Tor-Netzwerk im Unternehmen: Darknet-Nutzung & Malware-Gefahr
Die Nutzung des Tor-Netzwerks innerhalb des Unternehmens-Netzwerks stellt ein außerordentliches Risiko dar. Den Zugang einfach zu blocken, ist trotzdem nicht der richtige Weg. [...]
„Tor“ war ursprünglich ein Akronym und steht für The Onion Router. Das Tor-Netzwerk benutzt mehrfache Verschlüsselungs-Layer, um Daten wie auch deren Ursprung und Zielort zu verbergen. Dies trägt dazu bei, die Daten/Verbindung zu anonymisieren. Seitdem das Tor-Netzwerk vor rund fünf Jahren auch Bekanntheit im Netz-Mainstream erlangt hat, fragen sich die Admins der Enterprise-IT-Abteilungen, ob durch die Nutzung des Anonymisierungs-Netzwerks ein Risiko entsteht, das es rechtfertigt, tätig zu werden. Und wenn ja, wie man das am besten anstellt.
Schwer zu erkennen Studien zu diesem Thema sind quasi nicht existent – es gibt lediglich einige Einzelberichte von Universitäten, in denen Tor eine gewisse Popularität erlangt hat. Zwar gibt es viele legitime Gründe dafür, Tor zu nutzen, auf der anderen Seite ermöglicht das Programm aber auch die Verbindung zu kriminellen Kanälen im Darknet, dient als Distributions-Kanal für Malware und ermöglicht außerdem die Umgehung von Netzwerk-Sicherheitsmaßnahmen. Die Krux für Unternehmen: Es ist unmöglich, diese Aktivitäten voneinander zu unterscheiden.
Tor ist zudem nicht das einzige, auf maximale Security ausgelegte Anonymisierungs-Netzwerk. The Invisible Internet Project (I2P) ist ein weiteres Beispiel. Dazu kommt, dass der Einsatz von VPN-Verbindungen und Proxys ähnliche Risiken schafft. Allerdings sind diese weitaus leichter zu erkennen und abzuwehren.
Das Tor-Netzwerk ist über verschiedene Wege nutzbar: Etwa als Browser-Bundle oder indem ein Server-Knoten oder eine Netzwerk-Brücke zu einem Teil des Netzwerks gemacht werden. Obwohl – oder gerade weil – User im Netzwerk die beiden letztgenannten Möglichkeiten selbst einrichten können, ist es wichtig zu begreifen, dass keine der beiden Optionen aus verschiedenen Gründen besonders vorteilhaft für ein Unternehmen ist. Erwähnenswert ist außerdem, dass etliche Websites keine anonymisierte Nutzung zulassen.
Risiken für Unternehmen Die größten Risiken für Unternehmen, die durch die Nutzung des Tor-Netzwerks entstehen sind:
Das Darknet: Einer Schätzung der Kaspersky Labs aus dem Jahr 2014 zufolge werden im Darknet rund 1.000 kriminelle Services angeboten. Diese Zahl dürfte sich mittlerweile vervielfacht haben und wird weiter ansteigen. Das Darknet würde zwar auch ohne Tor existieren, aber das Netzwerk ermöglicht einen relativ einfachen Zugang in die Niederungen des Webs – ohne dabei die IP-Adresse des Nutzers zu verraten.
Malware, Botnets, DDoS: Kriminelle Hacker nutzen das Tor-Netzwerk seit einiger Zeit als Kommunikationskanal für Command&Control-Server. Sollte eine Tor-Aktivität auffallen, könnte das also auch ein Hinweis auf eine mögliche Infektion oder einen Hacker-Angriff sein. Für die meisten Unternehmen dürfte das die größte aller Sorgen darstellen. Auch wenn C&C über Tor deutlich langsamer von statten gehen, ist das Anonymisierungs-Netzwerk ein verlockender Platz, um Malware-Kommunikation zu verschleiern. Die Bandbreite einiger Exit-Knoten hat dazu geführt, dass das Tor-Netzwerk auch für DDoS-Attacken missbraucht wird.
Wenn ein Unternehmen die Nutzung des Tor-Netzwerks kontrollieren beziehungsweise ausschließen will, muss es sowohl den Download- als auch den Upload-Traffic im Auge behalten. Wer selbst einen Exit Node betreibt, produziert sowohl ein- als auch ausgehenden Traffic, wer nur einen nutzt, lädt zumindest etwas hoch. Die meisten Admins werden sich wohl auf das – vermeintlich wahrscheinlichere – letztgenannte Problem konzentrieren. Allerdings sollte man sich in Erinnerung rufen, dass es nicht übermäßig schwierig ist, einen Tor-Knoten zu erstellen. Ein großes Problem kann für Unternehmen dann entstehen, wenn die Firmen-IP auf einer Sperrliste landet.
