Schutz gegen Schadsoftware, die Tor nutzt

Originalartikel von Jay Yaneza, Technical Support

Der Anonymisierungsdienst Tor ist nicht grundsätzlich bösartig. Dennoch nutzen immer mehr Cyberkriminelle diese Verschleierungsmöglichkeit für ihre Aktivitäten. Deshalb müssen Administratoren überlegen, ob sie Tor blockieren sollten und wie dies am besten möglich ist.

Will ein Nutzer Dritte daran hindern herauszufinden, welche Websites er besucht, so stellt Tor eine sehr nützliche Hilfe dar. Beispielsweise setzen Sicherheitsforscher Tor ein, um verschiedene Online-Bedrohungen zu untersuchen. Auch Dissidenten nutzen Tor, um ihren Verkehr vor dem Unterdrückungsapparat ihrer Regierungen zu verstecken.

Doch dieselbe Funktionalität, die den Dienst für legitime Nutzer so wertvoll macht, lässt Tor auch für Cyberkriminelle attraktiv erscheinen. Vor allem für Unternehmen ist der Gedanke ein Alptraum, vollständig anonymen Datenverkehr zu haben, der irgendwohin ins Internet geht. Daher müssen Netzwerkadministratoren abwägen, ob sie Tor blockieren wollen oder nicht.

Um den Dienst zu blockieren, müssen sie versuchen, die Verbindung vom Client zu den Tor-Servern zu verhindern. Diese Server horchen regelmäßig an bestimmten Ports, nämlich 80, 443, 9001 und 9003. Clients probieren diese Ports abwechselnd aus, bis sie mit einem Tor-Knoten Verbindung aufnehmen können.

Bild 1. Internet-Verbindung einer Schadsoftware zu einem Tor-Knoten

Tor hat also ein erkennbares Muster, das auf Netzwerkebene blockiert werden kann. Prinzipiell gibt es dafür zwei Möglichkeiten. Zum einen kann der Administrator versuchen, den nach draußen ins Internet gerichteten Verkehr über die genutzten Ports zu kontrollieren. Beispielsweise lässt sich dieser Verkehr zu bestimmten Ports blockieren oder auf spezifische Ports einschränken.

Zum anderen können Filter auf Anwendungsebene oder andere Netzwerk-Inspektionstechniken genutzt werden, um festzustellen, welcher Verkehr legitim ist. Diese Techniken sind in der Lage, zwischen http-Verkehr (Port 80) beim Webbrowsing von dem beim Peer-to-Peer-Networking zu unterscheiden.

In kleineren Netzwerken, wie die zu Hause oder in kleineren Firmen, empfiehlt es sich zu versuchen, Tor an den Endpunkten zu blockieren, indem die Schadsoftware aufgespürt wird, die den Dienst nutzt. Router in diesen Netzwerken sind nicht darauf ausgerichtet, den ausgehenden Verkehr standardmäßig zu blockieren, und haben auch keine ausgefeilten Netzwerkinspektions-Tools. Auch würde das Blockieren von Ports wie 80 (http) oder 443 (HTTPS) die Nutzer in ihrer Arbeit behindern.

Für mittlere und große Unternehmen stellt sich die Situation ganz anders dar. Sie verfügen sowohl über die Ressourcen als auch die Mitarbeiter, um Tools für das Aufspüren von Tor auf Netzwerkeebene aufzusetzen. Auch sollten idealerweise Richtlinien vorhanden sein, die den Netzwerkverkehr regeln – sowohl über HTTP als auch über HTTPS.

Administratoren können ihre Systeme gegen Tor-bezogenen Netzwerkverkehr schützen, indem sie einen Webanwendungs-Proxy mit Applikationskontrolle aufsetzen, um ihre Internetanwendungen zu scannen. Diese Kontrollmechanismen sind wirkungsvoller als eine simple Ja-oder-Nein-Option – eine Kombination aus beiden ist ebenfalls hilfreich:

  • Schritt 1: Das Aufsetzen eines Web-Proxys für die Anwendungskontrolle, üblicherweise auf einer Maschine in der DMZ,
  • Schritt 2: Das Einschränken jeglichen direkten Internetzugriffs auf den Weg über diesen Web-Proxy.

So könnte ein solches Setup aussehen:

Bild 2. Netzwerksegmentierung größerer Netzwerke

Darüber hinaus sollten Unternehmen Firewall-Hits für den ausgehenden Verkehr über Port 9001 und 9003 überwachen. Diese Verkehrsart ist typisch für Endpunkte, die versuchen, das Tor-Netzwerk zu erreichen. Natürlich ist es mühsam, die umfangreichen Firewall-Logs zu durchforsten, doch einige dieser Systeme erlauben das Weiterleiten der Logs an Security Information and Event Management (SIEM)-Systeme, in denen Regeln eine automatische Benachrichtigung anstoßen.

Diese Empfehlungen ermöglichen es Netzwerkadministratoren festzustellen, was über Port 80 und 443 geht. Das hilft zwar nicht, die Auswirkungen einer vorhandenen Tor-Schadsoftware zu reduzieren, doch verbessern die Maßnahmen die allgemeine Sicherheit des Netzwerks und unterstützt einen proaktiveren Netzwerkschutz.

Trend Micro bietet mit InterScan Web Security sowohl Anwendungskontrolle und Einsichten, die für das Verständnis der Netzwerkrisiken wichtig sind.

Bild 3. Screen für die Erstellung von Richtlinien für die Applikationskontrolle

Zudem ermöglicht der Deep Discovery Inspector netzwerkweite Einsichten in Tor-bezogenen Verkehr.

Bild 4. Logs, die Tor-bezogene Anwendungen aufspüren

Beide Produkte können mit einer SIEM-Software verbunden werden. Die Kombination der beiden Sicherheitsprodukte mit SIEM und weiteren Firewalls und UTM (Unified Threat Management)-Lösungen innerhalb eines Netzweks stellt eine wichtige Sicherheitsinfrastruktur für Netzwerkadministratoren dar, denn sie erlaubt die Visualisierung der Ereignisse in einem Netzwerk und nachfolgend die Entscheidung für die effizientesten Maßnahmen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*