Seit einigen Jahren ist uns klar, dass wir Windows Server nicht von extern über RDP erreichbar machen sollten und dass Administratoren ihre Systeme nicht von ihren Daily Workstations aus direkt verwalten mögen. Aus diesem Grund wurde das Privileged-Access-Workstation-Konzept (PAW) mit beispielsweise Terminalservern in einer Management-Zone entwickelt. Aber entspricht dieses jahrzehntealte Konstrukt noch dem heutigen Sicherheitskonzept?


Management-Zone

Um diese Frage beantworten zu können, schauen wir uns den klassischen Aufbau eines solchen Management-Zonen-Konzeptes an:

Management Zone

Im heutigen Homeoffice-Zeitalter verbinden sich die Administratoren per VPN, sodass sie Zugriff zur Management-Zone bekommen. Dort sind die Citrix / Terminalserver installiert. Ab diesen Terminalservern arbeitet man mit privilegierten Accounts und greift auf die zu verwaltenden Zielsysteme zu. So weit, so gut.


BeyondTrust Privileged Remote Access

Schauen wir uns an, wie eine moderne Fernzugriffslösung für privilegierten Zugriff aussieht:

BeyondTrust Privileged Remote Access

Im Gegensatz zum Management-Zonen-Konzept müssen die Administratoren im Homeoffice keine VPN Verbindungen aufbauen. Sie benötigen nur eine HTTPS-Verbindung zur Privileged Remote Access (PRA) Appliance, welche in der DMZ steht. Zudem besteht ein grosser Unterschied darin, dass hier keine eingehende Firewall Rule zu den Serverzonen benötigt wird. Die notwendige Verbindung (HTTPS) wird vom Jumpoint (Protocol Forwarder), der als eine Art Reverse Pro agiert, zur PRA Appliance aufgebaut. Alle Verbindungen werden immer über Port 443 in Richtung PRA Appliance aufgebaut und es sind keine eingehenden Firewall Rules zu den internen Zonen notwendig.

Anstelle einer Management-Zone inklusive wartungsintensiver Citrix / Terminalserver Infrastruktur wird hier eine PRA-Lösung aus dem Privileged-Access-Management- (PAM-)Sektor eingesetzt. PAM hat genau das Ziel, die privilegierten Zugänge und Identitäten zu schützen und zu verwalten. Warum nicht auf eine solche All-in-One-Lösung setzen, die genau dafür gemacht wurde?


Kommen wir zu den Details

Hier wird auf die drei rot gezeichneten Einheiten vom Terminalserver-Konzept eingegangen.

    • Das Department of Homeland Security hat im Juni 2020 eine Warnung herausgegeben, dass Angreifer auf VPN & RDP Verbindungen abzielen, um ihre Ransomware-Attacken durchzuführen. KPMG bestätigt, dass die Nutzung von VPN und RDP das Risiko auf Ransomware-Attacken deutlich erhöht. Um Fakten zu finden, müssen wir gar nicht weit in die Vergangenheit reisen. Letzten November warnte gemäss Heise Online das FBI vor Einbrüchen in VPN Softwares.
    • Gelangen Angreifer in die Management-Zone, haben sie theoretisch schon gewonnen. Vielleicht ist es noch ein Spiel auf Zeit, aber der Sieg ist schon fast in der Tasche. Denn die Management-Zone wird so eingerichtet, dass die Administratoren schnell und einfach ihre Zielsysteme verwalten können. Hier ist ein Sicherheitskonzept à la Zwiebelschichten fehl am Platz.
    • Nicht einmal die Firewall bietet hier Schutz, denn von der Management-Zone zu den Server-Zonen sind die notwendigen Firewall Rules für die Remote Administration offen. Wenn Administratoren die offenen Ports nutzen können, werden das die Angreifer ganz bestimmt auch.

In einem Kompromittierungsfall gibt es einige Unterschiede zwischen einer Privileged-Remote-Access-Lösung und einer herkömmlichen Management-Zone:

BeyondTrust Privileged Remote Access (PRA)

Management-Zone mit Jumphost (RDS- / Citrix-Umgebung) mit VPN-Zugang für Homeoffice-Administration

