Schutzwall gegen gehackte IoTDevices - forescout.de · Die Vernetzung mit IoT ist Reali tät und...
-
Upload
truongkien -
Category
Documents
-
view
214 -
download
0
Transcript of Schutzwall gegen gehackte IoTDevices - forescout.de · Die Vernetzung mit IoT ist Reali tät und...
Die Vernetzung mit IoT ist Realität und betrifft alle Organisationen. Smarte Komponenten geraten verstärkt in das Blickfeld vonCyberkriminellen und werdenimmer öfter als Angriffsvektormissbraucht. Um solche Endpunkte und die eigenen Netzwerke abzusichern, brauchen Unternehmen Sichtbarkeit, Segmentierung, Klassifizierung und Erkennung von Endpunkten in ihrenNetzwerken.
Visibilität bedeutet die Sichtbarkeit der Verbindungen im eigenen Netzwerk und über die angeschlossenen Endgeräte – egal, obfirmeneigene Endpunkte, Privatgeräte oder IoT. DynamischeSegmentierung des Netzwerksdient der Begrenzung und derVorsorge, um das Ausmaß vonSicherheitseinbrüchen zu limitieren. Durch Klassifizierung vonIoTGeräten werden das Risikound der Aufwand deutlich vermindert. Darüber hinaus wird dieErkennung von verdächtigen Aktivitäten durch nichtverwalteteIoTEndpunkte möglich.
IAIT hat drei verschiedene IoTBedrohungsszenarien getestet. Inallen drei Fällen hat ForeScoutCounterACT die Angriffe erkannt und blockiert. ForeScout
CounterACT ist nicht nur geeignet, um Unternehmensnetzwerkevor Bedrohungen durch kompromittierte PCs und Server zuschützen, sondern kann auch Angriffe über IoTGeräte abwehren.
ArchitekturForeScouts CounterACT kommtfür einen Großteil seiner Funktionalität ohne Agenten auf den verwalteten Geräten aus und kanndeswegen nicht nur die Kommunikation mit bekannten Komponenten absichern, sondern auchmit unbekannten Devices. Darüber hinaus spielt es auch keineRolle, ob die zu schützenden Produkte verwaltet werden odernicht und ob es sich um stationäre oder mobile beziehungsweise physikalische, virtuelle sowieembedded Systeme handelt.
Im Betrieb stellt CounterACT fürdie neu hinzugekommenen Geräte diverse Schlüsselinformatio
nen fest. Dazu gehören zum Beispiel der Benutzer, das Betriebssystem, die Gerätekonfiguration,die vorhandene Software, derPatchstand, die laufenden Diensteund der Zustand der Sicherheitssoftware. Aufgrund der dabei gewonnenen Informationen undvordefinierter Policies klassifiziert CounterACT anschließenddie jeweiligen Devices, ergreiftbei Bedarf Maßnahmen zumSchutz des Netzes – beispielsweise konfigurieren die Administratoren die Lösung aufWunsch so, dass sie nur Komponenten mit aktuellen Virenscannersignaturen ins Netz lässt – undüberwacht alle Systeme im laufenden Betrieb. RogueKomponenten, die ohne Wissen der ITAbteilung im Netzwerk aktivsind, gehören damit der Vergangenheit an, genauso wie "BlindSpots" in denen die UnternehmensIT keinen Durchblick hat.Da ein Großteil der Arbeit auto
Im Test: ForeScout CounterACT 7 im heterogenen Netz
Schutzwall gegen gehackte IoTDevicesDr. Götz Güttich
Mit CounterACT bietet ForeScout eine Sicherheitslösung für Unternehmensnetze, diesämtliche Komponenten zu dem Zeitpunkt identifiziert und evaluiert, zu dem sie sich
mit dem Netzwerk verbinden. Damit eignet sich das Produkt nicht nur zum Absichern"klassischer" Umgebungen, sondern kann auch zum Einsatz kommen, um die
Kommunikation mit "Internet of Things"Devices zu schützen. Wir haben uns imTestlabor angesehen, was CounterACT in diesem Zusammenhang leistet.
