Universitätsrechenzentrum

Quarantäne-Netz: Behandlung von virenbefallenen PCs

Von Viren befallene Windows-Rechner können auch im Campusnetz Schaden anrichten. Das URZ hat ein Verfahren installiert, um diese Rechner unter Quarantäne zu stellen und somit den Schaden einzugrenzen.

Seit Monaten jagt eine Virenwarnung die nächste Wurmwelle. Im Mittelpunkt stehen dabei die relativ jungen Betriebssysteme aus dem Hause Microsoft wie Windows 2000 und Windows XP. Oft nutzen verschiedene Schadprogramme immer wieder die gleichen Sicherheitslücken auf den Systemen aus und verbreiten sich ohne Zutun und unbemerkt vom Nutzer mit bemerkenswerter Geschwindigkeit. W32.Blaster, Phatbot oder Sasser sind nur einige Namen von Internet-Würmern, die jeder mittlerweile schon aus der Tagespresse kennt. Erschreckend, trotz dieser Kenntnis werden auf vielen Systemen die elementaren Schutzmaßnahmen vernachlässigt. Unwissenheit, Zeitmangel, Gleichgültigkeit, die Komplexität der Materie sind sicher einige Gründe dafür.

Probleme im Campusnetz

Auch das Campusnetz der TU Chemnitz ist von diesem Problem nicht verschont. Da im universitären Umfeld recht freizügig mit dem Zugang zum Netzwerk umgegangen werden muss, finden immer wieder Schadprogramme den Weg ins Campusnetz. Die in den vergangenen Monaten auftgetretenen Wurminfektionen lassen sich in erster Linie auf mobile Rechner zurückführen. Meistens unzureichend administriert, werden durch diese Laptops regelmäßig Schadprogramme "eingeschleppt" und dabei die zentralen Schutzmaßnahmen im Campusnetz umgangen. Zahlreich existierende verletzbare Systeme ermöglichen dann immer wieder eine rasante Verbreitung von Würmern und Viren im gesamten Campusnetz.

Eine wichtige Aufgabe ist deshalb, die Ausbreitung der Schadprogramme zu verhindern. Wie in den "Mitteilungen des URZ" 2/2004 bereits berichtet, dient zur Erkennung von Angriffen im Netzwerk ein Network Intrusion Detection System (NIDS). Auch die Verteilung einer Reihe von Viren und Würmern kann anhand von anomalem Netzwerkverkehr erkannt und das aussendende System identifiziert werden. Das rigorose Abschalten der entsprechenden Dosenports half, die Verbreitung einzudämmen bzw. zu stoppen. In den vergangenen 4 Monaten mussten so ca. 400 Systeme zeitweise vom Netz genommen werden. Das brachte jedoch auch einige Probleme mit sich. Betroffene Nutzer erhielten wegen nicht aktueller Zuordnung der Systemverantwortlichkeit zum Rechner keine Information über die Abschaltung. Die Behandlung des netzlosen Rechners (Installation Security Patches, Aktualisierung Antivirensoftware, Entfernen des Schadprogrammes) gestaltete sich für Nutzer und URZ sehr aufwändig. So entstand die Idee, betroffene Rechner "unter Quarantäne zu stellen".

Quarantäne-Netz

Grundgedanke hierbei ist es, Dosenports von auffälligen Rechnern in ein spezielles VLAN (Virtual Local Area Network), das Quarantäne-VLAN umzuschalten. Einzige Verbindung zum Campusnetz ist ein Quarantäne-Server, der Hilfe zur Selbsthilfe für Nutzer betroffener Systeme zur Verfügung stellt.

Der Quarantäne-Server schränkt den Netzzugang für die betroffenen Rechner stark ein, verhindert dadurch die weitere Wurm-/Virenverbreitung, und stellt lediglich folgende ausgewählte Funktionen per WWW bereit:

Information des Nutzers über die Isolierung des betroffenen Endgerätes per "automatischer" Web-Seite
Zugriff auf lokale Web-Seiten der TU Chemnitz, insbesondere auf aktuelle Security- und Vireninformationen
Zugriff auf die WebMail-Schnittstelle IMP des URZ, um die Mail-Kommunikation für die Problembehandlung zu ermöglichen
Zugriff auf die Web-Seiten von Microsoft, insbesondere um die Installation von Sicherheits-Patches per Windows Update zu ermöglichen

Alle anderen Verbindungen zum Campusnetz und Internet werden aus Sicherheitsgründen unterbunden. Derzeit speziell noch auf Windows-Systeme ausgerichtet, lassen sich diese Funktionen zukünftig nach Bedarf erweitern.

Der Nutzer hat damit Zugriff auf aktuelle Antiviren-Software und -Tools um das System zu untersuchen und zu bereinigen. Mit der Installation der entsprechenden Security-Patches müssen die vorhandenen Sicherheitslücken auf dem System geschlossen werden. Die grundsätzlichen Sicherheitsempfehlungen sollten bei dieser Gelegenheit überprüft und umgesetzt werden (siehe dazu auch den Artikel Sicherheitsempfehlungen für Windows-PCs in dieser Ausgabe).

Die Isolierung der quarantierten Systeme untereinander erfolgt auf Layer-3-Ebene durch Kapselung in "Mini"-IP-Subnetze. Diese Subnetze bestehen lediglich aus zwei Rechnern, dem jeweils betroffenen System und dem Quarantäne-Server. Voraussetzung für diesen zusätzlichen Schutzmechanismus ist die durch das URZ empfohlene automatische IP-Konfiguration (DHCP) auf dem Endgerät.

Die Entlassung der Endgeräte aus der Quarantäne und Reintegration in das Campusnetz erfolgt zur Zeit auf Versicherung des Nutzers, dass das System bereinigt und gepatcht wurde. Da es hier teilweise zu Rückschlägen kommt, ist eine zentrale Sicherheits-Überprüfung des Endgerätes über das Netzwerk vor der Umschaltung wünschenswert. Hier laufen zur Zeit erste Untersuchungen bzgl. Realisierbarkeit.

Fazit

Viren- und Wurmepedemien im Internet sind Tatsache und werden weiterhin für Schlagzeilen sorgen. Das Campusnetz zentral vor derartigen Gefahren zu schützen, gelingt nur teilweise. Eine flächendeckende Umsetzung der entsprechenden Sicherheitsempfehlungen auf den Endsystemen ist im Universitäts-Umfeld schwer durchsetzbar.

Mit dem Quarantäne-Netz ist ein Krankenzimmer und eine isolierte Behandlungsmöglichkeit vorbereitet. Wie im richtigen Leben bleibt zu hoffen, dass hiervon nur selten Gebrauch gemacht werden muss. Was nicht zuletzt vom sicherheitsbewussten Handeln jedes einzelnen Systemverantwortlichen abhängt. Und das unabhängig vom jeweiligen Betriebssystem.

Thomas Schier, Juli 2004