifer ARP-Antwortnachrichten versenden, die fälschlicherweise Hunderte oder sogar Tausende von IP-Adressen einer einzelnen MAC-Adresse zuordnen, wodurch das Zielgerät überfordert werden kann. Diese Art von Angriff, manchmal auch als „ARP-Flooding“ bezeichnet, kann auch auf Switches abzielen und die Leistung des gesamten Netzwerks beeinträchtigen.
Session-Hijacking
Session-Hijacking-Angriffe sind ähnlich wie Man-in-the-Middle-Angriffe. Hier leitet der Angreifer den Datenverkehr jedoch nicht direkt vom Zielgerät an sein vorgesehenes Ziel weiter. Stattdessen fängt er eine echte TCP-Sequenznummer oder ein Web-Cookie des Opfers ab und verwendet sie, um die Identität des Opfers anzunehmen. Dadurch kann z. B. auf das Social-Media-Konto eines Zielbenutzers zugegriffen werden, falls dieser gerade eingeloggt ist.
Welche Ziele haben ARP-Poisoning-Angriffe?
Hacker haben viele verschiedene Motive, und beim ARP-Poisoning ist es nicht anders. Ein Angreifer könnte einen ARP-Poisoning-Angriff aus einer Vielzahl von Gründen durchführen, die von hochrangiger Spionage bis hin zum bloßen Nervenkitzel reichen, Chaos im Netzwerk zu verursachen. In einem möglichen Szenario verwendet ein Angreifer gefälschte ARP-Nachrichten, um die Rolle des Standard-Gateways für ein bestimmtes Subnet einzunehmen und so den gesamten Datenverkehr an den Rechner des Angreifers statt an den lokalen Router zu leiten. Dann kann er den Datenverkehr ausspionieren, modifizieren oder verschwinden lassen. Solche Angriffe sind „laut“ in dem Sinne, dass sie Spuren hinterlassen, aber sie stören den eigentlichen Betrieb des Netzwerks nicht unbedingt. Wenn Spionage das Ziel ist, wird das angreifende Gerät den Datenverkehr einfach an sein ursprüngliches Ziel weiterleiten und dem Endbenutzer keinen Hinweis darauf geben, dass etwas nicht stimmen könnte.
Andererseits kann der Zweck eines DoS-Angriffs auch darin bestehen, eine deutlich spürbare Störung des Netzwerkbetriebs zu verursachen. Das kann dazu dienen, die Betriebsfähigkeit eines Unternehmens zu beeinträchtigen, aber DoS-Angriffe werden oft auch von weniger raffinierten Angreifern ausgeführt, weil es ihnen einfach Spaß macht, für Ärger zu sorgen.
Insider-Angriffe sind bei ARP-Poisoning besonders gefährlich. Gespoofte ARP-Nachrichten reichen nicht über die Grenzen eines lokalen Netzwerks hinaus, daher muss der Angriff von einem Gerät ausgehen, das lokal verbunden ist. Es ist nicht unmöglich, dass ein Außenstehender einen ARP-Angriff initiiert, aber dazu muss er zuerst ein lokales System mit anderen Mitteln kompromittieren. Ein Insider bräuchte hingegen nur Netzwerkzugang und einige leicht verfügbare Tools.
ARP-Spoofing und ARP-Poisoning im Vergleich
Die Begriffe ARP-Spoofing und ARP-Poisoning werden im Allgemeinen austauschbar verwendet. Technisch gesehen bezeichnet Spoofing einen Angreifer, der die MAC-Adresse eines anderen Rechners imitiert. Poisoning bezeichnet die Korruption der ARP-Tabellen auf einem oder mehreren Zielgeräten. In der Praxis sind dies jedoch beides Unterelemente desselben Angriffs, und im allgemeinen Sprachgebrauch werden beide Begriffe verwendet, um den Angriff als Ganzes zu bezeichnen. Ähnliche Begriffe sind auch ARP-Cache-Poisoning oder ARP-Tabellenkorruption.
Welche Folgen hat ein ARP-Poisoning-Angriff?
