TCP/IP-Netze, oft mit Anbindung an das Internet, werden immer erfolgreicher. Mit der Teilnehmerzahl wachsen freilich auch die Sicherheitsanforderungen. Michaela Kurz* beschreibt einige Security-Konzepte.

Unix kommt selten allein: Meist sind Unix-Systeme Teil eines heterogenen TCP/IP-Netzes, oft mit einer Anbindung an das weltweite Internet. Sogar ohne einen Unix-Host im Netz kann TCP/IP ein sinnvolles Vernetzungsprotokoll sein: Die Protokollfamilie TCP (Transmission Control Protocol) und IP (Internet Protocol) hat sich als das Esperanto der DV zur Vernetzung grosser heterogener Systeme etabliert.

In TCP/IP-Netzen muss wie anderswo die Vertraulichkeit der uebertragenen Informationen gewahrt werden. Moeglich sein muss ferner die wechselseitige Authentifikation von Clients, die Dienste nutzen wollen, und Servern, die diese Dienste anbieten. Konzepte, um diesen Sicherheitsanforderungen zu entsprechen, existieren auf verschiedenen Ebenen, die zum Teil mit den beteiligten Netzwerkschichten korrespondieren.

Rechnerverbund mit Feuerwall schuetzen

Auf unterster Ebene kann man das Netzwerk durch sogenannte Krypto- Boxen nach aussen hin abschotten. Diese Loesungen bieten eine Hardwareverschluesselung auf der Sicherungsschicht an. Wesentliche Nachteile sind der Verlust der Interoperabilitaet mit Partnernetzen sowie das Fehlen eines feiner abgestuften Sicherheitskonzepts innerhalb des Netzes. Auch sind diese Loesungen im allgemeinen an ein festes Uebertragungsmedium gebunden (zum Beispiel Ethernet).

Sicherheitsfunktionen fuer IP werden in RFC 1038 definiert

(Request for Comments, Sammlung von Spezifikationen und Drafts fuer den Datenverkehr im Internet). Die dort empfohlenen Protokolloptionen werden jedoch in den verbreiteten Implementationen kaum beruecksichtigt.

Ab der Ebene des IP-Protokolls laesst sich der Rechnerverbund am besten durch eine Firewall-Stra-tegie schuetzen: Ein Gateway- Rechner uebernimmt diese Funktion, indem er nur an sich adressierte IP-Pakete annimmt beziehungsweise durchlaesst. Dieser Filter kann auch durch einen intelligenten Router realisiert werden. Das Gateway filtert dann diese Pakete nach den Anwendungsprotokollen und verweigert den jeweiligen Dienst beziehungsweise stellt ihn bereit. Damit ist es zum Beispiel moeglich, eine eingeschraenkte Internet-Anbindung zu realisieren, bei der den Benutzern nur E- Mail-Dienste gestattet und alle direkten Zugriffe wie etwa Telnet und FTP (File Transfer Protocol) gesperrt sind. Gerade diese beiden am haeufigsten genutzten Dienste zum Terminalfernzugriff (Telnet) beziehungsweise zum Dateitransfer (FTP) weisen eine besonders eklatante Sicherheitsluecke auf: Bei ihnen wird das Passwort des Benutzers unverschluesselt uebertragen. In einem PC-LAN ist es nicht besonders schwierig, mittels geeigneter Hard- und Software zur Netzwerkanalyse die ersten 100 Bytes einer TCP- Verbindung aufzuzeichnen und so Passwoerter auszuspaehen.

Typische Probleme der klassischen Unix-Umgebung

Ein Fehler im Fingerservice einer Unix-Variante, der zum Abfragen der Benutzerdaten eines Hosts dient, sowie eine Funktionalitaet des Sendmail- Programms wurde 1988 von einem Virus ausgenutzt, der als Internet Worm bekannt wurde. Der Wurm verbreitete sich rasend schnell im Internet und fuehrte dazu, dass die befallenen Systeme immer langsamer wurden und schliesslich wegen Ueberlastung ausfielen.

Diese und aehnliche Probleme sind typisch fuer die klassische vernetzte Unix-Umgebung. Oft besteht die Sicherheitsproblematik darin, dass sich ein Programm oder Prozess die Superuser-Identitaet erschleicht und dann mit uneingeschraenkten Rechten weitere Manipulationen vornehmen kann.

Die gemeinsame Nutzung von Ressourcen in TCP/IP-Netzwerken geht aber noch einen Schritt weiter: Den transparenten Zugriff auf entfernte Dateien bietet ein NFS Server an (Network File System). NFS wurde von Sun Microsystems entwickelt und von vielen anderen Herstellern lizenziert. Der transparente Zugriff birgt neue Sicherheitsrisiken: Ein Benutzer bearbeitet Dateien auf einem entfernten Host, ohne sich jemals dort eingeloggt zu haben. Eine Autorisierung mit ueber das Betriebssystem Unix hinausgehenden Mechanismen erfolgt nicht. Greift ein Client von einem PC-LAN aus auf den NFS-Server zu, so kann er unter Vortaeuschung einer falschen Identitaet Daten ausspaehen.

Transparenz schafft ein Sicherheitsrisiko

Ein aehnlicher Gegensatz zwischen Transparenz und Sicherheit ergibt sich bei NIS (Network Information Service, frueher Yellow Pages), dem Dienst fuer den zentralen Zugriff und die zentrale Verwaltung von Benutzerdaten.

