MÜNCHEN: Die Bedeutung der Sicherheit lokaler Netze steigt stetig. Denn mit der Öffnung der Netze nach außen ist im Prinzip jedem das Eindringen in das Netz möglich. Wie die Unternehmen ihre LANs schützen können, beschreibt Autor Armin Wildmoser*In abgeschlossenen Firmennetzen konzentrierte sich die Sicherheits-problematik vor allem auf den internen Mißbrauch. Dies verändert sich mit der Öffnung der Netze nach außen schlagartig. Die Zahl der potentiellen Täter steigt und damit auch die Wahrscheinlichkeit, durch Sicherheitslücken im eigenen Netz geschädigt zu werden.
Prinzipiell kann auf jeden Rechner mit ständiger Online-Verbindung unbefugt von außen zugegriffen werden. Angesichts sensitiver Daten in Firmennetzwerken und Rechnern ist damit unter Umständen die Existenz eines Unternehmens bedroht. Aber ein komplettes Abkoppeln des eigenen Netzes ist für die wenigsten Unternehmen praktikabel. Denn wer die über Internet angebotenen Kommunikations- und Informationsmöglichkeiten von E-Mail über Filetransfer bis hin zu Infodiensten und World Wide Web (WWW) für sich nutzen will beziehungsweise Firmenstandorte über das öffentliche Netz zu Corporate Networks zusammenschließt, muß das eigene Netz nach außen öffnen.
Doch mit Firewalls und individuellen Zugangsbeschränkungen läßt sich unbefugtem Eindringen ebenso ein Riegel vorschieben wie dem Scannen von Netzwerken und ähnlichen Methoden, die den unbefugten Zugriff auf Daten zum Ziel haben. Im übrigen bietet sich der Einsatz von Sicherheitsmechanismen am Übergang vom lokalen zum öffentlichen Netz zur Vereinfachung von Konfiguration und Administration förmlich an.
Gängige Sicherheitsmethoden
Der unbefugte Zugang zu Daten im eigenen LAN läßt sich durch den Einsatz von Accesslisten unterbinden, die durch das Filtern von IP-, IPX-, X.25- und Bridging-Paketen nach definierten Kriterien den Zugang zu Diensten individuell reglementieren. Jeder Anwender wird auf bestimmte Dienste beschränkt.
Calling Line Identification: Mit der Prüfung der CLI des Benutzers wird dessen Zugangsberechtigung überprüft und gegebenenfalls verweigert.
Call-Back: Damit erfolgt neben der CLI-Prüfung auch ein automatischer Rückruf. Zugriff zum Netzwerk erhalten nur Berechtigte. Gefälschte Absenderadressen haben keine Chance. Zudem verlagern sich die Kosten etwa bei Heimarbeitsplätzen auf die Firma. Komplizierte Abrechnungsmodalitäten über die Verbindungsgebühren entfallen damit.
Authentizierungsmechanismen: PAP (Password Authentication Protocol) und CHAP (Challenge Handshake Authentication Protocol) erhöhen die Sicherheit zusätzlich. Voraussetzung für Konfigurationsänderungen sind Community Paßworte, die nur berechtigten Personen Zugang gestatten.
Unabhängig davon läßt sich die Sicherheit des LANs weiter erhöhen, wenn potentielle Angreifer durch die Manipulation der ein- und ausgehenden IP-Pakete ausgeschlossen werden.
IP-Adreßmanipulation bringt zusätzliche Sicherheit
Voraussetzung ist die zentrale Verbindung des LANs mit dem WAN über einen Router, auf dem diese Lösung idealerweise aufsetzt.
Die Kombination von Router und Firewall bietet sich an, da zur LAN-WAN-Kopplung fast immer Router eingesetzt werden. Diese Router sorgen dafür, daß das Netzwerk von außen nicht mehr als Netzwerk mit seinen verschiedenen Rechneradressen wahrgenommen werden kann, sondern nur noch als eine einzige Adresse. Ein unmittelbarer Zugriff von außen auf die Rechner im Netz ist daher nicht möglich.
