Wide Area Networks (WANs ) nehmen in der Kommunikationsinfrastruktur von Unternehmen eine immer wichtigere Position ein, Als Bindeglied zwischen anderen Netzen sind WANs in Sachen Sicherheit besonders exportiert. Jost Hoppermann* skizziert sowohl die Struktur von WANs als auch die am stärksten bedrohten Komponenten und weist darüber hinaus auf Sicherungsverfahren hin.

Aus Sicht der Datenkommunikation kann ein WAN Über Netzdienste des Öffentlichen Integrierten Datennetzes (IDN) der DBP Telekom wie Datex-P, Datex-L und Direktrufleitungen (HfD), über DN oder auch über das Telefonnetz realisiert werden. Eine andere Form von WANs stellen dagegen private Netze dar. Sie beruhen auf privaten Vermittlungseinrichtungen (Vermittlungsknoten), die den Datenstrom im WAN steuern und über Öffentliche Netzdienste (meist Direktrufverbindungen) miteinander verbunden sind. Solche Privaten WANs können mit den unterschiedlichsten Techniken und Protokollen (etwa SNA, Transdata, OSI) aufgebaut werden. Diese Variante eines WAN hat jedoch eine verhältnismäßig geringe Bedeutung. Sie kann nur von Unternehmen genutzt werden, die im notwendigen Umfang zusammenhängende Grundstücke besitzen.

Da der Potentielle WAN-Nutzer - mit Ausnahme von Kryptoverfahren - kaum Möglichkeiten hat, in die Öffentlichen Netzdienste eigene Sicherheitsmechanismen zu integrieren, werden sich die folgenden Ausführungen auf in privates WAN beziehen, dessen Vermittlungseinrichtungen Über öffentliche Netzdienste miteinander verbunden sind. Die Vermittlungseinrichtungen basieren dabei im wesentlichen auf der Paketvermittlungstechnik.

Abbildung 1 zeigt ein solches paketvermitteltes Netz, das modellhaft aus vier Paketvermittlungsknoten und fünf netzinternen Leitungen besteht. An dieses Netz sind PCs, Terminals, LANs und Host-Rechner angebunden. Die Steuerung des WAN wird über ein Netzwerk-Management-System (NMS) in einem Netzwerk-Management-Center (NMC) durchgeführt. Darüber hinaus können sich externe Stellen über Einwählzugänge und Netzdienste der DBP Telekom wie Datex-L und Datex-P oder auch das Telefonnetz in das Paketvermittlungsnetz einwählen.

Im Zentrum der folgenden Betrachtung steht die Vertraulichkeit der im WAN transportierten Informationen und der Zugriff auf die angeschlossenen Rechnersysteme. Auf die Verfügbarkeit eines WAN, die Integrität der transportierten Informationen und die Verbindlichkeit von Informationen soll nicht explizit eingegangen werden, da

- die Verfügbarkeit eines WAN unabhängig von speziellen Sicherheitsmechanismen unter anderem durch die Vermaschung des WAN und ausfallsichere Vermittlungsknoten gesichert werden kann,

- die Integrität von Daten zum Beispiel durch Transportprotokolle im WAN selbst erzielt wird,

- die Verbindlichkeit von Daten (also die Anerkennung der Urheberschaft und des Erhalts von Daten) nicht nur technische, sondern auch juristische Aspekte enthält, die hier nicht behandelt werden können.

Die Informationstechnik kennt eine ganze Reihe von inzwischen fast klassisch zu nennenden Bedrohungen, die teils aus Unachtsamkeit und Fehlbedienung, teils aber auch aus kriminellen Angriffen resultieren. Die Bedrohung des nicht autorisierten Zugangs oder Zugriffs zum WAN beziehungsweise über das WAN zu angebundenen Rechnersystemen existiert seit den frühen Tagen der Hackerproblematik und geht fast ausschließlich von Einwählzugängen oder Gateways zu fremden Netzen aus. Sie umfaßt zum einen die nicht-autorisierte Kommunikation über das WAN, also die unerlaubte Nutzung von Netzressourcen, und zum anderen die Kommunikation mit Zu schätzenden Rechnersystemen.

