Merkblatt von Swisscable (PDF 92,94KB)
Transcription
Merkblatt von Swisscable (PDF 92,94KB)
Merkblatt Sicherheit EINLEITUNG.................................................................................2 WELCHE SICHERHEITSRISIKEN BESTEHEN...........................2 EINDRINGEN................................................................................2 ABHÖREN.....................................................................................3 BEEINFLUSSUNG DES ANSCHLUSSANGEBOTS ....................3 UMLEITEN VON VERKEHR .........................................................3 VIREN, TROJANER, WÜRMER & CO. ........................................4 SPAM ............................................................................................4 ARGUMENTARIUM ......................................................................5 MASSNAHMEN.............................................................................7 ÜBERSICHT - ZUAMMENFASSUNG...........................................8 Swisscable 11.08.04 / Technische Kommission Seite 1/8 Einleitung Die Kabelnetzbetreiber werden in regelmässigen Abständen mit dem Thema Sicherheit im Zusammenhang mit Kabelinternet1 konfrontiert. Swisscable hat bereits in der Vergangenheit verschiedentlich zum Thema informiert. Dieses Merkblatt gibt eine Übersicht über die verschiedenen Bedrohungen und mögliche Massnahmen der KNU. Welche Sicherheitsrisiken bestehen Grundsätzlich kann zwischen den folgenden Kategorien von Sicherheitsrisiken unterschieden werden: - Eindringen in Anschlussgeräte und Rechner Abhören von Informationen bei der Datenübertragung Beeinflussung des Anschlussangebots (Uncapping) Umleiten von Verkehr, Spoofing Viren, Trojaner, Würmer & Co. Spam Eindringen Unter Eindringen versteht man den unerwünschten Zugriff auf die Anschlussgeräte (Kabelmodems) und die Kundenrechner. Da es sich bei den Kabelmodems eigentlich um Bridges handelt, welche nur für Management-Funktionen und nur über interne IPAdressen angesprochen werden können, ist der Zugang vom Internet aus auf die Kabelmodems kaum möglich. Bei fehlender Firewall (hauptsächlich NAT-Router-Funktionalität) sind die Kundenrechner vom Internet her direkt ansprechbar. Dies kann u. a. im Zusammenhang mit Sicherheitslücken oder Konfigurationsfehlern in den (Windows-)Betriebssystemen erhebliche Gefahren bergen. Das Einsetzen von NAT kann jedoch unter Umständen dazu führen, dass gewisse Dienste gänzlich oder teilweise in ihrer Funktion beeinträchtigt werden (z. B. bei Voice-over-IP-Anwendungen, bei Instant Messaging, bei Virtual Private Networking oder bei Peer-2-Peer Networking). Durch NAT-Traversal-Techniken wie STUN o. a. können hier jedoch alternative Lösungen geboten werden. Was ist eine Firewall? Eine Firewall ist eine Logik zwischen dem Internet und seinen Systemen, die für die erforderlichen Kommunikationsbeziehungen eine entsprechende Kontrolle, Protokollierung und Überwachung bereitstellt und alle anderen unerwünschten Verbindungsversuche verhindert. Dies wird je nach benötigten Sicherheitsanforderungen durch NAT, Portfilter, Proxyserver, Protokollund Contentfilter-Funktionalitäten erreicht. Welche Komponenten gehören zu einer Firewall? Eine Firewall erfüllt mehrere Funktionen und für jede Aufgabenstellung gibt es ein passendes Mittel. Daher ist eine Firewall nicht nur ein einzelnes Produkt, sondern in der Regel eine Kombination mehrerer Hilfsmittel. Die Bandbreite der als