Eine zentrale Rolle für die Sicherheit von Netz-Betriebssystemen spielen integrierte Verzeichnisdienste. Sie erlauben es Benutzerprofile mit den individuellen beziehungsweise den Gruppenberechtigungen zu hinterlegen. Werden die Verzeichniseinträge als verteilte Datenbank vorgehalten, ist das Sicherheitssystem darüber hinaus gut skalierbar.
Bei Netware gehört der Verzeichnisdienst Novell Directory Services (NDS) schon lange zur Grundausstattung des Netzwerk-Betriebssystems. "Weil alle wichtigen Dienste wie Managewise, Zenworks und Sicherheitsdienst nahtlos auf NDS aufsetzen, müssen die Berechtigungen für die komplette Netware-Installation nur einmal eingegeben und gepflegt werden", unterstreicht Jürgen Spitzner-von der Haar, verantwortlich für den Bereich Verzeichnissysteme bei der Sornet GmbH in Bad Camberg. Lediglich Groupwise sei noch nicht vollständig in NDS integriert. Immerhin würden beide Verzeichnisse automatisch im Hintergrund synchronisiert, so dass sie Teilnehmern und Administratoren wie ein Verzeichnis erscheinen. Integriert in die NDS ist auch ein Dateisystem, bei dem sich Berechtigungen nicht nur bis auf Dateiebene prüfen, sondern sogar Benutzerrechte auf darunter liegende Verzeichnisse vererben lassen.
Windows 2000, das voraussichtlich im März erscheint, kann endlich ebenfalls mit Active Directory auf einen solchen Verzeichnisdienst bauen. Auch hier müssen über die komplette Installation und alle wichtigen Dienste hinweg die Sicherheitsregeln nur einmal eingegeben und gepflegt werden. Die Dienste umfassen New Technology File System (NTFS) und Encrypted File System als Dateisystem mit einer Berechtigungsprüfung bis auf File-Ebene, Druck-, Sicherheits-, Managementdienst sowie Snapins. Letztere gestatten es anderen Herstellern, Windows 2000 ihre Sicherheitsdienste und -anwendungen hinzuzufügen. Auch das E-Mail-System "Exchange 5.5" arbeitet weiterhin mit einem gesonderten Verzeichnis, das automatisch mit dem zentralen Directory synchronisiert wird. Die nächste Version, "Exchange 2000", soll direkt auf Active Directory aufsetzen.
Wie bei NDS werden beim Active Directory die Verzeichniseinträge verteilt im Netz gehalten. Eine wesentliche Einschränkung innerhalb des Active Directory betrifft die Benutzerrechte: Sie lassen sich nur innerhalb einer Domäne vererben. Sowohl Netware als auch Windows 2000 weisen eine Light-Weight-Directory-Access-Protocol-(LDAP-) 3-Schnittstelle auf. Sie erlaubt es, Sicherheitsregeln aus Verzeichnissen anderer Hersteller zu importieren beziehungsweise dorthin zu übertragen. Eine übergreifende Synchronisierung solcher Regeln ist freilich über die Verzeichniszugangs-Schnittstelle LDAP3 nicht möglich. Daneben hapert es oft bereits beim bloßen Austausch von Einträgen, weil sich die Hersteller nicht konsequent an den IETF-Standard (Internet Engineering Task Force) halten.
Linux geht stattdessen einen anderen, Unix-spezifischen Weg. Statt innerhalb einer Verzeichnisstruktur sind bei diesem System alle Benutzerberechtigungen in Form von Dateien in einem zentralen Dateipool hinterlegt. Diese Files werden dann beispielsweise über das Network Information System (NIS) oder die Weiterentwicklung NIS+ an die verschiedenen Rechner im Netz verteilt. Dort dienen sie zur Prüfung von Berechtigungen für Dienste wie Telnet, File Transfer Protocol (FTP), Rlogin, Web-Server oder Remote Authentication Dial-in User Service (Radius).
