Das sichere Netz

Transcription

Das sichere Netz

Besuchen Sie uns
auf der CT-Netze: Halle 9, Stand C1/B2
vom 16.-18. Mai 2000
III/2000
auf der Internet World: Halle 12, Stand E19
vom 23.-25. Mai 2000
DM 9,80 ÖS 75,-
Sfr. 9,80
Mai, Juni, Juli 2000
Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Das sichere Netz
mit Marktübersicht Firewalls
E-Mail und Web
im Unternehmen
Was der Admin
überwachen darf
Hacker-Attacken
aus dem Internet
DDoS war erst
der Anfang
Fünf Firewalls
im Test
Je einfacher
desto sicherer
03
4 39 42 02 80 98 03
B 30673
ISSN 0942-4172
EDITORIAL
146. AUSGABE
Georg von der Howen
Redakteur
DAS
GESCHÄFT
MIT DER
ANGST
Während vor einigen Jahren Anbieter von Firewalls noch ohne
mit der Schulter zu zucken fünf- bis sechsstellige Beträge für
die ersten Versionen ihrer Produkte verlangen konnten, hat
sich die Situation gewandelt. Immer mehr Hersteller mit noch
mehr Produkten müssen heute um die Gunst der Kunden
buhlen und sich nicht nur im Preis, sondern auch durch Funktionalität voneinander absetzen. Dass die meisten Firewalls technisch
gesehen ihre Aufgabe erfüllen, ist heute fast selbstverständlich.
Doch eine schlecht oder falsch konfigurierte Firewall ist ebenso
unsicher wie überhaupt keine Firewall. Da zunehmend auch kleine und mittelständische Unternehmen – oft ohne hauseigene
Sicherheitsspezialisten – den Anschluss an das Internet nicht verpassen möchten, ist hier besonders eine einfache Installation und
Administration gefragt. Aus diesem Grund hat sich LANline
gemeinsam mit der NSS Group fünf auf dem Markt verbreitete
Firewall-Produkte näher angesehen und präsentiert auf acht Seiten
die Ergebnisse dieses Vergleichstests.
Inzwischen haben auch branchenfremde Unternehmen erkannt,
dass IT-Sicherheit eine lukrative Einnahmequelle sein kann. So
offeriert beispielsweise ein Finanzdienstleister sicherheitsbewussten Unternehmen ein Versicherungspaket, das E-CommerceRisiken wie Betriebsunterbrechungen durch Manipulation von
Hackern und eigenen Mitarbeitern, Netzwerkausfälle durch fehlerhafte Software oder Fehlfunktionen von Servern abdeckt. Zur
Schadenskompensation stellt der Anbieter Deckungssummen von
mehreren 100 Millionen Dollar zur Verfügung. Voraussetzung ist
jedoch ein Sicherheits-Audit durch einen Gutachter, der die technischen Standards der potentiellen Kunden überprüft. Interessant
an diesem Angebot ist vor allem, dass ausdrücklich Schäden
durch Mitarbeiter mitversichert werden. Denn vergleicht man verschiedene Studien zu diesem Thema, so haben zwischen 70 und
90 Prozent aller verzeichneten Angriffe den Ursprung im eigenen
Betrieb. Was Firmen dagegen unternehmen können, zeigen unter
anderem die Beiträge über Verschlüsselung, PKI, Authentisierungsverfahren und VPNs, deren Einsatz durchaus auch in
lokalen Netzen Sinn macht.
In der Realität ist Sicherheit jedoch zuletzt immer eine Kostenfrage. Denn gute Tools gibt es zur Genüge, jedoch taucht IT-Sicherheit nur selten als elementarer Bestandteil in Business-Plänen auf.
Während also der Administrator in der Regel eine gute
Vorstellung davon hat, was er zur Absicherung seines Netzes
braucht, sieht die Geschäftsführung oft nur Kosten, die zu keiner
Umsatzsteigerung führen. Vielleicht helfen hier die medienwirksam aufgearbeiteten Angriffe auf Yahoo, Ebay und Cnn, das
Sicherheitsbewusstsein der Entscheider zu schärfen. Und wenn
man unserem Artikel über diese DDoS-Attacken glaubt, so war
das erst der Anfang.
([email protected])
www.lanline.de
LANline Spezial Das sichere Netz III/2000
3
INHALT
Mit handelsüblicher Software können Administratoren den E-Mailund Web-Verkehr ihrer Mitarbeiter überwachen. Unter welchen
Umständen dies zulässig ist, zeigt der Beitrag auf Seite 6.
Backup und Disaster-Recovery:
Erste Hilfe nach dem Daten-GAU.....14
Security-Policy:
Gefahr liegt im Management............. 18
Austausch sensibler Daten:
Stolperstein Bürokratie.......................22
Risiken durch Y2K-Altlasten:
Stunde Null......................................... 26
Internet-Zugangskontrolle:
Sicherheitslücken verhindern.............30
Verschlüsselungsalgorithmen:
Die Wahl des richtigen Schlüssels.....34
Besuchen Sie uns
auf der CT-Netze: Halle 9, Stand C1/B2
vom 16.-18. Mai 2000
III/2000
auf der Internet World: Halle 12, Stand E19
vom 23.-25. Mai 2000
DM 9,80 ÖS 75,-
Sfr. 9,80
www.lanline.de
Authentisierungsverfahren:
Der Schlüssel zum Netz..................... 61
IP Security:
Sicherheitsstandard für VPNs............67
Layer-2-Security L2SEC:
Sicherer Remote Access.....................70
Virtuelle Private Netze:
Private Daten durch das Internet........74
Antiviren-Management:
Langer Arm nötig................................. 9
SICHERHEITSTECHNOLOGIE
Hacker-Attacken aus dem Internet:
DDoS war erst der Anfang.................56
Das sichere Netz
Trusted Operating Systems:
Hochsichere Basis...............................76
Steganografisches Dateisystem
für Linux:
Brisante Daten gut versteckt...............79
Hacker-Attacken
aus dem Internet
DDoS war erst
der Anfang
E-Mail und Web
im Unternehmen
Was der Admin
überwachen darf
SICHERHEITS-KNOW-HOW
Netzwerkrecht:
Was der Administrator
überwachen darf....................................6
Die Security-Policy ist die Grundlage eines unternehmensweiten
Sicherheitskonzepts. Daher sollte sie regelmäßig überprüft und
gegebenenfalls angepasst werden. (Seite 20)
Fünf Firewalls
im Test
Je einfacher
desto sicherer
03
4 39 420 2 80 98 03
B 30673
ISSN 0942-4172
Malicious Code für
WAP-Anwendungen
Mobile Viren im Telefon....................82
Verzeichnisdienste
im Sicherheitsumfeld:
Das Zentrum des Wissens..................85
SICHERHEITSPRODUKTE
Sicherheit im Netzwerkbetriebssystem:
Novells Sicherheitsstrategie...............42
NETZWERKRECHT
Echelon für den
Administrator
Seit Jahrzehnten hören Nachrichtendienste weltweit
Gespräche mit, fangen Faxe und Telegramme ab und
Im Test: Net Recon 3.0
Freundlicher Einbruch........................46
Im Test: D-Fence für Windows NT
Stacheldrahtzaun für
Speichermedien...................................50
Im Test: Lockdown 2000
Vollschutz für Windows-Systeme.....52
lesen beim internationalen E-Mail-Verkehr mit. Inzwischen können auch Unternehmen die E-Mails ihrer
Mitarbeiter abfangen und automatisch anhand von
Stichwörterlisten überprüfen. Dieser Beitrag gibt
einen Überblick über die technische Machbarkeit,
rechtliche Zulässigkeit und praktische Durchsetzbarkeit dieses Verfahrens.
Die Kommunikation anderer
abzufangen und auszuwerten
ist an sich nichts Neues. Denn
nachrichtendienstliche Tätigkeiten von Nationalstaaten gibt
es bereits seit mehr als 80 Jahren. Das Thema rückte durch
den Bericht des europäischen
Parlaments zur weltweiten
nachrichtendienstlichen Tätigkeit (“Interception Capabilities
2000”) in den Mittelpunkt des
Interesses. Diese Veröffentlichung beschreibt ausführlich
die Art und das Ausmaß des
Abfangens beziehungsweise
des Abhörens von internationaler Kommunikation seit Anfang dieses Jahrhunderts.
Insbesondere wird darin
auch die Einführung des so genannten Echelon-Verfahrens
erklärt. Dieses basiert auf dem
Gedanken, dass aufgrund der
steigenden weltweiten Nachrichtenfülle die manuelle Auswertung von Nachrichten
schlichtweg nicht mehr möglich ist. Um dieses Problem zu
lösen, rief Mitte der 80er Jahre
der amerikanischen Nachrich-
6
4
tendienst NSA das Projekt
“P-415/Echelon” ins Leben.
Ergebnis des Projekts war
die Implementierung neuester
Computertechnik
in
das
“Lauschsystem” mit der Aufgabe, die abgefangenen Nach-
Denial-ofService-Attacken
besteht seitens des Arbeitnehmers das Interesse auf Schutz
seiner Persönlichkeit, also
Schutz seines Rechts auf Achtung seiner Menschenwürde
und des Rechts auf freie Entfaltung seiner individuellen Persönlichkeit.
Die Grenzen dieses Persönlichkeitsschutzes sind fließend. Sie müssen jeweils im
Einzelfall durch eine Güterund Interessensabwägung festgestellt werden. Grundsätzlich
gilt dabei, je tiefer eine Maßnahme in die Persönlichkeitssphäre des Arbeitnehmers eingreift, desto höher sind die Anforderungen, die an das Arbeitgeberinteresse an der Einführung dieser Maßnahmen
gestellt werden. Da es für den
Fall des E-Mail-Scannings
noch keine arbeitsgerichtliche
Klärung der Interessenslage
gibt, muss hier auf die allgemeinen Grundsätze der Zulässigkeit von Kontrollen des Arbeitsverhaltens der Arbeitneh-
Angriffe auf populäre Websites wie Yahoo, Buy.com, Amazon, Zdnet,
Ebay, E-Trade, Datek, Msn.com und Cnn.com lenkten die öffentliche
Aufmerksamkeit schlagartig auf neuartige Hacker-Werkzeuge, deren
Zulässigkeit eines E-MailScanning-Verfahrens Interessen des Arbeitgebers und Interessen des Arbeitnehmers aufeinander. Das betriebliche Interesse besteht in der Herbeiführung einer so genannten
Content-Security. Das bedeutet, dass keine das Unternehmen gefährdende E-Mail nach
außen gehen. Demgegenüber
mer durch den Arbeitgeber
zurückgegriffen werden.
Das E-Mail-Scanning ist eine Art der Überwachung, die je
nach Ausgestaltung der Stichwortlisten mehr oder weniger
intensiv sein kann. Des Weiteren hängt die Reichweite des
Persönlichkeitsschutzes entscheidend davon ab, ob es dem
Arbeitnehmer erlaubt ist, ne-
www.lanline.de
EINE NEUE QUALITÄT Beunruhigend
Gefährlichkeit nicht unterschätzt werden sollte. Der folgende Artikel
beschreibt, wie solche Angriffe arbeiten, wie sie in Zukunft aussehen
und was man dagegen unternehmen könnte.
m 7. Februar 2000 verschwand die
Web-Seite Yahoo plötzlich von
der Bildfläche. Wenig später waren eine
Reihe von E-Commerce-Seiten ebenfalls nicht erreichbar, oder die Server
schienen nur noch im Schneckentempo
zu arbeiten. Die Ursache war ebenso primitiv wie wirkungsvoll: Betroffene
Rechner wurden mit Unmassen sinnloser Datenpakete und Anfragen regelrecht zugesetzt; die Datenrate erreichte
angeblich bis zu 50 GBit/s.
Man nennt derartige Angriffe Denialof-Service-Attacken (DoS-Attacken).
Der Angreifer dringt dabei nicht in
das System ein, sondern er versucht
es nur irgendwie von der Außenwelt
abzuschneiden oder sogar zum Absturz
zu bringen. Die Verursacher werden
oft nach allen Regeln der Kunst
ausfindig gemacht und “stillgelegt”;
manchmal schließt sich auch noch
eine weitere “Stillegung” vor Gericht
an. Bei den Aktionen im Februar war
das allerdings nicht so einfach möglich,
denn sie wurden koordiniert von einer
Vielzahl gehackter Rechner ausgeführt.
Wegen der Verteilung der Angriffe auf
viele Rechner heißen sie “Distributed
Denial of Service” – Attacken oder kurz
DDoS-Attacken. Nur durch den gleichzeitigen Angriff mittels vieler Rechner
ließen sich solche hohen Datenraten erreichen, die auch große Server lahmlegen.
A
Die Funk- und Radaranlagen der US-Armee können regionale Kommunikationssatelliten abhören
richten mit einer ständig aktualisierten Schlüsselwortliste abzugleichen, um so eine Vorauswahl an potentiell interessanten Nachrichten zu treffen.
Was in den 80er Jahren den
Geheimdiensten vorbehalten
war, ist nun auch für den Inhaber eines Unternehmens möglich. Die heutigen Computer
des kommerziellen Markts ver-
Analyse entdeckte man ein File mit 888
IP-Adressen, die vermutlich zu angreifenden Computern gehörten, und ein
Verzeichnis von 10.549 weiteren Adressen, die vermutlich auf Schwachstellen
gescannt werden sollen. Gerüchte in
Usenet-Newsgroups und Slashdot schätzen die Zahl der “infizierten” Rechner,
also der potentiellen Angreifer, auf über
3000.
DIGITALES SPERRFEUER
fügen über ausreichend Kapazitäten, um ein solches Verfahren auch innerhalb eines Betriebes implementieren zu können. Die steigende elektronische Abwicklung der Unternehmenskommunikation läuft
dem entgegen. Die ausgehenden Mitarbeiter-E-Mails vor
Versendung über das Internet –
also beispielsweise durch das
Scannen eines Proxy-Servers –
auf gewisse Stichwörter hin zu
überprüfen und gegebenenfalls
die Mail an zuständige Stellen
weiterzuleiten, ist nach dem
aktuellen Stand der Technik
kein Problem.
Allerdings ist dabei insbesondere arbeits- und datenschutzrechtlichen Erfordernissen Rechnung zu tragen. Ferner können die Informations-,
Mitwirkungs- und Zustimmungsrechte des Betriebsrats
Hindernisse auf dem Weg zur
Implementierung sein.
Im Rahmen des Arbeitsrechts prallen für die Frage der
6
56
Insidern war diese Methode schon bekannt. Der Probeschuss mittels des Programms “Trinoo” fand offenbar am 17.
August 1999 an der Universität Minnesota statt, als ein Server von 227 anderen
Rechnern gleichzeitig angegriffen wurde und dadurch zwei Tage lang ausfiel
(gegen Cnn.com wurden vermutlich nur
30 bis 50 Rechner eingesetzt). Bei der
erscheinen neben der Wirksamkeit der
Angriffe drei weitere Dinge, die bisher
nicht so oft erwähnt wurden:
– Erstens werden die Attacken sehr gut
verschleiert und machen eine Rückverfolgung mit herkömmlichen Mitteln fast unmöglich (dazu weiter unten
mehr).
– Zweitens werden Rechner automatisch behackt – solche langen IP-Listen sind nicht mehr das Ergebnis von
“Handarbeit”.
– Und drittens steckt hinter jedem Angriff ein ganzes Netzwerk von Rechnern, das “Wiederbelebungsfähigkei-
Hacker
Kommando: dds 193.122.105.44
Master 1
Daemons
Master 2
Daemons
Master 3
Daemons
Daemons
•••••
Daemons
ein oder mehrere
Steuerrechner
Daemons
mehrere
Hundert
Rechner
Schematischer Ablauf eines DDOS-Angriffs
www.lanline.de
56
www.lanline.de
INHALT
FOKUS FIREWALLS
Vergleichstest Firewalls:
Je einfacher, desto sicherer.................................................90
Bridge- versus Router-Firewall:
Firewall in den Bell Labs.................................................101
Buchbesprechung:
Firewalls: Einführung, Praxis, Produkte..........................104
Desktop-Firewalls:
Schutzengel am Arbeitsplatz............................................105
Marktübersicht: Firewalls.................................................109
Anbieterübersicht..............................................................111
RUBRIKEN
Editorial.................................................................................3
Impressum.........................................................................104
Inserentenverzeichnis.......................................................113
Fax-Leser-Service.............................................................114
FOKUS FIREWALLS
VERGLEICHSTEST: FIREWALLS
Die stillen
Wächter des LANs
Die Wahl der “richtigen” Firewall für das Unternehmensnetz ist ebenso
Vertrauenssache wie eine Frage des persönlichen Geschmacks. Um Administratoren die Qual der Wahl etwas zu erleichtern, testete die NSS
Group in England für LANline fünf Firewalls von Borderware, Cisco,
Cyberguard, Network Associates und Axent.
n einer kürzlich von der NCSA durchgeführten Studie gab einer aus fünf
Befragten zu, dass in den letzten zwölf
Monaten Hacker versucht haben, über
das Internet in ihr Unternehmensnetzwerk einzudringen. Dies ist umso beunruhigender, da die meisten dieser Einbrüche gar nicht bemerkt werden. So verliefen beispielsweise 88 Prozent der
Attacken erfolgreich, die von der Defence Information Systems Agency auf 9000
Systeme des US Department of Defence
gefahren wurden. Dabei bemerkten die
angegriffenen Organisationen in weniger
als ein Zwanzigstel der Fälle die Attacken. Von diesen fünf Prozent reagierten wiederum nur fünf Prozent auf die
Angriffe.
Kein System kann jemals vollkommen
sicher sein. Jedoch muss es so abgesichert sein, dass es zumindest den “Gelegenheits-Hacker” erfolgreich abschreckt.
Für diesen Zweck gibt es zahlreiche
Tools auf dem Markt, die das Unternehmensnetz vor ungebetenen Gästen schützen sollen. Das bekannteste und am häufigsten eingesetzte Werkzeug ist die Firewall.
I
90
www.lanline.de
DEFINITION Es gibt zahlreiche Defini-
tionen des Begriffs “Firewall”, doch die
vielleicht einfachste ist “ein Mechanismus, um ein vertrauenswürdiges Netzwerk vor einem nicht-vertrauenswürdigen Netzwerk zu schützen”. Eine Firewall ist also ein System oder eine Gruppe
90
von Systemen, die definierte Zugangsregeln zwischen zwei Netzwerken durchsetzt und daher als eine Implementation
einer Sicherheitsrichtlinie betrachtet
werden sollte. Daraus folgt, dass eine Firewall nur so gut ist wie die Sicherheitsrichtlinie, die sie umsetzt. Jedoch ist es
ebenfalls richtig, dass eine komplett sichere Firewall für ihre Benutzer nicht immer transparent ist. Dies führt dann in der
Praxis dazu, dass Benutzer versuchen,
die unternehmensweite Sicherheitsrichtlinie zu umgehen, um einige durch die
Firewall auferlegte Restriktionen auszuschalten.
Einer der wichtigsten Vorteile einer effektiven Firewall ist, dass sie der Außenwelt nur eine einzige IP-Adresse preisgibt und dadurch die wirkliche Struktur
des Unternehmensnetzes vor neugierigen
Augen schützt. Dabei sollte eines von
Anfang an klar sein: Eine Firewall kann
nicht nur ein Unternehmensnetz vor unautorisiertem Zugang über das Internet
schützen. Sie kann auch unbefugten Zugang zu einem bestimmten Subnetz, Arbeitsgruppe oder Netzwerk innerhalb eines Unternehmens abwehren. Zahlen des
FBI vermuten, dass 70 Prozent aller Sicherheitsprobleme ihren Ursprung innerhalb des Unternehmens haben. Wenn beispielsweise die Entwicklungsabteilung
einen eigenen Server hat, kann eine Firewall diesen Server und die Arbeitsstationen der Abteilung vor Zugriffen aus den
restlichen Bereichen der Firma schützen.
Trotzdem ist die abgesicherte Abteilung
weiterhin ein Teil des unternehmensweiten Netzes.
Betrachtet man die heute auf dem
Markt erhältlichen Firewall-Produkte, so
lassen sie sich nach drei Hauptarchitekturen unterscheiden:
Testaufbau
Die NSS Group entwickelte den Firewall-Test, um sicherzustellen, dass die Testkandidaten einen grundlegenden Schutz vor ein Zahl von bekannten bösartigen Angriffen sowohl
innerhalb eines Unternehmens als auch von außen bieten.
Die Testinstallation bestand aus drei Subnetzen, die jeweils ein internes (geschütztes),
DMZ und externes (Internet) Segment darstellten. Rechner im externen Netz repräsentierten
Root-DNS-Server, externe Web-Server sowie FTP- und Mail-Server. PCs im internen Netz
stellten unternehmensweite Web-, FTP-, DNS-, Mail- und Fileserver dar. Diejenigen Webund FTP-Dienste, die öffentlich zugänglich sein sollten, wurden im DMZ-Subnetz platziert.
Die Rechner im internen und DMZ-Netz wurden nicht abgesichert, sondern verließen sich
vollständig auf den Schutz durch die Firewall, die die einzige Verbindung zwischen DMZ,
internem und externem Netz darstellte. Die Verbindung zwischen Firewall und externem
Netz übernahm ein einfacher Router, auf dem kein Paketfilter aktiv war. Der vollständige
Schutz sollte von der Firewall gewährleistet werden, die eingehende Web- und FTP-Anforderungen auf die DMZ und SMTP-Verkehr vom ISP zum E-Mail-Server des Unternehmens
beschränkte. Split-DNS wurde – sofern verfügbar – eingesetzt. Ausgehenden Verkehr
beschränkten wir auf Web, FTP und E-Mail.
Ein Netzwerkmonitor, Protokoll-Analyzer und Security-Monitor wurden jeweils in den
drei Segmenten installiert. Die Hacker-Maschine führte anschließend eine Reihe von Penetration- und Denial-of-Service-Attacken durch. Zum Einsatz kamen hier standardisierte und
proprietäre Firewall-Scanning-Tools. Für jedes der Subnetze wurde die komplette Testreihe
wiederholt.
www.lanline.de
5
NETZWERKRECHT
Echelon für den
Administrator
Seit Jahrzehnten hören Nachrichtendienste weltweit
Gespräche mit, fangen Faxe und Telegramme ab und
lesen beim internationalen E-Mail-Verkehr mit. Inzwischen können auch Unternehmen die E-Mails ihrer
Mitarbeiter abfangen und automatisch anhand von
Stichwörterlisten überprüfen. Dieser Beitrag gibt
einen Überblick über die technische Machbarkeit,
rechtliche Zulässigkeit und praktische Durchsetzbarkeit dieses Verfahrens.
Die Kommunikation anderer
abzufangen und auszuwerten
ist an sich nichts Neues. Denn
nachrichtendienstliche Tätigkeiten von Nationalstaaten gibt
es bereits seit mehr als 80 Jahren. Das Thema rückte durch
den Bericht des europäischen
Parlaments zur weltweiten
nachrichtendienstlichen Tätigkeit (“Interception Capabilities
2000”) in den Mittelpunkt des
Interesses. Diese Veröffentlichung beschreibt ausführlich
die Art und das Ausmaß des
Abfangens beziehungsweise
des Abhörens von internationaler Kommunikation seit Anfang dieses Jahrhunderts.
Insbesondere wird darin
auch die Einführung des so genannten Echelon-Verfahrens
erklärt. Dieses basiert auf dem
Gedanken, dass aufgrund der
steigenden weltweiten Nachrichtenfülle die manuelle Auswertung von Nachrichten
schlichtweg nicht mehr möglich ist. Um dieses Problem zu
lösen, rief Mitte der 80er Jahre
der amerikanischen Nachrich-
6
tendienst NSA das Projekt
“P-415/Echelon” ins Leben.
Ergebnis des Projekts war
die Implementierung neuester
Computertechnik
in
das
“Lauschsystem” mit der Aufgabe, die abgefangenen Nach-
fügen über ausreichend Kapazitäten, um ein solches Verfahren auch innerhalb eines Betriebes implementieren zu können. Die steigende elektronische Abwicklung der Unternehmenskommunikation läuft
dem entgegen. Die ausgehenden Mitarbeiter-E-Mails vor
Versendung über das Internet –
also beispielsweise durch das
Scannen eines Proxy-Servers –
auf gewisse Stichwörter hin zu
überprüfen und gegebenenfalls
die Mail an zuständige Stellen
weiterzuleiten, ist nach dem
aktuellen Stand der Technik
kein Problem.
Allerdings ist dabei insbesondere arbeits- und datenschutzrechtlichen Erfordernissen Rechnung zu tragen. Ferner können die Informations-,
Mitwirkungs- und Zustimmungsrechte des Betriebsrats
Hindernisse auf dem Weg zur
Implementierung sein.
Im Rahmen des Arbeitsrechts prallen für die Frage der
besteht seitens des Arbeitnehmers das Interesse auf Schutz
seiner Persönlichkeit, also
Schutz seines Rechts auf Achtung seiner Menschenwürde
und des Rechts auf freie Entfaltung seiner individuellen Persönlichkeit.
Die Grenzen dieses Persönlichkeitsschutzes sind fließend. Sie müssen jeweils im
Einzelfall durch eine Güterund Interessensabwägung festgestellt werden. Grundsätzlich
gilt dabei, je tiefer eine Maßnahme in die Persönlichkeitssphäre des Arbeitnehmers eingreift, desto höher sind die Anforderungen, die an das Arbeitgeberinteresse an der Einführung dieser Maßnahmen
gestellt werden. Da es für den
Fall des E-Mail-Scannings
noch keine arbeitsgerichtliche
Klärung der Interessenslage
gibt, muss hier auf die allgemeinen Grundsätze der Zulässigkeit von Kontrollen des Arbeitsverhaltens der Arbeitneh-
Die Funk- und Radaranlagen der US-Armee können regionale Kommunikationssatelliten abhören
richten mit einer ständig aktualisierten Schlüsselwortliste abzugleichen, um so eine Vorauswahl an potentiell interessanten Nachrichten zu treffen.
Was in den 80er Jahren den
Geheimdiensten vorbehalten
war, ist nun auch für den Inhaber eines Unternehmens möglich. Die heutigen Computer
des kommerziellen Markts ver-
Zulässigkeit eines E-MailScanning-Verfahrens Interessen des Arbeitgebers und Interessen des Arbeitnehmers aufeinander. Das betriebliche Interesse besteht in der Herbeiführung einer so genannten
Content-Security. Das bedeutet, dass keine das Unternehmen gefährdende E-Mail nach
außen gehen. Demgegenüber
mer durch den Arbeitgeber
zurückgegriffen werden.
Das E-Mail-Scanning ist eine Art der Überwachung, die je
nach Ausgestaltung der Stichwortlisten mehr oder weniger
intensiv sein kann. Des Weiteren hängt die Reichweite des
Persönlichkeitsschutzes entscheidend davon ab, ob es dem
Arbeitnehmer erlaubt ist, ne-
www.lanline.de
ben geschäftlichen E-Mails
auch private zu verschicken.
Gestattet der Arbeitgeber die
Versendung von privaten
Mails, ist sowohl unter dem
Aspekt des “Rechts am eigenen Wort” als auch unter dem
Aspekt der “Eigensphäre” der
Persönlichkeitsschutz des Arbeitnehmers sehr weitreichend.
Doch auch soweit lediglich die
Versendung von dienstlichen
E-Mail gestattet ist (was ohne
weiteres arbeitsrechtlich zulässig ist), entfällt der Persönlichkeitsschutz des Arbeitnehmers
keinesfalls
generell.
Die
Rechtsprechung des BVerfG
zum Schutz der Persönlichkeitsrechte des Arbeitnehmers
im Rahmen des Abhörens von
dienstlichen Telefongesprächen ist insoweit wohl entsprechend anzuwenden. Des Weiteren ist zu berücksichtigen, dass
solch ein technisches Verfahren beim Arbeitnehmer das
Gefühl ständiger Überwachung bewirken kann. Der entstehende
“Überwachungsdruck” stellt einen erheblichen
Eingriff in schutzwürdige Persönlichkeitsinteressen des Arbeitnehmers dar.
Das Interesse des Arbeitgebers an der Sicherstellung einer
sorgfältigen Arbeitserfüllung
als auch an einer Content-Security dürften in aller Regel
nicht geeignet sein, die Interessen des Arbeitnehmers am
Schutz seiner Persönlichkeit zu
überwiegen. Das gilt für den
Fall, dass lediglich die Versendung von dienstlichen E-Mails
gestattet ist, erst recht aber
dann, wenn der private E-MailVersand nicht verboten ist.
Der Datenschutz durch das
BDSG wird durch ein so genanntes präventives Verbot mit
Erlaubnisvorbehalt verwirklicht. Die Verarbeitung und
www.lanline.de
Nutzung personenbezogener
Daten ist nur dann zulässig,
wenn sie gesetzlich gestattet ist
oder der Betroffene sich mit ihr
einverstanden erklärt hat. Ziel
des Datenschutzes ist die Vermeidung von übermäßigen
Eingriffen in die Persönlichkeitssphäre des Betroffenen.
Aufbau und Grundgedanken
des Datenschutzrechts bezwecken einen weitreichenden
Schutz. Dementsprechend ist
der Begriff “personenbezogene Daten” sehr weitreichend.
Nicht betroffen sind lediglich
Daten, die keinen Bezug zu
dem Betroffenen aufweisen.
So sind nach dem BAG sogar durch eine Telefonanlage
aufgezeichnete Angaben über
die von einer Nebenstelle geführten Gespräche eines bestimmten Arbeitsnehmers personenbezogene Daten. Das EMail-Scanning untersteht daher ebenfalls den datenschutzrechtlichen Vorschriften. Bei
diesem Verfahren werden
nicht nur die ausgehenden E-
7
Mails eines Arbeitnehmers registriert, sondern es wird zusätzlich noch der Inhalt dieser
Mails verarbeitet und gegebenenfalls weitergeleitet.
Das BDSG gestattet unter
anderem eine Verarbeitung,
soweit dies zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist.
Das betriebliche Content-Security-Interesse ist als berechtigtes Interesse in diesem Sinne
anzusehen. Eingeschränkt wird
diese Gestattung jedoch durch
das Erfordernis, dass überwiegende schutzwürdige Belange
des Betroffenen nicht beeinträchtigt werden. Die Gestattung greift nicht, wenn das Persönlichkeitsrecht des Betroffenen im Einzelfall stärker wiegt
als das Interesse des Arbeitgebers. Es ist wiederum eine Abwägung von Interessen des Arbeitgebers und des betroffenen
Arbeitnehmers vorzunehmen.
Wie schon bei der Abwägung
unter arbeitsrechtlichen Gesichtspunkten tendiert auch
hier die Abwägung zugunsten
des Persönlichkeitsschutzes
des Arbeitnehmers, auch wenn
der Versand privater E-Mails
verboten ist.
Noch nicht abschließend geklärt ist, ob Unternehmen mit
8
selbst betriebenen Nebenstellenanlagen dem Fernmeldegeheimnis unterfallen, welches
durch Vorschriften des Telekommunikationsgesetzes und
des Strafgesetzbuchs geschützt ist. Entscheidend dürfte für die Beurteilung dieser
Frage sein, ob den Mitarbeitern das Senden und Empfangen privater E-Mails arbeitsrechtlich gestattet ist, da die
Mitarbeiter in diesen Fällen als
“Dritte” gemäß Paragraph 3
Nr. 5 TKG angesehen und das
Unternehmen als “geschäftsmäßige” Betreiber von Nebenstellenanlagen des Intranets beurteilt werden können. Dies steht
im Einklang mit der Begründung zum Telekommunikationsgesetz, nach der Nebenstellenanlagen dem Fernmeldegeheimnis unterliegen sollen, soweit sie den Beschäftigten zur privaten Nutzung zur
Verfügung gestellt werden.
Gelangt man zu der Anwendbarkeit dieser Vorschriften, so
ist eine Mitprotokollierung der
privaten E-Mail-Kommunikation von Mitarbeitern im Unternehmen unzulässig. Dieser
Schluss lässt sich übrigens
analog auf die Überwachung
der Web-Nutzung von Mitarbeitern anwenden.
Sowohl hinsichtlich des Persönlichkeitsschutzes als auch
hinsichtlich des Schutzes des
Fernmeldegeheimnisses kann
der Schutz durch eine Einwilligung des Betroffenen aufgehoben und Maßnahmen dadurch
zulässig werden. Da die Einwilligung des Arbeitnehmers
unter anderem auch unter datenschutzrechtlichen Gesichtspunkten notwendig ist, sollte
dabei die Form des Paragraphen 4 Absatz 2 BDSG gewahrt werden. Wird also die
Einwilligung aller betroffenen
Mitarbeiter eingeholt, so steht
der Implementierung eines EMail-Scanning-Systems nichts
mehr im Wege.
MITWIRKUNG
DES
BETRIEBSRATS Unabhängig von
der rechtlichen Zulässigkeit
der Einführung eines E-MailScanning-Systems unter den
obigen Voraussetzungen werden jedoch in der Praxis erhebliche Schwierigkeiten aufgrund der Mitwirkung des Betriebsrats an der Systemeinführung zu erwarten sein.
Nach Paragraph 87 Absatz 1
Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht
bei “Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt
sind, das Verhalten oder die
Leistung der Arbeitnehmer zu
überwachen”. Grundgedanke
dieser Regelung ist, dem Betriebsrat bei Einführung und
Anwendung von technischen
also automatisierten Überwachungssystemen ein Mitbestimmungsrecht einzuräumen,
da solche Einrichtungen stark
in den persönlichen Bereich
des Arbeitnehmers eingreifen.
Da insbesondere die moderne
Datenverarbeitungstechnologie vielfältige Gefahren für das
Persönlichkeitsrecht der Betroffenen in sich birgt, ist gerade bei solchen Systemen die
Reichweite dieses Mitbestimmungsrechts sehr weit.
Das BAG hat ein solches
Mitbestimmungsrecht sogar
bei der Einführung einer Telefonanlage angenommen, die
Telefondaten der vom Arbeitnehmer geführten Telefongespräche erfasst. Berücksichtigt
man dies sowie den Wortlaut
und den Grundgedanken der
Regelung, wird man in jedem
Falle ein Mitbestimmungsrecht bei der Einführung eines
E-Mail-Scanning-Systems annehmen müssen, da hier über
die Erfassung der Versendedaten hinaus sogar noch der Inhalt der Mails erfasst und kontrolliert wird. Von den Arbeitnehmern wird ein solches System in der Regel wohl als Zensur verstanden werden.
Die Erzwingung der Einführung über die Einigungsstelle dürfte dann auch kein
leichter Weg sein. Im Falle des
Gestattens privaten E-MailVerkehrs überwiegt ohne Zustimmung der Arbeitnehmer
das Persönlichkeitsrecht in jedem Falle.
(Georg Schröder,
Thomas Griebel/gh)
Rechtsanwalt Dr. Georg
Schröder ist Mitglied der “ITLegal Working Group” der
Rechtsanwaltssozietät Heuking Kühn Luer Heussen Wojtek im Büro München. Er hat
sich auf die noch jungen
Rechtsgebiete Internet-Recht
und Cyberlaw spezialisiert.
Daneben ist er in allen Bereichen des EDV-Rechts mit
Schwerpunkt in der Vertragsgestaltung vor allem von Lizenz- und Projektverträgen
tätig.
www.lanline.de
LANGER ARM NÖTIG
AntivirenManagement
Goldene Zeiten: Jeder Personal Computer war eine
Insel, lokale Netzwerke unbekannt und Viren spielten den Yankee Doodle, wenn sie aktiv wurden.
Heute kommt Melissa über das Internet und legt
ganze Unternehmensnetze lahm. Vorsorge tut Not,
aber wie behält man in großen Netzwerken den
Überblick?
Vor nicht einmal zwei Jahren waren Viren eines der
kleineren Probleme des Netzwerkadministrators. Nichts,
worüber man besorgt sein
müsste. Neue Varianten wurden durch gelegentliche Updates der Antiviren-Software
gekontert. Dann kam Melissa
und zeigte, wozu die neue Virengeneration dank offener
Betriebssysteme fähig ist.
Schluss mit dem lockeren
Achselzucken in der IT-Abteilung, fortan galten Viren
wieder als etwas, das man absolut ernst zu nehmen hat.
Schon in mittelgroßen Firmen
keine einfache Aufgabe, ganz
zu schweigen von multinationalen Unternehmen. Der
Knackpunkt: Die Wirksamkeit von Antiviren-Software
steht und fällt mit ihrer Aktualität. Ein veralteter VirenScanner ist nicht nur wirkungslos, schlimmer, er verleitet die Benutzer zur Sorglosigkeit, “weil ja nichts passieren kann”. Jeder Arbeitsplatz
im Netz, alle Server und jedes
Gateway zum Internet müssen auf den neuesten Stand
gebracht und up to date gehal-
www.lanline.de
ten werden. Der einzig praktikable Weg dazu ist die zentrale Verteilung und das Update
der Antiviren-Software.
RICHTLINIEN
GEFORDERT
Zentrale Kontrolle hat nur zur
Hälfte etwas mit Technik zu
tun. Der andere Part wird von
den Gegebenheiten der Firma
bestimmt. Wie streng sollen
die Vorkehrungen sein, wie
oft sind Komplett-Scans aller
Dateien fällig, welche Applikationen und welche Angriffsarten sollen berücksichtigt werden und so weiter. Das
Schlüsselwort heißt Policy.
Ohne klare und umfassende
Richtlinien scheitert jeder
Versuch, Sicherheit zentral zu
lenken. Sobald die Policy
steht und – ganz wichtig –
vom Management mitgetragen wird, geht es um die Umsetzung. Für den Administrator liegt der Funktionsumfang
an erster Stelle. Er will so viele Fliegen wie möglich mit einer Klappe schlagen. Egal, ob
die Software auf dem PC oder
Server läuft, ob unter Windows NT, Windows 95 oder
OS/400 – ein Programm muss
9
den Überblick gewährleisten.
Die Entwickler folgen zur
Zeit dem Trend, den WebBrowser als Anzeigemedium
einzusetzen. Ideal wäre es,
wenn damit auch die Antiviren-Programme anderer Hersteller verwaltet werden
könnten, aber so weit geht die
Kooperation nicht. Maximal
der Status – installiert oder
nicht – wird für fremde AVSoftware gemeldet. Wichtiger
ist jedoch die Einbindung eines unternehmensweiten Directories. Novells NDS ist
heute kein Thema mehr, alle
Hersteller arbeiten mit dem
meist verbreiteten Verzeichnisdienst zusammen. Unterschiede gibt es natürlich beim
Umfang der Unterstützung.
Während einige Hersteller ihre Antiviren-Software komplett über die Managementkonsole der NDS verwalten
lassen, nutzen andere nur die
Benutzerdaten, um Gruppen
und Domains aufzubauen.
Momentan integrieren die
Programmierer
Microsofts
Active Directory Service
Ungebetene Gäste: Trojaner-Attacken erkennen
Sie arbeiten im Verborgenen, öffnen Angreifern Tür und Tor und
sind selbst für Profis kaum erkennbar – Trojanische Pferde. Die Definition ist etwas vage: als “Trojaner” werden im Allgemeinen solche Programme bezeichnet, die unter Vortäuschung einer anderen
Aufgabe im Hintergrund verborgenen Funktionen nachgehen. Zumindest war es in der Vergangenheit so, als Bildschirmschoner oder
kleine Tools aus dem Internet Passwörter stahlen und per Mail an
den Programmautor schickten. Trojaner der neuesten Generation,
berüchtigt sind Back Orifice, Netbus oder Subseven, fallen eher in
den Bereich Remote-Control-Software mit Sonderfunktionen. Ob
alt oder neu, sie sind der Alptraum jedes Administrators.
Trojaner wollen nicht erkannt werden und tun einiges dafür. Aktuelle Programme installieren sich so geschickt im Betriebssystem,
dass sie noch nicht einmal als System-Task auftauchen. Ein wartender Trojaner verhält sich so passiv wie möglich, selbst wenn ein
Suchprogramm den richtigen IP-Port abfragt, ohne passendes Passwort rührt sich der Maulwurf nicht. Die diversen Tipps zur Selbsthilfe sollte man mit Vorsicht genießen. Ein Vorschlag in einer
Newsgroup empfiehlt, den Client-Teil aller Trojaner wissentlich zu
installieren und zu versuchen, zum eigenen PC zu verbinden. Selbst
wenn man zwei bis drei Dutzend Clients auf dem PC installieren
würde, wäre der Erfolg fraglich – kein ernstzunehmender Angreifer
lässt den Standard-Port eingestellt. Vorsicht auch bei frei verfügbaren Trojaner-Spürhunden aus fragwürdigen Quellen: In mehr als
einem Fall installierten die kleinen Helferlein den Trojaner gleich
selbst. Die Suche nach verdächtigen Einträgen in Autostart-Ordner,
Registry und .ini-Dateien bringt in der Regel nichts. Gute Trojaner
können sich an jede beliebige ausführbare Datei hängen. Wer doch
nachsehen möchte: Am wahrscheinlichsten sind die Registry-Keys
Run, RunOnce, RunOnceEx und RunServicesOnce im Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\. Die einzige zuverlässige Methode, Trojaner abzufangen, ist ein aktueller Viren-Scanner auf allen Rechnern im Netz.
Die Betonung liegt auf aktuell, nur wenn der Scanner die Signatur
des Trojaners erkennt, kann er auch einschreiten. Am besten ist bereits die Verbindung zum Internet über einen Scanner gesichert, sodass E-Mails und FTP-Transfers mit verdächtiger Nutzlast außen
vor bleiben.
10
So einfach geht das: Reboot, Passwortklau, Rechner anhalten – Back
Orifice knackt den PC
(ADS), Unterstützung für
LDAP (Lightweight Directory Access Protocol) gehört
bei vielen Lösungen schon
zum Standard.
Niemand will seitenlange
Protokolle durchforsten, nur
um die eine wichtige Zeile zu
finden. Aussagekräftige Reports gehören deshalb unbedingt zu jeder Managementlösung. Bewährt haben sich
farbliche Kodierungen der
Benutzer und Gruppen. So
kann man auf einen Blick erfassen, wo es die meisten
Probleme gibt. Jeder Administrator legt Wert auf andere Eckdaten, darum sollten
die Reports auch in gewissem Umfang konfigurierbar
sein.
Die zentrale Übersicht erleichtert nicht nur dem Administrator die Arbeit. Die
Antiviren-Software
hat
durch die Auswertung von
Informationen aus dem
ganzen Netz mehr Möglichkeiten, Angriffe zu erken-
nen. So sind in einigen Produkten bereits Mechanismen
eingebaut, die einen sprunghaften Anstieg der E-MailAktivität erkennen wie sie
für Melissa-ähnliche Infektionen typisch sind und daraufhin ausgehende Mails auf
Scripts untersuchen und falls
nötig abfangen. Voraussetzung ist natürlich, dass auch
das Messaging-Gateway wie
Exchange oder Notes mit einer Antiviren-Software ausgestattet ist.
VERTEILUNG UND UPDATE
In das Update ist bei allen
Antiviren-Produkten
viel
Entwicklungsarbeit geflossen. Das beginnt schon mit
der Verteilungsstruktur. Generell agiert mindestens ein
Server im Netzwerk als zentrale Instanz, der die jeweils
aktuelle Virusdatenbank enthält. Entweder holt sich die
Antiviren-Software des PCs
in festgelegten Intervallen eine neue Datei ab, oder der
www.lanline.de
Server nutzt ein Push-Verfahren, zum Beispiel einen Remote-Procedure-Call, um die
Dateien auf dem Client abzulegen. Die Aufgabe wird einfacher, wenn alle AntivirenProgramme, egal für welches
Betriebssystem, die gleiche
Virusdatenbank nutzen können. In größeren Netzen sind
mehrere Server involviert. So
hat es sich bewährt, in unterschiedlichen Segmenten jeweils eigene Server zu stationieren, damit die Netzbelastung bei einem Update nicht
über Router geführt wird. Es
ist ebenfalls nützlich, wenn
Server für einen ausgefallenen Kollegen einspringen
und dessen Clients mit der
neuesten
Virusdatenbank
versorgen können.
Genau so viel Aufmerksamkeit ist in die Verteilung
der eigentlichen AntivirenSoftware geflossen. Professionelle Programme bieten
eine Schnittstelle zu Distributions-Software, sofern sie im
Unternehmen genutzt wird.
Alle Produkte können sich
auch selbstständig auf die
einzelnen Rechner verteilen.
Zum Einsatz kommen dabei
entweder
Push-Verfahren
wie ein RPC-Call, ein BatchFile das beim Einloggen ausgeführt wird oder einfach ein
Link in einer E-Mail, mit der
sich der Benutzer die Antiviren-Software auf den Rechner holt.
Automatisieren lässt sich
auch die Routine, wenn neue
Viren gefunden werden. Die
meisten Hersteller bieten
ihren Kunden eine Funktion
an, die unbekannte Viren direkt an das Forschungslabor
des Herstellers schickt, um
einen Patch dafür zu entwickeln. So bequem diese
Variante auch sein mag, als
Default-Einstellung eignet
sie sich nicht. Schließlich
möchten die wenigsten, dass
ein sicherheitsrelevantes Dokument automatisch beim
Hersteller der AntivirenSoftware landet, wenn ein
Makrovirus darin gefunden
wird.
MOBILE GERÄTE In jedem
Netzwerk kommt den mobilen Anwendern mit einem
Notebook besonderes Augenmerk zu. Sie haben keine konstante Verbindung zum Unternehmensnetz,
trotzdem
muss sichergestellt sein, dass
Wissen was los ist: Grafische Übersichten erleichtern die Kontrolle.
12
ihr Virenschutz so aktuell wie
möglich ist. Zudem muss der
Administrator erfahren, ob
und welche Probleme es gab,
während das Notebook unter-
ellen Verbindung ist. Der
Anwender bekommt nur
dann größere Updates auf
den Rechner geschickt, wenn
er direkt mit dem Netzwerk
Zugriff von jedem Rechner aus: Wenn Web-Browser zur Anzeige eingesetzt werden, ist der Administrator nicht auf eine PC-Console
festgelegt.
wegs war. In diesem Fall ist
die Kombination der Antiviren-Management-Software mit
dem Verzeichnisdienst besonders wichtig. Sobald sich der
Benutzer am Netzwerk anmeldet, ist er dem Directory
bekannt. Daraufhin kann die
Antiviren-Software ein eventuell nötiges Update einleiten
und die Log-Dateien auslesen, um zu erfahren, ob während der Abwesenheit Vireninfektionen auftraten.
Andererseits will der Mitarbeiter unterwegs nicht sofort mit einem mehrere 100
KByte großen Update erschlagen werden, wenn er
sich über eine Wählverbindung, vielleicht noch per
Handy, ins Netzwerk einloggt. Professionelle Antiviren-Software prüft daher
zunächst die Antwortzeit des
Clients und stellt fest, wie
groß die Bandbreite der aktu-
verbunden ist. Auch die Art
des Updates der Virendatenbank spielt eine Rolle. Optimal ist ein inkrementelles
Update, dann werden nur die
Änderungen seit dem letzten
Stand übertragen. Das sind je
nach Struktur der Virendatenbank meist nur ein paar
Kilobyte.
GEFAHR ERKANNT Zentra-
les Management von Antiviren-Software ist als wichtiger Bestandteil der Unternehmenssicherheit erkannt worden. Die Hersteller haben reagiert und bieten produktübergreifende Lösungen an.
Gute Nachrichten für den Administrator: Fehlende Übersicht bei Versionsnummern,
Updates und Programmen
sind kein Grund mehr für Sicherheitslöcher.
(Raimund Genes,
Trend Micro/mw)
www.lanline.de
BACKUP UND DISASTER-RECOVERY
Erste Hilfe nach
dem Daten-GAU
Datensicherheit heißt nicht nur, unternehmenskritische Informationen vor Ausspähung und Diebstahl
zu schützen. Auch die Sicherung und Wiederherstellung von Dateien auf Servern und Arbeitsplätzen
muss in ein ganzheitliches Sicherheitskonzept mit
einbezogen werden. Eine richtige Backup-Strategie
sowie ein funktionales wie auch passendes DisasterRecovery-System können Unternehmen vor Schäden
durch Datenverlust schützen.
Es ist gar nicht so lange her,
da vermeldete der US-Geheimdienst NSA einen Rechnertotalausfall: Ganze drei Tage
konnten aufgrund von Computerproblemen keine Daten verarbeitet werden. Tausende
Mannstunden und rund 1,5
Millionen Dollar mussten für
die Behebung der Panne aufgewendet werden. Offenbar waren die NSA-Rechner unter unerwartet hoher Datenlast kollabiert. Ähnliches lässt sich auf
Unternehmen und Organisationen überall in der Welt übertragen, auch in Europa. Exemplarisch sei hier der Zwischenfall
in der Schweizer Stadt St. Gallen genannt, bei dem eine gröbere Computerpanne kombiniert mit einer nachlässigen
Datensicherungsstrategie zur
Katastrophe geführt hatte.
Rund 28 GByte Datenvolumen
– rund eine Million Dokumente – gingen bei einem Crash
verloren. Die Kosten des Server-Ausfalls beliefen sich auf
gut eine halbe Million Franken,
wobei zum Zeitpunkt der Be-
14
kanntgabe noch nicht geklärt
war, wie viele Daten definitiv
verloren waren. So erklärt auch
Peter de Jager, ein Technology
Consultant, der schon 1993 in
Computer World vor dem
Y2K-Problem warnte: “Wenn
ich in ein amerikanisches
Großunternehmen gehe und
den Chief Information Officer
frage, wie lange der letzte
größere Computerausfall bei
ihm her ist, dann schaut er auf
seine Uhr, nicht in den Kalender.”
aller PCs in jedem Jahr in irgendeiner Form einen Datenverlust. Bei der Anzahl der
PCs, die in amerikanischen
Unternehmen genutzt werden
– nämlich 72 Millionen – bedeutet das rund 4,6 Millionen Datenverlustvorfälle. Im
Schnitt kostet jeder Zwischenfall durchschnittlich 2557
Dollar. Rechnet man weiter,
ergibt sich ein fiktives Gesamtvolumen von 11,8 Milliarden
Dollar, die US-Unternehmen
jährlich für die Rettung verlorener Daten ausgeben müssen.
Trotz allem entspricht diese
Zahl eher einer vorsichtigen
Schätzung, da sie Kosten, deren Quantität nur schwer messbar ist, nicht berücksichtigt:
Verkaufsverluste und den
Schaden, den ein Unternehmen
bei einem längeren Computerausfall an seinem Ruf erleidet.
URSACHEN Die Gründe für
Datenverluste, die sechs Prozent der 72 Millionen PCs
(Desktops und Laptops) erlitten, teilen sich folgendermaßen
auf: Der häufigste Grund für
Datenverluste mit 42 Prozent
der Vorfälle ist der HardwareAusfall. Er umfasst Verluste
aufgrund von Festplattenversa-
gen und Spannungsschwankungen. Menschliches Versagen verursacht 30 Prozent der
Datenverlustvorfälle, die Software-Korruption ist für 13 Prozent verantwortlich. Computerviren machen sieben Prozent der Vorfälle aus. Diebstahl ist mit fünf Prozent vor allem bei den Laptops der
Grund. Schließlich trägt die
Hardware-Zerstörung,
die
natürliche Katastrophen wie
Hochwasser, Blitzeinschlag
und Stromausfall umfasst, mit
drei Prozent als Grund für Datenverluste bei.
Jeder Datenverlust läuft auf
eines der beiden Ergebnisse
heraus: Entweder sind die Daten mit Hilfe technischer Unterstützung wiederherstellbar,
oder sie sind unrettbar verloren
und müssen neu eingegeben
werden. In rund 80 Prozent der
Fälle können die Daten gerettet
werden. Ist ein Fachmann im
Unternehmen vorhanden, der
die Daten wiederherstellen
kann, dann müssen sowohl die
Anzahl der Stunden, die dafür
nötig sind, sowie die Personalkosten für ihn berücksichtigt
werden. Außerdem kann es
sein, dass die Zeitdauer, die
für die Wiederherstellung
STATISTIKEN Eine Studie der
Pepperdine University hat einige alarmierende Zahlen zu den
durch Datenverluste verursachten Kosten zusammengestellt, die jedem IT-Manager
das Blut in den Adern gefrieren
lassen müssten – es sei denn, er
verfügt bereits über eine ausgefeilte Datensicherungsstrategie
samt einer geeigneten Software, die ihn vor derartigen
Zwischenfällen schützt. Denn
laut dieser Studie erleiden in
den USA über sechs Prozent
Häufigste Gründe für Datenverluste
Sonstiges*
Diebstahl
Computerviren
3%
5%
7%
Software-Korruption
13%
42%
Hardware-Ausfall
30%
Menschliches Versagen
Quelle: The Cost of Lost Data, David M. Smith, Ph.D., September
1999, Pepperdine University
www.lanline.de
Ein unternehmensweites Konzept zur Datensicherung muss alle Orte
der Datenhaltung berücksichtigen
benötigt
wird,
erheblich
schwankt. Spielräume von einer Stunde bis zu mehreren Tagen sind möglich. Stellt eine
Firma keinen Spezialisten ein,
muss sie Hilfe von außen suchen. Die typischen Kosten für
diese Dienstleistungen sind er-