Firewall bezeichneten Geräten und Einrichtungen ist recht gross und beginnt mit Personal Firewalls (Software auf eigenem PC, z. B. ZoneAlarm), Modems und Router mit eingebautem NAT und Portfilter-Funktionalität bis hin zu ausgewachsenen Firewalls (Checkpoint, Borderware, TIS etc.). Was ist NAT? IP-Adressen im Internet sind knapp und daher gibt es „private“ Adressen. Das sind Adressen, die nirgendwo genutzt und geroutet werden und für den internen Bedarf (eigenes Netzwerk oder PC) bestimmt sind. Für den Übergang ins Internet muss eine Umsetzung erfolgen (Network Address Translation bzw. Port Address Translation) und die IP-Adresse eines Rechners wird somit im Internet nicht sichtbar. Dadurch kann ein Rechner nicht direkt vom Internet her angewählt werden. Diese Funktion bieten die meisten Modem-Router und auch das Windows Internet Connection Sharing. NAT ist recht sicher gegen Angriffe von aussen und trotzdem einfach zu konfigurieren. Soft- oder Hardware Firewall? Grundsätzlich kann gesagt werden, dass eigenständige Geräte (Hardware Firewalls) sicherheitstechnisch zu bevorzugen sind. Diese verfügen über speziell gesicherte Betriebssysteme. Software Firewalls auf dem eigenen PC können nur so weit als sicher gelten, wie es das darunter liegende Betriebssystem (z. B. Windows) erlaubt. Durch E-Mail eingeschleuste Viren und Trojaner können solche Systeme von innen her leicht aushebeln. 1 Aufgrund der rückläufigen Verbreitung von anderen Systemen beschränkt sich dieses Merkblatt auf DOCSIS basierte Systeme. Swisscable 11.08.04 / Technische Kommission Seite 2/8 Abhören Beim Abhören stellt sich die Frage, ob beispielsweise Nachbarn, welche am selben Kabelnetz angeschlossen sind, Datenpakete abhören und damit Zugang zu privaten Informationen erlangen können. Rein physikalisch gelangen die Downstream-Signale zu allen Kabelmodems und können dort auch demoduliert, d. h. in digitale Form zurückgewandelt werden. Die Upstream-Signale von einem bestimmten Kabelmodem gelangen aber nicht in ausreichender Signalqualität zu anderen Anschlüssen. Ferner ist ein Kabelmodem nicht für die Demodulation der Upstream-Signale ausgerüstet. Es ist somit nicht möglich, die Upstream-Signale mit Hilfe gewöhnlicher Kabelmodems zu demodulieren. Die Downstream-Signale hingegen können theoretisch bei jedem Kabelmodem empfangen und demoduliert werden. Effektive Daten lassen sich aber nur extrahieren, wenn keine BaselinePrivacy-Verschlüsselung eingesetzt wird oder die BaselinePrivacy-Schlüssel bekannt sind. Beeinflussung des Anschlussangebots (Uncapping) Durch die Aufhebung von Bandbreite-Limitierungen – im Kabelbereich spricht man von „Uncapping“ – kann sich ein Breitbandteilnehmer höhere Leistung erschleichen, ohne entsprechend mehr dafür zu bezahlen, was somit in erster Linie nur den Netzbetreiber betrifft. Die Uncapping-Ansätze zielen darauf ab, das via TFTP übermittelte Konfigurationsfile (beinhaltet u. a. die Geschwindigkeitsparameter) zu ändern. Es wird dabei versucht, dem Modem während dem Boot-Vorgang einen anderen TFTP-Server anzubieten, sodass das Konfigurationsfile von diesem geliefert wird. Eine andere Möglichkeit besteht darin, direkt auf das Modem zuzugreifen und das Konfigurationsfile zu ändern. Da jedoch die Datenraten pro User im CMTS analysiert und somit ein Rückschluss auf den fehlbaren Teilnehmer gemacht werden kann, besteht hierbei keine grosse Gefahr. Umleiten von Verkehr Ein Kabelnetz bildet eine