Externer Router mit TCP/IP: Um den betriebssystem- und plattformunabhängigen Betrieb dieses Sicherheitsfeatures zu ermöglichen, wird es auf einen externen Router verlagert, der in das vorhandene Ethernet- oder Token-Ring-Netzwerk eingehängt wird. Voraussetzung dafür ist die Verwendung von TCP/IP als Übertragungsprotokoll. Diese Technologie, die auf dem Standard RFC 1631 (The IP Network Address Translator) basiert, läßt sich universell einsetzen.
Zentrale Implementation: Sie verringert am Übergang von privatem zum öffentlichen Netz den Aufwand für die Administration erheblich. Die Überwachung beschränkt sich auf eine zentrale LAN-WAN-Schnittstelle.
Dann ist von außen durch die Manipulation der IP-Adressen nicht mehr ersichtlich, ob es sich um einen einzelnen Rechner oder ein komplettes Netzwerk handelt. Das komplette Netzwerk versteckt sich hinter einer einzigen IP-Adresse. Sie läßt einen Zugriff auf die einzelnen Netzwerkkomponenten von außen nicht zu.
Durch eigens vergebene Zugriffsberechtigungen für den Zugang von außen lassen sich die Zugangsberechtigungen für jeden Kommunikationspartner individuell festlegen. Im Hinblick auf die Sicherheit des eigenen LANs erreicht man so ein Höchstmaß an Sicherheit (siehe Grafik).
Als willkommener Nebeneffekt verringert sich die Anzahl der IP-Adressen im Internet beträchtlich. Nur noch das Netz zeigt nach außen Präsenz. Bereits in den nächsten Jahren wird die aktuell übliche Adressenvergabe durch das explosionsartige Wachstum des Internet an seine Grenzen stoßen; IP-Adressen werden damit zum knappen Gut. Bei unvernetzten LANs, die im Vergleich zum wuchernden Internet überschaubar bleiben, standen stets genügend Adreßnummern zur Verfügung. Im Internet muß man eine andere Lösung finden, die sparsamer mit der Menge der verfügbaren Adressen umgeht. Hier jedem Einzelrechner in den LANs eine individuelle Adresse zuzuweisen, wäre Verschwendung knapper Ressourcen.
Manipulierte Kommunikation
Der Anwender im Netzwerk bemerkt nicht, welcher Aufwand getrieben wird, um seine Daten zu schützen. Er arbeitet wie gewohnt; Einschränkungen erfährt er nicht.
AusgehendeVerbindungen: Hier wird vom eigenen LAN die Source-IP-Address (zum Beispiel 192.164.19.7) durch die außen sichtbare IP-Adresse (zum Beispiel 16.0.0.30) ersetzt. Um von außen direkte Antworten zu dieser IP-Adresse zu ermöglichen, wird der originale Sourceport durch einen neuen ersetzt, wobei der Router diese Informationen intern speichert. Dies sieht etwa folgendermaßen aus:
New Original Original
SourceportSourceportIP-Address
64706100192.164.19.7
64826100192.164.19.7
Die Einträge werden bei jedem Verbindungsaufbau nach außen neu eingelesen und aktualisiert. Für Verbindungen aus dem LAN heraus ergeben sich damit keine Einschränkungen.
Eingehende Verbindungsanfragen: Dafür ist eine eigene Authentisierungsprozedur erforderlich, da prinzipiell kein LAN-Rechner von außen sichtbar ist und ein direkter Kontakt nicht möglich ist.
Eingehende Verbindungen müssen in einer eigenen Tabelle jeweils konfiguriert werden. Dies gestaltet sich folgendermaßen:
Called SourceportDestination IP-Address
20192.164.19.7
21192.164.19.7
Dies stellt etwa die korrekte Zustellung von E-Mail und anderen Daten sicher. Im Unterschied zum Verfahren ohne Sicherheitsfeature entscheidet jedoch allein der Empfänger, ob er oder sein Rechner erreichbar ist.
Die Dokumentation aller externen Einlogversuche erfolgt automatisch. Der entsprechend generierte Report enthält Angaben zu Zeit, Herkunfts- und Zieladresse, Herkunfts- und Zielportnummer, angefragtes Protokoll sowie Interface.
Man erhält einen genauen Überblick darüber, wer ins eigene Netzwerk eindringen will und wer kontaktiert werden soll. Gefahrenpotentiale können so frühzeitig erkannt und entsprechend behandelt werden.