heblich höher, meistens doppelt so hoch als wenn das Problem innerhäuslich gelöst würde.
Zusätzlich zu diesen hohen
Spezialistenkosten kommt ein
zweiter Kostenfaktor beim Datenverlust hinzu, und das ist der
Produktivitätsverlust aufgrund
der Computerausfallzeit. Während die Daten wiederhergestellt werden, können Benutzer
nicht auf ihren PC zugreifen
und reduzieren so ihre Produktivität. Dies beeinflusst wiederum den Unternehmensumsatz
und -profit. Schließlich muss
im Fall eines Datenverlusts
auch noch der Wert der verlorenen Daten berücksichtigt
werden, wenn wie in zirka 20
Prozent der Fälle die Daten
nicht gerettet werden können.
Der Wert der verlorenen Daten
kann je nach Vorfall sehr stark
variieren: In manchen Fällen
können die Daten innerhalb eines kurzen Zeitraums neu eingegeben werden, sodass ihr
Wert ziemlich gering wäre. In
anderen Fällen kann es eventuell hunderte von Mannstunden
über mehrere Wochen kosten,
was einen sehr viel höheren
(größeren) Wert bedeuten würde. Im schlimmsten Fall sind
die Daten unrettbar verloren,
sodass ihr Wert unschätzbar
wird. Bezeichnend ist dabei,
dass sich viele Unternehmen
von einem ernsten Datenverlustvorfall nie erholen. Laut
dem englischen Department of
Trade and Industry gehen 70
Prozent der Organisationen,
die ernsthafte Datenverluste
hatten, innerhalb von 18 Monaten pleite. Da die Geschäftswelt sich zunehmend auf verteilte IT-Umgebungen stützt,
ist es wahrscheinlich, dass die
Kosten für Datenrettung in Zukunft sogar noch weiter steigen.
SCHUTZ VOR DATENVERLUST Es gilt also, Gegenmaß-
nahmen zu ergreifen. Doch ist
lich. Diese können mit keinem
Wartungsvertrag
realisiert
werden und erlauben eine kostengünstigere Fehlersuche und
Reparatur ohne Zeitdruck.
DATENSICHERUNG
HEUTE
Die Anforderungen an eine
Datensicherung in Unternehmen haben sich in den letzten
Jahren dramatisch gewandelt.
Der exponentielle Anstieg der
Eine zentrale Steuerung sämtlicher Backup-Prozesse erleichtert dem
Administrator die Sicherung aller verteilter Unternehmensdaten
ein Sicherheitskonzept bekanntlich nur so gut wie sein
schwächstes Glied. Deshalb
muss es lückenlos auf alle
denkbaren und undenkbaren
Schadensereignisse an Hardund Software eine Antwort
parat haben. Eine zentrale USV
gegen Stromausfälle und
-schwankungen, eine ganzjährige Klimatisierung der Rechnerräume, redundante Auslegungen von Server-Netzteilen
und Netzwerk-Hubs sollten eine Selbstverständlichkeit sein.
Ebenso das Vorhalten baugleicher Reserve-Server und -Festplatten. Verfügt das Unternehmen dann noch über die geeignete Software, sind kürzeste
Wiederanlaufzeiten sowohl für
PCs als auch für Server mög-
16
Datenvolumina, verteilte Client-/Server-Landschaften mit
hunderten oder gar mehreren
1000 Clients sind Bedingungen, die die herkömmliche
Bandsicherung immer öfter an
ihre Grenzen stoßen lassen.
Häufig dient in diesen Umgebungen Windows NT als Server-Betriebssystem; die Clients sind entweder ebenfalls
mit Windows NT oder Windows 9x ausgestattet. Zwar
kann die zentrale DV-Abteilung dafür sorgen, dass für die
in ihrer Obhut liegenden Server stets die Datensicherung
durchgeführt wird und im Fall
eines Systemzusammenbruchs
mittels Disaster-Recovery wieder zur Verfügung gestellt werden können. Doch auf der Cli-
ent-Seite gibt es meist keine Sicherheitsvorkehrungen,
da
man dies bisher nicht für nötig
hielt. Tatsache ist jedoch, dass
immer mehr sensible Daten auf
den PCs gehalten werden, deren Sicherung dann vollständig
vom jeweiligen Benutzer abhängt. Erschwerend wirkt es
sich aus, wenn die Clients sich
nicht nur auf den Hauptsitz der
Unternehmen
beschränken,
sondern auf mehrere Standorte
verteilt sind. Womöglich sind
gar noch zahlreiche Notebooks
zu sichern?
SERVER UND CLIENTS Eine
unternehmensweite Datensicherung für alle Server und Clients im Unternehmen zu möglichst geringen Arbeitsplatzkosten ist heute keine Zauberei
mehr: Sie wird ermöglicht
durch Einsatz der InternetTechnologie und durch die Eliminierung aller physischen
Backup-Management komponenten sowie jeglicher Arbeitsschritte für den Endbenutzer.
Die neue Technologie basiert
auf der heute immer häufiger
anzutreffenden durch Marktstudien ermittelten Situation,
dass Unternehmen häufig über
viele gleichartig ausgestattete
PCs, Notebooks und Server
verfügen. Auf ihnen befinden
sich Daten, die zum Teil individuell und teilweise redundant
sind. Als redundante Dateien
werden solche bezeichnet, die
mindestens noch einmal in exakt gleicher Form vorliegen
wie beispielsweise das Betriebssystem oder Programmdateien. Diese Daten müssen
daher nur einmal auf dem Sicherungs-Server abgelegt werden. Nach einer ersten vollständigen Sicherung des ersten
der gleichartigen PCs oder Notebooks auf den Sicherungs-
Server werden bei allen weiteren nur noch so genannte virtuelle Voll-Backups durchgeführt. Dabei werden lediglich
die individuellen Daten übertragen, während für die redundanten ein Pointer auf die bereits einmal auf dem Server abgelegten Daten verweist – eine
extrem speicherplatzsparende
Vorgehensweise.
Nach der ersten vollständigen Sicherung werden bei allen
weiteren Backup-Prozeduren
nur noch die veränderten
Blöcke innerhalb einer Datei
übertragen. Für den Benutzer
bleibt dabei das Erscheinungsbild der Backup-Kopien als
Ganzes erhalten. Da nur die
“einzigartigen” Teile jedes Dateiobjekts bei den weiteren Replikationen übertragen werden,
benötigt das Backup für einen
Rechner nur einen Bruchteil
der Zeit, die konventionelle
Systeme brauchen. Heutige
Backup- und Disaster-Recovery-Software bieten zahlreiche Features, die das Leben der
Administratoren erheblich erleichtern und gleichzeitig zu einem Maximum an Sicherheit
führen.
Ein Beispiel hierfür sind definierbare Backup-Terminpläne, die zentral nach Zeit, Tag,
Benutzer, Computer und Gruppen spezifiziert werden können. Zusätzlich kann ein Administrator einzelnen Arbeitsplätzen Berechtigungen für manuelle Backups zuordnen, die auf
Wunsch lokal gestartet werden
können. Für die Automatisierung von Backups LAN-verbundener Arbeitsplätze kann
die Form der Sicherung so gewählt werden, dass sie bei Einschaltung des Geräts vorgenommen wird, auch ohne dass
der Benutzer eingeloggt ist. Eine ähnliche Funktion gibt es
www.lanline.de
für Remote-Access-Verbindungen, wobei der Verbindungsaufbau das Startzeichen
für die Sicherung ist. Diese
läuft dann entweder vollständig automatisch ab und sichert
ohne Benutzereingriff die Daten im Hintergrund. Alternativ
wird sie erst nach Bestätigung
durch den Benutzer gestartet.
Letzteres ist im Fall von extrem
geringen Bandbreiten relevant.
Diese kann auch durch die Unterbindung der Sicherung und
Speicherung bestimmter Datei- und Ordnertypen weiter
geschont werden. Temporäre
und Internet-Cache-Dateien
sollten standardmäßig von der
Sicherung
ausgeschlossen
sein.
DISASTER-RECOVERY Beson-
ders das Disaster-Recovery hat
sich von der meist komplizierten zeitaufwendigen und wenig
komfortablen Prozedur der Datenwiederherstellung
vom
Band weit entfernt. So bietet
ein so genanntes “Point-In-Time”-Disaster-Recovery
die
komplette Wiederherstellung
eines “blanken” PCs, und zwar
von einem beliebig gewählten
Backup auf dem Backup-Server. Sie umfasst die komplette
Wiederherstellung aller Daten,
Applikationen, Betriebssystemdateien, Benutzereinstellungen und -präferenzen. Ein
Disaster-Recovery-Assistent
führt Schritt für Schritt durch
die Erstellung der RecoveryMedien für einen abgestürzten
PC. Als Medien können eine
Diskette für LAN-gebundene
Computer oder ein CD-Set für
remote und mobile Benutzer
genutzt werden. Endbenutzer
können über eine WindowsExplorer-Schnittstelle Dateien
und Ordner per Drag-and-Drop
vom Backup-Server auf ihren
www.lanline.de
Arbeitsplatz ziehen. Sie sind
somit für die Wiederherstellung einzelner Dateien und
Ordner nicht auf die Hilfe des
Administrators angewiesen.
SPEICHERPLATZMANAGEMENT Als eines der wichtigs-
ten Anliegen vieler Administratoren gilt die Netzwerk- und
Speicheroptimierung. Daher
sollten ausgefeilte Backupund Disaster-Recovery-Lösungen die Kompression der
über das Netz versandten Datenmenge nicht vernachlässigen; heute sind Kompressionsraten in Höhe von 10:1 möglich. Komplexe Verschlüsselungsmechanismen erhöhen
gleichzeitig auch den Datenschutz. Außerdem sind Verwaltungsfunktionen, die für
die Automatisierung und Vereinfachung der Administration
sowie der Einrichtung der
Netzwerkdatensicherung dienen, fast ein Muss. So können
Installationsassistenten sowie
die automatische im Hintergrund ablaufende Installation
neuer Software-Updates für
LAN- oder RAS-verbundene
PCs dem Administrator einige
Arbeit abnehmen. Optionen
für die Gruppenbildung und
Vererbung ermöglichen den
abteilungsweiten und hierarchieübergreifenden Einsatz
von Backup-Prozeduren und
Vorhalterichtlinien für bestimmte Benutzerdatentypen.
Backup-Rechte werden über
eine zentrale Managementkonsole zugewiesen; volle
Backup- und Wiederherstellungsrechte für den Server
können je nach Wunsch auf eine durch den Administrator
bestimmte Gruppe begrenzt
oder für alle Benutzer eingeräumt werden.
FAZIT Es ist heute weniger
denn je nötig, sehenden Auges
die Katastrophe – sei sie nun
kleineren oder größeren Ausmaßes – auf sich zukommen zu
lassen. Wer rechtzeitig vorsorgt, kann sich vor (fast) allen
Eventualitäten schützen und
im Ernstfall rasch und effektiv
handeln. Beispiele dafür, wie
schnell es einen “erwischen”
kann, gibt es genug. Die anfangs herangezogene Studie
liefert dazu anschauliches Zahlenmaterial. In heutigen Zeiten
des explodierenden Datenvolumens in Unternehmen und
dem enormen Wert der Daten
kann sich keiner mehr ungestraft dem Leichtsinn hingeben. Nicht umsonst sehen deutsche IT-Verantwortliche laut
einer Studie der Unternehmensberatung CSC Ploenzke
das Management der Datenund Informationsüberflutung
derzeit als die wichtigste Aufgabe an. Dazu gehört auch die
effektive und platzsparende
Datensicherung sowie Strategien und Mittel für die Wiederherstellung der für das Unternehmen lebensnotwendigen
Daten.
(Alison Busby/gh)
Alison Busby ist Marketing
Director von Stac Europe.
Weitere Informationen:
The Cost of Lost Data, David M. Smith,
Ph.D., September 1999
([email protected]) – Die
Berechnungen des Autors basieren
auf Zahlen aus dem Jahr 1998.
17
KONZEPTION EINER SECURITY-POLICY
Gefahr liegt im
Management
Sicherheit ist nicht nur eine Frage der Technik, sondern oft einfach ein Organisationsproblem. Doch
nicht erst durch die in den Gazetten hochgespielten Attacken aus dem Web sollte das Management
eines Unternehmens dem Thema Sicherheit die
notwendige Sensibilität entgegenbringen. Denn
schließlich sitzt der “Feind” in den meisten Fällen
im Unternehmen selbst. Dieser Beitrag skizziert die
Bestandteile einer umfassenden und für alle Mitarbeiter verbindliche Sicherheitspolitik, die interne
und externe Gefahrenquellen eingrenzt und das
Risiko minimiert.
Während des KosovoKriegs – so meldeten diverse
englischsprachige Gazetten –
hätte ein Spion Belgrad über
die Angriffsziele der NATOStreitkräfte informiert. Ein bis
zwei Wochen lang solle er
Zugang zu sensiblen Daten
gehabt haben. Entsprechend
groß war die Aufregung bei
der NATO. Im Nachhinein
entpuppte sich dabei nicht so
sehr das Netzwerk als
Schwachpunkt, sondern die
Tatsache, dass Pläne per Fax
verschickt wurden, von denen
mindestens eines an einem
“unzureichend
gesicherten
Ort” gestanden haben soll.
Dieses Beispiel belegt, wie
wichtig einerseits ein ganzheitlicher Ansatz in der Sicherheitspolitik ist. Andererseits wird deutlich, dass immer das schwächste Glied den
Sicherheitsgrad einer Infrastruktur terminiert. Leider
18
vernachlässigen Unternehmen diese Tatsachen meist
ebenso wie das Thema Sicherheit im Allgemeinen. Zudem lenken die jüngsten Denial-of-Service-Überfälle auf
Websites von Online-Anbietern und Internet-Service-Providern das Hauptaugenmerk
auf externe Übeltäter, wobei
der interne Angreifer leicht in
Vergessenheit gerät. Dabei
besitzen über 80 Prozent aller
Angriffe interne Wurzeln.
Ganz gleich, ob eine Kündigung oder schlichtweg ein
Konfigurationsfehler Gründe
für Angriffe aus dem Unternehmen sind, die Folgen sind
für Unternehmen gleichermaßen gravierend wie bei externen Angriffen. Die Schadenbandbreite reicht vom
Verlust der Reputation bis hin
zu erheblichen finanziellen
Ausfällen, die durch Diebstahl oder Zerstörung von In-
formationen oder der Störung
wichtiger Dienste bewirkt
werden. Schon allein deshalb
sollte sich das Unternehmensmanagement
intensiv
mit der Thematik Sicherheit
beziehungsweise Risikoabschätzung auseinandersetzen.
VERANTWORTUNG
VORSTAND Häufig
BEIM
unterschätzt die Führungsebene eines Unternehmens die rechtliche Lage. So kann beispielsweise das KonTraG (Gesetz
zur Kontrolle und Transparenz bei AGs) für börsennotierte Firmen einige unliebsame Überraschungen bereithalten. Paragraf 91 Absatz 2
AktG meint dazu: “Der Vorstand einer Muttergesellschaft
hat geeignete Maßnahmen zu
treffen, insbesondere ein
Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft/des
Vor diesem Hintergrund ist
der Bedarf nach einer allgemeingültigen Sicherheitsstrategie offensichtlich, die alle
Gruppen im Unternehmen
verbindlich einbindet. In ihr
muss das angestrebte Sicherheitsniveau für sämtliche Bereiche des Unternehmens
(und im Rahmen des E-Business darüber hinaus) festgeschrieben sein. Aus der geschilderten Sachlage leiten
sich schnell zwei Grundregeln für eine erfolgreiche Sicherheitspolitik ab:
1. Sie bedarf nicht nur der
Rückendeckung des Vorstands, sondern muss von
ihm ausgehen und gefördert
werden.
2. Die Umsetzung erfolgt in
einem zentralen Bottomup-Ansatz.
Verantwortlich für die Eckpunkte einer Sicherheitsstrategie sollte daher der Unter-
Integrierte Sicherheitslösungen wie beispielsweise Etrust von CA ermöglichen eine vollständige Verwaltung der Sicherheitsprozesse
Konzerns gefährdende Entwicklungen früh erkannt werden”. Dabei obliegt die Beweispflicht im Schadensfall
beim Vorstand.
nehmensvorstand zeichnen.
Typischerweise setzt dieser
eine Projektgruppe – meist
unter Einbezug von externem
Know-how – zur Ausarbei-
www.lanline.de
tung eines Umsetzungskonzeptes ein. Anhand vordefinierter Schwellenwerte, so
genannter Sicherheitsniveaus,
beschreibt das Konzept mit
Hilfe von “Riskframeworks”
mögliche Risikofelder in der
Unternehmensorganisation,
Diebstahl von Datenträgern
mit Forschungsdaten erhebliche Folgen nach sich zieht.
Aus diesem Grund wird nach
den Vorarbeiten von der Projektgruppe ein Risiko- und Sicherheitsmanagement-Prozess zumeist nur in den si-
Die Erstellung eines Sicherheitskonzepts ist kein einmaliger Vorgang.
Daher sollten Unternehmen ihre Sicherheitsmaßnahmen regelmäßig
überprüfen und gegebenenfalls anpassen.
legt die Berichtswege fest und
erstellt einen Risiko- und Sicherheitsleitfaden. In diesem
Leitfaden sind Prozesse und
Prozessverantwortliche eindeutig
identifiziert,
die
Schutzniveaus für die verschiedenen Anwendungssysteme definiert und klare
Richtlinien für Störfälle mit
prozeduralen und technischen
Gegenmaßnahmen beschrieben, um wichtige Werte des
Unternehmens zu schützen.
Natürlich muss nicht für jeden Unternehmensbereich das
identische Sicherheitsniveau
angestrebt werden. Schließlich stellt ein Einbruch in einem Büromateriallager für
Unternehmen keineswegs ein
bedrohliches Risiko für dessen Bestand dar, während der
20
cherheitsrelevanten Segmenten implementiert, dessen
Realisierung dann so genannte Umsetzungsverantwortliche überwachen.
UMSETZUNG Die Basis einer Security Policy bildet das
IT-Sicherheitssystem. Es gewährleistet, dass kein Zugriff
durch unbefugte Dritte auf
Daten und Systeme erfolgen
kann und damit Diebstahl
und
Manipulationen
in
Transaktionssystemen
(so
genannte aktive Angriffe)
ausgeschlossen sind. Ebenfalls muss das Sicherheitssystem das Mitlesen sensitiver
Firmendaten (passive Angriffe), die über das Intra-/Internet gestartet werden, unterbinden. Der Zugriff auf il-
legale Inhalte im Internet
oder das unbefugte Publizieren unter Unternehmenslogo
dürfen ebenso wenig möglich
sein wie das hinlänglich bekannte Einbringen von Viren
oder das Einschleusen trojanischer Pferde. Auf der anderen Seite soll ein Sicherheitssystem dem autorisierten Benutzer einen schnellen und
unkomplizierten Zugriff auf
Anwendungen und Ressourcen ermöglichen, deren Inhalte kontrollieren, die Authentizität der Kommunikationspartner sicherstellen und
die zentrale Administration
unterstützen. Für den Aufbau
eines “Vollkasko-Sicherheitssystems” sollten daher Abwehr- und Schutzmaßnahmen abgestimmt und mit den
Systemmanagementfunktionen auf den vier Ebenen Internet/Netzwerk, Web-Zugriff, Anwender/Desktop und
System/Datenbank/Anwendungen integriert eingesetzt
werden.
Es lassen sich eine Vielzahl
von Werkzeugen zur Stärkung
des Schutzes von IT-Infrastrukturen aufzählen, über deren zugrunde liegenden Konzeption sich mitunter sehr akademisch streiten lässt. Zwei
Punkte sollte der Administrator für die Praxis allerdings nie
aus den Augen verlieren: Zum
einen darf keinem Werkzeug
blindlings vertraut werden –
der Verantwortliche muss sich
jederzeit der jeweiligen Grenzen bewusst sein. Zum anderen darf die Auswahl der
Komponenten nicht das Zusammenspiel der Tools vernachlässigen. Diese müssen
sowohl zusammenpassen als
auch sich ergänzen.
Neben dem reibungslosen
Zusammenspiel der Kompo-
nenten eines IT-Sicherheitssystems untereinander ist im
Rahmen einer ganzheitlichen Vorgehensweise auch
die Verzahnung des Systemmanagements mit dem
IT-Sicherheitssystem von
großer Wichtigkeit. Denn
dadurch schafft ein Unternehmen eine gemeinsame
Plattform und intelligente
Struktur, mit der auf konsistente Weise der Aufbau, der
Einsatz und die Verwaltung
einer Sicherheitslösung als
Bestandteil der Aufgaben
der Systemverwaltung im
Unternehmen
ermöglicht
wird.
Asset-Management
und Inventarisierung beispielsweise sorgen für den
Überblick über die Systeme
im Netz. Software-Verteilung verhindert, dass auf den
Desktops
fehlerbehaftete
Software aufgespielt wird.
Speicher- oder DesasterManagement stellen die
Konsistenz der Informationen nach einem Störfall wieder sicher.
Eine solche Architektur
muss natürlich über entsprechende Integrationspunkte
und Basisdienste verfügen,
die über offen gelegte
Schnittstellen,
Protokolle
oder Integrationsadapter die
Einbindung weiterer (Sicherheits-)Systeme und Anwendungen erlaubt. Diese
Integration ermöglicht außerdem, die Sicherheitsstrategie mit weitreichenden Automatismen zu unterstützen.
Erfolgt beispielsweise eine
Alarmierung, kann automatisch das Schließen eines
Kommunikations-Ports, die
Umkonfigurierung der Firewall oder die Sperrung einer
Anwendung ausgelöst werden.
www.lanline.de
ORGANISATIONSAUFGABE
Diese Automatisierungshilfen
und
Sicherheitswerkzeuge
entbinden die Unternehmen
natürlich nicht davon, die Sicherheitslinien durch organi-
nem Screened Subnet als “demilitarisierter Zone”) in Teilnetzen erhöhen zum einen das
Sicherheitsniveau und vereinfachen zum anderen durch die
Strukturierung die Admini-
Die sieben wichtigsten Schritte einer Sicherheitsverwaltung mit Werkzeugunterstützung
1. Das Unternehmen definiert eine Sicherheitsrichtlinie, möglicherweise mit der Unterstützung von Beratern.
2. Mit Hilfe von Management-Tools (Access-Control, Firewall, Intrusion-Detection, Administration) werden die erforderliche Stufen der Desktop-, Server- und Netzwerküberwachung, Prüfung
und Sicherung sowie die Zugriffsrechte für Benutzer, Gruppen
und Rollen zugeschnitten
3. Management-Tools gewährleisten die aktive Überwachung und
Abwehr von Angriffen.
4. Wenn Sicherheitsverletzungen oder -risiken erkannt werden,
kann die Richtlinie verschärft werden (beispielsweise durch Ausführung von Korrekturskripten oder durch automatische Neukonfigurierung der Firewall).
5. Wichtige sicherheitsrelevante Ereignisse werden den Administratoren von den Management-Tools gemeldet.
6. Durch die periodische Einschätzung der Sicherheitskonfiguration
durch einen Policy-Übereinstimmungstest werden Risiken und
Anomalitäten den Administratoren gemeldet. Durch konsolidierte
Berichte lassen sich mögliche Trends erkennen.
7. Prüfprotokolle werden regelmäßig analysiert. Anschließend muss
bei Bedarf die Sicherheitsrichtlinie modifiziert werden und mit
Schritt 1 oder 2 wieder begonnen werden.
(Quelle: CA Computer Associates)
satorisch-administrative Infrastrukturmaßnahmen zu unterstützen.
Eine Firewall nützt reichlich wenig, wenn jedem Besucher oder Mitarbeiter vor Ort
der unbehelligte Zugang zum
Server für das Lohn- und Gehaltssystem offen steht. Deshalb können organisatorische
Kniffe wie die Errichtung einer Serverfarm nicht nur die
Administrationsaufgaben reduzieren; sie vereinfachen
auch die Implementierung eines Sicherheitsprozesses. Die
Anordnung von VPNs oder
durch Firewalls geschützte
Systeme (auch in einem
mehrstufigen Konzept mit ei-
www.lanline.de
stration der Richtlinien. Zutrittskontrolle wie Pförtner
oder Chipkarte, Be- und
Überwachung wie beispielsweise Videokameras, Einbruchmeldesysteme, Brandmelder, Löschanlagen, Klimatisierung, USV oder Datensicherungsschränke
gehören ebenfalls zu den Bestandteilen einer Sicherheitspolitik.
PRINZIP DER MINIMALEN
RECHTE Auf der Personal-
seite ist wichtig, den Root-,
Superuser- und DatenbankAdministratoren nicht uneingeschränkten Zugriff auf alle
sensiblen Daten einzuräu-
men. Stattdessen sollte das
Prinzip der minimalen Rechte greifen. Das heißt, dass die
im System definierten Rechte eines Benutzers mit seiner
im Unternehmen übernommenen Funktion übereinstimmen müssen. Darüber
hinaus ist zusätzlich eine
Funktionstrennung sicher zu
stellen: Kritische Funktionen
dürfen nicht in einer Person
vereinigt werden. So sollte
beispielsweise darauf geachtet werden, dass ein Programmierer nicht gleichzeitig ein Operator ist.
Auch sollten Firmen organisatorisch die Berufung von
Sicherheitsbeauftragten institutionell verankern. Diese
sind für die Pflege des IT-Sicherheitskonzepts
verantwortlich und verifizieren regelmäßig, ob der Schutz auf
dem implementierten Niveau
weiterhin Bestand hat oder ob
in der Zwischenzeit neue Systeme oder Anwendungen für
eine Aufweichung sorgen.
Außerdem verantworten
die IT-Sicherheitsbeauftragten einen weiteren, wenn
nicht den entscheidenden
Punkt einer jeden Sicherheitspolitik: Sie sensibilisieren und schulen die Mitarbeiter, um das Thema Sicherheit unternehmensweit in
den Köpfen zu verankern.
Schließlich kann schon ein
einfacher PC mit Modemkarte und AOL-Anschluss, der
ohne Bedacht ins LAN gehängt wird, schnell zur offenen Hintertür werden – unabhängig davon, wie gut der
Rest gesichert ist.
(Matthias Frank/gh)
Matthias Frank ist Business Technologist bei CA
Computer Associates.
21
AUSTAUSCH SENSIBLER DATEN
Stolperstein
Bürokratie
Viele Unternehmen verlegen ihre Kommunikation
und ihren Informationsaustausch zunehmend ins
World-Wide-Web, wobei Internationalisierung und
Globalisierung diese Entwicklung beschleunigen.
Schnelligkeit und Zuverlässigkeit des elektronischen
Datenflusses rangieren in Unternehmen unter den
Top Ten, die über geschäftlichen Erfolg oder Misserfolg entscheiden. Doch vor den Nutzen haben die
Behörden einige bürokratische Hürden gesetzt, die es
zu überwinden gilt.
International tätige Unternehmen mit weltweit verteilten
Standorten müssen neben ihrer
Kommunikation mit Kunden,
Lieferanten und Partnern auch
einen sicheren internen Informationsfluss gewährleisten.
Dabei nutzen Sie das Internet
oder firmeneigene Intranets,
um hochspezialisiertes Knowhow zu transferieren. Über sensitive Daten verfügt nahezu jedes Unternehmen. Ob das nun
Technologiewissen von ITUnternehmen, Kundenkonditionen der Finanzdienstleister,
vertrauliche Dokumente der
Steuerberater, Forschungsergebnisse von Biotechnologiefirmen oder neue Konstruktionspläne der Automobilindustrie sind, es handelt sich immer
um Informationen, die nur für
einen geschlossenen Personenkreis bestimmt sind.
Doch im Netz der Netze lauert die Gefahr des unbefugten
Zugriffs. Mit der zunehmenden
Internationalisierung der Geschäftsbeziehungen wächst da-
22
her beim Datentransfer der Bedarf an Sicherheit und Vertraulichkeit. Unternehmen mit verteilten Standorten beziehungsweise Partnern suchen deshalb
verstärkt nach geeigneten Sicherheitsmechanismen für ihr
E-Business.
das firmeninterne EDV-Netz.
Und bereits rund 60 Prozent
gaben an, dass sie innerhalb der
letzten zwei Jahre mit solchen
Problemen konfrontiert waren.
Die Beweisführung bei Angriffen gestaltet sich zwar
schwierig, doch Hinweise für
eine ernsthafte Bedrohung
deutscher Know-how-Träger
gibt es genug. Hartnäckig halten sich auch Gerüchte um verstärkte Aktivitäten internationaler Nachrichtendienste, die
ihre freigewordenen Kapazitäten nach dem Ende des kalten
Kriegs zur Wirtschaftsspionage einsetzen. Die USA zumindest verfügt nach wie vor über
eine geeignete Infrastruktur auf
deutschem Boden. Gleichzeitig steht derzeit auch der Software-Gigant Microsoft unter
dem Verdacht, seine Produkte
in Zusammenarbeit mit der
amerikanischen NSA manipuliert zu haben, um externe Zugriffe zu begünstigen. Ob dies
nun der Wahrheit entspricht
oder nicht, deutsche Unterneh-
WÄCHTER DES EXPORTS Die
Maßnahmen zum sicheren
Transfer sensitiver Daten obliegen jedoch nicht allein dem
Eigentümer. Auch der deutsche Staat hat ein großes Interesse daran, dass den heimischen Unternehmen nicht das
Wasser abgegraben wird. Erst
kürzlich hat das Bundesamt für
Sicherheit in der Informationstechnik (BSI) Unternehmen
angemahnt, ihre Online-Sicherheit zu verbessern. Als Anreiz für wirksamere Schutzmaßnahmen soll noch in diesem Jahr ein Prüfsiegel eingeführt werden, mit dem die Unternehmen ihre Datenschutzanstrengungen evaluieren und
nach außen demonstrieren
können. Darüber hinaus will
der Staat vermeiden, dass trotz
Verbot Informationen über das
Internet in politisch instabile
Länder gelangen. Als oberste
Instanz überwacht das Bundesausfuhramt (Bafa) deshalb den
Export von Daten auf der
Grundlage des Außenwirt-
KONKURRENZ HÖRT MIT
Hacker, die mit sportlichem
Ehrgeiz in Netze eindringen
und dort ihre digitale “Handschrift” als Zeichen ihres Erfolgs hinterlassen, können
enormen Schaden anrichten.
Weitaus gefährlicher sind jedoch die lautlosen Angriffe der
internationalen Konkurrenz.
Über
Wirtschaftsspionage
spricht zwar kaum ein Unternehmen offen, doch mittlerweile gehört sie zum unternehmerischen Alltag. Wie eine
Umfrage der Mainzer Vereinigung für die Sicherheit der
Wirtschaft unter 200 deutschen
Unternehmern ergab, befürchten rund 80 Prozent eine Zunahme derartiger Angriffe auf
Secure-Information-Portals können den Export sensitiver Daten
beschleunigen
(Quelle: Giesecke & Devrient)
men mit geographisch verteilten Standorten müssen zur
Wahrung ihrer Wettbewerbsvorteile für ein höchstmögliches Maß an Sicherheit sorgen.
schaftsgesetzes. Darin ist geregelt, welche Güter als exportrelevant gelten und damit genehmigungspflichtig sind. Darunter fällt auch der Know-how-
www.lanline.de
Transfer, das heißt “die Weitergabe von nicht allgemein
zugänglichen
Kenntnissen”
aus verschiedenen Wirtschaftsbereichen wie beispiels-
Monate dauern kann. Das Bundesausfuhramt erteilt fallweise
Einzelexportgenehmigungen,
die nur für einen Auftrag und
Empfänger gelten oder Sam-
Digitale Signaturen ermöglichen Freigabeprozesse ohne Medienbruch
(Quelle: Giesecke & Devrient)
weise der Telekommunikation,
Informationssicherheit oder
Luftfahrtelektronik und Navigation.
STOLPERSTEIN BÜROKRATIE Trotz der Regelungen fällt
es Unternehmen oft schwer zu
definieren, ob der zu exportierende Datensatz einer Genehmigung bedarf. Denn eine Datei kann zum Beispiel losgelöst
aus ihrem Zusammenhang für
unberechtigte Benutzer zwar
nutzlos sein, eingebettet in eine
Entwicklungslinie jedoch zur
elektronischen Steuerung einer
Rakete verwendet werden.
Kompliziert gestaltet sich auch
das Genehmigungsverfahren
selbst. Es gibt kaum ein international agierendes Unternehmen, das nicht Opfer der Bürokratie wurde und monatelang
auf eine Exporterlaubnis warten musste, deren Erteilung je
nach Ausfuhrland bis zu drei
24
melausfuhrgenehmigungen,
die den Export einer Gruppe
von Gütern an mehrere Empfänger erlaubt. Doch auch der
Import eines bereits exportierten und im Ausland unter Umständen nur geringfügig veränderten Datensatzes ist nicht
ganz einfach. Für den Import
aus deutschen Niederlassungen im Ausland greift nämlich
nicht das EU-Recht, das keine
Importbeschränkungen vorsieht, sondern wiederum das
deutsche Außenwirtschaftsgesetz. Der Grund: Es handelt
sich um deutsches Know-how,
das lediglich in einem anderen
Land generiert wurde und damit den deutschen Sicherheitsvorschriften unterliegt.
KAUM
INTERNATIONALE
PROJEKTTEAMS In vielen Un-
ternehmen ist es deshalb gängige Praxis, möglichst wenig genehmigungspflichtiges Know-
how auszuführen. In den meisten Fällen bedeutet das den
Verzicht auf internationale
Projektteams, da ein schneller
Datenaustausch nicht möglich
ist. Obwohl billigere Fachkräfte beispielsweise in Südostasien zur Verfügung stehen,
werden höhere Kosten für
die Entwicklungsarbeit in
Deutschland in Kauf genommen, um den Wettbewerbsvorteil eines schnellen Produktzyklus nicht aufs Spiel zu setzen.
Ist der Export sensitiver Daten
dennoch unumgänglich, vergehen Wochen wenn nicht gar
Monate, bis eine Genehmigung vorliegt. Dieser bürokratische Hemmschuh wird den
Anforderungen
keineswegs
gerecht, die das E-Business an
die Flexibilität und Schnelligkeit von Unternehmen stellt.
Einen Ausweg aus diesem Dilemma können Werkzeuge
bieten, für die das Bundesausfuhramt eine Sammelexportgenehmigung für transportierte
Technologie ausgestellt hat.
ALLGEMEINE SICHERHEITSMECHANISMEN Um sensitive
Daten vor unbefugtem Zugriff
zu schützen, wurden in den
letzten Jahren zahlreiche Sicherheitsmechanismen
entwickelt. Dies sind unter anderem:
– Virenscanner,
– PGP (Pretty Good Privacy),
ein spezielles Kryptographieverfahren, das vorwiegend den sicheren Versand
von E-Mails ermöglicht,
– Firewalls gegen das unautorisierte Eindringen in Firmennetze, die mit dem Internet verbunden sind,
– SSL (Secure Socket Layers),
ein Protokoll, das die Verschlüsselung und Authentizität einer Client-/Server-
Kommunikation ermöglicht,
– Hardware-Verschlüsselung,
zum Beispiel mittels Chipkarte oder Smartcards.
Diese Mechanismen sichern
bestimmte Bereiche des Datentransfers, lösen jedoch nicht
das grundsätzliche Problem,
die Authentizität desjenigen
einwandfrei zu überprüfen, der
eine bestimmte Information
anfordert oder Zugriff darauf
hat. Für E-Business ist deshalb
ein Tool notwendig, das der
eigenhändigen
Unterschrift
rechtlich gleichgestellt ist,
durchgehend digital übertragen werden kann und Missbrauch ausschließt: Die digitale Signatur. Als Siegel lässt sie
zuverlässig auf den Urheber digitaler Dokumente schließen
und schützt vor ungewolltem
Zugriff. Über ein mathematisches Verfahren wird zunächst
ein privater kryptographischer
Schlüssel erzeugt, der an eine
Person gebunden ist. Der dazugehörige öffentliche Schlüssel
kann die Signatur jederzeit
überprüfen und den Schlüsselinhaber zweifelsfrei identifizieren sowie die Unverfälschtheit der Daten kontrollieren.
Die Schlüsselpaare sind Unikate und werden durch anerkannte Zertifizierungsstellen
(Trust-Center) generiert und
verwaltet.
Der Gesetzgeber hat bereits
1997 das Gesetz zur digitalen
Signatur (SigG) verabschiedet,
das die rechtlichen Rahmenbedingungen für die Anforderungen von E-Commerce und EBusiness schaffen sollte.
Deutschland hat damit eine
Vorreiterrolle übernommen.
Allerdings ist derzeit der Einsatz digitaler Signaturen weltweit nur möglich, wenn die
Kommunikationspartner über
Zertifikate eines deutschen
www.lanline.de
Trust-Centers verfügen. Eine
EU-Rahmenrichtlinie soll bis
2001 zu EU-weit einheitlichen
Regelungen führen; weltweit
gültige Gesetze sind jedoch
ebenso notwendig.
SECURE-INFORMATIONPORTALS Eine Lösung für den
schnellen und sicheren Transfer sensitiver Daten über ein
Netzwerk, das Unternehmensstandorte und Partner in verschiedenen Ländern verbindet,
ist ein Secure EIP (EnterpriseInformation-Portal). Als Informations- und Kommunikationsplattform im Intra- und
Extranet versorgt sie alle Mitarbeiter eines Unternehmens
jederzeit und an jedem Ort gezielt mit sämtlichen relevanten
Informationen und erfüllt
www.lanline.de
gleichzeitig die Anforderungen an die Sicherheit der Daten. Darüber hinaus sollte ein
Secure EIP umfangreiche Kriterien hinsichtlich der Transparenz des Datentransfers, Aktualität der Inhalte sowie Skalierbarkeit und Benutzerfreundlichkeit erfüllen. Idealerweise sind die Benutzer eines Portals in Communities organisiert, die möglichst einfach
administriert werden können.
Damit deren Mitglieder stets
über das aktuellste Material
verfügen, muss der Informationsfluss in Echtzeit abgewickelt werden. Ein minutiöses Protokoll aller Arbeitschritte sollte zudem für Transparenz sorgen.
Weiterhin müssen Sicherheitsmechanismen wie die
digitale Signatur die Authentizität und Vertraulichkeit
gewährleisten sowie die
rechtlichen Bestimmungen
des Bundesausfuhramts erfüllt sein. Ein Beispiel für
ein Secure EIP ist Intrasafe
von Giesecke & Devrient,
das
Wissensmanagement
und digitale Signatur verbindet und vollständig auf Internet-Standardtechnologien
basiert. Als bisher einziges
Tool für die Verwaltung und
den Transfer sensitiver Daten verfügt das System über
eine Sammelexportgenehmigung, die sich nicht auf die
Art der Daten bezieht, sondern für die eingesetzte
Technologie vergeben wurde. Das Bundesausfuhramt
hat dabei die gesicherte In-
frastruktur, die detaillierte
Protokollierung aller Prozesse, die angewandte Technik
und Methodik sowie die umfangreiche Produktbeschreibung geprüft. Diese integrierte Sammelausfuhrgenehmigung erlaubt den Export genehmigungspflichtiger Daten innerhalb eines
Netzwerks unabhängig von
Empfänger, Versender, Exportland sowie der Art und
Herkunft der Daten – Einzelexport-Genehmigungen mit
zeitraubenden
Genehmigungsverfahren sind damit
überflüssig.
(Francesco Scognamiglio/gh)
Francesco Scognamiglio ist
Projektleiter Intrasafe bei Giesecke & Devrient
25
STUNDE NULL
Risiken durch
Y2K-Altlasten
Der große Crash wegen des Y2K-Problems blieb zum
Glück aus. Doch worüber die meisten sich heute immer noch nicht im Klaren sind: Im Windschatten der
enormen Umstellungsmaßnahmen, die im Zusammenhang mit dem Jahreswechsel in relativ kurzer
Zeit realisiert werden mussten, wurden viele Sicherheitsaspekte missachtet: Externe und interne Jahr2000-Spezialisten vergaben Passwörter, temporäre
Accounts oder Administratorrechte, die nach der
Umstellung nicht gelöscht wurden, oder es wurde
wegen eingefrorener Systeme auf die Installation der
allerneuesten Security-Patches verzichtet. Jetzt ist
es folglich Zeit, sich mit den Altlasten auseinander
zu setzen und die hinterlassenen Sicherheitslücken
zu schliessen.
Eine Studie der Gartner
Group vom vergangenen Jahr
prognostizierte,
dass
die
Schwierigkeiten bei der Y2KSystemumstellung den massivsten Datendiebstahl in der Computergeschichte zur Folge haben würden – der Verlust werde mehr als eine Milliarde
Dollar betragen, so der Marktforscher.
Wer
allerdings
glaubt, im neuen Jahr sei alles
vorbei, ist im Irrtum: Das neue
Jahrtausend erbt die Unterlassungssünden, die während der
Umstellung begangen wurden,
denn grundsätzlich können bei
jedem Upgrade absichtlich
oder unabsichtlich Lücken entstehen: Gartner geht davon aus,
dass am ehesten Täter mit erheblichem Expertenwissen unternehmenskritische E-Commerce-Transaktionen stören
26
oder manipulieren – zum Beispiel ein Software-Ingenieur,
der an der Y2K-Umstellung
beteiligt war und dadurch Einblick in die Computersysteme
sowie die damit verbundenen
Prozesse hat. Die Hauptprobleme im Gefolge der Jahr-2000Umstellung: Viele Unternehmen vergessen, Accounts zu
löschen, zu sperren oder sie
ungültig zu machen, sobald ein
Arbeitsvertrag abgelaufen ist.
Darüber hinaus haben die
meisten Accounts zu viele Berechtigungen für Applikationen, die ihre Anwender
tatsächlich nicht brauchen. Die
Folge: Tausende von unsicheren Accounts, die bloß darauf
warten, geknackt zu werden –
entweder von internen Mitarbeitern oder von externen
Hackern. Dazu kommt, dass
die Mitarbeiter ihre Passwörter
in der Regel nicht – wie von Sicherheitsexperten empfohlen –
alle paar Wochen ändern. Sicherheit ist damit auf keinen
Fall gewährleistet.
Doch die Passwort-Falle
bleibt nicht das einzige Problem: Mit dem kompletten
“Einfrieren” der Rechnerumgebungen während der Umstellungsphase war nicht immer gewährleistet, dass sich alle installierten Sicherheitskomponenten bei der Wiederinbetriebnahme auf dem neuesten
Stand befinden. Wurden nicht
alle Security-Patches eingespielt, kann das katastrophale
Folgen haben. Hacker können
unbemerkt in das System eindringen und Daten manipulieren. Sie sind auch in der Lage,
ihre Attacken so zu verschleiern, dass sie aussehen wie eine
Serie unzusammenhängender
Zufälle. Durch IP-, DNS- oder
Web-Spoofing werden Privilegien erschlichen, die auch ein
aufmerksamer Netzwerkmanager nicht unbedingt bemerkt.
Das enorme Ausmaß der Jahr-
Konsole
levante Mängel hin zu überprüfen.
ES IST NOCH NICHT ZU SPÄT
Auch wenn bei der Jahr-2000Umstellung in puncto Sicherheit geschlampt worden ist: Es
ist nicht zu spät, auch jetzt noch
Risikoüberprüfungen durchzuführen, die Sicherheitslücken
in einem Computersystem oder
Netzwerk zu erkennen und zu
identifizieren. Unternehmen
brauchen die Garantie, dass die
wichtigsten Systemdaten, die
mit dem Internet verbunden
sind, auch nach der Y2K-Umstellung sicher bleiben. Dazu
müssen sie Lösungen nutzen,
die Anwender-Sessions im
Hintergrund auf unautorisierte
oder kriminelle Aktivitäten
überwachen. Ein komplettes
Sicherheitspaket beginnt idealerweise mit dem Einsatz eines
plattformübergreifenden Security-Scanning-Tools, das auch
Router, Firewalls, DNS und
Web-Server scannt. Dieses
sollte nicht nur echte Bedrohungen für die Netzwerk- und
Internet-Sicherheit erkennen
Manager
Agenten
Installation und Update der Agenten über die Intrusion-Detection-Konsole
2000-Umstellungen mit mehreren Upgrades zwingt Unternehmen jetzt dazu, jedes einzelne System auf sicherheitsre-
und mögliche Risiken aufzeigen, sondern auch Empfehlungen zur Lösung des Problems
geben, bevor ein Eindringling
www.lanline.de
die Schwachstellen ausnutzen
und wichtige Aktivitäten gefährden kann. Bei modernen
Scannern stellt eine Pfadanalyse die genaue Abfolge der einzelnen Angriffe dar und deckt
Reihen zu orten ist. Die ganze
Hysterie um Hacker und Saboteure von rivalisierenden Unternehmen geht an einem wesentlichen Sicherheitsproblem
vorbei: Tatsächlich zeigt eine
Intrusion-Detection-Systeme verhindern Hacker-Zugriffe auf wichtige
Daten
undichte Stellen auf. Diese
werden sofort allen zuständigen Verantwortlichen mitgeteilt, wobei die Lösung die Gefahrenstellen mit der größten
Bedrohung für das Unternehmen vorrangig behandelt. Eine
leistungsfähige Scan-Software
geht vor wie ein echtes “TigerTeam”, das gleichzeitig mehrere Hacker-Methoden anwendet, um in das Netzwerk einzudringen.
SICHERHEIT JENSEITS DER
FIREWALL Ganz unabhängig
von der Y2K-Problematik ist
es für jedes Unternehmen unerlässlich, kritische Informationen des internen Unternehmensnetzwerks zu schützen,
indem es eine Firewall installiert und so unberechtigte Zugriffe von außen verhindert.
Doch die wenigsten Sicherheitsverantwortlichen realisieren, dass die eigentliche Gefahr
für sensible Unternehmensdaten vor allem in den eigenen
28
aktuelle Studie der International Data Corporation (IDC),
dass etwa 90 Prozent aller Verstöße gegen die IT-Sicherheit
interne Ursachen haben. Und
mehr als 45 Prozent der dadurch entstehenden Schäden
werden durch unzuverlässige
Mitarbeiter verursacht. Manche Einbruchsversuche sind
feindlich, manche geschehen
unabsichtlich. Sicher ist, dass
das Potenzial für Sicherheitsverletzungen wegen des Y2KProblems erheblich zugenommen hat.
Eine stringente Sicherheitsstrategie muss also ergänzende
Gegenmaßnahmen enthalten,
um auch auf interne Attacken
zu reagieren. Intrusion-Detection-Systeme (IDS), sowohl
netzwerk- als auch Host-basiert, spüren interne und externe Einbrüche auf und ergänzen
Firewalls. Mit den netzwerkbasierten Intrusion-DetectionSystemen können Unternehmen relativ schnell die richti-
gen Abwehrstrategien entwickeln und so ihre individuellen Security Policies realisieren. Die intuitive Benutzeroberfläche moderner IDS mit
einer flexiblen Erweiterbarkeit
von Angriffsmustern erleichtert es dem IT-Management,
strenge Sicherheitsstandards in
dynamischen, offenen Netzen
durchzusetzen. Darüber hinaus
lässt sich gute IDS-Software
einfach installieren: Sie erkennt automatisch gängige
Systeme und Applikationen
und implementiert die jeweils
passende Schutzmaßnahme.
Jede Veränderung in der Struktur des Netzwerks wird ebenfalls sofort erkannt.
Die Ergänzung zur Überwachung des Netzverkehrs mit
netzwerkbasierten IDS ist die
Kontrolle aller kritischen Systeme im Netz mit Host-basierten Intrusion-Detection-Systemen. Diese überwachen die
Aktivitäten an den einzelnen
Hosts und den daran angeschlossenen Geräten im Netz.
Dabei registrieren sie in Echtzeit jede verdächtige oder nicht
autorisierte Aktion über WebServer, Firewalls und Router sowie in Anwendungen
und Datenbanken. Zu diesem
Zweck überprüfen Host-basierte IDS in erster Linie Protokolldateien. Jeder Zugriff auf
einen Netzwerkrechner mit
Angaben zum Beispiel über
Benutzernamen, Passwörter,
Zugriffszeit und -dauer wird in
die jeweilige Log-Datei eingetragen. Diese Informationen
wertet das IDS kontinuierlich
aus. Bei verdächtigen Vorkommnissen schlägt das IDS
Alarm.
Bei fortschrittlichen IDS
überwachen so genannte
Agents jedes einzelne System,
auch in weit verzweigten und
komplexen Netzen. Diese
Agents sind mit mehreren Intrusion-Detection-Managern
verbunden, die ihrerseits einen
Anschluss an die zentrale Intrusion-Detection-Konsole haben. Diese Konsole dient zum
Installieren und Updaten der
Agenten, zur Definition von
Abwehrszenarios und zum
Verfolgen von Einbruchsversuchen im gesamten Netz.
SICHERHEIT RUNDUM Si-
cherheit sollte ein kontinuierlicher Prozess in einem Unternehmen sein. Dafür eignen sich
professionelle Sicherheitsmanagement-Lösungen, die den
Ist-Zustand des Netzes mit der
Security Policy eines Unternehmens vergleichen. Sie sind
in der Lage, Unternehmensnetze beliebiger Größe laufend
nach potenziellen Risiken zu
untersuchen, selbst wenn daran
Zehntausende von Einzelsyste-
Für die Suche nach Eindringlingen oder Saboteuren im Netz gibt es
zwei verschiedene Basistechnologien: Host-basierte Systeme kontrollieren einzelne Anwendungen oder Betriebssysteme am Host; netzwerkbasierte überprüfen Datenpakete im Netzverkehr nach spezifischen Angriffsmustern.
www.lanline.de
men hängen. Darüber hinaus
gewährleisten sie, dass auch
bei der Implementierung die
Verbindung zum Internet nicht
unterbrochen werden muss:
Die Integrität sensibler Daten
wird damit vollständig gewahrt. Über eine zentrale Konsole überwachen sie das Netz
und managen die installierten
Schutzmaßnahmen im gesamten Unternehmen automatisch,
einschließlich aller Workstations, Server und anderen
Schlüsselkomponenten für den
Zugang zum Internet. Eine Sicherheitsmanagement-Lösung
mit umfangreichen ReportingFunktionen ist zum Beispiel
der Enterprise-Security-Manager (ESM). Dieser erlaubt,
durch seine hohe Skalierbarkeit und Automation tausende
von Systemen hinsichtlich der
Einhaltung der definierten Sicherheitsstandard zu überprüfen, inklusive der neuesten Security-Patches und Konfigurationen für gängige Betriebssysteme.
INTERNET-ZUGANGSKONTROLLE
Sicherheitslücken
verhindern
Das Internet ist zum vorrangigen Business-Tool
geworden, weil es die Kommunikation erleichtert,
die Zusammenarbeit verbessert, Reisekosten
einspart und die Produktivität steigert. Dies ist
gut, wenn die Mitarbeiter das Internet am
Arbeitsplatz so nutzen wie es gedacht wurde,
nämlich, um Unternehmensziele zu erreichen. Ein
verkabelter Arbeitsplatz kann jedoch auch
produktivitätshemmend sein, gerade weil
Mitarbeiter Zugang zum Internet haben.
Das US-Arbeitsministerium schätzt, dass verschwendete Arbeitszeit die
Unternehmen pro 1000 Mitarbeiter jährlich bis zu drei
Millionen Dollar kostet. Die
private Nutzung des Internets
während der Arbeitszeit –
das “Cyberslacking” – trägt
hierzu in Form von Produktivitätsverlusten und verschwendeter Bandbreite bei,
wie neuere Studien zeigen.
Die von Nielsen/Netratings
im März 2000 veröffentlichten Zahlen beweisen, dass
Büroarbeiter doppelt so viel
Zeit online verbringen als
Anwender aus anderen Berufsgruppen. Die Studie zeigte außerdem, dass einige
Website-Kategorien wie Finanz-, Nachrichten- und Informations-Websites während der Arbeitszeit viel beliebter sind als sonst. Eine
andere Studie von Nielsen/
Netratings verzeichnete von
April bis September 1999 einen Anstieg beim Datenverkehr mit pornografischen
Websites auf 12,5 Millionen
Einzelbesucher – eine Steigerung um 140 Prozent. An
dieser Stelle geht die Sorge
über die Frage nach Produktivität und Bandbreite hinaus: Wenn Mitarbeiter solche Websites besuchen,
könnte dies für den Arbeitgeber unangenehme rechtliche
FAZIT Es gibt genügend We-
ge, die Integrität sensibler Unternehmensdaten, die über Jahre gesammelt und auf dem
Laufenden gehalten wurden,
auch im neuen Jahrtausend erfolgreich zu schützen. Die vorrangige Aufgabe liegt darin,
ein Bewusstsein für das vorhandene Risikopotenzial zu
schaffen. Und nur durch ein
umfassendes Sicherheitsmanagement mit einer definierten
Sicherheits-Policy lassen sich
Risiken eindämmen und Netzwerkattacken
erfolgreich
bekämpfen.
(Artur Heil/gg)
Artur Heil ist General Manager Central Europe bei Axent
Technologies
30
Languard arbeitet im Netzwerk als Content-Scanner auf Software-Basis unter Windows NT und 2000
www.lanline.de
Konsequenzen nach sich ziehen.
Gleichgültig, was die
Quelle der Zerstreuung im
Web ist, unkontrollierte Nutzung des Internets bei der Arbeit verringert die allgemeine
Produktivität im Unternehmen. Es wäre jedoch unpraktisch und behindernd, die
Nutzung des Internets als Lösung für diese Probleme zu
verbieten. Um das Thema in
