Von Stefanie Schneider*
Was im Mittelalter die Tore einer Befestigung waren, sind heute die Mail-Server zum Internet. E-Mail als wichtigste Internet-Anwendung verlangt besondere Sicherheitsvorkehrungen an diesem Punkt. Es dürfen sich vom Internet aus keine bekannten Sicherheitslücken der Mail-Server ausnutzen lassen. Besonders betroffen sind hier etwaige SENDMAIL-Benutzer.
Das beliebte und weitverbreitete Unix-Programm hat vor allem in den älteren Versionen einige Schwachstellen aufzuweisen, die Eindringlingen Schreibrechte auf den Servern verschaffen. Hinzu kommt, daß die Benutzer zu schützen sind. Informationen dürfen nicht unbemerkt nach draußen gelangen, genauso wie umgekehrt keine eingehenden Nachrichten die interne Sicherheit gefährden sollen.
Viren sind hier nur einige Verursacher möglicher Schäden, die deutlich auf die Produktivität eines Unternehmens schlagen können. Hat sich ein Virus auf dem Netzlaufwerk festgesetzt, kann es erforderlich sein, sämtliche PCs, die darauf zugreifen, zu behandeln. Grundsätzlich sollte beim Aufbau eines Mail-Systems auch der schlimmste Fall in Betracht gezogen werden. Worst-Case-Szenarien sind also bereits in der Aufbauphase zu berücksichtigen - und nicht erst, wenn es in der Administration "Land unter" heißt.
Für die externe Sicherheit muß sich der Netzwerkspezialist in die Arbeitsweise eines Hackers hineindenken. "Dabei genügt es nicht, nur direkt hinter dem Firewall-System anzusetzen", erläutert Alfred Bauer von der Articon GmbH. "Man muß auch überprüfen, was passieren könnte, wenn ein Eindringling bereits weiter ins Netz vorgedrungen ist. Das wäre also auch hinter dem Router, dem Gateway-Rechner oder dem Proxy zu testen."
Wie das Aschheimer Unternehmen im Rahmen von Sicherheitsüberprüfungen erfahren hat, sind Firewalls nach einiger Betriebsdauer meist nicht mehr undurchlässig konfiguriert. So besteht zum Beispiel die Möglichkeit, daß Filer-Regeln auf dem Router nicht mehr greifen. Zudem ist nicht auszuschließen, daß Hacker die ersten vorgelagerten Systeme bereits überwunden haben. Um auch hier Attacken auf sensitive Bereiche vorzubeugen, sollte ein mehrstufiges Sicherheitskonzept greifen, das ständig zu überprüfen ist.
In der Regel sind am Mail-System mehrere Rechner beteiligt - die Mail-Server selbst, die Firewall, ein Router oder beispielsweise bei einer Bastion-Host-Konfiguration sogar zwei Router, einer hinter und einer vor dem Firewall-System.
Externes und Internes voneinander trennen
Höhere Sicherheit als die Plazierung hinter der Firewall im internen Netz gewährleistet laut Bauer ein Mail-Server, der in einem separaten Secure-Server-Netz untergebracht ist. Hierfür werden Firewalls mit drei Netzwerk-Schnittstellen verwendet - eine für den Anschluß ans Internet, eine für das sichere Server-Netz und eine für das interne LAN.
So sind die Server physikalisch vom internen Netz gekoppelt, und es lassen sich sowohl der Datenverkehr mit dem Internet als auch die internen Zugriffe kontrollieren. Vorteile bietet ein abgetrenntes Server-Netz auch gegenüber Hackerangriffen. Führt eine Attacke auf solch einen Server zum Erfolg, liegt dem Eindringling das interne Netz noch lange nicht zu Füßen.
Den direkten Zugriff aus dem Internet ins interne Netz verhindert die Konzeption des internen und externen Mail-Servers. Der interne Rechner holt die Nachrichten periodisch von dem im Secure Server Net plazierten Mail-System ab. Die Anwender im Unternehmen greifen über den internen Mail-Server auf ihre Mailboxen zu. Bevor Mails auf die Mitarbeiter-PCs gelangen, durchlaufen sie Schutzvorrichtungen: die Filter auf den Routern sowie die Regelsätze der Firewall.
Die internen IP-Nummern und Namen bleiben durch das zweistufige Konzept verborgen - allerdings mit einer Einschränkung: Die Mail-Header beinhalten in der Regel Informationen über die Netzstruktur und über interne IP-Adressen. Diese Nachrichten sollten deshalb an einer zentralen Stelle wie dem Mail-Server oder der Firewall entfernt werden.
