Wissen Sie noch, was ein Wardialer ist? Ja, lang ist's her, dass diese nach einem Kultfilm meiner Jugend benannte Softwaregattung Schlagzeilen machte. Die Programme, die mehr oder weniger wahllos Telefonnummern anrufen um (möglichst auch noch ungeschützte) Modemzugänge zu finden, scheinen aus der Sicherheitsdiskussion verschwunden zu sein.

Dabei gibt es die dahinterliegenden Angriffsarten immer noch. Außerdem sind seit damals einige Artverwandte dazugekommen. Während es früher um Modems ging, sind heute ISDN-Zugänge gefragt. Auch die Fernwartungszugänge von Telefonanlagen und anderen Geräten werden gerne genommen, z.B. als Seiteneingang ins Netzwerk oder zur Nutzung von Telefonen als Telewanzen.

Im Bereich Unified Messaging Server ist diese Problematik ebenfalls relevant. Besonders die Faxkomponente kann der Sicherheit zu schaffen machen. Für die Faxkomponente greifen Faxserver i.d.R. auf die CAPI-Schnittstelle zurück. Einfach gesagt stellt diese Schnittstelle einen einheitlichen Weg zur Kommunikation mit der ISDN-Karte (oder einer anderen Komponente) und damit zur Verbindung mit dem ISDN-Netzwerk bereit. Auch für die Kommunikation über Voice over IP (VoIP) stehen entsprechende Schnittstellen bereit, z.B. XCAPI.

Gefahr?

Die Meinungen über die Gefährlichkeit dieser Art der Netzwerkverbindung gehen weit auseinander. So mancher Hersteller spricht von "völlig sicher" (was per Definition bereits Unsinn ist) und manch anderer fühlt sich berufen, "so etwas würde heute niemand mehr machen" zu mutmaßen.

Abseits der Gegenbeweise, die manche Hacker auch heute noch liefern, ist eine solche Aussage natürlich in Sachen Sicherheitsdesign wenig brauchbar. Eine Mutmaßung über das Verhalten jedes in Frage kommenden Individuums auf der Erde ist wohl kaum glaubwürdig.

Technisch betrachtet bleibt die Frage nach der (illegalen) Nutzbarkeit dieses Zugangsweges. Dabei sollte man sich nicht von mangelnden Schlagzeilen leiten lassen. Nur die wenigsten Schwachstellen schaffen es überhaupt in die Presse. Die Frage, ob es ausnutzbare Sicherheitslücken gibt, ist an dieser Stelle ohnehin kaum relevant. Die Erfahrung zeigt, dass nahezu jedes einigermaßen komplexe Kommunikationsprodukt Schwachstellen hat. meist steht nur die Frage im Weg, ob sich bereits jemand die Mühe gemacht hat, diese "Vulnerabilities" zu identifizieren.

Auf das Wesentliche reduziert wird die Angelegenheit relativ einfach: die CAPI-Schnittstelle verbindet den UM-Server und damit das Netzwerk, an welches dieser Server angebunden ist, mit einem öffentlichen Netz (ISDN). Erschwerend kommt hinzu, dass es für dieses Netz kaum brauchbare Sicherheitslösungen (Firewalls) gibt und dass deren Einsatz eher unüblich ist.

Damit besteht eine Verbindung zwischen dem internen Netz und der Außenwelt und diese sollte geschützt werden.

Präventive Schutzmaßnahmen

Der Schutz des Servers auf Ebene des ISDN-Netzes ist i.d.R. nur begrenzt sinnvoll und lässt eine Reihe von Lücken offen. Der Schutz sollte daher auf der Server- und IP-Netzwerkebene erfolgen.

Kommen klassische ISDN-Karten zum Einsatz, so ist der erste Schritt, diese betriebssystemseitig zu isolieren  Die ISDN-Karte sollte lediglich für die vom UM-Server benötigten Dienste freigegeben werden. Weitere Kommunikationswege, z.B. eine Modememulation oder insbes. ein RAS-Zugang sollte nicht installiert bzw. deaktiviert werden.

