Das Spektrum reicht von reiner Neugierde bis zur vorsätzlich kriminellen Handlung: Das unerlaubte Abrufen von Personaldaten, Bilanzen und anderen vertraulichen Dokumenten ist in vielen Unternehmen längst keine Seltenheit mehr. Die Mehrzahl dieser Aktionen kommen aus dem Unternehmen selbst und bleiben in der Regel unbemerkt. Lediglich ein Bruchteil der Delikte wird entdeckt, verfolgt und geahndet.
Das Interesse der Fachleute sowie der Hersteller von Sicherheitstechik konzentriert sich überwiegend auf Attacken, die von Hackern oder Industriespionen ausgehen. Während erstere vorwiegend über das Internet an geschützte Unternehmensdaten heranzukommen probieren, versuchen Wirtschaftsschnüffler häufig, Zugang zu einer Firma zu erhalten, um von innen anzugreifen. Da Zugriffsversuche auf die in einem Unternehmen vorhandenen Daten oder aktiven Komponenten nie 100-prozentig auszuschließen sind, sollte der Fokus bei der Datensicherheit auf dem Entdecken des Versuchs und einer frühzeitigen Abwehr liegen.
Datenklassifizierung
Einer wirksamen Prävention geht idealerweise die Klassifizierung der im Unternehmen vorhandenen Daten voraus, um diese jeweils optimal schützen zu können. Dabei sollten etwa geschäftskritische Informationen, deren Missbrauch einen gravierenden Schaden für das Unternehmen bedeuten könnte, von sensiblen Daten aus dem Personalbereich oder weniger wichtigen, öffentlich zugänglichen Unterlagen unterschieden werden. Eine weitere nützliche Trennung ist die nach der Art des Sicherheitsrisikos. Eine Einteilung in externe (etwa Hacker), interne (Angestellte) oder natürliche Gefahren (Feuer oder Wasser) bietet sich an. In einem zweiten Schritt können Anwender nun darangehen, sich vor diesen Risiken zu schützen: Wichtig ist dabei, Werkzeuge einzurichten, die einen unerwünschten Zugriff möglichst rasch entdecken und ihn wirkungsvoll vereiteln können.
Zugriffsprotokolle
Entsprechend ihrer Klassifizierung sollten die Daten auf verschiedenen Servern gespeichert werden - so fällt es leichter, die Schutzmaßnahmen umzusetzen und ihre Wirksamkeit zu kontrollieren. Schutz vor externen Zugriffen, etwa über das Internet, bietet eine Firewall. Im Falle interner Zugriffe kann eine konsequente Protokollierung hilfreich sein. Um verdächtige Aktionen rechtzeitig zu entdecken, müssen Administratoren und Datenschützer jedoch hierfür geeignete Aufzeichnungsmechanismen einrichten.
Dabei können sie Syslogs einsetzen, mit denen Server und aktive Netzkomponenten heute vielfach ausgestattet sind. Diese Technik erlaubt das Protokollieren von Zugriffen im Netz. Syslogs werden im Speicher des jeweiligen Gerätes geführt, verfügen jedoch über eine recht geringe Kapazität. Die Einrichtung eines zentralen Rechners, der über einen Syslog-Daemon verfügt, kann Abhilfe schaffen: An diesen Daemon werden die Syslog-Eintragungen aller angeschlossenen Geräte geschickt. Nachdem Erfahrungswerte über die Anzahl der Einträge im Syslog pro Minute gesammelt wurden, besteht die Möglichkeit, einen Schwellwert zu definieren, bei dessen Überschreitung eine Alarmmeldung ausgelöst wird.
Versucht etwa jemand, illegal auf einen Server zuzugreifen, steigen dessen Syslog-Einträge sprunghaft an. Der Administrator erhält eine Alarmmeldung und kann im Idealfall noch während des Zwischenfalls den Urheber ausfindig machen. Allerdings müssen Syslogs vorher richtig konfiguriert werden, damit sie später effektiv ausgewertet werden können.
Ein weiterer Schutz vor einem internen Angriff auf aktive Netzwerkkomponenten lässt sich durch die Einrichtung von Passwörtern auf den Komponenten erreichen. Doch Vorsicht: Diese Begriffe werden meist im Klartext übertragen, weswegen es sich empfiehlt, ein eigenes Netzwerk für die Übertragung der Management-Anweisungen aufzubauen - man spricht dann von Out-of-Band-Management. Da der Zugriff auf dieses separate Netzwerk lückenlos kontrolliert werden kann, ist es nicht möglich, dass Mitarbeiter die hier übermittelten Passwörter einsehen.
Zudem hat das Out-of-Band-Management den Vorteil, dass auf die aktiven Komponenten auch dann zugegriffen werden kann, wenn das Unternehmensnetz einmal nicht zur Verfügung steht. Dies kann auch zu einer Reduzierung von Reparaturzeiten beitragen. Da die meisten aktiven Netzwerkkomponenten schon über einen Out-of-Band-Management-Port verfügen, kann ein solches Netzwerk leicht aufgebaut werden.
Authentifizierung gegenüber dem Netzwerk
Mitarbeiter oder andere Personen innerhalb des Unternehmens haben meist kein Problem, sich Zugang zum Netzwerk zu verschaffen. Erfolgt innerhalb des Unternehmens die Zuweisung von IP-Adressen mittels Dynamic Host Configuration Protocol (DHCP), sind Interne ohne weiteres in der Lage, auf Server zuzugreifen und einen Sabotageakt (beispielsweise eine Denial-of-Service-Attacke) auszuführen. Um dies zu verhindern, arbeitet die Arbeitsgruppe 802.X des Institute of Electrical and Electronics Engineers (IEEE) an einem Mechanismus, der einen Benutzer zwingt, sich gegenüber dem Netzwerk zu identifizieren, bevor er Zugriff darauf erhält.
