Jump to content
EUROPAS GROßE
SPORTWAGEN COMMUNITY

IT-Profis hier? Brauche Storys von internen Angriffen auf Netzwerke


Telekoma

Empfohlene Beiträge

Hallo!

Da ich ja inzwischen weiss, dass solche Anfragen bei CP immer auf Hilfe stossen, mache ich in meiner Not noch mal ein nicht Auto bezogenes Thema auf.

Ich bräuchte für das Verfassen einer Reportage, Fälle von Industriespionage, Manipulation bei Banken über das Netzwerk, anderweitige Eingriffe in LANs, die durch Installation nicht autorisierter, fremder Geräte INTERN ermöglicht wurden.

Zum Beispiel durch die Installation eines WLan Routers an einer Netzwerksteckdose in einem Konferenzraum.

Habe mal irgendwann so etwas gehört, dass bei einer Bank ein WLan Router eingeschleust wurde und die Täter sich dadurch Zugriff auf das System verschafft haben.

Dann wurden fleissig Konten eröffnet und Gelder übertragen etc.

Kann die Story aber nicht finden.

Kann einer von euch aufmerksamen, gebildeten und belesenen Menschen mir helfen, ein paar Facts zusammenzutragen?

Mein Dank ist euch sicher! :D

Und Ihr wisst ja: Telekoma verschickt auch schon mal Lindt & Sprüngli-Care Pakete aus der Schweiz!

X-)

DankeDankeDanke!!!

Jetzt registrieren, um Themenwerbung zu deaktivieren »

Bei uns in der Shell ist gerade deswegen, das anbinden eines Organizers, oder eines handys an das interne Netz verboten, und es wird eine solche verbindung nur freigegeben, wenn ausgeschlossen ist, dass der organizer über eine handyfunktion verfügt!

Das Interne Netz verfügt über eine eigene GI Oberfläche, die es verhindert, dass ein ungefilterter Kontakt nach aussen stattfindet!

Sehr kritische Anwendungen (Raffineriesteuerung) laufen entweder nur auf Rechnern, die eben nur zum Control Network eine Verbindung haben, und ansonsten keine weiteren Anschlussmöglichkeiten bieten (Hardware), oder die Anwendungen laufen über einen E-Server als reine HTML Anzeigefunktionen, und das auch nur auf den internen GI Rechnern.

Ein Zugriff von Aussen auf diese sensiblen Daten und Funktionen ist somit nahezu ausgeschlossen.

Eine andere Lösung findet man ja auch bei Programmen, welche bestimmte Geräte, die nicht Zertifiziert werden können, eben einfach fremd sind, oder in anderer Weise nicht die Sicherheitsvorgaben (Patch-Level, Virenschutz) , in ein V(irtual)Lan schleusen. Das ist dann sozusagen ein Quarantäne Bereich, wo zwar Internetanbindung gegeben ist, aber kein Zugriff auf das Firmeninterne Netzwerk.

Ich bräuchte für das Verfassen einer Reportage, Fälle von Industriespionage, Manipulation bei Banken über das Netzwerk, anderweitige Eingriffe in LANs, die durch Installation nicht autorisierter, fremder Geräte INTERN ermöglicht wurden.

Da Du auch Wlan angesprochen hast hab ich mal nach Bluetooth gegoogelt und über Wikipedia folgenden Verweis bekommen.

http://www.heise.de/newsticker/23C3-Neue-Hacker-Tools-fuer-Bluetooth--/meldung/83043

Hidattack nutzt den bei vielen Bluetooth-Keyboards installierten HID-Server (Human Interface Device). Das aus der Feder von Collin Mulliner stammende Programm verbindet sich durch eine ähnliche Umgehung der PIN-Abfrage mit diesem kleinen Server und kann dann vorgeben, selbst die Tastatur zu sein. Wenn das Keyboard in einer nahen Bank stehe und mit einem etwa per Fernglas einsehbaren Terminal verbunden sei, könnten sich beispielsweise Transaktionen durchführen lassen, erläuterte Zoller eine Anwendungsmöglichkeit für Hidattack. Man könne das fremde Terminal dann quasi so bedienen, als ob man direkt davor säße. Nur die Maus fehle noch.

