Die Vernetzung mit IoT ist Reali­tät und betrifft alle Organisatio­nen. Smarte Komponenten gera­ten verstärkt in das Blickfeld vonCyberkriminellen und werdenimmer öfter als Angriffsvektormissbraucht. Um solche End­punkte und die eigenen Netzwer­ke abzusichern, brauchen Unter­nehmen Sichtbarkeit, Segmentie­rung, Klassifizierung und Erken­nung von Endpunkten in ihrenNetzwerken.

Visibilität bedeutet die Sichtbar­keit der Verbindungen im eige­nen Netzwerk und über die ange­schlossenen Endgeräte – egal, obfirmeneigene Endpunkte, Privat­geräte oder IoT. DynamischeSegmentierung des Netzwerksdient der Begrenzung und derVorsorge, um das Ausmaß vonSicherheitseinbrüchen zu limitie­ren. Durch Klassifizierung vonIoT­Geräten werden das Risikound der Aufwand deutlich ver­mindert. Darüber hinaus wird dieErkennung von verdächtigen Ak­tivitäten durch nicht­verwalteteIoT­Endpunkte möglich.

IAIT hat drei verschiedene IoT­Bedrohungsszenarien getestet. Inallen drei Fällen hat ForeScoutCounterACT die Angriffe er­kannt und blockiert. ForeScout

CounterACT ist nicht nur geeig­net, um Unternehmensnetzwerkevor Bedrohungen durch kompro­mittierte PCs und Server zuschützen, sondern kann auch An­griffe über IoT­Geräte abwehren.

ArchitekturForeScouts CounterACT kommtfür einen Großteil seiner Funktio­nalität ohne Agenten auf den ver­walteten Geräten aus und kanndeswegen nicht nur die Kommu­nikation mit bekannten Kompo­nenten absichern, sondern auchmit unbekannten Devices. Dar­über hinaus spielt es auch keineRolle, ob die zu schützenden Pro­dukte verwaltet werden odernicht und ob es sich um statio­näre oder mobile beziehungswei­se physikalische, virtuelle sowieembedded Systeme handelt.

Im Betrieb stellt CounterACT fürdie neu hinzugekommenen Gerä­te diverse Schlüsselinformatio­

nen fest. Dazu gehören zum Bei­spiel der Benutzer, das Betriebs­system, die Gerätekonfiguration,die vorhandene Software, derPatchstand, die laufenden Diensteund der Zustand der Sicherheits­software. Aufgrund der dabei ge­wonnenen Informationen undvordefinierter Policies klassifi­ziert CounterACT anschließenddie jeweiligen Devices, ergreiftbei Bedarf Maßnahmen zumSchutz des Netzes – beispiels­weise konfigurieren die Admi­nistratoren die Lösung aufWunsch so, dass sie nur Kompo­nenten mit aktuellen Virenscan­nersignaturen ins Netz lässt – undüberwacht alle Systeme im lau­fenden Betrieb. Rogue­Kompo­nenten, die ohne Wissen der IT­Abteilung im Netzwerk aktivsind, gehören damit der Vergan­genheit an, genauso wie "BlindSpots" in denen die Unterneh­mens­IT keinen Durchblick hat.Da ein Großteil der Arbeit auto­

Im Test: ForeScout CounterACT 7 im heterogenen Netz

Schutzwall gegen gehackte IoT­DevicesDr. Götz Güttich

Mit CounterACT bietet ForeScout eine Sicherheitslösung für Unternehmensnetze, diesämtliche Komponenten zu dem Zeitpunkt identifiziert und evaluiert, zu dem sie sich

mit dem Netzwerk verbinden. Damit eignet sich das Produkt nicht nur zum Absichern"klassischer" Umgebungen, sondern kann auch zum Einsatz kommen, um die

Kommunikation mit "Internet of Things"­Devices zu schützen. Wir haben uns imTestlabor angesehen, was CounterACT in diesem Zusammenhang leistet.

