Merkblatt von Swisscable (PDF 92,94KB)

Merkblatt Sicherheit
EINLEITUNG.................................................................................2
WELCHE SICHERHEITSRISIKEN BESTEHEN...........................2
EINDRINGEN................................................................................2
ABHÖREN.....................................................................................3
BEEINFLUSSUNG DES ANSCHLUSSANGEBOTS ....................3
UMLEITEN VON VERKEHR .........................................................3
VIREN, TROJANER, WÜRMER & CO. ........................................4
SPAM ............................................................................................4
ARGUMENTARIUM ......................................................................5
MASSNAHMEN.............................................................................7
ÜBERSICHT - ZUAMMENFASSUNG...........................................8
Swisscable 11.08.04 / Technische Kommission
Seite 1/8
Einleitung
Die Kabelnetzbetreiber werden in regelmässigen Abständen mit
dem Thema Sicherheit im Zusammenhang mit Kabelinternet1
konfrontiert.
Swisscable hat bereits in der Vergangenheit verschiedentlich
zum Thema informiert. Dieses Merkblatt gibt eine Übersicht über
die verschiedenen Bedrohungen und mögliche Massnahmen der
KNU.
Welche Sicherheitsrisiken bestehen
Grundsätzlich kann zwischen den folgenden Kategorien von
Sicherheitsrisiken unterschieden werden:
-
Eindringen in Anschlussgeräte und Rechner
Abhören von Informationen bei der Datenübertragung
Beeinflussung des Anschlussangebots (Uncapping)
Umleiten von Verkehr, Spoofing
Viren, Trojaner, Würmer & Co.
Spam
Eindringen
Unter Eindringen versteht man den unerwünschten Zugriff auf
die Anschlussgeräte (Kabelmodems) und die Kundenrechner.
Da es sich bei den Kabelmodems eigentlich um Bridges handelt,
welche nur für Management-Funktionen und nur über interne IPAdressen angesprochen werden können, ist der Zugang vom
Internet aus auf die Kabelmodems kaum möglich.
Bei fehlender Firewall (hauptsächlich NAT-Router-Funktionalität)
sind die Kundenrechner vom Internet her direkt ansprechbar.
Dies kann u. a. im Zusammenhang mit Sicherheitslücken oder
Konfigurationsfehlern in den (Windows-)Betriebssystemen erhebliche Gefahren bergen.
Das Einsetzen von NAT kann jedoch unter Umständen dazu führen, dass gewisse Dienste gänzlich oder teilweise in ihrer Funktion beeinträchtigt werden (z. B. bei Voice-over-IP-Anwendungen, bei Instant Messaging, bei Virtual Private Networking oder
bei Peer-2-Peer Networking). Durch NAT-Traversal-Techniken
wie STUN o. a. können hier jedoch alternative Lösungen geboten werden.
Was ist eine Firewall?
Eine Firewall ist eine Logik zwischen dem
Internet und seinen Systemen, die für die
erforderlichen
Kommunikationsbeziehungen
eine entsprechende Kontrolle, Protokollierung
und Überwachung bereitstellt und alle anderen
unerwünschten
Verbindungsversuche
verhindert. Dies wird je nach benötigten
Sicherheitsanforderungen
durch
NAT,
Portfilter,
Proxyserver,
Protokollund
Contentfilter-Funktionalitäten erreicht.
Welche Komponenten gehören zu einer
Firewall?
Eine Firewall erfüllt mehrere Funktionen und
für jede Aufgabenstellung gibt es ein passendes Mittel. Daher ist eine Firewall nicht nur ein
einzelnes Produkt, sondern in der Regel eine
Kombination mehrerer Hilfsmittel. Die Bandbreite der als Firewall bezeichneten Geräten
und Einrichtungen ist recht gross und beginnt
mit Personal Firewalls (Software auf eigenem
PC, z. B. ZoneAlarm), Modems und Router mit
eingebautem NAT und Portfilter-Funktionalität
bis hin zu ausgewachsenen Firewalls (Checkpoint, Borderware, TIS etc.).
Was ist NAT?