Mit diesem flachen Dateienkonzept fehlt bei Linux allerdings die hierarchische Struktur, um Benutzerrechte in einigen Fällen hinreichend zu differenzieren. Nur die Kategorien "Benutzer", "Benutzergruppen" und "alle anderen" sind möglich, wobei für "alle anderen" nur allgemein gültige Rechte zugewiesen werden können. Der zentrale Dateipool mit den Benutzerdateien lässt sich in verteilten Linux-Installationen auf entfernte Server replizieren, um so nicht jedesmal über teure WAN-Verbindungen Benutzerberechtigungen abfragen zu müssen. Die Replikation des kompletten Dateipools auf die entfernten Rechner hat für den Anwender jedoch ihren Preis, wie Spitzner-von der Haar erklärt: "Die Replikationen belasten die WAN-Strecken und führen so zu hohen Gebühren. Zudem ist Linux mit dem unterlegten Dateienkonzept weniger gut skalierbar als eine verzeichnisbasierende Architektur." Immerhin arbeiten die Hochschulen an einer LDAP-3-Implementierung (openldap-1.2.0-10) für Linux, um dem System eine echte Verzeichnisfunktionalität zu verleihen. Diese Entwicklung wurde bereits in kostenpflichtige Linux-Zusatzprodukte wie die von Suse integriert.
Unterschiede bei Authentisierung
Auf der Basis einer geeigneten, verzeichnisdienstbasierenden Verwaltungsstruktur zählen dann die einzelnen Sicherheitstechnologien wie Authentisierung, Verschlüsselung, Firewall etc. Eine verlässliche Authentisierung der einwählenden Teilnehmer ist wichtig. Die Palette reicht hier vom einfachen Zugangsschutz über Benutzer-ID/Passwort über Einmal-Passwort und die Anwendung von Verschlüsselung der Benutzer-ID/Passwort-Kombination bis hin zur Chipkarte.
Die einfachste Form der Authentisierung hat natürlich jeder der drei Hersteller im Repertoire. Dazu gehört auch die Unterstützung des De-facto-Standards Radius, um Teilnehmerzugriffe über Wählverbindungen auf ihre Berechtigung hin zu prüfen. "Wie einbruchssicher dieser Prüfmechanismus ist, hängt von der speziellen Art der Authentisierung ab", sensibilisiert Spitzner-von der Haar die Anwender.
Bei Netware 5.1 wurde dazu der einfache Zugangsschutz per Benutzer-ID und Passwort verfeinert. Der private Schlüssel zum Teilnehmer wird parallel in NDS und auf dem Client geführt. Mit der Passworteingabe wird eine Signatur, bestehend aus Benutzer-ID, Passwort, privatem und öffentlichem Schlüssel, gebildet und mit der auf der Gegenseite hinterlegten Signatur verglichen. Als Verfahren zur Verschlüsselung der Benutzer-ID/ Passwort-Kombination kommt innerhalb der Netware-Welt generell RSA (Rivest-Shamir-Adleman-Encryption) zum Einsatz.
Netware 5.1. erlaubt auch den Schutz über Einmal-Passwörter. Für den in dieser Form geregelten Remote-Zugriff muss allerdings der "Novell Border Manager" dazwischentreten. Selbst eine starke Authentisierung mittels Chipkarte ist mit Netware machbar. Derzeit unterstützt das Netz-Betriebssystem das Zusammenspiel mit Kartenlesegeräten von Security Dynamics, Compaq und Active Card.
Innerhalb der Windows-2000-Welt wird die Authentisierung über so genannte Granting Tickets absolviert, die vom zuständigen Domain Controller vergeben werden. Dieser hinterfragt die jeweiligen Rechte der Benutzer beim Eintreffen der Benutzer-ID/Passwort-Kombination in der Access Control List (ACL). Für eine sichere Übertragung von Benutzer-ID/Passwort ist das symmetrische Verschlüsselungsverfahren Kerberos voreingestellt. One-Time-Password mit Secure-ID-Karte gibt es dagegen in Windows 2000 nicht, dafür ist der Einsatz von Chipkarten möglich.