1

matisch abläuft, spart das Pro­dukt den Administratoren beimAbsichern ihrer Netze viel Zeit.Um die Unternehmens­IT vor alsriskant angesehenen Endpointszu schützen, bietet die ForeS­cout­Lösung zudem eine Quaran­täne an, in denen die Clients bei­spielsweise ihre Antivirus­Patternaktualisieren oder benötigte Pat­ches einspielen können, bevor sieZugriff auf das LAN erhalten.Außerdem ist sie auch dazu inder Lage, die Konfiguration vonSwitches zu beeinflussen und sobeispielsweise Ports zu schlie­

ßen, über die verdächtige Aktivi­täten stattfinden.

CounterACT steht sowohl alsvirtuelle Lösung als auch in App­liance­Form zur Verfügung. DieAppliances kommen in verschie­denen Hardwareversionen undkönnen Netze mit bis zu einerMillion Endpoints schützen. DasProdukt arbeitet im Betrieb miteiner Vielzahl von Switches,Routern, VPNs, WLAN­Kompo­nenten, Firewalls, Patch Manage­

ment Systemen, Antivirus­Lösun­gen, Verzeichnissen, Ticketsyste­men und Betriebssystemen wieAndroid, iOS, Linux, MacOSund Windows zusammen. Bei derImplementierung von Counter­ACT in einem existierenden Netzmüssen die Administratoren le­diglich sicherstellen, dass die Se­curity Lösung Zugriff auf denNetzwerkverkehr erhält, Ände­rungen an der Infrastruktur sindnicht erforderlich.

Aufgrund der eben geschildertenFunktionsweise eignet sich

CounterACT nicht nur zum Absi­chern des Unternehmensnetzesgegen nicht von der IT­Abteilungverwaltete Geräte von Kunden,Besuchern und Mitarbeitern (BY­OD), sondern schützt auch vorMalware und Botnetzen sowieInternet of Things­Devices (IoT).Die Compliance bleibt dabei je­derzeit sichergestellt und dieNetzwerke sind nicht nur gegenAngriffe von außen, sondernauch gegen Bedrohungen von in­nen geschützt.

FunktionsweiseIm Betrieb arbeitet die ForeS­cout­Lösung Out of Band imNetz. Sie kann beispielsweise aneinem Mirror­Port hängen unddort die Datenübertragungenanalysieren. Dabei stellt sie so­fort fest, wenn neue Geräte inNetz kommen und erkennt sogarKomponenten ohne IP­Adressen,da sie auch Verkehr unter die Lu­pe nimmt, der lediglich überMAC­Adressen abgewickeltwird. Anschließend sammelt siedie obengenannten Informationenund wendet vorgefertigte Regelnan, die festlegen, wie mit deneinzelnen Devices verfahrenwerden soll. So meldet sich dasProdukt zum Beispiel mit Hilfezuvor definierter Credentials beieinem Windows­Rechner an.Klappt das, so stuft sie ihn als einvon der IT­Abteilung verwaltetesGerät ein und gibt ihm umfas­sendere Zugriffsrechte, als demNotebook eines Gastes, bei demsie sich nicht einloggen kann unddas deswegen lediglich auf dasInternet zugreifen darf. Sind ak­tive Maßnahmen erforderlich, et­wa weil eine Komponente alsriskant für das Netz angesehenwird, so ist CounterACT dazu inder Lage, über einen so genann­ten Response­Port Daten ins Netzzu schicken, um die Verbindungdes riskanten Geräts mit denLAN­Devices zu unterbinden,beispielsweise durch das Blo­ckieren eines Switch­Ports oderdas Verschieben eines Angreifersin die Quarantäne. Auch Warn­meldungen lassen sich auf dieseWeise ins Netz übertragen.

IoT als BedrohungIoT Devices verbreiten sich im­mer mehr und so stellen ein nichtzu unterschätzendes Sicherheits­problem dar. Verbindet sich einIoT Gerät, wie beispielsweise ein

2

Nach dem ersten Login bei der CounterACT­Appliance startet der Initial Se­tup Wizard

IP­Telefon oder eine Kamera mitdem Netz, so hat es nicht nur dieMöglichkeit, Daten in diesesNetz zu senden und aus demNetz zu empfangen, sondernkann auch zu einem Einfallstorfür Hacker werden. Die Gerätesind ja dann über das Netz an­sprechbar, ihre IP­Stacks sindselten gehärtet und eventuelle Si­cherheitslücken lassen sich aufihnen genauso ausnutzen wie aufklassischen IT­Komponenten.

