OS/2 2.1 aus Security-Gruenden geeignet Client-Server und Sicherheit sind keineswegs ein Widerspruch

12.11.1993

Eine DV-Umgebung aus Mainframe- und Unix-Server sowie OS/2- Clients hat eine grosse deutsche Bank installiert. Zu ihren Zielen gehoerte es, die Desktop-Rechner ueber ein einheitliches Konzept zu verwalten und zu konfigurieren. Wie der Konzern in diesem heterogenen Rechnerverbund seine hohen Anforderungen an die Datensicherheit durchsetzte, beschreibt Joerg Beyer*.

PC-Betriebssysteme mit grafischer Benutzeroberflaeche stellen neue Anforderungen an das Sicherheitskonzept von grossen Informationssystemen. Waehrend beim ASCII-Terminal nur die vom Host oder vom Server generierten Daten angezeigt wurden, sind PCs als intelligente Terminals zu eigenen Aktionen in der Lage, die dem Sicherheitskonzept eines Unternehmens zuwiderlaufen koennen.

DOS und Windows sind ohne Sicherheitssystem

Im Auftrag eines grossen deutschen Finanzinstituts erstellt die Berliner Ubis Unternehmensberatung fuer integrierte Systeme GmbH ein Konzept fuer die Datensicherheit. Es wird ein dreistufiges, heterogenes Netzwerk konzipiert, das auf Mainframe, Unix-Server und OS/2-Clients der Version 2.1 basiert.

"Saemtliche Benutzerprofile muessen vom Host an den Server und von diesem an die einzelnen Arbeitsplaetze ausgegeben werden", erklaert Knut Jessen, Leiter Sicherheits-Management fuer Informations- und Kommunikationssysteme bei Ubis. "Dieser Mechanismus darf nicht zu umgehen sein. Ein Eigenleben von Arbeitsplaetzen oder gar Servern darf ausserhalb des jeweiligen Benutzerprofils nicht stattfinden", skizziert Jessen die grundlegende Strategie der Datensicherheit. Ziel sei ein umfassendes Security-Konzept, das sowohl Schutz vor unerwuenschten vorsaetzlichen Handlungen als auch vor Fehlfunktionen biete.

De facto stellt der Einsatz von saemtlichen auf dem Markt befindlichen PC-Betriebssystemen besondere Anforderungen, da diese im Fall von MS-DOS und Windows voellig ohne Sicherheitssystem, unter OS/2 zumindest ohne Benutzerprofil arbeiten. Dennoch sprechen in der aktuellen Rightsizing-Debatte zu viele Gruende fuer intelligente Front-ends. Nur mit ihnen ist eine ergonomische grafische Benutzeroberflaeche realisierbar. Teure Rechnerinstanzen im Hintergrund werden von Aufgaben entlastet, die sich mit Rechenleistung am Arbeitsplatz genauso erfuellen lassen.

Das Finanzinstitut waehlte OS/2 als Client-System, weil es zum Entscheidungszeitpunkt verfuegbar war und im Vergleich zu Windows 3.1 eine deutlich hoehere Stabilitaet aufwies. Ausserdem sollten die Arbeitsplaetze in ein einheitliches IBM-Kommunikationsnetz integriert werden. Dieses setzt ueber den LAN-Manager im Token Ring auf Unix-Workstations auf, die wiederum - im Rahmen des bundesweiten Filialbetriebs vielfach ueber Datenleitungen - mit dem zentralen Host verbunden sind.

Die Aufgabe lautete: "Die Desktops sind ueber ein einheitliches Konzept zu administrieren und konfigurieren. Im Sinne des Client- Server-Computings werden unternehmensrelevante Daten auf den Clients ver- beziehungsweise bearbeitet, ganz gleich, wo die juristischen Daten gehalten werden. Aufgrund der damit einhergehenden Zunahme an Systemanforderungen im dezentralen Bereich sind fuer die Desktops Massnahmen vorzuhalten, die die Vertraulichkeit, Integritaet sowie Verfuegbarkeit der Daten sicherstellen."

Fuer die Systemsicherheit bietet OS/2 besonders in der Version 2.1 diverse Funktionen:

- Das Preemptive Multitasking mit dynamischer Prioritaeten- verwaltung verhindert, dass eine nicht terminierende Task den kompletten Systemzugriff blockiert oder dass niedrige Prioritaeten bei hoher Systemauslastung nicht mehr bearbeitet werden.

