:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Null Session als Sicherheitsrisiko Das NAS-System als Backdoor zum Netzwerk
„Network Attached Storage“- oder NAS-Systeme können durch schlechte Sicherheitsvorkehrungen zur Hintertür zum Netzwerk werden. Bedroht ist vor allem der Mittelstand, in dem die kostengünstigen Massenspeichersysteme oft zu Backup-Zwecken dienen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
NAS-Systeme haben viele Vorteile: sie sind klein, relativ preisgünstig, lassen sich verhältnismäßig einfach administrieren und finden überall Platz. Beschreibungen und Werbung der Hersteller tun ihr Übriges: NAS einfach auspacken, einstecken, mit dem Netzwerk verbinden, fertig.
Ist das NAS-System erst einmal über das eingebaute Web-Interface konfiguriert, sind im Handumdrehen mehrere GB oder sogar TB an Speicherplatz im Netzwerk verfügbar. Völlig unterschätzt wird dabei das Sicherheitsrisiko, welches von diesen Systemen ausgeht. Um dieses zu verstehen, werfen wir einmal eine „Blick unter die Haube“ eines NAS (siehe Grafik dazu).
Quo Vadis NAS?
Ein NAS ist generell ein kleiner Computer, ein sogenanntes Embedded System. Es besteht aus einem Prozessor, RAM, besitzt ein BUS-System, hat einen Ein-Ausgabe-Controller und ein kleines Grundbetriebsprogramm oder Betriebssystem, welches in der Regel auch den Webserver bereitstellt.
Damit das ganze erschwinglich bleibt, verwenden die Hersteller als Betriebssystem meist irgendwelche modifizierten Linux-Derivate. Für die Anbindung an die Windows-Welt kommt dann Samba zum Einsatz. Einmal in Betrieb, lässt sich das NAS im Netzwerk leicht über die IP-Adresse mit dem Webbrowser finden und entsprechend konfigurieren.
Hier nähern wir uns dann dem Kern des Problems: selbstverständlich gibt es einen Administrator (mit Standard-Passwort). Dieser kann dann Verzeichnisse und Benutzer anlegen und entsprechende Berechtigungen vergeben. Hierbei vertraut der Kunde zumeist uneingeschränkt der Implementierung des Herstellers.
Leider haben Hersteller hier nicht immer alle notwendigen Sicherheitsbelange beachtet. Dies gilt vor allem für Systeme, die schon einige Jahre alt sind. Ein NAS-System wird selten mit Updates versorgt – sofern der Hersteller überhaupt Weiterentwicklungen der Firmware zur Verfügung stellt. Auf den betroffenen NAS-Systemen ist nun die Implementation des Samba-Servers über eine sogenannte „null session“ zu erreichen.
Eine solche Null Session ist eine Verbindung zu einem Server, welche ohne dedizierte Authentifizierung auskommt. Dabei erlangt die anfragende Instanz anonymen Zugang zum jeweiligen Dienst, in diesem Falle zum Dateisystem (File System), den Benutzerkonten (User Enumeration) und den Freigaben (Shares).
Null Sessions: Durch die Hinter- oder doch eher durch die Vordertür?
Diese Notwendigkeit hat ihren Ursprung in früheren Tagen, als Sicherheit nicht oberste Priorität war. Mit einer solchen anonymen Anmeldung ist es beispielsweise möglich, einen Samba-Server in einem Windows-Netzwerk zu finden und mögliche Fileshares anzeigen zu lassen, ohne dass der Nutzer zunächst eine Authentifizierung durchführen müsste. Der eigentliche Zugriff auf die Shares ist dann natürlich für gewöhnlich mit Benutzername und Passwort gesichert.
Ein potenzieller Angreifer kann nun das Netzwerk nach solchen Servern durchsuchen. Antwortet der Samba-Server auf diese Anfrage, so werden zumeist die auf dem System registrierten Benutzer sowie die zur Verfügung stehenden Shares angezeigt. Ist einem Angreifer einmal ein Benutzername bekannt, sind das praktisch 50 Prozent „der Miete“.
Die anderen 50 Prozent macht dann nur noch das Passwort aus. Und dieses kann man z.B. raten oder einer Brute-Force-Attacke unterziehen. Jeder Sicherheitsexperte (und natürlich auch jeder potenzielle Angreifer) weiß um die Qualität der Benutzer-Passwörter: nicht umsonst kann man im Internet die „Top 100“ der meistgebrauchten Passwörter finden.
Ein Angriff auf ein NAS-System kann so relativ einfach über die „Hintertüre“, also direkt über das Netzwerk und den Samba-Server (welcher Null Sessions zulässt) ausgeführt werden. Dies ist vielen Administratoren so zunächst einmal nicht bewusst: wurde das NAS doch über die wunderbare, einfache und bunte Oberfläche des Webservers konfiguriert.
Ist erst einmal der Zugang über die Null Session hergestellt, so stellt die Überwindung eines Benutzerpasswortes nur mehr eine kleine Hürde dar. Lohnenswert ist solch ein Angriff für einen potenziellen Kriminellen allemal – finden sich auf den NAS-Systeme doch oft ganze Backup-Sets oder komplette Datei-Ablagen wie z.B. die Spiegelung eines File-Servers oder andere sensitive Daten in rauen Mengen.
Null-Session-Fähigkeit identifizieren und unterbinden
Dabei lässt sich – abhängig vom Hersteller – das Problem meist sehr einfach beheben. Ein kleiner Eintrag in der Konfigurationsdatei des Samba-Servers hilft, die Null Session abzustellen. Dann ist das System nur noch mit valider Authentifizierung zu erreichen und gibt anonym keine Informationen mehr preis.
Leider ist dies nicht bei allen Herstellern möglich. Hier helfen dann nur eine limitierte Anzahl von Benutzer, starke Passwörter und proprietäre Verschlüsselung sensitiver Inhalte auf dem NAS. Wer also NAS-Systeme im Einsatz hat, ist gut beraten einmal einen Null-Session-Scanner über das Netzwerk laufen zu lassen.
Die Sicherheitsindustrie bietet hier verschiedene Produkte an, der Profi wird vermutlich zum bewährten Netzwerk-Scanner nmap greifen und die entsprechenden Skripte nutzen. Findet sich ein NAS oder ein anderer Server, welcher auf eine anonyme Anfrage antwortet, so sollte man dies besser abstellen.
Gerade auch ältere Windows-Server antworten – je nach Konfiguration – gerne auf solche Null-Session-Anfragen. Aktuellen Erfahrungen zufolge lernen die Hersteller von NAS-Systemen in jüngerer Vergangenheit die Lektionen in IT-Sicherheit. So sind moderne Systeme auf diese Weise oft nicht mehr angreifbar. Wer auf der sicheren Seite sein will, überprüft sein Netzwerk lieber selbst.
* Günter Aigle ist Geschäftsführer Aigle Computing und Mitglied des (ISC)² Chapter Germany.
Artikelfiles und Artikellinks
(ID:44363975)
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/57/e6574acfc8cdb3be097a2e72f8e5341e/0111094277.jpeg "Angriffe auf das Active Directory sicher abzuwehren ist praktisch unmöglich! Die neue Strategie lautet, alles für die Absicherung zu tun, aber mit erfolgreichen Hacks und Breaches zu rechnen und den Schaden über die Faktoren Aufmerksamkeit und Schnelligkeit gering zu halten. (Bild: © flashmovie - stock.adobe.com)")