Neue Lösungen gegen Schatten-IT
Überprüfung von aussen
Unternehmen nutzen in der Regel keine dynamischen, sondern feste IP-Adressen für die Netzwerkanbindung ins Internet. Im Netz finden sich gute und vertrauenswürdige Services, mit denen sich diese IP-Adressen durch einen Sicherheits-Check von aussen untersuchen lassen. Die Dienste decken offene Ports und andere Sicherheitslücken auf.
Shodan.io: Der wohl bekannteste Service löst immer wieder hektische Betriebsamkeit aus: Kaum prüft man die IP-Adresse des Unternehmens, wird eine Liste aller erreichbaren Geräte angezeigt. Das können auch IP-Kameras oder Server sein. Wurde etwa ein Test-Server aufgestellt und dann vergessen, so führt die Auswertung von Shodan direkt auf die Oberfläche des Servers. Der Service listet auch alle IP-Bereiche und Ports auf, die erreichbar sind.
Censys.io: Dieser Testservice ist ähnlich strukturiert wie Shodan. Auch hiermit findet man alle offenen Server und Ports, die nicht offen sein sollten. In der Suchmaske lässt sich gezielt nach Hosts, Webseiten oder Zertifikaten unterscheiden. Das erleichtert die Suche nach bestimmten Geräten und Diensten. Censys zeigt umfangreiche Suchergebnisse an und ist daher auch für versierte Administratoren interessant.
Wigle.net: Geht es um verfügbare WLANs, dann ist Wigle eine interessante Datenbank. Sie zeigt mit Hilfe von Google Maps die an einem Ort verzeichneten Wireless-LAN-Netzwerke an. Dabei werden auf der Karte die SSID des Netzwerks und die MAC-Adresse eingeblendet. Somit lässt sich der Standort von drahtlos verfügbaren Netzwerken feststellen und erkennen, ob sich diese etwa auf dem Firmengelände befinden.
Riddler.io: Das Projekt Riddler wurde von F-Secure gestartet und zielt nicht wie Shodan und Censys darauf ab, nur Geräte mit einer IP-Adresse oder offenen Ports zu finden. Vielmehr lässt sich mit Riddler schnell prüfen, welche Server, Domains oder Sub-Domains unter einer IP-Adresse antworten. Betreibt zum Beispiel ein Mitarbeiter einen nicht erlaubten Server, der geschützt ist und nur per Passwort genutzt werden kann, so wird er in Shodan und Censys nicht direkt als Gefahr angezeigt. Mit Riddler würde man schnell und einfach die nicht erlaubten Server finden, da sie in der Sub-Domain-Liste auftauchen. Die Suche in der Datenbank mit 300 Millionen erfassten IP-Adressen lässt sich mit Keywords fein steuern.