Einige UM-Server erlauben die Auslagerung der eigentlichen ISDN-Verbindung auf einen anderen Rechner, mit dem der UM-Server per TCP/IP kommuniziert. Dies erlaubt die Trennung des ISDN-angebundenen Rechners vom Netzwerk durch Zwischenschalten einer Firewall.

Wird diese Möglichkeit vom UM-Server nicht unterstützt, so sollte der UM-Server selbst weitgehend vom lokalen Netzwerk isoliert werden. Dies geschieht wiederum über eine Firewall.

Die Kommunikation mit dem LAN sollte dabei möglichst von innen ausgehen und im umgekehrten Weg so minimalistisch wie möglich gestaltet werden (oftmals reicht hier die Mailkommunikation, z.B. per SMTP). Aus diesem Grund sollte der UM-Server i.d.R. nicht auf einem Windows Server installiert werden, der Mitglied der internen Windows Domäne ist. Zur Kommunikation mit einem Domänen-Controller ist die Öffnung mehrerer kritischer Netzwerkports notwendig, was den Schutzeffekt weitgehend zunichte macht.

Datenhaushalt

Eine weitere empfehlenswerte Maßnahme ist Datenminimalismus auf dem UM-Server. Leider wird gerade die Kommunikation per Telefax aus alter Gewohnheit immer noch häufig für die Übertragung sensibler Daten verwendet - obwohl diese Art der Kommunikation absolut frei von jeglichem Schutz ist.

UM-Server sammeln daher über die Jahre oft erhebliche Mengen an sensiblen Daten in Gestalt von Faxarchiven und anderen Datenablagen an.

Die auf dem UM-Server gesammelten Daten sollten daher, sofern sie überhaupt separat aufgehoben werden müssen, binnen kurzer Zeit auf einen geschützten Server im LAN verschoben werden. In Zusammenhang mit der Firewall sind sie damit außer Reichweite eines möglichen Angreifers.

Kleiner Ausflug zu Big Blue

Eine Randbemerkung aus meinem Spezialgebiet Lotus Notes/Domino: wenn möglich sollte eine UM-Server nicht auf einem Lotus Domino Server installiert werden, Mitglied der internen Lotus Notes Domäne ist. Erlangt ein Angreifer Zugriff auf die Daten des Lotus Domino Servers, so stehen ihm eine Vielzahl Informationen wie auch von Angriffswegen zur Verfügung.

Die meisten UM-Server mit (echter) Lotus Notes Schnittstelle verwenden einen auf dem UM-Server installierten Lotus Notes Client, um mittels der API-Schnittstelle auf einen Lotus Domino Server zuzugreifen. Bei der Vergabe von Rechten für den entsprechenden Benutzer sollten Sie äußerst restriktiv vorgehen. Keinesfalls sollte dieser Benutzer Mitglied der Administratorengruppe sein.

Zur Abgabe von E-Mails ist lediglich der Zugriff auf die MAIL.BOX des Servers als "Einlieferer" notwendig. Erfordert der UM-Server Zugriff auf das Domino Verzeichnis (names.nsf), so sollten keine Änderungsrechte erteilt werden. Insbesondere das Recht, neue Dokumente zu erstellen, kommt in der Konsequenz der Administrationsberechtigung gleich (unabhängig von der Einstellung der Rollen in der Zugriffskontrollliste). Gleiches gilt für jeden Zugriffslevel ab Editor aufwärts.

Erfordert der UM-Server als Basis einen Lotus Domino Server, so sollte ein separater Server mit eigener Domäne und eigenem Organisationszertifizierer installiert werden, der lediglich das absolute Minimum an Daten aus der internen Domäne repliziert und dort keine weitergehenden Rechte hat.

Kommentare

  Noch keine Kommentare

 Kommentar erstellen

Thema: Name: E-Mail: Website:   Kommentar:  (Kein HTML - Verknüpfungen werden umgesetzt, wenn sie mit http:// beginnen)          Meine Daten merken