pemue
Goto Top

Neues IT-Sicherheitssystem - Suche Anregungen für ein Buchprojekt

Hallo Leute,

ich suche ein paar Anregungen für ein Buchprojekt an dem ich gerade arbeite.

Ein wesentlicher Part darin handelt von einem neu entwickelten, innovativem Sicherheitssystem für Netzwerke,
welches nach dem Prinzip der Arbeitstations-Quarantäne nach einem Befall durch Würmer, Vieren etc. arbeitet.

Szenario: Ein Computer wird - durch was auch immer - infiziert, das Sicherheitssystem registriert die Infektion und
trennt als erste Maßnahme den Rechner vom Netz. Diese Netztrennung muss, dass ist zwingend erforderlich,
direkt an den Kommunikationsschnittstellen passieren, also den Netzwerkkarten, Wlan-Adaptern etc. und zwar durch eine
Verschlüsselung der Adressierung. Der Computer ist zwar physikalisch immer noch Bestandteil des Netzes, kann
aber nichts mehr adressieren und wird ebenso wenig gefunden.

Beachtet dabei, dies ist eine fiktionales Buch. Muss und soll also nicht zu 100% den tatsächlichen Möglichkeiten entsprechen.
Aber dicht dran und logisch nachvollziehbar sollte es sein. Gut und praktisch wäre auch eine Betriebssystem-Unabhängigkeit.

Wer Lust hat ein wenig mit zu spinnen, ist gern eingeladen.
Falls das Buch jemals den Ladentisch erreicht, gibt's ein Gratisexemplar für jeden konstruktiven Beitrag! face-smile

Freue mich auf Anregungen von den Profis...

pemue

Content-ID: 167365

Url: https://administrator.de/contentid/167365

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

60730
60730 01.06.2011 um 23:03:34 Uhr
Goto Top
moin,

Prinzip der Arbeitstations-Quarantäne nach einem Befall durch Würmer, Vieren etc. arbeitet.

ich streck alle viere von mir face-wink
das mit der fiktion und der Realität ist so eine Sache...

Praktisch gibt es außer für Windows nur bei Smartphones so was ähnliches wie Viren und bei den Smartphones ist das eher auch nix echtes.

Da die meisten immer noch Windows läuft, gibt es auch in der freien Wildbahn nur Windowsviren - wobei WIndows & Virus ja schon eine ähnliche Verbreitung haben.

Unser Asbachuraltvirenscanner war Etrust von CA und weißt du was der gemacht hat - genau das, was du beschreibst.
Und ich bin mir sicher, das es noch x andere Scanner gibt, die das machen.

Von Cisco gibt es übrigens auch einen Ansatz, die Kiste (systemübergreifend) am Switch vom Netz zu trennen.

Gruß
matsahm
matsahm 02.06.2011 um 00:01:38 Uhr
Goto Top
Hi pemue,

Die Telekom macht sowas in der Art. Gerade heute wieder gehabt. Wenn zu viele Mails (z.B. durch infizierte Rechner) ins Internet gehen, wird der Port gesperrt. Dann geht alles, ausser der E-Mail-Versand über Port 25. Egal zu welchem Provider.

Vielleicht hilft dir das ja als Anregung. Die Frage ist ja auch, ob immer gleich alles gesperrt werden muss, oder wie in dem Fall nur Port 25.

OT ganz nebenbei: Ich habe 38 Minuten und ich glaube mich sechs mal verbinden lassen, bis mir die Telekom bestätigen konnte, das eine Portsperre für den Anschluß vorlag. Die ersten am anderen Ende wussten zuerst nicht einmal, das die Telekom sowas macht. Ich musste sie darin erstmal aufklären. Technisch wäre es doch kein Problem, solche Meldungen im CallCenter auftauchen zu lassen, wenn der Kunde aufgerufen wird. So in der Art: "Achtung, es liegt eine Sperre vor. Bitte mit der Sicherheitstechnik verbinden."

Gruß
Mathias Sahm
maretz
maretz 02.06.2011 um 10:49:02 Uhr
Goto Top
Hi,

ich glaube du würdest dich mit deinem Sicherheitssystem zimlich zerlegen.