den Griff zu bekommen, sollten Unternehmen ihren Mitarbeitern ein Dokument aushändigen, das die Nutzung
des Internets im Unternehmen eindeutig regelt, um den
Missbrauch von Ressourcen
während der Arbeitszeit zu
verhindern. Das Dokument
sollte alle Mitarbeiter darauf
hinweisen, dass ihre Nutzung
des Internets überwacht wird
und gleichzeitig definieren,
was das Unternehmen in dieser Hinsicht für akzeptabel
hält.
Um diese Politik zu unterstützen, muss das Unternehmen in die richtigen Schutzmechanismen
investieren,
die in Form unaufdringlicher
aber effizienter Tools verfügbar sind wie Werkzeuge und
Systeme zur Überwachung
des Netzwerks. An dieser
Stelle tritt Software zur Internet-Zugangskontrolle (Internet Access Control – IAC),
auch
Mitarbeiter-InternetManagement-Technologie
genannt, auf den Plan.
IAC-Software sperrt den
Zugriff auf unerwünschte
Websites und filtert Inhalte
heraus (etwa durch Verbot
des Zugriffs auf Video- und
Audiodateien). Diese Software enthält auch Funktionen
zur Überwachung, Kontrolle,
Protokollierung und Verwal-
32
tung von Internet-Zugriffen.
Solche Produkte funktionieren mit einem von vier Mechanismen:
Proxy-Server,
Network-Sniffer, über ein
Add-on für ein Firewall-Produkt oder durch die Erweiterung eines vorhandenen Produkts vom Typ Proxy-Server.
Produkte, die eine InternetZugangskontrolle über individuell angepasste ProxyServer erreichen, haben in
diesem Bereich keine Zukunft. Dies liegt daran, dass
bei
Verwendung
eines
Proxy-Servers alle Clients
neu konfiguriert werden
müssen (was allerdings nicht
auf transparente Proxies zutrifft) und in vielen Fällen eine Änderung der Netzwerkkonfiguration
erforderlich
ist. Diese Vorgehensweise
sorgt außerdem für Leistungseinbußen und ein mögliches Timeout einiger Browser. Und wahrscheinlich sind
auch nur Neulinge nicht in
der Lage, den Proxy-Server
zu umgehen. Außerdem ist
die Vorgehensweise über
Proxy-Server nicht imstande,
mit internen Verletzungen
der Sicherheit umzugehen.
Produkte vom Proxy-ServerTyp sind beispielsweise
Smartfilter, I-Gear, Websweeper, Trend Interscan Viruswall und Webmanager.
Genauso befinden sich
IAC-Produkte, die über ein
Add-on eines vorhandenen
Produkts des Typs ProxyServer funktionieren, im
Rückzug. Bei Windows 2000
wird ein Proxy-Server/NAT
(Network Address Translation) als Bestandteil des Betriebssystems mitgeliefert.
Obwohl es also einige ProxyServer-Produkte gibt, wer-
den diese wahrscheinlich
durch den kostenlosen Proxy-Server von Windows
2000 ersetzt.
Ein weiterer Weg zur Internet-Zugangskontrolle führt
über IAC-Produkte, die als
Zusatzmodul einer vorhandenen Firewall funktionieren.
Der Nachteil dieser Methode
liegt in ihrer Abhängigkeit
von der Architektur der Firewall.
SNIFFER Das Hauptziel bei
der illegalen Verwendung eines Sniffers ist das Erfassen
von Benutzernamen, Passwörtern, Quellcodes und anderen vertraulichen, wichtigen oder geschützten Informationen. Ein Sniffer lässt
sich auch zum Einbruch in
ein benachbartes Netzwerk
verwenden. Sobald Passwörter und Benutzernamen auf
diese Weise aus dem Netzwerk extrahiert wurden, können Hacker in ein System
einbrechen, auf passwortgeschützte Informationen zugreifen und diese einsammeln.
Sniffer gibt es auch in
Form trojanischer Pferde,
welche die ersten Tastaturschritte einer Sitzung aufzeichnen (ein “gehacktes”
telnet oder ftp) oder als Programme, die im Hintergrund
residieren und den Datenverkehr an einem Ethernet-Port
abhören und Informationen
an “interessanten” Diensten
im LAN aufzeichnen.
Zum Schutz des Systems
benötigt man ein Tool, das
jeden Rechner im LAN erkennen kann, der sich im offenen Modus befindet und im
selben Moment einen Alarm
auslöst. Dieses Tool dient zur
Kontrolle von Internet-/Netz-
werk-Zugriffen und ist oft in
Form eines kommerziellen
Sniffers erhältlich.
Wo Packet-Sniffer aus dem
Hacker-Untergrund dazu dienen, in Computer einzubrechen, werden kommerzielle
Packet-Sniffer zur Wartung
des Netzwerks verwendet.
Zu den Schlüsselfunktionen
kommerzieller Sniffer zählt
das Erkennen von Eindringlingen im Netzwerk zur Abwehr von Hackern. Kommerzielle Sniffer erfassen Netzwerkpakete, um den Datenverkehr im Netz zu analysieren und potenzielle Schwierigkeiten ausfindig zu machen. Sie werden beispielsweise auch zur Protokollierung des Datenverkehrs sowie zur Fehler- und Leistungsananlyse im Netzwerk
verwendet.
FIREWALLS ALLEIN GENÜGEN NICHT Eine verbreitete
Fehlannahme ist, dass das Erkennen von Eindringlingen
von einer Firewall umfassend
erbracht werden kann. Eine
Firewall ist für die Netzwerksicherheit zwar von großer
Bedeutung, aber um einen
echten Schutz zu gewährleisten, muss sie durch weitere
Sicherheitswerkzeuge verstärkt werden wie etwa
durch ein Programm zur
Überwachung der Netzwerkzugriffe.
Gary C. Kessler rät in seinem Artikel im Windows
2000 Magazine vom Oktober
1999: “Firewalls sind kein
ausreichender Schutz mehr,
weil sie statische Geräte sind,
die ein bestimmtes Regelwerk durchsetzen... Für einen
kompletten Schutz brauchen
Sie zusätzliche Werkzeuge,
besonders für Windows NT
www.lanline.de
und das TCP/IP-Protokoll”.
Der Einsatz einer Firewall
lässt sich mit dem Installieren einer festen Haustür mit
mehreren Schlössern vergleichen. Schlupflöcher und Hintertüren gibt es jedoch immer, und der Haupteingang –
egal wie stark geschützt –
kann umgangen werden. Genauso lässt sich eine Firewall
in einem LAN umgehen,
wenn beispielsweise eine
DFÜ-Verbindung
offen
bleibt.
Ein Werkzeug zur Überwachung der Netzwerkzugriffe
funktioniert wie die Einbruchsicherung über Sensoren. Es dient der Überwachung des Systems und löst
den Alarm aus, wenn es sich
unnormal, verdächtig oder
auf unerwünschte Weise verhält oder eine Änderung im
Muster des Datenverkehrs im
Netz auftritt. Ein solches
Tool für die Netzwerksicherheit ist verantwortlich für das
Erkennen,
Protokollieren
und die Analyse bestimmter
Vorgänge im Datenverkehr
sowie für das Erkennen von
Sniffern im Netzwerk.
IAC-Produkte, die über einen Network-Sniffer funktionieren,
“durchschnüffeln”
den gesamten TCP/IP-Datenverkehr im Netzwerk. Hier ist
keine Neukonfigurierung der
Clients erforderlich. Diese
Kategorie von Produkten
wird allgemein als für die Internet-Zugangskontrolle am
besten geeignet bezeichnet –
besonders deshalb, weil solche Tools zusätzlich den internen Netzwerkdatenverkehr
überwachen, um Anwender
zu erkennen, die unerlaubt auf
Ressourcen zugreifen.
Zu den IAC-SoftwareProdukten, die Network-
www.lanline.de
Sniffer-Technologie anwenden, zählen beispielsweise
Languard von GFI, Internet
Manager von Elron Software, Surfcontrol von JAS
und
Abirnet/CAs
Sessionwall 3. Languard überwacht den gesamten Internet-Datenverkehr, um die
unproduktive Nutzung des
Internets zu verhindern.
Über sein “Rules-Modul”
kann der Netzwerkadministrator festlegen, welche Websites zulässig sind und welche Arten von Inhalten die
Anwender suchen und betrachten können. Außerdem
bietet es Reporting-Tools
für die Internet-Nutzung.
Die Software schützt gegen
externe und interne Gefahren (Hacker, Benutzer ohne
Zugriffsrechte,
PasswortKnacker etc).
Ein wichtiger Faktor ist
die Effizienz von IAC-Produkten. Einige Lösungen
bieten die Filterung von
Websites durch Indizierung
des Internets über eine Datenbank
unerwünschter
Websites. Durch das rasante
Wachstum des Internets ist
dies eine äußerst schwierige
Aufgabe geworden. Besser
wäre es, einen Filter zu
wählen, der auf Basis von in
der URL oder der Website
enthaltenen Schlüsselwörtern den Zugriff auf unerwünschte Websites sperrt.
In Kombination mit firmeninternen Richtlinien zur
Internet-Nutzung kann ein
Produkt zur Internet-/Netzwerkzugangskontrolle für
eine größere Effizienz sorgen und gleichzeitig zu mehr
Sicherheit im Netzwerk beitragen.
(Niko Makris,
GFI Fax & Voice/mw)
33
VERSCHLÜSSELUNGSALGORITHMEN
Die Wahl
des Schlüssels
Verschlüsselungsverfahren kommen als Sicherheitsmaßnahme in IT-Systemen dann zum Einsatz, wenn
der existierende Grundschutz zur Gewährleistung
erforderlicher Datensicherheit nicht mehr aus-
Selbst wenn eine Verschlüsselungsmethode auf bewährten und nach dem heutigen Wissensstand als robust
angesehenen mathematischen
Theorien beruht, kann man
ihren Sicherheitswert durch
ein schlechtes Schlüsselmanagement zunichte machen.
3. Die Größe des Schlüsselraums, das heißt die Zahl
der möglichen Schlüsselkombinationen.
reicht. Bei der Auswahl der geeigneten Verschlüsselungsmethode spielen neben ihrem Einsatzbereich
auch Einschätzungen vom potenziellen Gegner eine
Rolle.
Unter dem Begriff “Verschlüsselungsverfahren” versteht man neben dem eigentlichen Algorithmus alle möglichen Klar- und Chiffretexte
sowie alle möglichen Schlüssel. Jeder dieser Faktoren hat
jeweils eine Auswirkung auf
die Sicherheit der Verfahren.
Unter einem Algorithmus
oder Verschlüsselungsalgorithmus versteht man hingegen eine mathematische Funktion zur Verschlüsselung und
Entschlüsselung von Nachrichten. Um die Sicherheit eines bestimmten Verfahrens zu
bestimmen, müssen verschiedene Faktoren in Betracht gezogen werden.
KRITERIEN FÜR DEN SICHERHEITSWERT Im Prinzip
beziehen sich die Kriterien zur
Beurteilung der Sicherheit eines bestimmten Kryptoverfahrens auf den Aufwand bezüglich der Daten, Zeit und
Speicherkapazität, der zum
Knacken des Schlüssels erforderlich ist. In der Praxis ist die
Ermittlung des Sicherheitswerts eines Verschlüsselungs-
34
verfahrens allerdings ein komplizierter Prozess. Um den Sicherheitswert eines bestimmten Kryptosystems messen zu
können, sind folgende Kriterien ausschlaggebend.
1. Die Qualität des Verschlüsselungsverfahrens
Voraussetzung hierfür ist
ein Verständnis des Gesamtprozesses sowie die hohe Qualität aller Einzelteile. Ein Verfahren ist dann mangelhaft,
wenn die Robustheit des verwendeten Algorithmus gegenüber den Ressourcen des
Angreifers nicht ausreichend
ist oder wiederholt Passagen
im Klartext vorkommen, die
das Analysieren der Umformungen, die zwischen Klartextblöcken und ihren Chiffretext-Äquivalenten stattfinden,
ermöglichen. Dies können
zum Beispiel Standardnachrichten oder bekannte Textbausteine sein, die zur Formulierung von Textdateien verwendeten werden.
2. Die Vertraulichkeit der Implementierung und ein sicheres Schlüsselmanagement.
EINSATZBEREICHE Generell
unterscheidet man beim Einsatz von Verschlüsselung zwischen vier Einsatzbereichen:
1.Verschlüsselung von Informationen
Informationen werden aus
Sicherheitsgründen zu zwei
Gelegenheiten verschlüsselt:
Bei der Übermittlung und bei
der Speicherung. Während der
Übertragung von Daten erfolgt die Verschlüsselung dabei entweder transparent für
die einzelnen Benutzer in einem Netzelement (zum Bei-
Versand verschlüsselter EMails). Bei Speicherung erfolgt die Chiffrierung entweder automatisch wenn zum
Beispiel der gesamte Inhalt einer Festplatte im laufenden
Betrieb verschlüsselt wird. Alternativ kann auch der Benutzer bestimmte zu verschlüsselnden Informationen manuell auswählen, wenn er beispielsweise nur einige sensible Dateien vor unberechtigtem Lesen schützen möchte.
2. Authentifizierung
Zur Überprüfung der Identität von Benutzern kommen
Verschlüsselungsverfahren
beispielsweise bei Zugangssystemen wie Smartcards
zum Einsatz.
3. Integrität
Zur Sicherung der Integrität
(Unversehrtheit) von übertragenen Daten werden Kryptoalgorithmen zum Beispiel bei
einer digitalen Unterschrift
verwendet.
4. Unbestreitbarkeit
Bei der Sicherung der Un-
Korrekte Abläufe beim Schlüsselmanagement sind die Voraussetzung
für die Sicherheit des Gesamtsystems
Quelle: IT-Secure
spiel in einem VPN) oder
durch Benutzeroperationen
vor der Datenübertragung
(wie beispielsweise bei dem
bestreitbarkeit der Übertragung von Daten werden Verschlüsselungsverfahren eingesetzt, damit der Absender
www.lanline.de
die Absendung der Nachricht
nicht bestreiten kann. Ebenso
kann der Empfänger den
Empfang der Nachricht nicht
abstreiten
Bei der Wahl der geeigneten Verschlüsselungsmethode
spielt neben dem Einsatzbereich jedoch auch die technische Realisierung der Verschlüsselung eine Rolle. Dabei ist unter anderem zu prüfen, ob die Verschlüsselung
mit einer Software oder einer
ohne eine geheime Information (Schlüssel) sehr schwierig oder gar unmöglich ist.
Symmetrische Verschlüsselungsalgorithmen werden
dabei unter folgenden Umständen als robust beurteilt:
1. Der Klartext ist nicht ohne
den Schlüssel anhand des
Chiffretextes zu entschlüsseln.
2. Eine Veröffentlichung des
Algorithmus darf seine
Verschlüsselungsstärke
heißt, die Ausführungsreihenfolge der einzelnen Rechenoperationen ist nicht
austauschbar.
5. Sowohl die Input-Daten als
auch der Schlüssel müssen
eine Auswirkung auf die im
Algorithmus auszuführenden Substitutionen und Permutationen haben.
6. Die redundanten Bits im
Klartext dürfen keinen Effekt auf den Chiffretext haben. Das redundante Bit ist
Einsatzweise
Algorithmen-Typ
Überprüfung
ÜberprüfungAuthentifizierung
der
der Integrität
Vertraulichkeit
symmetrische
Veschlüsselungsalgorithmen
asymmetrische
Verschlüsselungsalgorithmen
Algorithmen für
digitale Unterschrift
Algorithmen für SessionKey-Verschlüsselung
One-Way Hash-Funktionen
(Einweg-Hash-Funktionen)
MAC-Algorithmen
[Message Authentication Code]
Schlüsselverwaltung
ja
nein
nein
ja
ja
nein
nein
ja
nein
ja
ja
nein
ja
möglich
nein
ja
nein
nein
ja
nein
nein
ja
ja
nein
Auswahlkriterien für Verschlüsselungsverfahren
Quelle: Angewandte Kryptographie, Bruce Schneider, 1996
Smartcard realisiert werden
soll und wieviel Prozessorkapazität für die Verschlüsselung zur Verfügung steht.
SICHERHEITSWERT Die einfachste Form eines Verschlüsselungsalgorithmus ist
eine Bit-weise XOR-Funktion. Selbst bei komplizierten
Algorithmen ist es jedoch mathematisch ziemlich einfach,
die Berechnungen in eine
Richtung durchzuführen. Die
Sicherheit dieser Algorithmen
beruht jedoch darauf, dass die
Faktorisierung sehr großer
Zahlen wie zum Beispiel die
Produkte zweier Primzahlen
36
nicht einschränken. Ihre Sicherheit muss auf dem geheimen Schlüssel beruhen.
3. Kleine Änderungen im
Schlüssel bewirken bei
Gleichhaltung des Klartextes radikale Veränderungen
im Chiffretext. Anderseits
bewirken auch kleine Änderungen im Klartext bei
Gleichhaltung des Schlüssels radikale Veränderungen
im Chiffretext. Dies ist der
so genannte Avalanche-Effekt.
4. Der Algorithmus enthält
nicht-kommutative
Verknüpfungen der Substitutionen und Permutationen. Das
anhand der umliegenden
Bits zu erraten – es hat keinen Informationswert.
7. Die Längen des Chiffretextes und des entsprechenden
Klartextes sind miteinander
identisch.
8. Es dürfen keine einfachen
Abhängigkeiten zwischen
einem Chiffretext und einem der möglichen Schlüsselalternativen bestehen.
9. Der Schlüsselraum enthält
keine “schwachen” Schlüssel. Alle möglichen Schlüsselalternativen sind ebenso
gut.
Als erwünschte Eigenschaften eines symmetrischen
Algorithmus sind noch zu
nennen:
1. Die Schlüssel- sowie Textlängen müssen für unterschiedliche Einsatzzwecke
einstellbar sein.
2. Der Algorithmus muss sowohl auf Mainframes, Minicomputern und Workstations effektiv realisierbar
sein.
Um sicherzustellen, dass jederzeit die Kriterien für einen
robusten Algorithmus erfüllt
werden, sollte man sich an einen Experten wenden. Da es
aber bislang noch keine neutralen Expertenorganisationen
gibt, die solche Dienste anbieten, kann man selber einige
Voraussetzungen für einen robusten Algorithmus festlegen,
und zwar auf der Grundlage
folgender Kriterien:
1. Veröffentlichung:
Ein Algorithmus kann als sicher gelten, wenn er von zahlreichen Forschern und Wissenschaftlern analysiert wurde. Dabei muss die Sicherheit
des Algorithmus auf einem geheimen Schlüssel beruhen und
nicht auf der Geheimhaltung
des Algorithmus selbst.
2. Ein geheimer, also einem
privaten Hersteller gehörender, “Proprietary”-Algorithmus:
Die Stärke dieses Algorithmus basiert auf der Vermutung, dass es ein bekannter
Hersteller nicht wagen würde,
Kryptoprodukte mit schwachen Algorithmen auf den
Markt zu bringen. Hierbei
sollte sich der potentielle Anwender jedoch die Frage stellen, über wie viel Know-how
der Hersteller verfügt
3. Von einem neutralen Dritten geprüft:
Algorithmen lassen sich am
besten von einem neutralen
www.lanline.de
Dritten beurteilen. Doch ist
fraglich, ob eine einzelne Person fähig ist, mit ihrem Knowhow und Ressourcen eine ausreichende Beurteilung zu geben.
4. Selbstentwickelte Verfahren:
Eigenentwicklungen werden
in der Regel zur Wahrung nationaler Interessen entwickelt,
frei nach dem Motto: “Wir vertrauen nur auf uns”. Hierbei ist
zu beachten, ob ausreichend
Know-how im eigenen Unternehmen vorhanden ist und wie
gut die Qualität und Durchführung der Testverfahren ausfällt.
Die Praxis hat gezeigt, dass
es für eine umfangreiche Prüfung des Sicherheitswerts einer
Veröffentlichung des Algorithmus bedarf. Damit wird sichergestellt, dass wissenschaftliche
Beurteilungen über seine Sicherheit stets vorliegen. Prüfung in der Öffentlichkeit bedeutet auch, dass schwache Algorithmen schnell außer Gebrauch kommen. Auch wenn
dies heute als der beste Maßstab für die Robustheit eines
Algorithmus angesehen wird,
so muss doch betont werden,
dass es Jahre dauern wird, bevor man sichere Aussagen über
den Sicherheitswert eines gerade erst veröffentlichten Algorithmus machen kann.
PRAXIS In der Praxis kann man
einen Algorithmus nicht für jeden Zweck einsetzen. So
macht beispielsweise die niedrige Geschwindigkeit des
RSA-Verfahrens diese Methode praktisch unbrauchbar für
die Verschlüsselung großer
Datenmengen. RSA findet daher seinen Einsatz meistens bei
der Schlüsselverwaltung. Die
Tabelle zeigt die Algorithmen-
38
typen sowie deren Anpassung
für verschiedene Einsatzbereiche im Überblick. Auch ist die
Sicherheitsstärke eines bestimmten Verschlüsselungsverfahren stets mit der sorgfältigen Verwaltung der Schlüssel
verbunden. Trotz des häufig
großen Arbeitsaufwands sollte
man der Schlüsselverwaltung
besondere Aufmerksamkeit
widmen, da eine fehlerhafte
Verwaltung der Schlüssel die
gesamte
Sicherheitslösung
kompromittieren kann.
SCHLÜSSELMANAGEMENT
Selbst das stärkste Verschlüsselungsverfahren mit effektivem
Algorithmus, korrekter Implementierung und ausreichender
Schlüssellänge hilft nichts,
wenn das gesamte System
durch die Ausnutzung einer
mangelhaften Schlüsselverwaltung umgegangen wird. Zur
Schlüsselverwaltung gehören
korrekte Abläufe bei Erzeugung, Verteilung, Sicherung,
Einsatz, Speicherung, Anfertigung von Sicherungskopien,
Vernichtung und letztendlichem Löschen von Schlüsseln.
Beim Einsatz von Kryptoverfahren müssen alle diese Teilbereiche realisiert werden, und
zwar mit einer angemessenen
Qualität, damit das erwünschte Sicherheitsniveau erreicht
wird. Hierbei gibt es folgende
Punkte zu beachten:
– Erzeugung von Schlüsseln:
Schlüssel sollten immer in
einer sicheren Umgebung
erstellt werden. Dabei ist darauf zu achten, dass ein guter
Schlüssel bei symmetrischen Verfahren eine echte
Zufallsfolge und ausreichende Schlüssellänge hat.
Ein vom Benutzer selbst erfundenes Wort ist nie “echt”
zufällig.
– Verteilung von Schlüsseln:
Hier gilt das Augenmerk vor
allem dem Übertragungsmedium. Dabei gilt zu klären,
ob der Schlüssel auf Papier
geschrieben und per Post
oder Kurier übermittelt werden sollen oder eine Datenverbindung genutzt werden
kann. Zudem sollte beachtet
werden, ob die Schlüssel
chiffriert und komplett oder
als Teile über unterschiedliche Wege verteilt werden.
– Beglaubigung: Hier gilt es zu
berücksichtigen, wie der Anwender die Richtigkeit des
Schlüssels, den er empfängt,
überprüfen kann.
– Verwendung:
Je
nach
Schutzbedürfnis muss der
Sicherheitsbeauftragte festlegen, wie lange ein bestimmter Schlüssel verwendet werden darf.
– Speicherung: Eine weitere
Entscheidung ist der Speicherort eines Schlüssels. Als
Möglichkeiten seien das
Niederschreiben auf Papier
oder die elektronische Speicherung auf einer Chipkarte
oder Festplatte genannt.
– Sicherungskopien:
Soll,
muss oder darf es Sicherungskopien der Schlüssel
geben? Wo werden diese
Kopien gespeichert und wer
hat Zugriff auf sie?
– Vernichtung: Falls ein
Schlüssel geknackt oder entdeckt wird, gilt es festzulegen, ob und wie schnell dieser vernichtet wird.
– Löschen: Schließlich muss
ein Unternehmen einen Weg
finden, um nicht mehr
benötige Schlüssel sicher zu
löschen.
FAZIT Für die Beurteilung
des Sicherheitswerts bei einem bestimmten Verschlüs-
selungsverfahren gibt es keinen einheitlichen und einfach anwendbaren Maßstab.
Es scheint viel einfacher zu
sein, bei einem Algorithmus
eine Vielzahl von Fehlern
und Mängeln nachzuweisen
als denselben Algorithmus
als sicher beurteilen zu können. Eine Verschlüsselungsmethode mit einem hohen
Sicherheitswert setzt sich
nicht nur aus einem robusten
Algorithmus beziehungsweise einer bestimmten Schlüssellänge zusammen, vielmehr handelt es sich um ein
funktionsfähiges Gesamtdesign sowie eine Realisierung
mit hohem Qualitätsniveau.
Für alle Verschlüsselungsalgorithmen sollten daher die
folgenden Grundannahmen
gelten:
– nur der Schlüssel muss geheim gehalten werden
– die Algorithmen müssen öffentlich sein
– dem Gegner steht unendlich
viel Rechenkapazität und
Know-how zur Verfügung.
Darüber hinaus ist er für das
Knacken der Methode sehr
motiviert. Am besten lassen
sich Algorithmen daher von
einem neutralen Dritten mit
benötigten Fachkenntnissen
beurteilen, der sich auch mit
den für den Algorithmus
vorhandenen Forschungsergebnissen bekannt gemacht
hat.
(Martina Bruns/gh)
Martina Bruns ist Mitglied
der Geschäftsleitung von ITSecure in Mönchengladbach.
Quellenangaben:
Angewandte Kryptographie,, Bruce
Schneider, Wiley 1996
Technische Hochschule Tampere,
Finnland, Vorlesung: Grundlagen der
Kryptologie, Tatu Männistö, 4.3.1997
SecGo Tutor
www.lanline.de
Online
http://www.lanline.de
Das Netzwerk für
Netzwerk-Profis
Im Fokus: Web-Kennziffern
Der moderne Weg zur Produktinformation
Volltextarchiv
Das Internet entwickelt sich immer mehr zum unverzichtbaren
Recherchemedium für EDV-Profis. Neben E-Mail ist die Suche
nach aktuellen und detaillierten Produktinformationen mittlerweile einer der wichtigsten Einsatzbereiche des Internet. Unser
neuer Web-Kennzifferndienst macht die gezielte Suche so komfortabel und schnell wie nie zuvor. Ihre Vorteile:
Das Volltextarchiv mit Hunderten
von Artikeln aus allen AWi-Zeitschriften liefert Ihnen im Handumdrehen maßgeschneidertes ProfiWissen.
❶
Sie haben eine zentrale Anlaufstelle für Ihre Recherchen und sparen
sich den zeitaufwendigen Ausflug über diverse Suchmaschinen und
Web-Kataloge;
Marktübersichten
❷
Sie kontaktieren mit einer einzigen Anzeige beliebig viele Anbieter –
eine gewaltige Zeitersparnis;
Und so funktionieren die Web-Kennziffern
Über 100 Markt- und Anbieterübersichten schaffen Durchblick im Produktangebot und helfen bei Ihrer
Investitionsplanung.
❶
Zunächst wählen Sie aus, in welcher Ausgabe Sie recherchieren
möchten. Dann kreuzen Sie eine oder mehrere Produktkategorien an.
Alternativ können sie,
falls Sie schon genau wissen, wofür Sie sich interessieren, direkt den
Namen des Anbieters eingeben. Drücken Sie die
Schaltfläche „Weiter“, um
Ihre Abfrage zu starten.
❷
Das System stellt nun
eine Liste aller Inserenten und redaktionellen
Beiträge zusammen, die
Ihren Suchkriterien entsprechen. Wenn die Firma eine eigene Web-Site besitzt, dann ist der Firmenname in der linken Spalte mit einem Hyperlink unterlegt. Wichtig für Ihre InfoAnforderung sind die letzten vier Spalten. Hier können Sie bei jeder
Firma ankreuzen, ob Sie weitere Informationen per E-Mail, Post,
Fax oder Telefon erhalten möchten. Selbstverständlich können Sie
hier mehr als eine Firma ankreuzen. Auf diese Weise erstellen Sie
ohne zusätzlichen Aufwand gleich mehrere Anfragen.
Stellenmarkt
Ein neuer Job gefällig? Hier haben
Sie die Wahl zwischen mehreren
tausend aktuellen Angeboten speziell für DV-Profis.
LANline Spezial
Das Wichtigste zu den heißen Themen der Netzwerk-Branche – von
der Redaktion der LANline speziell
aufbereitet.
verlag münchen
wir informieren
spezialisten.
Online
http://www.lanline.de
Das Netzwerk für
Netzwerk-Profis
❸
Sie entscheiden, in welcher Form die Anbieter mit Ihnen in Kontakt
treten sollen: per Post, per E-Mail, per Fax oder gar per Telefon;
❹
Sie können darauf vertrauen, daß Ihre Anfrage mit dem Siegel einer
anerkannten Fachzeitschrift beim richtigen Ansprechpartner landet
und nicht geradewegs im elektronischen Papierkorb;
❺
Sie sparen sich die Arbeit, in jedem Kontaktformular von neuem Ihre
Daten einzugeben, denn unser Web-Kennzifferndienst merkt sich Ihre
Daten;
❻
Sie erhalten eine persönliche Link-Liste, die einen hervorragenden Einstiegspunkt für eigene Recherchen im WWW darstellt.
❸
Bei der erstmaligen Benutzung drücken Sie jetzt einfach den „Weiter“Button und gelangen damit zur Eingabemaske für Ihre Kontaktinformationen. Noch schneller
geht es, wenn Sie das
System schon einmal
benutzt haben. Dann
reicht die Eingabe Ihrer EMail-Adresse aus, und ihre
Daten werden automatisch ergänzt.
❹
❺
Wenn Sie jetzt „Weiter“
drücken, gelangen Sie auf
eine Bestätigungsseite
und das System generiert
für jeden der von Ihnen
angekreuzten Anbieter
eine Anfrage, die per EMail an den zuständigen Ansprechpartner verschickt wird. Dieser
setzt sich mit Ihnen auf dem von Ihnen gewünschten Weg in Verbindung.
Auf der Bestätigungsseite finden Sie außerdem eine kleine OnlineUmfrage, deren Ergebnisse uns dabei helfen, Sie auch weiterhin mit
http://www.lanline.de/info
Tips & Tricks
Hier finden Sie garantiert keine Tips
zu Winword – dafür aber jede Menge zu Netware, Windows NT, ISDN
und anderen Netzwerk- und Kommunikationsthemen.
Lexikon
Man muß nicht alles wissen – aber
man sollte wissen, wo man nachschlagen kann. Für alle Begriffe
rund um Netzwerk und Kommunikation werden Sie hier fündig.
Online-Shop
Ihnen fehlt noch ein LANline Spezial, oder die AWi-Jahres-CD? Hier
können Sie bequem online bestellen.
Service
Ein Abonnement gefällig? Sie wollen der Redaktion einmal richtig
Ihre Meinung sagen? Sie sind auf
der Suche nach einem spezialisierten Dienstleister in Ihrer Nähe?
http://www.lanline.de ist auf jeden
Fall die richtige Adresse.
SICHERHEITSPRODUKTE
SICHERHEIT IM NETZWERKBETRIEBSSYSTEM
Novells
Sicherheitsstrategie
Novells Sicherheitsstrategie für Netware ist einfach und wirkungsvoll:
Novell integriert die komplette Public Key Infrastructure (PKIS), Kryptographie und Authentifizierungsdienste in den Verzeichnisdienst NDS
Edirectory, das Herz aller neueren Netware-Systeme. Mit PKIS und
dem Novell-Certificate-Server können Zertifikate und ihre Schlüsselpaare im NDS-Baum gespeichert werden und außerdem eine eigene
Certificate Authority eingerichtet werden.
n den letzten Jahren hat die Akzeptanz
des Internets als Informations- und
Kommunikationsplattform stark zugenommen. Die Anwender sind jedoch immer noch sehr zurückhaltend, wenn es
dabei um den Bereich E-Commerce und
damit verbundene Transaktionen geht.
Die bisher gebräuchlichen Sicherungsverfahren, sofern sie von einem im Internet präsenten Unternehmen überhaupt eingesetzt werden, genügen den
meisten Internet-Nutzern nicht, um beispielsweise ihre Kreditkartendaten dem
Internet anzuvertrauen. Der Wunsch
nach einer sicheren Übertragung von
Daten und Informationen ist ohne Verschlüsselung mit sicheren Kryptographieverfahren nicht zu erfüllen, da die
Kommunikation und Datenübertragung
im Internet leicht abgehört werden kann.
Um zwischen einem Kunden und dem
Unternehmen eine Vertrauensbasis zu
schaffen, muss das Unternehmen garantieren, dass die Daten des Kunden auf
dem gesamten Übertragungsweg absolut sicher sind.
Das gilt sowohl für die eigentliche
Übertragung der Daten über das Internet
als auch für die notwendige Weiterverarbeitung und Speicherung der Daten im
Firmennetz. Denn was nützt eine sichere Internet-Übertragung, wenn die vertraulichen Daten schließlich in einem
nur unzureichend abgesicherten Unter-
I
42
nehmensnetzwerk gespeichert werden?
Auch im Firmennetz und damit im Netzwerkbetriebssystem müssen Verschlüsselungs- und Sicherheitsfunktionen vorhanden sein, die die Vertraulichkeit von
Firmen- und Kundendaten garantieren
können. Für die Verschlüsselung der
Ihre
Workstation
versieht es dann mit einer digitalen Signatur. Mit der Signatur wird die Echtheit
des Schlüssels garantiert. Mit Hilfe des
Novell-Certificate-Servers können Unternehmen, die NDS Edirectory einsetzen, eine eigene unternehmensspezifische CA innerhalb eines NDS-Baums
einrichten und X.509v3-Zertifikate erstellen, verwalten und speichern. Die
unternehmenseigene CA kann dann die
Echtheit der generierten Server- und Benutzerzertifikate garantieren. Die beglaubigten Benutzerzertifikate speichert
der Certificate Server in einem NDSBenutzerobjekt mit dem Namen UserCertificate und stellt diese so den Benutzern zur Verfügung. Der Benutzer kann
sein Zertifikat auf einer Diskette, Festplatte oder auch einer Smart-Card speichern und dieses zum Beispiel zur Authentifizierung gegenüber NDS eDirectory nutzen. NDS Edirectory von Novell
verwendet Verschlüsselung und Zertifikate, um Informationen zu sichern, die
für die Beglaubigung zwischen Arbeitsplatzrechner und Server oder zwischen
Anmeldeanforderung mit Passwort
Netware 5
Server
Server sendet den privaten Schlüssel
Öffentlicher Schlüssel des Servers wird angefordert
Proof wird generiert und mit dem öffentlichen
Schlüssel des Servers verschickt.
Proof wird mit dem privaten Schlüssel des
Servers entschlüsselt und falls korrekt, erfolgt
die Beglaubigung.
Verschlüsselte Anmeldung am Netware-Server
sensiblen Daten eignen sich nach heutigem Stand der Technik besonders gut
Verfahren nach dem Prinzip der Public
Key Infrastructure, kurz PKI.
mehreren Servern ausgetauscht werden.
Dabei wird ebenfalls die asymmetrische
Kryptografie mit einem Schlüsselpaar
eingesetzt.
VERTRAUENSVERHÄLTNIS BEIM EINSATZ VON SCHLÜSSELZERTIFIKATEN
VERSCHLÜSSELTE ANMELDUNG AN
EINEM NETWARE-SERVER Zunächst
Um die Identität eines Teilnehmers und
die Echtheit seines öffentlichen Schlüssel zu bestätigen, wird eine vertrauenswürdige Instanz, die so genannte Certificate Authority (CA) benötigt. Die CA
erstellt zunächst das Schlüsselpaar und
sendet der Client bei der Anmeldung des
Benutzers am Netzwerk eine ServiceAnforderung. Der Server antwortet, indem er an den Client einen codierten privaten Schlüssel sendet. Dieser private
Schlüssel wird dann zum Erzeugen einer
www.lanline.de
SICHERHEITSPRODUKTE
Signatur benutzt. Der Client fordert nun
den öffentlichen Schlüssel des Servers
an. Dann erzeugt der Client einen Proof,
verschlüsselt ihn mit dem öffentlichen
Schlüssel und schickt ihn an den Server.
Mit dem privaten Schlüssel wird der
Proof vom Server entschlüsselt. Ist das
Ergebnis des anschließenden Vergleichs
korrekt, erfolgt die beglaubigte Anmeldung.
MODULARE VERSCHLÜSSELUNG IN
NETWARE: NICI Durch weltweit ver-
schiedene Kryptographie-Gesetze und
Exportregelungen müssen Entwickler
bisher ihre Produkte immer an die länderspezifischen Gegebenheiten anpassen und verschiedene Versionen der
Software produzieren. Die Novell International Cryptographic Infrastructure
(NICI) umgeht dieses Problem: Die
NICI erleichtert durch ihren modularen
Aufbau Entwicklern den Einsatz von
Kryptographie, indem sie lokale Unterschiede in der Kryptographie-Gesetzgebung und in Exportrichtlinien von vornherein berücksichtigt und diese anwendet. Der Entwickler braucht sich somit
nicht mehr selbst um diese Unterschiede
zu kümmern und muss nur noch eine
Version seiner Applikation erstellen, die
durch NICI weltweit eingesetzt werden
kann. Von den kürzlich gelockerten USRichtlinien zum Export starker Kryptographie können Netware-Systeme somit
sehr einfach profitieren: Nach der Installation des neuen NICI-Moduls steht
allen Applikationen, die auf der NICI
und CCS-API aufbauen, sofort die starke 128-Bit-Verschlüsselung zur Verfügung – ohne dass die Applikationen neu
programmiert werden müssten.
NICI ist eine hierarchisch aufgebaute
Infrastruktur, die Kryptographie-Funktionalitäten auf vier verschiedene
Schichten aufteilt. Die Funktionalität jeder einzelnen Schicht wird durch dynamisch ladbare, digital signierte Module
zur Verfügung gestellt. NICI greift auf
das Controlled-Cryptographic-ServicesAPI zurück, um Verschlüsselungsschemata in Anwendungen zu integrieren,
und nutzt hierzu die Kryptographie-En-
www.lanline.de
gine von NDS Edirectory. Dabei kommt
eine regelbasierende Architektur zum
Einsatz. Die weltweit unterschiedliche
Verwendung und Speicherung von
Schlüsseln wird durch dynamisch ladbare Regeln sichergestellt, die in NICI und
nicht in der einzelnen Applikation definiert sind. Die Regeln werden somit unabhängig von den Applikationen definiert und stellen dann deren korrekte
und legale Funktion gemäß den lokalen
Gegebenheiten weltweit sicher. Durch
den modularen Aufbau der NICI können
Kryptographie-Algorithmen
zudem
leicht ausgetauscht und individuellen
Bedürfnissen, lokalen Vorschriften oder
künftigen Entwicklungen angepasst
werden. Das geschieht, ohne dadurch
die Integrität des Systems zu gefährden
oder gar Hintertüren zu öffnen, durch
die die Verschlüsselung durch Dritte
ausgehebelt werden kann (“cryptography-with-a-hole“).
METHODEN FÜR EINE SICHERE AUTHENTIFIZIERUNG Die gebräuchlichs-
te Authentifizierung beim Anmelden an
einem Netzwerk ist das Passwort. Die
Sicherheit dieser Methode hängt dabei
von der Qualität eines Passworts ab, das
nach den definierten Sicherheits- und
Passwortregeln des Unternehmens erstellt werden sollte. Der Länge und
Komplexität eines Passworts sind jedoch in der Praxis Grenzen gesetzt,
schließlich muss sich der Anwender sein
Passwort auch merken können. Hierin
liegt eine Schwachstelle bei der alleinigen Authentifizierung per Passwort.
Stärkere Authentifizierungsmechanismen lassen sich durch den Einsatz von
Smart-Cards, physischen Tokens oder
biometrischen Merkmalen realisieren.
Diese setzen jedoch neben der technischen Infrastruktur wie beispielsweise
Chipkartenleser oder Kameras die entsprechende Unterstützung durch das
Netzwerkbetriebssystem oder den Verzeichnisdienst voraus. Novell integriert
mit dem NMAS (Novell Modular Authentification Service) diese Funktionalität in den Verzeichnisdienst NDS Edirectory. Damit ist es möglich, die ge-
43
SICHERHEITSPRODUKTE
samte Palette der aktuellen technischen
Möglichkeiten wie Gesichtserkennung,
Fingerabdruck, Stimmerkennung, Unterschriftserkennung,
Iris-Abtastung,
Tokens, Smart-Cards und Passwörter
für Authentifizierung einzusetzen. Dabei können einzelnen Benutzern, Benutzergruppen, Applikationen und Zugriffsmethoden dynamisch Authentifizierungsregeln zugewiesen werden.
Nach der Installation des NMAS-Starter-Packs kann der Administrator zwischen Smart-Card, Token, Biometrie,
X.509-Zertifikat oder Passwort die geeignete Methode für die Authentifizierung des Anwenders auswählen. Bei der
Installation der NMAS wird automatisch ein Container-Objekt für die Login-Methoden innerhalb des SecurityContainer-Objekts generiert. In diesem
wird dann für jede Log-in-Methode, die
zum Einsatz kommen soll, ein eigenes
Objekt angelegt.
Bei sehr hohen Sicherheitsanforderungen kann man zusätzlich auf mehrfache Authentifizierung zurückgreifen.
Indem der Anwender eine bestimmte
Sequenz bei der Authentifizierung ausführen muss, lässt sich die Netzwerksicherheit erhöhen. Denkbar ist zum Beispiel zunächst eine Authentifizierung
über eine Smart-Card mit anschließender zusätzlicher Identifikation über einen Fingerabdruck, um zu belegen, dass
sich die Smart-Card auch im Besitz des
richtigen Anwenders befindet. Auch eine abgestufte Authentifizierung ist möglich. Beispielsweise erfolgt dann der Zugriff auf das Netzwerk durch eine
Smart-Card oder ein Passwort, der Zugriff auf die sensiblen Daten der Forschungsabteilung erfordert jedoch zusätzlich eine biometrische Authentifizierung durch Gesichtserkennung.
ERZEUGUNG UND EINSATZ DYNAMISCHER PASSWÖRTER Ein Problem
beim Einsatz von Passwörtern ist die relativ lange Lebensdauer eines Passworts. Zwar kann der Administrator
über Richtlinien vorgeben, dass der Anwender sein Passwort in regelmäßigen
Abständen zu ändern hat. Das Passwort
44
kann jedoch bis zur nächsten periodischen Änderung durch mehrmaliges Beobachten bei der Eingabe ausgespäht
werden. Eine Lösung für dieses Problem
bietet der Einsatz von aktiven Karten
oder Tokens, die ein Passwort für die
Authentifizierung generieren, das nur
ein einziges Mal verwendet werden
kann. Der Anwender selbst kennt nur
seine PIN für die Eingabe an der SmartCard. Das eigentliche Passwort für die
Anmeldung erzeugt der Algorithmus im
Chip der Karte.
Der Anwender erhält ein Token in der
Größe einer Scheckkarte mit einem
nummerischen Tastenfeld und einem
LCD. Zunächst gibt der Anwender seine
nur ihm bekannte PIN in die Karte ein.
Die PIN wird in der Karte verifiziert, ein
neues, dynamisches Passwort generiert
und im Kartendisplay angezeigt. Mit
diesem Passwort meldet sich der Anwender am Netzwerk an. Der Authentification-Server im Netzwerk überprüft
die Gültigkeit des dynamischen Passworts und gestattet den Zugriff auf das
Netzwerk. Da das Passwort nur einmal
gültig ist, muss ein potenzieller unbefugter Nutzer sowohl die PIN des Anwenders wie auch dessen Token besitzen. Ein ausgespähtes Passwort allein
ermöglicht ihm keinen Zugriff, da dieses
ja bereits zum Zeitpunkt des Ausspähens, nämlich bei der Anmeldung
des regulären Besitzers, verbraucht wurde.
INTEGRATION SPART KOSTEN Werden die notwendigen Schnittstellen und
Module für Verschlüsselung und Authentifizierung in das Netzwerkbetriebssystem oder den Verzeichnisdienst integriert, so kann der Anwender auf zusätzliche Produkte und Dienstleistungen
meist verzichten und somit Kosten senken. Eine anspruchsvolle Sicherheitsinfrastruktur ist damit heute für jedes Unternehmen realisierbar. Und angesichts
der ständig steigenden Sensibilität in Sicherheitsfragen wird sie für Unternehmen im Zeitalter des E-Business zunehmend unverzichtbar.
(Michael Naunheim, Novell/mw)
www.lanline.de
SICHERHEITSPRODUKTE
dient hauptsächlich zum Identifizieren der
vorhandenen Netzwerkressourcen, er findet zum Beispiel Namen und Aliases und
ermittelt, welche Betriebssysteme auf den
einzelnen Rechnern laufen. Außerdem
scannt er die Dienste, die für Sicherheitslücken bekannt sind wie Smtp oder Ftp.
TEST: NET RECON 3.0
Freundlicher
Einbruch
Net Recon soll Schwächen in der Netzwerksicherheit aufdecken. Die Software scannt Netzwerke oder einzelne Rechner und kombiniert dabei TestTools mit Werkzeugen zur Informationsbeschaffung und zum Cracken von
Systemen. Damit will die Lösung Administratoren dabei helfen, herauszufinden, welche Netzwerkkomponenten Sicherheitslöcher enthalten.
ie Installation von Net Recon läuft
über einen typischen Windows-NTWizard ab und gestaltet sich unproblematisch. Etwas ärgerlich war jedoch, dass das
Programm nicht mit der beigelegten Seriennummer zum Laufen gebracht werden
kann. Die dient nur zur Installation. Solange kein Lizenz-Key eingegeben wird, arbeitet die Software nur im Demo-Mode
und führt keine echten Scans aus. Es ist
folglich zuerst erforderlich, auf die AxentWeb-Seite zu gehen, dort ein umfangreiches Formular auszufüllen, in dem unter
anderem der Name des Zielcomputers, auf
dem Net Recon installiert wurde, anzugeben ist und dann zu warten, bis die AxentMitarbeiter den endgültigen License-Key
per Mail zustellen. Da diese Key-Generierung offensichtlich im Axent-Hauptquartier in Maryland erfolgt, muss ein europäischer Anwender schon mal einen knappen
Tag warten, bis er die Software richtig einsetzen kann. Bei einem Tool zur Sicherheitsüberprüfung stellt dieser umständliche und langwierige Weg ein Problem dar,
das der Hersteller schnellstens lösen sollte.
D
ÜBERSICHTLICHE OBERFLÄCHE Hat
man den Lizenz-Key erst mal erfolgreich
eingegeben, so steht einem ein recht übersichtliches Interface zur Verfügung. Das
Programmfenster ist in drei Bereiche unterteilt, oben links lässt sich der gewünschte Scantyp auswählen, definieren, welche
Ressourcen Net Recon überwachen soll
und festlegen, auf welche Schwächen die
46
Software besonders zu achten hat. Rechts
daneben befindet sich eine dreidimensionale Grafik, die dynamisch upgedatet wird
und anzeigt, wie viele Sicherheitslücken
gefunden wurden und wie schwerwiegend
diese sind. In der unteren Hälfte des Bildschirms erscheinen Details über die Informationen, die während des Scans gesam-
TIEFE DER SCANS Ein Medium Scan un-
tersucht darüber hinaus viele andere Ports
und Services sowie eine größere Anzahl an
Protokollen. Dazu gehören unter anderem
Windows Networking, RPC-, NIS- und
SMB-Dienste sowie IRC und Finger. Zusätzlich werden Standarddienste wie Smtp
genauer unter die Lupe genommen. Der
Heavy Scan schließlich enthält alle Maßnahmen der Light- und Medium-Scans und
nutzt außerdem die gewonnenen Informationen, um Zugriff auf Netzressourcen zu
bekommen. So loggt er sich bei Log-inServern ein oder greift auf Windows-Shares zu. Zusätzlich versucht er, verschlüsselte Passwörter zu knacken und Dateien
zu analysieren.
Das User-Interface von Net Recon stellt die Informationen übersichtlich dar
melt werden. Der Status-Bar am unteren
Rand gibt schließlich Aufschluss über den
Verlauf des Scans.
Net Recon bietet vier Voreinstellungen:
“Heavy Scan”, “Medium Scan”, “Light
Scan” und “Miscellanous”. Ein Light Scan
Die gefundenen Schwächen lassen sich
sowohl nach Rechnern als auch nach
Diensten geordnet anzeigen. Damit entsteht ein verhältnismäßig übersichtliches
Bild über den Sicherheitszustand des
Netzes.
www.lanline.de
SICHERHEITSPRODUKTE
Im Test scannten wir mehrere Computer, sowohl im LAN als auch im Internet.
Um das Ziel eines Scan-Vorgangs zu definieren, lassen sich sowohl IP-Adressen
recht nützlich und enthalten auch durchaus
sinnvolle Inhalte wie Links zu weiterführenden Informationen im Internet oder
Anleitungen, wie man das Problem (bei-
Die Software gibt zu den gefundenen Problemen umfassende Lösungstipps aus
(beziehungsweise Adressräume) als auch
Systemnamen, Domänennamen, Microsoft-Windows-Netzwerke und NetwareBäume spezifizieren.
Der Scan eines typischen Servers mit
Apache 1.3.9, aktivem FTP-Server und Linux-2.2.14-Firewall bei geringer Auslastung dauerte je nach Tiefe des Scan-Vorgangs zwischen fünf und 45 Minuten. Dabei stört allerdings, dass die Fortschrittsanzeige keinerlei Aussagekraft hat: Im Test
blieb sie wiederholt zehn Minuten lang auf
99 Prozent stehen. Net Recon zeigt übrigens gefundene Sicherheitslücken “on the
fly” an, eine Besonderheit dabei ist, dass
die Lösung nicht nur eine Warnung ausgibt, dass die Lücke existiert, sondern auch
Auskunft darüber gibt, wie sie gefunden
wurde. Da die Software genau wie ein
Cracker erkannte Systemschwächen ausnutzt, um tiefer in das System einzudringen, macht es durchaus Sinn, zu wissen,
wo die ursprüngliche Eingangstür liegt.
Eine weitere Besonderheit des Programms ist, dass es nicht nur das Problem
und den Weg anzeigt, sondern auch Tipps
zur Lösung gibt. Diese sind in der Regel
48
spielsweise durch einen Registry-Eintrag)
beseitigen kann. Das ersetzt zwar kein Sicherheitstraining, weil sich die darunterliegenden Zusammenhänge auf diese Weise
kaum vermitteln lassen, bringt aber im
praktischen Einsatz bei nicht allzu kritischen Problemen schnelle Ergebnisse.
Zur besseren Übersichtlichkeit unterscheidet Net Recon zwischen drei Sicherheitsstufen: Rot bedeutet große Gefahr,
gelb und grün markierte Einträge sind entsprechend weniger kritisch. Eine genauere
Aufteilung nach Punkten (0 entspricht unbedeutend, 100 ist dagegen sehr problematisch) findet sich in den einzelnen Fehlerbeschreibungen.
REPORTS Zusätzlich zu den am Bild-
schirm angezeigten Hinweisen kann Net
Recon auch einen ausführlichen StatusReport ausdrucken. Es empfiehlt sich aber,
vor dem Ausdruck erst einmal die Scan-Ergebnisse abzuspeichern, da die Software
im Test dazu neigte, beim Generieren des
Reports abzustürzen. Hat man den Ausdruck schließlich in Händen, steht jedoch
ein umfassendes Werk mit Problembe-
schreibungen und Hilfestellungen zur Verfügung, da auf Wunsch auch die Lösungstipps mit in den Report integriert werden.
Wird er Schritt für Schritt abgearbeitet, erhöht das ohne Zweifel die Sicherheit des
Gesamtsystems – außer, es war schon vorher ordentlich konfiguriert, dann hat der
Systemadministrator aber die beruhigende
Gewissheit, dass er zumindest nichts Wesentliches vergessen hat. Damit sich das
Tool nicht als Crack-Software nutzen lässt,
enthält der Report genau wie die Bildschirmausgabe keine Details, zum Beispiel darüber, wie geknackte Passwörter lauten.
FAZIT Die einzelnen Komponenten wie
Scanning- und Cracking-Tools arbeiten
zusammen und nutzen die gefundenen Informationen gemeinsam. Damit helfen sie
sich gegenseitig dabei, das Sicherheitskonzept der Netzwerkkomponenten auszuhebeln. Das ist eine Stärke der Software, da
das Tool ähnlich arbeitet wie ein Mensch.
Genauso viel Phantasie bringt es im Zweifelsfall jedoch kaum auf. Damit eignet sich
Net Recon gut dazu, Sicherheitslöcher in
Unternehmensnetzen aufzudecken und
hilft außerdem den Administratoren bei
der Problemlösung.
Definitive Sicherheit kann es allerdings
nicht bieten, zum Beispiel ist es denkbar,
dass der eine oder andere Dienst zur Zeit
des Scans gerade nicht aktiv ist, sodass das
Tool die Lücken, die er verursacht, schlicht
und einfach übersieht. Auch später auf die
Systeme übertragene Trojaner können
nachträglich Ports öffnen, die beim ursprünglichen Scan noch keine Löcher aufwiesen. Es empfiehlt sich also, den Scan
regelmäßig zu wiederholen, um die Konsistenz des Sicherheitskonzepts zu überprüfen. Das sollte kein Problem darstellen, da
die Software während eines normalen
Scans recht moderat mit den System- und
Netzwerkressourcen umgeht. Für den Sicherheitsexperten empfiehlt es sich sowieso, auf althergebrachte Weise mit HackerTools aus dem Internet zu arbeiten, diese
sind erstens billiger und zweitens immer
auf dem aktuellen Stand, wenn Sie auch
nicht so gut zusammenarbeiten wie die
Komponenten von Net Recon.
(Götz Güttich)
www.lanline.de
SICHERHEITSPRODUKTE
IM TEST: D-FENCE 4.14 FÜR WINDOWS NT
Stacheldrahtzaun
für Speichermedien
Den Datenklau über das Netzwerk sollen Firewalls, Content-Scanner und
VPNs verhindern. Ein oft vernachlässigtes Schlupfloch für Eindringlinge