1
matisch abläuft, spart das Produkt den Administratoren beimAbsichern ihrer Netze viel Zeit.Um die UnternehmensIT vor alsriskant angesehenen Endpointszu schützen, bietet die ForeScoutLösung zudem eine Quarantäne an, in denen die Clients beispielsweise ihre AntivirusPatternaktualisieren oder benötigte Patches einspielen können, bevor sieZugriff auf das LAN erhalten.Außerdem ist sie auch dazu inder Lage, die Konfiguration vonSwitches zu beeinflussen und sobeispielsweise Ports zu schlie
ßen, über die verdächtige Aktivitäten stattfinden.
CounterACT steht sowohl alsvirtuelle Lösung als auch in ApplianceForm zur Verfügung. DieAppliances kommen in verschiedenen Hardwareversionen undkönnen Netze mit bis zu einerMillion Endpoints schützen. DasProdukt arbeitet im Betrieb miteiner Vielzahl von Switches,Routern, VPNs, WLANKomponenten, Firewalls, Patch Manage
ment Systemen, AntivirusLösungen, Verzeichnissen, Ticketsystemen und Betriebssystemen wieAndroid, iOS, Linux, MacOSund Windows zusammen. Bei derImplementierung von CounterACT in einem existierenden Netzmüssen die Administratoren lediglich sicherstellen, dass die Security Lösung Zugriff auf denNetzwerkverkehr erhält, Änderungen an der Infrastruktur sindnicht erforderlich.
Aufgrund der eben geschildertenFunktionsweise eignet sich
CounterACT nicht nur zum Absichern des Unternehmensnetzesgegen nicht von der ITAbteilungverwaltete Geräte von Kunden,Besuchern und Mitarbeitern (BYOD), sondern schützt auch vorMalware und Botnetzen sowieInternet of ThingsDevices (IoT).Die Compliance bleibt dabei jederzeit sichergestellt und dieNetzwerke sind nicht nur gegenAngriffe von außen, sondernauch gegen Bedrohungen von innen geschützt.
FunktionsweiseIm Betrieb arbeitet die ForeScoutLösung Out of Band imNetz. Sie kann beispielsweise aneinem MirrorPort hängen unddort die Datenübertragungenanalysieren. Dabei stellt sie sofort fest, wenn neue Geräte inNetz kommen und erkennt sogarKomponenten ohne IPAdressen,da sie auch Verkehr unter die Lupe nimmt, der lediglich überMACAdressen abgewickeltwird. Anschließend sammelt siedie obengenannten Informationenund wendet vorgefertigte Regelnan, die festlegen, wie mit deneinzelnen Devices verfahrenwerden soll. So meldet sich dasProdukt zum Beispiel mit Hilfezuvor definierter Credentials beieinem WindowsRechner an.Klappt das, so stuft sie ihn als einvon der ITAbteilung verwaltetesGerät ein und gibt ihm umfassendere Zugriffsrechte, als demNotebook eines Gastes, bei demsie sich nicht einloggen kann unddas deswegen lediglich auf dasInternet zugreifen darf. Sind aktive Maßnahmen erforderlich, etwa weil eine Komponente alsriskant für das Netz angesehenwird, so ist CounterACT dazu inder Lage, über einen so genannten ResponsePort Daten ins Netzzu schicken, um die Verbindungdes riskanten Geräts mit denLANDevices zu unterbinden,beispielsweise durch das Blockieren eines SwitchPorts oderdas Verschieben eines Angreifersin die Quarantäne. Auch Warnmeldungen lassen sich auf dieseWeise ins Netz übertragen.