Linux bietet, seiner herstellerunabhängigen Ausrichtung entsprechend, Plugable Authentication Mechanism (PAM) als Andockpunkt für beliebige Authentisierungsmethoden an. Welche Verfahren sich daraus entwickeln werden, hängt von der Entwicklungsgeschwindigkeit vor allem der Hochschulen ab, die das Linux-Software-Paket sukzessive erweitern. "Derzeit ist die einfache Authentisierung über Benutzer-ID/Passwort (PassWd) und die Verschlüsselung der Benutzer-ID/Passwort-Kombination möglich", weiß Adrian Rodermund, Berater bei Sornet und spezialisiert auf Linux. Bei beiden Varianten könne die Zusatzmethode "Shadowing" zum Einsatz kommen, die Benutzer-ID und Passwort in zwei Dateien trenne und damit für zusätzliche Zugriffssicherheit sorge. "Über das Protokoll Message Block (SMB) können die benutzerspezifischen Authentisierungsinformationen über die Grenzen von Linux hinaus durchgereicht werden, damit sie sich auch dort zur Zugangskontrolle verwenden lassen", so Rodermund weiter.
Eine solche übergreifende Authentisierung sei beispielsweise im Zusammenspiel mit Windows-, Netware- und anderen Unix-Installationen möglich. Als Verschlüsselungsverfahren zum Transportschutz der Benutzer-ID/Passwort-Kombination kommt wie bei Novell prinzipiell RSA zur Anwendung. Die asymmetrische Verschlüsselungslogik aus privatem und öffentlichem Schlüssel wird beispielsweise im Modul Secure Shell (SSH) bereitgestellt.
Dafür hat Linux aufgrund des fehlenden Verzeichnisdienstes Nachteile bei der Etablierung eines Single Sign-on (SSO). Dieses Verfahren erlaubt die Einwahl in Dienste und Anwendungen anderer Hersteller über ein einziges Passwort. Die anderen (Zweit-) Passwörter für spezifische Dienste und Anwendungen werden in diesem Fall versteckt im Hintergrund mit dem Login dem Teilnehmer-PC zugewiesen. Irgendwie ließe sich der Single Sign-on zwar auch mit Linux lösen, indem eine Authentisierung im Fremdsystem angestoßen würde, so Rodermund. Eine zentrale und damit übersichtliche Administration aller Passwörter bliebe bei dieser Verfahrensweise allerdings auf der Strecke. Oder der Anwender setzt auf ein externes LDAP3-basierendes Verzeichnis, was wiederum die Problematik der permanenten Synchronisation zwischen LDAP-Verzeichnis und dem Linux-spezifischen Dateienpool aufwirft.
Anders bei Netware: Hier ist der Single Sign-on schon lange möglich. Der Login ist direkt mit den NDS gekoppelt. Zweitpasswörter für die Einwahl in spezifische Anwendungen können dann aus den NDS geladen werden. Natürlich müssen auch die anzusprechenden Dienste und Anwendungen dazu SSO-fähig sein. An Fremdsystemen lassen sich im Rahmen von Netware 5.1 derzeit nur "Oracle-8"-Datenbanken einbeziehen. Erwirbt der Anwender zusätzlich "Novell SSO", reicht der Arm des Single Sign-on bis zu Anwendungen etwa von Peoplesoft und Vantive sowie "Client for Win NT", "SQL Interpreter" und Novell Groupwise mit eigenem Verzeichnisdienst. Rund 100 Mark pro Client muß der Anwender für dieses Zusatzmodul berappen. Auch bei Windows 2000 ist mit dem Verzeichnisdienst Active Directory die richtige Basis gelegt, um darüber einen Single Sign-on zu Fremdanwendungen zu etablieren. Die durchgehende Einwahlprüfung wird auch hier über Granting Tickets abgewickelt. Bei der Produktfreigabe werden sich jedoch zunächst nur SAP-R/3-Applikationen per SSO ansprechen lassen.
