Hash Guard # Windows Client Domain Controller Smartcard Server A Server B Fraunhofer-Institut für Sichere Informationstechnologie SIT Kontakt: Dr. Frank Weber Rheinstraße 75 64295 Darmstadt HASH GUARD BESSERER SCHUTZ VOR ADVANCED PERSISTENT THREATS Telefon 06151 869-176 Fax 06151 869-224 [email protected] www.sit.fraunhofer.de Pass-the-hash ist eine der gefährlichsten Sicherheitslü- überwacht dort Authentifizierungs-Nachrichten im Netzwerkver- cken in Unter nehmensnetzen. Angreifer nutzen diese kehr. Hash Guard überprüft, ob ein Hash vom rechtmäßigen Ei- Technik, um die Server-Authentifizierung zu umgehen gentümer und nur für den vorgesehenen Zweck verwendet wird – und in den Besitz von geheimen Informationen zu kom- wenn nicht, wird die Verbindung sofort automatisch gekappt. Die men. Fraunhofer SIT und Arkoon Netasq, eine Tochterge- Lösung unterstützt Authentifizierung über Smartcards, wobei Nut- sellschaft der Airbus Defence and Space, haben mit Hash zer lediglich beim Einloggen ihre PIN eingeben müssen. Von da an Guard eine Lösung entwickelt, die Unter nehmen vor den prüft Hash Guard regelmäßig alle eingehenden Verbindungsanfra- Folgen weit verbreiteter Pass-the-Hash-Angriffe schützt. gen zu den Servern. Für jede Authentifizierungsanfrage an einen Hash Guard steht vor der Marktreife und kann in beste- Server gewährleistet Hash Guard die Legitimität der Verbindung, hende Netzwerksicherheitslösungen integriert werden. indem er prüft, ob die Smartcard des Nutzers an dem Computer eingesteckt ist, der die Anfrage sendet. Hash Guard schützt Proto- Herausforderung kolle, die bei LAN Manager- (LM) oder NT LAN Manager-(NTLM) Jedes Mal, wenn sich ein Benutzer an einem Windows-Netzwerk sowie Kerberos-Authentifizierungen zum Einsatz kommen, ein- anmeldet, wird sein Passwort genutzt, um daraus eine Reihe von schließlich des Server Message Blocks, (SMB), Internet Message Sicherheitstokens, also Hashes, zu erzeugen. Die Hashes werden Acces Protocol (IMAP), Simple Mail Transfer Protocol (SMTP) und verwendet, um den Computer des Nutzers mit verschiedenen Ser- mehr. Eine Anpassung dieser Protokolle ist nicht erforderlich. vern und Anwendungen innerhalb des Firmennetzwerks zu verbinden. Dieser Windows-single sign on-Authentifizierung fehlt ein Partner Mechanismus, der sicherstellt, dass ein Hash nur von seinem recht- Arkoon und Netasq sind hundertprozentige Tochtergesellschaften mäßigen Besitzer genutzt wird. Folglich können Angreifer Hashes von Airbus Defence and Space. Sie führen die Marke Stormshield stehlen und sie nutzen, um Zugang zu sensiblen Bereichen der Un- und verkaufen weltweit innovative Ende-zu-Ende-Sicherheitslösun- ternehmens-IT-Infrastruktur zu bekommen, um etwa Kontrolle gen. Arkoon Netasq implementiert Hash Guard in Stormshield-Pro- über das Netzwerk zu erlangen (lateral movement). Auch das Ab- dukte. schirmen von Hashes gegen unberechtigten Zugriff bietet keinen Schutz, da durch das Vortäuschen einer legitimen Verwendung Nutzwert selbst ein derart geschützter Hash missbraucht werden kann. Wirksamer Schutz für Windows-Domänen Einfache Integration Lösung Hohe Benutzerfreundlichkeit/single sign on Hash Guard liefert diesen fehlenden Schutzmechanismus: Ähnlich Standardkonforme Smartcard-Protokolle (ISO/IEC 7816) wie eine Firewall ist es vor dem Unternehmens-Server gelagert und Hash Guard # Windows Client Domain Controller Smartcard Server A Server B Fraunhofer Institute For Secure Information Technology SIT Contact: Dr. Frank Weber Rheinstrasse 75 64295 Darmstadt Germany HASH GUARD NEXT LEVEL PROTECTION AGAINST ADVANCED PERSISTENT THREATS Phone +49 6151 869-176 Fax +49 6151 869-224 [email protected] www.sit.fraunhofer.de Pas s the ha sh is on e o f th e m o s t d a n g e ro u s network authentication, where the user only has to enter the PIN when log- s ecu ri t y v ulne r a bilit i e s . Ha ck e rs u s e th i s te c h ni que to ging in to the computer. From there on Hash Guard regularly ci rcum v e nt se r v e r a u th e n ti c a ti o n a n d g a i n a c c es s to checks incoming connections to the servers. For each authentica- s ecret tion request to a server Hash Guard will assure the legitimacy of inf or m a t ion and s e n s i ti ve a p p l i ca ti o ns . The Frau nhof e r Inst it ut e fo r S e c u re I n fo rm a ti o n Te c hnol ogy the connection by verifying the presence of the user’s smartcard at SI T and A r k oon N e t a s q , a s u b s i d i a ry o f A i rb u s D efenc e the requesting computer. and Spa c e , ha v e join tl y d e v e l o p e d H a s h G u a rd , a s ol uti o n for prot e c t ing e n te rp ri s e s a g a i n s t wi d e s pread Hash Guard protects protocols that employ the LAN Manager (LM) p as s-the - ha sh a t t a c k s . Ha s h G u a rd i s re a d y for the or NT LAN Manager (NTLM) as well as Kerberos authentication in- market a nd c a n be i n te g ra te d i n to e xi s ti n g n etwork cluding Server Message Block (SMB), Internet Message Access Pro- s ecu ri t y solut ions. tocol (IMAP), Simple Mail Transfer Protocol (SMTP) and more. Modifying these protocols is not necessary. Challenge Every time a user logs in to a Windows domain network, the do- Partner main controller uses the password to generate a number of security Arkoon and Netasq, fully owned subsidiaries of Airbus Defence tokens a.k.a. hashes. These are used to connect the user’s comput- and Space, run the Stormshield brand and offer innovative end-to- er with the different servers and applications inside the company end security solutions worldwide to protect networks (Stormshield network. Due to its design, Windows single sign-on authentication Network Security), workstations (Stormshield Endpoint Security) is lacking a mechanism to ensure that a hash is only used by the and data (Stormshield Data Security). Arkoon Netasq implements rightful owner. Consequently, attackers can steal hashes and use Hash Guard in Stormshield products. them to access sensitive parts of the enterprise’s IT infrastructure, steal valuable information or take control over the network. Benefits Effective protection against one of the most dangerous and Solution common sort of targeted attacks on windows domain networks Hash Guard provides the missing safeguarding mechanism: similar Easy to integrate into enterprise networks to a firewall it is situated in front of the enterprise’s servers and � Ease of use/single sign-on monitors the network traffic for authentication messages, verifies Standard conform smartcard protocols (ISO/IEC 7816) whether a hash is used by its rightful owner and if not it automatically terminates the connection. The solution supports smartcard
© Copyright 2024 ExpyDoc