IoT als BedrohungIoT Devices verbreiten sich immer mehr und so stellen ein nichtzu unterschätzendes Sicherheitsproblem dar. Verbindet sich einIoT Gerät, wie beispielsweise ein
2
Nach dem ersten Login bei der CounterACTAppliance startet der Initial Setup Wizard
IPTelefon oder eine Kamera mitdem Netz, so hat es nicht nur dieMöglichkeit, Daten in diesesNetz zu senden und aus demNetz zu empfangen, sondernkann auch zu einem Einfallstorfür Hacker werden. Die Gerätesind ja dann über das Netz ansprechbar, ihre IPStacks sindselten gehärtet und eventuelle Sicherheitslücken lassen sich aufihnen genauso ausnutzen wie aufklassischen ITKomponenten.
In diesem Zusammenhang spielen auch unzureichende Verschlüsselung und schwache Authentifizierungsschemata eineRolle. Ähnlich wie bei diversenmobilen Geräten besteht bei IoTKomponenten sogar noch größeres Gefahrenpotential als bei"normalen" Computern, weil keineswegs feststeht, dass die Hersteller der IoTGeräte gefundeneSicherheitsprobleme zeitnah oderüberhaupt fixen. IoTDevicessind also eine latente, jederzeit zuberücksichtigende Bedrohung, daHacker über sie dazu in der Lagesein könnten, Zugriff auf die Daten im Netz zu erlangen.
Der TestIm Test implementierten wirCounterACT in unserer Netzwerkumgebung und konfigurierten das Produkt so, dass es diebei uns vorkommenden Komponenten klassifizierte, absicherteund im laufenden Betrieb überwachte. Anschließend erzeugtenwir diverse Policies, die zumEinsatz kamen, um unser Netzgegen typische Angriffsszenarienüber IoTDevices abzusichern.Zum Schluss überprüften wir dieWirksamkeit dieser Regeln.
InbetriebnahmeUm die CounterACTAppliancein Betrieb zu nehmen, schlossen
wir zunächst einmal einen Monitor und eine Tastatur an die Lösung an und fuhren sie hoch.Nach dem Systemstart fragte unsdas Produkt nach der zu verwendenden Tastaturbelegung und botuns dann drei Konfigurationsoptionen an. Die erste nannte sich"Standard", das ist die Konfiguration als StandAloneAppliance, die wir im Test auch verwendeten. Alternativ lässt sich dieLösung auch als Primary oderSecondary Node in einer Hochverfügbarkeitsumgebung einrichten.
Im nächsten Schritt haben dieAdministratoren die Wahl zwischen einem Einsatz von CounterACT als Appliance oder alsEnterprise Manager. Im Enterprise ManagerModus ist das Produkt dazu in der Lage, andereCounterACTAppliances in größeren Umgebungen mit zu steuern. Da wir nur über eine Appliance verfügten, spielte dieserModus für unseren Test keineRolle.
Jetzt ging es an die Festlegungdes AdministratorPassworts, desHostnamens und des NetzwerkInterfaces für Managementzugriffe. Unsere Appliance verfügteüber vier Netzwerkschnittstellen,wir definierten die erste als Verwaltungszugang. Im letztenSchritt gaben wir dann noch dieNetzwerkkonfiguration für dasManagement Interface mit IPAdresse, Gateway, Netzwerkmaske und ähnlichem am, danachlief das Setup durch und die Appliance war über das Netz erreichbar.
Sobald die Erstkonfiguration erledigt war, schlossen wir denvierten Port der Appliance, derim Betrieb die Aufgabe des Mo
nitoring Ports übernehmen sollte,an einen Mirror Port unseres CiscoLANSwitches an, damit erEinblick in den Verkehr in unserem Netz gewinnen konnte. Dendritten Port – dieser sollte als ResponsePort arbeiten – verbandenwir mit einem normalen Netzwerkanschluss auf dem gleichenSwitch.
Damit war die Hardwarekonfiguration abgeschlossen und wirkonnten uns daranmachen, dasCounterACTSystem fertig einzurichten. Im Betrieb erfolgt dieKonfiguration der Lösung überdie "CounterACT Console", diefür ManagementWorkstationsunter Linux und Windows zurVerfügung steht. Wir installiertensie auf einem Rechner mit Windows 10 Version 1607 in der 64BitVariante. Dieses System verfügte über einen QuadCoreProzessor, acht GByte RAM und 200GByte freien Festplattenplatz.
