IPS und WAF

Dienste und Services die aus dem Internet zu erreichen sind, stehen ständig unter Cyberangriffen. Millionen von Bots crawlen sich unablässig durch Netz und sind stetig auf der Suche nach offenen Ports und erreichbaren Services. Diese Bot haben direkt Routinen implementiert, die sofort erste Versuche starten in das System bzw. den Service einzudringen oder zumindest schon erste Analysen durchzuführen und berichten die Ergebnisse ihrer Suche an eine zentrale Datenbank. Die Akteure hinter den Bots nutzen dann diese Ergebnisse um spezialisierte Angriffe auf die Dienste oder Systeme durchzuführen. Ist ein Bot schon mit seinen einfachen Routinen erfolgreich, so wird das kompromittierte Systeme assimiliert und dem Kollektiv hinzugefügt.

Werden Dienste im Internet öffentlich zugänglich gemacht, spielt es gar keine Rolle, um welchen Dienst es sich handelt, dieser wird angegriffen. Dabei gehen die Angreifer sehr geschickt und gleichzeitig effizient vor, wenn man von den täglich tausenden Prüfungen offener Ports absieht. Es ist immer das gleiche Muster zu beobachten, wenn es entsprechende Informationen über verwundbare Dienste gibt, steigt die Anzahl der “Scans” zum Auffinden verwundbaren Systeme massiv an. Eines der jüngsten Beispiele ist der Buffer Overflow in der WebDAV Komponente des Microsoft IIS Dienstes. Seit der Veröffentlichung ist dieser Angriff global und seit Wochen zu sehen. Zumindest ist er für diejenigen zu sehen, die ein entsprechendes System haben, was solche Angriffe erkennen kann. In der Hauptsache sind es IPS im Allgemeinen und WAF Systeme im Speziellen für Webanwendungen. Zu den Angriffen auf bekannte Sicherheitslücken in den Diensten kommen noch die Einbruchsversuche hinzu, die durch stetiges ausprobieren von Benutzer/Passwort Kombinationen versuchen einen Treffer zu landen. Bei dieser Art von Angriff gibt es zwei grundsätzliche Unterscheidungen; Brute Force Attacken oder die etwas geschickten Versuche die auf Wörterbüchern basieren. Eine Brute Force Attacke ist genau das, ein Angriff mit roher Gewalt, bei dem so viele Anmeldeversuche mit allen möglichen Kombinationen auf den Dienste losgelassen werden, wie dieser verarbeiten kann. Mit viel Glück, landet der oder die Angreifer einen Treffer. Da dies Methode immer noch funktioniert, gibt es nach wie vor diese Brute Force Attacken. Angriffe die auf Wörterbücher basieren sind etwas geschickter, hier gibt es ja nach Land und/oder Region verschiedene Wörterbücher die dann jeweils eine größere Wahrscheinlichkeit aufweisen einen Treffer zu laden, gegenüber der unspezifizierten Brute Force Attacke. Dazu kommt noch, dass die Wörterbücher auch über Passwörter verfügung die durch andere Einbrüche in Systeme oder das versehentliche veröffentlichen von Passwörter bekannt sind basieren. In der Vergangenheit passierte dies oft durch falsch konfigurierte AWS S3 Storages in denen Backups ausgelagert wurden und durch einen Konfigurationsfehler ihrerseits öffentlich zugänglich waren. Beispiele für öffentlich zugängliche S3 Speicher bei AWS gibt es genug.

Auch darf man sich nicht der Illusion hingeben, dass es ausreichend ist, einfach die Standard Ports der Dienste wie zum Beispiel für SSH zu ändern. Die allermeisten der Bots bringen einen entsprechende Routine mit, alle Ports zu scannen und den Dienst in den meisten Fällen auch passend zu identifizieren. Daher verzögert es den Angriff im besten Fall nur ein paar Sekunden, bis das System vollständig gescannt ist. Jeder der Nmap kennt, weiß, dass es nur Sekunden oder ein, zwei Minuten dauert, bis Nmap alle relevanten Informationen zusammen hat. Ist ein Bot darauf optimiert zugängliche SSH Services zu finden, hält ein anderer Port einen solchen Angriff nicht wirklich auf. Vor vielen Jahren hat dies auch nur geholfen die Script Kiddies fern zu halten, aber auch nur die und sonst keinen. Heute hält es noch nicht einmal die Script Kiddies ab, weil die Autoren der Script diese Fälle schon lange berücksichtigen. Eigentlich spielt es auch keine Rolle wer der Angreifer ist und wie spezialisiert diese vorgehen, es wird ein Schutz für die eigenen Dienste benötigt!