Die direkteste Auswirkung eines ARP-Poisoning-Angriffs besteht darin, dass der Datenverkehr, der für einen oder mehrere Hosts im lokalen Netzwerk bestimmt ist, stattdessen zu einem Ziel umgeleitet wird, das der Angreifer auswählt. Welche Folgen das genau hat, hängt von den Besonderheiten des Angriffs ab. Der Datenverkehr kann an den Computer des Angreifers oder an einen nicht vorhandenen Ort gesendet werden. In der ersten Instanz gibt es möglicherweise keinen beobachtbaren Effekt, während die zweite Instanz den Zugriff auf das Netzwerk behindert.
Das ARP-Cache-Poisoning selbst hat keine dauerhaften Auswirkungen. ARP-Einträge werden zwischen einigen Minuten (auf Endgeräten) und mehreren Stunden (auf Switches) zwischengespeichert. Sobald ein Angreifer mit dem aktiven Tabellen-Poisoning aufhört, veralten die beschädigten Einträge einfach und der korrekte Datenverkehrsfluss stellt sich bald wieder ein. ARP-Poisoning allein hinterlässt keine dauerhafte Infektion oder Position auf den Zielgeräten. Hacker verketten jedoch oft viele Arten von Angriffen miteinander, und das ARP-Poisoning kann als Teil einer größeren Kampagne verwendet werden.
So erkennen Sie einen ARP-Cache-Poisoning-Angriff
Es gibt eine Vielzahl von kommerziellen und Open-Source-Softwarelösungen zur Erkennung von ARP-Cache-Poisoning. Sie können aber auch einfach die ARP-Tabellen auf Ihrem eigenen Computer überprüfen, ohne etwas installieren zu müssen. Auf den meisten Windows-, Mac- und Linux-Systemen kann man den Befehl „arp -a“ vom Terminal oder der Befehlszeile aus ausführen, um die aktuellen IP-MAC-Adresszuordnungen des Geräts anzuzeigen.
Tools wie arpwatch und X-ARP sind für die kontinuierliche Überwachung des Netzwerks nützlich und können einen Administrator alarmieren, wenn Anzeichen eines ARP-Cache-Poisoning-Angriffs zu erkennen sind. Falsch-positive Ergebnisse sind jedoch ein Problem und können viele unerwünschte Alarme erzeugen.
Prävention von ARP-Poisoning-Angriffen
Es gibt mehrere Ansätze, um ARP-Poisoning-Angriffe zu verhindern:
Statische ARP-Tabellen
Es ist möglich, alle MAC-Adressen in einem Netzwerk statisch ihren korrekten IP-Adressen zuzuordnen. Zur Prävention von ARP-Poisoning-Angriffen ist das eine sehr effektive Maßnahme, allerdings geht damit auch sehr viel Verwaltungsaufwand einher. Jede Änderung am Netzwerk erfordert eine manuelle Aktualisierung der ARP-Tabellen auf allen Hosts, was statische ARP-Tabellen für die meisten größeren Unternehmen unpraktikabel macht. Dennoch kann in Situationen, in denen Sicherheit sehr wichtig ist, ein separates Netzwerksegment abgetrennt werden, in dem statische ARP-Tabellen verwendet werden. So lassen sich kritische Informationen effektiv schützen.
Switch-Sicherheit
Die meisten verwalteten Ethernet-Switches verfügen über Funktionen zur Abwehr von ARP-Poisoning-Angriffen. Diese Funktionen werden meist als Dynamic ARP Inspection (DAI) bezeichnet und bewerten die Gültigkeit jeder ARP-Nachricht, um Pakete zu entfernen, die verdächtig oder bösartig erscheinen. DAI kann in der Regel auch so konfiguriert werden, dass die Frequenz, mit der ARP-Nachrichten den Switch durchlaufen können, begrenzt wird. So werden DoS-Angriffe effektiv verhindert.
DAI und ähnliche Funktionen waren früher ausschließlich High-End-Netzwerkgeräten vorbehalten, sind aber heute bei fast allen Switches der Unternehmensklasse üblich, auch bei denen, die in kleineren Betrieben eingesetzt werden. Es gilt gemeinhin als Best Practice, DAI an allen Ports zu aktivieren, außer an denen, die mit anderen Switches verbunden sind. Die Funktion beeinträchtigt die Leistung nicht signifikant, muss aber möglicherweise in Verbindung mit anderen Funktionen wie DHCP-Snooping aktiviert werden.
