Mangelhaftes Netzmanagement führt zu vermeidbaren Sicherheitslücken

Einem lokalen Netz droht von vielen Seiten Gefahr

16.02.1990

* Roland Schützig ist Mitarbeiter der Infodas GmbH, Köln

Lokale Netze: Unklare Begrifflichkeit

Der Begriff des lokalen Netzes ("Local Area Network", LAN) ist nicht exakt definiert. Eine Reihe von Merkmalen kennzeichnet ebenso LANs wie die ähnlich ungenau definierten Weitverkehrsnetze oder öffentlichen Netze, von denen man sie abgrenzen will. Diese sind:

- eine starke funktionale Kopplung der beteiligten DV-Systeme mit intensivem Datenaustausch,

- eine homogene Topologie,

- eine maximale Entfernung zwischen den Netzknoten von wenigen Kilometern,

- typische Übertragungsraten von mehr als 1 Mbit pro Sekunde,

- geringe Fehlerraten bei der Übertragung.

In der Regel ist ein lokales Netz ein Rechnernetz innerhalb einer Organisation - einer Behörde, einem Unternehmen, einer Universität - das keine öffentlichen Übertragungsleitungen benutzt. All diese Merkmale beinhalten zahlreiche Implikationen für den Entwurf den Betrieb und die Sicherheit solcher Netze.

Lokale Netze werden auch durch die Ausprägung der Funktionen in den unteren beiden Schichten des "OSI-Basisreferenzmodells" charakterisiert. Das Basisreferenzmodell der Kommunikation offener Systeme der ISO strukturiert die Kommunikationsdienste und -funktionen in einem vernetzten System gemäß dem bekannten "Sieben-Schichtenmodell".

In jeder Schicht werden die - nach oben hin zunehmend von technischen Einzelheiten der Kommunikation abstrahierten - Funktionen auf der Basis der Dienste der jeweils darunterliegenden Schicht erbracht. Dazu müssen für jede Schicht "Protokolle" definiert und implementiert sein. Nicht in allen Netzen sind diese Protokolle bis zur Schicht 7 vorhanden. Wird nur ein reiner Datentransportdienst benötigt, reicht die Implementierung der ersten vier Schichten.

Während die Funktionen der unteren drei oder mehr Schichten in öffentlichen Netzen durch die von der Post angebotenen Dienste festliegen (zum Beispiel X.25), ist die Kommunikationswelt in lokalen Netzen stark von firmenspezifischen Standards bestimmt. Zur Standardisierung der LAN-Protokolle entwickelte die International Standard Organisation (ISO) die Norm: ISO 8802, mit der die in lokalen Netzen anzubietenden Funktionen in der Bitübertragungsschicht (Physisal Layer) und der Sicherungsschicht (Data Link Layer) vereinheitlicht werden. Hier werden auf der Ebene 1 und einem Teil der Ebene 2 die Dienste und Funktionen des "Carrier Sense Multiple Access with Collision Detection" (CSMA/CD, etwa Ethernet) und der Token-Access-Methoden normiert.

Ein solches lokales Netz "im engeren Sinn" ist Basis für Transportprotokolle und anwendungsspezifische höhere Protokolle.

Von Roland Schützig *

Mehr noch als für klassische DV-Systeme gilt für vernetzte Systeme, daß es absolute Sicherheit nicht gibt. Gefahren drohen nicht nur von Spionen und Saboteuren, sondern auch von technischen Mängeln. Wer sich vor unliebsamen Überraschungen schützen will, sollte sein Netz sauber konzipieren, die Produkte genau prüfen und auf ein ordentliches Netzmanagement achten.

Ein Fehlverhalten von DV-Systemen kann grundsätzlich entweder auf technische, auch softwaretechnische, Fehler zurückzuführen sein, oder auf böswillige Aktionen von Benutzern, die Designschwächen des Systems ausnutzen. Für beides bieten vernetzte Systeme im allgemeinen gute Voraussetzungen.

Während die Hardware der einzelnen Netzknoten, also deren Prozessoren, Speicherelemente etc., einer allgemeinen Entwicklung folgend, immer zuverlässiger wird, ist dies bei der Software nicht notwendigerweise so. Die in Jahrzehnten gewachsene Software eines alten Betriebssystems kann zuverlässiger sein als die oft schnell entwickelte Implementierung eines neuen Kommunikationsprotokolls.

Wenn die Vernetzung mit dem Ziel einer "offenen" Kommunikation auf der Basis internationaler Standards erfolgte, zeigte sich in der Vergangenheit, daß Formulierungsschwächen bei der Standarddefinition zu abweichenden Interpretationen bei verschiedenen Herstellern führen können. Die Folge sind Protokollimplementierungen, die zwar korrekt programmiert sein mögen, aber unbemerkt abweichende Annahmen machen, so daß angeblich gleiche Systeme nicht in der Lage sind, zusammenzuarbeiten.