Die Installation der Konsole läuftwie unter Windows üblich, Wizardgesteuert ab und wird keinen Administratoren vor irgendwelche Schwierigkeiten stellen.Nach dem ersten Login mit derKonsole bei der Appliance startetzunächst der "Initial Setup"Assistent. Dieser zeigt zuerst einenWillkommensbildschirm an undmöchte dann die Zeitzone, dieUhrzeit und – falls vorhanden –den zu verwendenden NTPServer wissen.
Anschließend haben die zuständigen Mitarbeiter Gelegenheit,eine Administrator EMail mitMailRelay zu definieren, das zuverwendende Directory zur Benutzerauthentifizierung anzugeben (Microsoft Active Directory,LDAP, Novell eDirectory, SunDirectory Server oder IBM Lotus
3
Notes) und die Domain Credentials festzulegen, die die Applianceim Betrieb verwendt, um sich beiden Hosts im Netz anzumeldenund auf ihnen eine Deep Inspection durchzuführen.
Der nächste Konfigurationsdialog befasst sich mit den Authentifizierungsservern. Da wir bereitszuvor unseren Active Directory
Controller angegeben hatten,fand sich dieser bereits in derListe, bei Bedarf haben die Administratoren an dieser Stelleaber Gelegenheit, weitere Datennachzutragen.
Anschließend fragte der Wizardnach dem internen Netz, also denIPBereichen, die die Applianceals intern ansehen soll. Darüberhinaus möchte er auch noch denEnforcement Mode wissen. Hier
gibt es entweder "Full Enforcement" mit NATDetection, "AutoDiscovery" (hier untersucht dasProdukt ständig, ob neue Komponenten ins Netz kommen) und"Partial Enforcement" ohne Threat Protection, HTTPActionenund virtuelle Firewall. Mit dervirtuellen Firewall ist die Lösungdazu in der Lage, über eine Art"Man in the Middle"Angriff Da
tenübertragungen zu unterbindenund so Endpunkte aus dem Verkehr zu ziehen.
Unter "Channels" geben die zuständigen Mitarbeiter an, welchePorts für welche Aufgaben (Monitor, Response und so weiter)zum Einsatz kommen sollen undder Bereich "Switch" dient dazu,Zugangsdaten zu Alcatel, Brocade, Cisco, Huawei, Palo Alto und vielen anderen Switches
festzulegen, über die die Appliance dann bei Bedarf dieSwitchKonfiguration verändernkann, beispielsweise um Portsumzukonfigurieren.
Im Punkt "Policy" legen die Verantwortlichen die Regeln an, diezum Einsatz kommen, um dieNetzwerkkomponenten zu klassifizieren, ihre Sicherheit zu gewährleisten (zum Beispiel durchdas Überwachen der Aktualitätder AntivirenPattern) und um sieim laufenden Betrieb zu überwachen. Im Test verschoben wir diePolicyDefinition auf später undlegten erst einmal mit einem leeren Regelsatz los.
Der Bereich "Inventory" bietetden zuständigen Mitarbeiternschließlich eine nicht Hostbezogene Netzwerkübersicht. Überdiese lassen sich beispielsweiseoffene Ports im Netz oder auchim Netzwerk laufende Windowsdienste anzeigen. Mit ihrschließt der KonfigurationsWizard und die Appliance nimmtnach einem Neustart die Arbeitauf.