Aus diesem Grund ist der Einsatz eines IPS ein sehr wichtiger Schritt um sich zumindest von den stetigen und auch spezielleren Angriffen besser zu schützen. Moderne IPS beherrschen u.a. Funktionen um Brute Force Angriffe durch stetig Login Versuche zu erkennen. Zudem sorgen die Hersteller wie zu Beispiel Fortinet mit ihren FortiGuard Services für stetige Updates der Musterdatenbanken um Angriffe zu bekannten Sicherheitslücken zu unterbinden. Aber das bedeutet nicht, dass man nicht ständig seine offentlichen Dienste entsprechend wartet und mit Updates und Patches versorgt. Dies gilt insbesondere für alle Arten von Webapplikationen. Um nur ein paar zu nennen; Drupal, Typo3, WordPress, div. Shopsysteme, Own/Next Cloud, alle möglichen PlugIns der Systeme usw., wer dieses Systeme einsetzt, muss alle verfügbaren Updates sehr zeitnah installieren, um nicht gefahr zu laufen, dass das System kompromittiert wird. Ein IPS oder WAF System bietet einen wichtigen Vorteil, dass wenn die Patches nicht sofort zur Verfügung stehen es trotzdem noch einen entsprechenden Schutz vor dem Angriff gibt. Dabei ist dieser Schutz natürlich nicht absolut und auch nicht umfassend, aber trotzdem besser als gar keinen Schutz zu haben. Es ist wie beim Spam Schutz, es werden zwar nicht alle Spam Mails erkannt, ab und an kommt doch noch mal eine durch. Es sind aber bei der Masse an Spams die ohne Filter durchkommen würden, eher der Einzelfall. Genau so ist es auch mit dem IPS, das damit gar nichts mehr passiert stimmt auch nicht, dass aber ohne ein IPS viel mehr passiert, dafür aber auch. Daher ist der Einsatz eines IPS zum Schutz der öffentlich zugänglichen Dienste ein sehr wichtiges Mittel sich gegen Angriffe zu schützen. Aber hier auch nochmal der Hinweis, dass ein entsprechendes Patch-Management ebenso notwendig ist, wie das prüfen der Logs auf Anomalien. Hier ist es auch wieder die Kombination aus Schutzmaßnahmen die die Dienste entsprechend schützt und auch Auffälligkeiten zu Tage fördert. Daher geht die Empfehlung ganz klar zur Nutzung eines IPS, wenn der Einsatz denn möglich ist. Der Hintergrund ist ganz einfach, es gibt Dienste die lassen sich nicht durch ein IPS schützen. Dies ist immer dann der Fall, wenn es sich um Inhalte handelt, die vom IPS durch Verschlüsselung oder proprietärer Protokolle nicht analysiert werden kann. Bei einer Ende-zu-Ende Verschlüsselung ist es ja kontraproduktiv als Man in the Middle die Kommunikation aufzubrechen. Denn wenn dies möglich ist, können dies auch andere tun und damit ist es keine Ende-zu-Ende Verschlüsselung. Trotz dieser möglichen Fälle lohnt sich der Einsatz eines IPS, denn es belohnt den Betreiber mit einem mehr an Sicherheit und vor allem macht es die stetigen Angriffe sichtbar. Wenn alleine dadurch ein wichtiger Patch zeitnah installiert wird, ist schon das erreicht worauf es ankommt – der sichere Betrieb eines öffentlich zugänglichen Service und somit eines öffentlich erreichbaren Systems.

Beim Einsatz eines IPS oder WAF Systems kommt es aber auch immer auf das passende Design der Infrastruktur und vor allem der Implementierung an. Ist das Design konsequent auf Sicherheit ausgelegt und wird dieses dann noch mit den passenden Systemen wie IPS und/oder WAF ergänzt, lässt sich das Schutzniveau deutlich verbessern.

Wenn Sie Fragen zum Einsatz von IPS und WAF haben, sprechen Sie uns wie gewohnt an.