IP-Adressen im Internet sind knapp und daher
gibt es „private“ Adressen. Das sind Adressen,
die nirgendwo genutzt und geroutet werden
und für den internen Bedarf (eigenes Netzwerk
oder PC) bestimmt sind. Für den Übergang ins
Internet muss eine Umsetzung erfolgen (Network Address Translation bzw. Port Address
Translation) und die IP-Adresse eines Rechners wird somit im Internet nicht sichtbar. Dadurch kann ein Rechner nicht direkt vom Internet her angewählt werden. Diese Funktion
bieten die meisten Modem-Router und auch
das Windows Internet Connection Sharing.
NAT ist recht sicher gegen Angriffe von aussen und trotzdem einfach zu konfigurieren.
Soft- oder Hardware Firewall?
Grundsätzlich kann gesagt werden, dass
eigenständige Geräte (Hardware Firewalls)
sicherheitstechnisch zu bevorzugen sind.
Diese verfügen über speziell gesicherte Betriebssysteme. Software Firewalls auf dem
eigenen PC können nur so weit als sicher
gelten, wie es das darunter liegende
Betriebssystem (z. B. Windows) erlaubt. Durch
E-Mail eingeschleuste Viren und Trojaner
können solche Systeme von innen her leicht
aushebeln.
1
Aufgrund der rückläufigen Verbreitung von anderen Systemen beschränkt
sich dieses Merkblatt auf DOCSIS basierte Systeme.
Swisscable 11.08.04 / Technische Kommission
Seite 2/8
Abhören
Beim Abhören stellt sich die Frage, ob beispielsweise Nachbarn,
welche am selben Kabelnetz angeschlossen sind, Datenpakete
abhören und damit Zugang zu privaten Informationen erlangen
können.
Rein physikalisch gelangen die Downstream-Signale zu allen
Kabelmodems und können dort auch demoduliert, d. h. in digitale
Form zurückgewandelt werden. Die Upstream-Signale von einem
bestimmten Kabelmodem gelangen aber nicht in ausreichender
Signalqualität zu anderen Anschlüssen. Ferner ist ein Kabelmodem nicht für die Demodulation der Upstream-Signale ausgerüstet. Es ist somit nicht möglich, die Upstream-Signale mit Hilfe gewöhnlicher Kabelmodems zu demodulieren.
Die Downstream-Signale hingegen können theoretisch bei jedem
Kabelmodem empfangen und demoduliert werden. Effektive Daten lassen sich aber nur extrahieren, wenn keine BaselinePrivacy-Verschlüsselung eingesetzt wird oder die BaselinePrivacy-Schlüssel bekannt sind.
Beeinflussung des Anschlussangebots (Uncapping)
Durch die Aufhebung von Bandbreite-Limitierungen – im Kabelbereich spricht man von „Uncapping“ – kann sich ein Breitbandteilnehmer höhere Leistung erschleichen, ohne entsprechend
mehr dafür zu bezahlen, was somit in erster Linie nur den Netzbetreiber betrifft.
Die Uncapping-Ansätze zielen darauf ab, das via TFTP übermittelte Konfigurationsfile (beinhaltet u. a. die Geschwindigkeitsparameter) zu ändern. Es wird dabei versucht, dem Modem während dem Boot-Vorgang einen anderen TFTP-Server anzubieten,
sodass das Konfigurationsfile von diesem geliefert wird. Eine andere Möglichkeit besteht darin, direkt auf das Modem zuzugreifen
und das Konfigurationsfile zu ändern.
Da jedoch die Datenraten pro User im CMTS analysiert und somit
ein Rückschluss auf den fehlbaren Teilnehmer gemacht werden
kann, besteht hierbei keine grosse Gefahr.
Umleiten von Verkehr
Ein Kabelnetz bildet eine Broadcast Domain, d. h. MACBroadcast-Pakete gelangen zu allen angeschlossenen Stationen.
Es ist daher in einem Kabelnetz grundsätzlich möglich, Datenpakete mit Hilfe einer „ARP-Spoofing Man-in-the-Middle-Attacke“ zu
beliebigen Stationen umzuleiten. Da jedoch mittlerweile bei den
meisten CMTS spezielle Funktionen ARP-Spoofing-Attacken verunmöglichen, besteht diesbezüglich kein wesentlicher Sicherheitsunterschied mehr gegenüber ADSL.