Konfiguration im laufendenBetriebWenden wir uns nun ein paarpraktischen Beispielen zu, diezeigen, wie sich Unternehmensnetze mit Hilfe von CounterACTgegen Bedrohungen durch IoTGeräte sichern lassen. Das ersteBeispiel kommt in den bereits erwähnten Szenarien zum Einsatz,in denen IoTKomponenten gehackt und als Einfallstore in dasNetzwerk – beispielsweise zumDatenklau – genutzt werden. Daszweite Beispiel zeigt, wie Administratoren bestimmte Geräteklassen – hier sind es exemplarisch Drucker – gegen Missbrauch absichern und das dritte
4
Die ForeScoutLösung sammelt im Betrieb viele Details über die Netzwerkkomponenten
Beispiel geht darauf ein, wie dieAppliance Portscans im Netz erkennt und abwehrt, die Angreifernormalerweise durchführen,nachdem sie auf einem DeviceFuß gefasst haben. So finden sieheraus, welche Dienste zur Verfügung stehen.
Beispiel 1: Erkennung und Absicherung gehackter IoTDevicesÜbernimmt ein Angreifer ein Gerät – beispielsweise ein Smart TVin einem Besprechungsraum odereine Webcam – so kann er dieMAC Adresse dieses Devices ändern um sich als ein anderes Produkt auszugeben. Viele Unternehmen arbeiten mit Sicherheitslösungen, die auf Access Control
Lists (ACLs) aufsetzen. In diesenListen werden die Geräte imNetz klassifiziert, so wird beispielsweise angegeben, dass derRechner mit der MACAdresse
FC:FC:48:23:b0:c4 einen WindowsClient darstellt währenddas Gerät mit der MACAdresseD8:1F:CC:28:d1:00 ein SmartTV ist.
Viele Unternehmenssicherheitslösungen erlauben den Systemennun anhand dieser Klassifizierung den Zugriff auf bestimmteKomponenten, so kann es sinnvoll sein, Mac OS oder WindowsRechnern Zugriffsrechteauf bestimmte File Server zu geben und gleichzeitig dafür zu sorgen, dass IPKameras und SmartTVs eben keinen Zugriff auf diese Server erhalten. In vielen Fällen reicht es also schon aus, dieMACAdresse eines gehacktenIoTGeräts zu ändern, um die Se
curityProdukte zu umgehen undan die Daten heranzukommen.Umgekehrt kann es ein vielenUmgebungen auch sinnvoll sein,sich als anderes Betriebssystem
zu tarnen: Tritt eine Linuxbasierte Webcam beispielsweise alsWindowsSystem auf, so kanndas oftmals auch schon genügen,um erhöhte Rechte zu erhalten.
Um ein so einem Szenario für Sicherheit zu sorgen, müssen dieAdministratoren zunächst einmaleine CounterACTRegel erzeugen, die die vorhandenen Gerätein bestimmte Gruppen einordnet,wie beispielsweise Netzwerkgeräte (also Router und Switches),LinuxServer, WindowsPCs,Mac OSSysteme, Drucker,VoIPLösungen und so weiter.Das funktioniert, wie zuvor beschrieben, im Rahmen des NetzwerkScans automatisch anhandder bei dem Scan gewonnenenInformationen. Möchte man zumBeispiel alle IPKameras in einem Unternehmen in eine Gruppe "IPCameras" einordnen undsind alle vorhandenen Kamerasentweder von Axis, DLink oderMobotix, so könnten die zuständigen Mitarbeiter mit Hilfe derCounterACTKonsole eine Policyerstellen, die alle Geräte, dieMACAdressen haben, die zuden genannten Herstellern gehören, in die Gruppe "IPCameras"verschiebt.
Damit ist aber noch nicht klar,wo die Kamera herkommt. Eskann sich dabei auch um einRogueDevice handeln, das zufällig (oder mit Absicht) von einem der gleichen Herstellerstammt, wie die regulären Kameras im Unternehmen. Deswegenergibt es Sinn, die Gruppe "IPCameras" um zwei Untergruppenzu erweitern. Die erste nennt sich"Corporate IPCamera" und sollim Betrieb alle Unternehmenskameras umfassen. Die zweite heißtlogischerweise "Non CorporateDevices", in sie werden alle Ka
5
Bei Bedarf lässt sich im Rahmen der Klassifizierung genau festlegen, welchePorts auf einem System offen sein dürfen und welche nicht. Anhand dieser Daten erfolgt dann die Einordnung in Gruppen.
meras einsortiert, die die Appliance nicht kennt. Die Unterscheidung lässt sich über eineMACAdressliste treffen: gebendie zuständigen Mitarbeiter inder PolicyDefinition sämtlicheIPAdressen der im Unternehmenvorhandenen IPKameras an, soerhält CounterACT eine sichereMöglichkeit, die fremden Kameras von den eigenen zu unterscheiden.