Außer in der Authentisierung unterscheiden sich die Betriebssysteme durch die verwendeten Verschlüsselungsalgorithmen. "Hinsichtlich der Verschlüsselung von Übertragungsdaten ist Novell ganz auf Kerberos V.5 und RSA eingestellt, obwohl RSA als aufwändiges asymmetrisches Verfahren für diese Aufgabe eigentlich weniger geeignet ist", moniert Spitzner-von der Haar. Bisher habe Novell im Rahmen von Netware nur schwache (bis 56 Bit) Verschlüsselungsalgorithmen im Programm. Der Hersteller habe aber angekündigt, bald mit dem Ende der Restriktionen in den USA ein starkes RSA und Kerberos verfügbar zu machen.
Bisher nur eine schwache, dafür aber symmetrische Verschlüsselung von Übertragungsdaten bietet auch Microsoft, vorrangig in Form von DES (Data Encryption Standard). Das Unternehmen plant jedoch ebenfalls stärkere Verfahren wie Triple DES. In der Linux-Welt hängt die komplette Verschlüsselung, also auch die symmetrische Chiffrierung der Übertragungsdaten, von der eingesetzten Applikation ab. Das Modul SSH beispielsweise gestattet es, zur Verschlüsselung von Daten nahezu jedes symmetrische Chiffrierungsverfahren einzusetzen.
Aber nicht nur die Übertragungsdaten sollen vor unberechtigten Mitlesern sicher sein. Auch sensible Administrationsdaten dürfen nur von den Personen eingesehen werden, die dazu berechtigt sind, und zudem auf den Verbindungen zwischen Verzeichnis-Server und den Zielsystemen nicht lesbar sind. Laut Spitzner-von der Haar ist das bei Netware und Windows 2000 schon dadurch gelöst, dass alle Informationen innerhalb der Verzeichnisdatenbank verschlüsselt sind. In der Microsoft-Welt lassen sich zudem die Administrationsdaten auf der Festplatte mittels eines asymmetrischen Verfahrens codieren. Unverschlüsselt seien dagegen die Administrationsdaten in der Linux-Dateienwelt, weiß Kollege Rodermund. Hier habe der Administrator lediglich die Möglichkeit, über das Dateisystem Benutzerrechte wie "nicht sehen" zu definieren.
Firewalling ist eine weitere Säule innerhalb des Netzes für mehr Sicherheit. Mit "Border Manager Firewall" hat Novell hier gegenüber der Vorgängerversion Boden gutgemacht und die bisherigen Schwächen auf den unteren OSI-Schichten weitgehend ausgebügelt. Auf Internet Protocol (IP), Transfer Control Protocol (TCP) und User Datagram Protocol (UDP) kann mittlerweile ebenso gefiltert werden wie auf Protokolle der höheren Schichten. Die Einwählversuche werden sicher über Proxies abgehandelt, die den Kommunikationsprozess für die Zeit der Prüfung unterbrechen. "Das gezielte Sperren einzelner Ports gehört ebenso zur Netware-integrierten Firewall-Lösung wie das Erkennen von Adress-Spoofing und das Caching von Internet-Informationen", hebt Spitzner-von der Haar hervor. Innerhalb der Microsoft-Welt von Windows 2000 fehlt hingegen die komplette Firewall-Funktionalität. Diese Lücke kann nur durch Dritthersteller geschlossen werden.
