kaptn - Fotolia

Virtuelle Netzwerke vor Ransomware schützen

Um fortschrittliche Malware abzuwehren, sind zusätzliche Sicherheitsmechanismen erforderlich. Ein vielversprechender Ansatz ist die Mikrosegmentierung in virtuellen Netzwerken.

Seit einiger Zeit treibt die Malware WannaCry ihr Unwesen. Das Tückische daran: Die Schadsoftware kann sich selbstständig weiterverbreiten und auch andere Rechner im gleichen Netz befallen. Dazu nutzt der Wurm einen Exploit der Sicherheitslücke MS17-010 im SMB-Protokoll aus, wodurch er weitere ungepatchte Systeme im lokalen Netzwerk infiziert und deren Daten verschlüsselt.

Microsoft hat zwar sowohl für seine aktuellen Betriebssysteme als auch für ältere Systeme einen entsprechenden Patch zur Verfügung gestellt. Es ist jedoch nur eine Frage der Zeit, bis Hacker einen anderen Exploit für ein ähnliches Angriffsszenario nutzen.

Um sich künftig vor solchen Bedrohungen zu schützen, sollte man zunächst die bestehende Sicherheitsinfrastruktur betrachten. Warum konnte sich die Malware so schnell ausbreiten? Sicherheit im Netzwerk wird durch Firewalls hergestellt. Sie sind in der Regel am Perimeter installiert und trennen das öffentliche, unsichere Netzwerk vom internen, vertrauenswürdigen.

Die Firewall schützt jedoch nur am Übergang von einem Netzwerk zu einem anderen. Gelingt es einem Trojaner wie WannaCry, die erste Hürde zu nehmen und in ein internes Netzwerk einzudringen, kann er sich dort ungestört bewegen und alle angeschlossenen Systeme infizieren.

Ein Schutzschild für jede einzelne virtuelle Maschine

Gefragt ist also eine Lösung, die zusätzlich für Schutz innerhalb des Netzwerks sorgt. Eine Möglichkeit wäre, lokale Firewalls auf dem Server zu installieren. Diese zu managen ist jedoch sehr aufwendig. Eine andere Option besteht darin, virtuelle Firewalls zwischenzuschalten.

In der Praxis ist auch dies nicht empfehlenswert, da es die Lizenzkosten in die Höhe treibt und in der technischen Administration kaum zu bewältigen ist.

Die Mikrosegmentierung im Zusammenspiel mit Virtualisierungs-Technologie ist ein attraktiver Ansatz. Dieser ist komfortabel, bezahlbar und bringt ein deutliches Plus an Sicherheit. Netzwerk-Virtualisierung entkoppelt Sicherheits- und Netzwerkfunktionen von der Hardware. Dadurch lassen sich diese flexibel einsetzen, ohne dass man für verschiedene Arbeitslasten das physikalische Framework ändern muss.

Durch die Mikrosegmentierung lassen sich Firewall-Regeln auf Einheiten innerhalb eines Netzwerks anwenden und so jede virtuelle Maschine (VM) einzeln absichern. Unternehmen können also mehrere virtuelle Maschinen innerhalb eines Netzwerksegments parallel betreiben und durch einen Schutzschild voneinander isolieren.

Die Mikrosegmentierung setzt direkt an der virtuellen Netzwerkkarte eines virtuellen Servers an. Das bedeutet, dass das zuvor konfigurierte zentrale Regelwerk bis zum virtuellen Netzwerk durchgesetzt wird. Jedes Paket, das dieses Netzwerk, also die virtuelle Maschine, verlässt oder betritt, wird vom Paketfilter geprüft. Dieser bestimmt, ob das Paket passieren darf oder nicht.

Für den Anwendungsfall von WannaCry bedeutet das: Die Schadsoftware kann sich nicht weiter ausbreiten, da die Angriffsfläche auf ein Minimum reduziert wird. Ein noch höherer Wirkungsgrad kann durch den Einsatz von Drittherstellerlösungen erzielt werden. Denn dann kann eine infizierte VM vom Netzwerk isoliert werden.

WannaCry & Co. mit VMware NSX abwehren

Den derzeit besten Funktionsumfang im Bereich der Netzwerk-Virtualisierung bietet die Plattform VMware NSX. Sie ist Hypervisor-basiert und ermöglicht Mikrosegmentierung als nativen Bestandteil der Netzwerkarchitektur.

Im Folgenden wird Schritt für Schritt aufgezeigt, wie sich Unternehmen mittels NSX-Bordmitteln vor Bedrohungen durch Schadsoftware wie WannaCry schützen können.