Broadcast Domain, d. h. MACBroadcast-Pakete gelangen zu allen angeschlossenen Stationen. Es ist daher in einem Kabelnetz grundsätzlich möglich, Datenpakete mit Hilfe einer „ARP-Spoofing Man-in-the-Middle-Attacke“ zu beliebigen Stationen umzuleiten. Da jedoch mittlerweile bei den meisten CMTS spezielle Funktionen ARP-Spoofing-Attacken verunmöglichen, besteht diesbezüglich kein wesentlicher Sicherheitsunterschied mehr gegenüber ADSL. Swisscable 11.08.04 / Technische Kommission Was ist Baseline Privacy? Das Baseline Privacy Interface (BPI) ist eine Erweiterung der MAC-Schicht bei DOCSIS und verschlüsselt dabei die Datenströme auf dem HF-Netz zwischen CMTS und Modem. Das Niveau des Datenschutzes ist auf Leitungsebene damit ungefähr gleichwertig wie bei ADSL einzustufen. Bei DOCSIS 1.0 schützt BPI hauptsächlich gegen nicht autorisierten Zugang zu den Daten mittels Datenverschlüsselung (40 oder 56 Bit DES, nur Payload, nicht MAC Header). Weiter gibt es kein Authentisierungsprotokoll zwischen dem Kabelmodem und dem CMTS. D. h., BPI bietet keinen wirklichen Schutz gegen Dienstediebstahl und MAC Address Spoofing. DOCSIS 1.1 erweitert diese Funktionen (BPI+) mit digitalen Zertifikaten zur BenutzerIdentifikation/-Authentifizierung, 3-facher DES-Verschlüsselung (3DES, 168 Bit) und sicherem Software Download. Dies hilft, Modems an nicht autorisiertem Zugang zum Netz zu hindern und somit die Gefahr des Dienstediebstahls erheblich zu mindern. Was ist Spoofing? Unter Spoofing versteht man im traditionellen Sinn die Kunst eines Angreifers, Pakete so zu fälschen, dass sie die Absenderadresse eines anderen (manchmal vertrauenswürdigen) Hosts tragen. Doch heutzutage gilt diese Definition als nicht mehr zeitgemäss. Die alte Definition wurde erweitert und umfasst nun alle Methoden, mit denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen, die auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen beruhen. Durch falsche ARP-Meldungen (Address Resolution Protocol) kann ein Angreifer die Kommunikation zwischen zwei Computern derart umleiten, dass alle Daten über seinen PC ausgetauscht werden. Als so genannter „Spoofing Man-in-the-Middle“ kann er die folgenden Angriffe ausführen: Blockierung eines Rechners (Denial of Service), Abhören der Daten, Sammeln von Passwörtern und Manipulation von Daten. Seite 3/8 Viren, Trojaner, Würmer & Co. Spätestens seit „I love you“ haben die meisten PC-Benutzer ein geschärftes Bewusstsein für diese schädliche Software. Die Grenze zwischen den verschiedenen Schädlingen ist manchmal gar nicht so leicht zu ziehen, manche Schadprogramme sind zugleich Virus, Wurm und Trojaner. „Virus“ ist sowohl Oberbegriff für alle Arten als auch die Bezeichnung für ein Schadprogramm mit spezifischen Eigenschaften. Der Unterschied zwischen Virus und Wurm liegt in ihrer Verbreitungsstrategie: Viren verbreiten sich innerhalb von PCs, Würmer nutzen die Infrastruktur eines Netzwerkes, um sich zu verbreiten, Trojaner tarnen sich meistens als nützliche Programme, um im Verborgenen ihre Schadensfunktion auszuüben. Viren etc. sind grundsätzlich keine Besonderheit von Kabelnetzen, jedoch besteht die Hauptpflicht des Geschäftspartners (KNU oder ISP) darin, dem Kunden funktionsfähige Internet-Dienste zur Verfügung zu stellen. Die Abwehr von Viren ist grundsätzlich nicht Bestandteil der Internet-Dienste. Es sind jedoch weitere Verpflichtungen des Geschäftspartners zu nennen, die sich einerseits aus der