sind jedoch die Diskettenlaufwerke und Festplatten lokaler PCs. Diese
Sicherheitslücke abzudichten, hat sich das Tool D-Fence zur Aufgabe gemacht.
ophos D-Fence für Windows NT ist
ein Programm zur Autorisierung und
Verschlüsselung von Disketten und Festplatten. Ist D-Fence im Import-/ExportModus auf einer Gruppe von PCs installiert, können nur noch Benutzer dieser
Rechner untereinander Disketten austauschen. Auf PCs ohne D-Fence sowie auf
Maschinen einer anderen D-Fence-Gruppe sind die geschützten Disketten nicht
lesbar. Um dennoch Floppies zwischen
D-Fence-Gruppen und Nicht-D-FencePCs austauschen zu können, muss der
Administrator das Produkt auf einem separaten PC im so genannten GatewayModus installieren. Das Gateway kann
dann codierte Disketten wieder lesbar beziehungsweise unverschlüsselte Floppies
einer D-Fence-Gruppe zugänglich machen.
Neben der Zugriffskontrolle für Disketten stellt D-Fence dem Administrator die
Option zur Verfügung, sämtliche Festplatten eines PCs zu verschlüsseln. Hierbei kopiert die Software die Master-BootRecords (MBR) aller lokalen Harddisks
auf andere Sektoren, verschlüsselt sie,
und schreibt einen eigenen Code an deren
Stelle. Anschließend installiert das Programm eine falsche Partitionstabelle auf
den D-Fence-MBRs. Dadurch stellt das
Tool sicher, dass auch beim Booten von
einer Diskette keine Daten von der Festplatte gelesen werden können. Sind auf
einem Rechner neben NT weitere Betriebssysteme installiert, können diese
S
50
erst nach einer Deinstallation von D-Fence wieder mehr genutzt werden.
INSTALLATION Den ersten Versuch, D-
Fence auf einem Testrechner zu installieren, bemäkelte die Software mit der Meldung, kein gültiges Volume zu erkennen.
Offensichtlich hatten wir zufällig einen
wunden Punkt getroffen, da laut SophosSupport das Programm Probleme mit
IBM-SCSI-Festplatten vom Typ “DDRS39130W” hat. Auf einem zweiten Test-PC
mit einer 20-GByte-IDE-Festplatte (ebenfalls von IBM) verlieft die Installation reibungslos. D-Fence fragte zunächst nach einer Gruppen-ID, die alle Rechner eines DFence-Verbunds kennzeichnet. Anschließend verlangte das Installationsprogramm
nach einer “Keyphrase” zur Generierung
des Festplattenschlüssels sowie nach einem
Passwort für den Boot-Vorgang. Nach
dem obligatorischen Neustart begrüßt ein
schwarzer Bildschirm den Benutzer und
fordert ihn auf, sein Passwort einzugeben.
Anschließend übergibt das Tool die Kontrolle der Festplatte an den Boot-Manager
von NT.
Noch vor der Windows-Anmeldung erscheint beim ersten Start ein kleines Fenster,
das den Benutzer über den Fortschritt der
Festplattenverschlüsselung informiert. Laut
Handbuch verwendet das Tool hierbei einen
64 Bit langen Schlüssel. Bis zum Abschluss
der Harddisk-Codierung ist das Einloggen
und Arbeiten zwar theoretisch möglich. Jedoch beanspruchte die Verschlüsselung auf
dem Testrechner mit einem Celeron-466Prozessor mit 128 MByte RAM rund 70
Prozent CPU-Zeit, sodass eine normale Bedienung nur eingeschränkt möglich war.
Unsere 20-GByte-Festplatte codierte DFence in gut 16 Stunden. Administratoren
sollten diesen Vorgang daher auf die Nacht
oder ein Wochenende legen. Erfreulich war,
dass der Testrechner auch nach einem “brutalen” Ausschalten während der Verschlüsselung anstandslos wieder startete und nach
Eingabe des Boot-Passworts einfach an der
Stelle fortfuhr, an der er unterbrochen wurde.
Seine Arbeit verrichtete das Tool wie
versprochen. Geschützte Disketten wies
ein “normaler” PC mit der Fehlermeldung
“unerkanntes Dateisystem” zurück. Das
Einspielen einer normalen Diskette auf
dem D-Fence-Rechner quittierte die Software mit einem “Unauthorised Floppy Access”. Lediglich das Formatieren einer
Diskette auf dem geschützten PC gestaltet
sich etwas umständlich. So muss der Benutzer zunächst mit der rechten Maustaste
im Explorer auf das Laufwerk A: klicken,
bevor er dort eine Diskette einlegt. Diese
Vorgehensweise beschreibt das mitgelieferte englische Handbuch jedoch ausführlich und illustriert die richtige Vorgehensweise mit Screenshots.
FAZIT D-Fence ist eine nützliche Software
für Unternehmen, die ihre Rechner auch
vor missbräuchlicher Diskettennutzung
schützen wollen. Um Anwender vor unerwarteten Verschlüsselungszeiten bei Festplatten zu warnen, täte Sophos jedoch gut
daran, diese Informationen in das Handbuch zu übernehmen und nicht in einer
Readme-Datei zu verstecken. Der Preis
von 139 Mark pro Rechner ist für die Funktionalität angemessen. Doch sollten potentielle Kunden vor dem Kauf bei Sophos
nachfragen, ob D-Fence auch alle installierten Festplatten unterstützt.
(Georg von der Howen)
Info:
Sophos
Tel.: 06136/91193
Web: www.sophos.de/products/datasecuri
ty/dfencent.html
E-Mail: [email protected]
www.lanline.de
SICHERHEITSPRODUKTE
IM TEST: DESKTOP-FIREWALL LOCKDOWN 2000
Vollschutz für
Windows-Systeme
Jeder, der mit dem Betriebssystem Windows im Internet arbeitet, kann
nie ganz sicher sein, ob nicht gerade ein Hacker versucht, in seinen
Computer einzudringen. Sei es nun mit einem mehr oder weniger einfachen DoS-Angriff (Denial of Service) oder durch Ausnutzung der betriebssystemeigenen Freigabemöglichkeiten. Auf dem Markt tummelt
sich einige freie und kommerzielle Software, die das Schließen dieser
Lücken für sich beanspruchen. In diesem Test untersucht LANline das
Programm Lockdown 2000 auf seine Alltagstauglichkeit.
ockdown Corporation aus den USA
vertreibt seit geraumer Zeit die Software Lockdown 2000. Das Programm
rühmt sich, dem Anwender einen Rundumschutz für seinen Computer zu bieten.
Den Fokus haben die Entwickler besonders auf 32-bitige Windows-Betriebssysteme von Microsoft gelegt, insbesondere auf Windows 95. Hier versucht
Lockdown 2000 den Anwender durch aktive Überwachung vor trojanischen Pferden und ungewolltem Mappen von Festplatten (Konnektieren der Festplatten
über Netbios) zu schützen. Lockdown
2000 verspricht des Weiteren, durch die
eingebaute IP-Filter-Funktion eine Firewall zwischen dem Computer des Anwenders und dem Internet zu errichten.
Was das Programm nun wirklich in der
Lage ist zu leisten, soll dieser Test offenlegen.
L
INSTALLATION Die Installation erweist
sich auf Windows-95/98- und 2000-Systemen mehr als einfach. Nach dem Herunterladen der Testversion, die einen
Umfang von rund 2,2 MByte aufweist,
muss der Anwender lediglich das Installationsprogramm starten und abwarten,
bis das Programm vollständig installiert
ist. Die Testversion ist zehn Tage lauffähig und besitzt den vollen Funktions-
52
kennen. Bei einem Versuch, dem System
ein eigens modifiziertes BackorificeDerivat unterzuschieben, erkannte Lockdown sofort den Bösewicht und entfernte
ihn umgehend. Neben einer Whois-Oberfläche, in der leider nur ein Whois-Server
standardmäßig angegeben werden kann –
also entweder .com, ,net, .org -Domains
oder RIPE-Domains (.de, .at) – verfügt
Lockdown über eine Traceroute-Oberfläche. Bei dem Versuch, die TracerouteFunktion zu verwenden, verweigerte das
Programm erstaunlicherweise jegliche
Ausführung mit dem Hinweis, diese
Funktion sei noch nicht implementiert.
Angenehm für die Aktualisierung ist
die mittlerweile nicht ungebräuchliche
Funktion eines Auto-Updates. Per Tastendruck konnektiert Lockdown den Hersteller und überprüft, ob nicht schon eine
aktualisierte Version des Programms
vorliegt. Ist dies der Fall, lädt das Programm nach Rückfrage die aktuellere
Version automatisch herunter und installiert diese umgehend.
Vom Hersteller wird Lockdown 2000
auch als Firewall-tauglich beschrieben.
umfang der Vollversion, abgesehen von
der Fähigkeit, trojanische Pferde automatisch vom System zu entfernen. Nachdem
der designierte Anwender über das Internet die Freischaltung erkauft hat, kann
der Benutzer das Programm voll auszunutzen und so lange
auf die neueste Version verbessern, so
lange er der Besitzer
des
lizenzierten
Computersystems
ist. Die Vollversion
gibt es ab 99 Dollar,
je nachdem, wie
viele Rechner geschützt werden sollen, beziehungsweise ob eine Dokumentation mit Installationsdisketten
erwünscht ist oder
Die Oberfläche von Lockdown 2000 präsentiert sich übersichtlich, die
nicht.
FUNKTIONALITÄT
Traceroute-Funktion hat der Hersteller jedoch offensichtlich vergessen
zu implementieren
Die getestete Variante von Lockdown 2000 besitzt die Versionsnummer 5.0 in der Unterversion 0.4.
Diese Version erkennt mindestens 565
verschiedene trojanische Pferde. Mindestens deswegen, da Lockdown 2000 in der
Lage ist, auch unbekannte Trojaner zu er-
Was dem Anwender jedoch geboten
wird, kommt über eine marginale IPFilter-Funktionalität nicht hinaus.
Selbst Windows NT/2000 bietet in der
Grundausstattung schon mehr Möglichkeiten der Filterung. Die Software ist
www.lanline.de
SICHERHEITSPRODUKTE
zudem nicht in der Lage, einzelne Ports
zu filtern. Um also Lockdown 2000 mit
gutem Gewissen als Firewall einzusetzen, muss der Anwender schon gewisse
Veranlagungen eines Hasardeurs besitzen.
Nett gelöst hat Lockdown 2000 hingegen die Problematik von Netbios-Verbindungen. Jeder, der mit seinem Computer
in einem Netzwerk hängt und entweder
Windows NT/2000 verwendet oder unter
Windows 9x die “Dateien- und DruckerFreigabe” verwendet, besitzt eine potentielle Angriffsfläche für Hacker. Über so
genannte Null-Access- oder Anonymous-Network-Access-Verbindungen
können Angreifer hier Informationen wie
verfügbare Freigaben oder Benutzernamen ausspähen. Auch in der eigenen
Domäne können andere Benutzer mit den
entsprechenden Rechten unbemerkt Zugriff von außen auf die eigene Festplatte
erlangen. Lockdown 2000 erkennt an dieser Stelle automatisch, wenn jemand eine
Verbindung zu dem System aufbauen
will und signalisiert
dies akustisch und
optisch. Der Anwender kann hierbei
das Produkt so konfigurieren, dass diversen IP-Adressen
und Benutzern automatisch der Zugriff
auf das System verweigert wird beziehungsweise die Verbindungen
sofort
wieder
unterbrochen werden. Hier Lockdown 2000 bietet Einzelarbeitsplätzen, die direkt mit dem Internet
protokolliert Lock- verbunden sind, Schutz vor trojanischen Pferden
down auch relativ
genau mit. Nur bei
Verbindungen vom “Localhost” sprich Auch beim Einsatz in reinen Windowsdem eigenen Computer, nimmt es die 2000-Umgebungen ist das Programm
Software nicht mehr so genau. Bei nor- nicht mehr sehr zuverlässig. Hier gibt es
maler Anwendung ist das auch kein Pro- mehrere Möglichkeiten, Lockdown
blem. Doch bei der steigenden Anzahl sprichwörtlich auszutricksen.
Lockdown bietet dem Anwender zuvon Terminal-Servern ist diese Laxheit
ein nicht zu unterschätzender Punkt. dem keine Möglichkeit, sich gegen DoSAngriffe und aktives Portscanning zu
schützen. In letzter Zeit häufen sich jeTestumgebung
doch DoS-Angriffe und aggressive PortDen Test führte LANline auf drei Rechnern mit PII/III-Prozessor, Windows 98 SE Deutsch,
scans, da es auch für unerfahrene
Windows 2000 Professional Englisch und Linux 2.2.14 durch. Alle drei PCs waren mit 100“Hacker” immer leichter wird, solche
MBit-Netzwerkkarten und 128 MByte Arbeitsspeicher ausgestattet. Lockdown 2000 wurde auf
Angriffe durchzuführen. Hier bleibt dem
den beiden Windows-Rechnern installiert. Der Linux-Rechner diente zum Stresstesten bezieAnwender nur der Griff auf sonstige verhungsweise Scannen.
fügbare Software beziehungsweise die
Trojanische Pferde
Hoffnung, dass der Hersteller des BeJeder kennt die Saga von Homer, doch die meisten kennen den Zusammenhang mit dem Intriebssystems schnell genug auf entspreternet nicht. Trojanische Pferde sind nichts anderes als kleine unscheinbare Programme, die der
chende Sicherheitslücken reagiert.
Anwender meist durch Unwissen selber auf seinem eigenen Rechner ausführt und damit einem
Angreifer die Möglichkeit bietet, volle Kontrolle über den Rechner zu erlangen. Meistens befinden sich solche Programme in witzigen kleinen Programmen, die als E-Mail-Anhang zu gegebenen Anlässen wie Weihnachten oder Geburtstagen an alle Freunde und Bekannten verschickt
werden. Der Benutzer selber merkt in vielen Fällen überhaupt nicht, dass er infiziert ist beziehungsweise dass eine fremde Person gerade seinen gesamten Computer auf sensitive Daten
überprüft. Bei solchen Programmen helfen auch die bei vielen Firmen als Wunderwaffe
gerühmten Firewalls nicht immer.
Was ist DoS
DoS steht für Denial-of-Service-Attacken. Diese Art von Angriffen beruht auf dem Versuch,
bestimmte oder auch alle Dienste eines Computersystems durch Überlastung zum Erliegen zu
bringen. Schöne Beispiele hierfür sind “Ping of Death” oder die Attacken auf Amazon und
Yahoo Anfang des Jahres. Wobei Letztere eine Variante einer DoS-Attacke darstellt – eine
“Distributed”, also mit mehreren Rechner verteilte, DoS-Attacke. Der Angreifer versucht hier
durch eine Unmasse von gefälschten Paketen beziehungsweise durch Pakete mit unkorrektem
Inhalt, den Server so weit zu beschäftigen, dass der Server keine Zeit oder Ressourcen mehr hat,
um normale Anfragen zu bearbeiten. Für den normalen Benutzer scheint der Server dann nicht
mehr verfügbar zu sein.
54
FAZIT Das Programm ist nur bedingt zu
empfehlen, da es komplette Systemsicherheit verspricht, jedoch nur eingeschränkt bieten kann. Es ist eine nette Ergänzung zu Viren-Scannern, Firewalls,
einem guten Systemadministrator und
frei erhältlichen Sicherheits-Tools für
Windows. Als einzige Lösung ist Lockdown 2000 jedoch definitiv nicht zu empfehlen. Hierzu fehlen eindeutig der
Schutz vor den mannigfaltigen Angriffsmöglichkeiten auf das Windows-System,
echte Firewall- und Logging-Funktionalität sowie aktives Anti-Scanning und
-Hacking-Management.
(Thomas Rohde/gh)
www.lanline.de
Analyse entdeckte man ein File mit 888
IP-Adressen, die vermutlich zu angreifenden Computern gehörten, und ein
Verzeichnis von 10.549 weiteren Adressen, die vermutlich auf Schwachstellen
gescannt werden sollen. Gerüchte in
Usenet-Newsgroups und Slashdot schätzen die Zahl der “infizierten” Rechner,
also der potentiellen Angreifer, auf über
3000.
DIGITALES SPERRFEUER
Denial-ofService-Attacken
Angriffe auf populäre Websites wie Yahoo, Buy.com, Amazon, Zdnet,
Ebay, E-Trade, Datek, Msn.com und Cnn.com lenkten die öffentliche
Aufmerksamkeit schlagartig auf neuartige Hacker-Werkzeuge, deren
EINE NEUE QUALITÄT Beunruhigend
Gefährlichkeit nicht unterschätzt werden sollte. Der folgende Artikel
beschreibt, wie solche Angriffe arbeiten, wie sie in Zukunft aussehen
und was man dagegen unternehmen könnte.
m 7. Februar 2000 verschwand die
Web-Seite Yahoo plötzlich von
der Bildfläche. Wenig später waren eine
Reihe von E-Commerce-Seiten ebenfalls nicht erreichbar, oder die Server
schienen nur noch im Schneckentempo
zu arbeiten. Die Ursache war ebenso primitiv wie wirkungsvoll: Betroffene
Rechner wurden mit Unmassen sinnloser Datenpakete und Anfragen regelrecht zugesetzt; die Datenrate erreichte
angeblich bis zu 50 GBit/s.
Man nennt derartige Angriffe Denialof-Service-Attacken (DoS-Attacken).
Der Angreifer dringt dabei nicht in
das System ein, sondern er versucht
es nur irgendwie von der Außenwelt
abzuschneiden oder sogar zum Absturz
zu bringen. Die Verursacher werden
oft nach allen Regeln der Kunst
ausfindig gemacht und “stillgelegt”;
manchmal schließt sich auch noch
eine weitere “Stillegung” vor Gericht
an. Bei den Aktionen im Februar war
das allerdings nicht so einfach möglich,
denn sie wurden koordiniert von einer
Vielzahl gehackter Rechner ausgeführt.
Wegen der Verteilung der Angriffe auf
viele Rechner heißen sie “Distributed
Denial of Service” – Attacken oder kurz
DDoS-Attacken. Nur durch den gleichzeitigen Angriff mittels vieler Rechner
ließen sich solche hohen Datenraten erreichen, die auch große Server lahmlegen.
A
56
Insidern war diese Methode schon bekannt. Der Probeschuss mittels des Programms “Trinoo” fand offenbar am 17.
August 1999 an der Universität Minnesota statt, als ein Server von 227 anderen
Rechnern gleichzeitig angegriffen wurde und dadurch zwei Tage lang ausfiel
(gegen Cnn.com wurden vermutlich nur
30 bis 50 Rechner eingesetzt). Bei der
erscheinen neben der Wirksamkeit der
Angriffe drei weitere Dinge, die bisher
nicht so oft erwähnt wurden:
– Erstens werden die Attacken sehr gut
verschleiert und machen eine Rückverfolgung mit herkömmlichen Mitteln fast unmöglich (dazu weiter unten
mehr).
– Zweitens werden Rechner automatisch behackt – solche langen IP-Listen sind nicht mehr das Ergebnis von
“Handarbeit”.
– Und drittens steckt hinter jedem Angriff ein ganzes Netzwerk von Rechnern, das “Wiederbelebungsfähigkei-
Hacker
Kommando: dds 193.122.105.44
Master 1
Daemons
Master 2
Daemons
Master 3
Daemons
Daemons
•••••
Daemons
ein oder mehrere
Steuerrechner
Daemons
mehrere
Hundert
Rechner
Schematischer Ablauf eines DDOS-Angriffs
www.lanline.de
ten” hat. Maßnahmen gegen einzelne
Rechner bringen also sehr wenig.
Der Kampf gegen Hacker ist in eine
neue Phase getreten. So gesehen hatten
Angriffen. Solche Hypothesen sind
natürlich nicht ganz von der Hand zu
weisen, insbesondere, wenn es stimmt,
dass sogar die Telefonnetze der US-
Ablauf eines Angriffs mittels TFN oder Trinoo
Installation:
1. Eindringen in einen oder mehrere schwer zu überwachende Master-Rechner mit schneller
Netzanbindung, zum Beispiel den Name-Server eines ISPs. Dazu nutzt man (teilweise automatisiert) Standard-Hacker-Werkzeuge.
2. Vom Master aus erfolgt eine automatische Analyse des Netzverkehrs nach angreifbaren
Systemen.
3. Automatisches Eindringen in die gefundenen Systeme, Installation einer root-Shell, Rückmeldung über einen tcp-Port oder auch indirekt über E-Mail.
4. Automatische Auswahl einer Liste geeigneter Systeme, die erfolgreich behackt wurden
und für die geeignete Binaries bereitliegen.
5. Automatische Installation des Daemon-Programms auf allen ausgewählten Systemen, das
per cron bei Abbruch des Daemons automatisch neu startet. Dieses Programm lauscht
ständig an einem Port nach Befehlen vom Master-Rechner.
6. Eventuell Installation eines “root kits” auf dem Master zur Verschleierung der Anwesenheit fremder Programme, unter Umständen auch auf den Daemon-Rechnern, um über
Analyse des Netzverkehrs in weitere Rechner leicht und automatisch eindringen zu können (etwa über password sniffing). Im letzteren Fall erweitert sich das Netzwerk also von
selbst, wobei der Master immer Rückmeldung über Erfolge bekommt.
Ablauf eines Angriffs:
1. Passwortgeschützte Kontaktaufnahme mit dem Master.
2. Auswahl der Zeitdauer und des Ziels/der Ziele.
3. Automatisch informiert nun der Master alle Rechner aus einer (verschlüsselten) Liste per
codierter Befehle, die dann über ihre
4. Daemon-Programme selbsttätig die Angriffe starten.
Eine Identifizierung des Masters ist bei Analyse eines (erkannten) Daemons nur möglich,
wenn man ihn “in flagranti” bei der Kontaktaufnahme ertappt. Das ist wegen zahlreicher
Maßnahmen zur Verschleierung (harmlose Datenpakete, gefälschte Absender, Benutzung
exotischer Ports) sehr unwahrscheinlich. Teilweise zerstörte Daemon-Netzwerke lassen sich
vom Master aus wieder erweitern. Obendrein kann es zur Sicherheit auch mehrere unabhängige Master geben.
die Angriffe im Februar auch ihr Gutes,
denn dadurch wurde die Gefahr in gebührender Weise wahrgenommen. Die
rasche Folge der Angriffe zeigte auch
eindrucksvoll, dass die unsichtbare Kanone offenbar auf jeden jederzeit gerichtet werden kann. Sicherlich kam der
Angriff politisch zu einem günstigen
Zeitpunkt, denn es stand die Erhöhung
der US-Haushaltsmittel zur Überwachung des Internets an. Das rief (wie zu
erwarten)
Verschwörungstheoretiker
auf den Plan mit der Behauptung, die
NSA stecke wieder einmal hinter diesen
www.lanline.de
Staaten Oklahoma und Missouri betroffen waren [3]. Obendrein hat es hinterher keine Bekennerschreiben gegeben,
wie sonst üblich. Hacker dagegen sind
meist sehr stolz auf gelungene Angriffe.
Man kann viel darüber spekulieren,
doch das ändert nichts an der Existenz
von Hacker-Werkzeugen, deren Gefährlichkeit ein neues Niveau erreicht hat
und die in der Hand gewissenloser Anwender großen Schaden anrichten können. Gewiss ist der wirtschaftliche
Schaden nicht so hoch wie offiziell geschätzt (nämlich auf 1,2 Milliarden
57
Dollar) – dazu betrachte man einmal die
jährlichen Umsätze der betroffenen Unternehmen und den tatsächlich entstandenen Schaden. Doch je mehr das Internet in den Alltag eindringt, desto wahrscheinlicher wird es, dass eines Tages
durch solche Angriffe auch Menschenleben bedroht sein könnten, und sei es
wegen eines Ausfalls von Telefonnetzen.
Einen realistischeren Eindruck von
der potentiellen Gefahr bekommt der
Interessierte allerdings nur, wenn er
sich Hacker-Werkzeuge wie Trinoo
(auch Trin00 genannt) und TFN (trible
flood network, ursprünglich “teletubby
flood network”) einmal näher anschaut.
Anders als man vermuten könnte, arbeiten Trinoo und TFN bisher ausschließlich unter Unix, genauer Solaris
2.x (unter Redhat und Slackware Linux
funktionieren die Tools allerdings
auch). Ein Grund dafür scheint einleuchtend: Unix-Systeme sind zwar
weitaus schwerer zu hacken als Windows-Rechner, doch sie sitzen meist in
leistungsfähigen Knoten des Netzes,
und unter Unix lässt sich auch alles einfacher automatisieren. Ein Eindringen
“lohnt” also mehr im Vergleich zu
Windows-Rechnern. Wie ein Angriff
abläuft, ist aus dem Kasten auf Seite 57
ersichtlich.
IST DAS ERST DER ANFANG? Die be-
schriebenen Werkzeuge stellen aber keineswegs das Nonplusultra der Hacker
dar. Der Autor von TFN mit dem Spitznamen “Mixter” hat mittlerweile
TFN2K herausgegeben, das auch unter
Windows NT läuft. In einem Web-Interview mit dem Dienst Zdnet am 14.2. erklärte er, dass dieses neue Programm
noch wesentlich gefährlicher sei:
– Es ist schwerer zu entdecken,
– es verbirgt Kommandos zwischen
“gutartigen” (decoy) Paketen,
– es nutzt TCP, UDP und ICMP (gegebenefalls zufällig) zur Kommunikation zwischen Master und Daemon,
– Daemons antworten nicht mehr auf
erhaltene Befehle, um nicht entdeckt
zu werden,
58
– jeder Daemon mischt zufällig vier
Angriffsarten,
– TFN2K arbeitet nicht mehr zeichenkettenbasiert (das heißt, die Kom-
Literatur:
[1] http://staff.washington.edu/dittrich/
misc/x.analysis; x = trinoo, tfn,
stacheldraht
[2] http://packetstorm.securfiy.com/distri
buted
[3] www.jungle-world.com/_2000/08/
34b.htm
[4] www.gn.apc.org/pmhp/ehippies/files/
op1.htm
[5] www.rsa.com
[6] F.Schapachnik, Beitrag im BugtraqForum “securityfocus” vom 20.2.2000
[7] www.counterpane.com
[8] www.quadrunner.com/~chuegen/
smurf.txt
[9] http://staff.washington.edu/dittrich/
misc/faqs/rootkits.faq
munikation zwischen Master und Daemon ist noch schwerer zu entdecken),
– es verschlüsselt mit CAST-256,
– es ändert sein eigenes arg[0] beim
Aufruf und erscheint so als (zufälliges) “normales” Programm,
– es verfälscht alle Absenderadressen
(Spoofing),
– es versucht, angegriffene Rechner
durch illegale Pakete zum Absturz zu
bringen, usw. [2].
Das Programm “Stacheldraht” ist eine
Kombination aus TFN und Trinoo. Wer
sich für weitere Programme interessiert,
möge sich die lange Liste solcher Tools
auf [2] anschauen. Zu erwarten sind
noch bessere Tarnung und Verschlüsselung, höhere Robustheit, Einfachheit in
der Bedienung und nicht zuletzt eine
“Verminung”, die bis zur Zerstörung des
Host-Systems bei dem Entdecken einer
DDoS-Netzwerkkomponente
gehen
kann.
Angesichts solcher Features drängt
sich doch die Frage auf, wie weit Mixters Aussage, er wolle nur die Sicherheitslöcher im Web zusammenfassen,
glaubwürdig ist. Es wird immer
Schwachstellen geben. Ein Programm,
das die Suche nach Schwachstellen automatisiert, sich mit allen verfügbaren
Mitteln tarnt, für theoretisch beliebig
viele Angriffe installiert bleibt und letztendlich nur rein destruktive Angriffe
zum Ziel hat – soll das eine Demonstration von Sicherheitslöchern sein? Vielleicht wird es in naher Zukunft Clickand-Point-Tools geben, die noch mehr
leisten und dann wirklich von 15-jährigen bedient werden können wie dies
FBI-Chef Ron Dick bereits den gegenwärtigen Programmen zutraut.
Die Hacker haben ihre Unschuld verloren. Hier geht es nicht um ein harmloses Kräftemessen. Das Ziel von TFN
und Trinoo ist Zerstörung. Dank des
verfügbaren Quellcodes ist es denkbar,
bessere Geschosse in solche “Waffen”
einzusetzen, wenn sie entwickelt sind.
Dann kann man Daten verfälschen oder
sogar mühelos Systeme zerstören. Es ist
eine für manche sehr verlockende Aussicht, so etwas automatisiert und mit
sehr geringem Risiko nutzen zu können.
Mit dem Aufdecken ignorierter Sicherheitslücken, wie es das ursprüngliche
Anliegen von Hackern war, hat das alles
wenig zu tun. Zum Vergleich: Kryptanalytiker (in der öffentlichen Forschung) beschreiben zwar ihre Angriffe
und implementieren diese oft auch
selbst, doch sie geben in den wenigsten
Fällen den Quellcode heraus, wenn daraus ein Schaden entstehen kann. Und
das CERT beschreibt Angriffsmöglichkeiten in der Regel erst dann detailliert,
wenn Workarounds bekannt und mit angegeben sind (und auch dann nicht immer).
GEGENMASSNAHMEN Die erste Reak-
tion von Außenstehenden auf die neuesten Angriffe ist verständlich: “Bestraft
die Vandalen!” – wenn man sie denn
findet. Dass im Erfolgsfalle Ernst gemacht wird, steht außer Zweifel. So
steht derzeit der 30-jährige David
Smith, der Entwickler des Melissa-Viruses, vor Gericht. Ihm wird ein auf astronomische Dimensionen hochkonstruier-
www.lanline.de
ter Schaden vorgeworfen, der theoretisch bis zu 40 Jahre Gefängnis nach sich
ziehen könnte. Sicherlich wird es nicht
so hart kommen, doch der Eingriff in
Smiths Leben ist drastisch.
Solch ein Vorgehen löst aber keine Sicherheitsprobleme im Netz. Zusammen
mit dem Presseecho werden selbstredend auch Stimmen laut, die eine stärkere Überwachung des Internets fordern.
Dies beseitigt die Probleme ebenso wenig und ist auch gar nicht möglich.
Letztendlich leidet höchstens der brave
Nutzer darunter, dessen Privatsphäre
ohnehin immer durchsichtiger wird.
Hacker hingegen werden solche Maßnahmen als Herausforderung verstehen,
die Kontrollen noch raffinierter auszutricksen. Administratoren werden noch
mehr Überstunden als bisher fahren, sofern überhaupt noch ausreichend qualifizierte Kräfte zur Verfügung stehen.
www.lanline.de
Doch auch ein weniger anonymes Internet verhindert nicht automatisch die
Angriffe. Was nützen signierte Logfiles,
wenn sie von Hackern wieder gelöscht
werden? Und Systeme, bei denen selbst
intern jede Operation kryptografisch abgesichert wird, sind wohl ein Wunschtraum – allein die Performance-Einbuße
wäre wohl drastisch.
Deutschlands populärster HackerVerein, der Chaos Computer Club, formuliert in seiner Presseerklärung vom
14.2.2000: “Die Stabilität des Internets
steht mittlerweile in keinem Zusammenhang mit den darauf projizierten Werten.” Dem Kern der Dinge noch näher
kommt nach Ansicht des Autors das
Global Incident Analysis Center des
SANS Instituts. Es schrieb am 23.2.00,
dass derzeit noch Funktionalität generell
vor Sicherheit geht – mit neuen Features
lässt sich eben besser Geld verdienen als
mit schwer fassbarer höherer Sicherheit.
So haben auch Entwickler oft kein Sicherheitsdenken, ebenso wenig wie die
Anwender. Bemängelt wird ebenfalls,
dass Sicherheit kein Bildungsinhalt ist.
Außerdem ist Sicherheit ein internationales Problem, die Praxis dagegen noch
sehr national. Das ist alles richtig,
doch leider auch nicht neu. Solche allgemeinen Statements sind zwar wichtig,
doch sie helfen in der gegenwärtigen Situation zu wenig. Die konkreten Empfehlungen des CERT dagegen beinhalten vorwiegend altbekannte oft praxisfremde Tipps: keine Mail-Attachments
öffnen, ohne den Inhalt zu prüfen; Virus-Checker auf dem neuesten Stand
halten; fremde Programme erst nach
eingehender Prüfung installieren; die
automatische Makroausführung bei
Winword deaktivieren; Vorsicht bei MIME-Mail, die externe Programme akti-
59
vert; Vorsicht bei Active X und Java und
so weiter. Das wirkt lächerlich angesichts von Programmen, die automatisch
große Netzwerke nach ihren schwächsten Stellen scannen und keinesfalls nur
scheunentorgroße
Sicherheitslücken
ausnutzen. So wirkungslos ist wohl auch
Mixters Forderung nach erhöhter allgemeiner Rechnersicherheit einzuschätzen, die er im oben genannten Interview
äußerte. Denn sein Programm sucht
zielgerichtet nach den schwächsten
Punkten, deren Existenz mit “allgemeiner Sicherheit” nur sehr bedingt zu tun
hat. Sicherlich prüfen dieser Tage weltweit viele Administratoren, ob ihre
Rechner nicht als Daemons missbraucht
wurden. Eine sehr gute Anleitung hierzu findet sich in [1]. Viele infizierte
Rechner werden jedoch unentdeckt
bleiben und weitere Rechner infizieren.
Außerdem wird es neue Angriffswerkzeuge geben. Beschreibungen von Angriffspunkten und Überprüfungen auf
“Infektionen” sind immer nur Reaktionen, keine Aktionen.
Bei RSA Securitydynamics Inc. [5]
wird derzeit ein “client puzzle protocol”
entwickelt, bei dem jeder “angreifende”
Rechner erst ein rechenaufwendiges
Problem lösen muss, bevor eine Verbindung wirklich zustande kommt. Das
mag als kryptografisches Protokoll sehr
interessant sein, allerdings taugt es
ebenfalls nicht als Lösung. Denn weder
TFN noch Trinoo nehmen eine Verbindung mit dem Angriffsziel auf, sondern
beschießen es mit “Datenmüll”. Bei einer notwendigen Authentifizierung
müsste der angegriffene Server sogar
noch mehr rechnen, um beispielsweise
Signaturen zu überprüfen. Es ist unklar,
auf welche Weise ein sendender Rechner veranlasst werden soll, solche Rechenaufgaben auszuführen. Dies setzt
ein neues Internet-Protokoll voraus, das
dann aber wirklich alle Rechner akzeptieren müssten und durch ein eingeschleustes “Hilfsprogramm” nicht umgangen werden kann.
Ein weiterer Vorschlag (von Fernando
Schapachnik aus Argentinien) lautet, IPAdressen bei erkannten Angriffen dyna-
60
misch zu ändern und synchron dazu den
Nameservice umzuprogrammieren. Damit kann die “angreifende Datenmenge”
auf vielleicht die Hälfte oder ein Viertel
reduziert werden – ob das bei 50 GBit/s
noch hilft? Bei derartig massivem Beschuss ist es wohl egal, ob eine Firewall
oder der Server selbst “zugestopft” wird
– der ehrliche Nutzer hat keinen Zugriff
mehr. Und selbst wenn man etwa SYNFlood-Angriffe abwehren könnte, ist der
Administrator bei noch gehässigeren
Methoden folgender Art wehrlos: Vorgetäuschte Kunden legen auf E-Commerce-Seiten mit hoher Geschwindigkeit so viele Waren in den Korb, bis das
System den Dienst verweigert.
Gespoofte IP-Pakete, das heißt solche
mit gefälschten Absenderdaten, können
von der Firewall erkannt werden, die vor
dem lokalen Netzwerk sitzt. Erforderlich wäre allerdings eine entsprechend
programmierte Firewall vor jedem lokalen Netzwerk, und dazu noch eine, die
nicht ausgetrickst werden kann!
Weitere Auswege wären die Beschränkung des Verkehrs bei bestimmten Protokollen, was zum Beispiel in
Ciscos-Produkten geschehen kann;
auch ISPs sollten den Datenverkehr beobachten und entsprechend darauf reagieren. Solche Flaschenhälse können
zusammen mit entsprechenden Firewalls dem Hacker das Leben erschweren und sind eine erste Hilfe, sofern
wirklich ein größerer Teil des Netzes
derart abgesichert wird.
Doch das ist das Problem. Der bekannte Kryptologe Bruce Schneier
schreibt in seiner Online-Zeitschrift
Cryptogram vom Februar 2000 [7] sinngemäß, dass man seinerzeit in Washington D.C. die Malaria durch Trockenlegung aller Sümpfe erfolgreich bekämpfte. Im Internet hingegen wird
“Sumpfland mit unglaublicher Geschwindigkeit angelegt, und man kann
einfach nicht alles absichern”. Offenbar
hat er dabei auch die unzähligen Windows-Rechner im Blick. Die potentielle
Hauptgefahr sind für ihn praktisch ungesicherte Computer, die oft über DSLoder Powerline-Anschlüsse rund um die
Uhr am Netz hängen und in aller Ruhe
behackt werden können. Die aktuellen
Angriffe wurden jedoch von UnixRechnern aus durchgeführt – steht uns
das Schlimmste erst bevor?
Schneier vergleicht die Entwicklung
des Internets mit der des Telefonnetzes.
Der Telefon-Hackereien im analogen
Netz wurde man erst durch ein völliges
Neudesign des Netzes Herr. Er bezweifelt aber, ob so etwas im Internet überhaupt noch möglich ist. Der rasche Umstieg auf IPv6, wie unter anderem auch
von Mixter gefordert, würde die
Schwächen des aktuellen Internet-Protokolls beseitigen. Lücken wird man
dennoch finden können.
Momentan drängen unzählige Fragen: Wie viele und wie umfangreiche
Trinoo- und TFN-Netzwerke existieren,
wann ist wieder ein Angriff zu erwarten, was wird die nächste Generation
von Hacker-Werkzeugen leisten, welchen Effekt kann IPv6 bringen – und
nichts ist klar. Während man bei der Datensicherheit noch neue Konzepte zu
finden versucht, um für die Zukunft gewappnet zu sein, reicht das gegenwärtige
Sicherheitsbewusstsein
gegen
Hacker bereits nicht mehr aus. Doch jede Hysterie hat auch ihre guten Seiten.
Die übertriebene Darstellung des entstandenen Schadens im Februar mag
vielleicht manchem Entscheidungsträger schmerzhaft verdeutlicht haben,
dass es außer “Funktionalität” noch andere Ziele wie etwa Sicherheit gibt, die
erst morgen Gewinn abwerfen.
Leider ist keine befriedigende Lösung
des Problems in Sicht, trotz unzähliger
Vorschläge und wissenschaftlicher
Konferenzen zu diesem Thema. Vielleicht ist die Bedrohung durch automatisierte, leicht bedienbare Angriffswerkzeuge (gleichgültig, ob HackerTool oder Kryptanalyse) gar nicht durch
technische Maßnahmen allein zu beseitigen, sondern nur zusammen mit gesellschaftlichen Komponenten.
(Reinhard Wobst/mw)
Sie erreichen den Autor unter der
E-Mail-Adresse [email protected]
www.lanline.de
AUTHENTISIERUNGVERFAHREN
Der Schlüssel
zum Netz
Die eindeutige Identifizierung eines Benutzers ist die wesentliche
Grundlage für die Sicherheit schützenswerter Ressourcen. Inzwischen
gibt es mehrere entsprechende Verfahren, die sich besonders im Grad
ihrer Sicherheit deutlich unterscheiden. Dieser Beitrag stellt die gängigen Authentisierungsmöglichkeiten vor und gibt einen Einblick in die
zugrundeliegenden Protokolle.
er Schritt in das Informationszeitalter, in dem Schlagworte wie
Data-Warehousing, virtueller Campus,
Online-Banking oder E-Business schon
fast zum täglichen Wortschatz gehören,
ist nicht nur mit Hoffnungen, sondern
auch mit Risiken verbunden. So vergeht
kaum eine Woche, in der uns nicht in
spektakulären Pressemeldungen über
neue Viren, Einbrüche in als sicher geltende Computersysteme oder von feindlichen Übernahmen ganzer Websites
durch Hacker berichtet wird.
Dennoch öffnen täglich Firmen ihre
Netze und internen Systeme, um die
Chancen dieser rasch wachsenden Märk-
D
te wahrzunehmen und durch schnelleren
Informationsaustausch zu höheren Umsätzen und Gewinnspannen zu kommen.
Andere Firmen hingegen scheuen diesen
Schritt bis heute. Sie sehen im Internet
einen Tummelplatz für potentielle Verbrecher und Betrüger, die nur darauf aus
sind, im Dickicht der Netzstrukturen vertrauliche Daten zu stehlen, ganze Systeme lahmzulegen oder sich mit elektronischen Langfingern an den Konten anderer zu bereichern.
Durch dieses Sicherheitsbedürfnis ist
in den letzten Jahren ein Markt entstanden, der versucht, diesem Bedürfnis
Rechnung zu tragen. Eine nicht mehr
Leistungsfähigkeit von Hackertools
Bedrohung
hoch
Paket forging
Stealth
Spoofing
diagnostics
Leistungsfähigkeit
von Hacker Tools
Sweepers
Sniffers
Back doors
Hijacking
sessions
Exploiting known
vulnerabilities
Self replicating
code
Disabling
audits
Password
cracking
Password
Cluessing
Techn. Skill des
Angreifers
niedrig
1980
ANTARIS Informationssysteme GmbH
1985
1990
Moosbürger Straße 20
1999
Zeit
95672 Weiden
Das Bedrohungspotential wächst stetig, während das notwenige technische Wissen potentieller
Hacker immer geringer wird
Quelle: Antaris
www.lanline.de
61
überschaubare Flut an Möglichkeiten,
die Sicherheit zu erhöhen, tummelt sich
hier. Die Produkte reichen von der Verschlüsselung von Daten auf der lokalen
Festplatte über sichere Datenübertragung beim Online-Banking und bis zur
Absicherung von Rüstungsbetrieben
oder Banken durch mehrstufige Firewall-Systeme. Für jede Art von potenti-
die Benutzung von Ressourcen wichtig.
Ebenso ist es damit möglich, bestimmten
Benutzern nur definierte Zeitfenster zur
Verfügung zu stellen. Beispielsweise
kann der Administrator hiermit externe
Wartungszugriffe auf Zeiten beschränken, in denen sich auch ein lokaler Administrator im Netzwerk befindet.
Es stellt sich aber nicht nur die Frage
MEHRFACHPASSWÖRTER Die wohl be-
In-Band Authentisierung mit transp-Proxy
Firewall
Remote Benutzer
Server
Out-Band Authentisierung
1. Separate Authentisierung
Firewall
Remote Benutzer
Server
2. Freigeschaltete Verbindung
Bei der Challenge-Response-Authentisierung unterscheidet man zwischen dem In-Band- und
Out-Band-Verfahren
Quelle: Antaris
eller Bedrohung gibt es eine Fülle von
Security-Lösungen. Einen erheblichen
Bestandteil dieser Produkte bildet die
Authentisierung oder Authentifikation,
das heißt, die Sicherstellung der tatsächlichen Identität eines Benutzers sowie
dessen Rechte auf dem System, in das er
sich einloggen möchte.
AUTHENTISIERUNG Dies geschieht in
den meisten Fällen durch die Angabe eines Benutzernamens mit einem zugehörigen Passwort. Durch diesen Vorgang
wird sichergestellt, dass der entsprechende User nur die ihm gewährten Rechte im
System erhält. Zusätzlich zur Organisation der Berechtigungsstufen kommt
noch ein zweiter Aspekt zum Tragen: die
Zeit. Denn einerseits kann mitprotokolliert werden, wann sich ein Anwender anbeziehungsweise abmeldet. Dies ist für
eventuelle Auswertungen zu statistischen
Zwecken oder zur Kostenzuordnung für
62
nach dem “warum” soll authentisiert
werden, sondern auch nach dem “wer”
soll authentisiert werden. Wenn man die
vorherigen Beispiele nochmals betrachtet, macht es sicherlich einen Unterschied, ob sich ein “normaler” Benutzer
an einem File- und Print-Server eines Abteilungsnetzes einloggt, ein Internet-User
eine Verbindung zu seinem Provider aufbaut oder ob sich ein “fremder” Wartungsspezialist auf dem Datenbank-Server der Personalabteilung authentisiert.
Wir müssen die Frage also auf “Wer soll
wie authentisiert werden?” erweitern.
Bei Zugriffen auf verschiedene Systeme – wie beispielsweise einen lokalen
PC, ein Netzwerk, eine Firewall, einen
Bankrechner oder eine geschützte WebSeite – ist die Sicherheitsstufe des Zugriffs meistens bereits durch organisatorische Maßnahmen des Systembetreibers
vorgegeben. Dabei wird festgelegt, ob
und wenn ja, wer sich mit welchen Rech-
ten anmelden darf. Diese Vorgaben sind
idealerweise in einer so genannten Security-Policy, also einer unternehmensweiten Sicherheitsvorschrift, festgelegt.
Hierin werden alle organisatorischen und
technischen Maßnahmen definiert, die zu
einem sicheren IT-Betrieb führen. Aus
diesem Grund gibt es verschiedene Methoden, einen Benutzer für ein System zu
authentisieren.
kannteste aber auch unsicherste Methode
der Authentisierung ist die Verwendung
von Mehrfachpasswörtern. Der Benutzer
weist seine Identität nach, indem er dem
System beim Authentisierungsprozess
sein Passwort sendet – er authentisiert
sich also dadurch, dass er das Passwort
besitzt und es dem System vorzeigt.
Mehrfachpasswörter haben den Nachteil,
dass sie sich nur sehr selten ändern und
deshalb leicht in falsche Hände geraten
können. Dabei ist die Schwachstelle der
Benutzer selbst. Einfache Passwörter wie
Namen oder Geburtsdaten sind ziemlich
leicht zu erraten, schwierige Passwörter
werden sich nicht gemerkt, sondern aufgeschrieben und dann unter der Tastatur,
oder in der obersten Schreibtischschublade “versteckt”.
Die Stärke dieses Authentisierungsverfahrens liegt letztlich in der Qualität und
Geheimhaltung des Passworts. Werden
solche Passwörter bei der Authentisierung im Klartext zwischen Benutzer und
System übertragen, besteht die Gefahr,
dass ein Angreifer das Passwort mitliest
und missbräuchlich verwendet. Auch
wenn die Übertragung verschlüsselt geschieht, ist es möglich, diesen Datenstrom aufzuzeichnen und bei einer späteren Authentisierung wiederzugeben (Replay-Attacke), ohne deren Inhalt zu kennen.
Angriffe auf Mehrfachpasswörter geschehen heute meist mit Hilfe von Programmen. Diese Tools arbeiten entweder
auf Basis eines Wörterbuchs (Deutsch
oder Englisch) oder bringen eine eigene
Passwortdatenbank mit, aus der alle “Begriffe” ausprobiert werden. In einem normalen Unternehmensnetzwerk einge-
www.lanline.de
setzt, kann man so in kürzester Zeit einen
Großteil der verwendeten Passwörter
aufdecken. Der Einsatz von Mehrfachpasswörtern ist also grundsätzlich unsicher. Man spricht in diesem Zusammenhang von einer schwachen Authentisierung. Die folgenden Verfahren werden
auch als starke Authentisierung bezeichnet.
Im Gegensatz
zum Mehrfachpasswort beruht das Konzept der Einmalpasswörter darauf, dass
ein Passwort – wie der Name schon sagt
– nur einmal verwendet werden darf. Bei
der nächsten Authentisierung muss der
Benutzer dann ein neues anderes Passwort angeben. Für die Verwendung von
Einmalpasswörtern gibt es prinzipiell
zwei Möglichkeiten. Entweder werden
sie vor der Benutzung vereinbart, oder
der Benutzer berechnet sie bei jeder An-
EINMALPASSWÖRTER
meldung neu. Das Vordefinieren von
Einmalpasswörtern ist eine gebräuchliche Methode beim Homebanking. Hier
erhält der User von seiner Bank eine Liste mit Zahlen, die so genannte TAN-Liste. Für jeder Transaktion bei der Bank
muss er eine neue TAN aus der Liste verwenden. Sind nur noch wenige TANs
übrig, kann er eine neue Liste anfordern.
Ein bekanntes System, eine Passwortliste zu erzeugen, ist das so genannte
S/Key-Verfahren. Dazu benötigt man einen Anfangswert (Seed) eine Länge und
einen geheimen Schlüssel (Secret). Der
S/Key-Algorithmus führt nun eine HashFunktion – meist MD5 – über einen
String (Seed + Secret) aus. Das Ergebnis
ist eine kryptografische Prüfsumme, die
wiederum als Eingabewert für den nächsten Durchlauf dient. Danach werden mit
Hilfe dieser Prüfsummen aus einem definierten Lexikon sechs englische Wörter
Anwendungsbeispiele
In diesem Abschnitt werden zwei Beispiele vorgestellt, wie eine Authentisierung ablaufen
könnte.
Einwahl bei einem RAS-Server mit Radius-Authentisierung
Ein Außendienstmitarbeiter wählt sich über das Telefonnetz beim RAS-Server (RadiusClient) im Unternehmen ein und wird zur Angabe von Benutzerkennung und Passwort aufgefordert. Der Radius-Client sendet nun eine verschlüsselte Authentisierungsanfrage an den
Radius-Server. Der Radius-Server prüft seine Benutzerdatenbank und verifiziert das vom
Benutzer angegebene Passwort. Stimmt das Passwort mit dem gespeicherten überein, schickt
der Radius-Server eine Bestätigung zusammen mit konfigurierbaren Berechtigungsinformationen zurück an den Radius-Client, der auf dem RAS-Server läuft. Dieser erteilt letztlich
dem Anwender die Zugangserlaubnis. Im negativen Fall wird der Benutzer erneut aufgefordert, sich zu authentisieren.
Out-Band-Authentisierung an einer Firewall mit Hardware-Token
über einen ACE-Server
Ein Administrator einer Firewall möchte deren Regelbasis ändern. Er stellt eine TelnetVerbindung auf die IP-Adresse dieser Firewall auf einem vordefinierten Port her. Die
Firewall entscheidet anhand ihrer Regelbasis, dass sich Anmeldeversuche auf diesem Port
über einen ACE-Server authentisieren müssen. Sie stellt dem Benutzer eine Log-in-Maske
zur Verfügung. Der Firewall-Administrator gibt nun seinen Passcode, der aus seiner nur ihm
bekannten PIN und der vom Token angezeigten Zufallszahl besteht, in die Maske ein. Die
Firewall nimmt den Passcode entgegen und leitet ihn an den ACE-Server weiter. Dieser prüft
die Benutzerkennung gegen die PIN und den Passcode und entscheidet über den Erfolg oder
Misserfolg der Authentisierung. Das Ergebnis wird der Firewall mitgeteilt. Diese wiederum
informiert den Firewall-Administrator in der Anmeldemaske über das Ergebnis. Im Erfolgsfall wird die Telnet-Session geschlossen, und der Administrator kann nun mit seinem Verwaltungsprogramm auf die Firewall zugreifen.
Eine vernünftige Ist-Aufnahme, Konzeption und Realisierung ist die Grundlage für den
Einsatz eines funktionierenden Sicherheitssystems. Die Authentisierung von Zugriffen trägt
einen großen Teil zu dieser Sicherheit bei.
www.lanline.de
63
ausgewählt, die als Einmalpasswort benutzt werden können. Diese Liste wird
dem Benutzer vertraulich übermittelt,
oder er kann sie durch eine Client-seitige
S/Key-Software, die frei verfügbar ist,
selbst berechnen. Die Sicherheit dieses
Verfahrens liegt einmal in der Eigenschaft der Hash-Funktion, nicht umkehrbar zu sein, zum anderen in der Geheimhaltung des Passworts (Secret), das zur
Referenzen:
Einmalpasswörter – OTP (One Time
Password) RFC 1938
PAP (Password Authentication Protocol) RFC 1334
CHAP (Challenge Handshake Authentication Protocol) RFC 1994
Radius Protokoll RFC 2138
Tacacs RFC 1492
Links:
www.cis.ohio-state.edu/htbin/rfc
www.rsasecurity.com
www.checkpoing.com
www.access-1.com
www.kobil.de
Initialisierung des Systems verwendet
wurde. Weitere Infos zu Einmalpasswörtern (OTP – One Time Password) sind in
der RFC 1938 zu finden. Die erhöhte Sicherheit durch Verwendung von Einmalpasswörtern wird jedoch durch einen hohen Verwaltungsaufwand bei der Generierung und Verteilung erkauft und wird
in der Praxis nur bei wenigen Systemen
akzeptiert.
CHALLENGE-RESPONSE Eine andere
Möglichkeit zur Authentisierung ist das
Challenge-Response-Verfahren. Dieses
Konzept legt fest, dass sich ein Benutzer
gegenüber dem System kryptographisch
beweisen muss. Der User besitzt dabei
ein Geheimnis (zum Beispiel einen geheimen Schlüssel), auf das er nach Aufforderung durch das System (Übertragung einer Zufallszahl, der Challenge)
eine kryptographische Operation durchführen muss. Das Ergebnis (Response)
teil er dem System mit, welches das Ver-
64
fahren und das Geheimnis des Benutzers
kennt und nun selbst prüft, ob die Operation richtig durchgeführt wurde. Falls
ja, gilt die Echtheit des Benutzers als
nachgewiesen, ansonsten verweigert das
System dem Benutzer den Zugang. Der
Vorteil bei diesem Verfahren liegt darin,
dass das Geheimnis nie selbst über das
Netzwerk übermittelt wird und somit
auch nicht abgehört werden kann. Die
Challenge und die Response können
natürlich nicht ein zweites Mal verwendet werden, um eine Sicherheit gegen
Replay-Attacken zu bieten.