Ein WAN bietet unter anderem an den internen Verbindungen oder den Vermittlungsknoten Ansatzpunkte, Daten mitzuhören und so die Vertraulichkeit dieser Daten zu verletzen. Das Mithören von Daten bildet darüber hinaus die. Grundlage für die sogenannte Verkehrsfluß- oder Informationsflußanalyse. Hier können ZUM Beispiel über die Auswertung der Adreßfelder der im WAN transportierten Informationen (Pakete) Anhaltspunkte für die Kommunikationsbeziehungen im WAN gewonnen und zusätzlich aus dem zwischen zwei Kommunikationspartnern Übertragenen Datenvolumen Rückschlüsse über Geschäftsvorfälle gezogen werden.

Unter Wiedereinspielen beziehungsweise Modifikation von Daten versteht man, daß mitgehörte Daten im Original oder in modifizierter Form wieder in die Übertragungswege eingespielt werden. Dies kann im Extremfall zur Überlastung des WAN oder zur Desinformation der Kommunikationspartner führen. Derartige Angriffe werden im Normalfall bereits von den üblichen Übertragungsfunktionen korrekt implementierter Paketvermittlungsnetze - die ja hier beispielhaft betrachtet werden - vereitelt. Unter Modifikationen der Hard- und Software versteht man Veränderungen an Vermittlungsknoten und dem NMS, die zur Erzeugung anderer Bedrohungen genutzt werden können. Die Vorspiegelung falscher Adressen ist eine Sonderform dieser Bedrohung, die über die Vortäuschung von Ursprungs- beziehungsweise Zieladressen zum Beispiel zum nicht autorisierten Zugang zum WAN beziehungsweise zum Mithören von Daten genutzt werden können.

Weiter oben wurden bereits

- festgeschaltete und vermittelte Verbindungen,

- Vermittlungsknoten,- Einwählzugänge beziehungsweise Gateways zu fremden Netzen und- das Netzwerk-Management-System beziehungsweise Center als zentrale Steuerkomponente des WAN als die Teile eines WAN identifiziert, für die ausgewählte Sicherheitsmechanismen näher betrachtet werden sollen. Festgeschaltete und vermittelte Verbindungen zwischen den Vermittlungsknoten eines WAN werden häufig über Direktrufverbindungen (HfD) realisiert. Andere Netzdienste der DBP Telekom wie Datex-L und Datex-P werden zum Beispiel für Back-up-Zwecke genutzt: Außerdem wird in Zukunft an dieser Stelle auch ISDN an Bedeutung gewinnen.

Häufige Bedrohungen sind wie gesagt das Mithören von Daten und darauf aufbauende An griffe. Ohne dem entgegenwirkende Sicherheitsmechanismen haben solche Angriffe gute Aus sichten auf Erfolg, Die deutschen IT-Sicherheitskriterien und die harmonisierten europäischen IT Security Evaluation Criteria (ITSEC) nennen nicht ohne Grund öffentliche Netze als Beispiele das spezieller Sicherheitsmechanismen bedarf. Gerade zwischen dem Endgerät, mit dem ein Anwender einen Netzdienst nutzt, um zum Beispiel eine Anbindung , ein WAN herzustellen, und dem Anschlußpunkt der Telekom sind Angriffe relativ leicht zu starten. Die physikalischen Leitungen zwischen Endgerät und Anschlußpunkt sind oft völlig ungeschützt.

