Fujitsu Stealth Datacenter und Sicherheits-Rack

Das Tarnkappen-Rechenzentrum

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska* / Ulrike Ostler

Neues Sicherheits-Rack von Fujitsu: Frontansicht
Neues Sicherheits-Rack von Fujitsu: Frontansicht (Bild: Fujitsu)

Diese Vorgehensweise ist unter der Bezeichnung Reconnaissance bekannt und soll bei Fujitsus neuem System nicht möglich sein. Dieser neuartige Ansatz erschwert das Erkunden möglicher Angriffsvektoren. Eine konventionelle Firewall kann diese Aufgabe nicht erfüllen.

Ausschalten der Reconnaissance

Wurde die Existenz eines Hosts durch Netzwerk-Reconnaissance erst einmal bestätigt, können die Eindringlinge den Speicher der Firewall mit einer DDoS-Attacke zum Überlauf bringen, um die Pforten zum System weit aufzuschlagen. Die Durchquerung einer konventionellen Firewall ist aber auch ohne ihren Absturz möglich, zum Beispiel mit Hilfe einer so genannten Sequenznummer-Interferenz-Attacke (sequence number inference attack) via TCP auf eine Firewall mit Empfangsfenstergrößenprüfung.

Fujitsus Stealth Datacenter basiert auf einem ganzheitlichen Sicherheitskonzept.
Fujitsus Stealth Datacenter basiert auf einem ganzheitlichen Sicherheitskonzept. (Bild: Fujitsu)

Fujitsus ganzheitliches Sicherheitskonzept geht über die Fähigkeiten einer konventionellen Firewall hinaus. In einem Impromptu-Hackathon auf der Cebit 2015 überreichte Fujitsu interessierten Hackern die passenden IP-Adressen des Testsystems, um die Einbruchsversuche zu beschleunigen. Die wenigen Ports, die nach viel Herumprobieren dann doch ansprechbar waren, verschwanden zur Verwunderung der Hacker schnell wieder im Nichts.

In dem technischen Datenblatt heißt es: „Beim Stealth Data Center erhält ein Angreifer (...) keine Antworten auf seine Portscans und somit auch keine Informationen darüber, wo überhaupt Angriffspunkte zu finden sind. Selbst wenn er die „Position“ der Server (also deren IP-Adressen) über andere Verfahren kennt, erreichen dadurch ermöglichte gezielte Attacken ebenfalls keine Dienste, deren Fehler er ausnutzen könnte. Auch solche Verbindungsversuche werden einfach verworfen. “

Ergänzendes zum Thema
 
Das Fazit der Autoren: Ein Quantensprung

Geeignet für Windows und Linux

Das System lässt sich wahlweise unter Windows oder Linux nutzen. Administrativer Zugriff ist über gesicherte Middleware mit Ende-zu-Ende-Verschlüsselung möglich.

Seit auf der Black Hat-Konferenz 2013 eine HTTPS-Verbindung mittels des Hacking-Exploits BREACH in gerade einmal 30 Sekunden geknackt werden konnte, ist das Vertrauen der IT-Gemeinde in verschlüsselte und vermeintlich „unknackbare“ SSL- oder VPN-Verbindungen stark angeschlagen.

Die IT-Sicherheitsexperten Neal Harris, Yoel Gluck und Angelo Prado konnten nachweisen, dass sich SSL/TLS-verschlüsselte Verbindungen in Echtzeit entführen lassen.
Die IT-Sicherheitsexperten Neal Harris, Yoel Gluck und Angelo Prado konnten nachweisen, dass sich SSL/TLS-verschlüsselte Verbindungen in Echtzeit entführen lassen. (Bild: Black Hat 2013, Las Vegas)

Bezüglich der Details der technischen Implementierung gibt sich Fujitsu vorerst zugeknüpft.

Solange sich Fujitsus Stealth Data Center tatsächlich wie ein Tarnkappenflugzeug auf dem „Radar“ unberechtigter Kommunikationsgegenstellen nicht outet, wäre das System tatsächlich nicht auffindbar. Gerade der Stealth-Modus wirft jedoch auf Grund der ICMP-Problematik berechtigte Fragen auf.

Schweigen heißt die Devise

Zahlreiche Verwundbarkeiten lassen sich auf das ICM-Protokoll zurückführen, welches Angreifer nutzen, um Netzwerktopologien auszuloten und Opfersysteme zu identifizieren. In IPv4 dient das ICMP-Protokoll „nur“ zur Fehlerberichterstattung, der Flusssteuerung und der First-Hop-Gateway-Umleitung.

Wer auf diese Funktionalität verzichten kann, könnte beim Einsatz von IPv4 das ICMP-Protokoll theoretisch deaktivieren, um keine Informationen über die betreffende Infrastruktur nach außen hin preiszugeben, doch in der Praxis ist diese Lösung nicht wirklich tragfähig und schon erst recht nicht, wenn entfernter administrativer Zugang auf dem Programm steht.

In einigen Szenarios ist das Abschalten von ICMP für die Administratoren auch temporär nicht möglich. Active Directory-Clients nutzen ping und damit ICMP zum Ermitteln des am nächsten gelegenen Controllers, um GPOs (Group Policy Objects) abzufragen. Außerdem setzt auch der Einsatz von PMTUD (Path MTU Discovery) ICMP-Kommunikation voraus, um Paketfragmentierung zu verhindern.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43576124 / Server)