Das Challenge-Response-Verfahren
wird in der Praxis meistens als so genannte “Two-Factor-Authentication”
eingesetzt. Dabei benötigt der User neben seinem Geheimnis (auch als PIN bezeichnet), noch einen zweiten Wert (beispielsweise eine generierte Zufallszahl),
um eine Response zu bilden. Zur Generierung der Zufallszahl wird meistens
ein kleiner Chip mit LC-Display – ein so
genanntes Token – verwendet. Dadurch
erhöht sich die Sicherheit noch weiter.
Denn der Benutzer braucht sowohl seine
PIN (“something you know”) und die
Zufallszahl aus dem für ihn registrierten
Token (“something you have”). Fehlt eine dieser beiden Informationen, falls
zum Beispiel der Token gestohlen wird
oder verloren geht, kann sich ein Unbefugter nicht erfolgreich am System authentisieren.
Zuletzt unterscheidet man noch zwischen dem Weg der Authentisierung.
Bei der In-Band-Authentisierung erfolgt
die Abfrage der Benutzer-ID und des
Tokens innerhalb der zu authentisierenden Verbindung selbst. Dadurch können
nur Protokolle wie HTTP, FTP und Telnet verwendet werden, die eine Benutzer- und Passwortabfrage unterstützen.
Beim Zugriff auf einen FTP-Server beispielsweise, der hinter einer Firewall
steht, baut der Benutzer eine Verbindung zu diesem Server auf, die von der
Firewall abgefangen wird. Der FTPProxy der Firewall authentisiert nun den
Benutzer und baut im Erfolgsfall seinerseits eine FTP-Verbindung zum FTPServer auf. Von nun an werden alle Ein-
und Ausgaben zwischen den beiden
Verbindungen hin- und herkopiert. Handelt es sich um einen transparenten
Proxy, merkt der Benutzer hiervon
nichts. Bei Protokollen, für die es keine
Proxies gibt oder die keine Benutzerabfrage zur Verfügung stellen, kann dieses
Verfahren jedoch nicht verwendet werden.
Die Out-Band-Authentisierung funktioniert über eine getrennte Verbindung. Die Initialisierung dieser Authentisierungsverbindung kann entweder
vom Benutzer selbst oder von der Firewall durchgeführt werden. Bleiben wir
beim Beispiel mit dem FTP-Server, so
baut der Benutzer vor der eigentlichen
FTP-Session eine Authentisierungsverbindung zur Firewall auf, die bei Erfolg
den Zugang zum FTP-Server für diesen
User freischaltet.
Grundsätzlich müssen also bei Authentisierungen über unsichere Netze immer
Challenge-Response-Verfahren eingesetzt werden, die einen Missbrauch von
abgehörten Passwörtern verhindern. Eine letzte Variante stellt eine Verbindung von Authentisierung und Verschlüsselung dar. Dazu benötigt der Anwender eine Verschlüsselungs-Software auf seinem Client-Rechner. Durch
diese Client-Software wird ein Tunnel
vom PC zur Firewall aufgebaut. Die
Client-Software kümmert sich dabei
auch um die Authentisierung. Im Idealfall beruht die Authentisierung hier auf
digitalen Zertifikaten, die zusammen
mit den Schlüsseln des Anwenders dann
auf einer Chipkarte untergebracht sind.
Der Nachteil bei dieser Version ist, dass
jeder Benutzer einen Chipkartenleser
benötigt.
BIOMETRISCHE VERFAHREN Derzeit
werden bereits einige Anstrengungen
unternommen, den gesamten Authentisierungsprozess einfacher und trotzdem
sicherer zu machen. Die Forscher und
Entwickler sind ständig auf der Suche
nach neuen Möglichkeiten, eindeutige,
unverfälschbare und sichere Authentisierungsverfahren auf den Markt zu
bringen. Was liegt also näher als auf die
www.lanline.de
Einzigartigkeit und Unverwechselbarkeit von Eigenschaften des menschlichen Körpers zurückzugreifen? Solche
Verfahren werden als biometrische
Authentisierungsverfahren bezeichnet.
Jedem fällt sicherlich dazu als erstes der
altbekannte Fingerabdruck ein. In der
Tat sind heute bereits Systeme auf dem
Markt, die Fingerprints zur Authentisierung von Benutzern verwenden. Prinzipiell basieren solche Systeme auf einem
Vergleich zwischen einem gespeicherten Master und dem aktuell abgefragten
Sample. Ist das Sample mit dem Master
deckungsgleich, gilt die Authentisierung als erfolgreich. Im anderen Fall
wird der Benutzer abgewiesen. Theoretisch hört sich das sehr gut an, doch in
der Praxis steckt der Teufel im Detail.
Dies bedeutet, dass biometrische Authentisierungsverfahren bis heute noch
nicht so ausgereift sind, dass sie eine zufriedenstellend sichere und eindeutige
Erkennung liefern. Neben dem Fingerabdruck gibt es jedoch genügend andere
eindeutige Erkennungsmerkmale beim
Menschen. Sei es die Stimme, die Iris
oder das ganze Gesicht. In allen diesen
Bereichen wird eifrig geforscht, und solche Verfahren werden zukünftig sicherlich genauso verbreitet sein wie die heutige Authentisierung durch ein Passwort.
PROTOKOLLE Im vorherigen Abschnitt
wurden einige Methoden aufgezeigt, wie
eine Authentisierung ablaufen kann. Die
Grundlage hierfür ist aber immer eine
mehr oder weniger fest definierte Vorgehensweise, also ein Protokoll. So gibt es
auch bei der Authentisierung einige Protokolle, die in der Praxis eingesetzt werden. Bei der Absicherung von Einwahlzugängen benutzt man heue hauptsächlich die Protokolle PAP und CHAP.
Das PAP (Password Authentication
Protocol) ist ein einfaches Protokoll zur
Authentisierung einer Person an einem
Kommunikations-Server. Dabei schickt
der Client nach dem Verbindungsaufbau Benutzerkennung und Passwort an
den Einwahlknoten. Dieser schickt im
Erfolgsfall ein Bestätigungspaket oder
bricht die Verbindung ab, wenn Ken-
66
nung und/oder Passwort fehlerhaft waren. Einzelheiten hierzu definiert RFC
1334. Nachteilig bei PAP ist zu werten,
dass alle Daten unverschlüsselt über die
Leitung gesendet werden.
Beim CHAP (Challenge Handshake
Authentication Protocol), beschrieben
im RFC 1994, läuft die Authentisierung
in drei Schritten ab: Nach dem Verbindungsaufbau zum Server generiert dieser eine unvorherbestimmbare, variable
Zahl (c = Challenge) und schickt diese
zusammen mit einem Identifier (i) an
den Benutzer. Durch eine Einwegfunktion (h) wird vom Client ein Hash-Wert,
die Response (r) berechnet und mit dem
Identifier an den Server zurückgeschickt. Zur Berechnung der Response
verwenden Client und Server zusätzlich
ein gemeinsames Geheimnis (s). Der
Server vergleicht nun sein Ergebnis mit
der Response des Client. Bei Übereinstimmung beider Werte wird die Verbindung zugelassen, ansonsten abgewiesen. Als Formel kann man die Berechnungen folgendermaßen darstellen:
Client: r = h(i + s + c)
Server: x = h(i + s + c) → r = x ?
Um dieses Verfahren zu sichern, müssen folgende Voraussetzungen erfüllt
werden:
– (c) ist nicht vorhersehbar und muss
sich jedes Mal ändern,
– (s) darf nur dem rechtmäßigen Client
und dem Server bekannt sein,
– (i) muss sich nach jeder gesendeten
Nachricht ändern.
Zusätzlich sollte nach RFC 1994 die
Challenge in regelmäßigen Abständen
vom Server erneut gesendet werden, um
einer Übernahme der Verbindung
(TCP-Hijacking) vorzubeugen. Im Vergleich zu PAP bietet CHAP einen weitaus höheren Sicherheits-Level. Einziger
Wermutstropfen ist die Ablage des
Secrets auf dem Server im Klartext.
Dial-in-User-Service ist in RFC 2138
beschrieben und hat sich inzwischen als
De-facto-Standard etabliert. Vor allem
bei größeren Systemen mit ständig
wachsender Benutzeranzahl leistet dieses Protokoll gute Dienste. Radius arbeitet nach dem Client-/Server-Prinzip
und ist somit skalierbar. Radius-Server
gibt es für viele Unix-Derivate sowie
für Windows NT. Die Kommunikation
zwischen Radius-Server und -Client erfolgt immer verschlüsselt. Das Protokoll bedient eine Vielzahl von Mechanismen zur Authentisierung. Ein Radius-Server kann beispielsweise mit
Systemen kombiniert werden, die mit
Hardware-Token oder Kryptokarten arbeiten. Auch viele Router- und Firewall-Hersteller implementieren heute
eine Unterstützung für dieses Protokoll
in ihren Produkten. Somit kann auch für
die Administration dieser Systeme eine
sicher Authentisierungsmethode eingesetzt werden.
TACACS Das Haupteinsatzgebiet von
Tacacs liegt im Router-Bereich. Tacacs
ist die Abkürzung für “Terminal Access
Controller Access Control System” und
ist in RFC 1492 näher beschrieben.
Auch bei Tacacs wird die Benutzerverwaltung auf einen externen Server verlagert. Meistens handelt es sich dabei
um den “tacacsd”, der frei erhältlich auf
einer Unix-Maschine läuft. Eine kommerzielle Lösung bietet Cisco mit dem
Ciscosecure-Server (eine Kombination
von Tacacs+ und Radius) an.
Zuletzt sollte Kerberos nicht unerwähnt bleiben. Benannt nach dem dreiköpfigen Höllenhund, der den Eingang
zum Hades bewachte, ist dieses Protokoll ebenfalls Client-/Server-basiert. Es
wurde am MIT entwickelt und ist auch
dort über das Web frei erhältlich. Kerberos verwendet starke Verschlüsselung zwischen Client und Server. Ausführliche Infos finden sich auf der Seite
web.mit.edu/kerberos/www.
(Helmut Franz/gh)
RADIUS Als Klassiker unter den Au-
thentisierungsprotokollen kann man Radius bezeichnen. Der Remote-Access-
Helmut Franz ist Security-Engineer bei
Antaris.
www.lanline.de
IP SECURITY (IPSEC)
Sicherheitsstandard
für VPNs
IP Security, IPSec, hat sich in kurzer Zeit zu dem Sicherheitsstandard
für Internet VPNs entwickelt. Ursprünglich als Sicherheitsmechanismus für IP Version 6 geplant, hat es mittlerweile auch in IPv4 Einzug
gehalten und ist dort vollständig standardisiert. Es wurde der aktuelle Stand der Kryptographie als Grundlage genommen, um eine Reihe
von Protokollen zu spezifizieren, die neben der sicheren Übertragung
von Daten auch Prozeduren zum Aufbau und der Konfiguration einer
sicheren Verbindung festlegen.
Psec-Implementierungen erfolgten
bei sehr vielen Herstellen bereits in
frühen Draft-Phasen der Internet RFCs.
Heute existieren mittlerweile die endgültigen Standards (RFC2401-2412),
die auch eine sehr hohe Interoperabilität
ermöglichen. IPSec wurde ursprünglich
zur Implementierung auf Endsystemen
und Routern entwickelt, um Ende-zuEnde-Sicherheit, Netzwerk-zu-Netzwerk-Sicherheit oder beliebige Mischkonfigurationen aus diesen beiden Modellen zu realisieren. Das Ziel war eine
universell einsetzbare Sicherheitsarchitektur, die auch mit Standard-IP-Verarbeitung koexistieren kann. Die entscheidende Funktionalität in IPSec, in
der festgelegt wird, für welches IP-Paket welche Sicherheitsmechanismen angewendet werden, ist die Security Policy.
I
SECURITY POLICY DATABASE Auf-
grund der Festlegungen in einer Security Policy Database (SPD) entscheidet
IPSec, ob ein Paket unverarbeitet weitergeleitet wird, ob bestimmte Sicherheitsverfahren auf das Paket angewendet werden müssen oder ob das Paket
verworfen wird. Im reinen VPN-Umfeld ist die Security Policy Database oft
sehr einfach gehalten: VPN-Konzentra-
www.lanline.de
toren mit entsprechend hohem Sicherheitsstandard wenden IP Security auf
alle Pakete an, die ein öffentliches Interface passieren.
In der Security Association Database
(SAD) werden alle Parameter, die von
den IPSec-Protokollen benötigt werden,
verwaltet. Für ausgehende Pakete (Outbound Traffic) zeigt ein entsprechender
Eintrag in der Security Policy Database
auf einen Eintrag in der SAD.
ANKOMMENDER TRAFFIC Bei ankom-
menden Paketen (Inbound Traffic) wird
die Referenzierung über die Kombination aus IP-Zieladresse, Security Protocol
und SPI (Security Parameter Index) vorgenommen. Da je nach Security Policy
auch mehrere Security Associations mit
gleicher IP-Adresse und gleichem Security Protocol vorkommen können, ist der
SPI der einzige Parameter, der die Eindeutigkeit der Zugehörigkeit eines ankommenden Pakets zu einer bestimmten
Security Association garantiert.
Eine Security Association (SA) beschreibt eine unidirektionale “Verbindung” mit entsprechenden Sicherheitsfunktionen für den Datenverkehr innerhalb dieser Verbindung.
Eine SA legt für ein IPSec-SecurityProtocol alle notwendigen Parameter bei
67
beiden Kommunikationspartnern fest
und unterhält dynamische Datenstrukturen, die von bestimmten Sicherheitsfunktionen benutzt werden können.
Die Parameter einer Security Association müssen auf beiden Seiten identisch
sein. Es werden Werte wie Verschlüsselungsalgorithmen, Schlüssellängen, Lebensdauer von Schlüsseln, IPSec-Modus
(Tunnel- oder Transportmodus) etc. festgelegt. Die dynamischen Datenfelder
sind beispielsweise Zähler zum Schutz
gegen Replay-Attacks, Byte-Zähler, Timer und so weiter.
Da eine IPSec Security Association immer unidirektional ist, werden in der Praxis für bidirektionalen Datenverkehr
mindestens zwei SAs erzeugt.
mindestens DES (Data Encryption
Standard) unterstützen.
Sowohl AH als auch ESP können im
Tunnel- oder im Transportmodus von
IPSec betrieben werden. In VPNs ist der
Privates IP Paket
IP-Header
Es wird ein neuer,
offizieller IP-Header
erzeugt.
68
Daten
Das Paket wird eingekapselt, es werden der ESP Header
und Trailer konstruiert und in das Paket eingefügt.
IP-Header
ESP-Header
IP-Header
Der vertrauliche Bereich wird mit Triple-DES im
Cipher-Block-Chaining Verfahren verschlüsselt.
IP-Header
AUTHENTICATION HEADER (AH)
UND ENCAPSULATING SECURITY
PAYLOAD Der IPSec-Standard be-
schreibt zwei Security-Protokolle, die
einzeln oder auch zusammen benutzt
werden können, das Authentication
Header (AH) Protocol und das Encapsulating Security Payload (ESP) Protocol, die in Form von eigenständigen IPProtokollen implementiert sind. Der
Authentication Header dient hauptsächlich zur Sicherstellung der Integrität
und Authenzität jedes innerhalb einer
Security Association übertragenen IPPakets.
Weiterhin wird Schutz gegen Replayund Denial-of-Service-Attacks geboten. Integrität und Authenzität werden
durch so genannte Hash based Message
Authentication Codes (HMAC) verifiziert. HMACs benutzen Hash-Funktionen wie MD5 oder SHA-1 und einen
symmetrischen 128-Bit-Schlüssel, um
über das komplette IP-Paket vor unerlaubten Änderungen und Adress-Spoofing zu schützen.
ESP, das in Internet-VPNs meist verwendete Protokoll, bietet alle diese
Funktionen und zusätzlichen Schutz der
Datenvertraulichkeit durch Verschlüsselung der Daten. Als mögliche Verschlüsselungsalgorithmen sind verschiedenste Verfahren spezifiziert, jedoch muss jede IPSec-Implementierung
fie/Hellman oder kurz: D/H) dient im Internet Key Exchange (IKE) Protocol auch
heute noch als einziges Verfahren zum sicheren Erzeugen symmetrischer Schlüssel
auf beiden Seiten einer Security Associa-
ESP-Trailer
3-DES-CBC
Verschlüsselung
ESP-Header
Mit dem HMAC-MD5-96 Verfahren und einem
128-Bit Schlüssel wird der Integrity Check
Value berechnet und an das Paket angehängt.
IP-Header
Daten
ESP-Header
HMAC-MD5-96
Integritätssicherung
ESP-Auth.
Anschließend wird die Paketprüfsumme neu berechnet und das Paket übertragen
IPSec-Tunnelmode-ESP-Verarbeitung eines ausgehenden IP-Pakets mit Triple-DES und HMACMD5-96
Tunnelmodus üblich. Hier wird das zu
übertragende, private IP-Paket vor der
Verarbeitung in ein anders IP-Paket
eingekapselt.
INTERNET KEY EXCHANGE (IKE) PROTOCOL Bei der Diskussion der Security
Associations ist noch eine ganz wesentliche Frage unbeantwortet geblieben: Wie
kommen beide Seiten einer SA eigentlich
zu den notwendigen, gleichen Parametern?
Denn sie müssen diese Parameter bereits
vor der gesicherten Datenübertragung kennen, sonst kann diese überhaupt nicht stattfinden.
Die Lösung dieses Dilemmas wurde
zum Glück schon im Jahr 1976 von Whitfiel Diffie und Martin Hellman gefunden,
nämlich die so genannte Public-Key-Kryptographie, die von diesen beiden Wissenschaftlern begründet wurde. Das erste beschriebene Public-Key-Verfahren (Dif-
tion. IKE dient neben der Erzeugung der
SA-Schlüssel auch zur Aushandlung der
IPSec SA selbst und zur bidirektionalen
Authentisierung der beiden Gegenstellen.
Selbst in seiner Minimalimplementierung ist IKE extrem komplex und vor allem auch sehr rechenintensiv. Es wird je
nach Konfiguration der SAs Kryptographie bis zum Exzess getrieben, insbesondere die von IKE benutzten PublicKey-Verfahren (Diffie/Hellman und je
nach Authentisierungsmethode auch
noch RSA) verschlingen in der Regel
die 1000-fache Rechenzeit von PrivateKey-Verfahren wie beispielsweise DES.
(Manfred Lipp/mw)
Manfred Lipp arbeitet im Competence Center von Nortel Networks
Deutschland als Senior Systems Engineer und befasst sich dort mit VPNund Security-Lösungen.
www.lanline.de
LAYER-2-SECURITY L2SEC
Sicherer
Remote Access
Wenn es um zuverlässige Verfahren für einen sicheren Datentransfer im
Internet geht, wird im gleichen Atemzug IPSec genannt. Doch der künftige
Standard zeigt heute noch Schwachstellen, wenn es um Remote Access
(Telearbeit) und Bridging geht. Das Layer-2-Security-Verfahren L2Sec kann
diese Lücken schließen.
as Internet etabliert sich in Unternehmen als “Cost-Cutting-Favorit” Nummer 1 bei der Implementierung von Remote-Access-Lösungen. Weltweit verfügbar,
ermöglicht es über lokale Einwahl beim
nächstgelegenen Point-of-Presence (PoP)
preiswerte Kommunikationsverbindungen. Doch die grenzenlose Freiheit des
World Wide Web hat vordergründig ihren
Preis. Als äußerst verletzliche Achillesferse erweist sich das Thema Sicherheit.
Welches sind nun die konkreten Anforderungen an ein sicheres Internet? Wie
können Datenvertraulichkeit und -integrität garantiert werden? Wie kann in einem Public Network eine “private Spähre”
geschaffen werden?
Technisch ist dies in den Virtuellen Privaten Netzen (VPNs) realisiert. Sie stellen
eine Kombination aus Übertragungstechnik und Sicherheitstechnik dar. Wesentliche Bestandteile sind die standardisierten
Tunneling-Verfahren Layer 2 Forwarding
(L2F) und Layer 2 Tunneling Protocol
(L2TP). Beide definieren teilweise Datenintegrität und Authentisierung, jedoch
nicht den Schutz der Daten gegen Ausspähen, Maskieren oder andere Manipulationen. Ein Security-Gesamtkonzept erfordert deshalb die Ergänzung des VPN-Tunnelings um weitere Security-Mechanismen
wie Strong Authentication und sicheren
Schlüsselaustausch.
Das Layer-3-Tunneling-Verfahren IPSec vereinigt Tunneling und Security:
Strong Authentication, Key Exchange so-
D
70
wie Encryption. Der Verbindungsaufbau
erfolgt auf der Basis einer vorher festgelegten Security Policy. Anhand einer vorkonfigurierten Filtertabelle werden alle
Datenpakete überprüft und entsprechend
der definierten Eigenschaften zum vorgegebenen Ziel weitergeleitet. Zu den wichtigsten Eigenschaften zählen die Verschlüsselungs- und Authentisierungsverfahren, beispielsweise auf der Basis von
PKI-Mechanismen. Läuft die Überprüfung
erfolgreich ab, werden alle Daten verschlüsselt übertragen. In einem zweiten
Schritt werden der Verschlüsselungsalgo-
NCP-Implementierung der
Security-Verhandlungen
in das PPP-Protokoll
CHAP/PAP
SSLCP ohne
Zertifizierung:
Verhandlung
des VerschlüsselungsAlgorithmus,
(Session Key)
SCHWACHSTELLEN BEI IPSEC Vor rund
zwei Jahren hat man sich auf IPSec als Defacto-Verfahren für VPN-Tunneling geeinigt (basierend auf dem Internet-Protokoll
IPv6). Nicht ohne Grund, denn es ist flexibel genug, um mit jedem Verschlüsselungsalgorithmus zu funktionieren, und
ermöglicht sehr feine bis auf Port-Ebene
gehende Sicherheitseinstellungen. Das
heißt, es ist ein vertraulicher und sicherer
Datenaustausch mit beliebigen Partnern
möglich – auf Basis von herstellerunabhängigen VPNs. Voraussetzung dafür ist
Channel
Connected
LCP
Nein
rithmus für den Austausch der Nutzdaten
und das IPSec-Protokoll (Authentication
Header (AH) und Encapsulating Security
Payload (ESP)) festgelegt. Es wird zwischen den Partnern geklärt, ob die Daten in
einem Tunnel übertragen werden sollen
oder nicht. IPSec unterscheidet deshalb
zwei Betriebsmodi: Tunnel-Mode und
Transport-Mode. Im Tunnel-Mode wird
der gesamte Rahmen verschlüsselt. Das
Datenpaket bekommt einen neuen Header.
Quelle und Ziel sind so versteckt und nur
die Tunnelendpunkte sind erkennbar. Im
Transport-Mode wird der Rahmeninhalt
verschlüsselt, der ursprüngliche IP-Header
wird allerdings beibehalten. Quell- und
Zieladresse bleiben ungeschützt.
Verhandlung der Verbindungsparametec. Beispiele:
• Max. Größe der empfangenen und gesendeten Datenpakete
• Art der Authentikation (PAP/CHAP)
• Rückruf
Ablauf der Authentikation nach PAP oder CHAP
CryptoOn?
Verschlüsselung für den Remote-User aktiviert?
ECP-Verhandlungen:
1. Statischer oder dynamischer Schlüsselaustausch (Session Key)
Ja
2. Statischer Schlüssel: Festlegung des Algorithmus
Statischer Schlüssel
(NCP, BLOWFISH, 3DES).
ECP
3. Dynamischer Schlüssel: weitere Verhandlungen
bezüglich Zertifizierung auf Basis des
SSL-Handshakeprotokolls
Dynamischer Schlüssel
(private Key/public key)
SSLCP mit Zertifizierung: Verhandlung
SSLCP
SSLCP
des Session Key u. Strong Authentikation
without CERT
with CERT
mittels SmartCard oder Software-Zertifikat
Verschlüsselungsebene
Protokollverhandlungsebene
IPCP
IPXCP
BCP
CCP
Funktionsprinzip des Tunneling-Verfahrens L2Sec
www.lanline.de
allerdings, dass die Schlüsselmechanismen vorgegebenen Standards entsprechen. Ein Standard beim Schlüsselaustausch ist das Internet-Key-ExchangeProtokoll (IKE), auf das IPSec größtenteils zurückgreift, um Schlüssel zwischen
den einzelnen VPN-Nodes zu verteilen.
Doch beim Schlüsselmanagement tauchten Probleme auf, wurde IPSec ohne PKI
genutzt. Diese Schwachstelle wurde inzwischen beseitigt, indem herstellerseitig
die PKI-Unterstützung im IKE implementiert wurde. Allerdings geschah dies –
mangels ungenau definierter Spezifikationen – auf Basis unterschiedlicher Mechanismen. Die Folge: Inkompatibilitäten
zwischen den VPN-Produkten der einzelnen Lösungsanbieter.
LCP
IPCP
CHAP
IPXCP
PAP
ECP
BCP
SSLCP
CCP
Link Control Protocol
Internetwork Packet Exchange
Control Protocol
Challenge Authentication
Protocol
Internetwork Packet Exchange
Control
Password Authentication Protocol Protocol
Encryption Control Protocol
Bridge Control Protocol
Secure Socket Layer Control
Protocol
Compression Control Protocol
Ein weiterer Knackpunkt liegt bei IPSec
in der Anbindung von entfernten IPSecClients (Telearbeitsplätze) und Filialen,
wenn einer der beiden Kommunikationspartner über ein Netz kommuniziert, das
das Network-Address-Translation-Verfahren (NAT) einsetzt. Durch IP-NAT
wird der IP-Header verändert, wodurch
Probleme mit dem Authentication Header
Protocol entstehen, das für die Authentisierung des Senders zuständig ist. Die Arbeitsgruppe IPSRA (IP Security Remote
Access) arbeitet an der Lösung des Problems. Hinzu kommt, dass IPSec als Layer-3-Tunneling-Protocol nur eine sichere
Kommunikation in IP-Netzen ermöglicht
und Protokolle wie IPX sowie Bridging
(SNA, NetBIOS) nicht zulässt. Doch in
vielen Großunternehmen aus der
72
Industrie, Banken, Versicherungen und
Behörden existieren nach wie vor heterogene Netzwerktopologien mit der Anforderung, Protokolle wie beispielsweise
SNA native über öffentliche Netze zu
übertragen.
L2SEC: HIGH SECURITY IM OSI LAYER 2
Die derzeitigen Lücken von IPSec schließt
die Nürnberger NCP engineering mit
hochsicheren Mechanismen in Verbindung mit den Layer-2-Tunneling-Verfahren. In der Lösung wurde nicht der Layer2-Tunnel verändert, sondern einfach das
PPP-Protokoll (Layer 2) um das SecureSockets-Layer-Handshake-Protokoll (SSL
V3.0) erweitert. Das Schlüsselmanagement und die User-Zertifizierung (Smartcards, Files) mit höchster Sicherheitsstufe
sind in die PPP-Verhandlungen implementiert. Für den Anwender bedeutet das eine
End-to-End-Verschlüsselung über alle
zwischengeschalteten Instanzen (IP-Router unterschiedlicher ISPs). Die L2SecSoftware gewährleistet für sämtliche
Protokolle wie SNA, 802.2, NetBIOS, IPX
und natürlich TCP/IP eine universelle Sicherheitsinfrastruktur, in die sich beliebige Business-Applikationen integrieren
lassen.
Die Entscheidung fiel für das SSLHandshake-Protokoll da es eine zusätzliche Sicherungsschicht oberhalb des Transport-Layers im OSI-Modell darstellt. Auf
Basis des SSL-Protokolls erfolgen sowohl
die Verhandlung des Session Keys als auch
die Strong-Authentication zur eindeutigen
Authentisierung der Kommunikationspartner über Zertifikate nach ITU-Standard
X.509v3. Ein Vorteil der Verschlüsselung
auf dieser Ebene ist, dass alle OSI-Layer3-Frames mit ihren Header-, Benutzerdaten- und Trailer-Feldern komplett verschlüsselt werden. Das gilt auch für Protokolle wie beispielsweise SNA über HDLC.
Die neue Version des SSL-HandshakeProtokolls SSLv3, beinhaltet zusätzlich zu
den Sicherheits-Features die Möglichkeit,
Datenkompression zu verhandeln und erweitert die Mechanismen für den Schlüsselaustausch um Fortezza und NichtRSA-Zertifikate. Die Datenübertragung
schließt eine Überprüfung der Dateninte-
grität durch einen eingebundenen MAC
(Message Authentication Code) ein. Für
die Berechnung des MAC werden sichere
Hash-Algoritmen: MD5 (Message Digest
5) und SHA (Secure Hash Algorithm), verwendet. Verbindungen, bei denen erfolglos verhandelt wird, das heißt kein gemeinsamer Nenner gefunden wird, werden
sofort abgebrochen.
Der
Overhead des Verfahrens ist höher als bei
IPSec, und es ist keine Einzelsicherung
von Prozessen oder Ports möglich. Denn
bei L2Sec werden alle Pakete in einen Tunnel gepackt, und der Tunnel wird dann als
Ganzes gesichert.
SCHWACHSTELLEN
BEI
L2SEC
L2SEC UND STANDARDS L2Sec basiert
ebenso wie IPSec ausschließlich auf anerkannten Sicherheitsstandards und Zertifikaten. Das bedeutet, die Nutzung von
Web-Browser, E-Mail, Datenbank-,
Groupware-, Terminalemulations-Anwendungen oder Eigenentwicklungen stellt
keine Schwierigkeit dar. Problemlos zeigt
sich die Layer-2-Security-Lösung auch im
Einsatz mit bereits existierenden ProxyFirewalls. Layer-2-Security ist von Microsoft bereits funktionell im RFC 2716 beschrieben. Eine wichtige Voraussetzung,
um L2Sec als einen Internet-Standard neben IPSec zu platzieren.
FAZIT Vergleicht man die Funktionsprin-
zipien von Layer-2- und Layer-3-Tunneling, so zeigt sich, dass IPSec insbesondere dann zum Einsatz kommt, wenn beliebige Partner via Internet miteinander kommunizieren und IP-Datenpakete zwischen
zwei LANs verschickt werden sollen (Extranet).
Die Stärke von L2Sec liegt im Remote
Access, also der Integration von mobilen
und stationären Telearbeitsplätzen sowie
verteilten LANs in ein sicheres Intranet
(Corporate Network). Es können hochsichere VPNs auf der Basis beliebiger
Netzwerkprotokolle aufgebaut werden.
Beide Tunneling-Verfahren haben ihre
Berechtigung und schließen sich nicht
aus.
(Sabine Baehre/mw)
www.lanline.de
Access-VPNs muss zusätzlich noch eine
starke Endbenutzer-Authentisierung unterstützt werden können.
VIRTUELLE PRIVATE NETZE
Private Daten über
öffentliche Netze
Auf die Frage, was denn ein VPN überhaupt sei, erhält man in der Regel die unterschiedlichsten Antworten. Eine allgemeine Definition ist die
folgende: “Ein Virtuelles Privates Netzwerk benutzt ein öffentliches
Netzwerk zum Transport privater Daten.” Heute meint man mit dem
öffentlichen Netzwerk das Internet, das sich aufgrund seiner Verbreitung und zunehmenden Geschwindigkeit und Verfügbarkeit immer mehr
als kostengünstige Basis eines VPN anbietet.
ie Einsatzgebiete für virtuelle private Netzwerke sind vielfältig. Je nach
gestellten Anforderungen an Sicherheit,
Quality of Service sowie anderen Randbedingungen kann man, entsprechend
dem Angebot der Service-Provider,
die komplette Weitverkehrs-Infrastruktur
und den Remote Access als Virtuelles Privates Netzwerk (VPN) abbilden.
In Deutschland setzt die VPN-Technologie momentan zu dem Boom an, den sie
in den USA schon vor gut einem Jahr erlebt hat. Ausgelöst wurde diese Entwicklung dadurch, dass immer mehr Betriebssysteme wie etwa Windows 2000 oder
Linux mit modernen, standardisierten
VPN-Implementierungen aufwarten, das
viele Hersteller VPN-Technologien in ihre Systeme bis hin zum Soho-Router integrieren und es mittlerweile eine Reihe
von dedizierten VPN-Systemen auf dem
Markt gibt.
Bei der Auswahl der geeigneten Technologie muss man sehr genau untersuchen, welche Anforderung an das VPN
gestellt werden. In der Regel resultieren
diese aus Sicherheitsbedürfnissen, gefolgt von Kostenaspekten, der Verfügbarkeit und, abhängig von den eingesetzten Applikationen, auch bestimmten Anforderungen an Bandbreiten und Verzögerungszeiten.
Ein entscheidendes Kriterium beim
Entwurf einer Kommunikationsinfra-
D
74
struktur, die als Medium öffentliche Netze wie das Internet benutzt, ist die Sicherheit der zu übertragenden Daten.
Diese müssen insbesondere gegen Verletzungen der Vertraulichkeit und der In-
TUNNELING Die Basistechnologie heutiger VPNs sind so genannte TunnelingVerfahren, die Pakete eines Netzwerkprotokolls in ein weiteres Protokoll einkapseln. In heutigen Internet-VPNs werden
zum Beispiel private IP- oder IPX-Pakete
in IP-Pakete mit offiziellen IP-Adressen
eingepackt und durch das Internet transportiert. Bei den Tunneling-Verfahren unterscheidet man grundsätzlich zwischen
Layer-2- und Layer-3-Tunneling, abhängig davon, auf welcher Ebene des OSI-Referenzmodells die Einkapselung erfolgt.
Die bekanntesten Layer-2-Protokolle sind
L2TP, PPTP und L2F, im Layer-3 Bereich
hat das IPSec-Protokoll mit seiner Tunneling-Option eine weite Verbreitung gefunden. Da L2F und PPTP nie standardisiert
wurden und auch immer seltener Verwendung finden, sind für zukunftssichere
Internet VPN
Small Office/
Home Office
Zentrale
VPN SOHO
Router
VPN Remote
Client
Internet
VPN
Concentrator
VPN Branch
Concentrator
Remote
Access
Branch
Office
Internet-VPN für LAN-LAN-Verbindungen und Remote Access
tegrität hinreichend geschützt werden,
gefolgt von flankierenden Maßnahmen
zum Schutz vor Denial-of-ServiceAttacks, Replay-Attacks und weiteren
ähnlich gearteten Angriffen. Bei Remote-
VPNs zwei Protokolle von besonderem
Interesse: Das Layer-2-Tunneling-Protokoll (L2TP) und das IP-Security-Protokoll
(IPSec), zwei Verfahren, wie sie unterschiedlicher kaum sein können.
www.lanline.de
L2TP ist ein reines Tunneling-Protokoll,
es werden im Standard keinerlei Sicherheitsverfahren wie Verschlüsselung oder
Paketintegritätssicherung beschrieben. Da
PPP-Pakete eingekapselt werden, ist die
Übertragung von Nicht-IP-Protokollen
ten. Dieses Verfahren ist auch die von
Microsoft präferierte Methode ihrer VPNClient-Implementierung in Windows
2000. Falls jedoch ausschließlich mit IP
gearbeitet wird, ist auf jeden Fall IPSec im
Tunnelmodus vorzuziehen, da der Paket-
L2TP Paket
Privates IP Packet
{
Neuer IP Header
IP Header
L2TP-Header
PPP-Header
IP-Header
Daten
IPSec Paket im ESP Tunnelmodus
Neuer IP Header
{
Privates IP Packet
IP Header
ESP-Header
IP-Header
Daten
ESP-Trailer
ESP-Auth.
Verschlüsselter Bereich
Authentisierter Bereich
Paketformate von L2TP und IPSec im ESP-Tunnelmodus
kein großes Problem. L2TP kann sowohl
in Ende-zu-Ende-VPNs als auch in Provider-Enterprise-VPNs eingesetzt werden.
Im letzteren Fall wird der Tunnel beim
Provider in dessen POP initiiert und beim
Endkunden terminiert. Im Ende-zu-EndeVPN beginnen und enden die Tunnel immer beim Endkunden.
IPSec hingegen ist ein reines SecurityProtokoll, das lediglich als Option IP-inIP-Tunneling unterstützt. Andere Netzwerkprotokolle werden nicht verarbeitet.
Somit hat man auf der einen Seite ein flexibles, standardisiertes Tunneling-Protokoll ohne Sicherheitsmechanismen (L2TP)
und auf der anderen Seite ein sehr sicheres
Security-Protokoll, das nur IP tunneln
kann (IPSec). Falls man andere Protokolle
als nur IP tunneln will, lassen sich beide
Protokolle sinnvoll kombinieren. Man benutzt hierbei L2TP zum Tunneln sowie
IPSec im Transportmodus, um die nötige
Sicherheit der Datenpakete zu gewährleis-
www.lanline.de
Overhead hierbei sehr viel kleiner und die
Performance viel höher ist. Der Grund
dafür liegt darin, dass sowohl der PPPHeader als auch der L2TP-Header und die
damit verbundenen Verarbeitungsprozeduren für PPP und L2TP entfallen. IPSec
dagegen erzeugt für sein IP-in-IP-Tunneling keinen zusätzlichen Header.
QUALITY OF SERVICE Zum Thema Qua-
lity of Service (QoS) sieht es im Bereich
der Internet-VPNs leider noch schlecht
aus. Zwar garantieren manche Provider bestimmte Bandbreiten und Verzögerungszeiten, haben aber auf der anderen Seite
noch gar nicht die Technik implementiert,
um dies auch tatsächlich garantieren zu
können. Im Augenblick ist die Lösung im
Bandbreiten-Overkill vieler Provider-Infrastrukturen zu finden, der momentan
noch keine Engpässe erzeugt. Was aber
passiert, wenn sich Anzahl und Durchsatz
der VPNs vervielfachen, ist fraglich. Hier
müssen im Internet von allen Providern
entsprechende QoS-Mechanismen durchgängig implementiert werden. Die VPNSysteme, die heute bereits im Einsatz sind,
sollten diese Funktionalitäten schon intern
unterstützen, ebenso wie die Signalisierung der QoS-Informationen vom inneren
in das äußere IP-Paket.
VPN-REMOTE-CLIENTS Ein entscheidender Punkt ist die Auswahl der VPN-ClientSoftware, wenn ein Unternehmen RemoteAccess-VPNs einsetzt. Es ist darauf zu
achten, dass einige wichtige Features unterstützt werden. Neben Authentisierungsoptionen wie der Unterstützung von digitalen Signaturen auf Zertifikatbasis oder Token-Karten ist besonderes Augenmerk darauf zulegen, dass der Aufwand für Konfiguration und Änderung der Clients minimal ist. Vor allem die dynamische IPAdresszuweisung seitens der Service-Provider muss unterstützt werden. Im Idealfall
braucht der Endanwender außer seiner
User-ID und seinem Passwort oder Token
überhaupt nichts einzugeben oder zu konfigurieren. Ein unnötig hoher Aufwand in
diesem Bereich macht alle Einsparungen
wieder zunichte, die der VPN-Einsatz eigentlich zur Folge haben soll. Hier müssen
Kriterien wie einfacher Roll-out, einfaches
Update und zentrale und automatische Client-Konfiguration über LDAP-DirectoryServices im Vordergrund stehen.
Zusammenfassend lässt sich feststellen,
dass die heute verfügbare VPN-Technologie bei richtigem Einsatz durchaus in der
Lage ist, eine drastische Reduzierung der
Kommunikationskosten zu ermöglichen.
Einsparungen bis zu 40 bis 50 Prozent im
Bereich der LAN-Kopplung und 70 bis 80
Prozent im Bereich von Remote-AccessVPNs sind durchaus realistische Werte.
Hinzu kommt, dass dedizierte VPN-Geräte selbst mit einem um den Faktor 2 bis 10
niedrigeren Port-Preis aufwarten können.
(Manfred Lipp/mw)
Manfred Lipp arbeitet im Competence
Center von Nortel Networks Deutschland
als Senior Systems Engineer und befasst
sich dort mit VPN- und Security-Lösungen.
75
HOCHSICHERE BASIS
Trusted
Operating Systems
Aussen hui, innen pfui – so präsentieren sich oftmals die scheinbar sicheren Systeme. Zwar werden durch Firewalls und andere Mechanismen die
Anwendungen gesichert, das darunter liegende Betriebssystem ist jedoch
offen wie ein Scheunentor. Damit lassen sich die bestehenden Schutzmechanismen leicht entkräftigen.
icherheitslösungen werden heute
primär dediziert für Anwendungen
oder als Schutz der Netzwerkverbindung
implementiert. Auch wenn von Authentisierung und Verschlüsselung über Firewall, Intrusion Detection und digitaler
Signatur sämtliche Sicherheitsmechanismen aktiviert sind – von einem vollständigen Schutz kann dabei nicht die Rede
sein. Vergessen wird nämlich in der Regel die Basis – das Betriebssystem. Vergleiche mit einer Burg, die auf Sand gebaut ist, liegen nahe.
Hat sich ein unberechtigter Benutzer
einmal Root-Rechte verschafft, stehen
ihm Tür und Tor offen. Moderne Sicherheitskonzepte müssen deshalb auch die
Systemebene mit einbeziehen. Vor allem
im Hinblick, dass durch E-Commerce
und B2B (Business-to-Business) die
Grenzen zwischen internen und externen
Umgebungen immer mehr verschwinden, die Unternehmen ihre Netzwerke
immer weiter öffnen.
Das Thema “Root” ist in Unix eine
heikle Sache. Unix selbst sowie auch
Unix-Anwendungen und -Systemprogramme weisen genügend Sicherheitslücken auf, die dem Bösewicht in der
Regel eines verschaffen: Root-Rechte
und damit die Herrschaft über das System oder darüber hinaus. Neben den
Denial-of-Service-Attacken finden sich
in den Sicherheitswarnungen diverser
Web-Sites und Newsletter vor allem das
Erlangen von Root-Rechten als mögli-
S
76
che Auswirkung entdeckter Sicherheitslücken.
Doch auch ohne Sicherheitslücken weisen Unix und Windows NT ihre generellen
Schwachstellen auf. Bleiben wir beim
Unix. Dort gibt es im Standard als User-ID
mit erweiterten Rechten nur Root beziehungsweise den Superuser. Diese ID kann
alle Sicherheitsrestriktionen umgehen, ihr
steht das komplette System offen. Win-
weist kein Programm in seine ihm zugedachten Schranken. Ein Angreifer könnte
leicht ein Programm generieren, das von
dem mit Root-Privilegien laufenden Programm gestartet wird – die Rechte werden
automatisch übernommen. Jedes Programm, das ein User unter Root startet, hat
die maximalen Privilegien. Ebenfalls wenig geeignet für sicherheitskritische Umgebungen ist die Vergabe von Zugriffsrechten auf Dateien durch die Erzeuger
dieser Datei – dieses Modell verhält sich
konträr zu einer zentral gesteuerten Security-Policy. Auch bei Windows NT sieht es
nicht viel besser aus, da Programme in ihrer Ausführung auch nicht zwingend auf
die für ihren Zweck zugedachten Aktionen
beschränkt sind.
Die größte Gefahr für das Betriebssystem ist bösartiger Code. Wie leicht dieser
sich ins Unternehmen schleusen lässt, zeigt
sich am Beispiel von Postscript. Bei Postscript-Dokumenten handelt es sich um ausführbare Programme mit Zugriffsmöglichkeit auf das lokale File-System. PostscriptViewer sollten deshalb zusätzlich durch
Betriebssystemfunktionen überwacht wer-
Application 1
Compartment
Outside
Compartment
Security
Gateway
Application 2
Compartment
Application 3
Compartment
Trusted Systems Partitioning
dows NT weist mit seinen Systemoder Administrator-Accounts die gleichen
Schwachstellen auf.
Anwendungen, die auf andere Ressourcen zugreifen, müssen ebenfalls mit “RootBerechtigung” laufen. Hier findet sich
schon die erste Sicherheitsfalle: Ein solches Programm könnte damit auch manipuliert werden, um das System herunterzufahren oder Files auszulesen. Unix selbst
Quelle: Argus
den. Noch immer nicht als völlig sicher gilt
auch Java. Die National Security Agency
weist in einem Bericht über die Gefahren
fehlender Betriebssystemsicherheit darauf
hin, dass die Java Virtual Machine (JVM)
Byte-Code akzeptiert, der die Semantik der
Sprache zerstören und so Sicherheitslücken öffnen kann.
Auch Verschlüsselungs- und Authentisierungsmechanismen sind in ihrer Wir-
www.lanline.de
kung nicht so sicher wie vielfach angenommen. Geschützt wird in der Regel nur
der Transfer, aber nicht die Speicherung
der Informationen auf dem Server oder
Client. Das Key-Management und der
Schlüsselaustausch findet im IPSec-Verfahren auf Anwendungsebene statt. Ebenso bei SSL – das völlig in die Anwendung
eingebaut ist. SSL wird als Library implementiert und über Socket-Aufrufe in das
Transport- und Anwendungsprotokoll in-
Traditionelle Sicherheitsmechanismen
tegriert. Verschafft sich ein Angreifer oder
böswilliger Programmcode Zugang zum
Key-Management oder zur Library, sind
beide Modelle nicht viel wert.
Firewalls können ebenfalls durch sichere Betriebssystemumgebungen auf stabilere Beine gestellt werden. Die Gefahren gehen dabei primär von den internen Anwendern aus, die in der Regel wenig eingeschränkt sind. Mitarbeiter, die dem Unternehmen Schaden zufügen wollen, können
beispielsweise von innen einen Tunnel errichten und damit den Zugang von außen
öffnen. Darüber hinaus endet ihr Aufgabengebiet sowieso hinter der Netzwerkkarte, die das interne Netz beziehungsweise
das Secure Server Net vom nicht vertrau-
www.lanline.de
enswürdigen Netzwerk trennt. FirewallSysteme sind wie Pförtner. Sie regeln und
kontrollieren nur den Zutritt, können aber
nicht verhindern, dass Besucher in unverschlossenen Aktenschränken wühlen.
Trusted Operating Systems, also sichere
Betriebssysteme, ergänzen die anwendungs- und dienstespezifischen Sicherheitsmaßnahmen durch Funktionen wie
fein regelbare Zugriffsrechte (Mandatory
Access Control) auf Systemebene. Jedes
Quelle: Argus
File-System, Gerät oder jeder Prozess kann
spezifisch freigeschaltet werden – das geht
soweit, dass Benutzern nur eine dedizierte
Web-Seite oder bestimmte Felder innerhalb einer Datenbank offen stehen. Das erweiterte Mandatory Access Control
(MAC) ist eine Kernfunktion der Trusted
Operating Systems und ersetzt die Rechtefreigabe durch die Erzeuger von Dateien.
Alle Files, System- und Netzkomponenten, Masken beziehungsweise Web-Seiten
und Hosts sowie alle anderen Systemobjekte mit Benutzerzugriff sowie die Benutzer selbst werden ausschließlich vom Administrator im Sinne der unternehmensweiten Security-Policy mittels Sensitivity
Labels klassifiziert. Die Einteilung kann
77
Sicherer externer Zugriff für die Administration
von vollen Schreib-Lese-Rechten über einen eingeschränkten bis hin zum “read-only” Zugriff reichen. Beim Zugriff auf eine
Datei oder der versuchten Ausführung eines Prozesses wird vom Betriebssystem
geprüft, ob sich das Sensitivity-Label des
Benutzers mit dem des Prozesses oder der
Datei deckt. Bei ein- und ausgehenden
Paketen werden die Sensitivity-Labels
dem Header hinzugefügt – und verworfen,
falls das Netzwerk-Interface sowie der remote Host nicht die Berechtigung besitzen,
das Paket zu empfangen. So kann beispielsweise mittels MAC nur bestimmten
Anwendungen die Authentisierung an der
Firewall gewährt werden.
Mit ihren MAC-Mechanismen müssen
die Trusted Operating Systems zudem die
Vergabe dedizierter Privilegien (least privileges) unterstützen, weil sich damit auch
“normale”, also nicht besonders geschützte (Trusted) Applikationen zusätzlich absichern lassen. Least privileges ergänzen die
benutzerspezifischen Rechtevergaben, indem sie den Wirkungsgrad der Programme
78
einschränken. Anwendungen, die aufgrund ihrer Funktionalität unter RootRechten laufen müssen, lassen sich damit
so einschränken, dass
sie nur noch für ihre
Aufgaben notwendige Aktionen ausführen können. Trusted Solaris stellt
dafür zum Beispiel
ein spezielles Programm bereit, das
den Administrator
unterstützt, die notwendigen Prozesse
freizuschalten. Ein
Logging-Programm
kann in seiner Funktion dediziert eingestellt werden, dass es
nur Log-Files aufzeichnet, aber durch
Quelle: Argus seine eingeschränkten Privilegien keine
Möglichkeit mehr
hat, ein anderes Programm zur Ausführung
zu bringen oder das System herunterzufahren. Mit der Möglichkeit, Least Privileges
zu vergeben, lassen sich die größten
Schwachstellen der Standard-Betriebssysteme ausräumen: die Problematik des generellen Root-Rechts und die damit verbundene völlige Freiheit der Aktionen.
Ergänzt werden die Sicherheitsfunktionen der Trusted Operating Systems durch
die Möglichkeit der Partitionierung. Bestimmte Anwendungen, aber auch Anwendungsteile liegen dann in eigenen Segmenten mit jeweils gleichen Rechten, sprich:
Sensitivity-Labels. Programme, Daten und
Netzwerk-Interfaces können dabei in mehrere Partitionen aufgesplittet und mit speziellen Zugriffsrechten versehen werden.
So lässt sich verhindern, dass Programmteile dazu verwendet werden, sensitivere
Bestandteile wie Logging-Files auszuspionieren. Administratoren können sensitive
Web-Seiten oder CGI-Verzeichnisse vom
Web-Server separieren und komplett in einer Read-only-Partition isolieren. Un-
terstützt das Trusted Operating System
auch die Partitionierung von NetzwerkServern, lässt sich durch eine gezielte
Rechtevergabe sogar verhindern, dass
wichtige Bereiche etwa durch von extern
erfolgreich eingeschleustem bösartigen
Code verletzt werden. Der Schaden begrenzt sich auf eine Domäne.
Weitere Security-Funktionen umfassen
die automatische Veränderung der Default-Passwörter. Denn häufig ergibt sich
bei Sicherheits-Checks in den Unternehmen dieses Bild: Nach Jahren dienen als
Systempasswörter die werksseitigen Default-Einstellungen oder die häufig verwendete “test”-Passwörter. Trusted Operating Systems zwingen den Administrator
zur Passwortänderung und ermöglichen
sogar den Austausch der Standard-Verschlüsselungsalgorithmen gegen unternehmensspezifische. Für bestimme Fälle unterstützen Trusted Operating- Systems
auch das Vier-Augen-Prinzip, das heißt,
für die Ausführung bestimmter Systemänderungen müssen sich mindestens zwei
Administratoren am Betriebssystem authentisieren. Zur Erleichterung der Passwortvergabe können auch leicht merkbare
aber dennoch zufällige Passwörter vom
System generiert werden, die den gängigen
Anforderungen an Passwörtern entsprechen.
Hinzu kommen unterschiedliche Administratorrechte. Neben dem Superuser der
Standard-Betriebssysteme lassen sich verschiedene Administratorenrollen definieren, sodass kein Administrator die komplette Kontrolle über ein System erhält. So
legt beispielsweise Administrator A neue
Benutzer an, und Administrator B definiert
deren Rechte. Die Aktivitäten der Administratoren verfolgt ein erweitertes Auditing, das den höheren Sicherheitsstandards
entsprechend in einer sicheren Umgebung
läuft. Derart hochsichere Bereiche sind bei
Trusted Operating Systems zudem durch
spezielle Authentisierungsverfahren geschützt. Trusted Operating Systems können so die applikationsbasierten Maßnahmen im Sinne einer mehrschichtigen Sicherheitsarchitektur ergänzen.
(Andreas Lamm,
Integralis, München/mw)
www.lanline.de
GUT VERSTECKT
Steganografisches
Dateisystem für Linux
Die transparente Verschlüsselung der Festplatte ist bekannt. Weitaus
schwieriger ist jedoch das Problem, die Existenz geheimer Information
zu verbergen, vor allem, wenn diese viele Dateien umfasst. Eine interessante Lösung für Linux stellt Stegfs dar.
ryptografische Dateisysteme legen
Dateien in verschlüsselter Form auf
Datenträgern ab, ohne dass sich der Anwender besonders darum kümmern muss
– er gibt einmal zu Beginn der Sitzung ein
Passwort ein, der Rest geschieht automatisch. Der Anwender kann wie gewohnt
arbeiten und merkt (außer geringerer Performance) nichts von der laufenden Chiffrierung seiner Daten. Ohne dieses Passwort ist kein Zugriff auf die gespeicherten Daten möglich. Das ist nichts Neues
(vgl. [1]; Analyse in [2]) und eine feine
Sache, wenn der Notebook mit wichtigen
Daten gestohlen wurde. Kryptografische
Dateisysteme sind auch (bedingt) geeignet, um sich vor neugierigen Systemadministratoren oder Hackern zu schützen.
Manchmal nützt dieser Schutz allerdings
wenig, zum Beispiel, wenn ein Journalist
in China in den Verdacht gerät, unliebsame Informationen gesammelt zu haben.
Verschlüsselte Partitionen auf der Festplatte dürften sofort den Argwohn der
Staatsorgane wecken, die dann gewiss
geeignete Methoden zur Herausgabe des
geheimen Passworts finden werden.