Ein weiteres technisch bedingtes Problem stellt das "Fehlrouting" von Datenpaketen dar, das bei fehlerhafter Software nicht nur in paketvermittelnden Weitverkehrsnetzen auftreten kann, sondern auch in LANs, wenn diese aus mehreren Teilnetzen bestehen, die durch "Gateways" verbunden sind. Ältere Kommunikationsprotokolle weisen dazu oft inhärente Schwachstellen in puncto Sicherheit auf: Bei ihrer Entwicklung stand meist eine effiziente Funktionalität im Vordergrund, während alle anderen Aspekte, insbesondere die Sicherheit, vernachlässigt wurden.

Einer der anfälligsten Punkte, auch für gezielte Angriffe, sind schließlich die eigentlichen Kommunikationsleitungen, allein schon wegen ihrer physischen Exponiertheit. Die Zugänglichkeit der Leitungen so wie hardwarenaher Systemkomponenten (wie etwa Kommunikationsprozessoren) ermöglichen einem fachkundigen Angreifer besonders folgenschwere Aktionen. Der Hauptgefahr dabei, dem "Abhören" der elektromagnetischen Abstrahlung der Kommunikationsverbindungen und Geräte, kann allerdings mit konstruktiven und baulichen Maßnahmen begegnet werden.

Aus einer mehr anwenderbezogenen Sicht besteht eine Gefährdung vor allem im

- Verlust der Vertraulichkeit,

- Verlust der Integrität und

- Verlust der Verfügbarkeit.

Diese Gefahren sind in vernetzten Systemen besonders groß. Wer es schafft, sich Zugang zur Kommunikationsverbindung zwischen zwei Netzteilnehmern zu verschaffen, kann deren vertrauliche Daten lesen. Ein solcher Angriff muß nicht unbedingt durch ein physisches Abhören der Verbindungen erfolgen, er ist durch eine nicht vorgesehene Teilnahme an der Verbindung in einer der höheren Funktionsschichten ebenso möglich. Wenn sich ein Netzknoten physisch vollständig im Einflußbereich des Angreifers befindet, kann sich dieser durch eine Manipulation der Software alle Schnittstellen zwischen den Funktionsschichten des OSI-Modells zugänglich machen. In einem LAN ist dabei die Schnittstelle zwischen der oberen Hälfte der Sicherungsschicht ("Logical Link Control") und der unteren Hälfte derselben Schicht ("Medium Access Control") interessant. Hier kann in der Regel der gesamte Datenverkehr abgehört werden, da sich in einem LAN alle Teilnehmer ein Medium teilen.

Wenn der abgehörte Datenverkehr nicht gestört wird, spricht man von einem "passiven" Eingriff. Bei einem "aktiven" Eingriff ist die Integrität der Datenverbindung gefährdet. Die Daten oder deren Interpretationen können durch Modifikation, Hinzufügen oder Löschen sowie Wiederholung oder Verzögerung verändert werden. Das Verhalten der Kommunikationsteilnehmer kann durch Vortäuschen einer falschen Identität oder Leugnen einer Verbindung beeinflußt werden.

Unbemerkte versehentliche Beschädigungen von Daten sind heute kaum noch zu befürchten, da erprobte Prüfsummenverfahren aus den unteren beiden Ebenen des OSI-Modells inzwischen Standard sind. Vor willigen Angriffen können die Verfahren wegen ihrer relativen Einfachheit allerdings nicht schützen.

Personal Computer sind besondere Gefahrenquellen

Die Blockade von Kommunikationsmedien durch ständige Beanspruchung schließlich kann zu einem Verlust der Verfügbarkeit des Mediums für andere Netzknoten und damit einem Verlust der Verfügbarkeit von Dienstleistungen für den Benutzer führen. Auch dies ist dann besonders leicht möglich, wenn dem Angreifer Netzknoten vollständig zur Verfügung steht.

Mögliche Maßnahmen gegen aktive wie passive Angriffe sind kryptographische Verfahren verschiedenster Art wie etwa die Verschlüsselung der vertraulichen Daten innerhalb der vierten Ebene des OSI-Modells, die Transportschicht. Mit anderen oder erweiterten Verfahren läßt sich auch die Unversehrtheit der Daten sicherstellen, eine Verkehrsflußanalyse unterbinden, die Authentizität von Kommunikationspartner und Daten feststellen, oder ein Sender- beziehungsweise Empfängernachweis führen.

Generell jedoch ist der Ersatz kryptorgaphischer Verfahren ziemlich kostspielig. Die Installation von sinnvollen und praktikablen kryptographischen Komponenten in einem LAN erfordert die vorherige genaue Analyse der Sicherheitsanforderungen, also eine Klärung der real zu befürchtenden Gefahren.

Auf solche Verfahren kann zur Zeit nur dann verzichtet werden, wenn es möglich ist, die Integrität der Hard- und Softwarekonfiguration jedes Netzknotens durch organisatorische Maßnahmen zu sichern.

