Seit einigen Jahren ist uns klar, dass wir Windowsserver nicht von extern über RDP erreichbar machen sollten und dass Administratoren ihre Systeme nicht von ihren Daily Workstations aus direkt verwalten mögen. Aus diesem Grund wurde das Privileged Access Workstation (PAW) Konzept mit beispielsweise Terminalservern in einer Management Zone entwickelt. Aber entspricht dieses jahrzehntealte Konstrukt noch dem heutigen Sicherheitskonzept?


Management Zone

Um diese Frage beantworten zu können, schauen wir uns den klassischen Aufbau eines solchen Management Zonen Konzeptes an:

Management Zone

Im heutigen Homeoffice-Zeitalter verbinden sich die Administratoren per VPN, sodass sie Zugriff zur Management Zone bekommen. Dort sind die Citrix / Terminalserver installiert. Ab diesen Terminalservern arbeitet man mit privilegierten Accounts und greift auf die zu verwaltenden Zielsysteme zu. So weit, so gut.


BeyondTrust Privileged Remote Access

Schauen wir uns an, wie eine moderne Fernzugriffslösung für privilegierten Zugriff aussieht:

BeyondTrust Privileged Remote Access

Im Gegensatz zum Management Zonen Konzept müssen die Administratoren im Homeoffice keine VPN Verbindungen aufbauen. Sie benötigen nur eine HTTPS Verbindung zur Privileged Remote Access (PRA) Appliance, welche in der DMZ steht. Zudem besteht ein grosser Unterschied darin, dass hier keine eingehende Firewall Rule zu den Serverzonen benötigt wird. Die notwendige Verbindung (HTTPS) wird vom Jumpoint (Protocol Forwarder), der als eine Art Reverse Pro agiert, zur PRA Appliance aufgebaut. Alle Verbindungen werden immer über Port 443 in Richtung PRA Appliance aufgebaut und es sind keine eingehenden Firewall Rules zu den internen Zonen notwendig.

Anstelle einer Management Zone inklusive wartungsintensiver Citrix / Terminalserver Infrastruktur wird hier eine PRA-Lösung aus dem Privileged Access Management (PAM) Sektor eingesetzt. PAM hat  genau das Ziel, die privilegierten Zugänge und Identitäten zu schützen und zu verwalten. Warum nicht auf eine solche All-in-One Lösung setzen, die genau dafür gemacht wurde?


Kommen wir zu den Details

Hier wird auf die drei rot gezeichneten Einheiten vom Terminalserver Konzept eingegangen.

    • Das Department of Homeland Security hat im Juni 2020 eine Warnung herausgegeben, dass Angreifer auf VPN & RDP Verbindungen abzielen, um ihre Ransomware Attacken durchzuführen. KPMG bestätigt, dass die Nutzung von VPN und RDP das Risiko auf Ransomware Attacken deutlich erhöht. Um Fakten zu finden, müssen wir gar nicht weit in die Vergangenheit reisen. Letzten November warnte gemäss heise online das FBI vor Einbrüchen in VPN Softwares.
    • Gelangen Angreifer in die Management Zone, haben sie theoretisch schon gewonnen. Vielleicht ist es noch ein Spiel auf Zeit, aber der Sieg ist schon fast in der Tasche. Denn die Management Zone wird so eingerichtet, dass die Administratoren schnell und einfach ihre Zielsysteme verwalten können. Hier ist ein Sicherheitskonzept à la Zwiebelschichten fehl am Platz.
    • Nicht einmal die Firewall bietet hier Schutz, denn von der Management Zone zu den Server Zonen sind die notwendigen Firewall Rules für die Remote Administration offen. Wenn Administratoren die offenen Ports nutzen können, werden das die Angreifer ganz bestimmt auch.

In einem Kompromittierungsfall gibt es einige Unterschiede zwischen einer Privileged Remote Access Lösung und einer herkömmlichen Management Zone:

BeyondTrust Privileged Remote Access (PRA)

Management Zone mit Jumphost (RDS / Citrix Umgebung) mit VPN Zugang für Homeoffice Administration