Linux mit seinem sicheren Unix-Kernel ist optimal auf den Firewall-Einsatz abgestimmt. Die integrierte Firewall-Software zum Nulltarif prüft Pakete aller OSI-Schichten bis hinauf zur Anwendungsschicht. Auch die Proxy-Architektur fehlt nicht. Daneben schützt die Firewall vor Paket und Adress-Spoofing, und sie weist erweiterte Logging-, Benachrichtigungs- und Zählerfunktionen auf. Zudem gehörten IP-Maskerading, das Verstecken von IP-Adressen, und IP Address Translation zur Funktionalität der Linux-Firewall, erläutert Rodermund. Ferner sei die Analyse von IP-Paketen mit grafischer Visualisierung möglich.
Im Brennpunkt einer verlässlichen Sicherheitsinfrastruktur steht außerdem zunehmend der Web-Server. News-Services, Administrations-Services und der Web-Server selbst sind bei Novell per Default auf sicher gesetzt, das heißt, diese Dienste werden über einen gesicherten Port durchgeführt. Spitzner-von der Haar beschreibt die Vorgehensweise: "Für die Übermittlung des symmetrischen Schlüssels des Clients an den Web-Server kommt der öffentliche Schlüssel von RSA zum Einsatz. Der passende private Schlüssel zur Prüfung der Kommunikationsberechtigung liegt im Web-Server. Ist der Zugriff berechtigt, wird die Kommunikation zwischen beiden mit dem symmetrischen Schlüssel sicher über HTTP/S(ecure) abgewickelt."
Allen drei Web-Diensten lassen sich separate private Schlüssel zuordnen. Die privaten Schlüssel verhalten sich dabei konform zu den PKI-Lösungen (Public Key Infrastructure) von Entrust und Verisign, mit dem Vorteil für den Anwender, dass sie über diese Herstellergrenzen hinweg genutzt werden können.
Sicherung des Web-Servers unter LinuxIn gleicher Weise läuft die Absicherung des Web-Servers Apache innerhalb der Linux-Welt ab, wobei anders als unter Netware bereits heute ein starkes RSA und eine starke symmetrische Verschlüsselung mit 128 Bit Schlüssellänge zur Verfügung steht. "Dafür kann die Linux-Lösung unterschiedliche Web-Dienste nicht unterscheiden", moniert Rodermund. Die Basis für den sicheren Web-Server bildet das Open-Source-Paket "Open SSL". Über diese Freeware hinaus sind kommerzielle Pakete zum Thema "sicherer Web-Server" mit ähnlichem Leistungsspektrum erhältlich, so das Modul "Covalent Raven" und "Stronghold" als Apache-Derivat, mit einem vermeintlich besseren Support als bei der Freeware Apache.
Bei der Microsoft-Web-Server-Lösung "IIS 5.0" hat der Administrator bei der Sicherheitseinstellung die Wahl zwischen unverschlüsselter und Microsoft-spezifisch verschlüsselter Benutzer-ID/Passwort-Kombination sowie der PKI-typischen Verfahrensweise wie bei Netware und Linux. Zur asymmetrischen Verschlüsselung kann auch hier, wie beim Novell-System, bisher kein starker Algorithmus eingesetzt werden.
Was eine weitgehend vollständige Public-Key-Infrastruktur anbetrifft, so zeigt bislang nur Microsoft mit Windows 2000 Flagge. Bei Novell gilt lediglich als sicher, dass die PKI-Lösung von Entrust in Netware integriert werden soll. Wann dies der Fall sein wird, dazu will man sich bei Novell in Düsseldorf heute noch nicht äußern.
Mit Windows 2000 dagegen können PKI-Clients und -Server bereits via Active Directory auf den zentralen Verzeichnisdienst der Certified Authority (CA) zugreifen, auch via LDAP3, sofern dort ein Verzeichnis eines anderen Herstellers eingesetzt wird. Über die dort hinterlegten Benutzerprofile überprüfen diese Systeme dann durch einen direkten Online-Vergleich die Rechtmäßigkeit und Gültigkeit der zugesandten Zertifikate. Für diese Zertifikatsabfrage werden von Windows 2000 die Standardformate X.509 V.3 und IETF PKIX unterstützt. Mit der Produktfreigabe sollen fast alle wichtigen Microsoft-Anwendungen in die PKI dieses Herstellers einbindbar sein. Dazu gehören etwa der "Explorer 5.0", "Outlook 2000", "Outlook Express" und der "Internet Information Server 5.0".
