Gefahr durch unzureichende Analyse ausgehender Netzwerk-Verbindungen

In einigen früheren Artikeln dieses Blogs hatte ich u.a. angedeutet, dass auch der Analyse und dem Unterbinden ausgehender Verbindungen von einem PC oder erst recht von einem Server im eigenen Netzwerk große Bedeutung zukommt. Das gilt für Verbindungen zu Zielpunkten im IT-Netzwerk - vor allem aber zu Systemen im Internet.

Die aktuelle Untersuchung eines der Servers der Partei "Die Linken" im Bundestag - siehe

https://netzpolitik.org/2015/digital-attack-on-german-parliament-investigative-report-on-the-hack-of-the-left-party-infrastructure-in-bundestag/

- zeigt nun gerade, dass ein systematisches Verhindern von ausgehenden Verbindungen zumindest eine bestimmte Malware, die dort als Teil der Attacke auf das Netzwerk des Bundestages beschrieben wurde, in ihrer Wirksamkeit beschränkt hätte. Ich finde das doch recht lehrreich.

Leider muss man sagen, dass

  • dass erstens das Thema ausgehender Verbindungen von einigen System-Administratoren unterschätzt wird
  • dass zweitens standardmäßig eingerichtete Firewalls und Security Software sowohl unter Windows als auch Linux diesen Aspekt von Haus aus zu wenig beachten.
  • dass drittens das Aufstellen von Regeln zur Kontrolle ausgehender Netzwerk-Verbindungen sowie das Einbinden von Black/White-Lists zu Ziel-IP-Adressen durchaus anspruchsvoll werden kann.

Im Besonderen erlauben viele Admins grundsätzlich ausgehende HTPPS-Verbindungen auch von Servern, um so automatische und direkte Verbindungen mit Update-Servern im Internet (die ihre IP-Adresse regelmäßig ändern) etablieren zu können. Nicht jeder Admin sieht sich schließlich in der Lage, einen eigenen lokalen Update Server im Hausnetz zu konfigurieren. Und so werden halt Kompromisse geschlossen .... und auch bekannte "böse" Zieladressen der versuchten Verbindungen nicht herausgefiltert.

Neben vielen Security-Produkten für MS Systeme fällt aber z.B. auch die Susefirewall2 in ihrer Standardinstallation dadurch unangenehm auf, dass ausgehende Verbindungen eines Linux-Systems zunächst einmal grundsätzlich erlaubt werden.

Nimmt man wie im letzten Artikel dieses Blogs propagiert, als Admin dagegen den Standpunkt ein, dass ein hinreichend klug geführter (und ausreichend finanzierter) Angriff früher oder später zu einem Eindringen von Malware führen wird, so ist gerade dann eine Begrenzung ausgehender Netz-Verbindungen ein Muss:

  • um aktive Software, die ungewünschte Verbindungen nach außen aufnimmt, zu entdecken
  • und natürlich, um selbige ungewünschten Verbindungen zu verhindern.

Fazit - auch wenn es für den einen oder anderen bereits eine Binsenweisheit sein mag:
Liebe Admins - im Bundestag und anderswo - kümmert euch intensiv um das Eingrenzen ausgehender Verbindungen, nutzt dabei Blacklists für Zielpunkte auch von https-Verbindungen und überlasst die Kontrolle ausgehender Verbindungen keinesfalls allein installierten Standardprodukten.

Wir wollen und können nicht verhindern, dass ein User von einem PC unseres Netzwerks aus im Internet surft. Wir können aber verhindern, dass beliebige Prozesse/Programme von beliebigen Systemen in unserem Netzwerk zu beliebigen Systemen da draußen Verbindungen aufbauen. Auch wenn das deutlich mehr Arbeit erfordert als pauschale Freigaben.

Die Kommentarfunktion ist geschlossen.