Wir nutzen matomo zur anonymisierten Reichweitenerfassung. Mehr Informationen, sowie eine Option zum Opt-out, erhalten Sie in unserer Datenschutzerklärung.

magBLOG

Wie sicher ist Ihr Monitoring? Finden wir es heraus!

Ein funktionierendes Netzwerk Monitoring meldet sich nur dann, wenn tatsächlich ein Problem im Netzwerk entsteht. Die ständig laufenden Status-Abfragen passieren stattdessen leise und ohne Aufmerksamkeit im Hintergrund. Was passiert aber, wenn bei einem Hacking-Angriff die Aufmerksamkeit genau auf diese Aktionen gerichtet wird? Das werden wir uns in diesem Blog-Post genauer ansehen. Ich kann es Ihnen jetzt schon mal sagen: Am Ende wird alles gut.

„Mein Monitoring System darf alles.“

Ganz klar, diese Aussage ist natürlich überspitzt. Für ein gut verwaltetes Monitoring System gilt grundsätzlich das gleiche wie für alle anderen IT-Systeme – so wenig Berechtigungen wie möglich, so viele wie nötig. Diesen Grundsatz auf Monitoring Systeme anzuwenden ist aber gar nicht so einfach. Denn für ein umfangreiches Monitoring braucht es oft unternehmensweit Zugriff auf das Netzwerk, um alle relevanten Geräte vollständig erfassen und überwachen zu können.

Eine saubere Netzwerksegmentierung mit eingeschränkten Port-Freigaben ist ein wichtiger Grundbaustein, um sicherzustellen, dass tatsächlich nur Dienste verwendet werden, die für das Monitoring im jeweiligen Bereich benötigt werden (SNMP, WMI, ICMP, etc.). Je nach Zielsystem schafft eine User-Authentifizierung zusätzlich Sicherheit, um sicherzustellen, welche Informationen vom Monitoring System abgefragt werden können.

„Das machen wir doch schon – sind wir jetzt sicher?“

Wie so oft steckt hier der Teufel im Detail. Welche Berechtigungen haben die User-Accounts, die für die Abfragen verwendet werden? Werden selbst entwickelte Scripts verwendet? Wenn ja – wie sind diese aufgebaut? Nicht immer können diese Fragen sofort geklärt werden. Es gibt Abhängigkeiten, die schwierig zu identifizieren sind und oftmals ist das Monitoring System im Laufe der Jahre gewachsen und hat an Komplexität zugenommen.

Ein gutes Mittel, um hier Antworten zu liefen ist ein Penetrationstest im internen Netzwerk. Penetrationstest im internen Netz? Das schreit nach Pentera. Das Produkt von Pcysys erlaubt es automatisiert Penetrationstests im eigenen Netzwerk durchzuführen und wurde auch schon in unserem magBLOG vorgestellt.

Auf der Suche nach Credentials

Als Ausgangspunkt haben wir ein Monitoring System mit einigen typischen Status-Abfragen konfiguriert. Zum Beispiel prüfen wir regelmäßig per SMB, ob ein File am internen Share erreichbar ist. Die Authentifizierung dafür erfolgt per NTLM automatisch, und zwar mit einem Domain-User des IT-Supports. Dieser darf nämlich ohne Einschränkung auf den Share zugreifen und kann das gewünschte File auslesen. Soweit alles gut.

Nun verschafft sich aber jemand unerlaubt Zugriff in das Netz, in dem das interne Monitoring System läuft. In unserem Fall verwenden wir dafür Pentera, welches unter anderem kontinuierlich versucht Netzwerk Traffic zu sniffen. Ein Treffer lässt nicht lange auf sich warten. Pentera konnte den NTLMv2-Hash unseres IT-Support Users abgreifen, nachdem das Monitoring System versuchte den Share zu öffnen. Um dies zu erreichen, verwendet Pentera eine bekannte „Man in the Middle“ Angriffstechnik.

Die Folge daraus: Pentera kennt nun den NTLMv2 Hash eines Domain-Users, welcher für Relay Attacken genutzt werden kann oder wie in unserem Fall erfolgreich gecracked wurde. Man kann sich vorstellen, welchen Wert ein gültiger Domain-User der IT-Support-Gruppe für den weiteren Verlauf des Angriffs haben kann.

Man-in-the-Middle-Attacken können natürlich auch andere Server/Clients treffen. Durch gezielte Prävention- und Erkennungsmaßnahmen kann das Risiko des unerwünschten Mithörens aber verringert werden.

