Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

20.05.1994

Uni Leiden knackt Supervisor-Funktion von Netware Lokale Sicherheit: Das Login gilt als Unwaegbarkeit im Netz

Von Detlef Borchers

Die Diskussion ueber die Zugriffssicherheit in PC-Netzen ist ein Dauerbrenner. Hersteller von Netzsoftware, Utility-Produzenten und Anbieter von Management-Programmen tuefteln fortlaufend an Verfahren, um die Sicherheit zu erhoehen. Die Ergebnisse sind trotz einiger Schwaechen besser als ihr Ruf.

Aus der klassischen zentralistischen DV-Perspektive gesehen, laden PC-Netze zu Attacken auf die Firmendaten geradezu ein. Im Vergleich zu Terminalloesungen und RACF-Prozeduren muss natuerlich die Zugriffssicherheit der PC-Netze abfallen - und so werden darueber liebend gern Horrormaerchen aller Art erzaehlt.

So richtig es ist, dass sich mit "cc:Mail" das Login-Passwort in der leicht lesbaren Config.sys installieren laesst oder dass bei Banyan Vines und Novell Netware die User-Passworte in der Autoexec.bat stehen koennen, so sind dies doch Extrembeispiele. Ausnahmen dieser Art werden gebraucht, um Server-Dienste automatisch in das Netz einzuloggen, wie es etwa beim Backup zu naechtlicher Stunde noetig wird.

Ein verantwortliches Netz-Management kann unberechtigte Zugriffsversuche, die sich aus diesen Verhaeltnissen ergeben, schnell unterbinden und in jedem groesseren Netz vielfaeltige Restriktionsbedingungen (Tageszeit, Wochentag, vorher bestimmter Rechner etc.) aufstellen. So ist es kein Wunder, dass LANs bei der Zugriffsicherheit nicht ganz so schlecht abschneiden, wie dies von RZ-Protagonisten behauptet wird.

Labortest deckt die Login-Schwaechen auf

Wirft man die Vorurteile ueber Bord, so bleibt vor allem ein Ereignis, das die Einschaetzung der relativen Sicherheit von PC- Netzen in letzter Zeit gepraegt hat. Nicht die verschiedenen Sicherheitsstufen US-amerikanischer und europaeischer Gremien (Stichwort: C2/E2) sondern ein Labortest liessen aufhorchen: 1992 knackte ein Team an der Universiaet Leiden die Supervisor-Funktion von Netware im Handumdrehen. Die Wissenschaftler nutzten dabei eine Schwaeche des Netware-Logins aus, das zuvor selten so konsequent untersucht worden war.

Nach dem Laden der Netzwerkanbindung sucht das System im Normalfall nach dem naechsten Netware-Server und schickt ihm eine Login-Anfrage. Der Server generiert eine Sitzungs-ID und einen Login-Schluessel, der aus den User-Informationen und einer Zufallszahl gebildet wird. Dieser Login-Schluessel ist nur dann 0, wenn kein Passwort fuer den Anwender oder das Objekt definiert ist. In allen anderen Faellen wird aus dem Passwort und dem Login- Schluessel das eigentliche Login gebildet.

Stimmen die Werte auf Server- wie auf Workstation-Seite, ist der Anwender eingeloggt. Jede Anfrage, jeder Datenaustausch wird bis zum Ausloggen ueber die Sitzungs-IDs gefuehrt, wobei die Anfragen sequentiell bis 256 numeriert werden - danach faengt es wieder bei 0 an. Entspricht die Reihenfolge der Nummern von der Workstation nicht dem Zaehler auf dem Server, laesst dieser das Datenpaket unbeachtet.

Sowie nun einem Eindringling die Netzadresse und die Sitzungs-ID eines eingeloggten Systemverwalters bekannt ist (diese laesst sich mit dem Netware-Befehl "Userlist/A" abfragen), kann er unter dieser ID einen Befehl an den Server schicken, der den User-Level eines anderen Teilnehmers auf den Status "Supervisor Equivalent" erhoeht. Der Befehl wird 256mal abgeschickt, um alle Sequenznummern abzudecken, und die Prozedur wird achtmal wiederholt. Die Gefahr, dass der Server den falschen Befehl mit der "richtigen" Sequenznummer erhaelt, erwiesen sich im Laborexperiment als recht gross. Ist einmal der Supervisor-Status erreicht, ist das Netz offen.