Also: Virus wird erkannt - und du trennst erstmal alle Verbindungen. Gute Idee - aber in der Praxis völlig untauglich.
a) Du befindest dich in einem Netzwerk z.B. einer Firma o.ä.: Jetzt trennst du den Computer vom Netzwerk ab - und der Admin darf erstmal sehen wie er noch an das System kommt um das zu säubern. Wenn du eine große Firma hast dann ist aber ggf. die IT an einem zentralen Ort - d.h. im dümmsten Fall steigt der Admin erstmal in ein Auto, Flugzeug oder sonstwas und darf losfahren. Das alles weil z.B. jemand den Eicar-Testvirus geöffnet hat? Na danke...

b) Du befindest dich auf einem einzelplatzsystem bei Oma/Opa zuhause. Plötzlich geht nix mehr - und die haben auch keine Möglichkeit da z.B. ein Programm zum Säubern runterzuladen... Selbst wenn die zufällig nen Experten kennen - an dem Rechner kann der nichts mehr machen sofern er nicht z.B. nen eigenes Laptop mitbringt um das Säuberungsprogramm mitzunehmen.

Der nächste Punkt: Wie erkennst du eine Reinigung? Entweder du würdest verlangen das dein Sicherheitssystem die Reinigung vornimmt - was in der Praxis aber doof wäre weil man dann erst weitermachen kann wenn "du" das Update (was ja gar nicht auf den Rechner kommt da die Verbindungen gesperrt sind!) bereitstellst. Denn erkennen ist nicht gleich beheben... Somit würdest du nicht anders handeln als ein Virenprogrammierer der erst nach Zahlung von X Euro/USD das Passwort für die Verschlüsselung deiner Dateien rausrückt - nur das du gleich den Rechner sperrst, nicht nur ein paar Dateien die ich ggf. vom Backup wiederholen könnte. Oder du müsstest jedes andere Antiviren-Programm usw. zulassen - was selbst MS nicht hinbekommt da es einfach zuviele Hersteller gibt.

Dann wäre da noch das false-positive zu bedenken: Aufgrund eines fehlerhaften Updates erkennst du mal wieder die svchost als Virus (ist ja dem ein oder anderen kommerziellen Anbieter schon passiert... ;) ). Du killst also die Netzwerkverbindung - ich bekomme kein Update mehr. Die svchost zu killen wäre aber ne eher schlechte Idee - weil dann läuft mein Windows nicht mehr. Du hast also nen "never-ending-loop" gebaut: Ohne Netzverbindung -> kein Update. Ohne Update -> svchost (o.ä.) wird als Virus erkannt. Solange svchost vorhanden -> keine Netzwerkverbindung...

Kommen wir zu einem weiteren - rein Win-spezifischen - Problem: Deine Software müsste mit Admin-Rechten arbeiten damit die den Netzwerkverkehr blocken kann. Wenn der User aber auch mit Admin-Rechten arbeitet (was ja meistens der Fall ist sofern es nicht ein Netzwerk ist!) - dann könnte der Virus deine SW einfach abschießen (genauso wie jeden anderen Virenscanner). Im schlimmsten Fall hast du sogar Viren die eine art Virtuelle Maschine erzeugen und nutzen - da sieht deine SW nicht mal was von weil das im Hintergrund ne ganz andere IP usw. ist. Somit sendet der Virus gemütlich aus seiner VM mit der ip 123.123.123.123 raus - und dein Host mit 123.123.123.1 lächelt und nickt nur fröhlich... Der Virus ist ja nicht auf dem Host selbst - also sagt dein System: Mir doch egal, ich leite mal fröhlich weiter...

Also ist die Trennung zwar in erster Linie schnell erledigt - in näherer Betrachtung aber völlig unsinnig. Denn du musst ja nicht nur WLAN, LAN usw. sperren - ich könnte ja z.B. auch über den USB-Port gehen. Also musst du rein technisch das ganze IP-Protokoll löschen/deaktivieren. Ohne das ist mein Rechner - egal auf welchem Weg - vom Internet getrennt. Wenn du auch noch lokale Netzwerke betrachtest - dann musst du ALLE Netzwerkprotokolle killen. Sonst schließt nämlich jemand sein Smartphone via USB an und is doch wieder im Netz. Oder das Modem am COM1, die ISDN-Karte,... - alles Kommunikationswege die du unterbinden musst. DAS geht nur auf Protokoll-Ebene wirklich sinnvoll...

