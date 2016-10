Mit CounterACT bietet ForeScout eine Sicherheitslösung für Unternehmensnetze, die sämtliche Komponenten zu dem Zeitpunkt identifiziert und evaluiert, zu dem sie sich mit dem Netzwerk verbinden. Damit eignet sich das Produkt nicht nur zum Absichern "klassischer" Umgebungen, sondern kann auch zum Einsatz kommen, um die Kommunikation mit Devices im Internet of Things zu schützen. Wir haben uns im Testlabor angesehen, was CounterACT in diesem Zusammenhang leistet.

Mit CounterACT bietet ForeScout eine Sicherheitslösung für Unternehmensnetze, die sämtliche Komponenten zu dem Zeitpunkt identifiziert und evaluiert, zu dem sie sich mit dem Netzwerk verbinden. Damit eignet sich das Produkt nicht nur zum Absichern "klassischer" Umgebungen, sondern kann auch zum Einsatz kommen, um die Kommunikation mit anderen Komponenten, wie eben "Internet of Things"-Devices, zu schützen.



IoT als Bedrohung

IoT Devices verbreiten sich immer mehr und so stellen ein nicht zu unterschätzendes Sicherheitsproblem dar. Verbindet sich ein IoT Gerät, wie beispielsweise ein IP-Telefon oder eine Kamera mit dem Netz, so hat es nicht nur die Möglichkeit, Daten in dieses Netz zu senden und aus dem Netz zu empfangen, sondern kann auch zu einem Einfallstor für Hacker werden. Die Geräte sind ja dann über das Netz ansprechbar, ihre IP-Stacks sind selten gehärtet und eventuelle Sicherheitslücken lassen sich auf ihnen genauso ausnutzen wie auf klassischen IT-Komponenten. In diesem Zusammenhang spielen auch unzureichende Verschlüsselung und schwache Authentifizierungsschemata eine Rolle. Ähnlich wie bei diversen mobilen Geräten besteht bei IoT-Komponenten sogar noch größeres Gefahrenpotential als bei "normalen" Computern, weil keineswegs feststeht, dass die Hersteller der IoT-Geräte gefundene Sicherheitsprobleme zeitnah oder überhaupt fixen. IoT-Devices sind also eine latente, jederzeit zu berücksichtigende Bedrohung, da Hacker über sie dazu in der Lage sein könnten, Zugriff auf die Daten im Netz zu erlangen.



Bild 1: CounterACT erkennt eine Vielzahl unterschiedlicher Angriffsszenarien.









Im Test implementierten wir CounterACT in unserer Netzwerkumgebung und konfigurierten das Produkt so, dass es die bei uns vorkommenden Komponenten klassifizierte, absicherte und im laufenden Betrieb überwachte. Anschließend erzeugten wir diverse Policies, die zum Einsatz kamen, um unser Netz gegen typische Angriffsszenarien über IoT-Devices abzusichern. Zum Schluss überprüften wir die Wirksamkeit dieser Regeln.Übernimmt ein Angreifer ein Gerät – beispielsweise ein Smart TV in einem Besprechungsraum oder eine Webcam – so kann er die MAC Adresse dieses Devices ändern um sich als ein anderes Produkt auszugeben. Viele Unternehmen arbeiten mit Sicherheitslösungen, die auf Access Control Lists (ACLs) aufsetzen. In diesen Listen werden die Geräte im Netz klassifiziert, so wird beispielsweise angegeben, dass der Rechner mit der MAC-Adresse FC:FC:48:23:b0:c4 einen Windows-Client darstellt während das Gerät mit der MAC-Adresse D8:1F:CC:28:d1:00 ein Smart TV ist.Viele Unternehmenssicherheitslösungen erlauben den Systemen nun anhand dieser Klassifizierung den Zugriff auf bestimmte Komponenten, so kann es sinnvoll sein, Mac OS- oder Windows-Rechnern Zugriffsrechte auf bestimmte File Server zu geben und gleichzeitig dafür zu sorgen, dass IP-Kameras und Smart TVs eben keinen Zugriff auf diese Server erhalten. In vielen Fällen reicht es also schon aus, die MAC-Adresse eines gehackten IoT-Geräts zu ändern, um die Security-Produkte zu umgehen und an die Daten heranzukommen. Umgekehrt kann es ein vielen Umgebungen auch sinnvoll sein, sich als anderes Betriebssystem zu tarnen: Tritt eine Linux-basierte Webcam beispielsweise als Windows-System auf, so kann das oftmals auch schon genügen, um erhöhte Rechte zu erhalten.Um ein so einem Szenario für Sicherheit zu sorgen, müssen die Administratoren zunächst einmal eine CounterACT-Regel erzeugen, die die vorhandenen Geräte in bestimmte Gruppen einordnet, wie beispielsweise Netzwerkgeräte (also Router und Switches), Linux-Server, Windows-PCs, Mac OS-Systeme, Drucker, VoIP-Lösungen und so weiter. Das funktioniert im Rahmen des Netzwerk-Scans automatisch anhand der bei dem Scan gewonnenen Informationen. Möchte man zum Beispiel alle IP-Kameras in einem Unternehmen in eine Gruppe "IP-Cameras" einordnen und sind alle vorhandenen Kameras entweder von Axis, D-Link oder Mobotix, so könnten die zuständigen Mitarbeiter mit Hilfe der CounterACT-Konsole eine Policy erstellen, die alle Geräte, die MAC-Adressen haben, die zu den genannten Herstellern gehören, in die Gruppe "IP-Cameras" verschiebt.Damit ist aber noch nicht klar, wo die Kamera herkommt. Es kann sich dabei auch um ein Rogue-Device handeln, das zufällig (oder mit Absicht) von einem der gleichen Hersteller stammt, wie die regulären Kameras im Unternehmen. Deswegen ergibt es Sinn, die Gruppe "IP-Cameras" um zwei Untergruppen zu erweitern. Die erste nennt sich "Corporate IP-Camera" und soll im Betrieb alle Unternehmenskameras umfassen. Die zweite heißt logischerweise "Non Corporate Devices", in sie werden alle Kameras einsortiert, die die Appliance nicht kennt. Die Unterscheidung lässt sich über eine MAC-Adressliste treffen: geben die zuständigen Mitarbeiter in der Policy-Definition sämtliche IP-Adressen der im Unternehmen vorhandenen IP-Kameras an, so erhält CounterACT eine sichere Möglichkeit, die fremden Kameras von den eigenen zu unterscheiden.