"Offene Systeme" lautete jahrelang eine Hauptforderung an die Netzwerktechniker. Es galt, heterogene Rechnerwelten miteinander zu verbinden. Nachdem Offenheit in vielen Faellen realisiert ist, stellt sich fuer Unternehmen und Behoerden jetzt die Frage nach der Zugriffs- und Ausfallsicherheit der Netze. Norbert Friederichs* erlaeutert, wie ein Sicherheitskonzept anhand des OSI- Schichtenmodells zu entwickeln ist.

Rechnervernetzung und die Einfuehrung dezentraler Systeme sind in den letzten Jahrzehnten rasant vorangekommen. Die Entwicklung fuehrte von kleinen Inselloesungen einzelner Abteilungen ueber wild wuchernde Teilloesungen bis zu sorgfaeltig strukturierten unternehmensweiten, standortuebergreifenden Corporate Networks. Mit den verschiedenen Netztopologien und aktiven Komponenten ist man heute in der Lage, Netze dynamisch an aktuelle Anforderungen der Anwendungen anzupassen.

Da sowohl die Administratoren als auch die Anwender mit dem Kennenlernen der Netztechnologie voll beschaeftigt waren, kam in vielen Unternehmen die Sicherheit zu kurz. Haeufig fehlt das Gefuehl fuer die richtige Einschaetzung der Bedrohung, die mit der Einfuehrung von Netzen verbunden ist. In Beratungsgespraechen ist immer wieder festzustellen, dass eine Vielzahl von Sicherheitsluecken nicht bekannt ist oder vernachlaessigt wird.

Doch nicht jede Sicherheitsluecke ist fuer jedes Unternehmen eine Bedrohung. Es ist zu unterscheiden nach dem Know-how, das notwendig ist, um ohne eine Berechtigung in Netze und Rechnersysteme einzudringen beziehungsweise diese abzuhoeren. Bei Einbruchsmethoden, die nur mit hohem technischem Aufwand moeglich sind, laesst sich davon ausgehen, dass ein Angriff ein entsprechendes wirtschaftliches oder politisches Interesse voraussetzt. So vielfaeltig wie die Einbruchsmethoden sind auch die Vorkehrungen dagegen.

Sicherheit in Netzen erreicht man nicht durch Einzelmassnahmen, sondern ausschliesslich mit Hilfe eines Gesamtkonzeptes, in dem die einzelnen Schutzmethoden aufeinander abgestimmt sind. Grundlage fuer das Konzept ist die Bedrohungsanalyse, die externe Berater zusammen mit dem Unternehmen erstellen koennen.

Der Begriff Sicherheit kann nur individuell definiert werden. "Sicherheit im Netz" ist ein relativer Begriff. Jedes Unternehmen braucht eine andere Art und einen anderen Umfang des Schutzes.

Bei der Bedrohungsanalyse werden systematisch alle denkbaren Sicherheitsluecken und ihre Gegenmassnahmen betrachtet. In der Praxis hat es sich bewaehrt, fuer die Gruppierung von Gefahren und Schutzmassnahmen das Sieben-Schichten-Referenzmodell entsprechend Open Systems Interconnection (OSI) zu betrachten. Zur Rechtevergabe ueber Betriebssysteme und Anwendungen kommt eine "achte Schicht" hinzu, naemlich der Benutzer selbst. Gehen wir der Reihe nach vor.

Physikalische Ebene: Hier muessen alle Sicherheitsmassnahmen einsetzen, die direkt mit der Verkabelung und der Hardware zusammenhaengen. Die Bedrohungsanalyse muss ergeben, welche Schaeden an diesen Komponenten das Unternehmen empfindlich treffen wuerden. In der Regel ist die sensibelste Komponente innerhalb eines Gebaeudes der Backbone, wenn die Struktur zwischen Clients und Servern zentral ausgerichtet ist. Zentrale aktive Netzkomponenten sowie der primaere und der sekundaere Verkabelungsbereich muessen beruecksichtigt werden.

Der Ausfall von einzelnen Arbeitsplaetzen hat sehr unterschiedliche Auswirkungen. Je nach unternehmensabhaengiger Bewertung der Gefaehrdung dieser Netzkomponenten muessen redundante Geraete, Anschlusskomponenten und Verkabelungswege vorgesehen werden. Dies kann bis zu redundanten, feuersicher getrennten Rechenzentren fuehren. Dafuer reichen Disk-Arrays als sichere Speichermedien nicht mehr aus, sondern ausschliesslich in verschiedenen Raeumen aufgestellte Spiegelsysteme.

Beim Aufbau ausfallsicherer WAN-Strecken ist auch die Anbindung verschiedener Vermittlungsstellen der Netzanbieter ueber mehrere Hausanschluesse vorzusehen, wie etwa der Anschlag auf Glasfaserleitungen im Flughafen Frankfurt am Main zeigte. Hinzu kommt ein mechanischer Schutz aller Komponenten durch verschlossene Technikraeume mit Zugangskontrollsystemen, durch Schutzrohre fuer Kabel (eventuell Ueberdruckrohre) und durch die Versorgung ausgewaehlter Komponenten durch USV-Anlagen.