Die Grundlage hierbei bildet das im Request for Comment (RFC) spezifizierte Extensible Authentication Protocol (EAP). Es handelt sich dabei um eine Erweiterung des Point-to-Point Protocol (PPP), das heute benutzt wird, wenn sich Anwender beispielsweise über ein Modem in ein Netz einwählen. Mit PPP werden einfache Punkt-zu-Punkt-Authentifizierungsmechanismen aktiviert, nämlich Password Authentication Protocol (PAP) und Challenge Handshake Authentication (Chap). EAP erlaubt es, eine größere Vielfalt an Authentifizierungsprotokollen zu nutzen und damit den unbefugten Zugriff weiter zu erschweren.
Die 802.1X-Arbeitsgruppe bringt diese Verfahren ins LAN, indem sie das EAP aus dem PPP-Transportmechanismus herauslöst und auf das Ethernet-Verfahren abbildet. So entsteht EAP over Ethernet (EAPoE) beziehungsweise EAP over LAN (EAPoL). EAPoE soll im Juli 2001 als Standard verabschiedet werden.
So funktioniert EAP
Die Daten des Benutzers (IP-Adresse, VLAN-Zugehörigkeit sowie eventuell Quality-of-Service-Parameter) werden in einer zentralen Datenbank gespeichert. Sobald der Benutzer seinen PC anschaltet, wird von dessen Betriebssystem das EAPoE gestartet (eine Integration des EAPoE in Windows 2000 ist in Vorbereitung). EAPoE-fähige Switches, voraussichtlich ab dem zweiten Quartal 2001 verfügbar, antworten dem PC mit einer EAPoE-Anfrage. Die Antwort darauf leiten sie wiederum an einen Radius-Server weiter. Akzeptiert dieser die Anfrage, schickt er eine Passwortabfrage an den Switch, der sie wiederum in EAPoE übersetzt und an den PC weiterleitet. Der PC antwortet mit einem EAPoE-Paket, das das verschlüsselte Passwort enthält (die Unterstützung von Verschlüsselungsalgorithmen gehört zu den Merkmalen von EAP). Dieses wird vom Switch an den Radius-Server geleitet.
Hat der Server Benutzernamen und Passwort verifiziert, sucht er die dazugehörigen Rechte des Benutzers auf dem LDAP-Server und schickt sie an den Rechner des Mitarbeiters. Während dieses gesamten Vorgangs ist der Port des Switches, an dem der Benutzer angeschlossen ist, blockiert. Erst nach erfolgreicher Übertragung des Benutzerprofils wird der Port freigeschaltet. Auf diese Weise sollen unbefugte Zugriffe auf das Netzwerk innerhalb eines Unternehmens verhindert werden.
Schutz vor externen Zugriffen: das Virtual Private Network
Schwieriger ist es, wenn externe Geschäftspartner mit dem eigenen Netz verbunden sind, etwa um Produktionsdaten auszutauschen. Dies ist insofern problematisch, als einerseits der Austausch leicht zu realisieren sein soll, andererseits der Geschäftspartner aber keine Gelegenheit zu unerwünschten Zugriffen bekommen darf. Erschwert wird dies, wenn dabei das Internet als effektivste und kostengünstigste Lösung benutzt wird.
Mittels eines Virtual Private Network (VPN) lassen sich diese Anforderungen jedoch erfüllen. Diese Technik baut mittels Verschlüsselung einen Datentunnel vom Netzwerk des Geschäftspartners über das Internet zum eigenen Netz auf. Mit Hilfe spezieller Extranet-Switches lassen sich unterschiedliche Zugangsprofile für die Benutzer erstellen und verwalten.
Es gibt viele weitere einfache Möglichkeiten, den Zugriff zum LAN zu beschränken. Die Palette reicht hierbei von der Verkabelung - wenn etwa nur die belegten Nutzer-Ports auf einen Switch-Port gesteckt werden - bis zur manuellen Überwachung und Steuerung des LAN-Verkehrs. Moderne Hochleistungs-Switches erlauben darüber hinaus das Setzen von Filtern, ohne dass deswegen signifikante Leistungseinbußen zu erwarten wären. So können Administratoren den Datenfluss zwischen IP-Netzen und physikalischen Ports steuern. Zudem ist es möglich, manche Anwendungen aufgrund des von ihnen benutzten TCP-Ports zu identifizieren und diesen freizugeben oder nicht.
Eines aber haben alle genannten Verfahren gemeinsam: Sie stehen auf den Servern und aktiven Netzkomponenten bereits zur Verfügung, ihr zielgerichteter Einsatz ist jederzeit machbar. Die vollständige Klassifizierung der Daten und die Einteilung des Netzes in verschiedene Sicherheitsbereiche ist jedoch immer die Voraussetzung für einen effektiven Schutz vor Missbrauch.
*Thomas Schaller ist Senior Consulting Engineer bei Nortel Networks Germany in Frankfurt/Main.
Abb.1: Das Extensible Authentication Protocol (EAP)
Benutzer müssen sich über einen EAP-fähigen Switch und Radius-Server authentifizieren, ehe die gespeicherten Rechteprofile freigegeben werden. (Quelle: Nortel)
Abb.2: Überwachung des Syslogs
Server und aktive Netzkomponenten senden die Einträge ihrer Syslog-Dateien an die Management-Station. (Quelle: Nortel)