In dem Fall wäre ja das Bluetooth-Keyboards dein angesprochenes nicht autorisiertes, fremdes, interne Gerät.

Was mir noch einfallen würde wären diese "HomePlug Ethernet Adapter", also diese kleinen Boxen die man an Steckdosen anschließt um damit das LAN übers Stromnetz laufen zu lassen. Die Teile haben eine große Bandbreite (85, 200 oder 400 MBit/s) und fallen kaum auf. Das System funktioniert für alle Leitungen die hinter dem Stromzählen hängen, also könnte man bei einer kleineren Firma vom Lager oder vom Klo aus bequem sich eine Netzwerk-Verbindung direkts ins Büro vom Chef legen.

Was denkbar auch möglich wäre (bin da kein Experte), ein so einen Adapter drinnen an den Router hängen (Eintrittskarte in LAN) und einen anderen Adapter draussen auf dem Firmengelände an eine Lampe, die hängt ja auch am Stromzähler, man müsste halt nur etwas basteln.

Was auch nette wäre, eine Netzwerkfähige Festplatte dran anschließen und auf der den Firmen Datenserver nachbilden. Dann wundern sich zwar alle warum das Lan so lahm ist und warums gleich 2 Server gibt (wenn man den richtigen nicht killt), dafür speichern alle ihre Daten freiwillig drauf ab und man muss die versteckte Platte (Lüftungsschacht, egal wo, haupstsache Strom) nur wieder abholen und schaun was drauf ist. X-)

Das ist jetzt nur so ne Spinnerei! Keine Ahnung ob sowas machbar wäre.

Gruß

Thomas

Ps. Link zu meinem Lieblings-Händler.

http://www.reichelt.de/?;ACTION=3;LA=2;GROUP=ECA6;GROUPID=768;ARTICLE=75865;START=0;SORT=artnr;OFFSET=16;SID=31esrh66wQAR8AAAXjftEc45fc6ab57da9c0bee8e526d997a3e48

:D

Jaaa, also das sind natürlich auch interessante "Optionen" 8)

Danke erst mal euch allen.

Der Artikel sollte sich allerdings eher auf reine LAN Verbindungen beziehen, denn da besteht der größte Nachholbedarf.

Es geht mehr um "NAC" Network Access Control.

Also einfach Überwachung der Switches und Hubs.

Sehr wenige Administratoren haben einen Überblick, welche Geräte wo angeschlossen werden und ob keine privat mitgebrachten Endgeräte mal eben eingesteckt werden.

Muss ja nicht mal böser Wille dahinter stehen.

Aber ich denke mal, wenn einer sein Virenverseuchtes Notebook an ein Access Point intern anschliesst, können somit die Firewall oder andere Sicherheitsmassnahmen nichts mehr ausrichten ?!

Oder bin ich da falsch informiert?

Umfassend sag ich´s mal so: Sicher vor Angriffen, Würmern, Viren und Manipulationen ist man ja nur, wenn man ´s Kabel rauszieht.

Oder wie mein Fahrradhändler in Düsseldorf damals immer sagte.

"Da kannse Dir noch so´n jutes Schloss kofen - wenn enner dat Fahrrad mitnemme will, dann nimmter et mit..."

"Da kannse Dir noch so´n jutes Schloss kofen - wenn enner dat Fahrrad mitnemme will, dann nimmter et mit..."

Oda gleech den janzen Komputa mitnemmen... O:-)

http://www.welt.de/politik/article1820894/500_Computer_aus_Bundesbehoerden_gestohlen.html

500 Computer aus Bundesbehörden gestohlen

Die deutschen Behörden sind zum Opfer eines massiven Computer-Diebstahls geworden. In den vergangen drei Jahren sind mehrere hundert Computer mit wichtigen Daten spurlos verschwunden. Der Diebstahl sensibler Informationen und technischer Geräte zieht sich quer durch alle Institutionen. Auch geheime Dokumente sind betroffen.

:-o

Der Artikel sollte sich allerdings eher auf reine LAN Verbindungen beziehen, denn da besteht der größte Nachholbedarf.

Es geht mehr um "NAC" Network Access Control.

