Gefahr durch SSH: Portforwarding außer Kontrolle

Obwohl die Erkennung eines Portforwarding-Angriffs nicht einfach
ist, können Administratoren Hilfe von recht ungewohnter Seite in
Anspruch nehmen.
Webcrawler,
die von Suchmaschinen und
Marktanteilsmessern,
aber auch Spammern eingesetzt werden, entpuppen sich als mögliche Falle für
einen Portforwarding-Angreifer.

Jede noch so bedeutungslose Website bekommt mehrmals am Tag Besuch von
einem Webcrawler und kann ein paar "Klicks" für sich verbuchen. Die
Webcrawler machen sich natürlich keine Mühe, einen Angreifer
per DNS-Spoofing zu schützen, von dem sie nicht einmal wissen, dass er existiert.

Vielmehr besuchen sie die Website unter der IP-Adresse oder der
DNS-Bezeichnung, die der Hoster dem Server gegeben hat. Die bleibt
bestehen, auch wenn der Kunde eigene DNS-Namen hinzufügt. Finden sich in
der Log-Datei Namen, die nicht aus dem eigenen Intranet stammen, so ist
dies ein sicherer Hinweis auf eine Portforwarding-Attacke.

Fast alle Suchmaschinen besuchen Websites immer mit einem
User-Agent-String, der die Bezeichnung der Suchmaschine enthält. Dies
ermöglicht Websitebetreibern, echte Besucher von Suchmaschinen zu
unterscheiden.

Ein ganz offensichtliches Sicherheitsproblem liegt vor, wenn der hoch
schützenswerte Intranet-Server plötzlich Besuch von
Google erhält.
Eine Sache, die eigentlich leicht zu entdecken ist.

Das Entdecken anderer Zugänge, etwa per Remote Desktop, ist auf diese
Weise aber nicht möglich. Professionelle Angreifer verwenden zudem für den
HTTP-Zugang nicht Port 80, um den zufälligen Besuch einer Suchmaschine
zu verhindern. Hier hilft nur die Auswertung des Nutzerverhaltens,
um beispielsweise nachzuvollziehen, warum ein Mitarbeiter ungewöhnlich
fleißig ist und scheinbar 24 Stunden am Tag arbeitet. Dieses Vorgehen
ist jedoch bei Betriebsräten nicht gerade beliebt und obendrein
mit erheblichen heuristischen Unsicherheiten behaftet.