LAN: Sicherheitstest im internen Netz

Im Gegensatz zu Systemen im Internet, die Risiken seitens eines nicht einzuschränkenden Benutzerkreises ausgesetzt sind, geht es im internen Netz (Corporate Network) um das von Innentätern ausgehende Risiko. Konkret ist damit ein Benutzer mit Zugang zum internen Netz gemeint. Dieser hat aufgrund seiner Position automatisch einen höheren Kenntnisstand über das Netz. Hierbei muss es sich keinesfalls um einen eigenen Mitarbeiter mit bösen Absichten handeln, denn auch Besucher eines Gebäudes haben potenziell Zugriff auf das Corporate Network. Angriffe können zudem auch über kompromittierte Zugangsdaten oder über von Malware befallene Systeme der eigenen Mitarbeitenden erfolgen.

Je nachdem, welches Prüfszenario evaluiert werden soll, werden die Tests aus unterschiedlichen Perspektiven heraus initiiert. Eine Ausgangslage ist zum Beispiel, dass dem Consultant der SySS ausschließlich ein physischer Netzzugang zur Verfügung steht, jedoch darüber hinaus keine weitergehenden Informationen (siehe Modul LAN/CLEAN). In einer weiteren Ausgangslage agiert der Consultant aus der Rolle eines „Praktikanten“ heraus (siehe Modul LAN/TRAINEE). Es können jedoch auch gezielte Analysen bestimmter Anwendungsumgebungen oder eingesetzter Technologien durchgeführt werden. Beispiele hierfür sind die Module VOIP/UC und SAP. Ab Modul LAN/CLEAN werden die verschiedenen klassischen Testmodule der SySS im Detail beschrieben.

Im Folgenden werden zunächst einige generelle Aspekte erläutert, die es bei der Durchführung eines LAN-Tests zu beachten gilt.

Ziel ist es, je nach eingenommener Perspektive und durchgeführtem Prüfmodul die etwaig vorhandenen Risiken im Corporate Network aufzudecken, zu bewerten und Vorschläge zu deren Behebung aufzuführen. Dabei werden nicht nur reine Sicherheitslücken betrachtet, sondern auch Konfigurationen oder die Verfügbarkeit bestimmter Software, die einem internen Angreifer Ansatzpunkte für einen erfolgreichen Angriff geben könnten. Hierbei wird nicht nur die Verwundbarkeit von einzelnen Systemen eingeschätzt, sondern auch die Kommunikation von Diensten untereinander, um Machine-in-the-Middle-Anfälligkeiten oder andere protokollbasierte Angriffspotenziale festzustellen. Falls andere Sicherungsmaßnahmen (Update, Konfigurationsänderung, Ersatz) sich als nicht effektiv erweisen, wird in der Regel eine interne Abschottung der betroffenen Systeme empfohlen.
Die SySS führt hierbei keine organisatorische Dateizugriffsberechtigungsprüfung durch. Derartige Kontrollen sind oft durch Externe nicht möglich.

Grundsätzlich ist die Durchführung bei vielen Prüfszenarien des Moduls LAN an die des Moduls IP-RANGE angelehnt, sofern die netzbasierte Analyse bestimmter Systeme vorgesehen ist:

• Prüfung der Systeme auf erreichbare Dienste
• Test der Dienste mit automatischen Schwachstellenscannern
• Verifizierung der Ergebnisse
• Begleitende und manuelle Prüfungen

Hinzu kommen einige Prüfaspekte, die sich nur in internen Netzwerken realistisch umsetzen lassen, wie zum Beispiel die Durchführung von Machine-in-the-Middle-Angriffen oder Angriffe, die physischen Zugriff auf ein System erfordern.

Für einen internen Test müssen gewisse logistische Voraussetzungen erfüllt werden, da ein solcher Test keine autarke Dienstleistung darstellt.

Auswahl von Stichproben: Aufgrund der enormen Anzahl von testbaren Diensten, die typischerweise in internen Netzen zur Verfügung stehen, kommt der Auswahl sinnvoller Stichproben eine hohe Bedeutung zu. Dies sollte beim Kick-off-Gespräch unbedingt berücksichtigt werden.

