Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

07.06.1996 - 

Netzsicherheit/Zum sicheren Netz führen mehrere Wege

Wenig Sicherheit ist soviel wie überhaupt kein Schutz

Mit dem Trend zum globalen Wirtschaften kommen auf die DV-Abteilungen immer neue Aufgaben zu. Zweigstellen in aller Welt sind über die verschiedensten Kommunikationswege miteinander zu vernetzen. Und die Antwort der Unternehmen? - Sie konzentrieren sich bis heute weitgehend auf die Installation von Netzwerkkomponenten. Rund sechs Milliarden Dollar werden die Europäer heuer nach Berechnungen des Marktforschungsinstituts Dataquest in Europa in lokale Komponenten wie Rechner, Hubs, Brücken, Betriebssysteme und Schnittstellen-Karten investieren. Nimmt man die Telekommunikation mit hinzu, werden 1996 in Europa 7,5 Milliarden Dollar umgesetzt.

Die Absicherung des mittlerweile wichtigsten Produktions- und Dienstleistungsfaktors "Information" scheint hingegen nur eine untergeordnete Rolle zu spielen. Nach Meinung von Marktkennern geben Unternehmen nur zwei Prozent der Gesamtinvestitionen in Hard- und Software für die Absicherung des Informationssystems aus. Ändert sich diese laxe Haltung nicht, könnten die europäischen Unternehmen in Zeiten expandierender Netzwerke und internationaler Kommunikationsverflechtungen schnell das Nachsehen haben.

Einstiegspunkt für den Datenklau und damit ein potentieller Gefahrenherd für die Sicherheit des Netzes kann die Leitungsverbindung selbst sein. Hier können leistungsfähige Verschlüsselungsverfahren für Abhörsicherheit sorgen. Das bekannteste Geheimschlüsselverfahren ist der Data Encryption Standard (DES), definiert vom National Bureau for Standardization (NBS). Die Chiffrierlogik des DES-Verfahrens ist so komplex, daß statistisch gesehen bei einer Rechengeschwindigkeit von 1000000 Schlüssel pro Sekunde 2285 Jahre nötig wären, um alle Varianten zu berechnen.

Eines der erfolgreichen asymetrischen Verschlüsselungsverfahren, die mit einem geheimen und öffentlichen Schlüssel arbeiten, ist RSA, benannt nach den Erfindern Ravest, Shamir und Adleman. Da in diesem Fall der öffentliche Chiffriercode von einer Schlüsselverteil-Zentrale vergeben wird, der Dechiffrierungscode aber nur der Empfängerstation bekannt ist, müssen geheime Schlüssel nicht über das Netz übertragen werden.

Doch die Verschlüsselung von Daten hat auch ihre Nachteile, wie Michael Dernbach, verantwortlich für den IT-Bereich bei der Arthur Andersen GmbH in Sulzbach, berichtet. "Entweder ist der Datentransfer sicher und langsam oder unsicher und schnell", lautet das Fazit des IT-Managers. Je komplexer das Chiffrierungsverfahren, um so mehr wird der Datenfluß auf den Verbindungen ausgebremst. Der schnelle Durchsatz kann nur dadurch einigermaßen aufrechterhalten werden, indem ein gesonderter Prozessor die Verschlüsselungsarbeit übernimmt. Aber nicht nur die Datenflußverzögerung, sondern auch der Preis spricht gegen einen breiten Einsatz der Verschlüsselungstechnik. So bleibt ihr Einsatz in der Regel auf die Weitverkehrsverbindungen beschränkt.

CHAP, TACACS und RADIUS für ISDN

Selbst hier ist die Chiffrierung nicht in jedem Fall die beste Lösung, wie Michael Schmidt, Geschäftsführer der Cornet Gesellschaft für Kommunikations-Dienstleistungen mbH in Idstein, zu bedenken gibt: "In Datex-P- und Datex-M-Netzen wird das Sicherheitsrisiko weitgehend durch die Bildung geschlossener Benutzergruppen und einem wirkungsvollen Zugangsschutz abgefangen".