Während des Scans findet CounterACT nicht nur die MAC
Adressen der Geräte im Netz heraus, sondern – wie angesprochen– auch andere Parameter, wie IPAdresse, offene Ports oder ebendas Betriebssystem. Die Sicherheitslösung ist also ohne weiteresdazu in der Lage, ein Deviceauch dann wiederzuerkennen,wenn sich ein Parameter wie dieMACAdresse oder das verwendete Betriebssystem ändert.
Wird nun eine der Webcams gehackt und setzt der AngreiferMACAdressSpoofing ein, umim Netz die MACAdresse einesbekannten WindowsClients vorzugaukeln um die ACLs zu um
gehen, so erkennt CounterACT,dass das Gerät jetzt mit einer anderen MACAdresse im Netz unterwegs ist. Da sich diese nicht inder Liste der bekannten MACAdressen von IPKameras befindet, landet das Device im nächsten Schritt in der Gruppe der"Non Corporate Devices".
Damit wurde der Angreifer schoneinmal identifiziert. Jetzt ist esnoch erforderlich, ihn unschädlich zu machen. Deswegen fügendie ITVerantwortlichen der Poli
cy noch eine Aktion hinzu, diedafür sorgt, dass kein Datenklauerfolgt. Hierfür stehen verschiedene Möglichkeiten zur Verfügung. So lassen sich beispielsweise alle in der Gruppe "NonCorporate Devices" vorhandenenGeräte in ein QuarantäneVLANverschieben, in dem sie keinenSchaden anrichten können.
Alternativ lässt sich CounterACTauch so einrichten, dass es automatisch den SwitchPort, an demdas betroffene Gerät hängt, blockiert. Dazu greift die Sicherheitslösung auf die SwitchKonfiguration zu. Gleichzeitig kann
das Produkt auch Alarmmeldungen an die Administratoren verschicken und vieles mehr. Aufdiese Weise ist es relativ einfachmöglich, Datenklau über IoTGeräte mit Hilfe von MACAdressSpoofing zu unterbinden. Im Testverwendeten wir einen LinuxClient unter Fedora 24, um dasMACSpoofing zu simulierenund CounterACT erkannte unsereManipulation sofort.
Gibt sich ein Angreifer übrigensals anderes Betriebssystem aus,in unserem Beispiel als WindowsClient, so würde ein anderes Regelwerk greifen, da in unserem Szenario zunächst einmaldie WindowsGeräte klassifiziertwurden. Die Zuteilung "Windowsoder nicht Windows" fand alsovor der Zuteilung zur Gruppe"IPCameras" statt und das kompromittierte Gerät, das sich alsWindowsLösung ausgab, landetefolgerichtig nicht im Bereich derIPKameras, sondern bei denWindowsSystemen. Für dieselassen sich dann auch wieder unterschiedliche Sicherheitsregelnfestlegen, im Test verschoben wiralle WindowsSysteme, bei denensich CounterACT nicht einloggenkonnte, also auch unseren Testrechner mit der falschen Betriebssystemidentifikation inQuarantäne, damit sie keinenSchaden anrichten konnten.
