Automatisierung und Netzwerkhygiene
Der erste Schritt für einen Angreifer ist in der Regel, Zugriff zu einem System im Netzwerk zu erlangen. Dies kann entweder geschehen, indem er eines seiner eigenen Systeme über einen offenen, ungeschützten Ethernet-Port oder über ein kompromittiertes WLAN in das Netzwerk einschleust, zum Beispiel einen Kleinstcomputer mit Mobilfunkmodem. „Der Zugang kann aber auch über ein durch Malware kompromittiertes System, das per Download oder E-Mail infiziert wurde, erfolgen“, berichtet Prof. T. Heer.
Im ersten Fall lässt sich erkennen, dass ein unbekanntes Gerät (das des Angreifers) im Netzwerk vorhanden ist. Deshalb kann ein Alarm ausgelöst werden, der es ermöglicht, schnell auf diese Abweichung von der Norm zu reagieren. „Noch besser ist es jedoch, wenn das Gerät gar nicht erst in das Netzwerk gelangt. Hierzu bieten Protokolle, wie IEEE 802.1x bei Ethernet und WPA2 Enterprise mit IEEE 802.1x bei WLAN, die Möglichkeit, jedem Gerät individuelle Zugangsdaten für das Netzwerk zu geben“, sagt der Securityexperte. Somit müsse sich jedes Gerät, das dem Netzwerk beitreten möchte, zuerst authentifizieren, bevor es dort kommunizieren kann. Einem Angreifer, der Zugang zum Firmengelände oder der Fertigung erlangt hat, wird so der Zugang zum Netzwerk erschwert.
„In der Praxis treten aber immer wieder Fälle auf, in denen Industrieequipment die Authentifizierung über 802.1x oder WPA2 Enterprise nicht unterstützt“, berichtet Prof. T. Heer. Dann muss bei kabelgebundenen Verbindungen zu einer MAC-Bypass-Methode gegriffen werden. Bei dieser wird das Gerät nur anhand seiner (leicht fälschbaren) MAC- Adresse erkannt. „Im WLAN wird auf das aus den Heimnetzen gut bekannte WPA2 mit Pre-shared Key zurückge- griffen. Bei diesen teilen sich alle so verbundenen WLAN-Geräte einen einzigen geheimen Schlüssel: das WLAN-Pass- wort“, erklärt er weiter. In diesen Fällen könne jedoch nicht mehr eindeutig festgestellt werden, welches Gerät sich mit dem Netzwerk verbinden möchte. Aus diesem Grund müssen zusätzliche Maßnahmen zur Wahrung der Netzwerkhygiene getroffen werden, zum Beispiel Automatismen zur Überprüfung der Identität des Geräts mittels automatisierter Log-ins durch einen Überwachungsserver. Solche Automatismen sind häufig als Post-Connect-Phase in Netzwerk-Access-Control-Lösungen (NAC) verfügbar. „Hat ein Angreifer ein bereits in das Netzwerk integriertes System kompromittiert, beispielsweise durch eine unachtsam geöffnete E-Mail oder durch die Ausnutzung eines schwachstellenbehafteten Netzwerkdiensts, handelt es sich um ein legitimes Netzwerkgerät. Somit greifen Maßnahmen, wie IEEE 802.1x und WPA2 Enterprise, nicht – das kompromittierte Gerät verfügt ja über gültige Netzwerkschlüssel“, erklärt Prof. T. Heer und rät: „Es müssen zusätzlich Methoden zur Überwachung des Zustands und der Integrität des Geräts getroffen werden.“ Im Gegensatz zum Schutz vor dem Verbinden eines Geräts mit dem Netzwerk (Pre-Connect-Check) kann ein automatisches System nach dem Verbinden mit diesem Gerät interagieren (Post-Connect-Checks).