Aus diesem Grund sind die "klassischen" Sicherheitsmaßnahmen, wie Zugangskontrollen, Logbücher und Alarmanlagen auch bei LANs von Interesse.

Personal Computer sind, sofern vernetzt, generell besondere Gefahrenquellen. Insbesondere in PC-Servernetzen, in denen ein ausgezeichneter Rechner im Netz als Software-Server dient, ist zudem die Ausbrechung von manipulierter Software (Computerviren) begünstigt, wenn der Server unvorsichtig verwaltet wird.

Über die Installation hinaus muß ein lokales Netz bewußt verwaltet und betrieben werden. Die Vernachlässigung einer der vielen Facetten des sogenannten Netzmanagements äußert sich im günstigen Fall "nur" in Performance-Einbußen oder mangelnder Verfügbarkeit. Prinzipiell jedoch weisen alle Netze, die entsprechende

Managementfunktionen nicht oder nicht ausreichend unterstützen, beziehungsweise in denen diese nicht genutzt werden, Sicherheitslücken auf.

Standardisierung der Sicherheit

Zahlreiche Institutionen bemühen sich zur Zeit weltweit um eine Standardisierung der Funktionen und Mechanismen, die der Realisierung sicherer Netze dienen. Dies fördert neben einem einheitlichen Verständnis des Begriffs der Datensicherheit (das durchaus noch nicht vorhanden ist) auch die Entwicklung zukünftiger Produkte. Ferner gestattet eine Normierung dem Betreiber eines Netzes, seine Sicherheitsbedürfnisse zu präzisieren und zu artikulieren.

Mit am weitesten sind in dieser Hinsicht die Bemühungen der ISO gediehen, die in einem Zusatz zum OSI-Basisreferenzmodell Sicherheitsfunktionen strukturiert und Vorschläge für deren Lokalisierung innerhalb des 7-Schichtenmodells macht.

Noch mehr als für klassische isolierte DV-Systeme gilt für vernetzte Systeme, daß es "das sichere System" im engeren Sinn nicht gibt. Man kann lediglich feststellen, daß ein lokales Netz Sicherheitsfunktionen besitzt, die, gemessen an den vorher bestimmten Risiken, in ihrer Gesamtheit ausreichen, um diesen Risiken in einem vertretbaren Maß zu begegnen. Dabei ist es jedoch notwendig, sich davon zu überzeugen, daß die entsprechenden Mechanismen auch hinreichend gut implementiert sind. Das dabei gewonnene Vertrauen in eine Netzimplementierung kann, sinnvoll quantifiziert, in eine Beurteilung der Sicherheit einfließen.

Diesem Konzept einer Sicherheitsevaluation folgen die seit 1989 verfügbaren "IT-Sicherheitskriterien" der Zentralstelle für Sicherheit in der Informationstechnik (ZSI). Dort ist, zu "Funktionalitätsklassen" gruppiert, eine Reihe von Sicherheitsfunktionen zusammengestellt.

Durch Beurteilung der Qualität dieser Sicherheitsfunktionen gelangt die ZSI, als einzige bislang gesetzlich zugelassene Evaluationsbehörde, zu einem differenzierten Urteil über die Sicherheit eines geprüften Produktes. Das Ergebnis der Prüfung wird in einem Zertifikat bescheinigt.

Obwohl diese Kriterien auch für lokale Netze angewendet werden, bleiben zahlreiche theoretische Probleme noch auf längere Sicht Gegenstand der Fachdiskussion. Es wird noch einige Jahre dauern, bis eine weiter vorangeschrittene Standardisierung und bis theoretische Erkenntnisse in der DV-Technik im allgemeinen, in der Kommunikationstechnik im besonderen, in der Datenbanktechnik, der Kryptographie, und in vielen anderen Bereichen es gestatten, bei dem Problem Datensicherheit über Fall-zu-Fall-Entscheidungen hinaus zu allgemein verwendbaren und akzeptierten Aussagen zu gelangen.

Zum Netzmanagement gehört:

- Configuration Management - der Betreiber muß stets über den Aufbau und den Umfang seines Netzes im Bilde sein.

- Accounting Management und Access Control - eine korrekte Identifizierung ist zur Feststellung der Autorisierung und der Verantwortlichkeiten bei Aktionen jeder Art entscheidend.

- Naming and Addressing - die korrekte Ansprache aller Objekte im Netz, insbesondere eine korrekte Abbildung von logischen Namen auf LAN-spezifische physikalische Adressen, ist die Voraussetzung für einen sicheren Betrieb.

- Performance Management - im Interesse der Verfügbarkeit von Anwendungen und Netzressourcen.

- Fault Management - der Ausfall von Kommunikationsressourcen und ganzen Netzknoten ist kein seltenes und zu vernachlässigendes Ereignis, sondern muß stets berücksichtigt werden.