Sicherheit im Netz/Von der rudimentären Firewall bis zum sicheren SAP-System

Die IT-Sicherheit bekommt durch E-Commerce neue Facetten

11.02.2000
Welches Unternehmen möchte nicht sein Netzwerk gegen Hackerangriffe, Viren oder sonstige schädliche Einflüsse von außen schützen? Abhängig vom Umfang der Kommunikationsaktivitäten via Internet erfordert dies laut Heinz Zerbes* eine ausgeklügelte Security-Strategie, die das Netzwerk, Systeme, Applikationen wie SAP R/3 und sogar die Datenspeicherung umfasst.

Die Zeiten, in denen Netzwerksicherheit mit Firewalls gleichgestellt wurde, sind vorbei. Bei den heutigen Anforderungen reicht diese Schutzmaßnahme nicht mehr aus. Mit der zunehmenden Akzeptanz des Internet als Vertriebskanal und elektronisches Bindeglied zwischen Unternehmen öffnen die Firmen ihre Netzzugänge immer mehr. Geschäftlich verbundene Unternehmen tauschen Informationen über das Internet aus oder greifen auf die Anwendungen des Kommunikationspartners zu. Kunden bestellen per E-Mail oder Web Waren, verfolgen ihre Aufträge oder rufen andere Informationen ab.

Der Web-Server kann damit nicht mehr als Stand-alone-Gerät im Netz hängen. Selbst Secure-Server-Netze, auch demilitarisierte Zonen genannt, verhindern nicht völlig, dass Daten, Anwendungen und Systeme manipuliert, zerstört, abgehört oder blockiert werden.

Eine IT-Sicherheitsstrategie sieht in diesem Szenario deshalb anders aus als noch vor etwa einem Jahr. Neben dem Netzwerk sind die Systeme, die Anwendungen und die Daten in ein Schutzkonzept einzubeziehen. Einen größeren Stellenwert muss dabei auch die Planung erhalten: Ohne Schutzbedarfsanalyse sollte ein sicherheitsbewusstes Unternehmen keine Maßnahmen implementieren.

Nicht vernachlässigt werden darf darüber hinaus die kontinuierliche Überwachung und Administration der Security-Policy. Anspruch und Wirklichkeit klaffen hier leider noch immer auseinander. Selten verfügen die Unternehmen über genügend Kapazität, die Administratoren ausreichend Zeit für eine stetige Weiterbildung, ständige Log-File-Auswertung und Kontrolle der Policies lässt. Neben Kenntnissen über Firewalls muss ein Administrator mit seinem Wissen immer mehr Felder abdecken.

Firewalls gelten auch heute noch als unbedingt notwendig für jede Systemanbindung ans Internet. Ihr Arbeitsbereich umfasst - abhängig vom Leistungsumfang - die verschiedenen IP-Protokollebenen. Wichtig für die Produktentscheidung sind vor allem Faktoren wie beispielsweise Datendurchsatz, Verfügbarkeit, zu nutzende Dienste, TCP/IP-Know-how, Verschlüsselung, Manpower, Standort oder die Frage, welches Betriebssystem genutzt werden soll. Entsprechend existieren am Markt derzeit viele Produkte, die sich - wenngleich sie alle in die Kategorie Firewall fallen - in ihren Stärken und Schwächen doch erheblich unterscheiden.

Schon die Entscheidung für eine reine Softwarelösung oder ein Komplettsystem mit Hardware kann dies beeinflussen. So bieten sich beispielsweise generell kombinierte Hard- und Softwarelösungen mit abgeschottetem Betriebssystem für Filialstrukturen an, vor allem wenn sie zentral administrierbar sind. Bei reinen Softwarelösungen kommt zudem grundsätzlich das Thema Betriebssystemsicherheit der Firewall-Plattform ins Spiel.

Fehlt im Unternehmen umfassendes TCP/IP-Know-how, könnte sich dies im Pflichtenheft in der Anforderung an einfache Konfigurierbarkeit niederschlagen, sprich: Passt die Lösung auch sonst ins Konzept, kann die Entscheidung für ein System fallen, bei dem alle Dienste einzeln freigeschaltet werden. Dadurch verringert sich die Gefahr von Sicherheitslücken, die entstehen, weil Dienste unwissentlich nicht gesperrt wurden.

