Dieser Abschnitt behandelt die sicherheitsrelevanten Aspekte der Netzwerkkonfiguration und Zugriffskontrollen.
Zugriffskontrollen für den lokalen und den Fernzugriff
In diesem Abschnitt werden alle bekannten Kommunikationswege beschrieben, die für einen administrativen Remote-Zugriff eingesetzt werden könnten. Genau diese Methoden zählen gleichzeitig zu den kritischsten Angriffsvektoren und können ohne ausreichende Absicherung zu gravierenden Sicherheitsvorfällen führen.
Remote Desktop Protocol (RDP) ist ein von Microsoft entwickeltes Protokoll, das eine grafische Benutzeroberfläche (GUI) für den Fernzugriff bereitstellt. Obwohl primär für Windows entwickelt, ist RDP plattformübergreifend nutzbar, von Linux oder macOS auf Windows, aber auch Linux zu Linux. RDP verschlüsselt die Session über TLS und unterstützt Network Level Authentication (NLA). NLA ist eine Vorauthentifizierung, bevor die eigentliche Session aufgebaut wird. Es gilt aber weiterhin: RDP direkt über das Internet zu exponieren ist eine der häufigsten Ursachen für Ransomware-Angriffe und sollte grundsätzlich vermieden werden.
Secure Shell (SSH) ist der De-facto-Standard für den Fernzugriff auf Unix- und Linux-Systeme über eine Kommandozeilenschnittstelle (CLI). SSH schützt die Kommunikation durch starke Verschlüsselung. Welche Algorithmen erlaubt sind, lässt sich konfigurieren, veraltete oder schwache Cipher sollten deaktiviert werden. Obwohl SSH ursprünglich für Linux entwickelt wurde, wird inzwischen auch von Windows und macOS unterstützt. Einsatzbereiche: administrative Aufgaben, Automatisierungsskripte und sichere Dateiübertragungen (SFTP).
Virtual Network Computing (VNC) ermöglicht grafischen Fernzugriff, ist aber nativ unverschlüsselt (Klartext-Passwörter). Sicherheitsrisiken werden heute durch Tunneling (SSH oder TLS/HTTPS) minimiert. VNC wird heute primär in Legacy-Umgebungen und für den direkten Konsolenzugriff (Out-of-Band) eingesetzt.
Citrix Virtual Apps and Desktops. In vielen Enterprise-Umgebungen ist Citrix der De-facto-Standard für den externen Zugang. Mit Citrix Virtual Apps and Desktops können Anwendungen und/oder Desktops zentral bereitgestellt werden, sodass die Daten das Rechenzentrum nicht verlassen. Der Benutzer sieht nur die ihm bekannte Bildschirmoberfläche, die deutlich sicherer und skalierbarer ist. Die technischen Kernkomponenten sind:
Das HDX-Protokoll optimiert die Übertragung von Bildschirminhalten, Audio und Peripheriegeräten.
NetScaler (Citrix ADC) übernimmt die Rolle des sicheren Zugangspunkts und ist grob mit einem Reverse Proxy oder einem Application Delivery Controller vergleichbar.
Ein VDA läuft auf einem physischen oder virtuellen Server und stellt eine Anwendung oder einen Desktop bereit. Der Benutzer verbindet sich nie direkt mit dem Zielsystem, sondern zuerst mit dem VDA. Dies entspricht exakt der Rolle eines Bastion-Hosts/Jumphosts.
Unter diesem Link finden Sie eine Übersicht über die Citrix Kernkomponente.
Konsolenbasierte Zugriffsmechanismen
Unabhängig von der Technologie müssen alle administrativen Fernverbindungen maximal abgesichert werden. In erster Linie geht es um starke Authentifizierung (MFA, Zertifikate) und verschlüsselte Kommunikation (TLS 1.2/1.3). In der Praxis wird der administrative Zugriff nicht direkt, sondern über eine zusätzliche Schicht, typischerweise über VPN abgesichert.
Jumphost (Jumpbox)
Darüber hinaus wird die Verbindung nicht direkt zwischen Admin-Client und Zielsystem aufgebaut, sondern zunächst zu einem Jumphost (Jumpbox). Jumphost ist ein gehärtetes und stark überwachtes Zwischensystem, das als einziger autorisierter Zugangspunkt zur Infrastruktur dient. Nur von dort aus erfolgt der Weiterzugriff auf die Zielsysteme. Auf dem Jumphost ist außerdem die Verwendung von SSO sinnvoll, um das Risiko schwacher oder wiederverwendeter Passwörter zu reduzieren. Ein umfassendes Logging ist ebenfalls notwendig, um sowohl versehentliche Fehlkonfigurationen als auch unautorisierte Zugriffe oder ungewöhnliche Login-Zeiten frühzeitig zu erkennen.