Beispiel 2: Printer P2P ClarificationIn unserem zweiten Szenario gehtes darum, dass ein Angreifereinen Drucker übernimmt undanschließend versucht, mittelsP2P über diesen Drucker Datenaus dem Haus zu schaffen. Auchdies verhindert CounterACT. Diebetroffene Policy ordnet wiederzunächst einmal die im Netz vorhandenen Komponenten be
6
CounterACT erkennt eine Vielzahl unterschiedlicher Angriffsszenarien
stimmten Gruppen zu. In unserem Beispiel lassen sich Druckerdadurch erkennen, dass bei ihnender Port 9100 für die Druckaufträge und Port 80 für das Konfigurationsinterface offen sind.Stammen im Unternehmen alleDrucker von einem Hersteller,beispielsweise "Xerox", so lässtsich auch wieder der NICHersteller zur Klassifizierung nutzen.
Bei Bedarf ist es sogar möglich,CounterACT anzuweisen, dasWebInterface des Druckers aufzurufen und zu überprüfen, obdieses bestimmte Inhalte, wieden Ansprechpartner im Unternehmen, ausliefert. Treffen alledie genannten Faktoren zu, solandet der Drucker in der Gruppe"Corporate Printers".
Richtet nun ein Hacker auf demDrucker einen P2PDienst ein, soöffnen sich dadurch in der Regelzusätzliche Ports. CounterACTerkennt dies im laufenden Betrieb und verschiebt deswegenden Drucker in den Ordner "NonCorporate Devices". Hier lassensich dann wieder diverse Aktio
nen definieren, die die SicherheitsAppliance dann durchführt,um Datendiebstahl zu verhindern.
Beispiel 3: Abwehr von PortScansUnser drittes Beispiel dreht sichum Portscans. Dringt ein Hackerin ein unbekanntes Netzwerk ein,wird nach der Übernahme des
ersten Geräts sein nächsterSchritt mit ziemlicher Sicherheitdarin liegen, einen Portscan imNetz durchzuführen, um herauszufinden, auf welchen Maschinenwelche Dienste angeboten werden. Deswegen ist es wichtig,Computer oder andere Systemeim Netz, die nicht von der ITAbteilung autorisierte Portscansdurchführen, frühzeitig zu erkennen und zu isolieren, bevor siefür Angriffe auf die Netzwerkdienste zum Einsatz kommen.Auch hier lässt sich CounterACTnutzen.
Dazu müssen die Verantwortlichen ihre SicherheitsAppliancelediglich anweisen, bei allen im
Netzwerk vorhandenen Systemenzu überprüfen, ob sie Portscansdurchführen. Darüber hinauskönnen sie auch diverse andereMalicious Events erfassen, wiebeispielsweise HostnameScans,NetBIOS Name Scans, PasswordScans, SNMP Community Scansund ähnliches. Sobald die ForeScoutLösung solch eine Aktivitätbemerkt, kann sie wieder eineAktion wie das Blockieren desbetroffenen Switch Ports oder dasVerschieben des jeweiligen Systems in Quarantäne durchführen.Damit wurde der Angreifer isoliert und das Netz ist vor weiterenAktionen seinerseits sicher. ImTest führten wir sowohl PortScans unter Windows Systemenals auch unter KaliLinux aus,dabei erkannte CouterACT unsere Aktionen sofort.
FazitEine SicherheitsAppliance wieForeScouts CounterACT eignetsich nicht nur hervorragend, umUnternehmensnetze gegen Gefahren durch gekaperte PCs undServer abzusichern, sondern kannauch Angriffe abwehren, die überIoTKomponenten laufen. DerFunktionsumfang des Produktsist beeindruckend, trotzdem läuftdie Konfiguration der einzelnenPolicies verhältnismäßig unkompliziert ab, da der Hersteller dasKonfigurations und ManagementInterface sehr übersichtlichkonzipiert hat. Im Test waren dieRegeln für unsere drei AngriffsSzenarios schnell und problemlosimplementiert und im Betrieb ergaben sich keinerlei negativeÜberraschungen.
Dr. Götz Güttich leitet das Institut zur Analyse von ITKomponenten (IAIT) in Korschenbroich.Sein Blog findet sich unter www.sysbus.eu.
Detailinformationen über einen zuvor erfolgten Password Scan
7