Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

22.02.2002 - 

Sicherheitsexperten entdecken Lücken im Protokoll

SNMP lässt sich für DoS-Angriffe nutzen

MÜNCHEN (fn) - Ausgerechnet im weit verbreiteten Simple Network Management Protocol (SNMP), Version 1, haben Sicherheitsexperten Lücken entdeckt. Die Experten fürchten, dass Hacker die Schwachstellen für Denial-of-Service-(DoS-)Attacken nutzen könnten.

Aufgedeckt hat den Fehler die Oulu University Secure Programming Group, ein Expertenteam der Universität Oulu in Finnland. Veröffentlicht hat ihn das Computer Emergency Response Team (Cert) an der Carnegie Mellon University in Pittsburgh, USA, als klar wurde, dass Hacker bereits an Tools arbeiten, die die Schwachstellen in SNMP ausnutzen. Bei Denial-of-Service-Angriffen setzen Hacker Computer oder andere Hardware durch das massenhafte Versenden von Datenpaketen außer Gefecht.

Das Angriffspotenzial ist riesig: Praktisch jeder Router, Netzwerk-Switch, Firewall, viele Server-Systeme, unterbrechungsfreie Stromversorgungen, Drucker und Faxgeräte sind zwecks Fernwartung sowie zur Überwachung mit SNMP-Funktionen ausgestattet. Über das Protokoll lässt sich die Konfiguration von Geräten abfragen beziehungsweise verändern. Zudem werden darüber Alarme (Traps) versendet. Das, wie der Name schon sagt,einfach gestaltete Verfahren ist seit etwa zehn Jahren im Einsatz. Wie bei vielen Protokollen dieser Art verzichteten die Erfinder jedoch auf Sicherheitsfunktionen.

Bei SNMP handelt es sich um einen Industriestandard (RFC 1157) der Internet Engineering Task Force (IETF). Bei nachfolgenden Versionen des Protokolls treten diese Schwachstellen nicht auf. "Die Unzulänglichkeiten von SNMP, Version 1, sind schon seit langem bekannt, doch wurden sie bisher nicht ausgenutzt", erklärt Volker Pampus, Managing Director der deutschen Niederlassung des amerikanischen Sicherheitsspezialisten Internet Security Systems aus Stuttgart.

Sowohl der SNMP-Manager, der Daten von den Geräten abruft, als auch der korrespondierende SNMP-Agent weisen Sicherheitslücken auf. So können die vom Manager auf den Agenten übertragenen Nachrichten zum Setzen von Variablen missbraucht werden, da zwischen beiden keine sichere Authentifizierung stattfindet. Weitere Fehler deckten die Experten bei der Behandlung von SNMP-Traps auf. Der Agent versendet von sich aus einen Trap an den Manager, um ihn über ein Ereignis zu informieren, etwa den Ausfall einer Schnittstelle bei einem Router.

Nach Angaben von Carsten Queisser, Produkt-Marketing-Manager bei Cisco Systems in Hallbergmoos, könnten Produkte seines Unternehmens durch Ausnutzung der Schwachstellen gezielt außer Betrieb gesetzt werden. Dennoch hält er Hysterie für nicht angebracht und das Aufbauschen der Geschichte durch das finnische Expertenteam für etwas übertrieben. Seiner Meinung nach sind nur solche Geräte betroffen, auf die über das öffentliche Internet ein Zugriff per SNMP möglich ist. Doch selbst dann sollte eigentlich die Firewall unerlaubte SNMP-Zugriffe unterbinden, indem sie nur bestimmten, für das Management festgelegten IP-Hosts Zugang gewährt. Parallel zu den von den Herstellern herausgebrachten Patches und Handlungsanweisungen sollten Firmen auch die Konfiguration eben dieser Firewall kontrollieren.

Nach Informationen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind anscheinend - wie vom Cert befürchtet - bereits Tools im Umlauf, die Schwachstellen in SNMP-Funktionen ausspüren. Das Amt rechnet mit ausgefeilten Hacker-Werkzeugen, mit denen sich gezielte Denial-of-Service-Attacken unternehmen lassen. Bisher liegen jedoch keine Informationen über solche Ereignisse vor, was das BSI indes nicht als Entwarnung verstanden wissen will. Es sei lediglich noch kein Angriff gemeldet worden.

Viele der betroffenen Hersteller arbeiten an Patches und Workarounds oder haben bereits Updates zur Verfügung gestellt. Bei allen anderen Produkten sollten die Administratoren die SNMP-Funktionen besser deaktivieren. Darüber hinaus sei es ratsam, nicht benötigte SNMP-Agenten abzuschalten.

LinksEine Reihe Fragen zu den Sicherheitslöchern in SNMP beantwortet das Cert unter

www.cert.org/tech_tips/snmp_faq.html.

Unter

http://www.cert.org/advisories/CA-2002-03.html

beschreibt die Organisation die Gefahren und gibt Handlungsempfehlungen.

Der Sicherheitsspezialist Internet Security Systems (ISS) liefert weitere Informationen und Tipps für Anwender.

www.iss.net/security_center/alerts/advise110.php

Darüber hinaus informieren die Hersteller auf ihren Websites.

Abb: Gefahr im Verzug

Mit der Ausbreitung des Internet steigt auch die Zahl der Virenepidemien, Einbrüche in Computernetze sowie Denial-of-Service-Attacken. Quelle: Computer Emergency Response Team (Cert)