Wie könnte man also das Problem effektiv lösen? Hierzu müsstest du schon ein autarkes System nehmen welches z.B. zwischen Router/Modem und Client sitzt. Es muss den Netzwerkverkehr überwachen und z.B. aufgrund von verschiedenen Parametern erkennen ob das Datenverkehr erlaubt wird oder nicht. DAS gibt es schon - IDS, Firewalls usw... Hier kann ich durchaus (z.B. bei Snort müsste es gehen) sagen das wenn Rechner X versucht eine Mail zu senden (obwohl der kein Mailserver ist!) - kille für den den Traffic auf dem Port und sende eine Alarm-Meldung an den Admin. Jetzt kann der Admin den Rechner übernehmen (sei es per Konsole oder per Fernzugriff auf die Dienste u.ä.) und ggf. bereinigen. Da der in einem anderem Regelwerk drin steht wird das IDS nur lächeln, nicken und den so durchwinken. Wenn man dazu den Rechner noch gesichert hat - dann kann der User auch soviel Geräte anklemmen wie er will - da rührt sich nichts ausser der Netzwerkverbindung. Aber eine Sicherung auf dem evtl. befallenen System selbst ist IMMER der falsche Weg. Es ist zwar schön nen Virenscanner zu haben (habe ich auch!) - aber das eher für z.B. emails usw.... Für die Netzwerksicherung muss (in einer wirklich sicheren Umgebung) immer noch ein externes System herhalten. Denn einem befallenen Computer kannst du nicht trauen - dafür gibt es zuviele Möglichkeiten die lokalen Sicherungen zu umgehen... Ein System was jedoch per Kabel physikalisch zwischen Router u. internen Netz steht (d.h. Netzwerkkabel 1 für intern, netzwerkkabel 2 für extern) kann jedoch KEIN System umgehen was ins Internet will -> es kommt nunmal nicht an der Kiste vorbei. Und solange das zwischenliegende System vernünftig gesichert ist (eben z.B. keine Admin-Rechte bzw. nicht mal ein aktiv angemeldeter User, keine unnötigen offenen Ports, keine unnötigen Dienste und vorallem keine Useranmeldungen die genauso wie die lokalen User sind!) hilft das deutlich mehr als jede lokale Schutzfunktion...
Pemue
Pemue 02.06.2011 um 20:36:31 Uhr
Goto Top
Hey maretz,

wow..., danke für deinen sehr ausführlichen post.

Wenn ich dich richtig verstehe mach es wenig Sinn, so ein System lokal auf den einzelnen Clients zu installieren.
Deine Begründungen hierfür sind logisch nachvollziehbar und leuchten mir ein.

Habe mich eben mal kurz in IDS/IPS eingelesen (wusste nicht, dass es so etwas schon gibt. danke für die Info!) und hab das ungefähr so verstanden:
Irgendwo im Netz steht eine Maschine, die den gesamten Netzwerkverkehr überwacht und bei auftretenden Anomalien entsprechend reagiert. Vom blocken von Ports auf die jemand unberechtigter Weise von außerhalb zugreifen möchte bis hin zur Sperrung eines Clients innerhalb des Netzes, der z.B. gerade damit beginnt, 5000 Spammails oder Dateien mit eingebetteten Virencodes zu versenden. Diese IDS/IPS Maschine sollte so gesichert sein, dass dort kaum ein Angriff erfolgen kann um bestimmte Regelwerke oder Erkennungsmuster zu ändern.

Wie sieht es aber in der Praxis aus? Wie verbreitet ist der Einsatz dieser Technik?
Wie ich erlesen konnte, sind solche Systeme noch sehr fehleranfällig und erkennen mal zu viele und mal zu wenige 'Ereignisse'.

Wäre es denkbar, dieses Prinzip so 'intelligent' zu gestalten, dass Fehlerquellen nahezu ausgeschlossen werden können und man sich global auf einen einheitlichen Standard einigt?