Wer speziell auf Datex-P- und Datex-M-Verbindungen verschlüsseln will, muß zudem auf Chiffrierungssysteme zurückgreifen, die die Steuerinformationen im Kopf des Datenpaketes von der Verschlüsselung ausnehmen können. Für solche Systeme, die Paketinhalt und Steuerinformationen unterscheiden, fallen allerdings höhere Investitionskosten an.

Kritischer sind dagegen offene Zugänge wie ins ISDN. Doch auch hier favorisiert Schmidt statt der Verschlüsselung Zugangsschutzlösungen wie Challenge Handshake Protocol (CHAP), Terminal Access Controller Access Control System (TACACS) und Remote Authentication Dial-in User (RADIUS). Grund genug, mit der steigenden Mobilität der Mitarbeiter und dem starken Verbreitungsgrad von ISDN diese Sicherheitsmechanismen genauer zu beleuchten.

CHAP wird über PPP realisiert

Der CHAP-Sicherheitsmechanismus wird über das Point-to-point-Protocol (PPP) realisiert und gehört zum Funktionsumfang der meisten Access-Router. CHAP überprüft beim Aufbau eines ISDN-Kanals, ob das Endgerät kommunizieren darf. Dazu sendet CHAP an das Endgerät eine zufallsgenerierte Zahlenfolge (Challenge), mit der dann vom Benutzer die Verschlüsselung des Paßwortes initiert wird. Danach wird das codierte Paßwort an den Router übertragen, wo die Zugriffsberechtigungs-Prüfung erfolgt.

Wenn mehrere ISDN-Verbindungen parallel abzuwickeln sind, hilft die Kombination TACACS-Server und CHAP weiter. In diesem Fall können mehrere tausend ISDN-Benutzer via Router kommunizieren. Zudem wartet der TACACS-Server im Hintergrund mit ausgefeilten Abrechnungs-Funktionen auf, um Kostenstellen klar zu definieren und voneinander abzugrenzen. Der Ablauf: Der Router leitet alle Kommunikationsanforderungen an den TACACS-Server weiter, der jetzt den Challenge generiert und an die zugreifende Station überträgt. Der Rest läuft wie bei CHAP ab. Die Berechtigungs- Tabellen werden dazu vom TACACS-Server an den Access-Router übertragen, wo die Prüfung des codierten Paßwortes erfolgt.

RADIUS geht in puncto Sicherheit noch weiter. Für jeden Kommunikationsteilnehmer lassen sich individuelle Zugriffsregeln definieren. So ist es beispielsweise möglich, einzelne Netzteilnehmer gezielt von der Kommunikation über bestimmte Netzwerkprotokolle auszunehmen oder einzelne logische Netzwerkadressen als Ziele auszugrenzen. Oder der Kommunikationsweg wird fest zu einem bestimmten LAN oder Rechner, beispielsweise Host, konfiguriert, so daß der Teilnehmer erst gar nicht mit anderen Netzteilnehmern kommunizieren kann.

Wer noch mehr Sicherheit will, kann auf TACACS oder RADIUS aufsetzend per Secure-ID-Karte den Zugriffsschutz auf Anwendungsebene ausdehnen. Am Bildschirm des Netzteilnehmers ist ein Token - ein numerisches Eingabe-Tableau - sichtbar, auf dem er einen vierstelligen Pin-Code eingeben muß. Alles andere managen TACACS oder RADIUS automatisch im Hintergrund. Die zufallsgenerierte Zahlenkette, um das Paßwort beziehungsweise die Kombination aus Benutzerwort und Paßwort zu verschlüsseln, wird dabei nicht mehr am Bildschirm eingeblendet. Der Vorteil der Secure-ID-Karten-Lösung: Unberechtigte Zugreifer kommen erst gar nicht bei ihren Anwählversuchen in das Netz.

Es stehen also wirkungsvolle Sicherheitsmechanismen zur Verfügung, um die ISDN-Kommunikation vor unberechtigten Zugriffen abzuschotten. Doch wie steht es generell um den Zugangsschutz an der Weitverkehrsschnittstelle, unabhängig von der eingesetzten WAN-Technik? Sogenannte Firewalls leisten hier gute Dienste. Prädestiniert für diese Aufgabe ist ein Router-System, das aufgrund seiner Ebene-3-Intelligenz einzelne Kommunikationsprotokolle und logische Endgeräte-Adressen genau zu unterscheiden vermag. Interne Filter stellen dabei die entsprechenden Kommunikationsweichen.