Anwendungen stärker einbindenAls weitere Kerntechnologie für die Kommunikation und Systemverbindung über öffentliche Netze hat sich die Verschlüsselung (siehe Beitrag "Public-Key-Infrastrukturen erleichtern Schlüsselverwaltung" in diesem Schwerpunkt) etabliert. Kein Sicherheitskonzept kommt heute ohne entsprechende Lösungen aus. Interessant ist in diesem Zusammenhang die Ipsec-Initiative. Die führenden Firewall-Systeme unterstützen den Standard Ipsec mit unterschiedlichen Schlüssellängen für schwache (40 Bit) bis starke (156 Bit) symmetrische Verschlüsselung.

Neues Terrain für Security-Spezialisten sind auch die Anwendungen, die immer stärker eingebunden werden, zum Beispiel SAP R/3. So ist es denkbar, dass Niederlassungen über Virtual Private Networks (VPNs) auf die SAP-Anwendungen in der Zentrale zugreifen. Die Applikationen selbst bieten für diese Art der Nutzung in der Regel noch keine ausreichenden Schutzmechanismen.

SAP R/3 beispielsweise stellt für die Benutzerauthentisierung nur eine relativ schwache Verschlüsselung bereit - zu wenig für den Zugriff über unsichere Netze. Es sieht für höhere Sicherheitsanforderungen eine Schnittstelle vor, die es ermöglicht, stärkere Verschlüsselung einzubinden. Deshalb empfiehlt sich hier, den Original-Authentisierungsvorgang durch eine Drei-Wege-Authentisierung zu ersetzen, bei der Public-Key-Verfahren zum Einsatz kommen.

So kann auch über das Internet von den verschiedenen SAP-Clients aus sicher auf die Server für die Anwendungen zugegriffen werden.

Das Sicherheitsthema wird damit immer komplexer. Haben sich die Maßnahmen wie Virenschutzlösungen, Firewalls und Verschlüsselung auf den Internet-Zugang konzentriert, reicht dies in Zukunft nicht mehr aus. Mehrstufige Client-Server-Architekturen, die Einbindung des Übertragungsmediums Internet in die verschiedensten Geschäftsprozesse, verteilte Datenbanken etc. erfordern eine vielschichtige Betrachtung des Themas. Schwachstellen gibt es zur Genüge, und nicht alle betreffen die Internet-Dienste. Schon Betriebssysteme bieten Angreifern genügend Raum, Dienste und Rechner zu blockieren oder auszuschalten. Ein aktives Security-Management muss alle diese Punkte erkennen und im Auge behalten.

Deshalb ist auch das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Richtlinie für eine umfassende Sicherheitsanalyse noch immer keine veraltete Empfehlung.

* Heinz Zerbes ist Network Security Consultant bei der Articon Information Systems AG, Ismaning.

Security-Check FirewallDie Installation eines Firewall-Systems muss unter verschiedenen Gesichtspunkten geprüft werden. Dabei sind mindestens folgende Punkte zu behandeln:

- Design der Firewall-Umgebung

- Administration

- Firewall-Spezifikas

- Logging

- Alarmszenarien

- Datensicherung

- Überwachung per SNMP

- Sicherung der Hardware

- Sicherung der Zuleitungen

- Überprüfungen durch Externe

Quelle: Articon

Welches Firewall-System für welchen Zweck?Firewall ist bekanntlich nicht gleich Firewall. Der Teufel liegt im Detail. Die folgende Aufstellung gibt die Erfahrung von Spezialisten mit einigen Produkten wieder. Die "Check Point FireWall-1" aus dem Hause Check Point beispielsweise stellt eigentlich einen intelligenten Paketfilter mit einigen Proxies dar. Die Lösung hängt sich quasi in den TCP/IP-Stack ein und wird auch Hybrid-Firewall genannt. Interessant beim Fire-Wall-1 ist insbesondere die von Check Point patentierte Stateful-Inspection-Technologie, die aber mittlerweile auch schon von anderen Produkten adaptiert wurde: Das System erzeugt vom laufenden Netzverkehr Zustandstabellen und ermöglicht so eine verbesserte Nachverfolgung der Aktivitäten.

