18.09.2015 11:23

Router Security / SYNful Knock

Wir bekamen Anfragen zum Thema SYNful Knock (Siehe FireEye Teil 1, Teil 2). Uns war das keine Warnung wert, daher fasst dieser Blogpost unseren Standpunkt zusammen:

Management Summary

  • Der SYNful Knock Angriff ist keine neue Kategorie von Bedrohungen.
  • Es gibt keinen bekannten Fall in Österreich.
  • Ja, das ist ein guter Anlass, sich die Sicherheit der eigenen Netzwerkhardware genauer anzuschauen.

Was wissen wir?

  • Das ist nicht die erste Kampagne, die sich gegen Cisco Router wendet: Wir haben basierend auf Tipps eines europäischen Partner-CERTs schon letztes Jahr Teile unserer Constituency (insb. ISPs) gewarnt. Die Einzelheiten hinter dem damaligen Anlassfall variieren aber so stark von Details aus dem FireEye Paper, dass wir hier keine direkten Zusammenhang sehen. Kurz: wir warnen schon gezielt länger vor der Gefahr von manipulierten Routern.
  • Auch der Belgacom-Vorfall hatte schon gezeigt, dass Routermanipulationen zum Repertoire von gezielten Angriffen zählen.
  • Links zum verifizieren der IOS-Integrität: CERT-EU, Cisco
  • Es gibt erste Scanergebnisse dazu. Wir kennen die zmap Leute und hat dort nachgefragt: sie haben wirklich in AT keinerlei Treffer gefunden.

Was empfehlen wir?

  • Auch Netzwerkhardware braucht ein Vulnerability-Management. Es wurden zwar beim aktuellen Fall (soweit bekannt) keine Bugs ausgenutzt, aber in anderen Fällen mag das im Spiel gewesen sein.
  • Control-plane protection: Neben der Funktionalität des Packet-Forwardings sind die Router auch selber Paket-Quellen und Senken. Das sind üblicherweise Routing-Protokolle und Management Interfaces (Control-Plane). Hier sollte man ziemlich strikt filtern, wer darauf zugreifen darf.

    Das ist sowohl ein wichtige Thema bei der DDoS-Protection, als auch ein Schutz gegen eine Manipulation von Routern.

    Ein Beispiel dazu: Aktuell antworten in Österreich noch über 5000 IP-Adressen auf SNMP-Anfragen. Das sollte nicht sein.

  • Schutz der Management-Netze: Im Belgacom-Fall hatte sich gezeigt, dass der Angreifer gezielt die Systeme/PCs der Netzwerk-Admins übernommen hat, und dann von dort aus auf die Router gegangen ist. Das ist ein weiteres Argument dafür, dass die Integrität der eigene Management-Systeme eminent wichtig ist.
  • Verifikation: Man sollte ab und an die Prozesse zur Überprüfung des Integrität der Router ausführen (in den Links oben dokumentiert). Weiters empfiehlt sich auch ein Monitoring der Router-Konfigurationen. Das geht auch ohne teure kommerzielle Lösung etwa mit Rancid.

Autor: Otmar Lendl