In diesem Zusammenhang spie­len auch unzureichende Ver­schlüsselung und schwache Au­thentifizierungsschemata eineRolle. Ähnlich wie bei diversenmobilen Geräten besteht bei IoT­Komponenten sogar noch größe­res Gefahrenpotential als bei"normalen" Computern, weil kei­neswegs feststeht, dass die Her­steller der IoT­Geräte gefundeneSicherheitsprobleme zeitnah oderüberhaupt fixen. IoT­Devicessind also eine latente, jederzeit zuberücksichtigende Bedrohung, daHacker über sie dazu in der Lagesein könnten, Zugriff auf die Da­ten im Netz zu erlangen.

Der TestIm Test implementierten wirCounterACT in unserer Netz­werkumgebung und konfigurier­ten das Produkt so, dass es diebei uns vorkommenden Kompo­nenten klassifizierte, absicherteund im laufenden Betrieb über­wachte. Anschließend erzeugtenwir diverse Policies, die zumEinsatz kamen, um unser Netzgegen typische Angriffsszenarienüber IoT­Devices abzusichern.Zum Schluss überprüften wir dieWirksamkeit dieser Regeln.

InbetriebnahmeUm die CounterACT­Appliancein Betrieb zu nehmen, schlossen

wir zunächst einmal einen Moni­tor und eine Tastatur an die Lö­sung an und fuhren sie hoch.Nach dem Systemstart fragte unsdas Produkt nach der zu verwen­denden Tastaturbelegung und botuns dann drei Konfigurationsop­tionen an. Die erste nannte sich"Standard", das ist die Konfigu­ration als Stand­Alone­Applian­ce, die wir im Test auch verwen­deten. Alternativ lässt sich dieLösung auch als Primary oderSecondary Node in einer Hoch­verfügbarkeitsumgebung einrich­ten.

Im nächsten Schritt haben dieAdministratoren die Wahl zwi­schen einem Einsatz von Coun­terACT als Appliance oder alsEnterprise Manager. Im Enterpri­se Manager­Modus ist das Pro­dukt dazu in der Lage, andereCounterACT­Appliances in grö­ßeren Umgebungen mit zu steu­ern. Da wir nur über eine App­liance verfügten, spielte dieserModus für unseren Test keineRolle.

Jetzt ging es an die Festlegungdes Administrator­Passworts, desHostnamens und des Netzwerk­Interfaces für Managementzu­griffe. Unsere Appliance verfügteüber vier Netzwerkschnittstellen,wir definierten die erste als Ver­waltungszugang. Im letztenSchritt gaben wir dann noch dieNetzwerkkonfiguration für dasManagement Interface mit IP­Adresse, Gateway, Netzwerk­maske und ähnlichem am, danachlief das Setup durch und die App­liance war über das Netz erreich­bar.

Sobald die Erstkonfiguration er­ledigt war, schlossen wir denvierten Port der Appliance, derim Betrieb die Aufgabe des Mo­

nitoring Ports übernehmen sollte,an einen Mirror Port unseres Cis­co­LAN­Switches an, damit erEinblick in den Verkehr in unse­rem Netz gewinnen konnte. Dendritten Port – dieser sollte als Re­sponse­Port arbeiten – verbandenwir mit einem normalen Netz­werkanschluss auf dem gleichenSwitch.

Damit war die Hardwarekonfigu­ration abgeschlossen und wirkonnten uns daranmachen, dasCounterACT­System fertig ein­zurichten. Im Betrieb erfolgt dieKonfiguration der Lösung überdie "CounterACT Console", diefür Management­Workstationsunter Linux und Windows zurVerfügung steht. Wir installiertensie auf einem Rechner mit Win­dows 10 Version 1607 in der 64Bit­Variante. Dieses System ver­fügte über einen Quad­Core­Pro­zessor, acht GByte RAM und 200GByte freien Festplattenplatz.