Also einfach Überwachung der Switches und Hubs.

Sehr wenige Administratoren haben einen Überblick, welche Geräte wo angeschlossen werden und ob keine privat mitgebrachten Endgeräte mal eben eingesteckt werden.

Muss ja nicht mal böser Wille dahinter stehen.

Üblicherweise bekommt der Admin snmp traps sobald sich ein "Neuer" einstöpselt.

Der port wird automatisch deaktiviert.

Drei modi sind verbreitet, shutdown ist default:

When configuring port security violation modes, note the following information:

•protect—Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value.

•restrict—Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value and causes the SecurityViolation counter to increment.

•shutdown—Puts the interface into the error-disabled state immediately and sends an SNMP trap notification.

Das scheint aber nicht sehr wirksam zu sein:

Um die Sicherheit von SNMPv1 ist es schlecht bestellt: Alle Daten gehen im Klartext übers Netz. Doch auch spezielle Community-Namen bieten keinen ernsthaften Schutz, denn SNMPv1 überträgt sie - wie auch die Daten - im Klartext. So lässt sich mit einem Netzwerksniffer schnell ein Community-String erlauschen, der dann Zugriff auf wichtige Netzwerkkomponenten erlaubt.

Als zusätzliches Sicherheits-Feature lassen sich bei neueren Agenten Zugriffslisten (Access Control Lists, ACLs) definieren, sodass nur die dort festgelegten Rechner bestimmte Operationen durchführen dürfen. Doch IP-Adressen lassen sich fälschen, sodass sicherheitsbewusste Administratoren oft separate, virtuelle Netze (VLANs) verwenden, die ausschließlich der Administration dienen. Da es auch Methoden gibt, solche VLANs zu kompromittieren, bleiben all diese Ansätze letztlich Flickschusterei.

Erschwerend kommt hinzu, dass man mitunter SNMP-Agenten betreibt, ohne es überhaupt zu wissen. Viele Hardwarekomponenten wie druckerinterne Print-Server und Softwarepakete besitzen SNMP-Funktionen, die in der Standardeinstellung aktiv sind, ohne dass bei der Installation explizit darauf hingewiesen wird. Wer sein Netzwerk mit einem Portscanner auf Adressen mit geöffneten UDP- und TCP-Ports 161 und 162 absucht, dürfte manche Überraschung erleben. Wie so oft, ist hier jedoch ‘keine Nachrichten’ nicht zwangsläufig mit ‘gute Nachrichten’ gleichzusetzen - ‘wilde’ SNMP-Agenten nutzen gerne nicht standardisierte Ports. Eine (keineswegs vollständige) Aufzählung findet sich in [1]. Generell sollte sicherheitsbewusste Administratoren jeder Port misstrauisch machen, dessen Nutzung ihm unklar ist.

quelle: Heise.de

Also der shutdown ist erstmal wirksam. :wink:

Der Typ kommt nicht ins Netz.

Wenn er die nächste Buchse versucht, geht diese ebenfalls down. X-)

Ob Du das monitoring / alerting des ports über snmp fährst oder andere Protokolle einsetzt (z.T. proprietär vom Hersteller) ist eine andere Thematik.

Man kann einiges einrichten, damit kein unerwünschter access stattfinden kann.

Stichwort RADIUS / authentication bereits am access switch. 8)

Hey, da kennt sich einer aus :-))!

Ich leider kaum.

Hast Du schon mal von macmon gehört?

Nun ja, die meisten Lösungen selektieren MAC-Adressen, so auch macmon.

Leider kann man MAC-Adressen auch überschreiben und so vorgaukeln man gehöre dazu. :???:

Prinzipiell ist das Selektieren der MAC-Adressen aber richtig.

Es erschwert zumindest den Zugriff von Leuten die nur durchschnittliche Kenntnisse / kriminelle Energie einsetzen. 8)

Will man auf Nummer Sicher gehen, sollte man ungenutzte Wand-Buchsen

gar nicht erst auf den Switch patchen.

Verkabelt sind dann nur die Geräte der MA, deren MAC-Adressen bekannt sind.

Zusätzliche NICs von "Gästen" laufen nicht.