Hier können steganografische Dateisysteme helfen. Der Unterschied zwischen
Kryptografie und Steganografie besteht
darin, dass Kryptografie den Inhalt bestimmter Daten gegen Verfälschung oder
unbefugtes Lesen schützt, während Steganografie deren Existenz verschleiern
soll. Das ist beispielsweise wichtig in
Ländern mit Kryptoverbot. Dort wird
man Daten zunächst verschlüsseln und
dann mit steganografischen Methoden zu
K
www.lanline.de
verstecken suchen. In diesem Sinne sollen steganografische Dateisysteme die
Existenz vieler (in der Regel chiffrierter)
Dateien verbergen. Wenigstens bei einer
flüchtigen Prüfung soll alles normal erscheinen. Naheliegend wäre hier, auf die
gängige Methode des Verbergens von Informationen in Bildern oder Audio-Files
keinesfalls eine neue Erkenntnis. Niedrigwertige Bits von Bildern oder Tonaufzeichnungen zeigen nämlich noch statistische Abhängigkeiten, das heißt, sie sind
überhaupt nicht so “zufällig”. Entsprechende, auf bekannte steganografische
Verfahren abgestimmte Tests indizieren
dann rasch das Vorhandensein versteckter Information. Auch ist solch ein Vorgehen ziemlich uneffektiv, denn nur ein
sehr geringer Prozentsatz der Platte lässt
sich auf diese Weise überhaupt nutzen.
Es gibt noch raffiniertere Methoden als
die genannte [4]. Doch die bisher bekannten sind teils extrem rechenaufwendig, oder/und sie verstecken nicht zuverlässig. Wird eine Methode verbreitet angewandt, dann gibt es auch bald effektive
Tests auf das Vorhandensein unsichtbarer Information.
EIN ELEGANTES KONZEPT Da sich die
Existenz chiffrierter Dateien bisher nicht
Sonstiges*
Diebstahl
3%
Computerviren
5%
7%
Software-Korruption
13%
42%
Hardware-Ausfall
30%
Menschliches Versagen
Bild 1. Häufigste Gründe für Dateiverluste
zurückzugreifen. Dabei werden zum Beispiel niedrigwertige “zufällige” Bits
durch chiffrierte Informationen ersetzt,
die ja ebenfalls als zufällig erscheinen.
Das nutzt beispielsweise Scramdisk für
Windows [3]. Doch gerade diese gängige
Methode ist unsicher, und auch das ist
zuverlässig verbergen lässt, schlugen die
Kryptologen Anderson, Needham und
Shamir 1998 ein anderes Konzept vor
[5]. Ihr steganografisches Dateisystem
offenbart zwar seine Existenz, doch sind
die chiffrierten Dateien verschiedenen
Sicherheitsstufen zugeordnet, die der Be-
79
nutzer während der Arbeit per Passwort
freigibt. Der entscheidende Trick ist dabei, dass Dateien höherer Level unsichtbar sind, wenn mit niedrigerem Level ge-
Quellcode umfasst – Stegfs erweitert es
um nochmals 5000.
Stegfs unterscheidet sich im Normalbetrieb nur in zwei Details von Ext2fs:
DIFFIZILE PROBLEME Doch die Sache
/stego
/txt
/mytxt
/util
/crypt
?
?
/lett
Bild 2. Level 0: nur “legale” Dateien sind sichtbar
arbeitet wird. So kann ein Journalist zum
Beispiel drei Stufen nutzen, wobei er für
ihn gefährliche Information nur in Stufe
3 unterbringt. Bei einem eventuellen Verhör kann er plausibel erklären, warum er
die Stufen 1 und 2 nutzte (Stufe 1 gegen
Diebstahl und Hacker, Stufe 2 für unternehmenskritische Information), jedoch
nicht Stufe 3 und höher. Zum Beweis aktiviert er Stufe 2 – die Dateien aus Stufe
1 und 2 erscheinen und lassen sich verarbeiten, jedoch ist nicht klar, ob noch Dateien höherer Sicherheitsstufen existieren. Der Richter ist nicht in der Lage, ihm
das Gegenteil zu beweisen.
Natürlich kann der Richter anordnen,
alle scheinbar ungenutzten Blöcke auf
der Platte zu überschreiben. Dann verschwinden die Dateien höherer Stufen
zuverlässig. Es ist zu hoffen, dass der
Journalist für diesen Fall irgendwo noch
ein Backup besitzt. Und selbst wenn
nicht – besser ohne Dateien (aber mit
Story) zurückgekehrt als eine zehnjährige Haft abzusitzen.
Markus Kuhn und Andrew McDonald
stellten nun auf der Tagung IHW99 [4]
die Linux-Implementierung Stegfs dieses
Konzepts vor, die 15 Sicherheitsstufen
fest eingebaut hat und Verschlüsselung
mit den Algorithmen Serpent und RC6
anbietet (128 Bit). Stegfs wird unter dem
GPL-Copyright angeboten und ist eine
Modifzierung des üblichen Linux-Dateisystems Ext2fs, das etwa 5400 Zeilen
80
nes Sicherheits-Levels. (In der Praxis
sieht das noch etwas anders aus. Dort
kann der Nutzer statt der Level auch so
genannte Kontexte eingeben, die mehrere Level beinhalten und die Sicherheitsstruktur noch mehr verschleiern.)
Beim Löschen werden Dateien mit zufälligen Bits überschrieben, und ein kleiner
Teil neu allokierter Blöcke wird nicht zusammenhängend geschrieben, sondern
auf zufällige Positionen. Letzteres ist eine Vorsichtsmaßnahme: Bei einer wiederholten Kontrolle könnte ein Inspektor
feststellen, dass seit der letzten Überprüfung mitten in einem großen ungenutzten
Bereich einige Blöcke verändert wurden.
Durch die Allokierungsstrategie von
Stegfs ist nicht erkennbar, ob diese
Blöcke durch Benutzung eines geheimen
Sicherheits-Levels verändert wurden
oder nur bei normalem Betrieb.
In jedem Sicherheits-Level sind sowohl Inodes als auch die Datenblöcke
selbst chiffriert. Arbeitet der Anwender
auf Level 2, so erscheinen ihm Inodes
und Datenblöcke der Level 1 und 2 lesbar, die von Level 3 jedoch als zufällige
Blöcke und somit nicht unterscheidbar
von tatsächlich ungenutzten Blöcken mit
zufälligem Inhalt. In der Praxis sieht er
unter dem Mountpoint (etwa /mnt/stegfs)
zwei Verzeichnisse 1/ und 2/, nicht jedoch 3/, denn dazu hätte er das Paßwort
der Stufe 3 eingeben müssen. Hardlinks
sind nur zwischen Dateien eines Levels
erlaubt, also beispielsweise unterhalb
/mnt/stegfs/2/, was auf den zweiten Blick
auch logisch erscheint. Symbolische
Links von außen her sind natürlich möglich und eine böse Falle: Denn damit verrät der Anwender das Vorhandensein ei-
hat einen Haken: Wenn der Anwender
nicht auf dem höchsten Level arbeitet,
besteht die Gefahr, unwissentlich Daten
oder sogar Inodes höherer Level zu zerstören. Das lässt sich auch nicht vermeiden, denn man soll ja nicht feststellen
können, ob höhere Level überhaupt benutzt wurden.
Die Lösung erscheint sehr pragmatisch
und unelegant: Sowohl Inodes als auch
Datenblöcke werden mehrfach abgelegt
in der Hoffnung, dass wenigstens eine
Kopie überlebt. Stegfs erlaubt bis zu 14
Kopien von Datenblöcken und 28 Kopien
von Inodes. Die Nachteile sind offensichtlich, jedoch nicht so gravierend wie
es scheinen mag. Das Konzept von Stegfs setzt nämlich voraus, dass nur wenig
Literatur:
[1] Blaze, M.; A Cryptographic File System for UNIX; Proc. 1st ACM Conference on Computer and Communications Security, Fairfax, Nov.1993
[2] Wobst, R., Abenteuer Kryptologie,
2.Aufl., Addison-Wesley 1998
[3] www.scramdisk.clara.net/
[4] Wobst, R., Versteckspiel (Bericht von
IHW-Tagung), UNIXopen 12/99,
S.10-13
[5] Anderson, R., Needham, R., Shamir,
A.; The Steganographic File System
Information Hiding, 2nd Int. Workshop, Proceedings, Springer Verlag
1998, LNCS 1525
[6] McDonald, A.D., Kuhn, M.G., Stegfs: A Steganographic File System for
Linux Information Hiding, 3rd Int.
Workshop, Proceedings, Springer
Verlag 1999, LNCS 1768
Artikel auch auf:
www.cl.cam.ac.uk/~mgk25/
ih99-stegfs.pdf
[7] Schlede, F.M., Nie mehr “fsck”!,
UNIXopen 12/1-2000, S.56-58
[8] www-users.rwth-aachen.de/Peter.
Schneider-Kamp/sources/sfs/
www.lanline.de
Platz von höchsten Sicherheits-Levels
benötigt wird. Nutzt Level 2 zum Beispiel 1 Prozent des freien Plattenplatzes
und legt man jeden Datenblock dreifach
ab, Inodes dagegen sechsfach, so beträgt
die Wahrscheinlichkeit für einen verlorenen Datenblock nur etwa ein Millionstel,
falls man während der Arbeit auf Level 1
auch nur 1 Prozent des freien Platzes beansprucht. Ein Inode hingegen würde
dann nur in jedem Billionsten Fall verlorengehen. Derartige Wahrscheinlichkeiten sind wohl deutlich geringer als mögliche Headcrashes oder die von Fehlbedienungen. Außerdem kann der Anwender Backups anlegen und bei vernetzten
Rechnern die Sicherheitsebenen häufig
abgleichen, etwa mittels Secure Shell:
ls | cpio -oc | ssh Rengaw cpio – idm
Diese Argumentation greift natürlich
nicht, wenn die Platte schon ziemlich voll
ist oder besonders große Dateien zu verbergen sind. Um den Schaden möglichst
klein zu halten, bieten die Autoren noch
als Tool “rerpl” an, das nach Nutzung eines unsichereren Levels die überschriebenen Kopien von Blöcken und Inodes
wieder herstellt.
Stegfs zum Download
http://ban.joh.cam.ac.uk/~adm36/Stegfs/
ftp://ban.joh.cam.ac.uk/pub/users/adm36/
Stegfs/
Mirror-Sites:
ftp://ftp.kerneli.org/pub/linux/kerneli/net
source/Stegfs/
http://the.wiretapped.net/security/crypto
graphy/filesystems/stegfs/
ftp://the.wiretapped.net/pub/security/crypt
ography/filesystems/stegfs/
http://www.mcdonald.org.uk/Stegfs/
http://www.cl.cam.ac.uk/~mgk25/stegfs/
Ein anderer Nachteil von Stegfs fällt
bei bedachter Verwendung der Features
ebenfalls nicht so sehr ins Gewicht: Die
Performance sinkt drastisch wie nicht anders zu erwarten. Während Stegfs bei
www.lanline.de
Nutzung der “offiziellen” Dateien fast
mit normaler Geschwindigkeit arbeitet
(nur etwa 10 bis 30 Prozent langsamer),
verlangsamt sich der Leseprozess bei
markiert jedoch Blöcke als “möglicherweise genutzt”. Dadurch wird die Existenz höherer Level vermutbar. Die beschriebene Implementierung von McDo-
/stego
/txt
/mytxt
/util
/lett
/1
/crypt
/priv
?
/2
/jokes
/adr
Bild 3. Level 2: Auch die geheimen Verzeichnisse /1 und /2 sind sichtbar; ob es noch Verzeichnisse /3 und /4 gibt – ?
versteckten Dateien um den Faktor 5 bis
10, das Schreiben sogar um den Faktor 50
bis 200! (Beide Angaben sind nur
größenordnungsmäßig.) Mit anderen
Worten: Versteckte Dateien sind nicht als
“Arbeitsplätze” gedacht, sondern sollen
eher als “Tresor” dienen. Nur dann ist die
geringe Datenrate zu verschmerzen. Hier
zeigt sich wohl der Grund, weshalb
Stegfs Dateien prinzipiell durch Überschreiben mit zufälligen Bits löscht, auch
wenn dies Zeit kostet: So kann man mit
“unsicheren” Dateien arbeiten, “sichere”
Backups anlegen und die unsicheren Dateien danach löschen.
Ein anderer Nachteil ist möglicherweise gravierender. So enthält die InodeStruktur unter Stegfs auch die Adressen
aller identischer Kopien. Unter anderem
deshalb sind Änderungen im virtuellen
Dateisystem (VFS) von Linux erforderlich, das heißt, Stegfs kann nicht als ladbares Kernel-Modul angeboten werden,
sondern erfordert eine Neukompilierung
des Kerns. Richtig problematisch wird
aber die Verwendung von Tools wie
cpio, die die Internas der Inode-Struktur
nutzen. Hier kann es zu Konflikten kommen. Ebenso passt Stegfs zunächst nicht
zum sehnsüchtig erwarteten JournalingFile-System für Linux [7] oder auch zu
kryptografischen Dateisystemen mit
höherer Performance.
Ein anderes Konzept von Schaik und
Smeddle [8] vermeidet die identischen
Kopien von Inodes und Datenblöcken,
nald und Kuhn wirkt schlüssiger und effektiver.
Eine Bemerkung zum Schluss: Natürlich kann das steganografische Filesystem auch genutzt werden, um kriminelle
Aktivitäten zu tarnen. Das mag Personen,
die mit der Materie weniger vertraut
sind, besonders bedenklich erscheinen.
Schließlich gibt es mit der Verwendung
starker Kryptografie schon genug Probleme, nachdem sich zeigt, dass Schlüsselhinterlegung in der Praxis offensichtlich
nicht durchsetzbar ist. Stegfs nimmt dem
Ermittler nun auch noch die Möglichkeit,
die Herausgabe des Schlüssels mit
“nichtrechentechnischen” Mitteln zu erwirken. Doch hier stecken nach Ansicht
des Autors zwei Denkfehler: Zum einen
sollte man nicht vergessen, dass der Staat
nicht überall in der Welt demokratisch legitimiert ist. Es sollte auch im Interesse
der “zivilisierten” Welt liegen, den Widerstand gegen Diktaturen zu unterstützen, und sei es indirekt mittels kryptografischer Forschungen. Zum zweiten hat
der Artikel wohl gezeigt, dass die Benutzung von Stegfs eine gewisse Disziplin
und auch etwas Verständnis der Interna
erfordert. Dies könnte dem Umstand entgegenkommen, dass Widerstand gegen
Unrechtsregimes oft von der Intelligenz
ausgeht, während die vielzitierte organisierte Kriminalität nicht unbedingt die intellektuelle Avantgarde eines Landes
verkörpern muss.
(Reinhard Wobst/mw)
81
MALICIOUS-CODE FÜR WAP-ANWENDUNGEN
Mobile Viren
im Telefon
Neue Arten von Terminals, zu denen auch Mobiltelefone und PDAs
gehören, sollen dem Bedarf an drahtlosem Internet-Zugang gerecht
werden. Aber wie sieht es bei soviel Mobilität mit der Sicherheit aus?
Zwar sind bis heute noch keine WAP-Viren in der freien Wildbahn
aufgetaucht. Doch technisch gesehen ist es ein Leichtes, bösartigen
Programm-Code für WAP-Geräte zu entwickeln.
AP (Wireless Application Protocol) kombiniert Mobilität und Zugriff auf Unternehmensnetzwerke und
-daten mit der Leistungsfähigkeit
Browser-basierender Internet-Anwendungen. Andererseits bringt das WAPProtokoll sowohl für die Terminals
als auch für die Gateways neue Sicherheitsgefahren. Denn “MaliciousCodes” können über WAP in ein Unternehmensnetzwerk gelangen und dort
Schaden anrichten. Daher ist eine umfassende WAP-Sicherheitslösung notwendig, die einerseits auf bewährten
Technologien aufbaut, andererseits spezifisch auf WAP-Gateways abgestimmt
ist, um diese Bedrohung zu eliminieren.
W
Pferde, Viren, Würmer, automatische
E-Mail-Kettenbriefe und Denial-ofService-Attacken. Gerade weil WAPGeräte weit verbreitet, vernetzt und
miteinander verflochten sind, könnte
sich eine Sicherheitsverletzung sehr
schnell global ausbreiten – mit weitreichenden Auswirkungen auf die Akzeptanz der neuen Technologie. Denn welcher Kunde würde wohl noch seine
Bankgeschäfte mobil mittels WAP ab-
weisen. Denn die neue Version des
WAP-Protokolls unterstützt Client-seitiges Skripting, wobei die Skripte mit
dem Betriebssystem des Telefons interagieren dürfen. Wie beispielsweise Vbscript und Javascript in Web-Seiten
können WAP-Skripte Informationen löschen, hinzufügen oder ändern. In der
Konsequenz bedeutet dies, dass WAPSkripte dasselbe anrichten können wie
bekannte bösartige Skripte in Web-Seiten.
In dieser neuen Umgebung ist die einzige Art und Weise, gegen solche Bedrohungen vorzugehen, umfassende
Prävention. Mobile Terminals verlassen
sich auf das WAP-Gateway als zuverlässige und vertrauenswürdige Datenquelle. Ein Angriff gegen das Gateway
könnte daher die Sicherheit aller mobilen Terminals beeinträchtigen. Der
Schutz des WAP-Gateways ist deshalb
ein grundlegender Aspekt für die Sicherheit eines WAP-Netzwerks. Da
WAP oft für die Übertragung von unternehmenskritischen Daten eingesetzt
wird, liegt es im ureigensten Interesse
aller Beteiligten, sicherzustellen, dass
die Infrastruktur stabil ist. Sicherheits-
Mobile Network
IP Network
Secure WAP
Gateway
Phase 2
Phase 1
MACHT
WAP
DATEN
UNSICHER?
WAP-Clients arbeiten oft mit wichtigen
persönlichen und unternehmensbezogenen Informationen und sind deshalb für
Malicious-Code-Angriffe
gefährdet.
Zudem machen leistungsstarke WAPFunktionen die Netze anfällig für Malicious-Codes. Daher ist es nicht ungefährlich, Netzwerktextmitteilungen zu
senden und zu empfangen, Telefonanrufe zu tätigen und entgegenzunehmen,
Netzwerkdaten an mobile Teilnehmer
weiterzuleiten oder automatisch Systemeinstellungen vom WAP-Netzwerk
zu übernehmen. Die Bedrohungen können dabei vielfältige Formen annehmen. Denkbare Formen sind trojanische
82
Mobile
Terminal
Origin Server
Request
Encoded Req.
Gateway
Phase 4
Phase 5
Encoded Res.
Scanning
Engine
WAP
Content
Phase 3
Response
Das WAP-Gateway sitzt zwischen Client und Server und eignet sich gut als Prüfinstanz für bösartigen Code
wickeln wollen, wenn sich die Bedrohung durch WAP-Viren als reale Gefahr herausstellt?
Zwar sind bis heute noch keine WAPViren bekannt, doch ist das Potenzial
der Bedrohung nicht von der Hand zu
experten wissen aus Erfahrung, dass das
WAP-Netzwerk sowohl auf der Gateway- als auch auf der Endgeräteebene
geschützt werden muss. Eine Infrastruktur, die auf Richtlinienbasis arbeitet, zentral verwaltet wird und gleich-
www.lanline.de
zeitig die WAP-Technologie nutzt, ist
die beste Voraussetzung für einen umfassenden Schutz.
SICHERE ARCHITEKTUR Ein WAP-
Netzwerk besteht in der Regel aus drei
Komponenten: dem WAP-Client oder
mobilen Terminal, dem WAP-Gateway
und dem Ursprungs-Server. Der Server
arbeitet wie ein normaler Internet-Server und stellt Speicherplatz für WAPInhalte zur Verfügung. Das WAP-Gateway ermöglicht dem mobilen Terminal
den Internet-Zugang und fungiert damit
als Bindeglied zwischen der InternetDomain und der mobilen Netzwerk-Domain. Der WAP-Client agiert im mobilen Netzwerk und sendet codierte Inhaltsanforderungen über das WAP-Gateway an den Ursprungs-Server. Die so
angeforderten und durch den Ursprungs-Server übermittelten WAP-Inhalte können zum Beispiel enthalten:
– WML-Karten (Wireless Markup Language), die Text oder Bilder anzeigen
können, den Anwender zu Eingaben
auffordern oder Skripte aufrufen.
Diese Karten arbeiten auf dieselbe
Weise wie HTML-Seiten im Web.
– WML-Scripts, die WAP um Rechenleistung erweitern. Die Leistungsfähigkeit der Scripting-Sprache lässt
sich mit Javascript vergleichen.
– Kalenderinformationen,
Telefonbuchdaten.
In der ersten Phase empfängt und decodiert das WAP-Gateway die Inhaltsanfragen der mobilen Terminals.
Anschließend ruft es die gewünschten
Daten vom Ursprungs-Server ab und
sendet sie an den Client. Eine unabdingbare Anforderung an die WAP-Sicherheit besteht daher darin, die Inhalte
– nachdem sie vom WAP-Gateway entgegengenommen wurden – auf böswilligen Code zu scannen. Sind die Inhalte
überprüft und als sauber eingestuft,
werden sie im nächsten Schritt an die
WAP-Terminals weitergeleitet. Ist in
der Scan-Phase jedoch ein böswilliger
Code festgestellt worden, muss
zunächst sichergestellt werden, dass die
Gefahr isoliert und neutralisiert wird.
www.lanline.de
Wenn ein Angriff identifiziert ist, sollten Sicherheitsbeauftragte, System- und
Netzwerkmanager und Fachleute für
Expertensysteme über den Vorfall und
seine Art in Kenntnis gesetzt werden.
Berichte über Angriffe auf verschiedene Teile des Netzwerks müssen zusammengeführt und an die zuständigen Personen weitergeleitet werden, damit
Tendenzen erkannt, Regeln aktualisiert
und andere präventive Maßnahmen ergriffen werden können.
Eine
WAP-Umgebung erfordert ein zentrales
und richtlinienbasiertes Management,
um sicherzustellen, dass alle Datenendgeräte und Gateways über neueste Bedrohungen informiert und gegen sie gewappnet sind. Dafür müssen immer die
aktuell geltenden Sicherheitsregeln implementiert und automatisch und transparent angewandt werden, ohne dass
hierfür der Endanwender eingreifen
muss. Denn falls auch nur eines der
WAP-Gateways veraltete Virusdefinitionen haben sollte, könnte das gesamte
Netzwerk in Mitleidenschaft gezogen
werden. Ein solches richtlinienbasiertes
Management sollte zudem hochgradig
skalierbar sein, da es in einem Unternehmen tausende oder sogar zehntausende von Mitarbeitern geben kann, die
WAP-Endgeräte verwenden. Die Sicherheitsabteilung des Unternehmens
oder der Serviceanbieter, der vom Unternehmen dafür beauftragt wurde,
muss sich – auch bei weiträumig verstreut tätigen Mitarbeitern – ständig
darauf verlassen können, dass die Regeln strikt angewandt werden.
SICHERHEITSRICHTLINIEN
VIRENSCHUTZ Je nach den Anforde-
rungen der verschiedenen Anbieter von
WAP-Gateways gibt es zwei unterschiedliche Vorgehensweisen für die
Erweiterung von WAP-Gateways um
Dienste zum Überprüfen von Inhalten.
Bei der ersten Methode werden ScanDienste von WAP-Inhalten derart implementiert, dass sie für das WAP-Gateway transparent sind. Hierfür sind
keine Veränderungen an den vorhande-
83
nen WAP-Gateway-Produkten notwendig. Bei der zweiten Methode kontrolliert das Gateway das Scannen der
WAP-Inhalte und die Desinfektionsprozesse. Dies wird möglich durch eine direkte Schnittstelle zu einem AntivirusContent-Scanner auf Basis des Simple
Content Inspection Protocol (SCIP).
Für das TCP-Protokoll SCIP gibt es Referenzimplementierungen in Java und
ANSI C für Windows NT und Linux.
Beide Vorgehensweisen bieten die
grundlegenden Funktionen Entdeckung
und Beseitigung von Malicious-Codes,
Quarantäne der Malicious-Data sowie
Berichts- und Alarmfunktionen. Eine
Architektur zum Scannen von Inhalten
leitet den gesamten Datenverkehr, der
das WAP-Gateway verlässt und bei ihm
ankommt, durch einen Proxy-Server. So
wird der WAP-Datenverkehr in einer
transparenten Lösung gescannt. Die
WAP-Inhalte werden über das HTTPoder das SSL-Protokoll vom Ursprungs-Server zum WAP-Gateway
übermittelt. Der Proxy-Server prüft den
Dateninhalt jeder HTTP-Mitteilung und
sucht darin nach WAP-Inhalten. Anschließend sendet der Proxy den WAPInhalt an den Antivirus-Content-Scanner. Wenn der WAP-Inhalt “sauber” ist,
leitet er es direkt an das WAP-Gateway
weiter. Entdeckt der Antivirus-ContentScanner hingegen einen MaliciousCode, so wird der Inhalt desinfiziert und
eine Alarmmeldung an den Administrator geschickt. Die Kommunikation zwischen dem Proxy und der WAP-Content-Scanning-Engine erfolgt über das
auf TCP/IP basierende Simple Content
Mobile Network
WAP Gateway
Distributed
Firewall
WAP
Content
scip
req.
VPN Channel
Content
Scanner
Scan
Engine
D-Firewall
Um das WAP-Gateway selbst vor Angriffen zu schützen, sollte es zusätzlich durch eine Firewall
abgesichert werden
Inspection Protocol (SCIP). Da die
große Zahl an WAP-Clients ein enormes Datenvolumen verursachen kann,
benötigen die WAP-Gateway-Produkte
eine hohe Content-Scanning-Performance, um dieses Datenvolumen zu bewältigen. Dies kann der Administrator
erreichen, indem er die Content-Scans
auf mehrere Prozessoren verteilt. Die
Kommunikation zwischen verteilten
Komponenten kann wiederum über das
SCIP-Protokoll erfolgen.
Zum Schutz des
WAP-Gateways vor Angriffen von innerhalb oder außerhalb der Organisation ist zudem eine Sicherheitslösung
notwendig, die auf einer Firewall- und
VPN-Lösung aufbaut. Bei der Absicherung des WAP-Gateways gilt es, zwei
wichtige Aspekte zu berücksichtigen:
der Schutz vor Angriffen von innen und
der Schutz des Datenverkehrs zwischen
AUSSENSCHUTZ
IP-Network
Origin Server
Proxy
Gateway
HTTP-Req.
WAP
Content
Scanning
Engine
Re
q.
SC
IP
SC
IP
Re
s.
HTTP Res
HTTP-Res.
Ein transparenter WAP-Virenscan lässt sich durch den Einsatz von Proxy-Servern realisieren
84
scip
res.
Encoded Res.
HTTP Req
Encoded Res.
Origin
Server
Gateway
WAP GATEWAY
Encoded Req.
HTTP Rep.
HTTP Res.
Encoded Req.
Mobile
Terminal
Mobile Network
Mobile
Terminal
IP-Network
den WAP-Gateways. Ein DistributedFirewall-Schutz des WAP-Gateways
und seiner Komponenten beseitigt die
stets vorhandene Bedrohung von innen.
Dies ist für viele Branchen wie zum
Beispiel das Bankwesen eine wesentliche Anforderung. Der Netzwerkverkehr
zwischen den Gateway-Komponenten
kann durch die Verschlüsselung des Datenverkehrs mit einer VPN-Lösung geschützt werden.
FAZIT Auch wenn derzeit noch keine
akute Bedrohung einer WAP-Umgebung bekannt ist, so ist es für die Sicherheit gerade von weitverzweigten
Unternehmen doch ein Muss, WAPGeräte in ihre Sicherheitskonzepte mit
einzubeziehen. Durch die wachsende
Verbreitung von WAP-Terminals wird
auch das übermittelte Datenvolumen
ansteigen. Eine Lösung, die umfassenden Schutz bietet, muss also nicht nur
sicherstellen, dass die Sicherheitsstandards auf allen Geräten immer auf den
neuesten Stand sind. Sie muss auch ein
hohes Maß an Skalierbarkeit aufweisen.
Dieser Herausforderung kann man am
besten durch eine zentral gesteuerte Lösung auf Basis von Firewalls und VPNs,
die an den WAP-Gateways ansetzen,
begegnen.
(Travis Witteveen/gh)
Travis Witteveen ist Country Manager der F-Secure Corporation.
www.lanline.de
VERZEICHNISDIENSTE IM SICHERHEITSUMFELD
Das Zentrum
des Wissens
Verzeichnisdienste unterstützen den Administrator bei der zentralen
Verwaltung aller system- und benutzerspezifischen Daten des
Unternehmensnetzes. Daher bietet es sich an, die dort vorgehaltenen
Informationen auch in der unternehmensweiten Sicherheitslösung
zu nutzen. Der folgende Artikel zeigt den Einsatz eines Directory-Servers
in einer Firewall-Umgebung und erläutert die Möglichkeiten der
Anbindung verschiedener integrierter Systeme.
omplexe Installationen im Sicherheitsbereich erfordern einen hohen
Verwaltungsaufwand zur korrekten Pflege
und Konfiguration der dort eingesetzten
Systeme. Hohe Benutzerzahlen vervielfachen diesen Aufwand noch einmal. Dies
beruht auf der Tatsache, dass die Administration von Benutzern in den verschiedenen Komponenten einer Security-Installation sehr zeitaufwendig ist. Aus Zeitmangel sind beispielsweise oftmals veraltete Benutzernamen in verschiedenen Systemen vorhanden und führen so zur Unübersichtlichkeit. Solche “Karteileichen”
sind zudem potentielle Sicherheitsrisiken,
da sie unter Umständen von ehemaligen
Mitarbeitern missbraucht oder durch so genannte Dictionary-Attacks unbefugten
Personen zugänglich werden.
In einem modernen Umfeld setzen Unternehmen daher Verzeichnisdienste – so
genannte Directory-Services – ein, um anwendungsübergreifend Benutzerinformationen zu verwalten. Diese Dienste stellen
dann alle Informationen über die Mitarbeiter an einem zentralen Punkt für verschiedene Applikationen und Systeme bereit.
Diese zentrale Datenbank verwaltet beispielsweise neben den Benutzernamen
auch deren Zugriffsrechte für verschiedene
Systeme. Durch die zentrale Administration bleibt die Datenbank unabhängig
von der Zahl der verwalteten Verzeichnisse übersichtlich und handhabbar. Verlässt
K
www.lanline.de
ein Mitarbeiter die Firma, wird dessen Account einmal im Directory-Server gelöscht
und ist damit für alle daran angebundenen
Applikationen und Systeme nicht mehr
verfügbar. Werden Benutzerrechte erweitert oder verringert, geschieht auch dies
wiederum in der zentralen Datenbank und
wirkt sich auf alle von dieser Änderung betroffen Systeme aus.
bezeichnet werden. Sowohl Telefonlisten,
E-Mail-Listen als auch Kostenstellen-Listen sind ebenfalls Directories. Ein Directory kann aber auch Informationen über
Lagerbestände, Produktionszahlen, Artikelstämme, Personenkontakte und vieles
mehr enthalten. Ein Verzeichnis ist also eine Ansammlung von beliebigen Informationen, die für eine oder mehrere Anwendungen bereitgestellt werden. Directories
existieren in vielen verschiedenen Implementierungen und Formaten. Eine Gardner
Studie ermittelte, dass die typische Firma
der Fortune 1000 eine durchschnittliche
Anzahl von 181 verschiedenen Directories
in ihrer IT Infrastruktur im Einsatz hat. In
einem speziellen Fall wurden sogar 1530
verschiedene Directories gezählt.
Durch die Existenz vieler verschiedener
Directories werden naturgemäß Informationen redundant gepflegt. Dadurch
kommt es oftmals zu Unstimmigkeiten,
Überlappungen, Fehleingaben und veralteten Einträgen. Der deutlich erhöhte Aufwand zur Pflege resultiert auch in Mehrkosten im IT-Bereich wie beispielsweise in
zusätzliche Hardware oder Mitarbeiter.
DIRECTORY-SERVER Als einen Directory-
VERZEICHNIS Als ein Verzeichnis kann
jegliche Art von Benutzerliste wie beispielsweise NT- oder Unix-Benutzer, Dialin-Benutzer oder Mail-System-Benutzer
Server bezeichnet man eine spezialisierte
Datenbank. Diese speichert Informationen
in Form von hierarchisch angeordneten
Objekten. Jedes Objekt hat einen eindeuti-
c=de
o=Meier GmbH
o=Firma A
o=Firma B
ou=Fertigung
cn=Schutz
cn=Mueller
cn=Wermes
ou=Personal
cn=Gaber
Bild 1. Logische Baumstruktur eines Directory-Servers. Die rot markierten Pfeile zeigen das im
Text genannte Beispiel auf.
85
gen Namen, den so genannten “Distinguished Name (DN)”. Der DN besteht aus einzelnen Teilen, separiert durch Komma:
Der Mitarbeiter Müller der in Deutschland
ansässigen Meier GmbH, der in der Fertigung arbeitet, bekäme beispielsweise folgenden Eintrag: “cn=Mueller, ou=Fertigung, o= Meier GmbH, c=de”
Ein Directory-Server legt seine Objekte
in einer logischen Baumstruktur ab. Jeder
Knoten im Baum erhält hierbei einen beliebigen Namen. Der Pfad von der Wurzel
des Baums zum Objekt ergibt dann den
DN des Objekts. Oder umgekehrt ist der
DN von rechts nach links gelesen der Pfad
durch die Directory-Baumstruktur von der
Wurzel zum Objekt. Die durch Komma separierten Elemente sind die Namen der
einzelnen Knoten in der Baumstruktur wie
Bild 1 darstellt.
Namen für Knoten oder Objekte können
beliebig sein und auch doppelt vorkommen. Der DN bestimmt sowohl einen Kno-
ProxyServer
ClientBrowser
HTTP
DirectoryServer
Bild 2. Internet-Zugriff mit LDAP-basierter Benutzerauthentisierung
ten als auch ein Objekt eindeutig für das
ganze Verzeichnis. Ein Objekt besitzt dabei verschiedene Attribute. Diese speichern Informationen zu dem Objekt wie
beispielsweise den vollständigen Namen
einer Person, dessen Personalnummer, Telefonnummer, Abteilung und E-MailAdresse. Es können aber auch Gruppenzugehörigkeiten und Zugriffsrechte in An-
Der Begriff “Meta-Directory” wurde 1997 von der Burton Group geprägt und wird als Verbindungsstelle verschiedenster Verzeichnisdienste verstanden, die typischerweise in einer Arbeitsumgebung vorhanden sind. Die Strategie des Zusammenführens (“join”) aller Verzeichnisdienste ist der Kern des Meta-Directory-Konzepts. Mittels eines Metadirectorys erfolgt die Anbindung anderer meist proprietärer Verzeichnisdienste an einen zentralen Dienst. Unter
proprietären Verzeichnisdiensten versteht man zum Beispiel SAP-HR-Daten, Exchange- oder
Lotus-Notes-Adresslisten, Unix/NT-Benutzerinformationen oder
personenbezogene Zugangskontrollsysteme.
Die Anbindung dieser
Verzeichnisse wird
durch speziell auf die
jeweiligen Verzeichnisse zugeschnittenen Module realisiert. Diese
Module werden auch
“Connectors” genannt.
Zentrale Instanz in
einem Meta-Directory Aufbau eines Meta-Directories
ist eine so genannte
“Join-Engine”. Die
Join-Engine führt die Daten aus den verschiedenen Daten-quellen zusammen. Von dort werden
die Daten in einem im Hintergrund existierenden Directory-Server mittels LDAP abgelegt. Dieser Weg des Datenflusses ist oftmals bidirektional. Werden Daten im Directory-Server
geändert, werden diese an die verschiedenen speziellen Verzeichnisse propagiert. Durch die bidirektionale Kommunikation entsteht aus dem zentralen Directory-Server ein zentraler Punkt
der Administration von Informationen aller Art.
Proprietary
Directory
Services
Connector
A-to-LDAP
Parts of the Meta-Directory
B
B-to-LDAP
Join Engine
LDAP
over
TCP/IP
C
86
LDAP
Directory
Server
C-to-LDAP
Applikaiton
A
D
HTTP
LDAP
Meta-Directory
A
Internet
LDAP
Applikaiton
A
LDAP
over
TCP/IP
Data
Repository
wendungen abgelegt werden. Dadurch
kann – wie später aufgezeigt wird – speziell im Security-Umfeld effizient und elegant eine zentrale Policy verwaltet werden.
Ein Directory-Server ist typischerweise
für Leseoperationen optimiert und kann
davon tausende pro Sekunde ausführen.
Damit ist er in der Lage, viele Applikationen gleichzeitig zu bedienen. Schreiboperationen als auch Leseoperationen kann
der Administrator selbst auf Teilbereiche
der Baumstruktur, bestimmte Benutzer
oder sogar Attribute von Objekten einschränken. Damit wird innerhalb des Directories eine Zugriffs-Policy auf die enthaltenen Daten erstellt. So darf dann zum
Beispiel ein beliebiger Benutzer keine
Schreiboperationen auf Attribute anderer
Benutzer durchführen. Auch darf er generell keine Leseoperation auf Passwort-Attribute anderer Benutzer vornehmen.
Der Zugriff auf moderne Directory-Server erfolgt typischerweise mittels des LDAP (Lightweigth Directory Access Protocol). LDAP ist ein offener Standard in der
Internet-Welt und wurde speziell für den
Zugriff auf Verzeichnisdienste entwickelt.
Dadurch hat sich die Bezeichnung “LDAP-Directory” für Directory-Server verbreitet. Mehr und mehr Hersteller proprietärer Verzeichnisse bieten inzwischen
eine LDAP-Schnittstelle für den Zugriff
auf ihre Directories an, um sie diesem
Standard zu öffnen.
INTEGRATION IN EINE SICHERHEITSINFRASTRUKTUR Im Rahmen einer Si-
cherheits-Infrastruktur kommt einem Verzeichnis eine zentrale Bedeutung zu. So
www.lanline.de
ProxyServer
ClientBrowser
HTTP
Internet
ProxyServer
ClientBrowser
HTTP
HTTP
LDAP
Internet
HTTP
LDAP
DirectoryServer
CertificateServer
DirectoryServer
LDAP
RAFirewall
InternetServer
ISDN/
Analog
RAFirewall
InternetServer
HTTP
Leased Lines/
Frame Relay …
ISDN/
Analog
HTTP
Leased Lines/
Frame Relay …
Bild 3. Integration des LDAP-Directory-Servers in die Firewall zur Authentisierung von Remote-Access-Benutzern
dient ein Verzeichnis in diesem Zusammenhang gleich mehreren Zwecken:
– Speicherung und Verwaltung von Benutzern und Benutzergruppen,
– öffentlicher Zugriff auf Zertifikate im
Rahmen einer Public Key Infrastructure
(PKI),
– Ablage von Host-Konfigurationsdaten
im Rahmen eines IP-Management-Systems,
Die Kommunikation zwischen Außenwelt und Firmennetzwerk kann man in verschiedene Bereiche unterteilen. Drei häufige angetroffene Szenarien sind:
– Zugriff von Mitarbeitern im internen
Hausnetz auf externe Netzwerkressourcen,
www.lanline.de
Bild 4. Integration einer PKI in die Firewall-Umgebung
– Zugriff von Mitarbeitern von extern auf
interne Netzwerkressourcen,
– Zugriff von Partnerfirmen von extern
auf interne Netzwerkressourcen (Extranet).
Das erste Szenario umfasst typischerweise Dienste wie Web, File-Download
und E-Mail für alle Mitarbeiter. Eventuell
gibt es für Administratoren oder andere
Personen erweiterte Anforderungen wie
News, Telnet und File-Upload. Der Zugriff von externen Mitarbeitern auf das interne Netz kann – beispielsweise bei einem Heimarbeitsplatz mit allen Rechten –
durchaus gewollt sein. Vorweggenommen ist hier eine der wenigen Stellen, wo
zur Rechtevergabe zusätzlich das Über-
tragungsmedium beitragen kann. So kann
in bestimmten Fällen der externe Zugriff
auf das Unternehmensnetz über das Internet deutlich mehr beschränkt sein als der
Zugriff über eine Wählverbindung. Im
letzten Szenario kann eine Partnerfirma
oder Person auf wenige interne Systeme
zugreifen und die Informationen verwenden. Ein typisches Beispiel ist die Verfolgung des Ist-Zustands von Aufträgen oder
ein Web-Server mit wichtigen Informationen für Vertriebsfirmen. Im Folgenden
wird für die verschiedenen Bereiche einzeln kurz erläutert, wo sich der Einsatz eines LDAP-Directory-Servers anbietet
und wie er sich in die Umgebung integriert.
87
INTERNET-ZUGRIFF AUS DEM FIRMENNETZWERK Oftmals wird durch eine fir-
meneigene Internet-Policy die Authentisierung des Benutzers für den Internet-Zugriff vorausgesetzt. Durch die
Größe heutiger Netzwerke, die beständige
Änderung von Benutzereigenschaften wie
Arbeitsbüro oder Standort und letztlich
durch den immer stärker verbreiteten Einsatz von DHCP (Dynamic Host Configuration Protocol) ist die Methode der Benutzerauthentisierung auf Basis seiner IPAdresse nicht mehr hinreichend möglich.
Schon immer ist vom Sicherheitsstandpunkt aus gesehen eine Authentisierung
der IP-Adresse insofern nicht wünschenswert, als dass damit der Rechner authentisiert wird, welchem die IP gehört und nicht
die Person, welche den Rechner bedient.
Authentisiert man hingegen auf Basis von
Benutzern, so identifiziert man die Person
und verwendet die an die Person gebundenen Zugriffsrechte. Zusätzlich erhält der
Benutzer den Vorteil, sich flexibel von jedem beliebigen Terminal aus mit den gleichen Rechten im Internet bewegen können.
Zugriffsrechte auf verschiedene Systeme werden innerhalb einer Benutzerdatenbank durch Gruppenzugehörigkeiten abgebildet. Im Fall Internet-Zugang erstellt der
Administrator beispielsweise eine Gruppe
“Internet-Benutzer” im Directory-Server.
In dieser Gruppe platziert er dann die erlaubten Benutzer.
Das erste System, welches sich der Informationen im Directory-Server bedient,
ist der Proxy-Server. Er übernimmt die
Authentisierung der Internet-Zugriffe und
überprüft beim Directory-Server sowohl
Benutzername und Passwort als auch die
entsprechende Gruppenzugehörigkeit. Nur
wenn beide Abfragen erfolgreich sind,
führt der Proxy den URL-Request des Benutzers aus und liefert das Ergebnis an den
Browser zurück. Im Proxy können für verschiedene Gruppen dabei verschiedene
Berechtigungen vergeben werden. Damit
könnte zum Beispiel eine weitere Gruppe
“Upload” existieren, welche den erweiterten Zugang für Administratoren darstellt.
Diese wären dann eben zusätzlich zu “Internet-Benutzer” Mitglieder der Gruppe
88
“Upload” und hätten damit die erweiterten
Rechte. Die Kommunikation zwischen
Proxy-Server und Directory-Server erfolgt
mittels LDAP.
REMOTE-ACCESS Zugriff auf interne Fir-
menressourcen von nahezu allen Punkten
dieser Welt ist im heutigen Informationszeitalter unerlässlich. Zunehmende Mobilität der Mitarbeiter und die Globalisierung
der Geschäftsbeziehungen erfordern transparente Erreichbarkeit wichtiger Systeme.
Erreichbarkeit und Sicherheit sind unter
Umständen zwei Gegensätze, denn die absolute Sicherheit ist die Nicht-Erreichbarkeit. Daher ist gerade für den externen Zugriff auf hochsensible Bereiche innerhalb
des Firmennetzes eine gutes Sicherheitsumfeld zwingend. Die vielen verschiedenen Kommunikationstechnologien wie
ISDN oder Analog-Dial-up machen es
schwierig, eine einheitliche Struktur der
Authentisierung zu erstellen. Betrachtet
man das OSI-Schichtenmodell, so besteht
Lightweight Directory Access Protocol
Das Lightweight Directory Access Protocol (LDAP) definiert als Kommunikationsprotokoll
den Austausch von Nachrichten zwischen einem Client und einem X.500-ähnlichen Verzeichnisdienst. Im Vergleich zum X.500 basierenden DAP (Directory Access Protocol) verbraucht
LDAP deutlich weniger Ressourcen in der Implementierung und im Betrieb. LDAP ist speziell
auf interaktive Applikationen zugeschnitten, welche schnellen und einfachen Zugriff auf einen
Directory-Service benötigen.
Eine LDAP-Nachricht beinhaltet die Information über die gewünschte Operation auf dem
Directory (zum Beispiel LDAPSearch, LDAPModify, LDAPDelete) und die gegebenenfalls
dazu notwendigen Daten. Beim Design achteten die Entwickler
LDAP
OSI
LDAP
X.500to
LDAPDirectoryX.500
Client
von LDAP speziell bei
X 500
over
Server
Gateway
TCP/IP
der Kodierung der Datenelemente darauf,
diese so einfach wie
Data
Repository
möglich zu gestalten.
Somit sind nahezu alle
Datenelemente als einBild 5. LDAP-Kommunikation mit einem X.500-Directory-Server
fache ASCII-Zeichenketten spezifiziert. Die
Übertragung der Daten
über TCP/IP erfolgt BER-kodiert wie durch ASN.1 festgelegt. Durch die Implementierung auf
Basis von TCP integriert sich LDAP nahtlos in Internet-/Intranet-Umgebungen.
LDAPv3 als aktuelle Version wurde 1997 von der IETF (Internet Engineering Task Force)
als RFC2251 bis RFC2256 verabschiedet und freigegeben.
Verwirrend werden oftmals die Begriffe “LDAP-Server” oder “LDAP-Directory” verwendet. So versteht typischerweise ein auf OSI/X.500 basierender Directory-Service keine LDAPAnfragen. Um den Zugriff zu ermöglichen, wird ein LDAP-to-X.500 Gateway (auch Proxy
oder Front-End) eingesetzt. Ein LDAP-to-X.500-Gateway übersetzt das LDAP-Protokoll in
X.500-Anfragen an den X.500-Directory-Service und die Ergebnisse wieder in
LDAP, um sie an die anfragende Stelle zurückzuleiten.
Oftmals sind in bestehenden Infrastrukturen OSI-Dienste nicht verfügbar. Durch den wachsenden Einsatz von LDAP entschied man sich daher, dedizierte LDAP-Server zu erstellen. Sie
haben direkten Zugriff auf die im Directory enthaltenen Informationen und kommen ohne einen OSI-Stack aus. Diese so genannten LDAP-Directory-Server sind im Vergleich zu
LDAP/X.500-Gateways weitaus komplizierter im Aufbau, da sie zusätzlich das komplette Datenmanagement übernehmen müssen.
Für den Client ist nicht erkennbar, welche Technik im Hintergrund des benutzten DirectoryServers eingesetzt wird, da die Kommunikation immer über das LDAP-Protokoll erfolgt. Zusätzlich zu den reinen X.500-Directories oder speziellen LDAP-Directories werden von immer
mehr Herstellern proprietärer Verzeichnisdienste eigene LDAP-Schnittstellen implementiert.
Dadurch entwickelt sich LDAP zum Standard-Zugriffsprotokoll auf Verzeichnisdienste jeglicher Art und Hersteller.
www.lanline.de
für die bereits genannten Kommunikationstechnologien erst ab der Schicht 3
(Netzwerkschicht) die Möglichkeit eines
gemeinsamen Protokolls. Daher liegt es
nahe, durch Auswahl eines geeigneten
Firewall-Produkts eine Authentisierung in
eine Schicht, die der Schicht 3 übergeordnet ist, zu integrieren.
Eine Firewall schirmt dann das interne
Netz gegen unbefugte Zugriffe von extern
ab und authentisiert eingehende Verbindungen. Auch hier können die Benutzerinformationen von einem Directory-Server
verwaltet werden. Somit hat man einen
zentralen Punkt der Authentisierung, und
zwar unabhängig von der unterliegenden
Kommunikationstechnik, und verwendet
einen Directory-Server als zentralen Punkt
der Benutzeradministration. Innerhalb der
Regelbasis einer Firewall gibt der Sicherheitsbeauftragte bestimmte Dienste für bestimmte Benutzergruppen frei.
Ein eingehendes IP-Paket löst dann in
der Firewall einen Authentisierungsmechanismus aus. Dieser identifiziert und
authentisiert die Person, welche das IP-Paket initiiert hat. Durch die Gruppenzugehörigkeit der Person entscheidet die
Firewall, ob der Benutzer den gewünschten Dienst benutzen darf und lässt gegebenenfalls das Paket passieren.
In diesem Szenario werden mehrere in
dem Directory-Server gespeicherte Informationen verwendet. Hervorheben sollte
man zusätzlich zu den Personendaten, Benutzername und Gruppenzugehörigkeit die
Authentisierungsmethode. Zum Beispiel
kann der Mechanismus zur Authentisierung die Abfrage von Username und Passwort sein, ein Einmalpasswort über ein
Hardware-Token oder ein Zertifikat.
Hier wird also im Directory zentral der
Authentisierungsmechanismus
festgelegt. Wie schon zu Beginn angedeutet,
kann hier auch zusätzlich anhand der
Quell-IP-Adresse der Pakete eine Rechtevergabe stattfinden. Haben Benutzer beispielsweise das Recht, auf interne Human-Ressource-Server zuzugreifen, so
kann dies nur über Dial-up gewollt sein,
nicht aber über das Internet. Da über Dial-up die IP-Adressen bekannt sind, kann
diese Eigenschaft in der Regelbasis der
www.lanline.de
Firewall auf Basis der IP-Adresse konfiguriert werden.
In wachsendem Maße verwenden Benutzer zur ihrer Authentisierung Zertifikate im Rahmen einer PKI. Zertifikate garantieren, dass ein bestimmter öffentlicher
Schlüssel zu einer im Zertifikat spezifizierten Person gehört. Das Zertifikat wird von
einer so genannten “Trusted Third Party”
ausgestellt, welcher beide Seiten – Benutzer und Dienstanbieter – vertrauen können.
Öffentliche Schlüssel kommen hier zum
Einsatz, um einem Kommunikationspartner Daten verschlüsselt zukommen zu lassen. Das heißt, wenn eine Person ein Zertifikat präsentiert, ist garantiert, dass der im
Zertifikat enthaltene Schlüssel wirklich der
öffentliche Schlüssel dieser Person ist.
Wird ein Zertifikat für eine bestimmte Person ausgestellt, so wird es sowohl in einem
Directory gespeichert als auch dem Benutzer zur Verfügung gestellt. Das Zertifikat
im Directory-Server ist ein weiteres Attribut eines Objekts, also einer Person.
Der Benutzer baut dann beispielsweise
eine Remote-Access-Verbindung zum
Hausnetz auf und präsentiert sein Zertifikat. Dann kann die Firewall die Authentizität des Benutzers sicherstellen, in dem sie
prüft, ob der Benutzer auch im Besitz des
passenden privaten Schlüssels ist. Durch
die Authentifizierung kann die Firewall
den Benutzer anhand des “Distinguished
Names” im Zertifikat im Directory-Server
finden. Dort wiederum sind die Gruppenzugehörigkeiten der Person festgelegt. Anhand der Gruppen entscheidet die Firewall
wie im vorangegangenen Szenario, welche
Zugriffsrechte die Person erhält.
ZUSAMMENFASSUNG In einer modernen
Infrastruktur, speziell aber im Sicherheitsbereich, ist ein zentraler Directory-Server
von großem Nutzen. Immer mehr Hersteller bieten in ihren Applikationen entsprechende Schnittstellen an. Hier werden wir
in den folgenden Jahren eine anhaltend
starke Entwicklung in diese Richtung beobachten können.
(Oliver Weismantel/gh)
Oliver Weismantel ist IT-Security-Consultant bei Integralis-Centaur.
89
FOKUS FIREWALLS
VERGLEICHSTEST: FIREWALLS
Die stillen
Wächter des LANs
Die Wahl der “richtigen” Firewall für das Unternehmensnetz ist ebenso
Vertrauenssache wie eine Frage des persönlichen Geschmacks. Um Administratoren die Qual der Wahl etwas zu erleichtern, testete die NSS
Group in England für LANline fünf Firewalls von Borderware, Cisco,
Cyberguard, Network Associates und Axent.
n einer kürzlich von der NCSA durchgeführten Studie gab einer aus fünf
Befragten zu, dass in den letzten zwölf
Monaten Hacker versucht haben, über
das Internet in ihr Unternehmensnetzwerk einzudringen. Dies ist umso beunruhigender, da die meisten dieser Einbrüche gar nicht bemerkt werden. So verliefen beispielsweise 88 Prozent der
Attacken erfolgreich, die von der Defence Information Systems Agency auf 9000
Systeme des US Department of Defence
gefahren wurden. Dabei bemerkten die
angegriffenen Organisationen in weniger
als ein Zwanzigstel der Fälle die Attacken. Von diesen fünf Prozent reagierten wiederum nur fünf Prozent auf die
Angriffe.
Kein System kann jemals vollkommen
sicher sein. Jedoch muss es so abgesichert sein, dass es zumindest den “Gelegenheits-Hacker” erfolgreich abschreckt.
Für diesen Zweck gibt es zahlreiche
Tools auf dem Markt, die das Unternehmensnetz vor ungebetenen Gästen schützen sollen. Das bekannteste und am häufigsten eingesetzte Werkzeug ist die Firewall.
I
DEFINITION Es gibt zahlreiche Defini-
tionen des Begriffs “Firewall”, doch die
vielleicht einfachste ist “ein Mechanismus, um ein vertrauenswürdiges Netzwerk vor einem nicht-vertrauenswürdigen Netzwerk zu schützen”. Eine Firewall ist also ein System oder eine Gruppe
90
von Systemen, die definierte Zugangsregeln zwischen zwei Netzwerken durchsetzt und daher als eine Implementation
einer Sicherheitsrichtlinie betrachtet
werden sollte. Daraus folgt, dass eine Firewall nur so gut ist wie die Sicherheitsrichtlinie, die sie umsetzt. Jedoch ist es
ebenfalls richtig, dass eine komplett sichere Firewall für ihre Benutzer nicht immer transparent ist. Dies führt dann in der
Praxis dazu, dass Benutzer versuchen,
die unternehmensweite Sicherheitsrichtlinie zu umgehen, um einige durch die
Firewall auferlegte Restriktionen auszuschalten.