So blockieren Unternehmen die Tor-Nutzung Um die Tor-Nutzung zu blocken, stehen Unternehmen drei Möglichkeiten beziehungsweise technische Ebenen zur Verfügung:
1. Blocken über Ports: Tor setzt auf teilweise gewöhnliche Ports – etwa 443. Das ist allerdings eher ein schwacher Trost, denn dieser Port wird auch von https-Verbindungen genutzt und kann deswegen nicht vollständig geblockt werden, da ansonsten der gesamte Netzwerkverkehr zusammenbrechen würde.
2. Blocken über den Endpunkt: Eigentlich sollte es ja möglich sein, Nutzer von der Installation der Tor-Software durch Whitelistings oder Privilege Management abzuhalten. Allerdings lässt sich Tor auch über einen USB-Stick starten, wodurch solche Maßnahmen ausgehebelt werden.
3. Blocken über IP und DPI: Auf der Netzwerk-Seite besteht die erste Aufgabe darin, die Tor-Nutzung zu identifizieren und das Ausmaß des Problems einzuschätzen. Das gestaltet sich allerdings alles andere als einfach, weil Tor zur Verschlüsselung auf den SSL-Nachfolger TLS setzt. Ein solcher Traffic ist also nur schwer auszumachen und quasi unmöglich zu entschlüsseln. Wenn ein Tor-Knoten im Netzwerk aufgesetzt wird, könnte der im Prinzip auch als Brücke zum ersten Eintritts-Knoten fungieren. Wenn dieser Traffic schließlich die Firewall erreicht, ist er noch schwieriger zu erkennen.
Eine gängige Methode, um Tor-Nutzung in Unternehmen aufzudecken, ist auch das Abgleichen von SIEM-Logs mit einer öffentlich zugänglichen Liste von IP-Adressen, die als Tor-Eintrittsknoten verwendet werden. Das ist der Startpunkt für die meisten Admins, zieht jedoch unglücklicherweise jede Menge Arbeit nach sich, da sich besagte Liste konstant verändert. Es ist außerdem extrem unwahrscheinlich, auf diese Weise versteckte Knoten zu finden. Einige Server, die als Tor-Eintrittsknoten fungieren, werden zudem auch für legitime Zwecke verwendet, was die Wahrscheinlichkeit erhöht, dass ungefährlicher Traffic blockiert und das fälschlicherweise als Erfolg gewertet wird.
Eine andere manuelle Technik stellt die Anwendung eines Deep Packet Inspection (DPI) Interfaces auf die Firewall dar, um festzustellen, ob bestimmte Knoten ungewöhnliche Zertifikate nutzen. Das setzt allerdings das Wissen voraus, über welche Ports auf Tor zugegriffen wird. Das Anonymisierungs-Netzwerk nutzt zum Beispiel die Ports 443, 80, 9001 oder 9030, kann aber auch jeden anderen Port nutzen, den es findet.
Die Nutzung von Tor in Unternehmen festzustellen, ist alles andere als ein leichtes Unterfangen, auch wenn Funktionen wie IP-Adress-Filtering das Risiko reduzieren sollten. Deshalb werden viele Unternehmen auch in Zukunft auf generalisierte Detection Policies in Kombination mit harten Strafen für die Nutzung nicht autorisierter Anwendungen zurückgreifen. Technologie ist eben nicht alles.
* Florian Maier ist Redakteur der Computerwoche. Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation computerworlduk.com.
Der österreichische Online-Handel verzeichnet einen bemerkenswerten Aufschwung: Die digitalen Ausgaben stiegen 2023 auf über 14 Milliarden Euro. Flexible Zahlungsmethoden und innovative Technologien wie „Tap to Pay“ prägen die Einkaufswelt. […]
Über 150 Teilnehmer und Teilnehmernnen aus Wirtschaft, IT und Bildung kamen zum CorporateMeetsStudents Event am Campus 42 Vienna zusammen. Im Mittelpunkt der Diskussionen stand die zentrale Rolle von Software-Kompetenz nicht nur für das Wirtschaftswachstum, sondern auch für die gesamtgesellschaftliche Entwicklung Österreichs. […]
Nutzen Sie die die ruhigen Tage rund um den Jahreswechsel, um Ihre Daten zu ordnen, Platz für Neues zu schaffen und Ihren Arbeitsplatz klarer und nachhaltiger zu gestalten. Iphos IT hat folgende Tipps zusammengestellt, wie das digitale Ausfegen mit den richtigen Tools, Techniken und speziellen Enterprise-Search-Lösungen auf Knopfdruck gelingt. […]
Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]
Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]
Kopfhörer, Lautsprecher und Soundbars sind die drei wichtigsten Audioklassen – alle mit ganz individuellen Besonderheiten. Dieser Audio-Guide zeigt, welches Gerät sich für wen lohnt und was es beim Kauf zu beachten gilt. […]
Cloud Computing bietet unschlagbare Vorteile wie Skalierbarkeit und Flexibilität, bringt jedoch auch Herausforderungen mit sich. Vor allem die Kosteneffizienz in der Cloud wird für Unternehmen immer wichtiger, da die Ausgaben für Cloud-Dienste stetig steigen. […]
Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Be the first to comment