Statisches Routing ist zu bevorzugen

Jede Anforderung wird dann genau durchleuchtet, die Zulässigkeit der Sendeadresse, der Zieladresse sowie des angeforderten Dienstes genau geprüft. Heiko Huneke, Partner-Leiter des Fachbereichs Technische Systemintegration bei der Mummert + Partner Unternehmensberatung GmbH in Hamburg, empfiehlt in diesem Zusammenhang den Einsatz von statischem Routing (kein dynamisches Routing), damit nach innen nur über die Netzbereiche kommuniziert wird, die mit der Außenwelt Verbindung haben sollen. "Darüber hinaus sollte das Unternehmen darauf achten, daß das Firewall-System "ruhig" arbeitet, also auch keine Routing-Informationen nach draußen dringen", empfiehlt der Kommunikationsexperte weiter.

Eine andere Lösung besteht darin, ein Dual-Homed-Gateway einzurichten. Das von der Weitverkehrsverbindung eingehende Kommunikationsprotokoll, beispielsweise TCP/IP, wird vom Dual-Homed-Gateway nicht geroutet, womit ein Fernzugriff auf die Ressourcen des Netzwerkes von vornherein ausgeschlossen ist. Stattdessen vermitteln einzelne Gateway-Dienste mittels Proxies die Verbindung zwischen den Kommunikationspartnern. In den Proxies selbst können Login- und Zugriffsmechanismen implementiert werden, die bei jeder Kommunikationsanforderung aktiv sind. So wird das Netzwerk zusätzlich vor unerlaubten Zugriffen abgesichert.

Das Firewall-System sollte natürlich außer der Kommunikationsvermittlung keine anderen Aufgaben übernehmen, um potentielle Einstiegspunkte ins Unternehmensnetz von vornherein einzuschränken. Auf jeden Fall abzuraten ist von einer direkten Anbindung an ein Verarbeitungssystem (beispielsweise über einen X.25-Adapter in einem Server). In diesem Fall hätte der Angreifer bereits eine wesentliche Zugriffshürde überwunden und könnte seine Angriffsversuche aus dem lokalen Netzwerk heraus starten. Zur Absicherung durch das Firewall-System gehört auch der Schutz des Systems selbst. Wem der Schutz durch ein Paßwort nicht ausreicht, kann das System zusätzlich durch eine Chip-Karte absichern. Natürlich ist die Firewall räumlich so unterzubringen, daß nur befugtes Personal Zutritt hat.

Doch der Schutzwall an der WAN-Schnittstelle reicht noch nicht aus. Auch im lokalen Netzwerk selbst müssen über die internen Filter des Router-Systems die richtigen Kommunikationsweichen gestellt werden, um die Informationsströme vor unberechtigten Zugriffen zu schützen. Die Zugangskontrolle zwischen den Teilnetzen ist um so wichtiger, zumal es in den meisten Fällen nicht um Angriffe von außen geht, vielmehr um Angriffe von innen, wie aus einer US-Studie hervorgeht. 85 Prozent aller Angriffe erfolgen danach von innen - je zur Hälfte beabsichtigt und unbeabsichtigt.

So kann über die ausgeprägte Filtertechik des Routers einzelnen Teilnehmern oder Gruppen der Zugang zu speziellen Netzwerkdiensten und anderen Teilnetzen verwehrt werden. Im einzelnen können im Router-System Filter auf Kommunikationsprotokolle, logische Endgeräteadressen, auf Ebene-4-Protokolle wie Transport Control Protocol (TCP) und User Datagram Protocol (UDP), sogar in Verbindung mit Router-Portnummern auf Anwendungen wie E-Mail, Dateitransfer und Simple Mail Transfer Protocol (SMTP) gesetzt werden. Zusätzliche Sicherheit zwischen den Teilnetzen wird durch eine kluge Segmentierung erzielt. Huneke von Mummert + Partner weist daraufhin, daß sichere und unsichere Server in einem Segment nichts zu suchen haben. "Denn in diesem Fall kann die Kommunikation mittels Router nicht mehr abgesichert werden", so seine Schlußfolgerung.

