Modems

In praktisch allen Unternehmen finden sich auch Modems – die meisten davon, ohne dass es den für die IT-Sicherheit verantwortlichen Vorständen oder Geschäftsführern bekannt ist. Hierzu einige Beispiele:

Komplexe Maschinen in der Fertigung und in der EDV, wie z.B. Massenspeichergeräte, Telefonanlagen, etc., verfügen über ein Modem zur schnellen Fernwartung im Fehlerfall. Anders sind Supportverträge mit kurzen Reaktions- und Wiederherstellungszeiten heute nicht bezahlbar.

Viele Unternehmen betreiben elektronischen Datenaustausch mit ihren Banken per Modem – weil die Daten aus Sicherheitsüberlegungen heraus nicht über das Internet übertragen werden sollen.

Systemadministratoren schaffen sich oft Hintertüren per Modem zu ihrem eigenen Netz, um sich im Fehlerfall auch abends und am Wochenende ein Bild vom Zustand „ihrer“ Server verschaffen zu können, ohne vor Ort zu sein.

Jedes heute ausgelieferte Notebook hat ein eingebautes Modem. An Desktoprechner lassen sich Standardmodems per USB anschließen. Sie alle können schnell mit der nächstgelegenen Telefondose verbunden und zum ungefilterten Surfen im Internet verwendet werden.

ISDN-Zugänge

Das oben gesagte trifft gleichermaßen auch auf ISDN-Zugänge und ISDN-Karten zu. Nur durch den Einsatz digitaler statt analoger Technik lässt sich das Problem nicht beseitigen.

Die Bedrohung

Firmenrechner, die per Modem mit dem Internet verbunden werden, sind Angriffen schutzlos ausgeliefert. Viren, Würmer und Trojaner haben ein leichtes Spiel, solche Rechner zu befallen und sich (quasi in Form eines Angreifers von innen) anschließend im gesamten Unternehmensnetz – hinter der Firewall – zu verbreiten.

Angreifer, die gezielt die Daten eines Unternehmens erlangen, manipulieren oder zerstören wollen, haben bei Angriffen gegen die Firewall ein ungleich höheres Risiko als bei Angriffen auf vorhandene Modems. Das gezielte Absuchen aller Durchwahlen des Telefonanschlusses einer Firma wird durch heutige TK-Anlagen nicht entdeckt. Angriffe gegen die Firewall eines Unternehmens werden dagegen erkannt und protokolliert.

Deshalb ist das Auffinden von Einwahlzugängen per Modem oder ISDN mittels Wardialing bei Angreifern sehr beliebt.

Wardialing

Beim Wardialing wird jede Durchwahl innerhalb des Rufnummernblocks eines Unter-nehmens gezielt angerufen, um herauszufinden. ob sich dahinter ein Mensch (voice) oder eine Maschine (fax, modem, isdn,…) verbirgt. Der Angreifer benutzt dafür Soft-ware, die solche Suchen automatisiert durchführt. Jeder Treffer (connect) wird in ein Protokoll geschrieben und im nächsten Schritt vom Angreifer näher untersucht.

Solche Programme sind (vermutlich nicht in den neuesten und leistungsfähigsten Versionen) kostenlos im Internet zu bekommen. Sie stammen alle aus den USA und sind meist nicht in der Lage, ISDN-Anschlüsse nach europäischem Protokoll (Euro-ISDN, DSS-1) zu erkennen. Es ist jedoch davon auszugehen, dass Angreifer in Europa angepasste Versionen benutzen.

Bei einem Angriff gehen sie in drei Schritten vor:

Zunächst wird jede Durchwahlnummer des zu untersuchenden Telefonanschlusses angerufen – in jeweils einem eigenen Durchgang für analoge Modems und für die verschiedenen Arten (und Unterarten) des ISDN-Protokolls, die es zu finden gilt.

Jeder Treffer wird für die spätere Analyse protokolliert. Dabei werden neben der ge-wählten Rufnummer auch Informationen aus dem ISDN-Steuerkanal (D-Kanal) und der so genannte Header des Zielsystems gespeichert. Sie enthalten die Meldungen, die das System einem – in der Regel berechtigten – Anrufer als Loginbildschirm darstellt. Darin sind oft Informationen über Hersteller, Typ, Softwareversion, etc. enthalten.

Im nächsten Schritt, dem sogenannten Footprinting, werden die gewonnenen Infor-mationen genutzt: Anhand der Systemmeldungen aber auch anhand eines spezifi-schen Verhaltens des Systems kann man – mit entsprechenden Erfahrungswerten – Rückschlüsse auf das eingesetzte System ziehen.

Mit dem Wissen über das System kann im dritten Schritt eine gezielte Penetration vorgenommen werden, indem beispielsweise Standardpasswörter oder bekannte Sicherheitslücken im System ausgenutzt werden können.

Revisionsaspekte

Der wichtigste Ansatz zur Minimierung der Bedrohung durch Wählzugänge liegt in der organisatorischen Ebene: Ein Unternehmen muss die Mitarbeiter für die Gefährdung der IT-Sicherheit und letztlich der Existenz des Unternehmens durch unerlaubte Wählzugänge sensibilisieren. Darüber hinaus muss ein Genehmigungsprozess eingeführt werden, um die Notwendigkeit eines Modems gegen die Bedrohungen abwägen zu können.

Nur genehmigte und registrierte Modems dürfen betrieben werden. Dies lässt sich technisch damit koppeln, dass die betreffenden Nebenstellen in der Telefonanlage nicht anrufbar konfiguriert werden. Dann sind nur abgehende Verbindungen möglich. Man muss sich hierbei jedoch bewusst machen, dass bei einer Punkt-zu-Punkt-Verbindung zwischen zwei Modems immer eines angerufen werden muss. Unter Umständen verlagert man so sein Problem nur in ein anderes Unternehmen.

Alternativ kann man Rechner, die über ein Modem verfügen müssen auch aus dem lokalen Netzwerk entfernen und stand-alone betreiben. Schließlich muss die Notwendigkeit der genehmigten Wählzugänge regelmäßig überprüft werden.

Parallel zu den organisatorischen Maßnahmen macht auch der Einsatz von Wardialing-Programmen im eigenen Unternehmen Sinn. Während sich analoge Modems von den gängigen Programmen relativ leicht finden lassen, scheitern sie wie oben beschrieben aber an ISDN-Zugängen. Das hängt mit der Protokollvielfalt zusammen, die das ISDN – als diensteintegrierendes Netz – bietet:

Abbildung 1, Quelle: Christian Scheucher, secunet Security Networks AG, Niederlassung München

Für die sichere Erkennung aller Wählzugänge braucht man deshalb neben der Unterstützung durch ein gutes – für Europa angepasstes – Programm einige Erfahrung.