Die Aktivierung der Port-Sicherheit auf einem Switch kann auch dazu beitragen, ARP-Cache-Poisoning-Angriffen entgegenzuwirken. Die Port-Sicherheit kann so konfiguriert werden, dass nur eine einzelne MAC-Adresse auf einem Switch-Port möglich ist, sodass ein Angreifer keine Möglichkeit hat, böswillig mehrere Netzwerkidentitäten anzunehmen.
Physische Sicherheit
Die ordnungsgemäße Kontrolle des physischen Zugangs zu Ihrem Unternehmensstandort kann dazu beitragen, ARP-Poisoning-Angriffen entgegenzuwirken. ARP-Nachrichten werden nicht über die Grenzen des lokalen Netzwerks hinaus weitergeleitet. Daher müssen sich potenzielle Angreifer in physischer Nähe zum Zielnetzwerk befinden oder bereits die Kontrolle über einen Rechner im Netzwerk haben. Beachten Sie, dass bei drahtlosen Netzwerken „Nähe“ nicht unbedingt bedeutet, dass der Angreifer direkten physischen Zugriff hat; ein Signal, das bis zu einer Straße oder einem Parkplatz reicht, kann vollkommen ausreichen. Ob kabelgebunden oder drahtlos – Technologien wie 802.1x können dafür sorgen, dass nur vertrauenswürdige und/oder verwaltete Geräte eine Verbindung zum Netzwerk herstellen können.
Netzwerkisolierung
Wie bereits erwähnt, gehen ARP-Nachrichten nicht über das lokale Subnet hinaus. Das bedeutet, dass ein gut segmentiertes Netzwerk insgesamt weniger anfällig für ARP-Cache-Poisoning sein kann, da sich ein Angriff in einem Subnet nicht auf Geräte in einem anderen auswirkt. Die Konzentration wichtiger Ressourcen in einem dedizierten Netzwerksegment, in dem erhöhte Sicherheitsmaßnahmen vorhanden sind, kann die potenziellen Auswirkungen eines ARP-Poisoning-Angriffs erheblich verringern.
Verschlüsselung
Verschlüsselung verhindert zwar keine ARP-Angriffe, kann jedoch den potenziellen Schaden mindern. Ein beliebtes Ziel von MiTM-Angriffen war früher das Abfangen von Anmeldedaten, die zuvor oft unverschlüsselt übertragen wurden. Mit der weitverbreiteten Nutzung von SSL/TLS-Verschlüsselung im Web ist diese Art von Angriff schwieriger geworden. Der Bedrohungsakteur kann weiterhin den Datenverkehr abfangen, kann damit aber nichts anfangen, da er verschlüsselt ist.
Nur eine von vielen Bedrohungen
Obwohl es ARP-Poisoning schon viel länger gibt als moderne Bedrohungen wie Ransomware, handelt es sich dabei immer noch um eine Gefahr, gegen die Unternehmen angehen müssen. Wie alle Cyber-Bedrohungen wird sie am besten durch ein umfassendes Informationssicherheitsprogramm bekämpft. Eine Lösung wie die Bedrohungserkennung und -bekämpfung von Varonis kann Ihnen dabei helfen, sich einen Überblick über die allgemeine Sicherheitslage Ihres Unternehmens zu verschaffen. Mit Varonis Edge lassen sich Anzeichen von Datenexfiltration erkennen, die nach einem ARP-Poisoning-Angriff auftreten kann.
So verhindern Sie Angriffe auf das Active Directory
Pass the Hash-Angriffe verstehen und vermeiden So verhindern Sie Angriffe auf das Active Directory
Viele Admins denken, Active Directory, die Kerberos-Technik und der dortige Umgang mit Kennwörtern seien recht sicher. Angreifer können aber relativ einfach Netzwerkdaten mitschneiden und auf diesem Weg ganze Active-Directory-Umgebungen übernehmen. Auch Unix und Linux sind von Pass-the-Hash bedroht. Doch die Gefahren lassen sich leicht deutlich reduzieren.