Und fiktiv vielleicht noch einen Schritt weiter gedacht: Die IDS/IPS Maschine im Netz fällt weg und wird direkt in die Kommunikationshardware eingebettet welche sich regelmäßig selbst updatet oder ständig mit der Datenbank in Verbindung steht, welche die Regelwerke beinhaltet? Somit könnte jeder Client selber entscheiden, was incoming erlaubt ist und was nicht. Ähnlich dem Aufkleber am Briefkasten: Keine Werbung! und keine Post von meiner EX! ;)
Andersherum natürlich wesentlich restriktiver: Die Adresse der EX wurde für mich von ihr gesperrt, so dass ich keinerlei Möglichkeit habe, mit ihr in direkten Kontakt zu treten es sei denn, ich mache einen 'Wiederversöhnungs-Antrag' der von ihr positiv beschieden wird und ihre IP oder Mailadresse ist für mich wieder erreichbar. Nur mal als vereinfachtes Bild angenommen.

Wünsche allseits noch einen schönen Männertag.
Und danke für die bisherigen Anregungen.

pemue
C.R.S.
C.R.S. 03.06.2011 um 23:47:58 Uhr
Goto Top
Hallo,

ich finde, es kommt ein wenig darauf an, was den Hintergrund für dieses Sicherheitskonzept bilden soll. Geht es um eine "best practice" der Netzwerksicherheit, oder soll einer bestimmten Bedrohung begegnet werden? Geht es dabei überhaupt speziell um die Verhinderung des Netzwerkzugriffes eines gekaperten Rechners oder um ganz andere Dinge?

Zum IDS: Es gibt da natürlich unterschiedliche Skalierungen und Variationen, aber vom Prinzip her ist ein IDS/IPS nichts besonderes und sollte in Unternehmensumgebungen standardmäßige Ergänzung der Firewalls sein. Die Frage, was das im Endeffekt nutzt (vor allem: wogegen) hast Du ja schon aufgeworfen. Hosts zu erkennen und ggf. zu isolieren, die ein so auffälliges Verhalten zeigen, wie Deine Beispiele andeuten, z.B. das Netz scannen, um einen Wurm weiter zu verbreiten, ist erst mal keine große Schwierigkeit, ausgenommen eben die Falsch-positiv-Abgrenzung.

In einer Beziehung aber bleiben IDS dem Namen nach Mogelpackungen: Was den "Arbeitsablauf" bei einer bewussten Penetration eines Netzwerkes angeht, wird in der Praxis nicht die erfolgte "Intrusion" erkannt, sondern allenfalls Reconnaissance-Maßnahmen im Vorfeld. Gegen einen Angreifer, der dabei "den Ball flach halten" kann, weil er die Netzstruktur, das Ziel und natürlich das IDS selbst bereits kennt, ist es daher weitgehend nutzlos. Solche Angriffe mit detailliertem Vorwissen über das Zielsystem sind der Normalfall im Bereich der Wirtschaftsspionage. Ein Szenario, für das immerhin das grundlegend geschützte Zielsystem anfällig ist, wird sich dabei ebenso wenig auffällig im Netzwerkverkehr abbilden. Gegebenenfalls lässt sich auch frühzeitig eine verschlüsselte Verbindung aufbauen oder läuft gar die gesamte Exploitation z.B. über eine verschlüsselte Browsersitzung, verborgen vor dem IDS.

Um maretz' Gedanken weiter zu führen: Selbstverständlich müssen, anders als Dein Eingangsbeitrag nahelegt, die "Kontrollinstanzen" der Netzwerksicherheit auf dedizierten Systemen liegen. Das sind aber nur die Basics, ohne die man ein Netzwerk heute gar nicht mehr aufbauen kann. Wenn man mit diesem Buch ein wenig träumen darf, dann möchte ich die Meinung anbringen, dass insgesamt die Fokussierung der IT-Sicherheits-Branche auf Netzwerksicherheit eine Modell von gestern ist, welches enorme Defizite auf Seiten der Endpoint-Security unbeachtet lässt. Viele der Risiken, denen Netzwerkverkehr mit hohem Aufwand meist vergebens nachgespürt wird, ließen sich in der Tat schon auf den einzelnen Systemen minimieren. Da bin ich gewissermaßen Anhänger von Joanna Rutkowska ( http://theinvisiblethings.blogspot.com/ ), die mit ihren Arbeiten als eine von wenigen dazu substanzielle Verbesserungen anregt.

Grüße
Richard