* Hadi Stiel ist freier Journalist in Bad Camberg
Internet-VPNs
Auch das Internet-VPN (Virtual Private Network) mit seinen inhärenten Sicherheitsmechanismen wie Tunneling, Verschlüsselung und Authentisierung wird von den Herstellern zunehmend innerhalb ihrer Netzwerk-Betriebssysteme adressiert. Hinreichend Präsenz zeigt in dieser Hinsicht Novell. Über "Border Manager VPN" erschließen sich dem Unternehmen alle wichtigen Tunneling-Verfahren. Dazu zählen auf OSI-Schicht 2 die Microsoft-Variante Point-to-Point Tunneling Protocol (PPTP), die Cisco-Variante Layer 2 Forwarding (L2F) und Layer 2 Tunneling Protocol (L2TP), das beide Verfahren unter einen Hut bringt. Auch das für die Zukunft maßgebliche Schicht-3-Tunneling-Protokoll IPsec (Internet Protocol Security) fehlt nicht. Zur Verschlüsselung des Tunnels kann wiederum Kerberos oder RSA eingesetzt werden. Die dritte Säule des Internet-VPNs, die Authentisierung, ist nur über ein zusätzliches Modul umsetzbar. Hier hat der Anwender die Alternative zwischen Border Manager Authentication Services, NDS-Dialer oder aber dem Microsoft-Dialer.
Bei der Microsoft-Lösung ist der Zutritt zum Internet-VPN wie zu anderen Verbindungen über das Modul Internet-Zugangsassistent geregelt. Hier kann der Administrator flexibel einstellen, ob ein Internet-VPN, eine normale oder eine LAN-Verbindung eingerichtet werden soll. Mit Blick auf das Internet-VPN sind wie bei der Novell-Lösung PPTP, L2F, L2TP und IPSec wählbar. Die Authentisierung wird auch im Rahmen des Internet-VPN über Granting Tickets bewerkstelligt.
Mit dem Projekt FreeS/WAN wird derzeit für die Linux-Welt die Offerte Internet-VPN vorangetrieben. Dabei handelt es sich nach Angaben von Sornet um eine bereits verfügbare IPsec-Lösung, die mit dem automatisierten Schlüsselaustauschverfahren Internet Key Exchange (IKE) arbeitet. Der Schicht-3-Tunnel kann anders als bei der Novell- und Microsoft-Lösung auch stark verschlüsselt werden. Eine Gateway-zu-Gateway-Verbindung gibt es bereits. Eine Gateway-zu-Mobile-System-Lösung fehlt noch.
Abb.: Die VPN-Lösung FreeS/WAN für Linux unterstützt starke Verschlüsselung. Quelle: Stiel
Abb.: Die Authentisierung wird innerhalb Windows 2000 über sogenannte Granting Tickets abgewickelt. Quelle: Stiel
Abb.: Für jedes Dokument erzeugt die "Message-Digest"-Funktion ein eindeutiges Merkmal. Quelle: Stiel
Abb.: Verschlüsselung übersetzt Klartext in chiffrierten Text. Dazu wird ein Schlüssel benutzt. Entschlüsselung ist der umgekehrte Vorgang. Quelle: Stiel
Abb.: Aus der eigentlichen Botschaft wird eine Signatur erzeugt, die an die Nachricht angehängt wird. Mit ihrer Hilfe kann der Empfänger prüfen, ob die Nachricht unterwegs verändert wurde. Quelle: Stiel
Abb.: Für den Schlüsselaustausch zwischen Sender und Empfänger muss der Schlüssel auch kodiert werden. Quelle: Stiel