Als physikalische Aufgabe kann auch der Schutz vor dem unberechtigten Auswerten elektromagnetischer Wellen verstanden werden. Es gibt hier zwei Ansatzpunkte: Verschluesselung auf verschiedenen Ebenen (siehe unten) und Abschirmung. Eine konsequente Abschirmung aller Komponenten ist sehr teuer und findet im normalen industriellen Umfeld kaum Anwendung. Auch Lichtwellenleiter tragen nur begrenzt zur Loesung dieses Problems bei, da die optoelektronischen Wandler ebenfalls abgeschirmt sein muessen.

Mediumzugriffsschicht: Die Moeglichkeiten, die sich in dieser Schicht bieten, sind vielfaeltig und haengen davon ab, welche Zugriffsmethode angewandt wird. Fuer die Ausfallsicherheit durch redundante Verbindungen gibt es sowohl standardisierte Verfahren (zum Beispiel den Backup-Ring bei FDDI oder das Spanning-Tree- Verfahren beim Ethernet) als auch herstellerabhaengige Methoden. Die standardisierten Loesungen haben den Vorteil, dass sie sich leichter im heterogenen Umfeld einsetzen lassen. Der Nachteil beim Spanning Tree ist die lange Reaktionszeit, die allerdings noch unter den Werten gaengiger Transportprotokolle liegen, so dass die Benutzer zwar ein Stocken des Netzes wahrnehmen, die Anwendungen aber ohne Abbruch weiterlaufen.

Zugriffssicherheit auf mehrere Arten unterstuetzen

Die Parameter des Spanning-Tree-Verfahrens lassen sich auch auf kuerzere Reaktionszeiten einstellen, jedoch ist hiermit sehr vorsichtig umzugehen, da das Verfahren Overhead im Netz erzeugt. Demgegenueber bieten herstellerabhaengige Verfahren sofortige Umschaltmoeglichkeiten, die allerdings in der Regel auf beiden Seiten einer Verbindung Geraete desselben Herstellers voraussetzen.

Zugriffssicherheit laesst sich auf dieser Netzebene auf mehrere Arten unterstuetzen. Eine davon sind manuell gepflegte Media- Access-Control-(MAC-)Adresstabellen in Servern, eine andere besteht aus Filtertabellen in Bruecken. Eine der groessten betriebsinternen Gefahren bestand bisher im unberechtigten Mitlesen durch LAN- Analysegeraete oder entsprechende Software auf PCs. Dies laesst sich inzwischen durch Sicherheitsmodule in Sternkopplern unterbinden. Solche Module ordnen in einer Lernphase MAC-Adressen den Sternkoppler-Ports zu. Nach Abschluss der Lernphase werden diese nur noch manuell gepflegt. Die Sicherheitsmodule schicken die Pakete nur an den wirklichen Empfaenger. Damit das CSMA/CD- Verfahren (Carrier Sense Multiple Access/Collision Detection) des Ethernet noch funktioniert beziehungsweise ISO 8803, die Norm der International Standards Organization, noch eingehalten wird, bekommen auch die anderen aktivierten Ports Signale, die allerdings keine Information enthalten. Die jeweiligen Ethernet- Karten verwerfen diese Dummy-Pakete mit einem Pruefsummenfehler.

Mehr Sicherheit bieten auf der Mediumzugriffsschicht Verschluesselungsgeraete. Diese koennen als Blackbox zwischen Rechner und Ethernet-Dose gesetzt werden. Ueber entsprechende Software werden Partner verwaltet, mit denen man verschluesselt kommunizieren moechte, solche, mit denen man unverschluesselt kommuniziert, und solche, die von jeglicher Kommunikation ausgeschlossen sind (schwarze oder weisse Listen). Verschluesselungsboxen lassen sich sowohl im lokalen als auch im WAN-Bereich einsetzen. Die Codierungssysteme, die in der Regel mit einer Kombination asymmetrischer und symmetrischer Verfahren arbeiten - zum Beispiel Rivest-Shamir-Adleman (RSA) und Data Encryption Standard (DES) -, gewaehrleisten neben der Verschluesselung auch die Authentifizierung des Partners durch elektronische Unterschrift. Mit Verschluesselung kann man auch auf der Anwendungsebene operieren (siehe unten).

Beim Kommunikationsaufbau ueber Modem in einer Client-LAN- Konstellation gibt es sogenannte Access-Server, deren Client- Software im mobilen PC die NDIS- oder ODI-Schnittstelle emulieren (NDIS = Network Device Interface Specification, ODI = Open Data Link Interface), beim Verbindungsaufbau aber eine Reihe von Authentisierungs- und Berechtigungsueberpruefungen durchfuehren. Dies reicht vom Zugriff auf die Benutzerverwaltung verschiedener Betriebssysteme ueber die Abfrage von DCE-Servern bis zur Authentisierung ueber das Passwort in Verbindung mit einer Chipkarte, die der Benutzer mit sich fuehrt.