Verkehrssitte ergeben haben und andererseits aus der Tatsache, dass der Benutzer ständig online ist. Dieser Gefahrenherd führt zu einer weiteren unabdingbaren Verpflichtung des Geschäftspartners, den Kunden darauf hinzuweisen, ein Schutzprogramm gegen Viren einzurichten, um sich vor solchen zu schützen. Im Speziellen ist der Kunde darauf hinzuweisen, dass das Virenschutzprogramm auf allen PCs eingerichtet werden muss. Im Weiteren wird empfohlen, dass der Geschäftspartner seine Einrichtungen, welche für die Bereitstellung der Internet Services erforderlich sind, ebenfalls vor Viren schützt. Spam Genau genommen wäre Spam nicht der Kategorie Sicherheit zuzuordnen. Die markante Zunahme dieser unerwünschten E-MailMassenwerbung in der Vergangenheit und die Tatsache, dass immer häufiger durch Trojaner befallene Kundenrechner zum Spam-E-Mail-Versand missbraucht werden, erfordern dennoch vermehrte Aufmerksamkeit. Aufgrund der fehlenden gesetzlichen Grundlage zur Bekämpfung von Spam ist eine entsprechende Regelung in den AGB der Service Provider unbedingt notwendig. Damit sollte es dem Provider ermöglicht werden, Anschlüsse von Kunden, welche als SPAMQuellen identifiziert worden sind, jederzeit (vorübergehend) sperren zu können. Als technische Massnahme bietet sich der Einsatz der SMTPAuthentifizierung an. Diese Massnahme reduziert jedoch nur Spam-Mails, welche über die Ausgangs-Mailserver des Providers gesandt werden, und nicht solche, welche von „Mail Engines“ auf den Kunden-PCs generiert werden. Swisscable 11.08.04 / Technische Kommission Trojaner Ein Trojaner (vgl. Trojanisches Pferd) ist ein Programm, das sich als etwas anderes getarnt in einen PC schmuggelt, sich aber normalerweise nicht von selber vermehrt. Manche Trojaner schnüffeln Benutzerpasswörter aus, die sie an den Hacker übermitteln. RAT RAT ist die Abkürzung für „Remote Access Trojaner“. Computer, die mit einem solchen Trojaner infiziert sind, können theoretisch von der Person, die den Trojaner einpflanzte, ferngesteuert werden. So entgleitet dem eigentlichen PC-Nutzer völlig die Kontrolle über den eigenen PC. Spamming Unter Spam wird eine E-Mail verstanden, die Werbung enthält und ohne Verlangen oder Zustimmung des Empfängers an diesen versandt wurde. Werden solche E-Mails zugleich an eine Vielzahl von Empfängern gesendet, wird von Spamming gesprochen. Der Versender solcher Werbebotschaften wird als Spammer bezeichnet. Mittels RAT (siehe oben) ist es möglich, unerkannt Spam direkt vom PC des Kunden und nicht über den Mailserver des Providers an zahlreiche Empfänger zu versenden. Der Spammer übernimmt dabei die Kontrolle über den Kunden-PC und setzt diesen als „Mailserver“ ein. Der Spammer bleibt unerkannt und sein ISP kann ihn somit nicht zur Rechenschaft ziehen. Eine ausdrückliche gesetzliche Regelung für das Spamming, wie sie etwa die EU in verschiedenen Richtlinien kennt, fehlt in der Schweiz bis heute. Mit der Revision des FMG soll mit Art. 45a eine gesetzliche Grundlage geschaffen werden. SMTP-Authentifizierung SMTP-Authentifizierung ist eine Erweiterung von SMTP, mit der sich E-Mail Clients gegenüber dem E-Mail-Server zum Versenden von Mails mittels einer User/Passwort-Kombination ausweisen müssen (vergleichbar mit einer POP3-Anmeldung zum Empfangen von E-Mails). Seite 4/8 Argumentarium Woher kommen die Angriffe? Es wird viel häufiger versucht, über normale TCP/IP-Kommunikation vom Internet auf Rechner anderer zuzugreifen