Durch einen Sicherheitsmechanismus in der darunterliegenden Schicht (Secure RPC) sind NFS und NIS bedeutend sicherer geworden (Secure NFS, NIS+). In heterogenen Systemen, wo NFS haeufig verwendet wird, und beim Einsatz von Unix-Systemen verschiedener Hersteller bleibt eine sichere Bereitstellung von Ressourcen ueber das Netzwerk schwierig.

Unix wird durch diese Dienste immer mehr zu einem verteilten System, ohne die noetigen Sicherheitsmechanismen zu besitzen. Das klassische Unix-Authentifikationsschema User/Host mittels eines Passworts bietet fuer vernetzte oder verteilte Systeme weder ein ausreichendes Sicherheitsniveau noch genuegend Moeglichkeiten zur Abstufung der Berechtigungen. Auch die Rechtevergabe fuer Dateien im Unix-Dateisystem kann netzweite Organisationsstrukturen nicht nachbilden.

Ein Meilenstein auf dem Weg zur Sicherheit in verteilten Unix- Systemen ist das am Massachusetts Institute of Technology

(MIT) entwickelte Kerberos. Jeder der drei Koepfe des Hoellenhunds der griechischen Sage sollte urspruenglich einen Sicherheitsdienst symbolisieren: Identifikation und Authentifikation, Autorisierung und Zugangskontrolle und schliesslich Audit und Accounting. Kerberos realisiert jedoch nur die Funktionen der ersten Gruppe vollstaendig. Audit- und Accounting-Faehigkeiten fehlen voellig.

Die Authentifikation via Kerberos erfolgt fuer den Benutzer transparent. Sie basiert auf Tickets, die die Benutzersoftware fuer jeden Service vorweisen muss. Beim Einloggen erhaelt der Benutzer vom Kerberos-Server sein erstes Ticket, dasjenige fuer den Ticket- Granting-Service, zusammen mit einem Session-Key. Beide Informationen sind mit dem Passwort des Benutzers verschluesselt. Die weitere Kommunikation mit dem Sicherheitssystem wird mit dem Session-Key verschluesselt abgewickelt. Die vom Benutzer gestarteten Prozesse koennen nun vom jeweiligen Server weitere Dienste beantragen, zum Beispiel Dateizugriffe.

Kerberos, Version 5, unterstuetzt mehrere symmetrische Verschluesselungsalgorithmen und bietet auch Ansaetze fuer Chipkarten. Diese ermoeglichen den Schritt von der einfachen Authentifika-

tion nach CCITT X.509 mittels Passwort zur starken Authentifikation ueber Public-Key-Verfahren. Dabei wird der geheime Schluessel des Benutzers, der dessen nicht faelschbares Merkmal darstellt, ausschliesslich auf der Chipkarte gespeichert. Das Passwort wird durch eine PIN (Personal Identification Number) ersetzt, die nur den Zugriff auf die Chipkarte regelt und vom Netz abgekoppelt ist. Kerberos ist weniger wegen der Applikationen bedeutsam, die diesen Service nutzen, als wegen seines Konzepts, das in viele moderne Sicherheitsarchitekturen einfliesst.

Das Distributed Computing Environment (DCE) der Open Software Foundation (OSF) ist ein offenes verteiltes Betriebssystem, das diese Moeglichkeiten bietet. DCE verwendet intern Kerberos- Komponenten zur Identifikation und Authentifikation. Die DCE- Sicherheitsdienste bieten darueber hinaus unter anderem differenzierte Autorisierungsmoeglichkeiten. Ein weniger Unix- spezifischer Ansatz ist "Sesame" (Secure European System Applications in a Multivendor Environment). Bei diesem von einigen Herstellern und auch von der Europaeischen Kommission unterstuetzten Konzept liegt der Schwerpunkt auf Flexibilitaet fuer verschiedene Sicherheitsstrategien und Zugriffskontrollmechanismen. Das Projekt befindet sich derzeit im Prototyp-Stadium.

Sicherer Datenaustausch ueber verteilte Betriebssysteme stellt sehr hohe Anforderungen an eine DV-Infrastruktur: Die Security- Technologien muessen im jeweiligen Unternehmen und bei den Kommunikationspartnern installiert sein, und auch die eingesetzten Applikationen muessen fuer die verteilte Umgebung verfuegbar sein.

Was tut ein Unternehmen, das in einer heterogenen Umgebung Daten vertraulich und authentisiert versenden moechte und auf keine plattformuebergreifende Architektur aufbauen kann? Hier bietet es sich an, Informationen auf Basis von Dateien oder TCP-Verbindungen zu verschluesseln oder digital zu unterschreiben und in dieser Form in das Datenmodell des Unternehmens zu integrieren. Letzteres ist nur mit asymmetrischen kryptografischen Verfahren moeglich und erfordert ein unternehmensweites Schluessel-Management. Bis einheitliche netzweite Sicherheitsdienste von den Applikationen auf verschiedenen Plattformen selbstverstaendlich genutzt werden, ist es noch ein weiter Weg.

*Michaela Kurz ist Entwicklerin bei der Telenet GmbH Kommunikationssysteme in Muenchen.