Die Installation der Konsole läuftwie unter Windows üblich, Wi­zard­gesteuert ab und wird kei­nen Administratoren vor irgend­welche Schwierigkeiten stellen.Nach dem ersten Login mit derKonsole bei der Appliance startetzunächst der "Initial Setup"­As­sistent. Dieser zeigt zuerst einenWillkommensbildschirm an undmöchte dann die Zeitzone, dieUhrzeit und – falls vorhanden –den zu verwendenden NTP­Ser­ver wissen.

Anschließend haben die zustän­digen Mitarbeiter Gelegenheit,eine Administrator E­Mail mitMail­Relay zu definieren, das zuverwendende Directory zur Be­nutzerauthentifizierung anzuge­ben (Microsoft Active Directory,LDAP, Novell eDirectory, SunDirectory Server oder IBM Lotus

3

Notes) und die Domain Credenti­als festzulegen, die die Applianceim Betrieb verwendt, um sich beiden Hosts im Netz anzumeldenund auf ihnen eine Deep Inspec­tion durchzuführen.

Der nächste Konfigurationsdia­log befasst sich mit den Authenti­fizierungsservern. Da wir bereitszuvor unseren Active Directory­

Controller angegeben hatten,fand sich dieser bereits in derListe, bei Bedarf haben die Ad­ministratoren an dieser Stelleaber Gelegenheit, weitere Datennachzutragen.

Anschließend fragte der Wizardnach dem internen Netz, also denIP­Bereichen, die die Applianceals intern ansehen soll. Darüberhinaus möchte er auch noch denEnforcement Mode wissen. Hier

gibt es entweder "Full Enforce­ment" mit NAT­Detection, "AutoDiscovery" (hier untersucht dasProdukt ständig, ob neue Kompo­nenten ins Netz kommen) und"Partial Enforcement" ohne Thre­at Protection, HTTP­Actionenund virtuelle Firewall. Mit dervirtuellen Firewall ist die Lösungdazu in der Lage, über eine Art"Man in the Middle"­Angriff Da­

tenübertragungen zu unterbindenund so Endpunkte aus dem Ver­kehr zu ziehen.

Unter "Channels" geben die zu­ständigen Mitarbeiter an, welchePorts für welche Aufgaben (Mo­nitor, Response und so weiter)zum Einsatz kommen sollen undder Bereich "Switch" dient dazu,Zugangsdaten zu Alcatel­, Bro­cade­, Cisco­, Huawei­, Palo Al­to­ und vielen anderen Switches

festzulegen, über die die App­liance dann bei Bedarf dieSwitch­Konfiguration verändernkann, beispielsweise um Portsumzukonfigurieren.

Im Punkt "Policy" legen die Ver­antwortlichen die Regeln an, diezum Einsatz kommen, um dieNetzwerkkomponenten zu klassi­fizieren, ihre Sicherheit zu ge­währleisten (zum Beispiel durchdas Überwachen der Aktualitätder Antiviren­Pattern) und um sieim laufenden Betrieb zu überwa­chen. Im Test verschoben wir diePolicy­Definition auf später undlegten erst einmal mit einem lee­ren Regelsatz los.

Der Bereich "Inventory" bietetden zuständigen Mitarbeiternschließlich eine nicht Host­bezo­gene Netzwerkübersicht. Überdiese lassen sich beispielsweiseoffene Ports im Netz oder auchim Netzwerk laufende Win­dowsdienste anzeigen. Mit ihrschließt der Konfigurations­Wi­zard und die Appliance nimmtnach einem Neustart die Arbeitauf.

Konfiguration im laufendenBetriebWenden wir uns nun ein paarpraktischen Beispielen zu, diezeigen, wie sich Unternehmens­netze mit Hilfe von CounterACTgegen Bedrohungen durch IoT­Geräte sichern lassen. Das ersteBeispiel kommt in den bereits er­wähnten Szenarien zum Einsatz,in denen IoT­Komponenten ge­hackt und als Einfallstore in dasNetzwerk – beispielsweise zumDatenklau – genutzt werden. Daszweite Beispiel zeigt, wie Admi­nistratoren bestimmte Geräte­klassen – hier sind es exempla­risch Drucker – gegen Miss­brauch absichern und das dritte

4

Die ForeScout­Lösung sammelt im Betrieb viele Details über die Netzwerk­komponenten

Beispiel geht darauf ein, wie dieAppliance Portscans im Netz er­kennt und abwehrt, die Angreifernormalerweise durchführen,nachdem sie auf einem DeviceFuß gefasst haben. So finden sieheraus, welche Dienste zur Ver­fügung stehen.

