FAQ
Unsere Servicemitarbeiter erreichen Sie von Montag bis Freitag von 08:00 - 17:00 Uhr unter +49 2664 997190. Alternativ können Sie mittles Versand einer E-Mail an support@lan-security.de eine Störung melden.
Kunden mit erweitertem Serviceumfang erhalten eine gesonderte Notfallrufnummer für die Meldung von Störungen außerhalb der Arbeitszeiten. Hinweis: Bitte Kundennummer für eine direkte Weiterleitung an den zuständigen Techniker bereithalten.
Cisco Meraki Dashboard: https://account.meraki.com
Cisco Umbrella: https://umbrella.lan-security.de
Cisco Secure Endpoint Essentials (ehemals AMP for Endpoints) https://amp.cisco.com
CVE steht für Common Vulnerabilities and Exposures. Bei einem CVE-Scan werden mittels spezieller Arbeitsmittel Schwachstellen und Sicherheitslücken in IT-Systemen ermittelt. Die Ergebnisse werden mit der CVE-Datenbank abgeglichen und eingestuft.
Alle managed Firewallsysteme der LAN-Security beinhalten zwei CVE-Scans pro Monat.
Allgemein
Als Phishing bezeichnet man im Allgemeinen eine Form des Social Engineerings. Hacker nutzen bei den aufgeführten Varianten die Schwachstelle Mensch aus. Ziel dieser Attacken ist es, persönliche Daten des Opfers, wie z.B. Zugangsdaten zu erbeuten. Hierzu wird das Opfer meist über eine der unten aufgeführten Varianten auf eine gefälschte Internetseite geleitet und zur Eingabe von Benutzername und Passwort gebeten. Ist der Angreifer erst einmal in Besitz der Zugangsdaten, kann er weitere Aktionen durchführen.
Phishing
Herkömmliche Phishing-Attacken sind wenig zielgerichtet und werden meist an zahlreiche Empfänger gerichtet. Hier wird das Ziel verfolgt, durch Massenstreuung möglichst viele Treffer zu erlangen.
Spear-Phishing
Spear-Phishing erfolgt sehr zielgerichtet gegen eine Organisation oder eine Einzelperson. Hierbei werden die Opfer oft montagelang beobachtet und Informationen über diese gesammelt. Angriffe werden auf Grundlage der gesammelten Informationen individuell gestaltet und ausgeführt.
Whaling
Whaling bezeichnet ein Phishing Art, bei welcher es die Täter auf die großen Fische, also die Mitglieder der Geschäftsleitung oder andere Führungspositionen abgesehen haben. Der Angriff ist auf diese Personengruppe abgestimmt und beschränkt.
Smishing
Smishing erfolgt über den Kurznachrichtendienst (SMS). Meist versenden die Täter Nachrichten mit eingebettetem Link, welcher auf eine Internetseite führt, welche die Angreifer kontrollieren.
Der BPDU-Guard von Cisco Systems deaktiviert einen Switchport, sobald über diesen ein BPDU empfangen wird. Durch diese Funktion wird die Verwendung von illegalen Switches unterbunden, welche durch Inkompatibilität oder falsche Patchungen ganze Netzwerke lahm legen können.
Weiterhin wird die Manipulation mittels Tools wie Ettercap und Yersinia verhindert. Die Aktivierung des BPDU-Guards erfolgt auf den Edge-Ports (Access-Ports) der Switches, welche für Computer, Server und Drucker verwendet werden.
DHCP Snooping verhindert das Weiterleiten gefälschter DHCP-Pakete. Der Switch lernt durch Beobachten der DHCP-Kommunikation die korrekte Zuordnung von MAC-Adresse zu IP-Adresse. Die Zuordnungen werden in eine switchinterne Tabelle eingetragen. Alle DHCP-Pakete werden in Zukunft mit den Einträgen dieser Tabelle verglichen. Bei Abweichungen wird der Switchport (Access Port) des jeweiligen Clients deaktiviert.
Bekannt sind auch Trojaner, welche durch die Installation bösartiger DHCP Server die beschriebenen Sicherheitslücken ausnutzen.
Broadcaststürme breiten sich innerhalb einer Broadcast-Domain auf Layer 2 Ebene aus. Hierbei kann in flachen Netzen der gesamte Datenverkehr zum Erliegen kommen. Broadcaststürme erzeugen hohe CPU-Lasten auf den betroffenen Switchen und dem Gateway (Router, Firewall). Dadurch können die Auswirkungen die Grenzen der Broadcast Domain (VLAN) überschreiten.
Ein typischer Auslöser für einen Broadcaststurm ist der kleine unmanaged Switch im Besprechungsraum. Wird an diesem Gerät versehentlich eine Schleife (Netzwerk-Loop) erzeugt, werden alle Broadcasts, Multicasts und Unicasts an den übergeordneten managed Switch geflutet.
Mit dem Feature Storm-Control bietet Cisco die Möglichkeit, auf Broadcast-, Multicast- und Unicast Stürme zu reagieren. Hierfür werden Schwellwerte für die Erkennung definiert. Wird ein Schwellwert überschritten wird der betroffene Port deaktiviert, die Auswirkung wird somit lokal (innerhalb des Segmentes) begrenzt.
Das CDP Protokoll stellt kein Sicherheitsmerkmal dar, es muss aber für den Betrieb eines sicheren Netzwerkes mit betrachtet werden.
Switche tauschen periodisch Informationen über CDP (Cisco Discovery Protocol) aus. Hierzu versenden diese CDP-Hello Pakete, die Informationen wie den Gerätetyp, die IOS-Version und die IP Adresse enthalten.
Angreifer können diese CDP-Pakete abfangen, die Informationen auswerten und gezielt für weitere Angriffe ausnutzen. Hierzu können Angriffsvarianten wie z.B. das Fluten eines Switches mit CDP Paketen verwendet werden. Somit wird der Netzwerkswitch so stark belastet (CPU-Last), dass er für die Dauer des Angriffes unbrauchbar wird (Dos-Attacke). In sicherheitskritischen Umgebungen, wie z.B. innerhalb der DMZ und auf frei zugänglichen Ports (Besprechungsräume, Flure, Aufenthaltsräume etc.), sollte CDP deaktiviert werden.
Als SecOps bezeichnet man die reibungslose Zusammenarbeit zwischen IT-Security und IT-Operations zur effektiven Minimierung von Sicherheitsrisiken.