Einer der wichtigsten Vorteile einer effektiven Firewall ist, dass sie der Außenwelt nur eine einzige IP-Adresse preisgibt und dadurch die wirkliche Struktur
des Unternehmensnetzes vor neugierigen
Augen schützt. Dabei sollte eines von
Anfang an klar sein: Eine Firewall kann
nicht nur ein Unternehmensnetz vor unautorisiertem Zugang über das Internet
schützen. Sie kann auch unbefugten Zugang zu einem bestimmten Subnetz, Arbeitsgruppe oder Netzwerk innerhalb eines Unternehmens abwehren. Zahlen des
FBI vermuten, dass 70 Prozent aller Sicherheitsprobleme ihren Ursprung innerhalb des Unternehmens haben. Wenn beispielsweise die Entwicklungsabteilung
einen eigenen Server hat, kann eine Firewall diesen Server und die Arbeitsstationen der Abteilung vor Zugriffen aus den
restlichen Bereichen der Firma schützen.
Trotzdem ist die abgesicherte Abteilung
weiterhin ein Teil des unternehmensweiten Netzes.
Betrachtet man die heute auf dem
Markt erhältlichen Firewall-Produkte, so
lassen sie sich nach drei Hauptarchitekturen unterscheiden:
Testaufbau
Die NSS Group entwickelte den Firewall-Test, um sicherzustellen, dass die Testkandidaten einen grundlegenden Schutz vor ein Zahl von bekannten bösartigen Angriffen sowohl
innerhalb eines Unternehmens als auch von außen bieten.
Die Testinstallation bestand aus drei Subnetzen, die jeweils ein internes (geschütztes),
DMZ und externes (Internet) Segment darstellten. Rechner im externen Netz repräsentierten
Root-DNS-Server, externe Web-Server sowie FTP- und Mail-Server. PCs im internen Netz
stellten unternehmensweite Web-, FTP-, DNS-, Mail- und Fileserver dar. Diejenigen Webund FTP-Dienste, die öffentlich zugänglich sein sollten, wurden im DMZ-Subnetz platziert.
Die Rechner im internen und DMZ-Netz wurden nicht abgesichert, sondern verließen sich
vollständig auf den Schutz durch die Firewall, die die einzige Verbindung zwischen DMZ,
internem und externem Netz darstellte. Die Verbindung zwischen Firewall und externem
Netz übernahm ein einfacher Router, auf dem kein Paketfilter aktiv war. Der vollständige
Schutz sollte von der Firewall gewährleistet werden, die eingehende Web- und FTP-Anforderungen auf die DMZ und SMTP-Verkehr vom ISP zum E-Mail-Server des Unternehmens
beschränkte. Split-DNS wurde – sofern verfügbar – eingesetzt. Ausgehenden Verkehr
beschränkten wir auf Web, FTP und E-Mail.
Ein Netzwerkmonitor, Protokoll-Analyzer und Security-Monitor wurden jeweils in den
drei Segmenten installiert. Die Hacker-Maschine führte anschließend eine Reihe von Penetration- und Denial-of-Service-Attacken durch. Zum Einsatz kamen hier standardisierte und
proprietäre Firewall-Scanning-Tools. Für jedes der Subnetze wurde die komplette Testreihe
wiederholt.
www.lanline.de
FOKUS FIREWALLS
Technik die ganze
Zeit den Status einer
Verbindung, daher
auch der Name “Stateful”
Inspection.
Entsprechend diesen
Informationen kann
die Firewall flexibel
aufgrund der vom
Administrator definierten Regeln sowie der Stati früherer Verbindungen
reagieren. Praktisch
ist die Firewall in
der Lage, den Status
jeder aktiven Konversation zu speiDas Testnetz bestand aus einem öffentlichen Segment, einer demilitarisierten Zone sowie dem internen Segment, das durch die Firewall
chern und dadurch
geschützt werden sollte
alle Pakete auf unbefugten Zugang zu
STATIC PACKET-FILTERING Packet-Filüberprüfen, während eine hohe Sicherter arbeiten auf der Netzwerkebene des heit aufrecht erhalten wird – dies funktioOSI-Modells. Abhängig von der Netz- niert selbst bei verbindungslosen Protowerkadresse und einer Zahl von Regeln, kollen wie UDP.
die der Administrator definiert hat, fällen
sie einfache “Erlaubt” oder “Verboten”- PROXY-SERVER Proxy-Server-Firewalls
Entscheidungen. Packet-Filtering ist sehr arbeiten auf der Anwendungsebene des
schnell, transparent (es sind keine Ände- OSI-Stacks. Sie agieren als Vermittler
rungen am Client notwendig), flexibel für Benutzeranforderungen, in dem sie
und billig, da die meisten Router bereits eine zweite Verbindung zum gewünschüber Packet-Filtering-Funktionen verfü- ten Ziel entweder auf der Anwendungs(Application-Level-Gateway)
gen. Reine Packet-Filter-Firewalls benö- ebene
tigen zudem keine leistungsstarke Hard- oder auf der Session- beziehungsweise
Transportebene
(Circuit-Level-Gateware.
way) aufbauen. Proxies springen sozusaDYNAMIC PACKET-FILTERING/STATEgen sowohl für Client- als auch für SerFUL-INSPECTION Einige Hersteller bever-Anfragen ein, in dem sie gültige Anwerben dies als die “Dritte Generation” forderungen zwischen dem vertrauensvon Firewall-Architekturen. Doch ist die- würdigen und unsicheren Netz vermitse Technologie eigentlich nur eine Wei- teln. Im Gegensatz zu Paketfiltern und
terentwicklung des grundlegenden Pa- Stateful-Inspection-Firewalls
kommt
cket-Filtering der meisten Router. Eine hier niemals eine direkte Verbindung
Stateful-Inspection findet auf der MAC- zwischen den beiden Netzwerken zuoder Netzwerkebene statt. Dies ist einer- stande. Der Nachteil dieses hohen Siseits schnell und verhindert, dass Pakete cherheitsgrads sind Einbußen bei der
den Protokoll-Stack nach oben wandern. Leistungsfähigkeit und Flexibilität.
Im Gegensatz zum statischen Packet-Fil- Denn Proxy-Server-Firewalls benötigen
tering fällt die Stateful-Inspection jedoch einerseits eine hohe Prozessorleistung
ihre Entscheidungen aufgrund der kom- sowie viel Speicher, um zahlreiche sipletten Daten eines Pakets – und ent- multane Benutzer zu unterstützen. Zuspricht somit allen Ebenen des OSI-Mo- dem kann die Einführung neuer Anwendells. Gleichzeitig überwachte diese dungen und Protokolle signifikante Ver-
92
zögerungen bei der Implementation auslösen, bis der Hersteller oder Administrator entsprechende Proxy-Module entwickelt hat.
Während Static-Packet-Filtering selbst
heutzutage auf Router beschränkt ist und
als nicht stark genug für unternehmensweite Firewalls angesehen wird, sind die
Unterschiede zwischen den anderen beiden Architekturen in realen Umgebungen eher vernachlässigbar. Reine ProxyServer sind zweifelsohne die sicherste
Lösung, doch können sie einen großen
Overhead in stark frequentierten Netzen
verursachen. Dynamic-Packet-Filtering
hingegen ist definitiv schneller. Allerdings sind die meisten High-End-Firewalls heute Hybridsysteme, die Elemente aller drei Architekturen vereinen.
BORDERWARE 6.1.1 Die Firewall Bor-
derware des gleichnamigen Herstellers
läuft auf einer gehärteten Version von
Unix, die Teil des Software-Paktes ist
und automatisch installiert wird. Die frische Überarbeitung des zugrundeliegenden Betriebssystems führte im Gegensatz
zur Vorversion zu einer höhere Leistungsfähigkeit sowie viel toleranteren
Hardware-Anfordungen. So unterstützt
die aktuelle Version zum Beispiel jetzt
auch IDE-Festplatten.
Die Installation verläuft ziemlich gradlinig und bereitet auch Benutzern mit wenig oder keinen Unix-Kenntnissen keine
Probleme. Entsprechend dem Trend bei
Windows-Produkten muss der Administrator lediglich die CD einlegen und den
nachfolgenden Anweisungen folgen.
Borderware unterstützt zwei bis drei
Netzwerkkarten und damit die Errichtung von nur einer “demilitarisierten Zone” (DMZ). Dies ist nicht gerade großzügig, reicht jedoch für die meisten Installationen aus.
Obwohl die Software für jede Netzwerkkarte Packet-Filter-Engines installiert, bestehen die Innereien der Borderware-Firewall aus zahlreichen SecureProxy-Diensten. Hierzu gehören unter
anderem Secure- und Standard-Telnet,
Secure- und Standard-FTP, WWW, RealAudio, POP-Mail, Ping, NNTP, Ident,
www.lanline.de
FOKUS FIREWALLS
Gopher und Finger. Trotzdem verzichtet
die Software nicht auf Paketfilter, um sicherzustellen, dass verdächtige Pakete
niemals auf eine höhere Ebene des Netz-
Der Borderware-Mail-Server kann
entweder als Haupt-SMTP-POP3-Server des Unternehmens arbeiten oder
einfach allen SMTP-Verkehr von einem
externen Server zu
einem
internen
SMTP-Server weiterleiten. Dabei darf
keine E-Mail direkt
durch die Firewall
wandern – jede EMail wird nach dem
Store-and-ForwardPrinzip weitergeleitet.
Borderwares richtige Stärke liegt allerdings bei den Secure-Proxies sowie
einer Smart-FilterOption, die auch
Das Java-basierende Konfigurationsprogramm der Borderware-Firewall URL-Filtering mögwurde in der Version 6 durch das Windows-Programm Bwclient ersetzt
lich macht. Falls die
mitgelieferten Prowerk-Stacks hochgereicht werden. Bor- xies nicht ausreichen, kann der Administderware setzt also auf eine Hybridarchi- rator eigene Proxy-Server erstellen. Dietektur.
sen Schritt unterstützt der mitgelieferte
Das bemerkenswerteste Feature der Proxy-Wizard, der den Benutzer Schritt
Version 6 ist die Abkehr von einem wirk- für Schritt durch die Erstellung führt. Allich “grausamen” Java-basierenden Kon- le Proxies können mit den Default-Einfigurationsprogramm zu einem brauch- stellungen betrieben werden, die keine
baren Windows-Programm namens Restriktionen über deren Benutzung festBwclient. Die Version 6.02 brachte wei- legen. Zusätzliche Regeln kann der Adtere Verbesserungen des Bwclients mit ministrator auf der Basis von Benutzern,
sich und gestattete die Konfiguration be- Tageszeit und IP-Adresse festlegen.
liebiger Borderware-Firewalls von einer
Borderware verfügt über angemessene
einzigen Konsole aus.
Überwachungs- und Berichtsfunktionen
Eine der schönsten Funktionen der und schlägt Alarm, wenn sie einen EinFirewall ist, dass zusätzlich zu den Fire- bruchsversuch entdeckt. Standardmäßig
wall-Proxies auch bestimmte Server- sind keine Alarme konfiguriert. Das
Dienste auf der Firewall selbst laufen. heißt, wenn der Administrator irgendHierzu gehören DNS, Finger, FTP, etwas in seinem Log oder auf seiner KonIdent, Ping, POP3, SMTP und HTTP. sole sehen möchte, muss er diese EinstelDies ermöglicht Unternehmen die Be- lungen von Grund auf selbst vornehmen.
reitstellung von sicheren Diensten, ohne Es gibt begrenzte Funktionen zur Übereigene Server für diese Zwecke abstel- wachung der Systemaktivität und Loglen zu müssen. Zudem können alle Dien- Dateien aus dem Bwclient. Alarme und
ste entweder als extern oder intern kon- Log-Funktionen müssen daher als eine
figuriert werden. DNS-Server kann der der schwächeren Seiten von Borderware
Administrator für jede Netzwerkkarte angesehen werden.
konfigurieren (Split-DNS), wobei einer
Die VPN-Funktionen der früheren
für externe und einer für interne Refe- Versionen hat der Hersteller in dem Rerenzen zuständig ist.
lease 6.0 ersetzt. Das Client-Server-VPN
94
wurde durch das exzellente SmartgateSystem von V-One abgelöst. Ab der Version 6.1 führte der Hersteller zudem ein
sicheres Server-Server-VPN wieder ein,
das jetzt auch IPSec-konform arbeitet.
FAZIT Nachdem das Unternehmen einige
Zeit vor sich hindümpelte, scheint es
nach dem Eignerwechsel plötzlich wieder zu neuem Leben erwacht zu sein. Die
Überarbeitung des Betriebssystems führte zu Leistungssteigerungen und flexiblerer Hardware-Unterstützung während die
Integration von Smartgate eine der besten
Remote-Access-Lösungen in das Produkt brachte.
Generell stellt Borderware die meisten
Funktionen zur Verfügung, die man von
einer Firewall erwartet – ohne jedoch jemals Gefahr zu laufen, als “funktionsreich” betitelt zu werden. So könnte das
Produkt zum Beispiel ein paar Proxies
mehr vertragen, und die Report- und
Alarmfunktionen würden sicher von einer
Überarbeitung profitieren. Auf der PlusSeite stehen die Integration von Smartgate
und Ipass, die zur Zeit des Entstehens dieses Artikels einzigartig sind. Die ServerDienste auf der Firewall ermöglichen Unternehmen die Bereitstellung von sicheren
Intranet-Diensten wie Mail, FTP und Web,
ohne eigene Rechner in Anspruch zu nehmen. Alles in allem hat Borderware keine
ernsthaften Defizite. Das Produkt hat einen
guten Ruf als solider und sicherer Proxy
und bestand alle Tests mit fliegenden Fahnen. Die Version 6.1.1 kostet für 25 Benutzer 5100 Mark.
Info:
Borderware
Tel.: 06201/901050
Web: www.borderware.de
CISCO PIX 520 RELEASE 5.0.3 Ciscos Pix
Firewall ist eine eigenständige “Network
Appliance”, die aus Hard- und Software
besteht und nach der Anzahl der Verbindungen lizenziert wird. Die Pix läuft auf
einer Intel-basierenden Plattform. Das
Modell 520 ist mit einem 350-MHz-Pro-
www.lanline.de
FOKUS FIREWALLS
zessor, 128 MByte Speicher und vier Erweiterungs-Slots ausgestattet. Das Gerät
unterstützt maximal sechs Netzwerkkarten, die aus einer Mischung von Ethernet,
FDDI und Token-Ring-Karten bestehen
können.
Die Pix-Firewall ist ein Stateful-Inspection-Gerät, obwohl Cisco ihre Technologie als “Adaptive Security Algorithm
den beiden Parteien, während die Firewall
weiterhin Informationen über den Status
der Session aufrechterhält.
Der Pix-Firewall-Manager ist ein Javabasierendes grafisches KonfigurationsTool, das die zentrale Administration mehrerer Pix-Firewalls erlaubt. Im Hauptfenster kann der Administrator NAT-Pools
konfigurieren, neue ein- und ausgehende
Verbindungen hinzufügen, Authentication-Server spezifizieren und verschiedene administrative
Funktionen konfigurieren wie beispielsweise
URL-Filtering, Syslog-Hosts
oder benutzerspezifische
Telnet-Berechtigungen. Das
Alarm- und ReportFenster ermöglicht
dem Administrator
die detaillierte KonDurch die Konfiguration eines Conduits kann der Administrator beispiels- trolle über jede Art
weise einem einzigen Host den Zugang zu einem Dienst über einen beder Alarmbehandstimmten TCP/UDP-Port gestatten
lung. Der Pix-Firewall-Manager löst
(ASA) “ bezeichnet. Das stateful und ver- automatisch Alarme in Echtzeit über Ebindungsorientierte ASA-Design erstellt Mail, akustische Signale oder Pager aus,
Session-Flows, die auf Quell- und Ziel- wenn ein Einbruchsversuch auftritt. Der
adresse, zufälligen TCP-Sequenznum- größte Nachteil des Firewall-Managers ist,
mern, Port-Nummern und zusätzlichen dass er einen dedizierten NT-Dienst auf
TCP-Flags basieren. Die Firewall kontrol- der Managementmaschine voraussetzt. In
liert sämtlichen ein- und ausgehender Ver- den meisten Installationen führt dies dazu,
kehr, indem sie die Sicherheitsrichtlinien dass nur eine einzige Maschine für administrative Zwecke eingesetzt wird.
auf diese Tabelleneinträge anwendet.
Die Konfiguration der Pix erfolgt
Ciscos Pix verfügt zudem über einen so
genannten “Cut-Through-Proxy”. Diese hauptsächlich über die “traditionelle” CisMethode verifiziert transparent die Iden- co-Kommandozeile auf der Firewall-Kontität eines Benutzers auf der Firewall und sole. Der Hersteller steckte an dieser Stelle
erlaubt beziehungsweise verwehrt ihm den viel Arbeit in die Harmonisierung der BeZugriff auf TCP- oder UDP-basierende fehlssätze von Firewall und Cisco-RouAnwendungen. Im Gegensatz zu einem tern. Dies macht die Konfiguration der Pix
Proxy-Server, der jedes Paket auf der An- jedoch zur schlimmsten Benutzeroberwendungsebene analysieren muss, fragt fläche, die je ein Administrator in seinem
die Pix zunächst einen Tacacs+ oder Ra- Leben sehen wird. Auch gewinnt diese Art
dius-Server nach der Authentifizierung. Ist der Administration sicher keine Freunde
ein Benutzer zugelassen und sind die bei denjenigen Anwendern, die grafische
Richtlinien überprüft, verlagert die Fire- Tools der Mitbewerber gewöhnt sind. Für
wall den Session-Flow. Der Verkehr fließt Administratoren, die den Umgang mit Cisdann direkt und vor allem schnell zwischen co-Routern gewöhnt sind, ist die Konfigu-
www.lanline.de
95
FOKUS FIREWALLS
ration der Pix-Firewall jedoch ein Kinderspiel.
Jeder Netzwerkschnittstelle kann der
Administrator eine unterschiedliche Sicherheitseinstufung zuweisen, die dann
zur Priorisierung von Regeln in der Security-Policy genutzt werden kann. So genannte “Conduits” erlauben den Zugang
von unsicheren Netzen zu sicheren/DMZSchnittstellen. Die Konfiguration eines
Conduits kann dabei so granular ausfallen,
dass beispielsweise nur einem einzigen
Host der Zugang zu einem Dienst über einen bestimmten TCP/UDP-Port gestattet
wird. Alias-IP-Adressen ermöglichen den
direkten Zugang zu DMZ-Ressourcen,
ohne die echte IP-Adresse preiszugeben.
Pix bietet sowohl Network-AddressTranslation (NAT) als auch Port-AddressTranslation (PAT) und ist eine der wenigen Firewalls, die wenig bis keine Leistungsverluste beim Einsatz von NAT
zeigte. NetBIOS-Translation wird ebenfalls unterstützt.
Änderungen an den Sicherheitsrichtlinien, die eine Umsortierung der Regeln erfordern, stellten sich im Test als besonders
schwierig heraus. Zudem ist die Fehlersuche in komplexen Policies bei einer textbasierenden Oberfläche nicht gerade einfach. Trotz der Tatsache, dass die Pix eine
Stateful-Inspection-Firewall ist, konnte
sie – im Gegensatz zu den meisten anderen Produkten – keine FTP-PUT und
-GET-Befehle regulieren.
Die Berichtsfunktionen der Pix sind
sehr rudimentär. So gibt es keine LogFunktion in Echtzeit an der Konsole. Für
ausgefeiltere Berichte unterstützt das Produkt jedoch verschiedene Anwendungen
von Drittherstellern wie Private-I von
Open Systems Solutions und Telemate.net
von Telemate Software.
FAZIT Während es stimmt, dass der Ad-
ministrator aufgrund der eher begrenzten
Oberfläche Probleme bei der Erstellung
komplexer Sicherheitsregeln haben wird,
ist diese Aufgabe nicht so schwer zu meistern wie es zunächst scheint. Denn die
strenge Struktur der Oberfläche macht eine Fehlkonfiguration der Firewall schwer
– was offensichtlich ein Bonus ist.
96
Im Test gefiel die Tatsache, dass das
System als ein Gesamtpaket präsentiert
wird. Besondern positiv ist, dass für die
rund 3600 Dollar teure Firewall für
knapp 5000 Dollar eine vollständige
Stateful-Failover-Option verfügbar ist.
Der Durchsatz der Firewall ist ebenfalls
exzellent – mit und ohne NAT.
Hartnäckige Cisco-Anhänger werden
bis zu ihrem Tod für die Kommandozeile kämpfen. Doch würde Cisco gut daran
tun – wie die Konkurrenz – etwas grafisches zu implementieren, um auch NichtCisco-Sites gewinnen zu können. Auch
die Monitoring- und Reporting-Funktionen sind ausbaufähig. Abgesehen davon
ist die Cisco Pix ein solides Produkt, das
sich im praktischen Unternehmenseinsatz bewährt hat.
Info:
Cisco
Tel.: 0811/5543-0
Web: www-europe.cisco.com
Die
Knightstar-Firewall liefert der Hersteller Cyberguard in zwei Varianten: Der
Administrator hat die Wahl zwischen
einer reinen Software-Lösung oder der
“Knightstar Premium Network Appliance”, einer kompletten Hard- und
Software-Kombination, die unter einer
gehärteten B2-Unix-Version läuft.
Physikalisch ist die Appliance ein
Rack-System mit zwei oder vier
Höheneinheiten und basiert auf einem
Intel-Motherboard mit zwei PentiumProzessoren und 128 MByte RAM. Insgesamt stellt das Gerät vier DIMMSlots für Speichererweiterungen zur
Verfügung. Eine abschließbare Klappe
verbirgt das Disketten- und CD-ROMLaufwerk sowie den Strom- und ResetSchalter. Im Inneren befindet sich eine
SCSI-Festplatte sowie zwei freie PCISteckplätze, von denen im Testgerät einer von einer 4-Port-Netzwerkkarte belegt war. Mit einem Ethernet-Port auf
dem Motherboard und dem freien PCISlot bietet das Gerät so maximal neun
Schnittstellen. Die Version mit vier
CYBERGUARD
KNIGHTSTAR
Höheneinheiten verfügt über vier PCISlots und unterstützt maximal 16 Netzwerkkarten.
Da die Software komplett vorinstalliert
ist, besteht die Installation lediglich aus
dem Anschluss der Netzwerkkabel und
dem Einschalten des Geräts. Nach dem
Start der Appliance muss der Administrator nur noch festlegen, welche der Ethernet-Ports das interne beziehungsweise externe Netz bedienen sollen. Anschließend
kann er direkt zur Konfiguration der Sicherheitsrichtlinien übergehen.
Der Knightstar ist ein Vertreter der neuen Hybrid-Firewalls, die alle drei Architekturen in einem Paket vereinen. Da das
Produkt in der getesteten Version bis zu
acht Host-Interfaces unterstützt, bietet es
eine enorme Flexibilität bei der Konfiguration von internen, externen und DMZNetzen. Die Management-Software ist
vollständig grafisch und sehr intuitiv zu
bedienen – was man von einem Unix-basierendem System nicht unbedingt erwartet. Auch die Dokumentation des Produkts ist exzellent. Die Konfiguration erfolgt direkt an der Server-Konsole. Zudem ist ein optionales Remote-Managementpaket verfügbar, das für die Kommunikation zwischen Firewall und Konsole einen sicheren Verschlüsselungsmechanismus benutzt.
Wie jede gute Firewall ist der Knightstar standardmäßig so konfiguriert, dass
sie alle Zugriffe verweigert. Unterhalb
der Proxy-Server arbeitet eine vollständige Packet-Filter-Firewall, die alle üblichen statischen Filter sowie die flexibleren dynamischen Filter beinhaltet. Auf
der höchsten Ebene des OSI-Stacks bringt
der Knightstar einige intelligente Application-Proxies wie Circuit-Gateway-,
Authentication- und Content-Enforcement-Proxies mit. Weitere Proxies gibt es
für FTP, Gopher, HTTP, LDAP, NTTP,
Lotus Notes, Real-Audio, Remote-Login,
SMTP, SQL-Net, Telnet, X-Window sowie den SOCKS-Circuit-Level-Gateway,
einen Load-Balancing-Proxy sowie einen
generischen Proxy-Server.
Proxies, die eine Identifizierung verlangen, erfordern vom Benutzer die Anmeldung bei der Firewall, bevor diese
www.lanline.de
FOKUS FIREWALLS
beispielsweise eine FTP-Verbindung
aufbauen können. Auf diese Weise kann
der Knightstar auf Benutzerebene bestimmte Aktivitäten zulassen oder verweigern. Wenn ein Proxy keine Authentifizierung verlangt, ist er für den Benutzer vollkommen transparent und erfordert keine Änderung am Client. ContentEnforcement-Proxies analysieren den Inhalt von Netzwerkverbindungen und
kontrollieren die Informationen, die
durch die Firewall wandern. So ist beispielsweise der HTTP-Proxy in der Lage,
eingehende Verbindung auf Active-X,
Java, Javascript oder Vbscript zu untersuchen und diese Inhalte auf Wunsch in
Quarantäne zu setzen.
Das Split-Domain-Name-System (DNS)
verheimlicht kritische Informationen,
wenn die Firewall als DNS-Server konfiguriert wurde. Zudem kann der Administrator für jede Netzwerkschnittstelle einen separaten DNS-Server konfigurie-
www.lanline.de
ren, der nur DNSAnfragen zu seiner
Schnittstelle beantwortet und alle anderen versteckt. Cyberguard erlaubt zudem sowohl statisches als auch dynamisches NAT auf jedem Netzwerk-Port.
Der
Hersteller
spendierte dem Produkt zudem eine
einzigartige Funktion zur benutzerbasierenden Authentisierung
namens
Passport One. Diese Der HTTP-Proxy des Knightstar ist in der Lage, eingehende VerbindunFunktion
erlaubt gen auf Active-X, Java, Javascript oder Vbscript zu untersuchen und
diese Inhalte auf Wunsch in Quarantäne zu setzen
dem Administrator
die Konfiguration
von Regeln auf Benutzerebene anstelle dert, dass sich Benutzer über einen ananhand von IP-Adressen. Dies verhin- deren Rechner Zugang zu verbotenen
97
FOKUS FIREWALLS
Diensten erlangen. Die Benutzer müssen sich dabei an der Cyberguard-Konsole mit einem einfachen Passwort, Radius, Secur-ID oder Securenetkey anmelden.
Die Überwachungs- und Berichtfunktionen des Knightstar sind unter den
Besten im Test. Der Administrator hat
die Möglichkeit, bis ins kleinste Detail
festzulegen, welche Aktivitäten auf der
Firewall geloggt werden sollte. Alarm
schlägt das Produkt auf Wunsch auch
bei verdächtigen oder abnormalen Aktivitäten wie fehlgeschlagenen Anmeldeversuchen, vollen Festplatten, PacketForwarding-Attacken, Land-Attacken,
Ping-of-Death-Angriffen, SYN-FloodAttacken sowie Spoofing- und PortscanVersuchen. Weitere Funktionen sind
Virenscanning einschließlich CVP-Unterstützung sowie eine Hochverfügbarkeitsoption.
FAZIT Cyberguard bietet eine große
Auswahl an Proxies in Verbindung mit
statischen und dynamischen Packet-Filter-Funktionen in einem ITSec-E3-konformen System. Die Firewall verfügt
über fast jedes denkbare Feature mit einer flexiblen und intuitiven Benutzeroberfläche. Besonders gefiel im Test,
dass der Knightstar verschiedene Wege
zur Lösung einer bestimmten Aufgabe
erlaubt. Während viele Firewalls dem
Administrator einen bestimmten Weg
zur Konfiguration aufzwingen, der der
Firewall-Architektur entspricht, überlässt der Knightstar dem Administrator
die Wahl des Wegs. Dies macht das
Produkt zu einer der am einfachsten zu
konfigurierenden Firewalls für eine bestehende Umgebung. Der ApplianceAnsatz ist ein logischer Schritt für Cyberguard und eine willkommene Ergänzung der Produktlinie, auch wenn das
Gerät mit knapp 20.000 Mark nicht zu
den billigsten zählt.
Info:
Cyberguard Europe
Tel.: 0044/1344-382551
Web: www.cyberguard.com
98
GAUNTLET 5.5 Gauntlet hat eine lange
Management alle Firewalls und deren
und ehrwürdige Herkunft im Unix-Be- Optionen erlaubt.
reich und vollzog kürzlich erfolgreich
Die Definition von Regeln ist bei
den Sprung auf die NT-Plattform. Die Gauntlet nicht ganz so intuitiv wie bei
Unix-Version der Software läuft auf einigen Mitbewerbern, wobei die NTHardware von Sun unter einer gehärte- Version etwas einfacher zu handhaben
ten Version von Solaris. Das Produkt ist ist als das Unix-Pendant. Wer sich jeals reine Software-Lösung oder kom- doch an das Gauntlet-Konzept gewöhnt
plette schlüsselfertige Lösung verfügbar. Wie am Anfang des Beitrags
erwähnt, gibt es
drei gängige und
akzeptierte
Firewall-Architekturen.
Mit
dem
Gauntlet stellt Network Associates eine vierte Architektur – den so genannten “Adaptive
Proxy” – vor. Diese
Technologie soll
angeblich das Beste
von
Stateful-In- Wenn man sich an das Gauntlet-Konzept gewöhnt hat, ist diese
spection und Appli- Firewall leicht zu administrieren
cation-FirewallTechnologien vereinigen.
hat, kommt mit diesem Produkt ebenso
Die Idee hinter einem adaptiven zurecht wie mit jeder anderen Firewall.
Proxy ist, dass die Firewall – abhängig So enthält ein hierarchischer Baum auf
vom Status der Session – dynamisch der linken Fensterhälfte des GUIs eine
den Paketfluss zwischen den Applicati- Anzahl von Ordnern, die die Haupton-Proxies und Paketfiltern anpasst. punkte der Konfiguration darstellen.
Wenn die Sicherheitsanforderungen Gauntlet erlaubt dort die Definition von
hoch sind, dann verlagert diese Vorge- Packet-Screening-Rules sowie die
hensweise die Verarbeitung auf die Konfiguration der zahlreichen inteProxy-Ebene. Sind die Sicherheitsre- grierten Proxies für HTTP, FTP, SMTP,
geln nicht so streng, verarbeitet die H.323, Telnet, Oracle SQL-Net, LDAP,
Firewall Pakete auf Ebene der Packet- Streaming Multimedia (Real-Audio,
Filter.
Real-Video, Netshow, Vdolive, StreDas Konfigurations-Tool – die Fire- amworks), SNMP, NNTP, Netmeeting,
wall-Management-Station – ist sehr MS-SQL, Sybase, LP, Rsh, Rlogin,
leicht zu bedienen, läuft als Win32-An- Plug, X11, POP3, SSL, AHTTP,
wendung unter Windows 9x und NT SHTTP, Whois, Gopher, Finger, Cirund kann beliebig viele Gauntlet-Fir- cuit-Gateway, AOL, Compuserve, Loewalls administrieren. An der Firewall- tus Notes und PPTP. Jeder dieser ProKonsole selbst muss der Administrator xies verfügt über seine eigene Konfigunur minimale Einstellungen vorneh- rationsmaske und erlaubt bis zu einem
men. Die “Gauntlet Firewall’s Enterpri- gewissen Grad deren Anpassung. So
se Security Policy Management kann der Administrator beispielsweise
(ESPM)”-Konsole ist ein benutzer- für den HTTP-Proxy festlegen, an welfreundliches Java-GUI, das ein Remote- chen Server und Port in der DMZ An-
www.lanline.de
FOKUS FIREWALLS
fragen aus dem unsicheren Teil des Netzes übergeben werden sollen. Zudem
verfügt der HTTP-Proxy über Funktionen zur Blockierung von Active-X und
Java, Virenschutz und URL-Filtering.
Auch die Erstellung von benutzerdefinierten Proxies – so genannten PlugProxies – unterstützt Gauntlet. Jedoch
beschränkt sich dies auf wenig mehr als
die Angabe eines Ports und einem
Block von IP-Adressen.
Auffallend war, dass von den PacketScreening-Rules verarbeitete Pakete die
Proxies vollständig umgehen. Enttäuschend ist zudem, dass im Gegensatz
zur NT-Version, die Default-PacketScreening-Rules, die durch die Definition von Proxies und Policies an anderer
Stelle entstanden sind, nicht zur Wiederverwertung oder Modifikation zur
Verfügung stehen. Wie erwartet, steht
bei Gauntlet auch NAT zur Verfügung.
Der Administrator hat die Möglichkeit,
sehr feine Zugriffsregeln zu definieren,
wobei im Extremfall nur ein bestimmter
Benutzer Zugriff auf einen Dienst bei
einer IP-Adresse bekommt. Jeder Benutzer hat dabei die Wahl zwischen verschiedenen Authentisierungsmethoden
wie unter anderem S-Key, Radius,
APOP, NT-Domain sowie LDAP. Benutzer können dabei permanent oder
nur einmalig freigeschaltet werden.
Gauntlets Logging- und Alarmfunktionen sind weitreichend, jedoch nicht
so flexibel bei den Filterfunktionen wie
die NT-Version. Alarme können für eine begrenzte Reihe von Vorfällen wie
zum Beispiel Portscans, Source-Routed-Packets, Packet-Screens und ICMPRedirects konfiguriert werden. Die
Log-Dateien rotieren täglich oder
wöchentlich, und alte Logs können –
nach Angabe eines Verfallsdatums
durch den Administrator – automatisch
gelöscht werden.
In der neuesten Version spendierte
der Hersteller der Firewall zudem Mcafees Virenscanner. Gauntlet ist dadurch
in der Lage, Schutz vor Viren, betrügerischen E-Mail-Adressen, SPAM und
Java sowie Active-X zu bieten. Zudem
verfügt das Produkt über URL-
www.lanline.de
Blocking und vollständig integrierte
IPSec-VPN-Fähigkeiten.
FAZIT Gauntlet ist eine leistungsstarke
Firewall, die – wenn man sich an das
Konzept gewöhnt hat – einfach zu konfigurieren ist. Für den Preis von 3750
Mark verbindet sie die Sicherheit eines
Proxy-Servers mit der Geschwindigkeit
eines Packet-Filters, wobei einige der
Unzulänglichkeiten von Stateful-Inspection-Produkten beseitigt werden.
Die Adaptive-Proxy-Architektur funktioniert bis jetzt allerdings nur in den
FTP- und HTTP-Proxies. Gut gefallen
hat auch die Active-Security-Architektur, die ein zentrales Policy-Management und eine Event-Korrelation an einer zentralen Stelle ermöglicht. Durch
Active-Security kann Gauntlet automatisch reagieren und sich entsprechend
umkonfigurieren, wenn an einer anderen Stelle im Unternehmen Probleme
auftauchen. Dies reduziert das Risiko
weiter, dass ein Hacker seinen Weg
durch das unternehmensweite Sicherheitsnetz findet.
Info:
Network Associates
Tel.: 0800/1005262
Web: www.nai.com/international/germany/
RAPTOR FIREWALL 6.5 FÜR NT Bei
Raptor handelt es sich vornehmlich um
eine Proxy-Server-Firewall, mit einer
Static-Packet-Filter-Engine für jeden
Netzwerk-Port. Obwohl Proxy-Server
oft als langsam kritisiert werden, behauptet Axent, dass Raptor eine ausgelastete T3-Verbindung mit 45 MBit/s
bedienen kann. Ab der Version 6.x sind
alle Application-Proxies multi-threaded.
Als eine der ersten Firewalls für Windows NT arbeitet Raptor gut mit dem
Betriebssystem zusammen und härtet
Teile von NT automatisch bei der Installation. Dies beinhaltet unter anderem die Abschaltung nicht benötigter
Dienste, Verschärfung der Netzwerk-
bindungen und Ausschalten des SourceRoutings sowie den Einsatz eines Paketfilters auf der Netzwerkebene des
Protokoll-Stacks.
Raptor unterstützt bis zu 16 Host-Interfaces und ermöglicht somit eine sehr
flexible Definition von internen, externen und DMZ-Netzen. Wie bei anderen
Proxy-Firewalls führt Raptor kein Routing von IP-Verkehr durch. Dies stellt
sicher, dass keine Pakete auf der Routing-Ebene durch die Firewall flutschen, selbst wenn der Firewall-Host
ausfällt.
Das Raptor-Konfigurations-Tool präsentiert sich als Snap-in für die Microsoft Management Console (MMC). Ist
diese auf dem Administrations-PC nicht
vorhanden, wird sie automatisch installiert. Der Vorteil dieses Ansatzes ist eine durchgängige Managementschnittstelle für alle MMC-konformen Produkte auf dem Server. Zudem ist die MMC
die Standard-Administrationsplattform
unter Windows 2000. Die Raptor Management Console (RMC) präsentiert alle
verwalteten Firewalls in einem Fenster
sowie die Firewall-spezifischen Daten
in einem weiteren Fenster. Dies ermöglicht dem Administrator die schnelle
und leichte Erstellung und Verteilung
von spezifischen Sicherheitsregeln auf
alle Firewalls im Unternehmen.
Raptor selbst ist sehr einfach zu konfigurieren. Das Produkt stellt eine Reihe von Daemon-Prozessen zur Verfügung, von denen jeder jeweils einen
Proxy-Dienst repräsentiert. Diese können einzeln aktiviert und deaktiviert
werden, lassen jedoch keinen Verkehr
durch, bevor der Administrator eine Regel definiert hat. Jede dieser Regeln
kann eine Zahl von Parametern beinhalten einschließlich Quell- und Zieladresse, Typ des Dienstes, eine oder mehrere
Formen der Authentisierung, Benutzer
oder Gruppe sowie Tag und Uhrzeit des
Zugriffsversuchs. Der Administrator
kann dabei beliebige Entitäten wie
Hosts, Netzwerke, Schnittstellen, Subnetze oder Benutzer definieren, die als
Grundlage für eine Regel dienen und
deren Erstellung sehr vereinfachen.
99
FOKUS FIREWALLS
Raptor unterstützt von Haus aus eine
Vielzahl von Diensten einschließlich
SMB/CIFS, SQL-Net, Telnet, FTP,
SMTP, HTTP, HTTP-FTP, HTTP-Gopher, HTTPS, H.323, Ping, NNTP, Java-Filtering (mit optionalen Produkten
von Drittanbietern), Gopher, Real-Audio und -Video, DNS und NTP. Wenn
ein benötigter Dienst nicht als vorgefertigter Proxy vorhanden ist, kann der
Administrator mit dem “Generic Service Parser (GSP)” einen passenden Service-Daemon konfigurieren. So ist es
beispielsweise möglich, einen generischen Proxy zu definieren, der Verbindungen zu einem bestimmten Host mit einem bestimmten Protokoll von festgelegten Quelladressen und -Ports erlaubt.
Standardmäßig versteckt Raptor alle
internen System- und Adressinformationen mit NAT. Umgekehrt vermittelt
die Funktion “Service Redirection” externen Benutzern die Illusion eines Zugangs zu geschützten Ressourcen. Dies
ermöglicht dem Administrator die Bereitstellung eines Zugangs zu geschützten Systemen, ohne deren Adressen
preiszugeben. Falls die richtige IPAdresse durch die Firewall geschickt
werden muss, unterstützt dies Raptor
ebenfalls. Zudem bietet das Produkt
weitere fortgeschrittene Schutzmechanismen wie SYN-Flood-Protection,
Portscan-Erkennung und Spoof-Schutz
für jede Schnittstelle. Integriertes Content-Filtering ermöglichen die ContentBlocker “Web-Not” und “News-Not”.
Die Unterstützung von Mimesweeper
von Content Technologies erlaubt die
Überprüfung von E-Mail-Inhalten und
Web-Downloads am Rande des Netzes.
Raptor kann Informationen über jede
ein- und ausgehende Verbindung protokollieren, wobei die Log- und Berichtsfunktionen ausgezeichnet sind. Daten
erhebt die Software über die Dauer einer Session, übertragene Bytes, zwischengeschaltete Proxy-Server, komplette URLs, Benutzernamen und Art
der Authentisierung. Die Log-Daten
präsentiert die Software zudem in Echtzeit auf der Firewall-Konsole. Wer auf
VPN-Unterstützung nicht verzichten
100
möchte, kann das Produkt Power-VPN
in Raptor integrieren.
konfigurieren, verfügt jedoch nur über eine begrenzte Zahl von Proxies. Cisco und
Cyberguard hingegen liefern eine Komplettlösung mit aller notwendigen Hardund Software.
FAZIT Es ist schwer, einen Fehler in der
Raptor-Firewall zu finden. Sie war eine
der am leichtesten
zu konfigurierenden Systeme und
bestand trotzdem
alle Einbruchs- und
Sicherheitstests mit
Leichtigkeit. Zudem verfügt das
Produkt über das
vollständigste Set
von sicheren Proxies sowie über eine exzellente Benutzerschnittstelle.
Das Produkt hat
sich über die Jahre
hervorragend ent- Das Raptor-Konfigurations-Tool präsentiert sich als Snap-in für die
wickelt. Es ist eines Microsoft Management Console
der am leichtesten
Bei den reinen Software-Produkten gezu installierenden und konfigurierenden NT-basierenden Systeme. Es ist fiel uns Axents Funktionsumfang und das
ideal als Internet- und Intranet-Firewall herausragende Management-Tool, das
und bietet eine hervorragende Leistung eine unglaublich einfache und gradlinige
für den Preis von 4000 Mark für 25 Be- Konfiguration ermöglicht. Raptor für NT
ist daher in dieser Gattung das Produkt
nutzer.
unserer Wahl. Die Appliances von Cisco
und Cyberguard hingegen sind bewährte
Produkte mit hervorragenden TestergebInfo:
Axent
nissen – durch diese beiden Boxen wird
Tel.: 089/995490
kaum ein Hacker durchkommen. EingeWeb: www.axent.de
schworene Cisco-Benutzer werden mit
dem archaischen Konfigurations-Tool
wahrscheinlich glücklich werden und
ABSCHLIESSENDER VERGLEICH Es wird
fast automatisch zur Pix tendieren. Das
immer härter, einen reinen Gewinner aus intuitive Management des Knightstars
den getesteten Firewalls auszuwählen. In macht jedoch ein ebenso sicheres Provielen Fällen wird die Entscheidung ver- dukt viel angenehmer zu benutzen und ist
mutlich an einzelnen Personen liegen, die daher unser Favorit bei den Appliances.
für sich festlegen, welche Funktionen ih(Bob Walder/Georg von der Howen)
nen am wichtigsten sind.
So bietet beispielsweise Gauntlet eine
Den Test führten Bob Walder und die
neue adaptive Proxy-Architektur auf den NSS Group in ihrem Testlabor in SüdHTTP- und FTP-Proxies, die die Sicher- frankreich durch. Leider konnte Checkheit eines Proxy-Servers mit der Ge- points Firewall-1 nicht am Test teilnehschwindigkeit einer Stateful-Inspection men, da der Hersteller sein Produkt
vereint. Borderware stellt mit Smartgate nicht eingereicht hatte. Weitere Infordie beste Client-Server-VPN-Lösung zur mationen zur NSS Group gibt es im InVerfügung und ist unglaublich leicht zu ternet unter http://www.nss.co.uk.
www.lanline.de
FOKUS FIREWALLS
FIREWALL IN DEN BELL LABS
Bridge- versus
Router-Firewall
Firewalls sitzen zwischen zwei Netzpunkten und filtern die einzelnen
routet. Ein normaler Router, der zur Filterung von Paketen verwendet wird, ist
damit nicht gemeint. Ebenso ist hier mit
“Bridge-Firewall“ keine Bridge bezeichnet, die zur Filterung von Paketen
konfiguriert worden ist, sondern eine
Firewall, die Pakete wie eine Bridge
oder ein anderes Layer-2-Gerät weiterleitet.
Pakete. Dies geschieht entweder wie bei einem Router (Layer-3SUBNETZE Die meisten in diesem Arti-
Gerät) oder einer Bridge (Layer-2-Gerät). Ob eine Firewall wie eine
Bridge oder wie ein Router arbeitet, wird von den Anbietern im Allgemeinen nicht besonders hervorgehoben, da beide Arten dieselben
Firewall-Funktionen bieten. In den Bell Labs, dem Forschungs- und
Entwicklungslabor von Lucent Technologies, wurden die Vorteile der
Bridge-Firewall herausgearbeit.
ine Firewall ist ein Gerät, das basierend auf einer Reihe von Regeln
entscheidet, ob die einzelnen das Netzwerk passierenden TCP/IP-Pakete
durchgelassen werden oder nicht. Je
nach Sicherheits-Policy können unterschiedliche Regeln aufgestellt werden.
Die frühen Firewall-Generationen verbinden zwei IP-Netze und müssen daher
auch über Routing-Funktionalität verfügen und mit Routing-Tabellen konfiguriert sein, in denen steht, welche IPSubnetze sich wo befinden. Diese Routing-Tabellen beruhen normalerweise
auf statischen und nicht auf den potentiell unsicheren dynamischen Protokollen.
Durch das Abkoppeln vom Routing
wird die Firewall zu einem reinen Filter,
der nichts mit Routing-Tabellen oder
Interface-Konfiguration zu tun hat und
dadurch flexiblere Möglichkeiten bie-
E
10.10.10.*
10.20.20.*
.1
.2
tet. Die meisten Vorteile ergeben sich
dadurch, dass eine Bridge-Firewall weniger beziehungsweise gar keine Subnetze erfordert. In vielen Fällen können
zudem Änderungen der Topologie ohne
Ausfallzeiten vorgenommen werden.
Einige neue Firewalls wie die LucentManaged-Firewall (LMF) leiten Pakete
wie eine Bridge weiter. Sie fungieren
als eine lernende Bridge zwischen zwei
Geräten, üblicherweise Routern, welche die in modernen Netzwerken erforderlichen Routing-Aufgaben sehr viel
besser erledigen können. Die Firewall
trifft ihre Entscheidung, ob sie ein Paket
durchlässt, nach wie vor basierend auf
der Layer-3-Information des Pakets.
Mit einer “Router-Firewall“ ist hier
eine Firewall gemeint, die Pakete auf
dieselbe Weise weiterleitet wie ein
Router, also als ein Layer-3-Gerät, das
Pakete zwischen zwei IP-Subnetzen
kel beschriebenen Techniken beruhen
darauf, dass eine Bridge-Firewall zwischen zwei Punkten eingefügt werden
kann, ohne die IP-Routing-Topologie
des Netzwerks verändern zu müssen.
Bild 1 und Bild 2 zeigen den Unterschied zwischen einer Router-Firewall
und einer Bridge-Firewall im Hinblick
auf die erforderlichen Subnetze.
Ein Vorteil der reduzierten Anzahl
von Subnetzen liegt in der Einsparung
von IP-Adressen. Der zweite Vorteil ist
weniger offensichtlich. Das Hinzufügen
eines zusätzlichen Subnetzes macht Interface-Konfigurationsarbeiten und Anpassungen der Routing-Tabelle erforderlich, damit ein Gerät das neue Subnetz verwenden kann. Bei einer BridgeFirewall fallen diese Arbeiten nicht an.
BRIDGE-FIREWALLS
IM
PRAKTISCHEN EINSATZ Thomas A. Limon-
celli, Entwickler in den Bell Labs von
Lucent Technologies, demonstriert die
Funktionalität einer solchen Konfiguration in verschiedenen Anwendungsbeispielen.
– Austausch der Firewall
Vor dem Austausch entsprach die
Firewall-Konfiguration ungefähr der in
Bild 1 dargestellten. Die alte Firewall
10.10.10.*
.2
.1
Corporate WAN
.1
Internet
Routed Firewall
Internal Router
Corporate WAN
Internet
External Router
Internal Router
Point A
Bild 1. Routed-Firewall
www.lanline.de
.2
Bridged
Firewall
External Router
Point B
Bild 2. Bridged-Firewall
101
FOKUS FIREWALLS
war geroutet und trug den Namen “stile”. Thomas A. Limoncelli: “Zunächst
programmierten wir unseren LMF-Prototyp mit denselben Filterregeln wie
“stile” und installierten ihn hinter die
alte Firewall (an Punkt A in Bild 1).
Eventuelle Probleme würden sich auf
External
Router
Internet
def
rou
te t
o
Sta
tic
poi route
inte nting t s
rna o
l ne
ts
ISP
Firewalls
del route to ER
Networks of
customer
group A
d
ire
Fo
def route to A
Networks of
customer
group B
HUB
Router A
in
ap
st
1
Router B
def route to A
Networks of
customer
group C
Router C
def route to A
Networks of
customer
group D
Router D
Bild 3. Die Router-Anschlusskonfiguration
102
diese Weise immer noch in dem durch
die Firewall geschützten Bereich abspielen.”
Die Installation einer Bridge geschieht ohne großen Zeitaufwand, da
keine Interfaces umkonfiguriert und
keine Routing-Tabellen angepasst werden müssen. Eine Unterbrechung von
wenigen Sekunden, die das Umstecken
der Kabel erfordert, wird vom Benutzer
kaum wahrgenommen. Ebenso unbemerkt wäre es beim Auftreten von Problemen möglich gewesen, die Firewall
wieder zu entfernen. Bei einer RouterFirewall hätten sich längere Ausfallzeiten nicht vermeiden lassen.
Thomas A. Limoncelli erläutert: “Die
ersten Tests verliefen erfolgreich. Abgesehen von Einbruchversuchen, die
nur in den stile-Logs auftauchen würden, sollte die LMF dieselben Dinge
protokollieren wie stile, und das tat sie
auch. Im nächsten Schritt installierten
wir den LMF-Prototyp vor die alte Firewall an Punkt B in Bild 1. Nun sollten
die LMF-Logs auch Einbruchversuche
protokollieren. Wieder mussten nur ein
paar Kabel umgesteckt werden. Die
Tests verliefen erfolgreich, sodass stile
schließlich ganz entfernt werden konnte. Dies war allerdings relativ zeitaufwendig, da ein Subnetz entfernt werden
musste und dies Updates von RoutingTabellen und Interfaces erforderte. Der
spätere Austausch des LMF-Prototyps
durch das Endprodukt war dagegen ein
Kinderspiel. Inzwischen testen wir neue
Versionen gleich außerhalb der aktuellen Firewall und sparen dadurch viel
Zeit.”
ANSCHLUSS DER FIREWALL AN EINEN ANDEREN ROUTER Eine Bridge-
Firewall kann ohne Ausfallzeiten an einen anderen Router angeschlossen werden, ohne Änderungen an der Firewall
vornehmen und (bis zum Schluss) ohne
den Eigentümer des ersten Routers behelligen zu müssen.
Jeder der internen Router hat eine dynamische Routing-Tabelle, die alle
Subnetze innerhalb des Unternehmens
enthält. Die Default-Route jedes Rou-
ters zeigt auf die Firewall (entweder zu
dem externen oder dem mit der Firewall
verbunden Router). Dabei wird davon
ausgegangen, dass ein Ziel-Host, der
nicht über eine interne Routing-Tabellen zu erreichen ist, sich im Internet befinden muss.
Das erspart es den internen Routern,
außer den Routing-Tabellen des Unternehmens auch noch die Internet-Routing-Liste pflegen zu müssen. In Bild 3
ist die Firewall an Router A angeschlossen. Die Default-Route von Router A
zeigt auf den externen Router. Die Default-Routen der übrigen Router zeigen
auf Router A.
In diesem Fall war es erforderlich, die
Firewall von Router A zu entfernen und
an Router B anzuschließen. Nach jedem
Schritt wurde das Ergebnis getestet, indem (per Shell-Skript automatisiert) Pakete von einem Host in jeder Kundengruppe an verschiedene Stellen des internen Netzwerks, des Extranets und
des Internets gesendet wurden.
Diese Schritte waren erforderlich:
1. Herstellen einer physikalischen Verbindung zwischen Router B und dem
Hub; entsprechende Konfiguration
des Interfaces von Router B.
2. Umleitung der ausgehenden Pakete
von Router B zu dem externen Router
(also Änderung der Default-Route
von Router B).
3. Änderung der Default-Routen von
Router C und D, sodass diese ihre
ausgehenden Pakete nicht mehr über
Router A, sondern über Router B senden.
4. Änderung der statischen Route des
externen Routers, damit eingehende
Pakete statt an Router A an Router B
gesendet werden.
5. Kontaktierung des Eigentümers von
Router A, damit dieser die DefaultRoute von Router A so ändert, dass
sie auf Router B zeigt wie die anderen
Router auch.
6. Entfernen des Kabels zwischen Router A und dem Hub, nachdem mittels
einiger traceroute-Befehle sichergestellt wurde, dass das Kabel keinen
aktiven Traffic hat.
www.lanline.de
FOKUS FIREWALLS
Diese Änderungen erforderten keine
geplanten Ausfallzeiten. Dass die Pakete zwischenzeitlich asymmetrische
Routen nutzten, fällt niemandem auf.
Auch der Stateful-Inspection-Prozess
der Firewall wurde durch live durchgeführten Änderungen nicht gestört.
In Tabelle 1 sind die Einstellungen
der Routing-Tabelle nach jedem einzelnen Schritt aufgeführt. In den Spalten
für Router A bis D steht, wohin deren
Default-Routen zeigen. In der letzten
Nach
Nach
Nach
Nach
Nach
dem Start/Schritt 1
Schritt 2
Schritt 3
Schritt 4
Schritt 5
A
ER
ER
ER
ER*
B
de TCP-Verbindungen werden nur von
bestimmten Rechnern an bestimmten
Ports zugelassen (zum Beispiel telnet
oder ssh). Über UDP-Protokolle wie
DNS wird einzeln entschieden. Da das
gesamte Netzwerk bereits durch eine
Firewall geschützt ist, über die wir mit