Beispiel 1: Erkennung und Ab­sicherung gehackter IoT­Devi­cesÜbernimmt ein Angreifer ein Ge­rät – beispielsweise ein Smart TVin einem Besprechungsraum odereine Webcam – so kann er dieMAC Adresse dieses Devices än­dern um sich als ein anderes Pro­dukt auszugeben. Viele Unter­nehmen arbeiten mit Sicherheits­lösungen, die auf Access Control

Lists (ACLs) aufsetzen. In diesenListen werden die Geräte imNetz klassifiziert, so wird bei­spielsweise angegeben, dass derRechner mit der MAC­Adresse

FC:FC:48:23:b0:c4 einen Win­dows­Client darstellt währenddas Gerät mit der MAC­AdresseD8:1F:CC:28:d1:00 ein SmartTV ist.

Viele Unternehmenssicherheits­lösungen erlauben den Systemennun anhand dieser Klassifizie­rung den Zugriff auf bestimmteKomponenten, so kann es sinn­voll sein, Mac OS­ oder Win­dows­Rechnern Zugriffsrechteauf bestimmte File Server zu ge­ben und gleichzeitig dafür zu sor­gen, dass IP­Kameras und SmartTVs eben keinen Zugriff auf die­se Server erhalten. In vielen Fäl­len reicht es also schon aus, dieMAC­Adresse eines gehacktenIoT­Geräts zu ändern, um die Se­

curity­Produkte zu umgehen undan die Daten heranzukommen.Umgekehrt kann es ein vielenUmgebungen auch sinnvoll sein,sich als anderes Betriebssystem

zu tarnen: Tritt eine Linux­ba­sierte Webcam beispielsweise alsWindows­System auf, so kanndas oftmals auch schon genügen,um erhöhte Rechte zu erhalten.

Um ein so einem Szenario für Si­cherheit zu sorgen, müssen dieAdministratoren zunächst einmaleine CounterACT­Regel erzeu­gen, die die vorhandenen Gerätein bestimmte Gruppen einordnet,wie beispielsweise Netzwerkge­räte (also Router und Switches),Linux­Server, Windows­PCs,Mac OS­Systeme, Drucker,VoIP­Lösungen und so weiter.Das funktioniert, wie zuvor be­schrieben, im Rahmen des Netz­werk­Scans automatisch anhandder bei dem Scan gewonnenenInformationen. Möchte man zumBeispiel alle IP­Kameras in ei­nem Unternehmen in eine Grup­pe "IP­Cameras" einordnen undsind alle vorhandenen Kamerasentweder von Axis, D­Link oderMobotix, so könnten die zustän­digen Mitarbeiter mit Hilfe derCounterACT­Konsole eine Policyerstellen, die alle Geräte, dieMAC­Adressen haben, die zuden genannten Herstellern gehö­ren, in die Gruppe "IP­Cameras"verschiebt.

Damit ist aber noch nicht klar,wo die Kamera herkommt. Eskann sich dabei auch um einRogue­Device handeln, das zu­fällig (oder mit Absicht) von ei­nem der gleichen Herstellerstammt, wie die regulären Kame­ras im Unternehmen. Deswegenergibt es Sinn, die Gruppe "IP­Cameras" um zwei Untergruppenzu erweitern. Die erste nennt sich"Corporate IP­Camera" und sollim Betrieb alle Unternehmenska­meras umfassen. Die zweite heißtlogischerweise "Non CorporateDevices", in sie werden alle Ka­

5

Bei Bedarf lässt sich im Rahmen der Klassifizierung genau festlegen, welchePorts auf einem System offen sein dürfen und welche nicht. Anhand dieser Da­ten erfolgt dann die Einordnung in Gruppen.

meras einsortiert, die die App­liance nicht kennt. Die Unter­scheidung lässt sich über eineMAC­Adressliste treffen: gebendie zuständigen Mitarbeiter inder Policy­Definition sämtlicheIP­Adressen der im Unternehmenvorhandenen IP­Kameras an, soerhält CounterACT eine sichereMöglichkeit, die fremden Kame­ras von den eigenen zu unter­scheiden.