"Gegen IP-Spoofing, also das Vortäuschen falscher Absenderadressen, kann sich ein Unternehmen schützen, indem es an der Schnittstelle ins Internet eingehende Pakete, die nicht zu einer bereits von innen aufgebauten Verbindung gehören, abwehrt, wenn diese als IP-Adresse die eines internen Systems angeben", so Bauer. Das für Internet-Mail verwendete Simple Mail Transport Protocol (SMTP) wird bei eingehenden Nachrichten vom Router, der Firewall und dem Proxy-Server durchgelassen.
Grundsätzlich gilt, daß in Richtung Internet sowenig Informationen wie möglich herausgehen. Das heißt, die internen IP-Adressen müssen nach außen nicht erscheinen, da hierauf kein externer Zugriff erfolgen kann. Es genügt die Adresse der Firewall, die die dynamische Adreßumsetzung beherrschen sollte, sowie eine scheinbar "offizielle" IP-Adresse des Mail-Exchanger (MX), die dann auf den externen Mail-Server umgelenkt wird. Seine wirkliche IP-Adresse bleibt verborgen.
Oft sind nicht benötigte Systemdienste aktiviert
Wie die Aschheimer Sicherheitsexperten immer wieder feststellen müssen, sind auf den Servern Dienste aktiviert, die nicht unbedingt notwendig sind. Dazu zählen zum Beispiel das in der Regel nicht mehr verwendete UUCP (Unix to Unix Copy Protocol), SENDMAIL, die Diagnosedienste CHARGEN und ECHO, der zum Versenden von Textnachrichten benutzte Wall-Daemon sowie Informationsdienste wie RUSERS und RSTAT.
Auch wenn diese nicht direkt vom Internet aus erreichbar sind, kann sie ein Hacker, der die ersten Hürden überwunden hat, erkennen. Und einige dieser Dienste, die anfangs als harmlos galten, haben sich inzwischen als unsicher herausgestellt. Zudem ist es in der Regel nicht erforderlich, Dienste, die nur intern nötig sind, extern zur Verfügung zu stellen. Kritisch sind zudem Versionsinformationen. Sie können potentiellen Angreifern nützliche Hinweise geben, etwa im Fall des berühmt-berüchtigten Mail-Servers SENDMAIL, der in einigen Versionen große Sicherheitslücken aufweist.
Endanwender können Gefahren nicht erkennen
Doch nicht nur das externe Mail-System mit den Servern sollte gegen Manipulationen und vor Mißbrauch geschützt sein, sondern auch die Benutzer mit ihren persönlichen Mail-Programmen. So können elektronische Nachrichten ausführbare Kommandos enthalten, die mindestens den lokalen Rechner, wenn nicht gleich das gesamte Netz beeinflussen.
Zudem erlauben offene Netzwerkdienste wie REXD den internen Zugang zum System, oder sie öffnen - wie etwa bei dem zum Senden von Textnachrichten konzipierten Wall-Daemon - Denial-of-Service-Attacken Tür und Tor. Der Benutzer wird damit regelrecht von sinnlosen Nachrichten überschwemmt. Auf diese Weise lassen sich zwar keine Informationen abziehen, versierten Spaßvögeln bietet sich hier aber die Möglichkeit, die Produktivität von Kollegen oder Konkurrenten zum Erliegen zu bringen.
Zu den wichtigsten Kriterien im E-Mail-Verkehr zählen jedoch die Vertraulichkeit der Informationen sowie die Sicherheit, daß es sich bei Absender und Empfänger auch um die gemeinten Personen handelt. IP-Spoofing läßt sich, wie bereits erwähnt, über die richtige Konfiguration von Firewall und Router ein Riegel vorschieben, doch ist dies nicht der einzige Weg, um E-Mail-Empfänger zu hintergehen. Eine Überprüfung von Absender- und Empfängeradressen ist in SMTP nicht vorgesehen, ebensowenig wie Empfangsbestätigungen.
Für Anwender von geschlossenen Mail-Diensten wie Compuserve oder von internen Mail-Systemen ist dies oftmals noch gewöhnungsbedürftig. Zudem wird nicht einmal ein Mail-Client benötigt. Nachrichten können auch via Telnet zum Empfänger gelangen, indem man die Telnet-Verbindung dem Mail-Port zuordnet. Die Absenderadresse kann dabei völlig frei erfunden sein. Für wenig versierte Anwender ist die gefälschte Adresse in der Regel nicht zu erkennen.
Gängige Mail-Server, etwa von Netscape, sind prinzipbedingt anfällig gegen solche Manipulationen, die durchaus ernsten Hintergrund haben können. Dazu folgendes Beispiel: Ein Hacker täuscht vor, Administrator des Unternehmens XY zu sein, belegt das durch die Absenderangaben auf der E-Mail und bittet den unbedarften User um eine Paßwortänderung. Gibt er ihm den neuen Begriff vor, erhält der Hacker ungehindert Zutritt zu internen Informationen. Diese als Social Engineering bezeichneten Attacken sind zudem dazu verwendbar, interne Informationen abzufragen, die der Benutzer, im guten Glauben, es handle sich um einen Kollegen, bereitwillig weiterleitet.
