Schwachstellen bei der Überwachung von lokalen Netzen vermeiden
Netzwerkmanager, die mit der Überwachung von LAN-Netzen betraut sind und deren Sicherheit gewährleisten müssen, tragen eine große Verantwortung. Mit welchen Herausforderungen sind sie am häufigsten konfrontiert? Und wie kann die richtige Prüf- und Messtechnik ihnen die Arbeit erleichtern?
Jedes Unternehmen muss seine erste Cyber-Verteidigungslinie am Netzrand aufbauen. Virtuelle Angriffe, auch als „Cyber-Attacken“ oder „Netzwerk-Hacks“ bezeichnet, werden von externen Standorten aus gestartet und versuchen, durch Ausnutzen von Schwachstellen über das Internet in das Netzwerk einzudringen. Aber es gibt auch physische Angriffe, bei denen das Netzwerk durch eine direkte Verbindung über physische Medien infiltriert werden soll. Hierfür wird zumeist das WLAN-Netz oder die für das lokale Netz (LAN) des Unternehmens installierte Verkabelung als Zutrittsweg genutzt.
Nun könnten manche Netzwerkmanager meinen, dass sie nicht gefährdet sind, weil das Unternehmen ihrer Meinung nach keine schützenswerten Daten besitzt. Trotzdem sollten auch sie stets die potenziellen Risiken beachten sowie bedenken, dass ein Angriff auf ihr Netzwerk in Sekundenschnelle erfolgen kann.
Minimierung der Sicherheitsrisiken im Netzwerk durch LAN-Sicherheitsmaßnahmen
Leider hat sich erwiesen, dass Schutztechnologien, wie die Norm IEEE 802.1x, die eine Anmeldung der Geräte im Netzwerk auf Schicht 2 des OSI-Schichtenmodells erfordert, nur schwer bzw. aufwändig umzusetzen sind. Daher wenden sich viele Unternehmen von diesen Verfahren ab.
Das heißt, dass Netzwerkmanager ihre Systeme rund um die Uhr auf unberechtigte Geräte überwachen müssen. Zu diesem Zweck werden zahlreiche Tools angeboten, die von Anwendungen für PCs/Mobilgeräte über Handtester bis zu speziellen „Sicherheitsboxen“ für das Netzwerk reichen.
Netzwerk-Handtester können mühelos über Kabel oder WLAN mit dem Netzwerk verbunden werden, erfassen alle angeschlossenen Komponenten und erstellen eine aussagekräftige Geräteliste, die mit den Ergebnissen früherer Scans oder mit zugelassenen MAC-Adressen verglichen werden kann.
Eine bequeme Lösung sind Apps, die auf Mobilgeräten installiert werden und häufig sogar kostenlos erhältlich sind. Deren Hauptnachteil besteht allerdings darin, dass bei den meisten Netzwerken eine Trennung zwischen dem drahtlosen und dem drahtgebundenen Teil vorgesehen ist. Das bedeutet, dass ein Netzwerk-Scanner, der über das (funkgestützte) WLAN auf das Netzwerk zugreift, möglicherweise keinen Angreifer erkennt, der sich über das LAN-Kabelnetz Zutritt verschafft hat.
Welche Komponenten sollten in einem LAN überwacht werden?
Alle Netzwerk-Überwachungslösungen, unabhängig davon, ob sie auf Hardware oder Software basieren, prüfen die MAC- und IP-Adresse eines Gerätes, um es im Netzwerk zu identifizieren. Die MAC-Adresse ist fest in den Ethernet-Chip eines Gerätes einprogrammiert und gewährleistet dessen – weltweit – eindeutige Kennzeichnung. Sie identifiziert auch den Hersteller anhand einer nur für ihn geltenden „Seriennummer“. Da jede MAC-Adresse nur einmal vergeben wird, bietet sie sich an, um alle Geräte im Netzwerk mühelos zu überwachen.
In Hochsicherheitsnetzen dürfen nur zugelassene MAC-Adressen (Geräte) in Betrieb genommen werden. Daher muss die MAC-Adresse jeder Komponente, die neu im Netzwerk angemeldet werden soll, erst als „zugelassenes Gerät“ beim Netzwerk-Router registriert werden. Das ist ein sehr zeitaufwändiges, wenn auch relativ sicheres Verfahren.
Allerdings ist diese Sicherheitshürde, die die MAC-Adresse aufbaut, nicht unüberwindbar. Heute gibt es bereits Software-Tools, die es den Angreifern ermöglichen, eine fremde MAC-Adresse vorzutäuschen (Spoofing). Beim Spoofing wird die MAC-Adresse des angreifenden Computers so manipuliert, dass diese mit der MAC-Adresse eines bereits im Zielnetzwerk ordnungsgemäß angemeldeten Gerätes übereinstimmt.
Um einen höheren Schutzgrad zu gewährleisten, können Netzwerkmanager auch die Zuordnung der MAC-Adresse (permanente Hardware-ID) zur IP-Adresse (temporäre Software-Adresse) überwachen. In diesem Fall werden sie alarmiert, wenn ein Gerät im Netzwerk eine nicht zugelassene Kombination von MAC- und IP-Adresse verwendet.
Handtester, wie der LanXPLORER Pro von TREND Networks, sind beispielsweise in der Lage, ein Netzwerk abzufragen (scannen) und eine Liste der MAC-Adressen mit den jeweils zugeordneten IP-Adressen zu erfassen. Jetzt kann ein Netzwerktechniker in regelmäßigen Abständen den Scan des Netzwerks wiederholen, so dass er unberechtigte Änderungen in der Zuordnungsliste auf einen Blick bemerkt und entsprechend reagieren kann. Ein solcher Netzwerktester erkennt auch, wenn zwei unterschiedliche Geräte die gleiche IP-Adresse verwenden oder wenn eine MAC-Adresse, also ein Gerät, zwei IP-Adressen nutzt. In beiden Fällen ist davon auszugehen, dass ein unberechtigtes Gerät im Netzwerk betrieben wird.
Wie können LAN-Tester helfen?
Inline-/Dual-Port-Tester werden zwischen zwei beliebigen Punkten im LAN-Netz, etwa zwischen einem Switch und einem Router, angeschlossen und überwachen unauffällig (transparent) die Datenpakete, die zwischen diesen Komponenten in beide Richtungen übertragen werden. Auf diese Weise lassen sich alle Geräte sowie die gesamte Bandbreite kontrollieren.
Der LanXPLORER Pro von TREND Networks ist ein vielseitiger LAN-Tester zur Diagnose, zur Wartung und zum Auditing von Netzwerken. Das Dual-Port-Design erlaubt, den Netzwerktester zwischen zwei Geräte „inline“ im Netzwerk anzuschließen und den gesamten Verkehr zu überwachen. Darüber hinaus ist dieser LAN-Tester mit einer WLAN-Schnittstelle für 2,4/5,8 GHz ausgestattet, um Zugangspunkte (AP), die Kanalbelegung, die AP-Signalstärke und den Signal-Rausch-Abstand (SNR) zu überprüfen und die Optimierung von WLAN-Netzen zu erleichtern.
Hier erfahren Sie mehr über den LanXPLORER Pro. Klicken Sie hier, um eine Vorführung zu vereinbaren.