- Die virtuelle Speicherverwaltung schliesst den Zugriff von Programmen auf Speicherbereiche aus, die nicht freigegeben sind. So werden unkontrollierte Systemzustaende vermieden, ohne dass erneut gebootet werden muss oder die Daten anderer Applikationen gefaehrdet sind.

- Ein dritter Schutzfaktor ist die Anwendungsentwicklung fuer echte Applikationen der Version 2.x ueber die Application Programming Interfaces (API). Damit entfallen direkte Zugriffe auf das Betriebssystem, es werden einheitliche Konventionen zwischen verschiedenen Anwendungen verwendet.

Fuer die Zugriffskontrolle stellt OS/2 2.1 den kennwortgeschuetzten Bildschirmschoner zur Verfuegung, der sich auch durch erzwungenes Booten nicht umgehen laesst. Er kann jedoch genauso wie Batch- gesteuerte Netzprozeduren durch einen Systemstart von der Diskette ueberlistet werden. Damit wurde also ein diskettenloser PC zur zentralen Sicherheitsvoraussetzung.

Eine Zugriffskontrolle ueber Benutzerprofile bietet dagegen der LAN-Manager. Damit wird der Daten- und Programmbestand des Servers gegenueber den Anwendern mit Benutzerprofil gesichert. Im Rahmen dieser Architektur duerfen zu schuetzende Ressourcen nicht auf dem Client installiert werden. Demnach sind also schuetzenswerte Applikationen und Dateien auf dem Server zu plazieren. Am besten ist es sogar, alle Daten, abgesehen vom Betriebssystem, auf den Server auszulagern.

Die Identifikation wird dabei im jeweiligen LAN durch Funktionen des Netzwerks erreicht. Fuer den Arbeitsplatz muss die Konfiguration gemaess einem vom Server zur Verfuegung gestellten Profil garantiert werden, das wiederum ueber die zentrale Benutzerverwaltung im Host kontrolliert wird. In den einzelnen Filialen lassen sich die erforderlichen Benutzerprofile auf den jeweiligen Server vor Ort herunterladen, der wiederum den Arbeitsplatzrechner entsprechend konfiguriert.

Zwei Konfigurationsaspekte werden dabei getrennt: einerseits die sicherheitsrelevanten Zugriffsmoeglichkeiten auf Ressourcen und Anwendungen, andererseits persoenliche Konfigurationen wie Layout-Angaben ueber Position und Zustand von Fenstern sowie Informationen ueber den letzten Status der Arbeitsplatzumgebung vor dem Shutdown.

Der Benutzer erhaelt nach der jeweiligen Identifikation und Legitimation seine individuelle Benutzeroberflaeche zur Verfuegung gestellt. Diese kann bei einer kompletten Speicherung der Initialisierungsdaten auf dem Host in jeder Unternehmensfiliale an jedem Arbeitsplatz aufgerufen werden. Im Normalfall genuegt allerdings meist die schnellere, dezentrale File-Verwaltung auf dem Server, die nur die eigentlichen Legitimationsdaten ueber die Zentrale bearbeitet.

Dieser ganze Vorgang muss zwangsweise beim Booten ausgeloest werden, damit der Client nicht zu einem frei manipulierbaren Bereich wird, auf dem bis zum Einloggen ins Netz betriebsfremde Programme, beispielsweise Spiele oder Manipulationssoftware mit entsprechenden Risiken wie Viren und Masquerade-Programmen aktiv werden koennen. Einen Schutz vor dem Booten von Disketten bietet der diskettenlose Arbeitsplatz.

Wenn dann ausserdem die relevanten Initialisierungsdateien "os2sys.ini" und "os2.ini" ausschliesslich auf dem Server gehalten werden, ist der Stand-alone-Betrieb des Rechners ausgeschlossen. Diesen Ladevorgang waehrend der Batch-gesteuerten Initialisierung durch die Config.sys kann das durch den LAN-Server bereitgestellte Remote Tutorial Program Load (RTPL) durchfuehren.

Je nach Anzahl der Netzteilnehmer, der Groesse der Server und der Leistungsfaehigkeit des LANs werden die Anwendungen dann entweder vom Server aus gestartet oder temporaer auf den Client ausgelagert. Damit erfolgt trotz des Sicherheitskonzepts eine sinnvolle Last- und Ressourcenverteilung zwischen Client und Server.