Sichere Netzwerkkonfiguration
In diesem Abschnitt geht es um die sichere Netzwerkkonfigurationen. Gerade falsche bzw. unsichere Konfigurationen machen die gesamte Infrastruktur anfällig für Angriffe.
Virtual Local Area Networks (VLAN)
Zweifellos lassen sich VLANs als Grundlage für eine sichere Netzwerkarchitektur bezeichnen. Durch sie wird der Datenverkehr verschiedener Hosts oder VMs logisch voneinander isoliert. Das erhöht die Sicherheit, verbessert die Verfügbarkeit und reduziert die Netzwerkbelastung.
Technisch gesehen können VLANs auf Layer-2-Switches konfiguriert werden. Um echte Sicherheit zu gewährleisten, muss der Übergang zwischen den VLANs (Inter-VLAN-Routing) durch Firewalls oder Access Control Lists (ACLs) streng kontrolliert werden. Dieses Konzept wird als Mikrosegmentierung bezeichnet. Ohne diese Kontrolle sind VLANs anfällig für „VLAN Hopping”, einen Angriff, bei dem ein Angreifer den Datenverkehr eines anderen VLANs abfangen kann.
Transport Layer Security (TLS)
TLS (früher SSL) ist der Standard für die Sicherung von Datenübertragungen. Die Kommunikation zwischen Client und Server wird verschlüsselt und authentifiziert. Die aktuelle Version ist TLS 1.3. TLS 1.2 ist weiterhin sicher und weit verbreitet. Alles unterhalb von TLS 1.2 gilt als unsicher und darf nicht eingesetzt werden.
Dynamic Host Configuration Protocol (DHCP)
Ich gehe davon aus, dass die automatisierte Vergabe von IP-Adressen sowie weiterer Netzwerkkonfigurationen, wie Gateway- und DNS-Informationen, selbsterklärend ist. Aus Sicherheitssicht sind zwei Angriffsszenarien relevant:
Rogue DHCP Server ist ein nicht autorisierter DHCP-Server, der manipulierte Konfigurationen (falsches Gateway, falscher DNS) verteilt und somit einen Man-in-the-Middle-Angriff ermöglicht.
DHCP Starvation ist eine Angriffsart, bei der ein Angreifer den DHCP-Adresspool durch massenhaft gefälschte Anfragen erschöpft, sodass legitime Clients keine IP-Adresse mehr erhalten, ein klassischer ressourcenbasierter DoS-Angriff.
DNS und DNSSEC
DNS (Domain Name System) wurde 1983 eingeführt und gehört zu den ältesten Protokollen des Internets. Seine Hauptaufgabe ist, menschenlesbare Domainnamen in IP-Adressen zu übersetzen. Aufgrund seines Alters wurde DNS ohne Sicherheitsmechanismen entwickelt und ist daher anfällig für:
DNS-Spoofing. Bei dieser Methode werden gefälschte DNS-Antworten verwendet, um Benutzer auf manipulierte Websites umzuleiten.
Cache Poisoning. Dabei handelt es sich um eine spezifische Methode des DNS Spoofings, bei der der Cache eines DNS-Servers mit gefälschten Einträgen vergiftet wird. Dadurch werden alle nachfolgenden Anfragen falsch beantwortet, ohne dass der Benutzer es merkt.
DNSSEC (Domain Name System Security Extensions) wurde entwickelt, um genau dieses Problem zu lösen. Das Prinzip ähnelt dem Signaturmechanismus:
- Der DNS-Zonenbetreiber signiert alle DNS-Einträge mit seinem privaten Schlüssel.
- Der öffentliche Schlüssel wird ebenfalls im DNS veröffentlicht.
- Beim Empfang einer DNS-Antwort prüft der Resolver die Signatur. Stimmt diese nicht, wird die Antwort verworfen.
Virtual Private Network (VPN)
Ein VPN baut einen verschlüsselten Tunnel über ein unsicheres Netzwerk, typischerweise über das Internet, und ermöglicht somit eine sichere Kommunikation zwischen zwei Endpunkten. Im Cloud-Kontext gibt es zwei typische Einsatzszenarien:
Remote Access VPN. Ein einzelner Benutzer verbindet sich verschlüsselt mit der Unternehmensinfrastruktur. Wie oben bereits beschrieben, ist VPN die primäre Schutzschicht vor dem Jumphost.
Site-to-Site VPN. In diesem Fall werden zwei Netze (z. B. On-Premises-Rechenzentrum und Cloud-Umgebung) dauerhaft über einen verschlüsselten Tunnel verbunden. Für den Benutzer ist der Tunnel transparent, er merkt gar nicht, dass die Kommunikation über das Internet läuft.
Gängige Protokolle sind: IPsec (Standard für Site-to-Site), OpenVPN und WireGuard
Netzwerksicherheitskontrollen
In diesem Abschnitt wird nur ein kurzer Überblick über die im CCSP-Kontext relevanten Komponenten gegeben. Alle sind für sich genommen sehr komplexe Themen.