Bei der Auswahl der Stichproben sollte darauf geachtet werden, dass die Systeme repräsentativ für weitere Systeme sind. Optimalerweise werden Integrations- oder Testsysteme näher untersucht – insbesondere, wenn die produktiven Systeme für kritische Aufgaben benötigt werden.

Bei sehr großen oder sehr komplexen internen Netzen kann die SySS bei der Auswahl geeigneter Stichproben helfen und gegebenenfalls auch eine interne Inventarisierung durchführen (siehe Modul RECON).

Ansprechperson: Eine Ansprechperson sollte während der gesamten Testzeit gut und kurzfristig erreichbar sein. Sie kann dem Test gerne beiwohnen. Da der Test in der Regel vor Ort stattfindet, sollten alle organisatorischen Rahmenbedingungen bereits bei Testbeginn erfüllt sein.

Information der Beteiligten: Alle Systemverantwortlichen, Administratoren und anderen betroffenen Mitarbeitenden sollten vor Beginn des Projekts über den Test und seine Zielsetzung informiert werden. Ihre Kooperation kann während des Tests nötig sein, ist aber vor allem für die Behebung eventuell gefundener Schwachstellen von essenzieller Bedeutung. Gegebenenfalls sollte geprüft werden, ob es Sinn ergibt, die Unternehmens-IT-Sicherheit oder die Mitarbeitendenvertretung bei der Vorbereitung des Tests miteinzubeziehen.

Arbeitsplatz: Für jeden Consultant sollte ein Arbeitsplatz zur Verfügung stehen. Für den Test interner Netzwerkkomponenten ist Folgendes erforderlich:

• Mindestens ein Netzanschluss (Ethernet), von dem aus die zu testenden Netzwerkkomponenten erreicht werden können
• Stromanschluss für Notebook und Switch (Steckdosenleiste)
• Platz für ca. zwei Notebooks, Switch und Unterlagen
• Möglichst ruhige Umgebung
• Internetzugang für Dokumentation und gegebenenfalls Recherche
• Je nach Prüfmodul wird auch ein Referenzgerät benötigt (z. B. Standardclient wie Desktop-PC oder Notebook, Thin Client oder VoIP-Phone)
• Für manche Szenarien wird zudem mindestens ein Benutzerkonto benötigt (z. B. Active Directory-Benutzer mit Standardrechten)

Zugang zu Gebäuden und Netz: Der Consultant sollte am Testtag das betroffene Gebäude mit seiner Ausrüstung betreten und den oben beschriebenen Arbeitsplatz erreichen und einrichten können. Eventuell notwendige Genehmigungen sollten daher rechtzeitig beschafft werden.

Falls zudem ein Mechanismus zur Netzwerkzugangskontrolle im Einsatz sein sollte (z. B. 802.1X mit Clientzertifkaten), so sollten entsprechende Zugangsdaten für den Consultant vorbereitet und diesem zu Testbeginn übergeben werden.

Umgang mit instabilen Systemen und Altlasten: In internen Netzen werden häufig Systeme eingesetzt, die nicht besonders widerstandsfähig gegen Angriffe sind und teilweise weit über ihren durch den Händler angekündigten End-of-Life (EOL) hinaus betrieben werden. Das Risiko, dass solche Systeme beim Test abstürzen, ist nicht zu vernachlässigen. Dies gilt insbesondere für produktionsnahe Maschinen. Daher ist bei der Prüfung eine enge Koordination mit der Ansprechperson nötig. Idealerweise wird der SySS vor Testbeginn eine Liste solcher Systeme zur Verfügung gestellt.

Generell empfiehlt die SySS, Systeme, die ihren EOL erreicht haben oder seit mehreren Jahren nicht mehr gepflegt worden sind, nur zu testen, wenn der direkte Nachweis erbracht werden soll, dass Systeme abzuschotten oder zu ersetzen sind, und der entstehende Schaden vom Kunden in Kauf genommen werden kann. Falls möglich, sollten auch für solche Tests Systeme ausgewählt werden, die keine kritischen Funktionen erfüllen. Eine Haftung für alle aus eventuellen Abstürzen oder anderen Beeinträchtigungen entstehenden Schäden wird durch unsere Allgemeinen Geschäftsbedingungen (AGB) ausgeschlossen.