Bundesamt für Sicherheit in der Informationstechnik

G 5.147 Unautorisiertes Mitlesen oder Stören des Virtualisierungsnetzes

Für den Betrieb einer virtuellen Infrastruktur sind vielfältige Netzverbindungen notwendig. Diese Verbindungen werden genutzt, um auf Speichernetze zugreifen zu können. Weiterhin werden Verbindungen zwischen den einzelnen Virtualisierungsservern benötigt, um die Steuerung und Überwachung der Virtualisierungsserver und der virtuellen IT -Systeme zu ermöglichen. Für Hochverfügbarkeitsfunktionen oder die so genannte Live Migration (Verschieben von virtuellen IT-Systemen zwischen Virtualisierungsservern im laufenden Betrieb) werden ebenfalls Netzverbindungen benötigt. Diese Netzverbindungen werden im Folgenden als "Virtualisierungsnetz" bezeichnet.

Innerhalb einer virtuellen Infrastruktur können zwischen Virtualisierungsservern einzelne virtuelle IT-Systeme übertragen werden (Live Migration). Dies geschieht z. B. zur Lastverteilung, zu Wartungszwecken oder zur Ausfallkompensation. Dabei müssen der Prozessorzustand und der Hauptspeicherinhalt sowie die Konfigurationsdaten des virtuellen IT-Systems von dem einen Virtualisierungsserver auf den anderen übertragen werden. Diese Übertragung erfolgt durch das so genannte Virtualisierungsnetz. Die von den Herstellern der Virtualisierungslösungen verwendeten Übertragungsprotokolle sehen häufig keine Verschlüsselungsmechanismen für diesen Datenstrom vor. Hierdurch ist es möglich, dass Personen, die unautorisiert Zugang zum Virtualisierungsnetz erlangen, vertrauliche Inhalte der transferierten Gastsysteme wie z. B. den Hauptspeicherinhalt mitlesen. Beispielsweise können im Hauptspeicher enthaltene vertrauliche Daten, die sonst nur verschlüsselt durch das Netz übertragen werden, mit gelesen und eventuell sogar verändert werden. Nutzen die Virtualisierungsservern ein zentrales Speichernetz, betrifft die mögliche Kompromittierung auch die Inhalte des angeschlossenen Speichernetzes (siehe hierzu auch G 5.129 Manipulation von Daten über das Speichersystem sowie G 5.7 Abhören von Leitungen und G 5.8 Manipulation von Leitungen ).

Ein manipulierter Virtualisierungsserver kann das Virtualisierungsnetz darüber hinaus stören, in dem der Angreifer auf die im Netz übertragenen Informationen zugreift und Netzpakete unterdrückt oder verändert. Es kann beispielsweise sein, dass Veränderungen an Hauptspeicherinhalten eines virtuellen IT-Systems bei deren Übertragung während einer Live Migration durch den Virtualisierungsserver nicht geprüft werden. So könnten dann Hauptspeicherinhalte eines Gastsystems durch einen Angreifer verändert werden.

Wird die Kommunikation im Virtualisierungsnetz gestört, können Migrationen im laufenden Betrieb fehlschlagen. Hierdurch kann es zu Ressourcenengpässen in der virtuellen Infrastruktur kommen, wenn diese Migrationen ausgelöst wurden, um diese Engpässe zu verhindern.

Beispiel:

Ein mittelständisches Unternehmen setzt einen Datenbankserver zur Verarbeitung der Personaldaten seiner Mitarbeiter ein. Um diese Personaldaten zu schützen, werden die Datenbankinhalte nur verschlüsselt auf die Festplatten des Datenbankservers geschrieben. Die Client-Anwendung, mit der die Benutzer der Personalabteilung arbeiten, kommuniziert ebenfalls verschlüsselt mit dem Datenbankserver. Das Datenbanksystem selbst hält allerdings während der Verarbeitung die Daten teilweise unverschlüsselt in seinem Hauptspeicher.

Dieses Datenbanksystem ist im Zuge des Virtualisierungsprojektes im Unternehmen virtualisiert worden. Der Administrator der Virtualisierungsserver möchte nun an Gehaltsdaten der Personaldatenbank gelangen, um bei Gehaltsverhandlungen seine Position zu verbessern, da er das Gefühl hat, im Vergleich zu seinen Kollegen unterbezahlt zu sein. Er hat das Datenbanksystem aufgebaut und weiß daher, wie dieses System arbeitet. Er besitzt jedoch keine Möglichkeit, über Funktionen des Servers oder der Datenbanksoftware unbemerkt an die Daten des Systems heranzukommen. Daher installiert er im Virtualisierungsnetz ein Netzüberwachungswerkzeug, mit dem er den Netzverkehr in diesem Netz mitlesen kann.

Er weist nun die Virtualisierungsserver an, den Datenbankserver im laufenden Betrieb (Live Migration) zwischen zwei Servern zu verschieben. Er liest die Übertragung des Hauptspeichers im Netz mit und zeichnet sie auf. Nach mehreren mitgeschnittenen Migrationen kann er eine vollständige Kopie der Gehaltstabelle aus den aufgezeichneten Inhalten des Hauptspeichers des Datenbankservers rekonstruieren.

Dieser Angriff auf die Vertraulichkeit der Daten der Personalverwaltung bleibt unbemerkt, da die Live Migration völlig transparent für das Datenbanksystem und die Client-Anwendung verläuft.

Stand: 12. EL Stand 2011