Diese Technologie bietet auch Vorteile für Hochverfügbarkeitskonfigurationen. Steht eine hochverfügbare Verbindung im Pflichtenheft, etwa wenn Partnern, Niederlassungen, Home-Banking-Kunden etc. der Zugriff via Internet jederzeit zur Verfügung gestellt werden muss, empfiehlt sich eine genauere Betrachtung des Check-Point-Produkts. Die Softwarelösung ist flexibel, birgt damit aber auch Nachteile: Vom Administrator wird einiges an TCP/IP-Know-how verlangt, da viele Einstellungen neu getätigt werden müssen. Auch das Betriebssystem sollte zusätzlich noch manuell abgesichert werden.

Ebenfalls auf dem Markt sind Kompaktlösungen, bestehend aus abgesichertem Betriebssystem und Firewall. Nokia ist damit beispielsweise ins Firewall-Geschäft eingestiegen und bietet eine Black-Box im 19-Zoll-Format an, die softwareseitig allerdings wiederum auf die Technologie von Fire-Wall-1 vertraut. Interessant sind solche Systeme beispielsweise für die Anbindung von Niederlassungen und Filialen, da die Boxen wenig Vor-Ort-Betreuung erfordern und sich zentral administrieren lassen.

Vergleichbar, da ebenfalls als intelligenter Paketfilter fungierend, ist "PIX" von Cisco. Auch dieses Produkt implementiert die Stateful-Inspection-Technologie und bietet sich damit für hochverfügbare Systemkonfigurationen an, die neben einem aktiven System eines im Stand-by-Modus betreiben. Ciscos Firewall tritt ebenfalls als eigene Box auf und verfügt über ein spezielles Betriebssystem. Das Thema "Betriebssystemsicherheit" ist für den Administrator zumindest bei der Firewall-Plattform vom Tisch.

Weniger anfällig für Sicherheitslücken durch fehlendes Know-how und falsche Einstellungen präsentiert sich "Axent Raptor". Diese Lösung vertraut ausschließlich auf Proxies und ist auch von weniger TCP/IP-versierten Administratoren gut bedienbar. Grundsätzlich sind hier alle Dienste quasi ab Werk gesperrt und müssen dediziert freigeschalten werden. Die Software enthält die meisten der gängigen Proxies, alle wichtigen Standardprotokolle werden unterstützt. Solche Out-of-the-Box-Firewalls bieten natürlich mehr Einschränkungen hinsichtlich der Unterstützung neuer Dienste, wobei dies hier durch die Möglichkeit ausgeglichen wird, selbst generische Proxies aufzubauen. Wieder zeigt sich aber deutlich, dass der Grundsatz "Hohe Flexibilität gleich höheres Risiko" sowie "Geringere Flexibilität gleich mehr Sicherheit" zutrifft. Für Unternehmen, die nur die Standarddienste nutzen und nicht über sehr tiefes TCP/IP-Know-how verfügen, bietet sich aber eine solche Lösung an, vor allem, wenn die Strategie Windows NT heißt, dessen Besonderheiten berücksichtigt werden. Nachteilig könnte sich bei hohem Datendurchsatz die verglichen mit Filtern naturgegeben etwas geringere Performance der Proxy-Systeme auswirken.

Eine ganz andere Art von Firewall stellt "Sunscreen SPF 200" von Sun dar, denn hier handelt es sich um ein Stealth Gateway. Die Besonderheit: Das System ist von außen unsichtbar und somit nicht angreifbar, es hat keine IP-Adressen. Eigentlich arbeitet die Hardware-Software-Lösung wie eine Bridge, also auf Ebene zwei des OSI-Schichtenmodells. Als alleiniges Firewall-System ist Sunscreen nicht uneingeschränkt zu empfehlen. Seine besonderen Vorzüge treten jedoch bei zweistufigen Konzepten zutage, also wenn hohe Sicherheitslevel zu realisieren sind. So lässt sich der Internet-Zugang beispielsweise mit einem System à la Fire-Wall-1 absichern. Ein besonders schützenswertes Netzsegment, etwa die Produktionsabteilung oder das Netz mit den Kunden- und Umsatzdaten, erhält darüber hinaus einen Sunscreen SPF 200 vorgeschaltet. Auch WAN-Verbindungen, etwa zwischen Niederlassungen oder Partnerfirmen, sind damit gut zu schützen

Abb.: In Sachen Sicherheit greifen mehrere Ebenen ineinander. Nur wenn jede beteiligte Komponente beschützt ist, wird hohe Sicherheit erreicht. Quelle: Articon