Während des Scans findet Coun­terACT nicht nur die MAC­

Adressen der Geräte im Netz her­aus, sondern – wie angesprochen– auch andere Parameter, wie IP­Adresse, offene Ports oder ebendas Betriebssystem. Die Sicher­heitslösung ist also ohne weiteresdazu in der Lage, ein Deviceauch dann wiederzuerkennen,wenn sich ein Parameter wie dieMAC­Adresse oder das verwen­dete Betriebssystem ändert.

Wird nun eine der Webcams ge­hackt und setzt der AngreiferMAC­Adress­Spoofing ein, umim Netz die MAC­Adresse einesbekannten Windows­Clients vor­zugaukeln um die ACLs zu um­

gehen, so erkennt CounterACT,dass das Gerät jetzt mit einer an­deren MAC­Adresse im Netz un­terwegs ist. Da sich diese nicht inder Liste der bekannten MAC­Adressen von IP­Kameras befin­det, landet das Device im nächs­ten Schritt in der Gruppe der"Non Corporate Devices".

Damit wurde der Angreifer schoneinmal identifiziert. Jetzt ist esnoch erforderlich, ihn unschäd­lich zu machen. Deswegen fügendie IT­Verantwortlichen der Poli­

cy noch eine Aktion hinzu, diedafür sorgt, dass kein Datenklauerfolgt. Hierfür stehen verschie­dene Möglichkeiten zur Verfü­gung. So lassen sich beispiels­weise alle in der Gruppe "NonCorporate Devices" vorhandenenGeräte in ein Quarantäne­VLANverschieben, in dem sie keinenSchaden anrichten können.

Alternativ lässt sich CounterACTauch so einrichten, dass es auto­matisch den Switch­Port, an demdas betroffene Gerät hängt, blo­ckiert. Dazu greift die Sicher­heitslösung auf die Switch­Kon­figuration zu. Gleichzeitig kann

das Produkt auch Alarmmeldun­gen an die Administratoren ver­schicken und vieles mehr. Aufdiese Weise ist es relativ einfachmöglich, Datenklau über IoT­Ge­räte mit Hilfe von MAC­Adress­Spoofing zu unterbinden. Im Testverwendeten wir einen Linux­Client unter Fedora 24, um dasMAC­Spoofing zu simulierenund CounterACT erkannte unsereManipulation sofort.

Gibt sich ein Angreifer übrigensals anderes Betriebssystem aus,in unserem Beispiel als Win­dows­Client, so würde ein ande­res Regelwerk greifen, da in un­serem Szenario zunächst einmaldie Windows­Geräte klassifiziertwurden. Die Zuteilung "Windowsoder nicht Windows" fand alsovor der Zuteilung zur Gruppe"IP­Cameras" statt und das kom­promittierte Gerät, das sich alsWindows­Lösung ausgab, landetefolgerichtig nicht im Bereich derIP­Kameras, sondern bei denWindows­Systemen. Für dieselassen sich dann auch wieder un­terschiedliche Sicherheitsregelnfestlegen, im Test verschoben wiralle Windows­Systeme, bei denensich CounterACT nicht einloggenkonnte, also auch unseren Test­rechner mit der falschen Be­triebssystemidentifikation inQuarantäne, damit sie keinenSchaden anrichten konnten.