Neue Techniken senken das Gefahrenpotential

Auch außerhalb eines Gebäudes muß ein potentieller Angreifer in der Regel keine größeren Erdbewegungen durchführen, um mithören zu können. Mit der Einführung der derzeit im Teststadium befindlichen neuen Übertragungstechniken wird sich das Gefahrenpotential jedoch verringern. Betrachtet man speziell paketvermittelte Netze, so kann sich allerdings das Mithören von sinnvollen Daten - abhängig von den herstellerseitig verwendeten Protokollen - als schwierig bis nahezu unmöglich erweisen. Werden netzintern etwa Datagramme verwendete so kann jeder Teil einer einzelnen Nachricht jedes über das Netz transportierte Paket) im WAN einen anderen Weg nehmen. In diesem Fall ist der Fremdzugriff äußerst schwierig.

Das Risiko läßt sich durch verschiedene Methoden weiter reduzieren. Mit der Routing-Kontrolle - oft auch selektives Routing genannt - ist der Netzbetreiber in der Lage, Netzverbindungen, die als wenig vertrauenswürdig bekannt sind, für sensitive Daten zu sperren. Die Effektivität dieses Verfahrens für deutsche Verhältnisse erscheint zweifelhaft, da alle physikalischen Leitungen letztendlich vom Monopolbereich der DBP Telekom bereitgestellt werden. Im ersten Schritt müssen die Leitungen daher als gleich vertrauenswürdig angesehen werden.

Ein anderes Verfahren stellt die Verwendung von Fülldaten (Traffic Padding) dar, die während der gesamten Betriebszeit des Netzes und gegebenenfalls auch auf allen Netzverbindungen transportiert werden. Dieses Verfahren erschwert sowohl das Mithören als auch eine Verkehrsflußanalyse, da die Daten erstens schwerer zu finden sind, und zweitens zu jedem Zeitpunkt die gleiche Netzlast existiert. Der Nachteil dieses Verfahrens ist die höhere Auslastung des betroffenen WAN, die zu höheren Kosten der Vermittlungseinrichtungen und der netzinternen Verbindungen führt.

Kryptoverfahren als Sicherung im WAN

Kryptoverfahren sind ein weiterer gängiger Sicherheitsmechanismus im WAN. An dieser Stelle sollen die Konzepte von symmetrischen oder Private-Key-Kryptoverfahren (zum Beispiel DES) und asymmetrischen oder Public-Key-Kryptoverfahren (zum Beispiel RSA) - wenn auch nicht im Detail - als bekannt vorausgesetzt werden. Für die folgenden Ausführungen ist lediglich von Belang, daß Nach richten bei

- symmetrischen Kryptoverfahren mit einem einzigen Schlüssel ver- und entschlüsselt werden (der dementsprechend geheim bleiben muß) und bei - kommutativen asymmetrischen Kryptoverfahren zwei Schlüssel existieren, von denen jeder zur Entschlüsselung von Nachrichten verwendet werden kann, die mit dem jeweils anderen Schlüssel verschlüsselt wurden. Nur ein Schlüssel muß geheim bleiben, der andere ist öffentlich.

Es soll vielmehr auf zwei Aspekte eingegangen werden, die auf die Netzdurchlaufzeiten, die Kosten, die Flexibilität und damit auch die Benutzerakzeptanz eines implementierten Sicherheitsmechanismus entscheidenden Einfluß haben.

Beim Einsatz von Kryptoverfahren im WAN stellt sich zunächst grundsätzlich die Frage, ob man auf der untersten Ebene des OSI-Modells verschlüsseln will (Leitungsverschlüsselung) oder auf höheren Ebenen (Ende-zu-Ende-Verschlüsselung).

Bei der Leitungsverschlüsselung werden auch die Adressen der übertragenen Daten (der Pakete) verschlüsselt. Das Verfahren beugt also einigen Aspekten der Verkehrsflußanalyse vor. Andererseits müssen die Daten vor jedem Vermittlungsknoten entschlüsselt und dann wieder verschlüsselt werden, da der Vermittlungsknoten die Adressen im Klartext benötigt.

Der zusätzliche Zeitaufwand, der an dieser Stelle entsteht, ist vom verwendeten Verfahren und seiner Implementierung abhängig.