Im Fall unseres Monitoring Systems hätten wir aber trotz des erfolgreichen Sniffings die Folgen deutlich reduzieren können. Denn anstatt den IT-Support-User für die Abfrage zu verwenden, wäre ein dafür vorgesehener „Monitoring-User“ mit sehr eingeschränkten Berechtigungen die bessere Wahl gewesen. Ein entsprechend komplexes Passwort ist natürlich genauso wichtig.

Gehen wir mal im Test weiter. Mit Hilfe der gefundenen Klartext-Credentials kann sich Pentera nun deutlich leichter im Netzwerk ausbreiten und hat auch bereits eine weitere heiße Spur auf der Suche nach Credentials gefunden – Anmeldedaten in Scripts.

Im Monitoring Umfeld sind Custom-Scripts eine super Möglichkeit, um gezielt Daten und Status-Werte abzufragen, die mit dem Standard-Werkzeug der Monitoring Lösung nicht umsetzbar ist. Auf der Suche nach Credentials sind diese Scripts aber ebenso ein potenzielles Angriffsziel, wie auch in MITRE T1552.001 beschrieben.

Klar, Cleartext-Credentials in Scripts sind offensichtlich keine gute Idee. Doch gerade zum schnellen Testen eines neuen Scripts ist man gerne dazu verleitet, die Anmeldedaten einfach im Klartext im Script zu hinterlegen. Zudem haben die verwendeten User-Accounts oft mehr Berechtigungen als eigentlich benötigt – ist ja nur zum Testen. Nehmen diese Scripts aber einen dauerhaften und vergessenen Platz auf Fileservern oder Dateisystemen ein, kann das im Ernstfall ungünstige Folge haben.

Doch was können wir dagegen tun? Passende Maßnahmen sind natürlich von der Anforderung des Scripts sowie dem eingesetzten Monitoring Tool abhängig.

Mit PRTG Network Monitor ist es zum Beispiel möglich, Custom-Scripts in einem vordefinierten User-Kontext auszuführen. Eventuell ist dadurch gar keine weitere Authentifizierung als Teil des Scripts nötig. Zudem können in PRTG gezielt User-Credentials als Parameter an Scripts übergeben werden. Die Verwaltung der Credentials erfolgt in PRTG und die Custom-Scripts arbeiten nur mehr mit Variablen. Falls mehr Flexibilität benötigt wird, können auch auf Script-Ebene entsprechende Maßnahmen zur Verschlüsselung umgesetzt werden.

Im Falle unseres Tests hatten wir nicht so viel Glück. Pentera hat mehrere potenzielle Files gefunden und ein Treffer war auch dabei:

Ich überlasse es mal Ihrer Fantasie, was mit dem gefundenen User-Account im Netzwerk so alles möglich ist.

Ende gut – alles gut?

Ja, eigentlich schon. Wir haben einige kritische Punkte in unserem Test-Szenario entdeckt und erfahren, wie schnell „Privileged Escalation“ laufen kann, wenn unvorsichtig mit Credentials gearbeitet wird. Und was ist daran jetzt gut? All diese Dinge wurden im Laufe des Penetration-Tests mit Pentera entdeckt und eben nicht erst bei einem echten Angriff. Wir wissen somit, wo unsere Schwachstellen liegen und haben Schritte definiert, um diese zu beheben.

Netzwerk Monitoring ist ein absolut essenzieller Bestandteil einer jeden IT-Landschaft und stellt eine zentrale Komponente im Netzwerk dar. Genauso sollte das Monitoring auch behandelt werden. Regelmäßiges Penetration-Testing im eigenen Netzwerk hilft dabei ein Bewusstsein für die richtige Konfiguration und Security-Maßnahmen zu schaffen.

Sie hätten gerne Unterstützung bei der Integration Ihres Monitorings oder wollen wissen, was Pentera in Ihrem Netzwerk findet? Wir unterstützen Sie dabei gerne.

Also: Ende gut – alles gut.

Autor: Hans-Peter Bauer
Solution Consultant
magellan netzwerke GmbH

 

News

Das FERNAO-Netzwerk

Durch den Zusammenschluss der Unternehmen profitieren Kunden von ganzheitlichen IT-Lösungen aus einer Hand – professionell und spezialisiert auf Ihre Projekte abgestimmt.

Folgen Sie uns:
facebook twitter youtube linkedin xing instagram