Mögliche Einsatzbereiche
Einzelrechner, komplette Netzwerke oder auch Sub-Netzwerke lassen sich durch die Manipulation der IP-Pakete nach außen unter einer einzigen Adresse zusammenfassen. Im LAN lassen sich weiterhin beliebige Netzwerk- und Hostadressen verwenden. So ist eine komplette Restrukturierung des Netzwerks nicht erforderlich.
Telearbeit
Unternehmen mit vielen extern angesiedelten Heimarbeitsplätzen sind auf externe Übertragungswege angewiesen und müssen ihre Netze deshalb öffnen. Ihnen bietet sich mit der Manipulation von IP-Adressen eine kostengünstige Möglichkeit der Anbindung ihrer Niederlassungen und Filialen, ohne Sicherheitsaspekte vernachlässigen zu müssen. Der gesicherte Aufbau von Corporate Networks via öffentliche ISDN-Verbindungen ist einfach und effizient möglich.
Sicherheitstechnisch läßt sich das hinter dem Router liegende Netz von außen unerreichbar machen. Der Router selbst ist jedoch von außen erreichbar, wenn nicht durch Access-Listen die Zugriffsmöglichkeiten beschränkt werden. Unter Verwendung des Syslog-Protokolls lassen sich diese Informationen auch mit anderen Rechnern austauschen.
Doch können bestimmte Rechner im LAN für einen externen Zugriff freigeschaltet werden. Die von außen erreichbaren Ports können auf verschiedenen Hosts liegen. Möglich sind etwa eigene Hosts für den FTP- oder WWW-Zugang. Jeder Anwender im Netzwerk bleibt von außen erreichbar. Backup-Rechner lassen sich auch mit unterschiedlichen IP-Adressen so einfach aktivieren. Vor allem für Diensteanbieter mit ständig wechselnden Kommunikationspartnern ist dies eine interessante Lösung. Darunter fallen etwa Datenbankenanbieter oder Internet-Provider, die bei jedem Einwählen dynamische IP-Adressen vergeben. Jedem Außenstehenden bleibt der Zugang verwehrt. Gleichzeitig erhält jeder Berechtigte Zugriff auf seine Daten, ohne etwas über die Struktur des Netzwerkes, aus dem er seine Daten bezieht, zu erfahren.
Mögliche Probleme
Einige Übertragungsprotokolle wie etwa FTP oder ICMP schreiben die IP-Adressen nicht nur in den Kopf des Datenpakets, sondern auch in das Paket selbst. Zusätzlicher automatischer Aufwand ist zur Manipulation dieser IP-Adressen zwar erforderlich.
Bestimmte Parameter für FTP, IRC (internet relay chat), rlogin/rsh/rcp, real audio und ICMP echo (ping) können voreingestellt werden. Damit ist der Einsatz zusammen mit allen gängigen Netzwerkprotokollen gewährleistet.
Ein Restart, etwa wegen Stromausfall, führt zum Verlust aller nicht fest gespeicherten Daten auf dem Router. Alle TCP- und UDP-Verbindungen, die zum Zeitpunkt des Restarts aktiv waren, müssen neu konfiguriert werden. Geeignete USV-Anlagen begrenzen dieses Risiko jedoch auf ein Minimum.
Fazit
Die Implementierung eines auf manipulierten IP-Adressen basierenden Sicherheitskonzepts auf einem Router, der betriebssystem- und plattformunabhängig arbeitet, eröffnet ein nahezu grenzenloses Einsatzgebiet. Selbst heterogene Netzwerke mit Unix-, DOS/Windows- und Macintosh-Rechnern können so vor Unbefugten gesichert werden, ohne den eigenen Datenverkehr nach außen zu beeinträchtigen.
In den allermeisten Fällen ist zudem keine zusätzliche Investition in neue Hardware erforderlich, da die LAN-WAN-Anbindung sowieso in den allermeisten Fällen über Router realisiert wird. So können existierende Netzwerke einfach und effektiv geschützt werden. An der Netzwerkarchitektur selbst muß in aller Regel nichts geändert werden.* Armin Wildmoser ist Marketingmanager bei der Bintec Communications GmbH in Nürnberg.