Firewalls
Zweifellos sind Firewalls die bekanntesten Komponenten der IT-Sicherheit. Sie dienen der Kontrolle und Überwachung des Datenverkehrs zwischen Netzsegmenten, sei es Intranet oder Internet. Grundsätzlich unterscheidet man zwischen zwei Arten von Firewalls: Stateless und Stateful.
Stateless Firewalls betrachten jedes Datenpaket isoliert vom Kontext einer Verbindung. Dadurch sind sie einfacher und leistungsfähiger, bieten jedoch weniger Schutz gegen komplexe Angriffe.
Stateful Firewalls überwachen sowohl den Zustand (STATE = Verbindungsstatus (offen/geschlossen)) als auch den Kontext einer Verbindung. Dadurch lassen sich entsprechende Regeln anwenden, die legitime Pakete von verdächtigen unterscheiden und diese abweisen können. Je komplexer die Regeln sind, desto mehr Ressourcen werden benötigt.
Next-Generation Firewalls. Der weitere Firewall-Art sind die sogenannten Next-Generation Firewalls (NGFWs). Der Begriff wurde von Gartner geprägt und von Palo Alto popularisiert, viele Experten sehen ihn als Marketingbegriff. Im Kern sind NGFWs Stateful Firewalls mit erweitertem Funktionsumfang: Deep Packet Inspection, Anwendungsfilterung und integrierte IDS/IPS-Funktionalität.
WAFs und XML-Firewalls wurden bereits in Abschnitt 4.6 behandelt.
Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS)
IDS und IPS sind spezialisierte Systeme zur Erkennung und Verhinderung von Angriffen. IPS muss dabei zwingend den Angriff erkennen, bevor es diesen blockieren kann. Jedes IPS ist also auch ein IDS, aber nicht umgekehrt. Moderne Systeme kombinieren beide Funktionen. NGFWs enthalten typischerweise integrierte IDS/IPS-Funktionalität.
IDS (passiv) – erkennt verdächtige Aktivitäten und löst Alarme aus, blockiert aber nicht aktiv. IDS gibt es in zwei Ausprägungen:
- NIDS (Network-based) – überwacht den Netzwerkverkehr.
- HIDS (Host-based) – läuft direkt auf dem Endpunkt.
IPS (aktiv) – blockiert verdächtigen Datenverkehr automatisch und kann ebenfalls netzwerkbasiert (NIPS, Network-based) sein oder direkt auf dem Endpunkt laufen (HIPS, Host-based).
Typischerweise wird ein IDS/IPS-System hinter der Firewall platziert. In der Praxis ist heute ein kombiniertes IDS/IPS-System der Standard, sodass zwei separate Geräte nicht mehr notwendig sind.
Honeypots
Mit diesem „süßen“ Wort werden absichtlich verwundbare Systeme, die potenzielle Angreifer anlocken sollen. Sie ermöglichen die Beobachtung und Analyse von Angriffsmethoden, -techniken und -tools, ohne dass produktive Systeme gefährdet werden. Mehrere Honeypots können zu einem Honeynet zusammengeschlossen werden, um eine realistische Umgebung zu simulieren.
Es gibt auch weitere verwandte Konzepte: Honeytokens (gefälschte Credentials) und Honeyfiles (gefälschte Dateien). Sie funktionieren nach demselben Prinzip, allerdings auf Daten- statt auf Systemebene.
Honeypots sind kritische Komponenten, die sorgfältig betrieben werden müssen, um eine unkontrollierte Ausbreitung von Schadsoftware zu verhindern. Außerdem bestehen je nach Jurisdiktion auch rechtliche Risiken: So kann der Angreifer durch den Honeypot zu einer Tat verleitet werden (Entrapment). Wenn ein Honeypot als Sprungbrett für Angriffe auf Dritte verwendet wird, könnte der Betreiber haftbar gemacht werden.
Bastion Host
Dieser Punkt kann ebenso als Erweiterung von Jumphosts fungieren, da die Funktionalität beider nahezu identisch ist und sie beide als einziger autorisierter Zugangspunkt zu einer Infrastruktur dienen.
Ein Bastion Host ist eher ein Konzept für einen gehärteten, exponierten Zugangspunkt, welcher sich zwischen externen und den internen Netzwerken befindet, häufig in einer DMZ.
Ein Jumphost wäre somit eine spezifische Implementierung eines Bastion Hosts, welche ausschließlich für den administrativen Zugriff auf interne Systeme verwendet wird.
Unabhängig vom Use Case müssen beide Systeme gehärtet und stark überwacht werden. Dabei sollte die Software auf ein Minimum reduziert werden, um die Angriffsfläche zu verringern.
Bei großen Providern gibt es sogar Bastion-Hosts aus der PaaS: Azure Bastion oder AWS Systems Manager Session Manager