Natuerlich muss der besondere Charakter eines Laborexperiments beruecksichtigt werden. So muss mindestens ein Anwender mit Supervisor-Rechten im System aktiv sein, der "beerbt" werden kann. In normalen Netzen ist dies nicht der Fall, da gewissenhafte Administratoren die Maximalrechte immer nur kurzfristig bei der Wartung einsetzen sollten und in der uebrigen Zeit als einfache Anwender arbeiten.

Novell reagierte auf das Problem dreifach. In einem White Paper wies man nach, dass auch konkurrierende PC-Netze an diesem Problem kranken. Fuer die seinerzeit anstehende Netware-Version 4 kreierte man den Sicherheitszusatz "Packet Signatures", und fuer die gesamte Industrie agitierte man in der ISSA (siehe Glossar) fuer die Vorreiterfunktion der Netware Global Security Architecture. So kommt es, dass es sich bei der Global Security von Netware um das ISSA-Referenzmodell handelt, waehrend die Konkurrenzgruendung TSIG auf das Internet als Verbindungsmedium (verstanden als TCP/IP auf der Protokollebene plus Zusammenschluss der unterschiedlichsten Netz und Rechner) fokussiert ist.

Bei einer sicheren Netware-Loesung geht es um eine generelle Zugriffssicherheit der Server und Arbeitsplaetze. Demgegenueber sind die Packet Signatures eine partielle Variante fuer die entdeckte Novell-Schwachstelle bei der Kommunikation zwischen Arbeitsplatz und Server.

Bei diesem rechenintensiven Unterschriftenverfahren gibt der Server zusaetzlich zur Sitzungs-ID keine Sequenznummer, sondern einen zufallsgenerierten Sitzungsschluessel an den Arbeitsplatz aus. Aus diesem Schluessel, der Node-Adresse und der Unterschrift des zuletzt gesendeten Pakets wird am Arbeitsplatz fuer jedes zu sendende Datenpaket mit dem RSA-Verschluesselungsalgorithmus die Unterschrift produziert und am Server zurueckgerechnet - ein eindeutig zuzuordnender Schluessel laeuft nicht mehr ueber das Netz. Auf leistungsfaehigen Rechnern und System-Clients wie OS/2 gehoert Packet Signature mittlerweile zum Standard, waehrend es auf DOS- Rechnern explizit deklariert werden muss.

Ein aehnliches Verfahren verwendet Microsoft bei Windows NT, nur ist hier DES fuer die Verschluesselung zustaendig. Ist der Austausch zwischen Server und PC abgesichert, so bleiben die Server- Kommunikation im WAN und die lokale Sicherheit der Arbeitsplaetze die wunden Punkte. Hier setzen Netwares Global Security sowie ein ganzes Buendel von Utility-Programmen ein.

Kritisch ist die Phase vor dem Login, in der die PCs unbeaufsichtigt sein koennen. Erst wenn auch hier ein zuverlaessiger Schutz gewaehrleistet ist, kann das gesamte Netz das C2-Zertifikat nach dem Orange Book in den USA oder E2 nach CLEF in Europa erhalten. Wie Virenschutzprogrammen, die einen PC nur dann ins Netz lassen, wenn der Schutz aktiv ist, muessen die Systemzusaetze ein wildes Login verhindern. Novells Loesung mit dem Hilfsprogramm "Assure DOS" von Cordant ist ebenso wie "Dialock Boot" von Com&Dia oder "Disknet" von Reflex darauf ausgelegt, den PC vom Boot- Vorgang an unter Kontrolle zu halten.

In der Regel legen die Programme eine Art Log-Datei an, die beim Login zum Server geschickt wird, der sie auf unzulaessige Befehle hin ueberpueft. Daneben werden Startdateien wie die Autoexec.bat von DOS verschluesselt und Pruefsummen ueber alle lokalen Datentraeger gefuehrt. Eine weitere Variante arbeitet hardwaregestuetzt mit PCMCIA-Karten.

Auf einer anderen Ebene setzen Konzepte fuer den gemischten Aufbau moderner Netze und traditioneller Verfahren an. Bei Ansaetzen wie dem von Proginet realisierten RACF-Bypass checkt Netware erst die RACF-Sicherheit, bevor der Anwender lokal ins Netz kommt.

Eine Zugriffssicherheit, die an diese alten Standards anschliesst, wird jedoch erst in den neuen 32-Bit-Betriebssystemen voll wirksam. Sie wird fuer die Version 2.2 von OS/2 wie fuer Windows 4.0 und Windows NT 3.5 erwartet.