Beliebtes Angriffsszenario Uns und dem Hersteller sind keine erfolgreichen Angriffsszenarien an PRA-Umgebungen bekannt. Viele aktuelle Artikel weisen darauf hin, dass Remote Working mit VPN und RDP das Risiko drastisch erhöht. Siehe Anhang und folgende Links zdnet, KPMG, SOPHOS.
BSI Empfehlung: RDP Dienst auf Windows Systeme deaktivieren (siehe Link) PRA bietet für Windows Systeme die Remote Jump Methode an. Dadurch können Windows Systeme ohne den RDP Dienst administriert werden. Die BSI Empfehlung kann eingehalten werden. Diese Empfehlung des BSI wird sehr selten umgesetzt. Die Windows Systeme können meist durch RDP und VMWare / Hyper-V Console administriert werden.
Schutz durch Firewall (Abgrenzung zwischen PRA / Management Zone und den Zielsystemen) Bei der PRA-Lösung sind keine eingehende Firewall Rules notwendig, die von den Angreifern ausgenutzt werden können. Da von der Management Zone aus alle wichtigen Ports für die Administration offen sind (bsp. RDP, SSH), bietet die Firewall in diesem Szenario keinen ausreichenden Schutz.
Notwendiger Aufwand für Kompromittierung von Zielsystemen, wenn PRA / Management Zone bereits kompromittiert ist PRA ist mehrschichtig aufgebaut und extrem gehärtet. Beispielsweise ist der Zugriff auf das OS nicht möglich (auch nicht für PRA Admins). Die Credential Datenbank ist zudem nochmals extra geschützt und verschlüsselt. Zudem ist der Aufwand, Zielsysteme zu kompromittieren um einiges aufwändiger, da von PRA keine eingehenden Firewall Rules zu den Zielsystemen existieren. Da zwangsweise die Ports für die Administration offen sein müssen, ist der Aufwand, um Zielsysteme zu kompromittieren, um einiges geringer. Pass-the-Hash oder Pass-the-Ticket sind beliebte Angriffsszenarien.
Pass-the-Hash Attacken (Schutz der Credentials) PRA speichert die Credentials in einer eigens verschlüsselten Datenbank. Zusätzlich können Domain Accounts täglich und nach Gebrauch automatisch rotiert (gewechselt) werden. Somit sind Pass-the-Hash Attacken nach Beendigung der administrativen Session nicht mehr möglich. Hier greift nur der Standardschutz von Windows / Linux. Erweiterter Schutz muss selbst implementiert werden. Da administrative Credentials selten rotiert werden, sind Pass-the-Hash Attacken sehr beliebt.
Zwei-Faktor-Authentifizierung (2FA) PRA bietet 2FA für interne Mitarbeiter wie auch für externe Lieferanten / Partner an. 2FA wird zentral auf PRA eingerichtet. Dadurch muss 2FA nicht auf jedem Zielsystem (Server, Netzwerkgerät) einzeln eingerichtet werden. 2FA für VPN schützt nur das VPN und nicht die Management Zone. Ist die Management Zone einmal kompromittiert, sind oft für die Systemzugriffe keine weiteren 2FA Schutzmaßnahmen implementiert. Bei der PRA-Lösung hingegen, kann eingestellt werden, dass die Systemzugriffe nur durch die PRA Jumpoints erfolgen können. Diese wiederum sind nur durch die 2FA der PRA erreichbar.
Integritätsüberprüfung PRA bietet SIEM / Syslog Anbindung wie auch SNMP Überwachung an. Alle Logs & Sessionrecordings können durch einen externen Agenten (Agent, der in einer anderen Zone ist) gespeichert werden. Somit kann den Angreifern der Zugriff und die Manipulation auf die Logs & Sessionrecordings verwehrt werden. SIEM / Syslog Anbindung und WMI Überwachung kann umgesetzt werden. Wenn Logs & Sessionrecordings aufgezeichnet werden, sind diese meist innerhalb der Management Zone gespeichert.
Nach einer Kompromittierung – Integrität wiederherstellen (ohne Backup Recovery) Da regelmässig Konfigurationsbackups von PRA erstellt werden, ist die Green-Field-Wiederherstellung in kürzester Zeit möglich. Falls Sie im Desaster Recovery Notfall die Green-Field-Wiederherstellung in Ihrer Virtualisierungsumgebung nicht durchführen können, stellt der Hersteller Ihnen eine SaaS PRA Instanz temporär zur Verfügung. Die Green-Field-Wiederherstellung ist ohne Backup Recovery meist sehr zeitaufwändig und mühsam.

Der Vergleich macht deutlich, dass der Teufel im Detail steckt, wie das Sprichwort so gerne sagt. Mit Privileged Remote Access haben Sie eine All-in-One Security PAM-Lösung, die den heutigen Standards entspricht.

Dieser Artikel ist in Zusammenarbeit mit BeyondTrust entstanden.