Beliebtes Angriffsszenario Uns und dem Hersteller sind keine erfolgreichen Angriffsszenarien an PRA-Umgebungen bekannt. Viele aktuelle Artikel weisen darauf hin, dass Remote Working mit VPN und RDP das Risiko drastisch erhöht. Siehe Anhang und folgende Links ZDNet, KPMG, Sophos.
BSI-Empfehlung: RDP-Dienst auf Windows-Systeme deaktivieren (siehe Link) PRA bietet für Windows-Systeme die Remote-Jump-Methode an. Dadurch können Windows-Systeme ohne den RDP-Dienst administriert werden. Die BSI-Empfehlung kann eingehalten werden. Diese Empfehlung des BSI wird sehr selten umgesetzt. Die Windows-Systeme können meist durch RDP und VMWare / Hyper-V Console administriert werden.
Schutz durch Firewall (Abgrenzung zwischen PRA / Management-Zone und den Zielsystemen) Bei der PRA-Lösung sind keine eingehende Firewall Rules notwendig, die von den Angreifern ausgenutzt werden können. Da von der Management-Zone aus alle wichtigen Ports für die Administration offen sind (z.B. RDP, SSH), bietet die Firewall in diesem Szenario keinen ausreichenden Schutz.
Notwendiger Aufwand für Kompromittierung von Zielsystemen, wenn PRA / Management-Zone bereits kompromittiert ist PRA ist mehrschichtig aufgebaut und extrem gehärtet. Beispielsweise ist der Zugriff auf das OS nicht möglich (auch nicht für PRA Admins). Die Credential-Datenbank ist zudem nochmals extra geschützt und verschlüsselt. Zudem ist der Aufwand, Zielsysteme zu kompromittieren um einiges aufwendiger, da von PRA keine eingehenden Firewall Rules zu den Zielsystemen existieren. Da zwangsweise die Ports für die Administration offen sein müssen, ist der Aufwand, um Zielsysteme zu kompromittieren, um einiges geringer. Pass-the-Hash oder Pass-the-Ticket sind beliebte Angriffsszenarien.
Pass-the-Hash Attacken (Schutz der Credentials) PRA speichert die Credentials in einer eigens verschlüsselten Datenbank. Zusätzlich können Domain Accounts täglich und nach Gebrauch automatisch rotiert (gewechselt) werden. Somit sind Pass-the-Hash-Attacken nach Beendigung der administrativen Session nicht mehr möglich. Hier greift nur der Standardschutz von Windows / Linux. Erweiterter Schutz muss selbst implementiert werden. Da administrative Credentials selten rotiert werden, sind Pass-the-Hash Attacken sehr beliebt.
Zwei-Faktor-Authentifizierung (2FA) PRA bietet 2FA für interne Mitarbeiter wie auch für externe Lieferanten / Partner an. 2FA wird zentral auf PRA eingerichtet. Dadurch muss 2FA nicht auf jedem Zielsystem (Server, Netzwerkgerät) einzeln eingerichtet werden. 2FA für VPN schützt nur das VPN und nicht die Management-Zone. Ist die Management-Zone einmal kompromittiert, sind oft für die Systemzugriffe keine weiteren 2FA Schutzmassnahmen implementiert. Bei der PRA-Lösung hingegen, kann eingestellt werden, dass die Systemzugriffe nur durch die PRA Jumpoints erfolgen können. Diese wiederum sind nur durch die 2FA der PRA erreichbar.
Integritätsüberprüfung PRA bietet SIEM- / Syslog-Anbindung wie auch SNMP-Überwachung an. Alle Logs und Sessionrecordings können durch einen externen Agenten (einen Agenten, der in einer anderen Zone ist) gespeichert werden. Somit kann den Angreifern der Zugriff und die Manipulation auf die Logs und Sessionrecordings verwehrt werden. SIEM- / Syslog-Anbindung und WMI-Überwachung kann umgesetzt werden. Wenn Logs- & Sessionrecordings aufgezeichnet werden, sind diese meist innerhalb der Management-Zone gespeichert.
Nach einer Kompromittierung – Integrität wiederherstellen (ohne Backup Recovery) Da regelmässig Konfigurationsbackups von PRA erstellt werden, ist die Green-Field-Wiederherstellung in kürzester Zeit möglich. Falls Sie im Desaster-Recovery-Notfall die Green-Field-Wiederherstellung in Ihrer Virtualisierungsumgebung nicht durchführen können, stellt der Hersteller Ihnen eine SaaS-PRA-Instanz temporär zur Verfügung. Die Green-Field-Wiederherstellung ist ohne Backup Recovery meist sehr zeitaufwendig und mühsam.

Der Vergleich macht deutlich, dass der Teufel im Detail steckt, wie das Sprichwort so gerne sagt. Mit Privileged Remote Access haben Sie eine All-in-One Security-PAM-Lösung, die den heutigen Standards entspricht.

Dieser Artikel ist in Zusammenarbeit mit BeyondTrust entstanden.