Swisscable 11.08.04 / Technische Kommission
Was ist Baseline Privacy?
Das Baseline Privacy Interface (BPI) ist eine
Erweiterung der MAC-Schicht bei DOCSIS
und verschlüsselt dabei die Datenströme auf
dem HF-Netz zwischen CMTS und Modem.
Das Niveau des Datenschutzes ist auf Leitungsebene damit ungefähr gleichwertig wie
bei ADSL einzustufen.
Bei DOCSIS 1.0 schützt BPI hauptsächlich
gegen nicht autorisierten Zugang zu den
Daten mittels Datenverschlüsselung (40 oder
56 Bit DES, nur Payload, nicht MAC Header). Weiter gibt es kein Authentisierungsprotokoll zwischen dem Kabelmodem und
dem CMTS. D. h., BPI bietet keinen wirklichen Schutz gegen Dienstediebstahl und
MAC Address Spoofing.
DOCSIS 1.1 erweitert diese Funktionen
(BPI+) mit digitalen Zertifikaten zur BenutzerIdentifikation/-Authentifizierung,
3-facher
DES-Verschlüsselung (3DES, 168 Bit) und
sicherem Software Download. Dies hilft, Modems an nicht autorisiertem Zugang zum
Netz zu hindern und somit die Gefahr des
Dienstediebstahls erheblich zu mindern.
Was ist Spoofing?
Unter Spoofing versteht man im traditionellen Sinn die Kunst eines Angreifers, Pakete
so zu fälschen, dass sie die Absenderadresse eines anderen (manchmal vertrauenswürdigen) Hosts tragen. Doch heutzutage gilt diese Definition als nicht mehr zeitgemäss. Die alte Definition wurde erweitert
und umfasst nun alle Methoden, mit denen
sich Authentifizierungs- und Identifikationsverfahren untergraben lassen, die auf der
Verwendung vertrauenswürdiger Adressen
oder Hostnamen beruhen.
Durch falsche ARP-Meldungen (Address
Resolution Protocol) kann ein Angreifer die
Kommunikation zwischen zwei Computern
derart umleiten, dass alle Daten über seinen
PC ausgetauscht werden. Als so genannter
„Spoofing Man-in-the-Middle“ kann er die
folgenden Angriffe ausführen:
Blockierung eines Rechners (Denial of Service), Abhören der Daten, Sammeln von
Passwörtern und Manipulation von Daten.
Seite 3/8
Viren, Trojaner, Würmer & Co.
Spätestens seit „I love you“ haben die meisten PC-Benutzer ein
geschärftes Bewusstsein für diese schädliche Software. Die
Grenze zwischen den verschiedenen Schädlingen ist manchmal
gar nicht so leicht zu ziehen, manche Schadprogramme sind zugleich Virus, Wurm und Trojaner. „Virus“ ist sowohl Oberbegriff für
alle Arten als auch die Bezeichnung für ein Schadprogramm mit
spezifischen Eigenschaften. Der Unterschied zwischen Virus und
Wurm liegt in ihrer Verbreitungsstrategie: Viren verbreiten sich innerhalb von PCs, Würmer nutzen die Infrastruktur eines Netzwerkes, um sich zu verbreiten, Trojaner tarnen sich meistens als
nützliche Programme, um im Verborgenen ihre Schadensfunktion
auszuüben.
Viren etc. sind grundsätzlich keine Besonderheit von Kabelnetzen,
jedoch besteht die Hauptpflicht des Geschäftspartners (KNU oder
ISP) darin, dem Kunden funktionsfähige Internet-Dienste zur Verfügung zu stellen. Die Abwehr von Viren ist grundsätzlich nicht
Bestandteil der Internet-Dienste. Es sind jedoch weitere Verpflichtungen des Geschäftspartners zu nennen, die sich einerseits
aus der Verkehrssitte ergeben haben und andererseits aus der
Tatsache, dass der Benutzer ständig online ist. Dieser Gefahrenherd führt zu einer weiteren unabdingbaren Verpflichtung des Geschäftspartners, den Kunden darauf hinzuweisen, ein Schutzprogramm gegen Viren einzurichten, um sich vor solchen zu schützen. Im Speziellen ist der Kunde darauf hinzuweisen, dass das
Virenschutzprogramm auf allen PCs eingerichtet werden muss.