Die Konfigurationsdateien lassen sich wiederum ueber die Programm- Schnittstelle PrF-API im Sinn des Sicherheitskonzepts durch ein eigenstaendiges Programm bearbeiten. In dessen Entwicklung liegt aus Ubis-Sicht die Hauptaufgabe fuer die Systementwicklung. Mit ihm lassen sich aktive Objekte und Systemzustaende kontrollieren und steuern. Die so bearbeiteten ini-Dateien werden direkt nach dem Booten uebertragen und lassen sich waehrend des OS/2-Betriebs nicht aendern. Zusaetzlich muss ein Vorgang gefunden werden, der sie waehrend des Shutdowns wieder auf den Server uebertraegt.

Maximale Sicherheit mit minimalem Aufwand

Vergleichbar ist auch das Vorgehen fuer virtuelle DOS-Maschinen in DOS- und WIN-OS/2-Sessions. Fuer sie lassen sich entsprechende autoexec.bat- und win.ini-Dateien verwalten. Die eigentliche Steuerung der verfuegbaren Programmressourcen erfolgt dann ueber eine dem Benutzerprofil entsprechende Bereitstellung im Systemstart-Ordner, die vom Programm zum Management der ini- Dateien auf dem Server erfolgt.

Security-Experte Jessen ist sich sicher, dass dieses Konzept alle Sicherheitsanforderungen erfuellt, eine hohe Performance entsprechend dem Client-Server-Konzept gewaehrleistet und mit einem Minimum an Zusatzapplikationen ohne weitere Hardware realisiert werden kann. Auch die Administration wird im Rahmen einer einheitlichen Betriebsfuehrung unterstuetzt. Ergaenzende Softwaremodule, Security-Boards und Chiffrier-Chips, die mit der Implementation zusaetzlicher systemnaher Hard- und Software immer Risiken fuer die Stabilitaet bieten, werden nicht benoetigt.

Auf der Seite des zentralen Mainframes ist gerade in der Finanzwirtschaft das Sicherheits-Management mit ausgefeilter Zugriffskontrolle, Backup-Rechenzentrum und gebunkerten Rechnern so weit fortgeschritten, dass hier die geringsten Sicherheitsrisiken liegen. Fuer das Server-Umfeld muss der Aspekt der physischen Sicherheit noch staerker ins Bewusstsein ruecken. So sollte auch fuer den oder die jeweiligen Filialrechner die Installation in gesicherten Raeumen mit Zugangskontrolle eine Selbstverstaendlichkeit sein.

Diese Forderung gilt auch fuer die Konsole des Systemverwalters, die beispielsweise durch eine Chip-Karte zusaetzlich geschuetzt werden kann. Die konsequente Anbindung an die Benutzerverwaltung des Hosts sowie der Einsatz evaluierter Betriebssystem- Komponenten mit zusaetzlichen Sicherheitseigenschaften zur Optimierung der Security des jeweiligen Unix-Derivats sind hier angebracht.

Weitere Aspekte betreffen, aehnlich wie im Grossrechnerumfeld, die Systemverfuegbarkeit: unterbrechungsfreie Stromversorgung (USU), gespiegelte Festplatten, redundante Peripherie, Wiederanlaufoptimierung sowie Backup- und Restore-Mechanismen sind auch auf Filialebene unbedingt erforderlich.

Schliesslich bleibt als sensibler Bereich die Netzwerk-Kommunikation. Hier muss als wichtigste Massnahme das Chiffrieren sensibler Daten waehrend der Uebertragung gelten. Ein Abtasten von Informationen wird durch Glasfasersysteme verhindert. Schliesslich muss ein komplettes Controlling saemtlicher Aktivitaeten im Netzwerk auf den drei Ebenen Host, Server und Client moeglich sein. So koennen Unregelmaessigkeiten erkannt und Massnahmen vom Administrator ergriffen werden.

Jessen stellt konkrete Forderungen an die Computerindustrie: "Unter Right- beziehungsweise Downsizing duerfen nicht die Sicherheitsstandards leiden. Auch auf der Server-Ebene und insbesondere auf dem Arbeitsplatzrechner muessen von den Betriebssystem-Entwicklern Sicherheitsstandards implementiert werden, wie sie im Mainframe-Bereich laengst selbstverstaendlich sind.

Die nachtraegliche Implementierung ist ein Mittel zweiter Wahl, das aber in der heutigen Betriebssystem-Welt nicht zu ersetzen ist."