Generell gilt auch zwischen den Teilnetzen die Kommunikationsbeziehungen auf ein Mindestmaß zu beschränken, um potentielle Angriffspunkte im lokalen Netz soweit wie möglich einzuschränken. Wie der Informationsfluß lokal im einzelnen steuerbar ist, muß jedes Unternehmen selbst entscheiden. So sieht Dernbach von Arthur Andersen ein nur geringes Risiko bei Dienstleistungsdaten, da sie für den Eindringling in der Regel nur schwer nachvollziehbar sind. "Anders sieht es bei Entwicklungsdaten, Cash-flow-Analysen, betriebswirtschaftlichen Datenmodellen und Bilanzen aus. Hier ist höchste Vorsicht geboten", mahnt der Netzexperte.

Bleibt noch als letzte Aufgabe, das einzelne System vor unerlaubten Eindringen zu schützen. Die ordnende Gewalt ist in diesem Fall das Netzwerkbetriebssystem. Der Zugriffsschutz für das Einzelsystem beginnt mit dem Paßwort und der Auflage an den Netzteilnehmer, dieses Paßwort regelmäßig (mindestens alle vier Wochen) zu verändern. Besser geschützt ist das Einzelsystem durch eine Chip-Karte, auf der die Benutzerkennung - möglichst in chiffrierter Form - gespeichert ist. Das höchste Maß an Sicherheit gewährt die Chip-Karte, wenn zusätzlich durch den Netzteilnehmer ein Paßwortteil eingegeben werden muß. Knackt ein Angreifer dieses Paßwortelement, steht er immer noch vor der Hürde "Chip-Karte".

Im Netz angemeldet, gilt es, wichtige Ressourcen durch die Definition spezifischer Benutzerrechte vor unerlaubten Zugriffen zu schützen. Es ist hier nicht möglich, tiefer in die Sicherheitskonzepte der einzelnen Netzwerk-Betriebssysteme einzudringen, da die einzelnen Lösungsansätze herstellerspezifisch sind. Generell besehen stehen jedoch umfangreiche Funktionen zur Verfügung, um Zugriffe auf Daten, Verzeichnisse, Netzwerkdienste und Anwendungen zu regeln. An spezifischen Zugriffsrechten können unter anderem "Lesen", "Schreiben", "Löschen", "Ausführen", "Verzeichnisse anlegen" und das "Recht Zugriffsrechte zu vergeben" erteilt werden.

In diesem Zusammenhang warnt Huneke davor, auf sensible Netzkomponenten wie Kommunikationssystemen einen lesenden Zugriff zu erlauben: "Die Konfigurationsdaten dieser Systeme könnten wichtige Hinweise für einen unbefugten Zugriff enthalten." Weil generell ein unerlaubter Zugriff auf Server-Systeme nicht auszuschließen ist, sollte hier die Konfiguration immer auf das für die Aufgabe notwendige Maß beschränkt sein. Um auf Nummer sicher zu gehen, sollten darüber hinaus die Tätigkeiten des Netzadministrators protokolliert werden. Denn auch er kann - gerade aufgrund seiner weitgehenden Befugnisse - ein potentieller Unsicherheitsfaktor im Netzwerk sein. Damit dem Netzwerkadministrator bei der täglichen Verwaltung der Benutzerrechte der Aufwand nicht über den Kopf wächst, rät Huneke dazu, folgende Leitlinien einzuhalten:

-alle Netzteilnehmer erhalten Basiszugriffsrechte auf weniger sensible Anwendungen,

-ein neuer Netzteilnehmer, der in eine Gruppe von Teilnehmern mit einheitlichen Rechnern eintritt, erhält automatisch die Rechte dieser Gruppe,

-ein neuer Netzteilnehmer, der einer bestimmten Anwendung zugeordnet wird, erhält automatisch die Rechte, die mit dieser Anwendung verbunden sind.