Im Weiteren wird empfohlen, dass der Geschäftspartner seine
Einrichtungen, welche für die Bereitstellung der Internet Services
erforderlich sind, ebenfalls vor Viren schützt.
Spam
Genau genommen wäre Spam nicht der Kategorie Sicherheit zuzuordnen. Die markante Zunahme dieser unerwünschten E-MailMassenwerbung in der Vergangenheit und die Tatsache, dass
immer häufiger durch Trojaner befallene Kundenrechner zum
Spam-E-Mail-Versand missbraucht werden, erfordern dennoch
vermehrte Aufmerksamkeit.
Aufgrund der fehlenden gesetzlichen Grundlage zur Bekämpfung
von Spam ist eine entsprechende Regelung in den AGB der Service Provider unbedingt notwendig. Damit sollte es dem Provider
ermöglicht werden, Anschlüsse von Kunden, welche als SPAMQuellen identifiziert worden sind, jederzeit (vorübergehend) sperren zu können.
Als technische Massnahme bietet sich der Einsatz der SMTPAuthentifizierung an. Diese Massnahme reduziert jedoch nur
Spam-Mails, welche über die Ausgangs-Mailserver des Providers
gesandt werden, und nicht solche, welche von „Mail Engines“ auf
den Kunden-PCs generiert werden.
Swisscable 11.08.04 / Technische Kommission
Trojaner
Ein Trojaner (vgl. Trojanisches Pferd) ist ein
Programm, das sich als etwas anderes getarnt in einen PC schmuggelt, sich aber
normalerweise nicht von selber vermehrt.
Manche Trojaner schnüffeln Benutzerpasswörter aus, die sie an den Hacker übermitteln.
RAT
RAT ist die Abkürzung für „Remote Access
Trojaner“. Computer, die mit einem solchen
Trojaner infiziert sind, können theoretisch
von der Person, die den Trojaner einpflanzte, ferngesteuert werden. So entgleitet
dem eigentlichen PC-Nutzer völlig die Kontrolle über den eigenen PC.
Spamming
Unter Spam wird eine E-Mail verstanden, die
Werbung enthält und ohne Verlangen oder
Zustimmung des Empfängers an diesen versandt wurde. Werden solche E-Mails zugleich an eine Vielzahl von Empfängern gesendet, wird von Spamming gesprochen.
Der Versender solcher Werbebotschaften
wird als Spammer bezeichnet.
Mittels RAT (siehe oben) ist es möglich, unerkannt Spam direkt vom PC des Kunden
und nicht über den Mailserver des Providers
an zahlreiche Empfänger zu versenden. Der
Spammer übernimmt dabei die Kontrolle
über den Kunden-PC und setzt diesen als
„Mailserver“ ein. Der Spammer bleibt unerkannt und sein ISP kann ihn somit nicht zur
Rechenschaft ziehen.
Eine ausdrückliche gesetzliche Regelung für
das Spamming, wie sie etwa die EU in verschiedenen Richtlinien kennt, fehlt in der
Schweiz bis heute. Mit der Revision des
FMG soll mit Art. 45a eine gesetzliche
Grundlage geschaffen werden.
SMTP-Authentifizierung
SMTP-Authentifizierung ist eine Erweiterung
von SMTP, mit der sich E-Mail Clients gegenüber dem E-Mail-Server zum Versenden
von Mails mittels einer User/Passwort-Kombination ausweisen müssen (vergleichbar mit
einer POP3-Anmeldung zum Empfangen
von E-Mails).
Seite 4/8
Argumentarium
Woher kommen die Angriffe?
Es wird viel häufiger versucht, über normale TCP/IP-Kommunikation vom Internet auf Rechner anderer zuzugreifen als von Kundenrechnern des eigenen Kabelnetz-Provider-Bereichs. Der grösste Teil
der bei Kundenrechnern festgestellten Angriffe stammt von automatisierten Werkzeugen und virenbefallenen Systemen.
Ist Kabelinternet grundsätzlich unsicherer als ADSL?