Vor unberechtigten Mitlesern schützt dagegen nur Verschlüsselung. Die Verwalter von Mail-Servern sind grundsätzlich in der Lage, die im Klartext übertragenen Nachrichten zu lesen. Zudem muß immer mit einer falschen Zustellung oder mit Mail-Verlust gerechnet werden.
Eine Möglichkeit wäre das populäre "Pretty Good Privacy" (PGP). "Doch auch das gilt nur bedingt, da durch sogenannte Man-in-the-middle-Angriffe der öffentliche Schlüssel des Absenders abgefangen und vom Hacker durch einen eigenen ersetzt werden kann", warnt Articon-Chef Bauer.
Der gutgläubige Kommunika- tionspartner denkt, eine Nachricht enthalte den rechtmäßigen Schlüssel und sendet die Antwort codiert zurück. Der Hacker fängt diese ab, entziffert sie und verschlüsselt sie erneut mit dem Absendercode. Für andere an der Kommunikation Beteiligte ist dieser Vorgang nicht erkenntlich, wenn die Schlüssel nicht direkt - etwa telefonisch oder über einen vertrauenswürdigen Dritten - übergeben werden. Sicherheit bieten hier nur digitale Signaturen, also elektronische Unterschriften, die zusammen mit einer elektronischen Nachricht versandt werden.
Große Aufmerksamkeit ist auch den Viren zu widmen, die sich häufig über formatierte Dokumente oder über Mail-Attachments einschleichen. Besonders verbreitet sind derzeit Makroviren. Moderne Office-Produkte wie "Word" sind mit Makrosprachen ausgestattet. Solche Makros können beim Öffnen eines Dokuments ein Eigenleben beginnen. Sie greifen etwa auf die Festplatte zu, tragen sich in andere Dateien ein und verbreiten sich so schnell weiter.
Auf den Benutzer-PCs installierte Virenschutzprogramme verhindern zwar die Infektion der lokalen Systeme - allerdings ist der Virus bereits im Netz. Die beste Prophylaxe bieten als Ergänzung dazu Internet-Viren-Scanner, die zwischen Internet und internem Netz plaziert werden und bei einigen führenden Virenschutzanbietern wie McAfee oder Trend Micro bereits erhältlich sind.
Werden bei der Konzeption eines E-Mail-Systems diese Punkte berücksichtigt, ist ein hoher Sicherheitsstandard gewährleistet, wenngleich immer ein Restrisiko besteht. Wichtig ist es, flankierende Maßnahmen neben dem Firewall-System zu ergreifen.
Man muß immer davon ausgehen, daß auch eine Firewall einmal versagt. Tritt der "worst case" ein, kann auch eine an sich ausfallsichere Konfiguration mit zwei redundanten Systemen zusammenbrechen. Articon-Chef Bauer: "Empfehlenswert sind regelmäßige Überprüfungen durch Auditing-Programme, um Konfigurationsfehler frühzeitig festzustellen, sowie der Einsatz von Netzwerkmonitoren, die Angriffsversuche erkennen und unterbinden."
Wichtig ist zudem die Aufklärung der Benutzer über mögliche Gefahren. Nur so erwacht das Bewußtsein, Mails zu verschlüsseln und auf die rechtmäßige Identifikation des Kommunikationspartners zu achten.
Sicherheits-Check
-Lassen Firewalls beziehungsweise Mail-Server nur Mails mit externer Absenderadresse durch?-Sind die Re-Mailing-Funktionen des Servers deaktiviert?-Sind überflüssige Dienste deaktiviert?-Ist der externe Mail-Server in einem sicheren, externen Firmennetz plaziert?-Sind die internen IP-Adressen und die des Proxys unsichtbar?-Werden die internen Informationen im Mail-Header entfernt?-Kommt bei sensitiven Informationen Verschlüsselung und digitale Signatur zum Einsatz?-Ist ein umfangreicher Virenschutz implementiert?-Sind die Benutzer über Restrisiken informiert?Diese Checkliste ersetzt als grobe Anleitung keine gründliche Sicherheitskonzeption.
Angeklickt
E-Mailing dürfte der von Unternehmen am häufigsten genutzte Internet-Dienst sein. Gerade die elektronischen Nachrichten beinhalten oftmals sensitive Informationen. Deshalb ist einem sicheren E-Mail-System besondere Aufmerksamkeit zu schenken. Der Beitrag beleuchtet die möglichen Schwachstellen solcher Konfigurationen und gibt eine Anleitung, wie sich eine Internet-basierte E-Mail-Lösung sicher aufbauen läßt.
*Stefanie Schneider ist freie Fachjournalistin in München.