Beispiel 2: Printer P2P Clarifi­cationIn unserem zweiten Szenario gehtes darum, dass ein Angreifereinen Drucker übernimmt undanschließend versucht, mittelsP2P über diesen Drucker Datenaus dem Haus zu schaffen. Auchdies verhindert CounterACT. Diebetroffene Policy ordnet wiederzunächst einmal die im Netz vor­handenen Komponenten be­

6

CounterACT erkennt eine Vielzahl unterschiedlicher Angriffsszenarien

stimmten Gruppen zu. In unse­rem Beispiel lassen sich Druckerdadurch erkennen, dass bei ihnender Port 9100 für die Druckauf­träge und Port 80 für das Konfi­gurationsinterface offen sind.Stammen im Unternehmen alleDrucker von einem Hersteller,beispielsweise "Xerox", so lässtsich auch wieder der NIC­Her­steller zur Klassifizierung nutzen.

Bei Bedarf ist es sogar möglich,CounterACT anzuweisen, dasWeb­Interface des Druckers auf­zurufen und zu überprüfen, obdieses bestimmte Inhalte, wieden Ansprechpartner im Unter­nehmen, ausliefert. Treffen alledie genannten Faktoren zu, solandet der Drucker in der Gruppe"Corporate Printers".

Richtet nun ein Hacker auf demDrucker einen P2P­Dienst ein, soöffnen sich dadurch in der Regelzusätzliche Ports. CounterACTerkennt dies im laufenden Be­trieb und verschiebt deswegenden Drucker in den Ordner "NonCorporate Devices". Hier lassensich dann wieder diverse Aktio­

nen definieren, die die Sicher­heits­Appliance dann durchführt,um Datendiebstahl zu verhin­dern.

Beispiel 3: Abwehr von PortScansUnser drittes Beispiel dreht sichum Portscans. Dringt ein Hackerin ein unbekanntes Netzwerk ein,wird nach der Übernahme des

ersten Geräts sein nächsterSchritt mit ziemlicher Sicherheitdarin liegen, einen Portscan imNetz durchzuführen, um heraus­zufinden, auf welchen Maschinenwelche Dienste angeboten wer­den. Deswegen ist es wichtig,Computer oder andere Systemeim Netz, die nicht von der IT­Ab­teilung autorisierte Portscansdurchführen, frühzeitig zu erken­nen und zu isolieren, bevor siefür Angriffe auf die Netzwerk­dienste zum Einsatz kommen.Auch hier lässt sich CounterACTnutzen.

Dazu müssen die Verantwortli­chen ihre Sicherheits­Appliancelediglich anweisen, bei allen im

Netzwerk vorhandenen Systemenzu überprüfen, ob sie Portscansdurchführen. Darüber hinauskönnen sie auch diverse andereMalicious Events erfassen, wiebeispielsweise Hostname­Scans,NetBIOS Name Scans, PasswordScans, SNMP Community Scansund ähnliches. Sobald die ForeS­cout­Lösung solch eine Aktivitätbemerkt, kann sie wieder eineAktion wie das Blockieren desbetroffenen Switch Ports oder dasVerschieben des jeweiligen Sys­tems in Quarantäne durchführen.Damit wurde der Angreifer iso­liert und das Netz ist vor weiterenAktionen seinerseits sicher. ImTest führten wir sowohl PortScans unter Windows Systemenals auch unter Kali­Linux aus,dabei erkannte CouterACT unse­re Aktionen sofort.

FazitEine Sicherheits­Appliance wieForeScouts CounterACT eignetsich nicht nur hervorragend, umUnternehmensnetze gegen Ge­fahren durch gekaperte PCs undServer abzusichern, sondern kannauch Angriffe abwehren, die überIoT­Komponenten laufen. DerFunktionsumfang des Produktsist beeindruckend, trotzdem läuftdie Konfiguration der einzelnenPolicies verhältnismäßig unkom­pliziert ab, da der Hersteller dasKonfigurations­ und Manage­ment­Interface sehr übersichtlichkonzipiert hat. Im Test waren dieRegeln für unsere drei Angriffs­Szenarios schnell und problemlosimplementiert und im Betrieb er­gaben sich keinerlei negativeÜberraschungen.

Dr. Götz Güttich leitet das Insti­tut zur Analyse von IT­Kompo­nenten (IAIT) in Korschenbroich.Sein Blog findet sich unter www.­sysbus.eu.

Detailinformationen über einen zuvor erfolgten Password Scan

7