Die Unterschiede zwischen Kabel und ADSL in Bezug auf Sicherheitsfragen sind nicht mehr so gross
wie in der Vergangenheit. Bei aktivierter Baseline Privacy (BPI+) werden die sicherheitstechnischen
Nachteile des „Shared Medium“ nahezu ausgeglichen.
Der relevante Unterschied liegt eigentlich im Vorhandensein der NAT-Funktionalität. So verfügt ein
grosser Teil der ADSL-Modems über integrierte NAT-Router, was von den im Einsatz stehenden
Kabelmodems nicht gesagt werden kann.
Können mit einem handelsüblichen Kabelmodem die Upstream-Daten eines anderen Teilnehmers
empfangen werden?
Es ist nicht möglich, Upstream-Daten anderer Kunden abzuhören, weil diese Signale einerseits gar
nicht bei allen Anschlusspunkten in ausreichender Signalstärke ankommen und weil andererseits die
Kabelmodems im Upstream-Frequenzbereich gar nicht mit Empfängern ausgerüstet sind.
Können mit einem handelsüblichen Kabelmodem die für einen anderen Teilnehmer bestimmten
Downstream-Daten empfangen werden?
Es ist grundsätzlich möglich, mit einem Kabelmodem sämtliche Downstream-Signale zu empfangen
und zu demodulieren. Effektive Daten lassen sich aber nur extrahieren, wenn keine Baseline-PrivacyVerschlüsselung eingesetzt wird und das Kabelmodem im „Promisuous Mode“ betrieben wird. Die
Möglichkeit der Kabelmodem-Umprogrammierung in den „Promisuous Mode“ kann nicht ausgeschlossen werden.
Ist es möglich, ein Kabelmodem so zu modifizieren, dass es sich als das Modem eines Nachbarn
ausgeben kann?
Ja, jedoch muss dafür zuerst die MAC-Adresse und/oder Serie-Nummer des benachbarten Modems
herausgefunden werden. Dies ist ab DOCSIS 1.1 (BPI+) aufgrund der verbesserten Verschlüsselung
und Authentifizierung jedoch sehr unwahrscheinlich. Das Ändern der Serie-Nummer/MAC-Adresse im
Modem ist schwierig, jedoch nicht unmöglich.
Die Tatsache, dass das Nachbarmodem offline gebracht werden muss, um ein so modifiziertes Modem ans Netz zu bringen, lässt das Risiko eines breit angelegten Dienstediebstahls in der Praxis verschwinden.
Swisscable 11.08.04 / Technische Kommission
Seite 5/8
Gibt es Kabelmodems mit integrierter Firewall (NAT-Router)?
Ja, diese werden als Kabelrouter bezeichnet und bieten je nach Modell und Hersteller neben NAT zum
Teil erweiterte Firewall- und/oder auch Wireless-Funktionalität. Als interessante Alternative lässt sich
auch ein separater Router (Kosten ab etwa sFr. 50.-) hinter das bestehende Kabelmodem schalten.
Wie können die Kundenrechner bezüglich Sicherheit analysiert werden?
In erster Linie durch den Kunden selber. Im Internet sind verschiedene kostenlose Online Check
Dienste verfügbar auf welche die Service Provider verweisen können.
Als Alternative dazu wäre eine aktive Analyse seitens der Service Provider denkbar (Portscan etc.)
Die so eruierten, ungenügend geschützten Kunden können danach gezielt kontaktiert werden. Zum
Vorbeugen von negativen Reaktionen auf diesen Eingriff in die Privatsphäre sollten die Kunden jedoch
vorgängig informiert werden, sofern nicht bereits entsprechende Klauseln im Anschlussvertrag
vorhanden sind.
Swisscable 11.08.04 / Technische Kommission
Seite 6/8
Massnahmen
1. Proaktive Kundeninformation
Als grundsätzlich wichtigste Massnahme gilt eine proaktive Kundeninformation, welche die Kunden auf
Sicherheitslücken aufmerksam macht und mögliche Massnahmen, wie Antivirenprogramme, Firewalls,
Verhaltensregeln beim Surfen, Mailen, Online Shopping etc., aufzeigt.