dem Internet verbunden sind, sollte dies
ausreichen.”
Da sich auf beiden Seiten einer Bridge auch mehrere Rechner befinden können, kann man diese Technik auch ver-
B
A
ER*
ER*
ER
ER
C
A
A
B*
B
B
D
A
A
B*
B
B
ER
A
A
A
B
B
Einstellungen der Routing-Tabelle nach jedem Schritt
kundären IP-Adresse zu dem externen
Router, um das gleiche Interface auf
dem IP-Subnetz des Hubs und dem
des Router-Backbones zu haben.
2. Leiten der ausgehenden Pakete direkt
zum externen Router, natürlich durch
die Firewall.
3. Für die ankommenden Pakete Konfiguration des externen Routers mit einer statischen Route für jedes Subnetz
zu dem entsprechenden Kundengruppen-Router.
4. Entfernung der sekundären IP-Adresse von dem Hub.
Auch dieser Vorgang hätte bei einer
Router-Firewall Ausfallzeiten bedingt,
da viele geroutete Firewalls keine sekundären IP-Adressen unterstützen.
Dies ist noch ein ausgezeichnetes Beispiel dafür, welche Vorteile es bietet,
das Routing von der Firewall abzukoppeln, zumal ein dedizierter Router die
Routing-Anforderungen besser erfüllen
kann als eine geroutete Firewall.
FAZIT Eine Bridge-Firewall kann zwi-
Spalte steht das Ziel der Default-Route
des externen Routers. Der Asteriskus
(*) weist darauf hin, dass Pakete für diese Kundengruppe in dieser Phase asymmetrisch geroutet werden.
Mit einer Router-Firewall wäre diese
Änderung aufgrund der erforderlichen
Aktualisierungen von Routing-Tabellen
und Interfaces sehr viel arbeitsaufwendiger gewesen, und Betriebsunterbrechungen hätten sich nicht vermeiden
lassen.
wenden, um eine Gruppe von Rechnern
zu schützen. Beim Abschirmen einer
größeren Abteilung gibt es jedoch noch
ungelöste Probleme. Zum Beispiel hat
das Netzwerk einer großen Abteilung
normalerweise mehrere Verbindungen
zu dem restlichen Unternehmen, sodass
man an jedem Eingangspunkt eine Firewall installieren müsste. Durch die
Möglichkeit asymmetrischer Routen ergeben sich Probleme hinsichtlich der
Sicherheit und Performance.
ABSCHIRMEN EINES BÜROS Thomas
DIREKTER ANSCHLUSS AN DAS
BACKBONE Zu guter Letzt wurde die
A. Limoncelli: “Mit einer Bridge-Firewall kann ich mein Büro abschirmen,
ohne dass die Netzwerkadministratoren
davon etwas wissen oder sich um etwas
kümmern müssen. Ich installiere sie
einfach zwischen die Netzwerkbuchse
in meinem Büro und meiner Workstation. Da es ein passiver Filter ist, sind
keine Routing-Änderungen erforderlich. Ich verwende in diesem Fall eine
recht einfache Sicherheits-Policy. TCPVerbindungen von meinen Rechnern
können überall hin gehen. Ankommen-
www.lanline.de
Firewall direkt an ein Router-Backbone
angeschlossen, um zu verhindern, dass
Router B einen Single Point of Failure
darstellt. Schließlich sollte vermieden
werden, dass ein Ausfall bei einer Kundengruppe zu Ausfällen bei anderen
führen konnte. Dazu wurden ähnliche
Schritte ausgeführt wie bei dem Wechsel des Firewall-Anschlusses von Router A zu Router B (Bild 3):
1. Verbindung des Router-Backbones
mit dem Hub und Zuweisung einer se-
schen beliebigen Netzwerkgeräten installiert werden. Wenn diese beiden
Geräte Hubs sind, kann eine Untergruppe von Rechnern in demselben IP-Subnetz voreinander durch die Firewall abgeschirmt werden. So etwas wäre mit
einer Router-Firewall nicht möglich.
Eine Bridge-Firewall lässt sich äußerst
leicht installieren, und viele Änderungen der Netzwerktopologie können ohne Betriebsunterbrechungen vorgenommen werden.
Bei einem sich oft ändernden Netzwerk wirken sich diese Vorteile besonders positiv aus. Ein weiterer Vorteil
liegt in der möglichen Reduzierung der
erforderlichen Subnetze. Durch die
Trennung der Routing- und Filteraufgaben eröffnen sich noch viele weitere interessante Möglichkeiten, deren Erforschung erst am Anfang steht.
(Thomas A. Limoncelli, Lucent
Technologies, Bell Labs/mw)
Weitere Informationen:
Lucent
E-Mail: www.lucent.com/security
103
FOKUS FIREWALLS
IMPRESSUM
HERAUSGEBER: Eduard Heilmayr (he)
REDAKTION:
Rainer Huttenloher (Chefredakteur) (rhh), Stefan Mutschler
(Chefredakteur) (sm), Marco Wagner (stv. Chefredakteur)
(mw), Doris Behrendt (db), Dr. Götz Güttich (gg), Georg von
der Howen (gh), Kurt Pfeiler (pf)
AUTOREN DIESER AUSGABE:
Sabine Baehre, Martina Bruns, Alison Busby, Matthias
Frank, Helmut Franz, Raimund Genes, Thomas Griebel,
Artur Heil, Andreas Lamm, Thomas Limoncelli, Manfred
Lipp, Niko Makris, Michael Naunheim, Andreas Roeschies,
Thomas Rohde, Georg Schröder, Maximilian Schröder,
Francesco Scognamiglio, Bob Walder, Oliver Weismantel,
Travis Witteveen, Reinhard Wobst
REDAKTIONSASSISTENZ: Edith Klaas, Tel.: 089/45616-101
REDAKTIONSANSCHRIFT:
Bretonischer Ring 13, 85630 Grasbrunn,
Fax: 089/45616-200, http://www.lanline.de
LAYOUT, GRAFIK UND PRODUKTION:
Daniela Ernst, Tel.: 089/45616-224
Edmund Krause (Leitung)
ANZEIGENDISPOSITION:
Daniela Ernst, Tel.: 089/45616-224
Sandra Pablitschko, Tel.: 089/45616-108
TITELBILD: Wolfgang Traub
ANZEIGENVERKAUF:
Christine Endres (Leitung), Tel.: 0 89/45616-106
Anne Kathrin Latsch, Tel.: 089/45616-102
Karin Ratte, Tel.: 089/45616-104
ANZEIGENVERKAUFSLEITUNG AWI
Cornelia Jacobi, Tel.: 089/71940003
ANZEIGENPREISE:
Es gilt die Preisliste Nr. 12 vom 1.1.2000
ANZEIGENASSISTENZ: Davorka Esegovic, Tel.: 089/45616-156
ANZEIGENVERWALTUNG: Gabriele Fischböck,
Tel.: 089/45616-262, Fax: 089/45616-100
ERSCHEINUNGSWEISE:
LANline Spezial III/2000 Das sichere Netz ist ein
Sonderheft der LANline, das Magazin für Netze,
Daten- und Telekommunikation
ABONNEMENT-BESTELL-SERVICE:
Vertriebs-Service LANline, Edith Winklmaier,
Herzog-Otto-Str. 42, 83308 Trostberg,
Tel.: 08621/645841, Fax 08621/62786
Zahlungsmöglichkeit für Abonnenten:
Bayerische Vereinsbank München
BLZ 700 202 70, Konto-Nr. 32 248 594
Postgiro München
BLZ 700 100 80, Konto-Nr. 537 040-801
VERTRIEB EINZELHANDEL: MZV, Moderner Zeitschriften Vertrieb,
Breslauer Str. 5, 85386 Eching
BEZUGSPREISE: Jahresabonnement Inland: 148,– DM
Ausland: 174,– DM (Luftpost auf Anfrage)
Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für
Studenten, Schüler, Auszubildende und Wehrpflichtige – nur
gegen Vorlage eines Nachweises.
Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber
zu vertreten sind, nicht geliefert werden können, besteht kein
Anspruch auf Nachlieferung oder Erstattung vorausbezahlter
Bezugsgelder.
SONDERDRUCKDIENST:
Alle in dieser Ausgabe erschienenen Beiträge sind in Form von
Sonderdrucken erhältlich. Kontakt: Edmund Krause,
Tel.: 089/45616-240, Alfred Neudert, Tel. 089/45616-146,
Fax: 089/45616-250
DRUCK: Konradin Druck GmbH, Kohlhammerstr. 1-15, 70771
Leinfelden-Echterdingen
URHEBERRECHT:
Alle in der LANline Spezial erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers.
Aus der Veröffentlichung kann nicht geschlossen werden, dass
die beschriebenen Lösungen oder verwendeten Bezeichnungen
frei von gewerblichem Schutzrecht sind.
© 2000 AWi LANline Verlagsgesellschaft mbH
MANUSKRIPTEINSENDUNGEN:
Manuskripte werden gerne von der Redaktion angenommen.
Mit der Einsendung von Manuskripten gibt der Verfasser die
Zustimmung zum Abdruck. Kürzungen der Artikel bleiben
vorbehalten. Für unverlangt eingesandte Manuskripte kann
keine Haftung übernommen werden.
VERLAG: AWi LANline Verlagsgesellschaft mbH
Ein Unternehmen der AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn
Web: http://www.awi.de
Geschäftsführer: Eduard Heilmayr, Cornelia Jacobi
ISSN 0942-4172
i
v
w
Mitglied der Informationsgemeinschaft
zur Feststellung der Verbreitung von
Werbeträgern e.V. (IVW). Bad Godesberg
Mitglied der Leseranalyse
Computerpresse 1999
104
FIREWALLS: EINFÜHRUNG,
PRAXIS, PRODUKTE
Dass eine Firewall zum Schutz des firmeneigenen Netzwerks unerlässlich ist,
ist eine Binsenweisheit. Doch schon bei
der Frage, was eine Firewall eigentlich
ist, streiten sich die Gemüter. Die einen
halten einen einfachen TCP-/UDP-Paketfilter für eine Firewall, andere halten
die Prüfung des übertragenen Inhalts für
einen grundlegenden Bestandteil.
Licht ins Dunkel will Stefan Strobel
mit seinem Buch “Firewalls” bringen.
Auf rund 250 Seiten erklärt er die
Grundlagen, beschreibt die Aufgaben
und Funktionsweisen der elektronischen
Brandschutzmauern und vergleicht die
wichtigsten Produkte. Einen besonderen
Wert legt der Autor auf die Grundlagen.
Um auch Nicht-Experten einen Einblick
in das Thema zu gewähren, erklärt das
Buch das Schichtenmodell, alles Wichtige über den Aufbau von IP-Adressen
und Netzwerkmasken, TCP, UDP und
ICMP, private IP-Adressbereiche, Paketfragmentierung sowie klassenbasiertes und klassenloses Routing. Gerade
dieser Bereich zeichnet sich durch eine
sehr hohe Informationsdichte aus. Auch
wer sich nicht für Firewalls interessiert,
erfährt hier in kurzer Zeit das Wichtigste
über TCP/IP. Auch die wichtigsten
möglichen Angriffspunkte beschreibt
Stefan Strobel ausführlich. Dabei geht er
sowohl auf (mehr oder weniger) bekannte Schwachstellen verbreiteter
Software als auch auf die Risiken von
Viren, Java und ActiveX ein. Dass eine
Firewall nicht nur den Internet-Zugang
absichern muss, beschreibt das Buch in
eigenen Kapiteln über Remote Access
(RAS) und Angriffe von “innen”.
Auch ein Vergleich der wichtigsten
Firewall-Produkte fehlt nicht. Allerdings nehmen die einzelnen Produkte
unterschiedlich viel Platz im Buch ein;
während der Autor beispielsweise Firewall-1 auf sechs Seiten beschreibt, gewährt er Secure Access Firewall nicht
einmal eine Seite. Eine Tabelle, die alle
Merkmale der Produkte vergleicht,
sucht der interessierte Leser hier vergebens. Neben den eigentlichen FirewallProdukten stellt der Autor auch die
Möglichkeit vor, Linux als Paketfilter zu
konfigurieren. Ausführlich widmet sich
Stefan Strobel hingegen Hochverfügbarkeitslösungen. Er beschreibt die unterschiedlichen Lösungsansätze mit
ihren Vor- und Nachteilen und vergisst
Firewalls
Einführung, Praxis, Produkte
Stefan Strobel
2. Auflage 1999
dpunkt.verlag
ISBN 3-932588-49-5
78 Mark
dabei auch nicht die speziellen RoutingAspekte, die sich durch Standby-Firewalls ergeben können.
Insgesamt bietet das Buch eine qualitativ hochwertige und flüssig geschriebene Einführung in das Thema. Der Inhalt
ist beim aufmerksamen Lesen leicht verständlich, sodass sich der Titel besonders
für Administratoren und Web-Master
eignet, die eine Firewall einsetzen wollen. Auch technisch interessierte Manager werden an einigen Kapiteln Gefallen
finden. Der Vergleich der Firewall-Produkte könnte ausführlicher sein. Gefallen hat, dass Stefan Strobel das Thema
betriebssystemunabhängig angeht.
(Andreas Roeschies/mw)
www.lanline.de
FOKUS FIREWALLS
DESKTOP-FIREWALLS
Schutzengel
am Arbeitsplatz
Bösartiger Code, der in Web-Seiten versteckt über das Internet in ein
Unternehmensnetz gelangt, hat ein weitaus größeres Gefahrenpotenzial als die heute bekannten Computerviren. Denn solche Schadprogramme breiten sich schneller aus und sind schwieriger zu erkennen.
Gängige Virenscanner sowie Server- und Gateway-Firewalls bieten
vor diesen Eindringlingen keinen ausreichenden Schutz. An dieser
Stelle sind so genannte Desktop-Firewalls gefragt, die dauerhaft
gegen neue Formen der Industriespionage und Hacker-Attacken
schützen sollen.
eute nutzt beinahe jede Website aktive Inhalte wie Active-X- oder Java-Anwendungen. Diese Applets oder
Steuerungsprogramme unterstützen die
Darstellung von Internet-Seiten auf dem
Rechner des Anwenders. Findet ein Browser auf einer Web-Seite eine Referenz auf
einen aktiven Inhalt, so lädt und startet er
diesen automatisch. Auf diese Weise erweitert aktiver Inhalt die Funktionalität
des Browsers und ermöglicht als plattformunabhängige Schnittstelle die Interaktion zwischen Betreiber und Besucher einer Website. Um diese Funktion auszuführen, muss aktiver Inhalt jedoch auf
das Betriebssystem und die Computerressourcen des Anwenders zugreifen
können. Daraus resultiert ein enormes Sicherheitsrisiko. Vor allem, wenn Applets
aus ungeprüften Quellen stammen, ist
massiven Destruktionen Tür und Tor
geöffnet. Ähnliches gilt für die wachsende Anzahl kleinerer Anwendungen, die
als E-Mail-Anhang verteilt werden. Hier
besteht jederzeit die Gefahr, dass Hacker
“Mobile Code” in krimineller Absicht
entwickeln.
H
GEFÄHRLICHER ALS VIREN Traditio-
nelle Computerviren richten nur dann
www.lanline.de
Schaden an, wenn ein Benutzer ein infiziertes Programm ausführt oder eine
kontaminierte Diskette einlegt und sein
System neu startet. Demgegenüber handelt es sich bei vielen schädlichen Applets um selbstausführende Anwendungen, die Mitarbeiter unbemerkt aus dem
Internet herunterladen, während sie eine Web-Seite betrachten. Schadprogramme, so genannte “Hostile Codes”,
gurieren, sodass Anwendungen unbrauchbar werden. Andere Schadprogramme filtern, manipulieren oder verändern alle Informationen, die aus dem
Web stammen oder an das Internet
übermittelt werden. Die gefährlichsten
Applets durchdringen das Netzwerk eines Unternehmens allmählich, um es
dann schrittweise lahm zu legen. Signifikanterweise laufen diese Applets mit
denselben Zugriffsrechten wie der eingeloggte Benutzer. Das System ruft sie
unmerklich für den Anwender bei jedem Neustart als Hintergrundprogramm
auf. Befindet sich ein solcher Code einmal auf dem Client, kann er auf alle
Ressourcen dieses Computers zugreifen
und diese zerstören. Ihrem Wesen nach
sind solche Applets “fahrerflüchtig”:
Bis sie sich zu erkennen geben, ist der
Schaden bereits angerichtet. Darüber
hinaus sind Hostile-Codes im Gegensatz zu Viren bidirektional. Sie infizieren nicht nur einen Client über eine Inter- oder Intranet-Verbindung, sondern
können dem Rechner oder dem lokalen
Netz Informationen entnehmen, die sie
an unbefugte Nutzer nach draußen senden.
Haben destruktive Applets eine Zieldatei gefunden, so infizieren sie diese
nicht unbedingt im Stil eines Virus. Sie
können die betreffende Datei auch ko-
Desktop-Firewalls überwachen alle Systemzugriffe, die aktive Inhalte wie Java-Applets
und Active-X-Controls auf dem PC des Benutzers ausführen wollen
die als nützliche Anwendungen getarnt
sind, existieren in den unterschiedlichsten Formen und Funktionen. Sie können
sensible Dateien löschen oder das ITSystem eines Unternehmens neu konfi-
pieren und über das Internet verbreiten.
Experten bezeichnen Hostile-Code deshalb als die neue Generation der Computerviren: Schadprogramme entwickeln sich zum wichtigen Handlungs-
105
FOKUS FIREWALLS
feld von Industriespionage und Hackern. Diese neuartigen Angriffe auf
Unternehmensnetze werden herkömmliche Virenangriffe aber nicht verdrängen. Denn Hacker können auch Viren
per E-Mail schneller als je zuvor verbreiten. 40.000 unterschiedliche Viren
sind bereits identifiziert, monatlich
kommen etwa 400 neue Virentypen hinzu. Daraus ergibt sich eine unübersichtliche Fülle von möglichen Kombinationen aus schädlichen Applets und Viren:
Denn Schadprogramme können nach
dem Laden auf einen Rechner ohne weiteres Viren enthalten oder dort ablegen.
Sicherungsmaßnahmen von Unternehmen umgehen, die darauf vertrauen, ihr
Netzwerk über eine Server-basierende
Firewall und die Arbeitsplatzrechner
mit Virusscannern zu sichern. Selbstausführende Anwendungen und so genannte Trojaner passieren unbehelligt
Ähnliches gilt für Schutzmechanismen
auf der Basis von Code-Signaturen. Lösungen, die mit dieser Methode arbeiten, tasten nicht den Quellcode des Applets ab, sondern scannen Datenverkehrs- und Vertrauenszertifikate, Links
und eingebettete aktive Inhalte. Nach
VIRENSCANNER UND FIREWALLS
SIND RATLOS Während es versierter
Programmierkenntnisse bedarf, um Viren zu entwickeln, können auch Ungeübte mit entsprechenden Tools einfach und schnell Schadprogramme herstellen und vertreiben. Zudem sind diese Hostile-Codes im Gegensatz zu Viren in ihrer Wirkung nicht auf bestimmte Plattformen beschränkt. Denn Mobile-Code kann EDV-Systeme auf allen
Ebenen attackieren. Um die Sicherheit
und Integrität ihrer Systeme gegen Angriffe durch bösartige Applets zu schützen, benötigen Unternehmen entsprechende Sicherheitslösungen: Schutzmechanismen, die sämtliche Aktivitäten
überwachen, verdächtige und unerwünschte Aktivitäten sperren und die
übrigen Anwendungen und Ressourcen
uneingeschränkt zur Verfügung stellen.
Eine sichere Schutzbarriere muss ständig im Hintergrund laufen. Antivirenprogramme erfüllen diese Aufgabe
nicht. Denn sie überprüfen Dateien lediglich, wenn der Benutzer einen Befehl eingibt. Auch traditionelle Serverbeziehungsweise
Gateway-Firewalls
werden dieser Anforderung nicht gerecht. Sie schützen Netze wirksam vor
Angriffen auf der Ebene von Protokollen und Anwendungen, nicht aber vor
Attacken auf Datenebene durch E-MailAttachments, Downloads oder Javaund Active-X-Anwendungen. Hacker
können mit Angriffen auf der Grundlage einer E-Mail also recht einfach die
106
Neben der Sperrung bestimmter Ports sollten Desktop-Firewalls auch das Setzen von
Cookies und Registry-Zugriffe überwachen
die Firewall und bleiben auch von der
Antivirus-Software unerkannt.
Die meisten der heute verfügbaren
Methoden zum Schutz von Unternehmensnetzen gegen Attacken durch Hostile-Code sind unzureichend: Entweder
sie filtern Schadprogramme nicht vollständig und frühzeitig genug heraus,
oder sie führen zu unakzeptablen Verzögerungen und Funktionsverlusten des
Unternehmensnetzwerks. So ist es beispielsweise wenig praktikabel, mit einer Firewall Mobile-Code vollständig
zu blockieren. Denn auf diese Weise
gingen gleichzeitig alle Vorteile aktiver
Inhalte verloren. Die Überwachung von
Verhaltensprofilen setzt hingegen zu
spät ein. Wird auf diese Weise ein
schädlicher mobiler Code erkannt, so
hat dieser eventuell bereits destruktive
Daten im Unternehmensnetz verteilt.
einem Vergleich mit einer Datenbank,
die bekannte aktive Inhalte und Vertrauenszertifikate enthält, werden verdächtige Applets herausgefiltert. Dabei
gehen jedoch auch nützliche aktive Inhalte verloren. Zudem verhindern Vertrauenszertifikate keine Schäden, sondern machen lediglich deren Urheber
identifizierbar. Die Methode stellt also
keinen dedizierten Schutzmechanismus
dar, sondern bietet sich lediglich als ein
Element innerhalb eines umfassenden
Schutzprogramms an.
Auch die Überprüfung beziehungsweise das “Parsing” des Quellcodes aktiver Inhalte eignet sich nur in Ausnahmefällen. Parsing-Software tastet den
gesamten eingehenden Datenstrom
schrittweise nach aktivem Inhalt ab und
prüft vor der Ausführung durch Vergleich mit einer Musterdatenbank, ob
www.lanline.de
FOKUS FIREWALLS
der Sourcecode gefährliche Befehle
enthält. Das ist eine zeitaufwendige
Aufgabe, die eine entsprechend hohe
Prozessorleistung erfordert. Die Methode ist zudem nur dann sinnvoll, wenn
ein dedizierter Server oder ein Gateway
die eingehenden Daten kanalisiert. Und
wie bei einem Antivirenprogramm müssen die Muster ständig aktualisiert werden. Generell ist zu beachten, dass diese Methode nur bereits als gefährlich
bekannte Befehle erkennt. Ähnliches
gilt für Überwachungsmechanismen,
die den eingehenden Datenstrom mit
Mustern von schädlichen Applets vergleicht.
Auch Schutzmethoden, die auf Änderungen an bestimmten Teilen von WebBrowsern beruhen, benötigen ein ständiges Update. Indem beispielsweise die
für die Ausführung von aktivem Inhalt
verantwortliche Java Virtual Machine
verändert wird, lässt sich der Zugriff
des Web-Browsers auf Dateien und
Systemressourcen einschränken. Diese
Technologie bietet eine teilweise Kontrolle aktiven Inhalts, ist jedoch für jeden Web-Browser und jedes neue Release separat einzurichten. Da in der Regel mehrere Anwendungen eine Virtual
Java Machine nutzen, wird ein solcher
Schutzmechanismus häufig unbemerkt
aufgehoben. Dazu genügt, dass eine
www.lanline.de
dieser Anwendungen eine neue Version
des Web-Browsers aufspielt.
ÜBERFORDERTE SERVER Vorüberge-
hend galten Server-basierende Überwachungsmethoden als tragfähig, die für
alle Programme, die in ein Netz einfließen, einen überwachten Testlauf
durchführen. Für den Schutz vor destruktiven Applets sorgen bei diesen
Mechanismen zentrale Server. Ein Forrester-Bericht vom Juni 1998 würdigt
die Pionierarbeit, die das Software-Unternehmen Digitivity in diesem Feld geleistet hat, betont jedoch gleichzeitig
den letztendlich ausbleibenden Erfolg:
“Digitivity [...] erkannte jedoch durch
schmerzhafte Erfahrung, dass eine zentralisierte Überwachung zu langsam ist.
Wenn die Tausenden von Applets ausgeführt würden, die in das Netz von
Ford eintreten, dann würde dies einen
Cray-Superrechner auf Schneckentempo abbremsen.” Server- und GatewayFirewalls bieten zudem nur einen ausreichenden Schutz, wenn sie in der Lage sind, alle eingehenden Datenpakete
zu entschlüsseln. Deshalb bedeutet die
Etablierung von Virtual Private Networks (VPN), Private Key Infrastructure (PKI) und IP Security (IPSec) eine
zusätzliche Herausforderung für Server-basierte Überwachungsmethoden.
Als Ausweg haben Software-Hersteller
in Betracht gezogen, alle an der Firewall eingehenden Daten zu entschlüsseln, zu scannen, erneut zu verschlüsseln und weiter zu versenden. Ein solcher Überwachungsmechanismus ist jedoch wenig effizient und hilft nicht bei
dem Verschlüsselungs-Level, den Anwender kontrollieren: Sie können eine
solche Firewall vorsätzlich umgehen,
indem sie beispielsweise eigene Modems einsetzen. Moderne Lösungen setzen deshalb darauf, Firewall- und Sicherheitsfunktionen vom zentralen Server eines Unternehmensnetzwerks auf
die einzelnen Arbeitsplatzrechner zu
übertragen.
SANDKASTEN
AM
ARBEITSPLATZ
Desktop-Firewalls wie Secure4U von
Sandbox Security sind eine Alternative
zu Server-basierten Überwachungsmechanismen, um Unternehmensnetze aktiv zu schützen. Sie werden auf jedem
einzelnen Client im Firmennetzwerk installiert. So haben IT-Verantwortliche
die Möglichkeit, Schutzmechanismen
detailliert und individuell anzupassen.
Desktop-Firewalls arbeiten in der Regel
nach der so genannten Sandbox-Methode. Diese Technologie baut eine Art
Mauer um Anwendungen wie beispielsweise den Netscape Navigator oder
107
FOKUS FIREWALLS
Microsoft Internet Explorer, über die
ein Rechner mit dem Internet kommuniziert. Applets, die über das Internet auf
den Desktop-PC gelangen, laufen auf
diese Weise in einer Art Vakuum. Innerhalb dieser geschlossenen Umgebung kann jeder Code oder aktive Inhalt
ablaufen, sofern er nicht versucht, auf
Ressourcen außerhalb der “Mauer” zuzugreifen. Sämtliche Zugriffe der be-
ANFORDERUNGEN Unternehmen finden
auf dem Markt bereits mehrere Varianten
von Desktop-Firewalls mit unterschiedlichen Leistungsmerkmalen. Im Vorfeld einer Investition in solche Überwachungssysteme sollten sich Unternehmen über ihre
individuellen Ansprüche klar werden. Es
lassen sich jedoch gewisse Merkmale nennen, die jede sichere und funktionale Desktop-Firewall erfüllen sollte:
APPLICATION, e. g. INTERNET-BROWSER
SECURE-4U USER MODE COMPONENTS
WINDOWS NT 32 API
S4U LOADER SERVICE
S4U REGISTRY & SYSTEM
CONTROL DRIVERS
WINDOWS NT SOCKET
WINDOWS NT KERNEL
S4U FILE SYSTEM
FILTER DRIVER
S4U NETWORK
DRIVER
Die Architektur einer Sandbox verhindert den direkten Zugriff von Anwendungen auf bestimmte
Funktionen des Betriebssystems
(Quelle: Sandbox Security)
schränkten Anwendung auf Systemressourcen stehen unter ständiger Überwachung. Die Sandbox-Technologie
blockt alle schädlichen Befehle, bevor
sie im EDV-System eines Unternehmens Schaden anrichten können.
Gleichzeitig sind andere Anwendungen
keinerlei Restriktionen unterworfen.
Auf diese Weise schützt die DesktopFirewall effektiv gegen Hack-Attacken
aus dem Internet wie der Simulation
von Benutzereingaben auf entfernten
Rechnern (“Keystroke Simulation”)
oder dem Angriff einer Applikation auf
laufende Anwendungen beziehungsweise Prozesse (“Spawning of Applications”). Darüber hinaus bietet die Lösung auch Schutz vor Gefahren aus Reihen der eigenen Mitarbeiter. Auch dieser Aufgabe kommt mittlerweile eine
steigende Bedeutung zu, seitdem immer
mehr Unternehmen ihre Datenbanken
und Anwendungen portieren und Internet-fähig machen.
108
1.Die Desktop-Firewall sollte sich auf jedem Client individuell installieren lassen. Nur so kann der bestmögliche
Schutz realisiert werden.
2. Desktop-Firewalls sollten über ein zentrales Konfigurations-Tool verfügen.
Anstatt die Software auf jedem Rechner einzeln zu konfigurieren, sollten
Administratoren die Option besitzen,
diese Aufgabe über eine standardisierte Schnittstelle oder Applikation
durchzuführen. Zudem sollte die Integration in bestehende Managementoberflächen wie der Microsoft Managementkonsole möglich sein, da in der
Regel mehrere Sicherheitsprogramme
in einem Firmennetz vorhanden sind.
Moderne Desktop-Firewalls bieten
diese Möglichkeit der zentralen Administration.
3. Desktop-Firewalls sollten zum Beispiel mit der Sandbox-Technologie in
der Lage sein, mobile Codes wie Java
und ActiveX zu überwachen.
4. Desktop-Firewalls sollten über umfassende Mechanismen verfügen, um Computerressourcen, also zum Beispiel
Dienste und Prozesse sowie Laufwerke,
Verzeichnisse und Dateien zu überwachen. Inhalte, Attribute oder Eigenschaften sollten dabei getrennt geschützt und
konfigurierbar sein. Integriert und bis
auf die Value-Ebene konfigurierbar sollte auch der Schutz der Registrierungsdatei sein.
5. Desktop-Firewalls sollten die Möglichkeit bieten, IP-Adressen und -Ports
zu sperren. So verwenden beispielsweise nicht nur Rechner die Ports 80
(HTTP) oder 21 (FTP), um miteinander
zu kommunizieren. Auch Trojaner wie
Back Orifice oder Netbus, die zur Fernsteuerung gehackter Rechner dienen,
nutzen diese Ports. Mit einer modernen
Desktop-Firewall sind Administratoren
in der Lage, diese Ports effizient zu sperren.
6. Desktop-Firewalls sollten über einen
Manager für Cache und Cookies verfügen, der solche Dateien regelmäßig
überwacht beziehungsweise löscht.
Websites speichern Cookies, um die Aktivitäten des Benutzers zurückzuverfolgen. Da es sich dabei nicht um ausführbare Programme, sondern um Textdateien handelt, können sie keinen eigenen
Angriff auf das System starten. Jede andere Website ist jedoch in der Lage, Informationen abzurufen, die in Cookies
als Skript oder ActiveX-Element gespeichert sind. Diese Daten können Unbefugte dazu benutzen, Unternehmensaktivitäten zu überwachen oder Passwörter
zu sammeln. Bei Cache-Inhalten handelt
es sich beispielsweise um HTML-Dateien oder Bilder, die ein Rechner automatisch aus dem Internet lädt und abspeichert, wenn er auf eine Website zugreift.
Auch diese Dateien bedeuten nicht nur
eine Verschwendung von Festplattenkapazitäten, sondern können dazu genutzt
werden, die Internet-Sitzungen eines Benutzers zu überwachen.
(Maximilian Schröder/gh)
Maximilian Schröder ist Systems Engineer bei Sandbox Security in München.
www.lanline.de
FOKUS FIREWALLS
Marktübersicht: Firewalls
Produktname
Office Connect Firewall DMZ
Office Connect Internet Fire-
abgeschlossene Zertifizierungen
Funktionen
Komplettlösung aus Standardkomponenten (Hard- u. Software)
reine Software-Lösung
proprietäre Lösung
Windows 9x
Windows NT
Windows 2000
Unix
Linux
Netware
eigenes Betriebssystem
andere
Paket-Filter
TCP-orientierte Dienste
UDP-orientierte Dienste
RPC-orientierte Dienste
Proxy-Server
Stateful Inspection
Protokoll-Gateway
Circuit-Level-Gateway
Adress-Translation
(IP-Masquerading)
Hersteller
3Com
Betriebssystem
Aufbau von VPNs möglich
(Firewall zu Firewall)
externe Authentisierung möglich
integrierte Benutzerverwaltung
LDAP-Client
SNMP-Client
Content-Filtering
Load-Balancing auf Firewalls
Virenscanner
E-Mail-Scanner
Erkennung v. Malicious Code
Failover-Mechanismen
ICSA
ITSec
E3
NSS
BSI
andere
Plattform
●
● ● ●
● ●
●
●
●
● ● ●
●
●
● ● ●
● ●
●
●
●
● ● ●
●
●
●
●
●
●
●
● ● ●
●
●
● ●
wall 25
Linux Firewall
Allied Telesyn
AT-AR 300
All Secure
Magistrate VPN
Aravox Technologies
Aravox Highspeed Firewall
Axent Technologies
Raptor Firewall 6.5
Bintec
Securebox B
Biodata
●
●
●
● ● ● ● ●
●
●
●
●
●
Securebox E
●
●
Securebox M
●
●
Securebox S
●
●
Big Application
●
●
●
●
●
●
●
● ● ●
●
●
●
●
● ● ●
●
● ● ●
●
● ● ●
●
● ●
●
●
●
● ● ●
●
●
●
●
●
● ● ●
●
●
●
●
●
●
● ●
●
●
● ● ● ● ●
● ● ●
●
● ●
● ●
● ●
● ●
●
●
● ● ●
●
● ●
●
● ● ●
●
●
●
●
● ●
●
●
Big Fire+ Enterprise
●
●
● ● ●
● ● ●
●
●
● ●
●
●
Big Fire+ Office
●
●
● ● ●
● ● ●
●
● ●
●
●
Big Fire+ VPN
●
●
●
●
Bull
Access Master Netwall
●
●
Cedros
Webroute/Secure
●
●
● ● ●
Check Point
Firewall-1
●
● ●
●
●
● ● ●
Multi Netz-Secure
Cisco Pix 515
●
●
●
●
Mime-Sweeper
CSM
CSM Firewall
Cyberguard
Cyberguard Firewall
●
Cyberguard Knightstar
●
●
● ● ● ● ● ● ●
●
●
●
●
●
● ● ● ● ● ● ● ● ● ● ● ● ●
●
●
● ● ●
● ● ● ● ● ●
●
●
●
● ●
●
●
●
●
●
●
●
● ●
●
● ● ● ● ● ● ● ●
●
●
● ●
● ●
●
●
●
● ● ● ● ● ●
●
●
●
● ● ● ● ●
Equiinet
Net Pilot
●
Extended Systems
Extendnet 4000
●
F-Secure
Distributed Firewall
FBit
Linux Wall
Funk Software
Steel-Belted Radius
Genua
Genugate
●
GTA
Gnat Box 19-Zoll Rack Mount
●
● ● ● ●
●
●
●
●
●
● ● ● ● ● ●
●
● ● ● ●
●
●
●
● ● ●
●
●
●
●
●
●
●
●
●
●
● ●
●
●
● ●
● ● ● ● ● ● ●
●
●
●
●
● ●
●
● ● ● ● ● ● ●
●
●
●
●
● ●
●
● ● ● ● ● ● ●
●
●
●
●
●
● ● ● ● ● ● ●
●
●
● ●
● ●
●
● ● ●
●
●
●
● ●
●
● ● ●
●
●
●
●
●
●
●
●
● ●
● ● ● ● ● ● ●
●
●
●
●
●
●
● ● ● ●
● ● ● ● ●
●
● ● ●
● ● ●
●
●
●
● ● ●
●
●
●
●
●
● ●
●
● ● ●
●
●
●
● ● ● ● ●
● ● ●
●
● ●
● ●
● ●
● ● ● ●
●
● ● ●
●
●
●
● ● ●
●
Ikarus Content Wall
●
●
D-Key Web
●
●
●
Terminet
IBM Firewall
● ●
●
Datan
IBM
●
●
Danu Industries
●
●
● ● ● ● ● ● ● ●
●
Präsidium E-Firewall
●
●
●
Hewlett-Packard
● ●
● ●
NST+
Netfinity-Linux-Firewall
●
●
●
GB-100
●
●
Cyrano
Gnat Box
● ● ●
● ● ●
●
●
●
● ●
● ●
●
IOS Firewall Feature Set
●
● ● ● ● ● ●
●
Content Technologies
● ● ●
●
●
●
●
www.lanline.de
●
●
Big Fire+
Borderware Firewall Server
Ikarus Software
●
● ● ● ●
● ● ●
●
Borderware
Cisco
● ● ●
●
● ●
●
●
●
●
● ● ●
●
●
● ●
●
▼
ABS
109
FOKUS FIREWALLS
Produktname
Net Barrier
IPlanet
Iplanet EFS 3.0
Isoft
Mobile Manager
Lucent Technologies
Access Point
Managed Firewall
●
● ● ●
●
●
●
●
●
●
●
MS Wall
Netasq
Netasq F 100
●
Netguard
Netguard Guardian Pro
●
Guardian Pro Ent
●
Netopia
S9500 Security Appliance
●
Netscreen
Netscreen Firewall
●
●
● ● ● ●
●
●
●
● ● ●
● ●
●
Matra Net
abgeschlossene Zertifizierungen
Funktionen
Komplettlösung aus Standardkomponenten (Hard- u. Software)
reine Software-Lösung
proprietäre Lösung
Windows 9x
Windows NT
Windows 2000
Unix
Linux
Netware
eigenes Betriebssystem
andere
Paket-Filter
TCP-orientierte Dienste
UDP-orientierte Dienste
RPC-orientierte Dienste
Proxy-Server
Stateful Inspection
Protokoll-Gateway
Circuit-Level-Gateway
Adress-Translation
(IP-Masquerading)
Hersteller
Intego
Betriebssystem
Aufbau von VPNs möglich
(Firewall zu Firewall)
externe Authentisierung möglich
integrierte Benutzerverwaltung
LDAP-Client
SNMP-Client
Content-Filtering
Load-Balancing auf Firewalls
Virenscanner
E-Mail-Scanner
Erkennung v. Malicious Code
Failover-Mechanismen
ICSA
ITSec
E3
NSS
BSI
andere
Plattform
●
●
●
● ● ●
●
● ● ●
●
●
●
●
● ●
●
●
●
● ●
●
●
● ● ●
● ●
●
●
● ● ● ●
●
●
●
●
●
● ● ●
● ● ● ●
●
●
● ●
● ●
●
● ● ●
●
●
● ●
●
●
●
●
●
●
● ● ●
●
● ● ● ● ●
●
●
●
●
●
●
Netscreen-10
●
●
● ● ●
●
●
●
●
●
Netscreen-100
●
●
● ● ●
●
●
●
●
● ● ●
●
Network Factory
1Box Watch
Nokia
Nokia Network Appliance
●
IP 330
●
Nokia IP 300, IP 400, IP 600
●
IP 600-Serie
●
Novell
Bordermanager
●
Pyramid
Ben Hur
●
Radguard
Cipro-5000
●
● ●
● ●
RCN
IOA
●
● ● ● ● ●
● ● ● ● ●
Regio-Net
Linux Firewall
RSA Security
Keon
Sandbox Security
Secure 4 U
●
●
●
●
●
● ● ● ● ● ●
●
Secure Zone 3.0
●
Semco Systems
Semco E-Secure Subsysteme
●
Shiva
LAN Rover VPN-Express
●
SIT
ISDN-Wall
●
Sonic Systems
Sonic Wall
Sun
Sun Screen
Suse
Suse Linux/Firewall
● ● ●
Trend Micro
Trend Interscan Viruswall
●
Trustworks Systems
3rd Generation VPN Suite for
●
● ● ● ●
● ●
● ●
●
●
● ● ● ● ●
●
●
● ● ● ● ● ●
● ● ●
● ● ●
●
●
● ● ● ● ● ●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
● ●
●
● ●
● ●
● ●
● ● ●
●
●
●
● ●
●
●
●
●
●
●
●
●
●
●
●
●
● ● ● ● ● ●
●
● ● ● ●
● ●
● ● ● ● ● ●
● ● ●
●
●
●
●
●
●
●
● ● ●
● ●
●
● ● ●
● ● ● ●
●
●
● ●
● ●
● ●
●
● ● ●
●
●
●
● ●
●
● ●
●
● ● ●
●
●
●
● ● ●
●
●
● ●
●
●
●
● ● ● ● ●
●
● ●
●
●
Secure Computing Corp. Sidewinder
●
●
●
●
●
●
●
●
● ● ● ● ●
●
●
●
●
● ●
● ● ●
●
●
●
●
●
●
●
●
● ●
●
●
●
● ●
● ● ●
● ● ●
●
● ● ●
●
●
Gauntlet
●
● ● ● ● ● ● ● ● ● ●
●
Network Associates
●
●
● ● ● ●
●
● ●
●
Netscreen-5
●
●
●
●
●
●
●
● ● ●
●
●
●
●
●
● ● ●
●
●
●
●
●
●
●
●
● ● ● ●
● ● ●
●
●
● ●
● ● ●
● ●
●
●
● ●
● ● ● ● ● ● ●
●
●
●
●
●
●
● ● ● ●
● ● ● ●
●
● ●
●
●
●
● ● ●
●
●
Global Private Networks
Utimaco Software
Kryptowall
●
Valuesoft
Gateland
●
●
● ● ●
● ● ● ● ●
● ● ● ●
●
● ● ●
●
●
●
●
●
●
●
●
● ● ● ● ● ●
●
●
●
● ●
●
● ● ● ●
Firebox II Fast VPN
●
●
●
● ● ● ● ● ●
●
●
●
● ●
●
● ● ● ●
Firebox II Plus
●
●
● ● ● ● ● ● ● ●
●
●
● ●
● ●
Watchguard Live Security
●
●
● ● ● ● ● ● ● ●
●
●
●
●
● ● ●
●
●
Firebox II
Virtual Gateland
Watchguard
●
●
● ●
●
● ●
System
110
Watchguard Soho
●
●
● ● ● ●
●
●
●
●
Watchguard Telecommuter
●
●
● ● ● ●
●
●
●
●
www.lanline.de
FOKUS FIREWALLS
Anbieter: Firewalls
Telefon
01805/671530
3Com/Bedea Berkenhoff &
Drebes
ABS
Allied Telesyn
All Secure
Aravox Technologies
06441/801138
Axent Technologies
Axent Technologies/Brainforce
Axent Technologies/
Computer Partner
Axent Technologies/Connect
Axent Technologies/Entrada
Axent Technologies/Interchip
Axent Technologies/Netfox
Bintec/Transcat
089/99549-0
089/317004-15
089/54054-131
Biodata
06454/91200
Biodata/ADN
02327/998-260
www.lanline.de
07053/929003
030/435900143
06201/90450
08031/38959-49
06131/80137-0
05251/14560
089/92098-138
033203/290-841
0721/97043-88
Produkt
Office Connect Firewall DMZ
Office Connect Internet Firewall 25
Office Connect Internet Firewall
Linux Firewall
AT-AR 300
Magistrate VPN
Aravox Highspeed
Firewall
Raptor Firewall 6.5
Raptor Firewall 6.5
Raptor Firewall 6.5
Preis in DM
2800
Hersteller/Anbieter
Biodata/ADN
Telefon
Biodata/Entrada
05251/14560
Borderware
06201/901050
Borderware/Entrada
05251/14560
Borderware/IBS
0631/36696-00
4000
3550
k. A.
Borderware/IOK
05246/9290-190
Borderware/Mandata
02845/294-101
Raptor Firewall 6.5
Raptor Firewall 6.5
Raptor Firewall 6.5
Raptor Firewall 6.5
Securebox M
Securebox S
Securebox B
Securebox E
Big Fire+/Big Application
Big Application
ab 7500
4000
k. A.
22126
ab 25000
ab 18500
ab 2500
ab 36500
ab 8900
Borderware/Recomp
02664/9953-43
Borderware/Topologix
040/352253
Bull
Cedros
Check Point
Check Point/Alstom
Check Point/Antaris
Check Point/Blue Communications
02203/305-1742
02241/883450
0811/600520
07531/8924-135
0961/89-653
040/401946-96
1299
k. A.
k. A.
1401
ab 9800
80000
14454
Produkt
Big Fire+ VPN
Big Fire+ Office
Big Application
Borderware Firewall
Server
Borderware Firewall
Server
Borderware Firewall
Server
Borderware Firewall
Server
Borderware Firewall
Server
Borderware Firewall
Server
Borderware Firewall
Server
Access Master Netwall
Webroute/Secure
Firewall-1
Firewall-1
Firewall-1
Firewall-1
Preis in DM
8782
9760
15627
14500
16000
4694
4800
5106-23403
2117-23403
k. A.
ab 5106
ab 5624
ab 4000
k. A.
ab 3490 $
7980-19390
k. A.
k. A.
▼
Hersteller/Anbieter
3Com
111
FOKUS FIREWALLS
Hersteller/Anbieter
Check Point/The Bristol
Telefon
06103/2055-300
Produkt
Firewall-1
Preis in DM
k. A.
Hersteller/Anbieter
Netopia
Telefon
Produkt
0033/1/45299101 S9500 Security
Preis in DM
k. A.
Check Point/Class
08151/991-276
Firewall-1
ab 5000
Netscreen/Pandacom
06103/932-156
Netscreen Firewall
k. A.
Check Point/CVSI
0611/2759-514
Firewall-1
k. A.
Netscreen/Secureware
0228/9813810
Netscreen Firewall
k. A.
Check Point/Danet
06151/868-341
Firewall-1
ab 9000
Netscreen/Seicom
089/962456-52
Netscreen-5
ab 2800
Check Point/Haitec
08642/887-280
Firewall-1
ab 6500
Netscreen-10
k. A.
Check Point/Magellan
02203/922630
Firewall-1
k. A.
Netscreen-100
k. A.
Check Point/Netuse
0431/386435-00
Firewall-1
ab 22000
Network Associates
089/3707-0
Gauntlet
3750
Check Point/R2R
08031/61636-0
Firewall-1
ab 7000
Network Factory
089/354900-0
1Box Watch
10900 -
Check Point/Secureware
0228/9813810
Firewall-1
k. A.
Check Point/SHE
0621/5200-221
Firewall-1
k. A.
Nokia
06172/925826
Nokia Network
Check Point/Uni-X
0541/71008417
Firewall-1
ab 10000
Check Point/Verdi
0170/5808016
Firewall-1
k. A
Check Point/Drei in Eins
02234/98200-0
Multi Netz-Secure
k. A.
Cisco/Class
08151/991-276
Cisco Pix 515
ab 5834
Cisco/Telematis
0721/94658-0
IOS Firewall Feature k. A.
Appliance
Group
29500
IP 330
0961/89-653
Mime-Sweeper
089/92699-222
IP 210, IP 330, IP 440, k. A.
Nokia/Class
08151/991-276
Nokia/CVSI
0611/2769-514
IP 600-Serie
k. A.
Novell/Netcom
09532/9231-0
Bordermanager
k. A.
Pyramid/Secureware
0228/9813810
Ben Hur
k. A.
IP 650
Nokia IP 300, IP 400, ab 11880
IP 600
k. A.
Antaris
CSM
0043/1/5134415
Cyberguard
0044/1344/382550 Cyberguard Firewall 6250-19775
Radguard/Datakom
089/99652510
Cipro-5000
15000
06103/932-156
Cyberguard Firewall k. A.
RCN
030/8340107
IOA
ab 1200
für Unixware
Regio Net
0661/25000-0
Linux Firewall
1900
RSA Security/CVSI
0611/2769-514
Keon
k. A.
Secure 4 U
135
05251/14560
Sidewinder
16000
02664/9953-43
Sidewinder
ab 13911
0571/8709-0
Cyberguard/Pandacom
CSM Firewall
k. A.
Nokia/Cable & Wireless
Set
Content Technologies/
ab 7000
Appliance
3900
für NT
Sandbox Security/Brainforce 089/317004-15
Cyberguard/Secureware
0228/9813810
Secure Computing Corp./
Cyberguard/Pandacom
06103/932-156
Cyberguard Knightstar k. A.
Entrada
Cyrano
06122/770030
NST+
5500
Secure Computing Corp./
Terminet
k. A.
Danu Industries/Brainforce 089/317004-15
Datan
03328/310770
D-Key Web
k. A.
Equiinet/Qunix
0711/7786-581
Net Pilot
4995
Extended Systems
07053/92800-5
Extendnet 4000
k. A.
F-Secure
089/24218245
Distributed Firewall
k. A.
FBit
0700/3473-9255
Linux Wall
k. A.
Funk Software
0211/9770917
Steel-Belted Radius
7990
Genua
089/991950-0
Genugate/Genugate ab 16000
GTA/XNC
02203/695091
Pro
GNAT Box 19-Zoll
4990
Rack Mount
GNAT Box
2000
GB-100
4800
Hewlett-Packard/Connect
06131/80137-0
Präsidium E-Firewall ab 8000
IBM/Haitec
08642/887-0
IBM Firewall
ab 6500
IBM/J&J Dreger
06181/4107-0
Firewall
ab 3475
IBM/Vebis
030/293475-0
Netfinity-Linux-Fire-
ab 5999
wall
Ikarus Software
0043/1/58995-236 Ikarus Content Wall k. A.
Intego/Brainworks
089/326764-24
Net Barrier
196
IPlanet/Class
08151/991-276
IPlanet EFS 3.0
ab 32270
Isoft
030/723922-30
Mobile Manager
ab 25000
Lucent Technologies/MMS 040/211105-40
Access Point
ab 15000
Lucent Technologies
0228/243-1210
Managed Firewall
15000
Lucent Technologies/BSP.
0941/92015-118
Managed Firewall
29980
Network
Matra Net/Intec
07471/9852-20
Netasq
0033/320/619-636 Netasq F 100
Netguard/Compu-Shack
02631/983457
Netguard/PSP Net
06430/2224
MS Wall
ab 7150
4500-12000
Recomp
Secure Zone 3.0
ab 12490
Secure Computing/Mandata 02845/294-101
Secure Zone 3.0
k. A.
Secure Computing/Recomp
02664/9953-43
Secure Zone 3.0
ab 7056
Semco Systems
06122/770050
Semco E-Secure Sub- 30000
Shiva/Melior Sign
0211/687842-20
Secure Computing/ITB
systeme
06251/4876
SIT/Rohde & Schwarz
089/4129-1765
ISDN-Wall
k. A.
Sonic Systems/Antaris
0961/89-653
Sonic Wall
k. A.
Sun/Class
08151/991-276
Sun Screen
ab 53785
Suse
0911/47553-56
Suse Linux/Firewall
k. A.
Trend Micro/R2R
08031/61636-0
Trend Interscan
ab 2450
Viruswall
Trustworks Systems
06155/829880
112
06430/22-33
3rd Generation VPN k. A.
Suite for Global Private Networks
Utimaco Software
06171/917331
Kryptowall
k. A.
Valuesoft
089/99120-0
Virtual Gateland
ab 400
Gateland
ab 1200
Watchguard
0621/6336-846
Firebox II
10500
Watchguard/Extended
07032/9454-100
Firebox II
10500
02845/294-0
Firebox II
10500
Firebox II
9800
Systems
Watchguard/Mandata
Watchguard/PDV-Systeme 03528/4803-0
Watchguard/R2R
08031/61636-12
Firebox II
10500
Watchguard/Extended
07032/9454-100
Firebox II Plus
23100
Systems
Watchguard
0621/6336-846
Firebox II Fast VPN
24900
Netguard Guardian ab 5200
Watchguard/Extended
07032/9454-100
Firebox II Fast VPN
30000
Pro
Systems
Netguard Guardian ab 5084
Watchguard
0621/6336-846
Watchguard Tele-
1740
commuter
Netguard Guardian k. A.
Pro
Netguard/PSP Net
ab 7788
Express
Pro
Netguard/Traicen
LAN Rover VPN-
Guardian Pro ENT
Watchguard/Wick Hill
6000
040/237301-0
Watchguard Soho
1195
Watchguard Live
k. A.
Security System
www.lanline.de
Informationen schnell per
Inserenten
Inserent
Seite
Akademie f. Netzwerksicherheit57
ALLDIS
115
APC
27
AVM
11
Best Power
21
büro + system Junge
8
Citel
107
COMCITY
33
Compu-Shack
43
Connect
5
Consultix
7
Controlware
2
Conware
17
CyberGuard
69
dc Europe
55
DICA
77
DV-Job.de
73
DV-Markt
73
Kennz.
030
048
016
008
013
005
046
019
023
003
004
001
011
036
029
039
038
037
Inserent
Seite
Kennz.
Faktum
FAX & VOICE
Fluke
GeNUA
IBM
I-Bus
ID-PRO
Intel
Lanconnect
Lightning
LMC LAN Management
Mainstor
MGE
Microdowell
Microsoft
Modular Computer
NETASQ
NetGuard
83
59
67
89
19
63
9
23
9
3
44
49
15
116
47
97
37
91
040
031
035
045
012
033
006
014
007
002
050
026
010
049
025
044
021
042
Inserent
Pyramid
RADGUARD
RADWARE
Reichle & De-Massari
Roton
Sophos
SyncSort
TC Trust Center
The Bristol Group
TLK
topMedia
Trend Micro
Veritas
Seite
Kennz.
51
35
45
13
87
53
29
25
95
39
61
65
31
027
020
024
009
041
028
017
015
043
022
032
034
018
Beilagen und Beihefter
Seicom
Recherche im WEB
Der Web-Kennzifferndienst LANline
Info macht die gezielte Suche im WWW
so komfortabel und schnell wie nie zuvor. Dieses Tool funktioniert im Prinzip
wie das Leser-Info-Fax, das den LANline-Lesern ja seit Jahren vertraut ist, allerdings mit erheblich erweiterten Möglichkeiten und allen Vorteilen des World Wide Web: Sie suchen in unserer OnlineDatenbank die für Sie interessanten Produkte. Dann entscheiden Sie, in welcher
Form Sie kontaktiert werden möchten.
Wir leiten Ihre Anfrage an den Ansprechpartner weiter, der Sie dann auf dem von
Ihnen gewünschten Weg kontaktiert. Und
so funktioniert LANline Info: Unter
http://www.lanline.de/info
wählen Sie zunächst aus, in welcher Ausgabe der LANline Sie recherchieren
möchten. Dann wählen Sie eine oder
mehrere Produktkategorien aus. Alternativ können sie, falls Sie schon genau wissen, wofür Sie sich interessieren, direkt
den Namen des Anbieters eingeben. Zusätzlich steht Ihnen noch die Option “Alle Anzeigen und redaktionellen Beiträge”
zur Verfügung. Drücken Sie die Schaltfläche “Weiter”, um Ihre Abfrage zu starten.
Das System stellt nun eine Liste aller
Inserenten und redaktionellen Beiträge
zusammen, die Ihren Suchkriterien entsprechen. Wenn die Firma eine eigene
Website besitzt, dann ist der Firmenname
in der linken Spalte mit einem Hyperlink
unterlegt. Damit kommen Sie direkt auf
die Web-Seiten des Anbieters. Wichtig
für Ihre Info-Anforderung sind die letzten vier Spalten. Hier können Sie bei jeder Firma ankreuzen, ob Sie weitere Informationen per E-Mail, Post, Fax oder
Telefon erhalten möchten. Selbstverständlich können Sie hier mehr als eine
Firma ankreuzen. Auf diese Weise können Sie ohne zusätzlichen Aufwand
gleich mehrere Anfragen generieren.
Bei der erstmaligen Benutzung von
LANline Info drücken Sie jetzt einfach
den “Weiter”-Button und gelangen damit
zur Eingabemaske für Ihre Kontaktinformationen. Noch schneller geht es, wenn
Sie das System schon einmal benutzt haben. Dann reicht die Eingabe Ihrer EMail-Adresse aus, und ihre Daten werden automatisch ergänzt.
Wenn Sie jetzt “Weiter” drücken, gelangen Sie auf eine Bestätigungsseite,
und das System generiert für jeden der
von Ihnen angekreuzten Anbieter eine
Anfrage, die per E-Mail an den zuständigen Ansprechpartner verschickt wird.
Dieser setzt sich mit Ihnen auf dem von
Ihnen gewünschten Weg in Verbindung.
Auf der Bestätigungsseite finden Sie
außerdem eine kleine Online-Umfrage,
deren Ergebnisse uns dabei helfen, die
LANline auch weiterhin mit den richtigen und wichtigen Informationen für Sie
zu füllen.
(Frank-Martin Binder/rhh)
Info-Fax oder Internet
▲
● Tragen Sie die entsprechende Kennziffer unter www.lanline.de/info an der vorgesehenen Stelle ein und Sie
gelangen direkt und ohne Umwege zu Ihren gewünschten Zusatzinformationen.
●Info-Fax
# 023
▲
●Info-Fax
▲
Der moderne Weg zu detaillierten Informationsmaterial zu der in dieser Ausgabe veröffentlichten Anzeigen.
www.lanline.de/info
▲
● Selbstverständlich haben Sie nach wie vor die Möglichkeit, weitere Anzeigen-Produkt-Infos mit dem untenstehenden Faxformular abzurufen. Einfach ausfüllen und an die Fax-Nummer 08621/97 99 60 faxen. Zum schnellen Überblick haben wir
alle inserierenden Firmen auf der gegenüberliegenden Seite aufgelistet.
# 023
www.lanline.de/info
An AWi-Verlag
LANline-Leserservice
Edith Winklmaier
Herzog-Otto-Str. 42
83308 Trostberg
s
Da z
e
t
in
Nl e Ne
A
L her 00
sic II/20
I
Meine Anschrift lautet:
Ich möchte Informationsmaterial zu Anzeigen mit folgenden
Kennziffern (siehe nebenstehende Übersicht):
Firma
Abteilung
1.
2.
3.
4.
5.
6.
Vorname/Name
Straße/Nummer
PLZ/Ort
7.
8.
9.
10.
11.
12.
Telefon
Fax
Meine Funktion: (bitte ankreuzen) ❑ Spezialist ❑ Gruppen-/Abteilungsleiter ❑ Einkauf ❑ Unternehmensleitung ❑
Mein Unternehmen beschäftigt:
❑ 1 bis 19 Mitarbeiter
❑ über 1000 Mitarbeiter
Mein Unternehmen gehört zu folgender
Branche:
❑ Elektroindustrie
❑ Maschinenbau
❑ Fahrzeughersteller und -zulieferer
❑ Chemisch pharmazeutische Industrie
❑ Transport- und Logistikbranche
❑ Geldinstitute/Bausparkassen
❑ Versicherungswesen
❑ Reise- und Touristikbranche
❑ Handel und Dienstleistungen
❑ Öffentliche Verwaltung
❑ Hochschulen und Forschungsinstitute
❑ Nahrungs- und Genußmittel
Ich interessiere mich für folgende Computer- und Kommunikationssysteme:
Betriebssysteme:
Hardware:
❑ MS-DOS
❑ VMS/OpenVMS
❑ Windows
❑ OS/2
❑ Windows NT
❑ Ultrix
❑ UNIX
❑ OSF/1
❑ System 7
❑ Windows 95
❑ IBM
❑ DEC
❑ HP
❑ Sun
❑ Siemens
❑ Apple
❑ RISC-Systeme
❑ andere:
Kommunikationssysteme/
-lösungen:
❑ DECnet
❑ Novell-NetWare
❑ Banyan Vines
❑ LAN Manager/LAN Server
❑ PC-Host-Verbindung
❑ Pathworks
❑ ISDN/WANs
❑ Windows NT
Advanced Server
❑ andere:
Damit Hersteller und Anbieter von Produkten, für die ich mich interessiere, meine Kennziffernanfragen so gezielt wie möglich beantworten können, bin ich damit einverstanden, daß
diese Daten elektronisch gespeichert und weitergegeben werden.
Ort, Datum
Unterschrift

Das sichere Netz

Transcription

Similar documents

Lösungskonzept als PDF - All

Knowledge Management Lösungen

ifabo 2001 ifabo 2001

Inhalt Hilde Gruber - Comment

E-Business in der Praxis

Handy ohne Risiko?

Forum für Zahnheilkunde - Deutscher Arbeitskreis für Zahnheilkunde

SCC-News 2012/2

Seite 1 von 28 Norbert`s Homepage

Internationales Symposium Informationsfreiheit und Datenschutz

Kopierschutz, Steganographie, Watermarking