Cisco-Netzwerksicherheit

Am 4. September 2001 kündigte Cisco eine Reihe von Produkten für mehr Sicherheit an, unter anderem eine SOHO-Firewall und den Cisco IDS (Intrusion Detection System) Host Sensor. Das Unternehmen bemerkte, dass die Produkte „unsere technische und Marktführerschaft durch die Bereitstellung praktikabler Innovationen für Sicherheit und VPNs ausbaut, die am echten Bedarf heutiger Firmen ausgerichtet sind“. Beim IDS Host Sensor handelt es sich um ein neues host-basiertes Gerät zur Erkennung von Angriffen von Außen. Das Produkt war eine Erweiterung der Sicherheitsplattform SAFE für VPNs basierend auf der Cisco AVVID (Architecture for Voice, Video, and Integrated Data, etwa Architektur für Stimme, Video und integrierte Daten) und kommt auf dem Papier eindrucksvoll daher.

Allerdings gab Cisco am nächsten Tage eine weitere Pressemitteilung heraus, die besagte, dass dieses IDS von Hackern überlistet werden könne, die zur Codierung die %u Methode verwenden. Dabei handelt es sich um eine ungewöhnliche Form der URL-Codierung, die von Microsoft im IIS Web-Server eingesetzt wird. Sie ähnelt Unicode, wird aber – da es sich nicht um einen Standard handelt – nicht von allen IDS automatisch decodiert. Daher können Pakete, die mit dieser Methode codiert wurden, einfach am IDS vorbei marschieren. Dies ist der Fall bei Ciscos IDS.

Bevor ich die Einzelheiten des Problems aufzeige, möchte ich darauf hinweisen, dass ich das Thema in erster Linie aufs Tapet bringe weil es zeigt, wie wichtig der Aufbau mehrstufiger Sicherheitssysteme ist. Das Problem selber betrifft nur jene Menschen, die sich auf ein IDS als einzige Sicherheitsmaßnahme verlassen. Für alle Administratoren macht es jedoch deutlich, dass eine einzelne Verteidigungslinie sehr schnell überrannt werden kann.