Im Speziellen sollen die Kunden bei fehlenden NAT-Router-Funktionalität darauf hingewiesen werden,
mindestens (kostenlose) Software Firewalls einzusetzen, die Datei und Druckerfreigabe(n) zu deaktivieren und generell das Betriebssystem immer auf dem aktuellsten Stand zu halten.
Hierzu einige nützliche Adressen2:
Betriebssystem
Microsoft
www.microsoft.com/switzerland/de/protect
Software Firewall
Zonelabs
http://download.zonelabs.com/bin/free/de/download/znalm.html
Symantec
http://www.symantec.com
Netgear
http://www.netgear.com
Linksys
http://www.linksys.com
3com
http://www.3com.ch
Zyxel
http://www.zywall.com
Hardware Firewall
(Gratis) Online Checks &
Tools
http://check.lfd.niedersachsen.de/start.php
http://www.symantec.com/securitycheck
http://www.securityinfo.ch/tools.html
Antivirus
Antivir
http://www.antivir.de/de
McAffee
http://www.mcafee.com/de
Symantec
http://www.symantec.com
Trendmicro
http://housecall.trendmicro.com
2. Kontrollieren resp. Optimieren der Netzwerk-Konfiguration
Durch Beachten der folgenden Punkte kann die Sicherheit im Kabelnetz erheblich gesteigert werden:
-
Schützen des TFTP-Servers (Modem Konfiguration Files)
-
Einschränken von SNMP
-
Sperren diverser Ports, wie beispielsweise NETBIOS (137-139) und SMB (445)
-
Aktivieren der Sicherheitsmassnahmen im CMTS etc. (Baseline Privacy, Anti ARP-Spoofing )
-
Hardwaremässige NAT-Funktionalität beim Kunden (Einsetzen von [NAT-]Kabelroutern oder
separaten Geräten)
3. Uncapping - Testen des eigenen Netzes
Es ist empfehlenswert, das eigene Netz mit Hilfe von in einschlägigen Foren diskutierten „Uncapping
Werkzeugen“ auf diese Möglichkeiten des Missbrauchs hin zu prüfen.
2
Die gemachten Angaben sind rein informeller Natur. Die Listen sind weder als vollständig noch als eine Empfehlung von
Swisscable zu verstehen.
Swisscable 11.08.04 / Technische Kommission
Seite 7/8
Übersicht - Zusammenfassung
Bedrohung
Bewertung
Massnahmen
Direkter Zugang auf Kundenrechner
Bei fehlender (NAT) Firewall
möglich.
-
Proaktive Kundeninformation
-
Anbieten von NAT-Routern
-
Einsetzen von DOCSIS 1.1 oder
höher
Abhören von Informationen, welche
Nicht möglich mit Hilfe allgemein
andere abschicken (durch Demodula- erhältlicher Kabelmodems.
tion von Signalen mit Upstream-Daten)
-
Keine Massnahme nötig
Umleiten von Verkehr (ARP-Spoofing)
ARP-Spoofing war früher möglich, wird heute aber im CMTS
abgefangen.
-
Keine Massnahme (mehr) nötig
Beeinflussung des Anschlussangebots
(„Uncapping“)
Durch Angriffe auf das Anschlussgerät oder zentrale
Einrichtungen beim ISP möglich.
-
Test des eigenen Netzes mit sog.
Uncapping-Werkzeugen
Bedrohung durch Viren, Würmer etc.
Unabhängig von der Access
Technologie immer möglich.
-
Proaktive Kundeninformation
-
Bereitstellen von Tools oder Links
dazu
-
Sperren von als Spam-Quellen
identifizierte Kundenrechner
(Regelung in AGB nötig)
-
SMTP-Authentifikation
Abhören von Informationen, welche
andere empfangen (durch Demodulation von Signalen oder Empfang von
Downstream-Daten mit „Promisuous
Mode“ Modems)
SPAM
Möglichkeit kann nicht ausgeschlossen werden. Ab DOCSIS
1.1 aufgrund BPI+ jedoch sehr
unwahrscheinlich.
Unabhängig von der Access
Technologie immer möglich.
Swisscable 11.08.04 / Technische Kommission
Seite 8/8