Anbieter zum Thema Vitel GmbH Cradlepoint GmbH
Der Schutz vor PtH-Angriffen lässt sich bereits mit Bordmitteln und neuen Vorgehensweisen deutlich erhöhen. (Bild: Joos)
Pass the Hash-Attacken (PtH) sind im Grunde genommen verbesserte Kennwort-Angriffe im Netzwerk. Davon betroffen sind vor allem ältere Windows-Versionen, darunter auch der abgekündigte Windows Server 2003. Es lassen sich mit dieser Angriffsmethode aber auch Anmeldedaten von aktuellen Serverversionen auslesen. Die Gefahr ist so groß, dass sich auch die NSA mit dem Thema befasst.
So funktioniert Kerberos
PtH-Angriffe zielen nicht auf die Kennwörter ab, sondern auf die Hashes, die in Active Directory erzeugt werden, nachdem sich ein Benutzer authentifiziert hat. Ein wesentlicher Bestandteil der Kerberos-Authentifizierung ist das Schlüsselverteilungscenter (Key Distribution Center, KDC). Dieser Dienst wird auf allen Windows Server 2003/2008/2008 R2/2012/2012 R2-Domänencontrollern ausgeführt und ist für die Ausstellung der Authentifizierungstickets zuständig.
Ticketing-Ablauf am Beispiel eines schreibgeschützten Domänencontrollers. (Bild: Joos)
Der zuständige Kerberos-Client läuft auf allen Windows-Arbeitsstationen. Wenn sich ein Benutzer an einer Arbeitsstation in Active Directory anmeldet, muss er sich zunächst an einem Domänencontroller und dem dazugehörigen KDC authentifizieren. Im nächsten Schritt erhält der Client ein Ticket-genehmigendes Ticket (TGT) vom KDC ausgestellt. Nachdem der Client dieses TGT erhalten hat, fordert er beim KDC mithilfe dieses TGT ein Ticket für den Zugriff auf das Netzwerk an. Diese Authentifizierung führt der Ticket-genehmigende Dienst (Ticket Granting Service, TGS) auf dem KDC aus. In der Abbildung ist der Ablauf am Beispiel eines schreibgeschützten Domänencontrollers mit Windows Server 2012 R2 zu sehen (ein Klick auf das Bild vergrößert dieses).
Nach der erfolgreichen Authentifizierung des TGT durch den TGS stellt dieser ein Dienstticket aus und übergibt dieses Ticket an den Client. Dieses Dienstticket gibt der Client an den Server weiter, auf den er zugreifen will, in diesem Beispiel der Dateiserver. Durch dieses Ticket kann der Dateiserver sicher sein, dass sich kein gefälschter Benutzer mit einem gefälschten Benutzernamen anmeldet.
Durch das Dienstticket wird sowohl der authentifizierende Domänencontroller, als auch der Benutzer authentifiziert. Der Dienst ist aber nicht so sicher, wie häufig gedacht wird. PtH-Angriffe können sich die Hashes der Anmeldedaten zunutze machen und sich unberechtigt Zugriff verschaffen. Die Angriffe lassen sich auf Windows- aber auch auf Linux-Servern vollziehen.
Single-Sign-On-Umgebungen sind besonders gefährdet
Vor allem in Umgebungen, in denen mit Single-Sign-On (SSO) gearbeitet wird, lassen sich Hashes besonders leicht auslesen, da die Daten auch zu anderen Diensten verschickt werden, um Anwender zu authentifizieren. Der Hash des Kennwortes, einfach ausgedrückt, die verschlüsselte Information, wo das korrekte Kennwort gespeichert ist, lässt sich also für Angriffe nutzen. Dieser Hash wird auf Rechnern zwischengespeichert, damit sich ein angemeldeter Benutzer nicht häufiger anmelden muss um auf Dienste im Netzwerk zuzugreifen.
Windows sendet bei Kennwortabfragen von Serverdiensten einfach den Hash. Um den Hash eines Anwenders zu stehlen werden häufig lokale Angreifer/Malware genutzt, da lokal der Schutz weniger hoch ist, als im Netzwerk. Im Internet sind dazu haufenweise Tools zu finden. Anwender müssen die entsprechenden Angreifer nur noch auf den Rechnern installieren.
Der Hash wird dazu nicht entschlüsselt oder gehackt, sondern er wird von den Angreifern selbst verwendet um mit den Rechten des Anwenders auf das Netzwerk und die internen Serverdienste zuzugreifen.