(Für echte Gäste richtet man ein eigenes Netz her, das zwar Internetzugang erlaubt aber keine Verbindung ins Firmennetz)

Dahinter müssen aber noch weitere Maßnahmen stehen um die Daten zu sichern. (Portfilter, Verschlüsselung, IDS, Authentication über layer 6)

@cinque

Heißt das, dass man versehentlich eingeschleppte Viren etc. mit der von Ben genannten Lösung in den Griff bekommt, aber vorsätzliche Attacken von begabten Leuten, die sich innerhalb eines Unternehmens aufhalten, eher nicht?

Was machst Du, wenn Du externe Leute nicht vom Firmennetz aussperren kannst, weil sie mit den Daten, Kollegen arbeiten müssen?

"Es geht mehr um "NAC" Network Access Control.

Also einfach Überwachung der Switches und Hubs.!"

(Das Anschließen neuer NICs, vulgo Laptops, APs, Switche usw ...)

Bei anderen Security Themen gibt es wiederum andere Maßnahmen.

Das Einschleppen von Viren kann man höchstens verhindern indem man die MA

an Terminals ohne Floppy, USB, Internetzugang, CD-ROM setzt.

Ausgefuchste Anti-Virus Lösungen über sämtliche Firmen-Rechner ergänzen dies. (oft die einzige Maßnahme)

Zumindest kann der Schädling hierdurch eingedämmt werden und sich nicht weiter verbreiten.

Grundsätzlich gilt:

Externe Leute werden nicht ins Firmennetz gelassen. Punkt.

Sie bekommen die Daten, die sie brauchen und kein bit mehr. 8)

Motto: Der Gärtner bekommt zwar den Schlüssel für den Geräte-Schuppen, nicht aber für die Villa. :wink:

Und jemand schaut ihm über die Schulter.

Bedenke auch:

Bei Giesecke & Devrient sind diese Dinge etwas anders gelöst als bei einer

landwirtschftlichen Produktionsgemeinschaft.

Lektüre:

http://www.spiegel.de/netzwelt/tech/0,1518,532234,00.html

Ein bisschen Excel, ein wenig Visual Basic: Mehr musste Jérôme Kerviel offenbar nicht beherrschen, um die Kontrollsysteme seiner Bank auszutricksen - und fast fünf Milliarden Euro zu verzocken.

Externe Leute werden nicht ins Firmennetz gelassen. Punkt.

Wie das ein IT-Verantwortlicher eines Konzerns Mitarbeitern aus Asien oder USA erklärt, die in die Firmenzentrale kommen, um an einem Projekt mitzuwirken, würde mich interessieren :wink:

"Nein, Ihr dürft nicht ins Firmennetz, sondern nur ein bißchen surfen" :D :D

Das sind für mich nämlich genauso externe Leute wie Freelancer, Praktikanten, Leiharbeiter etc., die allesamt was einschleppen können.

Wie das ein IT-Verantwortlicher eines Konzerns Mitarbeitern aus Asien oder USA erklärt, die in die Firmenzentrale kommen, um an einem Projekt mitzuwirken, würde mich interessieren :wink:

"Nein, Ihr dürft nicht ins Firmennetz, sondern nur ein bißchen surfen" :D :D

Das sind für mich nämlich genauso externe Leute wie Freelancer, Praktikanten, Leiharbeiter etc., die allesamt was einschleppen können.

Mitarbeiter aus Asien oder USA sind auch Mitarbeiter.

Ihnen wird doch trusted Hardware vom Konzern gestellt, deren MAC Adressen und IDs bekannt sind.

Das anstöpseln von privaten Geräten werden sie unterlassen.

Im übrigen eine gängige Regelung in jedem Arbeitsvertrag / Sideletter.

Außerdem: "Das Firmennetz" gibt es für MA mitnichten, sondern immer nur Teilbereiche / Subnetze.

Oder kannst Du als Bandarbeiter einfach ins Büro von HR schlendern und da die Personalakte von Hr. Mustermann lesen?

Archiviert

Dieses Thema ist archiviert und für weitere Antworten gesperrt. Erstelle doch dein eigenes Thema im passenden Forum.


×
×
  • Neu erstellen...