als von Kundenrechnern des eigenen Kabelnetz-Provider-Bereichs. Der grösste Teil der bei Kundenrechnern festgestellten Angriffe stammt von automatisierten Werkzeugen und virenbefallenen Systemen. Ist Kabelinternet grundsätzlich unsicherer als ADSL? Die Unterschiede zwischen Kabel und ADSL in Bezug auf Sicherheitsfragen sind nicht mehr so gross wie in der Vergangenheit. Bei aktivierter Baseline Privacy (BPI+) werden die sicherheitstechnischen Nachteile des „Shared Medium“ nahezu ausgeglichen. Der relevante Unterschied liegt eigentlich im Vorhandensein der NAT-Funktionalität. So verfügt ein grosser Teil der ADSL-Modems über integrierte NAT-Router, was von den im Einsatz stehenden Kabelmodems nicht gesagt werden kann. Können mit einem handelsüblichen Kabelmodem die Upstream-Daten eines anderen Teilnehmers empfangen werden? Es ist nicht möglich, Upstream-Daten anderer Kunden abzuhören, weil diese Signale einerseits gar nicht bei allen Anschlusspunkten in ausreichender Signalstärke ankommen und weil andererseits die Kabelmodems im Upstream-Frequenzbereich gar nicht mit Empfängern ausgerüstet sind. Können mit einem handelsüblichen Kabelmodem die für einen anderen Teilnehmer bestimmten Downstream-Daten empfangen werden? Es ist grundsätzlich möglich, mit einem Kabelmodem sämtliche Downstream-Signale zu empfangen und zu demodulieren. Effektive Daten lassen sich aber nur extrahieren, wenn keine Baseline-PrivacyVerschlüsselung eingesetzt wird und das Kabelmodem im „Promisuous Mode“ betrieben wird. Die Möglichkeit der Kabelmodem-Umprogrammierung in den „Promisuous Mode“ kann nicht ausgeschlossen werden. Ist es möglich, ein Kabelmodem so zu modifizieren, dass es sich als das Modem eines Nachbarn ausgeben kann? Ja, jedoch muss dafür zuerst die MAC-Adresse und/oder Serie-Nummer des benachbarten Modems herausgefunden werden. Dies ist ab DOCSIS 1.1 (BPI+) aufgrund der verbesserten Verschlüsselung und Authentifizierung jedoch sehr unwahrscheinlich. Das Ändern der Serie-Nummer/MAC-Adresse im Modem ist schwierig, jedoch nicht unmöglich. Die Tatsache, dass das Nachbarmodem offline gebracht werden muss, um ein so modifiziertes Modem ans Netz zu bringen, lässt das Risiko eines breit angelegten Dienstediebstahls in der Praxis verschwinden. Swisscable 11.08.04 / Technische Kommission Seite 5/8 Gibt es Kabelmodems mit integrierter Firewall (NAT-Router)? Ja, diese werden als Kabelrouter bezeichnet und bieten je nach Modell und Hersteller neben NAT zum Teil erweiterte Firewall- und/oder auch Wireless-Funktionalität. Als interessante Alternative lässt sich auch ein separater Router (Kosten ab etwa sFr. 50.-) hinter das bestehende Kabelmodem schalten. Wie können die Kundenrechner bezüglich Sicherheit analysiert werden? In erster Linie durch den Kunden selber. Im Internet sind verschiedene kostenlose Online Check Dienste verfügbar auf welche die Service Provider verweisen können. Als Alternative dazu wäre eine aktive Analyse seitens der Service Provider denkbar (Portscan etc.) Die so eruierten, ungenügend geschützten Kunden können danach gezielt kontaktiert werden. Zum Vorbeugen von negativen Reaktionen auf diesen Eingriff in die Privatsphäre sollten die Kunden jedoch vorgängig informiert werden, sofern nicht bereits entsprechende Klauseln im Anschlussvertrag vorhanden sind. Swisscable 11.08.04 / Technische Kommission Seite 6/8 Massnahmen 1. Proaktive Kundeninformation Als grundsätzlich wichtigste Massnahme gilt eine