Ciscos Netzwerkzugangskontrolle NAC ausgetrickst

Sicherheitsexperten haben auf der Black-Hat-Konferenz in Amsterdam gezeigt, wie sich Ciscos Netzwerkzugangskontrolle NAC austricksen lässt. Mit einem modifizierten Trust Agent war es Michael Thumann und Dror-John Röcher von ERNW in einer Live-Demonstration möglich, sich mit einem nicht den Netzwerk-Policies genügenden Rechner vollen Zugang zu einem NAC-gesicherten Netzwerk zu verschaffen.

Cisco hat das Problem laut Thumann und Röcher bereits bestätigt und will in Kürze einen eigenen Fehlerbericht dazu herausgeben. Mit Systemen wie Cisco NAC können Netzwerkadministratoren Zugangsrichtlinien definieren, etwa dass aktuelle Antivirus-Software und Betriebssystempatches installiert sein müssen, um mit einem Rechner auf das Intranet zugreifen zu dürfen. Die Richtlinienkonformität überprüft bei NAC ein so genannter Trust- oder Security-Agent, der auf den Clients installiert wird und seine Ergebnisse dem NAC-Router meldet.

Der gezeigte Angriff nutzt eine prinzipielle Schwäche in gängigen Zugangskontrollsystemen für Netzwerke: Wenn die clientseitige Kontrollsoftware auf einem System unter der Kontrolle des Angreifers läuft, kann er letztlich auch ihr Verhalten bestimmen und die Erfüllung von Richtlinien nach Belieben vorgaukeln.

Nach Einschätzung der beiden Sicherheitsexperten habe auch das vergleichbare Microsoft-System NAP mit diesem Problem zu kämpfen, nur stelle seine tiefe Integration ins Windows-eigene Active Directory Angreifer vor größere praktische Hürden, als es beim Cisco-System der Fall sei. Zwar ließe sich die Ausnutzung des Problems durch den Einsatz digitaler Signaturen erschweren, doch eine wesentliche Verbesserung der Sicherheit sei erst mit dem Einsatz von Trusted-Computing-Hardware zu erzielen.

Siehe dazu auch:

• Black Hat: Cisco im Kreuzfeuer, Meldung auf heise Security
• Bypassing Network Access Control Systems, Whitepaper von Ofir Arkin

(cr)