Für Angreifer außerhalb des Unternehmens stellt sich oft die Frage, wie sie sich einen Zugang in das Firmennetz verschaffen. Beliebt sind dabei Methoden, die nicht den meist gut protokolierten offiziellen VPN-Zugang verwenden.
Grundsätzlich können Angreifer keine Verbindung zu dem Rechner eines Mitarbeiters aufbauen, den sie anschließend als Gateway für Angriffsversuche einsetzen, da sie nicht durch NAT-Router und Firewall kommen. Anders sieht es aus, wenn ein illoyaler Mitarbeiter selbst eine Verbindung nach außen zu einem Rechner des Angreifers aufbaut.
Dabei kommt beispielsweise ein SSH-Server des Angreifers zum Einsatz. Auf dem Rechner des Mitarbeiters muss lediglich ein SSH-Client wie Portable PuTTY ausgeführt werden, der keine Administratorrechte erfordert. Wenn der Mitarbeiter eine SSH-Verbindung mit entsprechenden Port-Forwarding und Gateway-Optionen aufbaut, kann er einem Angreifer Zugang zu Firmenservern ermöglichen. Das genaue Verfahren beschreibt der ZDNet-Artikel "Portforwarding außer Kontrolle".
Darüber hinaus gibt es weitere Möglichkeiten, sich Zugänge zu verschaffen. Benutzer, die über Administratorrechte verfügen, können ein End-to-End-VPN wie Hamachi installieren. Grundsätzlich nützt es einem Angreifer nichts, wenn ein Mitarbeiter eine VPN-Serverlösung installiert, da er keinen Zugang dazu bekommt. End-to-End-VPNs setzen jedoch einen Vermittlungsserver im Internet ein, den der Anbieter der VPN-Software betreibt.
Falls möglich, vermittelt dieser Server eine direkte UDP-Verbindung zwischen den Rechnern des Angreifers und des Mitarbeiters. Verbieten das die Firewall-Settings im Firmennetz, versucht der Server die VPN-Verbindung durch eine HTTP- oder HTTPS-Verbindung auf Port 80 oder 443 zu tunneln. Dies gelingt in den meisten Fällen.
Hamachi bietet auch einen Gateway-Mode an, der einem Angreifer NAT-Zugang zum Firmennetz verschaffen kann. Dieser Gateway-Mode lässt sich auf Windows-Clients, die in einem Domänen-Netz sind, jedoch nicht aktivieren. Das ist allerdings in der Regel auch nicht notwendig. Wenn der Mitarbeiter etwa den Remote-Desktop-Zugang freischaltet, kann sich der Angreifer auf diese Weise einloggen und das gesamte Firmennetz nutzen.
Alternativen zu Hamachi sind OpenVPN und tinc. Auch sie erlauben einem illoyalen Mitarbeiter eine Verbindung zu dem Rechner eines Angreifers außerhalb des Firmennetzes aufzubauen. Sie sind allerdings komplizierter zu konfigurieren.
- Der Feind im Haus: Wenn Mitarbeiter Daten stehlen
- Ungepatchte Intranetserver mit Metasploit angreifen
- So kommen illoyale Mitarbeiter an Passwörter von Kollegen
- Verschlüsselte Passwörter bieten in Windows-Netzwerken kaum Schutz
- So verschaffen sich Spione Hintertüren in Firmennetze
- So verschleiern Angreifer Hintertüren durch Tunnelung
- Fazit
Neueste Kommentare
1 Kommentar zu Der Feind im Haus: Wenn Mitarbeiter Daten stehlen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Erst mal gründlich schlau machen!
„Das Beispiel Conficker zeigt, dass viele Unternehmen ihre Intranet-Server nicht regelmäßig updaten.“
Dieser Satz zeigt leider die Unwissenheit des Autors. Auch in einem System bei dem alle Windows-Updates eingespielt sind, kann sich der Conficker Wurm über Administrative Netzwerkfreigaben weiterverbreiten. Das -auch von Microsoft- vielbeschworene Windows-Update hilft nur gegen das Eindringen von außen (übers Internet).