proaktive Kundeninformation, welche die Kunden auf Sicherheitslücken aufmerksam macht und mögliche Massnahmen, wie Antivirenprogramme, Firewalls, Verhaltensregeln beim Surfen, Mailen, Online Shopping etc., aufzeigt. Im Speziellen sollen die Kunden bei fehlenden NAT-Router-Funktionalität darauf hingewiesen werden, mindestens (kostenlose) Software Firewalls einzusetzen, die Datei und Druckerfreigabe(n) zu deaktivieren und generell das Betriebssystem immer auf dem aktuellsten Stand zu halten. Hierzu einige nützliche Adressen2: Betriebssystem Microsoft www.microsoft.com/switzerland/de/protect Software Firewall Zonelabs http://download.zonelabs.com/bin/free/de/download/znalm.html Symantec http://www.symantec.com Netgear http://www.netgear.com Linksys http://www.linksys.com 3com http://www.3com.ch Zyxel http://www.zywall.com Hardware Firewall (Gratis) Online Checks & Tools http://check.lfd.niedersachsen.de/start.php http://www.symantec.com/securitycheck http://www.securityinfo.ch/tools.html Antivirus Antivir http://www.antivir.de/de McAffee http://www.mcafee.com/de Symantec http://www.symantec.com Trendmicro http://housecall.trendmicro.com 2. Kontrollieren resp. Optimieren der Netzwerk-Konfiguration Durch Beachten der folgenden Punkte kann die Sicherheit im Kabelnetz erheblich gesteigert werden: - Schützen des TFTP-Servers (Modem Konfiguration Files) - Einschränken von SNMP - Sperren diverser Ports, wie beispielsweise NETBIOS (137-139) und SMB (445) - Aktivieren der Sicherheitsmassnahmen im CMTS etc. (Baseline Privacy, Anti ARP-Spoofing ) - Hardwaremässige NAT-Funktionalität beim Kunden (Einsetzen von [NAT-]Kabelroutern oder separaten Geräten) 3. Uncapping - Testen des eigenen Netzes Es ist empfehlenswert, das eigene Netz mit Hilfe von in einschlägigen Foren diskutierten „Uncapping Werkzeugen“ auf diese Möglichkeiten des Missbrauchs hin zu prüfen. 2 Die gemachten Angaben sind rein informeller Natur. Die Listen sind weder als vollständig noch als eine Empfehlung von Swisscable zu verstehen. Swisscable 11.08.04 / Technische Kommission Seite 7/8 Übersicht - Zusammenfassung Bedrohung Bewertung Massnahmen Direkter Zugang auf Kundenrechner Bei fehlender (NAT) Firewall möglich. - Proaktive Kundeninformation - Anbieten von NAT-Routern - Einsetzen von DOCSIS 1.1 oder höher Abhören von Informationen, welche Nicht möglich mit Hilfe allgemein andere abschicken (durch Demodula- erhältlicher Kabelmodems. tion von Signalen mit Upstream-Daten) - Keine Massnahme nötig Umleiten von Verkehr (ARP-Spoofing) ARP-Spoofing war früher möglich, wird heute aber im CMTS abgefangen. - Keine Massnahme (mehr) nötig Beeinflussung des Anschlussangebots („Uncapping“) Durch Angriffe auf das Anschlussgerät oder zentrale Einrichtungen beim ISP möglich. - Test des eigenen Netzes mit sog. Uncapping-Werkzeugen Bedrohung durch Viren, Würmer etc. Unabhängig von der Access Technologie immer möglich. - Proaktive Kundeninformation - Bereitstellen von Tools oder Links dazu - Sperren von als Spam-Quellen identifizierte Kundenrechner (Regelung in AGB nötig) - SMTP-Authentifikation Abhören von Informationen, welche andere empfangen (durch Demodulation von Signalen oder Empfang von Downstream-Daten mit „Promisuous Mode“ Modems) SPAM Möglichkeit kann nicht ausgeschlossen werden. Ab DOCSIS 1.1 aufgrund BPI+ jedoch sehr unwahrscheinlich. Unabhängig von der Access Technologie immer möglich. Swisscable 11.08.04 / Technische Kommission Seite 8/8