Erst mit der Realisierung aller drei Sicherheitsetappen - Firewall an der WAN-Schnittstelle, Zugangskontrolle zwischen den Teilnetzen und Zugriffsschutz auf Einzelsystemebene - kann sich das Unternehmen vor Angriffen auf Daten und Systeme von außen und innen schützen. Ein bißchen weniger Schutz ist in diesem Zusammenhang genauso sinnlos wie gar kein Schutz. Inwieweit zusätzlich die Verschlüsselung von Daten auf der WAN-Verbindung gefordert ist, muß jedes Unternehmen abhängig von der eingesetzten Übertragungstechnik und der Sensibilität der Daten entscheiden.

In Sachen Sicherheitskonzept empfiehlt Thomas Burmeister - Director Information Technology Deutschland bei der Price Waterhouse Unternehmensberatung GmbH in Frankfurt - sämtliche Unternehmensbereiche aktiv in die Konzeption des Sicherheitssystems einzubeziehen, "denn nur gemeinsam können die Risiken im Netz richtig eingeschätzt und letztlich beseitigt werden." Weil jedes Sicherheitskonzept so individuell ist wie das Unternehmensnetzwerk selbst, rät Cornet-Geschäftsführer Schmidt dazu, das Sicherheitskonzept von Anfang an bei der Planung als festen Bestandteil des Netzwerkkonzeptes aufzunehmen.

Gefahrenpotentiale bewußt machen

Doch das beste Sicherheitskonzept nutzt nichts, wenn Mitarbeiter unbeabsichtigt Schaden an Daten und Systemen im Netz verursachen. Zur Erinnerung: 42,5 Prozent aller Angriffe erfolgen von innen und sind unbeabsichtigt. Mag eine automatische Abschaltung des PCs nach einer bestimmten Inaktivitätszeit auch dem Angreifer den Einstieg ins System verwehren - gegenüber dem Fehlverhalten des berechtigten Netzteilnehmers ist das System machtlos. Die Palette an möglichen Schadensfällen reicht weit, vom unbeabsichtigten Löschen oder Überschreiben wichtiger Daten, der unachtsamen Vergabe von Benutzerrechten an Dritte und dem unerlaubten Kopieren von Disketten bis hin zum Herumspielen an Server-Systemen und dem Einschleusen von Viren durch mitgebrachte Disketten. In dieser Situation kann nur das Bewußtmachen der Gefahrenpotentiale weiterhelfen. So rät Burmeister, alle Mitarbeiter regelmäßig durch Sicherheitsschulungen zu sensibilisieren und ihnen die möglichen Risiken drastisch vor Augen zu führen. Schmidt schlägt vor, Management und Mitarbeiter - wie in den USA üblich - mit Videos auf potentielle Angriffe von innen und außen vorzubereiten.

Restrisiko bleibt immer

Aber selbst wenn das Sicherheitskonzept stimmt und sich die Beschäftigten verantwortungsvoll und gefahrenbewußt beim Umgang mit dem Netzwerk verhalten, eine hundertprozentige Sicherheit wird es aus technischer Sicht im Netz nie geben - selbst wenn zusätzlich teueres Netzwerk-Management- und Netzwerkanalyse-Werkzeug zum Einsatz kommt. Zudem muß die Sicherheit auch bezahlbar sein, also wie andere Investionen im Unternehmen einer nüchternen Kosten-Nutzen-Analyse unterzogen werden. Wie hoch das Restrisiko dabei ausfallen darf, muß jedes Unternehmen aufgrund der Schutz- und Sicherheitsbedürfnisse seiner Datenbestände, Programme, Dienste und Systeme letztlich selbst ermitteln.

Kurz & bündig

Kaum ein Unternehmen, das sich durch eine Vernetzung seiner Zweigstellen keine Wettbewerbsvorteile verspricht. Doch nur allzu oft wird dabei vergessen, daß damit möglicherweise der Industriespionage Tor und Tür geöffnet wird. Gerade das vermeintlich sichere, da digitale ISDN bietet sich als Angriffspunkt an. Doch es gibt genug Möglichkeiten, auch diese offenen Kommu- nikationsplattformen gegen Eindringlinge abzusichern, angefangen bei einfachen Verschlüsselungssystemen bis hin zur hohen Schule der Router-Konfiguration und entsprechender Netzsegmentierung. Letztlich ist das Maß der erreichbaren Sicherheit eine Geldfrage

*Hadi Stiel ist freier Journalist in Bad Camberg.