Netzwerkebene: Hier lassen sich wie auf der Mediumzugriffsschicht zahlreiche Arten von Filtern installieren.

Sowohl in Routern als auch in Rechnersystemen besteht die Moeglichkeit, nach einzelnen Adressen, Subnetzen oder ganzen Netzen zu filtern. Auch die Richtung des Kommunikationsaufbaus kann festgelegt werden. Die Produkte der fuehrenden Router-Hersteller bieten hier vergleichbare Eigenschaften, unterscheiden sich aber deutlich in der Syntax der Kommandos, so dass die Bedienung im heterogenen Umfeld als administrationsunfreundlich angesehen werden muss. Teilweise ist es auch mit denselben Verschluesselungsboxen wie auf der Mediumzugriffsschicht moeglich, auf Adressen der Netzwerkebene Filter zu setzen.

Transport- und Sitzungsebene: Hier werden Moeglichkeiten der Zulassung oder Verweigerung verschiedener Netzservices geboten. Je nach Anwendung und Betriebssystem koennen die Kommunikationsrechte nach Diensten und Partnern spezifiziert werden, wobei mit Partnern wiederum Netzwerke, Subnetze oder einzelne Geraete gemeint sind. Zur besseren Ueberwachung werden auf manchen Rechnersystemen Login- Moeglichkeiten aller Kommunikationsvorgaenge angeboten.

Die Abbildung zeigt ein Beispiel fuer den Aufbau einer Firewall- Netzanbindung. Dabei werden Adressen, Subnetze, Netze sowie Dienste gefiltert. Zusaetzliche Sicherheit ist durch sogenannte Relay-Software auf dem Bastion-Host gewaehrleistet. Eine direkte Verbindung von innen nach aussen oder umgekehrt ist nicht moeglich.

Betriebssystem- und Anwendungsebene: Hauptsicherheitsmerkmal auf diesen Ebenen ist eine gut konzipierte Benutzer- und Rechteverwaltung. Im heterogenen Umfeld grosser Netze mit Tausenden von Benutzern ist es schwierig, den Ueberblick ueber die aktuellen Rechte einzelner zu wahren. Zum einen empfiehlt es sich, Mechanismen, mit denen ein normaler Benutzer Rechte erteilen kann, zu unterbinden

(wie zum Beispiel die sogenannten R-Kommandos auf die eigene Kennung). Zum anderen ist es erstrebenswert, alle Benutzer, unabhaengig unter welchen Betriebssystemen ihre Arbeitsplaetze eingerichtet sind, zentral zu verwalten. Mit dem "Security Administration Manager" (SAM) ist erstmals ein Produkt verfuegbar, das plattformuebergreifend und unabhaengig vom Betriebssystem oder dem jeweiligen Zugriffskontrollsystem Benutzer, Ressourcen sowie Zugriffsrechte lueckenlos und effizient administriert.

Weitere Sicherheitsthemen fuer die Betriebssystem- und Anwendungsebenen sind die Anforderungen an die Passwortvergabe, die Rechte der Administratoren und das Auditing.

Unterstuetzung durch Chipkartensysteme

Die Anforderungen an die Passwortvergabe betreffen die Zusammensetzung eines Passwortes aus Buchstaben, Ziffern und Sonderzeichen sowie die Haltbarkeit des Systems und seine Reaktion auf wiederholte Fehleingaben. Zu einfache Passwoerter lassen sich, je nach Login-Mechanismus, mit Hilfe von Einbruchsprogrammen in kurzer Zeit ermitteln. Bei hoeheren Sicherheitsanforderungen gibt es Unterstuetzung durch Chipkartensysteme, die teilweise ohne zusaetzliche Hardware-Einrichtung wie Kartenleser auf Softwarebasis arbeiten.

Die Rechte der Administratoren sind auf Betriebssystem-Ebene haeufig unbegrenzt. Dies laesst sich zum einen einschraenken, indem normale Supportaufgaben unter speziellen Kennungen durchgefuehrt werden. Zum anderen besteht die Moeglichkeit, Daten verschluesselt abzulegen, so dass auf Dateninhalte ausschliesslich auf Anwendungsebene zugegriffen werden kann.

Durch Auditing aller Administratoraktivitaeten laesst sich eine Art Vieraugenprinzip erreichen, wenn der Administrator keinen Zugriff auf die Auswertungsdateien des Auditings hat.

Benutzerebene: Die Administratoren und die Benutzer der Netzwerkdienste muessen durch Informationen und Schulung ein Bewusstsein fuer die Gefahren und Sicherheitsanforderungen der technischen Infrastruktur entwickeln.

Die Folgen, die durch Missbrauch, Manipulation oder Zerstoerung von Datenbestaenden entstehen koennen, sind deutlich herauszustellen. Dann faellt es dem einzelnen Mitarbeiter leichter, beispielsweise die Grundregeln im Umgang mit Passwoertern einzuhalten (keine Merkzettel mit Passwoertern unter der Schreibtischunterlage etc.).

* Diplominformatiker Norbert Friedrichs ist Projektleiter bei der Schumann Unternehmensberatung AG in Koeln.