Remote Access Services
Offene Türen für Eindringlinge
Copyright (C) 06/1997 by Howard Fuhs
Netzwerkbetriebssysteme stellen komfortable und vielgenutzte Remote Access Dienste zur Verfügung. Unachtsam konfiguriert ist RAS geradezu eine Einladung an Eindringlinge sich auf dem Unternehmensserver "umzuschauen".
Im Zuge der Computerisierung von Unternehmen konnte man in den letzten Jahren einige Trends erkennen. Zuerst wurden die Computer miteinander vernetzt. Als nächstes wurde der Server über Nacht nicht mehr abgeschaltet und anschließend wurde für flexibel oder mobil eingesetzte Mitarbeiter ein Fernzugriff auf den Server eingerichtet. Damit konnte auch der Vertreter beim Kunden oder vom Hotel aus auf die notwendigen Daten der Firma zugreifen. Doch was für Außendienstmitarbeiter gedacht ist, funktioniert auch bei Hackern und Wirtschaftsspionen.
Remote Access Service und der Computeruntergrund
Durch die zunehmende Verbreitung und Nutzung von RAS-Diensten auf Servern in Unternehmen wurde auch der Computeruntergrund auf diesen Dienst aufmerksam. So sind heute im Internet viele Tools erhältlich, die einen Hacker beim Angriff auf einen RAS-Dienst unterstützen. Dies kann bis hin zum Erlangen der Passwort-Datei oder der Administrator-Rechte gehen.
0130-Nummer
Damit der Außendienstmitarbeiter auf Kosten des Unternehmens telefoniert, wenn er sich mittels RAS auf einen Server einloggt, sind viele Firmen bereits dazu übergegangen, den RAS-Zugang über eine 0130-Nummer zu realisieren. Diese Methode bietet zwei Risiken.
Zum ersten werden vom Computeruntergrund mehr oder weniger regelmäßig Listen mit interessanten 0130-Nummern erstellt. Aus diesen Listen ist auch ersichtlich, unter welcher Nummer sich ein Modem/Computer, Fax, Telekommunikationsanlage mit Mehrwertdiensten oder ein Mensch (Voice) meldet. Die Erstellung solcher Listen wird von Computern über Nacht automatisch durchgeführt, indem jede einzelne 0130-Nummer angerufen wird. Es kostet schließlich nicht das Geld des Anrufers!
Durch solche Listen wird ein entdeckter RAS-Zugang schnell weltweit verbreitet.
Das zweite Problem ergibt sich ebenfalls aus der Gebührenfreiheit der Rufnummer. Ein Angreifer kann, ohne dass für ihn Kosten entstehen, solange er will versuchen, den RAS anzugreifen oder für seine Zwecke zu mißbrauchen.
Unternehmen, die Remote Access Services über eine 0130-Nummer anbieten wollen, sollten den RAS von einem Datensicherheitsfachmann auf korrekte und sichere Konfiguration hin überprüfen lassen. Weiterhin sollten die Log-Dateien des RAS-Zugangs regelmäßig auf versuchten Mißbrauch hin überprüft werden. Es sollte ebenfalls in Erwägung gezogen werden, zusätzliche Sicherheitsstufen in den RAS einzubauen, die von Drittanbietern zugekauft werden müssen.
Standardkonfiguration
In den meisten Fällen wird ein Netzwerkbetriebssystem/RAS zum ersten Mal in der Standardkonfiguration installiert. Diese Standardkonfiguration wird von dem Hersteller des Betriebssystems vorkonfiguriert und bietet die Möglichkeit, nach der Installation, ohne weitere Anpassungen vornehmen zu müssen, direkt arbeiten zu können. Aber auch der Computeruntergrund spekuliert darauf, dass ein Netzwerkbetriebssystem bzw. der RAS mit der herstellerseitigen Standardkonfiguration installiert wurden. Dies bietet dem Hacker Angriffsmöglichkeiten und Sicherheitslücken, die er bei einer angePassten Installation nicht hat.
Der Administrator-Account
Bei jedem Netzwerkbetriebssystem ist der voreingerichtete Zugangsaccount der Administrator mit allen Rechten. Damit ist der Administrator-Account ein lohnendes Ziel für jeden Hacker. Bei Windows NT z.B. lautet der voreingestellte User-Name "Administrator" und es wurde noch kein Passwort für den Account vergeben. Zwar wird in der Regel für diesen Account ein Passwort vergeben, aber der User-Name wird nicht verändert. Damit muss ein Angreifer nur noch das Passwort für den User-Account "Administrator" finden. Und an dieser Stelle greift dann noch eine zweites Problem. Da der Administrator-Account zwingend zur Wartung des Servers nötig ist, kann er nicht abgeschaltet werden, auch nicht, wenn das Passwort mehrmals falsch eingegeben wurde. Damit erhält der Angreifer theoretisch auch noch unbeschränkt viele Versuche, das Passwort des Administrator-Accounts herauszufinden.
Der Gast-Account
Bei der standardmäßigen Installation von Windows NT z.B wird auch automatisch ein Gast-Account eingerichtet. Dieser hat zwar nur eingeschränkte Rechte, doch wer den Gast-Account nicht abschaltet, bietet einem Angreifer bereits eine Möglichkeit, sich auf dem Server einzuloggen und dort dann weitere Schritte durchzuführen.
Ist ein Gast-Account nicht zwingend notwendig, sollte er abgeschaltet werden.
Verlorene/gestohlene Notebooks
Um es den Anwendern einfach zu machen, erlaubt es die Client-Software des RAS oftmals, den Anwendernamen und dessen Passwort auf der Festplatte zu speichern.
Im Rahmen eines Sicherheitskonzeptes sollte die Speicherung des Passwortes in der Zugangssoftware verboten sein. Wird ein Notebook gestohlen, kann der Dieb ohne Passwortkenntnisse sich direkt in den RAS-Server des Unternehmens einloggen.
RAS-Sicherheitskonzept
Unternehmen, die einen RAS-Server einrichten wollen, sollten dies nicht ohne ein entsprechendes Sicherheitskonzept und fachmännischen Rat eines Datensicherheitsspezialisten tun. Desweiteren muss dieses Sicherheitskonzept in regelmäßigen Abständen auf seine weitere Tauglichkeit hin überprüft werden.
Im Rahmen eines solchen Konzeptes sollte auch darüber nachgedacht werden, ob man über den RAS nur den Zugriff auf den RAS-Server zuläßt oder ob man einen Zugriff auf alle Server/Computer des Unternehmens erlaubt.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 06/1997 by Howard Fuhs