Wie ein Schnellball-System wird das ganze Netzwerk übernommen
Wird der Hash eines Administrators gekapert, ist schnell klar, welche Gefahren solche Angriffe darstellen. Die Angriffe funktionieren wie Schnellball-Systeme. Sobald ein Angreifer einen normalen Hash gekapert hat, kann er sich auf weiteren Rechnern und auf Servern im Netzwerk anmelden. Auf diesen Servern sind weitere Hashes gespeichert, die Angreifer dann ebenfalls verwenden können. Über kurz oder lang kann ein solcher Angreifer also relativ mühelos alle Anmeldedaten von allen Benutzern im Netzwerk kapern.
So verhindern Sie Pass-the-Hash-Angriffe
Um den Schutz vor PtH-Angriffen im Netzwerk zu erhöhen, müssen Unternehmen mehrere Maßnahmen ergreifen. Zunächst ist es sinnvoll, möglichst immer die aktuellsten Serverversionen einzusetzen und diese dauerhaft möglichst aktuell zu halten. Nichts lässt sich leichter angreifen, als in die Jahre gekommene, nicht gepatchte Server.
Als Authentifizierungsprotokoll sollte im Netzwerk nicht mehr Microsoft LAN Manager (NTLM), sondern mindestens NTLMv2 eingesetzt werden. Die lokale Speicherung von Hashes in Active-Directory-Umgebungen lässt sich ebenfalls verhindern. Microsoft erklärt in einem Knowledge-Base-Eintrag, wie dabei vorgegangen wird.
Benutzerkonten mit denen herkömmlich gearbeitet wird, auch von Administratoren, sollten niemals über Administrator-Rechte verfügen. Auch Administratoren sollten bei der normalen Arbeit mit normalen Benutzerkonten arbeiten. Nur bei Administrator-Aufgaben sollte mit speziellen Benutzerkonten gearbeitet werden.
In Netzwerken sollten darüber hinaus nicht zu viele Administrator-Konten vorhanden sein. Auch die Administrator-Konten sollten eingegrenzt sein und nur notwendige Rechte besitzen. Ein Administrator für Exchange muss nicht gezwungenermaßen auch über Administratorrechte in Active Directory oder auf SQL-Servern verfügen.
Natürlich sollten die Benutzerkonten über besonders sichere und komplexe Kennwörter verfügen. Experten empfehlen Kennwörter mit mindestens 15 Zeichen Länge. Aber auch hier sollte das Kennwort so oft wie möglich geändert werden. Administratoren müssen sich dann zwar häufiger neu anmelden, dafür steigt die Sicherheit.
Rechner auf denen sich Administratoren mit Administrator-Rechten anmelden, sollten so aktuell wie möglich sein und dem neusten Stand entsprechen. Die Rechner sollten möglichst nicht mit dem WLAN verbunden sein, da hier ebenfalls Sicherheitsgefahren lauern. Selbstredend sollte auch die Anzahl derartiger Rechner sehr begrenzt sein. Außerdem sollten die PCs in sicheren Räumen stehen und nur durch Administratoren nutzbar sein.
Administratoren sollten nur bei normalen Benutzerkonten mit E-Mails arbeiten. Administrator-Konten sollten über kein E-Mail-Konto verfügen. In Netzwerken mit E-Mail-Zugang sollte daher überprüft werden, dass keinerlei Administrator-Konten E-Mail-Zugang erhalten, auch dann nicht, wenn moderne Systeme wie Exchange zum Einsatz kommen.
Fazit
Um Pass the Hash-Angriffe zu verhindern, müssen viele Unternehmen umdenken – auch im Mittelstand. Die Arbeit der Administratoren wird unbequemer, da ständige Kennwortänderungen und Ummeldungen notwendig sind. Ohne Sicherheit sollten aber keine Netzwerke betrieben werden.
PtH-Angriffe gehören zu den gefährlichsten Angriffen auf Netzwerke. Das liegt daran, dass diese Angriffe Woche, Monate oder vielleicht sogar Jahre unbemerkt bleiben und Daten des Unternehmens während dieser Zeit problemlos abgegriffen werden können. Die Sicherheit lässt sich mit Bordmitteln und neuen Vorgehensweisen schon deutlich erhöhen. Daher sollten IT-Verantwortliche das Thema ernst nehmen.
(ID:43481679)