  1. Als Erstes müssen die Verantwortlichen alle potenziellen Zielsysteme für das zukünftige Sicherheitsregelwerk identifizieren. Im Fall von WannaCry wären das alle Windows-VMs. Dafür wird im Service Composer eine neue Security-Gruppe erstellt. Da diese alle Windows-VMs identifizieren soll, definiert man als dynamische Mitgliedschaft das Kriterium: Name des Computer-Betriebssystems - enthält - "windows".
  2. Nach Abschluss des Konfigurations-Assistenten sollte im Service Composer unter „Security Groups“ in der Spalte der neu erstellten Sicherheitsgruppe die Anzahl der ermittelten Windows-Systeme aufgeführt sein.
  3. Um künftig einen Zugriff von „autorisierten“ Systemen auf die Windows-VMs zu gewährleisten, ist es sinnvoll, eine zweite Sicherheitsgruppe zu erstellen. Diese kann zum Beispiel Admin heißen und deren Mitgliedschaft entsprechend der jeweiligen Präferenzen definiert werden. Ob eine Active-Directory-Gruppe, VM-Namen oder Sicherheits-Tags verwendet werden, ist in diesem Beispiel zweitrangig, obwohl die Verwendung eines Linux-basierten Systems von Vorteil ist. An dieser Stelle macht sich die Stärke der Hypervisor-nahen Lösung bemerkbar. Mitglieder einer Sicherheitsrichtlinie werden nicht mehr „statisch“ in Form von IP-Adressen definiert, sondern werden fortwährend in Echtzeit ermittelt und entsprechend der Sicherheitsrichtlinie behandelt. Das gilt natürlich auch für neu erstellte VMs.
  4. Da wir jetzt wissen, WER oder WAS geschützt werden soll, kommen wir zum WIE. Für die „Windows-VMs“-Sicherheitsgruppe benötigen wir eine korrespondierende Sicherheitsrichtlinie. Sie soll die Netzwerk-Ports schließen, die WannaCry nutzt, so dass sich der Wurm nicht weiter ausbreiten kann. Betroffen sind die Ports: 137 UDP NETBIOS Name Service, 138 UDP NETBIOS Datagram Service, 139 TCP NETBIOS Session Service, 445 TCP Microsoft CIFS und 3389 TCP Remote Desktop Protocol. Die neue Regel mit dem Namen „Block WannaCry“ wird im Service Composer unter Sicherheitsrichtlinien erstellt. Als Sicherheitsdienst wird eine klassische Firewall-Regel verwendet, die die vom Wurm genutzten Netzwerk-Ports identifiziert und den Zugriff auf diese blockt. Zusätzlich wird eine Regel eingefügt, die der Sicherheitsgruppe Admin den Zugriff erlaubt.
  5. Im letzten Schritt muss die neue Sicherheitsrichtlinie auf die zuvor erstellte Sicherheitsgruppe angewendet werden. Denn in der Sicherheitsrichtlinie selber muss nicht zwingend die Identität der angewendeten Sicherheitsgruppe bekannt gemacht werden. Das hat den Vorteil, dass sich Sicherheitsregeln für eine beliebige Anzahl von Sicherheitsgruppen verwenden lassen. Wenn zum Beispiel verschiedene Systemumgebungen wie Test, Produktion und Pre-Produktion verwendet werden, müssen Sicherheitsregeln nicht ständig editiert oder kopiert, sondern einfach nur auf die entsprechende Umgebung beziehungsweise Sicherheitsgruppe übertragen werden. Dafür klicken Anwender mit der rechten Maustaste auf die Sicherheitsrichtlinie und wählen „Richtlinie anwenden“. Im darauffolgenden Dialog selektieren sie die Sicherheitsgruppe und schließen den Dialog mit „OK“.

Die neu erstellte Regel können Anwender jetzt in der Firewall-Rubrik einsehen. Sie verweigert den Zugriff auf alle Windows-VMs mittels der definierten Netzwerk-Ports. Das gilt insbesondere auch innerhalb eines Netzwerksegments, in dem sich üblicherweise mehrere VMs befinden. Natürlich können auch Ausnahmen definiert werden, um das unabsichtliche Blockieren von Netzwerkbeziehungen zu vermeiden.

Onur Oeztuerk, Axians

„Cyberkriminelle finden stetig neue Schwachstellen, die sie ausnutzen können. Unternehmen sollten Firewall-Richtlinien nicht nur am Netzwerkübergang, sondern auch innerhalb eines Netzwerks anwenden.“ 

Onur Öztürk, Axians Networks & Solutions

Im Rahmen einer Zero-Trust-Architektur sollte man aber jeglichen Datenverkehr grundsätzlich verbieten und nur den legitimen freischalten. In den meisten Fällen ist es ohnehin nicht notwendig, dass alle VMs über alle Netzwerk-Ports miteinander sprechen. Innerhalb von Virtual-Desktop-Infrastructure-Umgebungen ist zum Beispiel keine horizontale Kommunikation erforderlich.

Fazit

Advanced Persistent Threats wie WannaCry gehören zu den großen Bedrohungen, mit denen sich Sicherheitsverantwortliche derzeit konfrontiert sehen. Cyberkriminelle werden immer gewiefter und finden stetig neue Schwachstellen, die sie ausnutzen können. Um sich zu schützen und Risiken zu minimieren, sollten Unternehmen Firewall-Richtlinien nicht nur am Netzwerkübergang, sondern auch innerhalb eines Netzwerks anwenden. Das geht mit Mikrosegmentierung in virtualisierten Netzwerkumgebungen. So können Verantwortliche die Ausbreitung von Schadsoftware verhindern und die Angriffsfläche erheblich verkleinern.

Über den Autor:
Onur Öztürk ist seit rund 17 Jahren in der IKT-Branche tätig und seit knapp zehn Jahren Consultant Datacenter Solutions bei Axians Networks & Solutions. Er verfügt über langjährige Expertise im Server-, Storage- und Netzwerk-Umfeld und ist seit 12 Jahren VMware Certified Professional. Dell EMC hat ihn als Proven Professional Technology Architect Specialist zertifiziert und Cisco als Certified Network Professional Data Center (CCNP Data Center). Aktuell konzentriert Onur Öztürk sich auf die Themen Software-defined Data Center, Hybrid- und Multi-Cloud.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Den virtuellen Netzvorteil mit VMware NSX real nutzen

Kostenloser E-Guide: Ransomware – der Gefahr richtig begegnen

Ransomware as a Service: Schadsoftware als Dienstleistung

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close