Im Vergleich zu den Netzlaufzeiten eines gut konzipierten und dimensionierten Paketvermittlungsnetzes ist der Zeitaufwand auf jeden Fall erheblich. Hinzu kommen die nicht vernachlässigbaren Kosten: Geht man davon aus, daß die verwendeten Kryptogeräte nur für einen einzigen physikalischen Anschluß im WAN vorgesehen sind, so verursachen die in Abbildung 1 dargestellten Netzbenutzer bei einem angenommenen Preis von 10 000 Mark pro Kryptogerät Kosten von nahezu 250 000 Mark.

Im Gegensatz dazu kann Ende-zu-Ende-Verschlüsselung Adressen im Klartext belassen. Die Vor- und Nachteile dieser Verschlüsselungsvariante verhalten sich damit genau umgekehrt zu denen der Leitungsverschlüsselung. Die Kosten der Kryptogeräte unseres Beispiel-WAN bleiben deutlich unter 100 000 Mark.

Ist in diesem Spannungsfeld zwischen Sicherheit und Kosten beziehungsweise Durchlaufzeiten die Entscheidung für ein Verfahren gefallen, so muß die Frage der Schlüsselverteilung im WAN - des -Schlüssel-Managements - behandelt werden. Auf dem Markt sind derzeit die verschiedenartigsten Verfahren für die Aufbewahrung von Schlüsseln in Kryptogeräten und die Verteilung dieser Schlüssel verfügbar.

Schlüssel werden im Kryptogerät aufgewahrt

Im einfachsten Fall wird eine große Zahl von Schlüsseln (500 und mehr) im Kryptogerät zum Beispiel in einem EPROM aufbewahrt. Vor der Kommunikation zwischen zwei Partnern (einer Session) wird aus diesen Schlüsseln einer zufallsgesteuert als Sessionschlüssel ausgewählt oder etwa auf der Basis des ausgewählten Schlüssels zwischen zwei Kryptogeräten ein Sessionschlüssel ausgehandelt. Der Vorteil dieses Verfahrens ist die einfache Implementierung.

Der Nachteil liegt im hohen logistischen Aufwand bei der Verteilung neuer Schlüssel. Die EPROMs müssen zu den Kryptogeräten versandt werden, wobei es technisches Know-how verlangt, die EPROMs auszutauschen. Solche Geräte müssen natürlich gut gegen unbefugtes Öffnen gesichert sein, da EPROMs problemlos auch von Unbefugten gelesen werden können.

Die Schlüsselverteilung zum Beispiel über Chip-Karten bietet auch gegen diese Folgebedrohung Schutz. Die Daten auf den Chip-Karten werden in die Kryptogeräte eingelesen und in nicht flüchtigem Speicher (zum Beispiel CMOS RAM) aufbewahrt. Bei einem unbefugten (gewaltsamen) Öffnen des Kryptogerätes wird der nicht-flüchtige Speicher gelöscht. Der logistische Aufwand ist, hier sicherlich geringer als bei der Aufbewahrung von Schlüsseln im EPROM, aber auch hier müssen Schlüssel physikalisch verteilt werden.

Den Stand der Technik stellt gegenwärtig sicherlich die Verteilung von Schlüsseln über das WAN selbst dar. Eines der möglichen Verfahren soll daher modellhaft erläutert werden. Die meisten Schlüsselmanagementsysteme basieren in der einen oder anderen Form auf der Nutzung eines Public-Key-Systems und einer zentralen Zertifizierungsinstanz, die hier Schlüsselverteilungszentrale (SVZ) genannt werden soll. Mischformen von Public- und Private-Key-Systemen sind in einigen Implementierungen ebenfalls zu finden. In der SVZ sind alle Öffentlichen Schlüssel der in das Kryptoverfahren eingebundenen Kommunikationspartner abgelegt. Den Kommunikationspartnern wiederum ist der Öffentliche Schlüssel der SVZ (Ö-SVZ) bekannt. In der CCITT-Empfehlung X.509 ist die Verwaltung und Verteilung von Schlüsseln allgemein beschrieben.

Abbildung 2 zeigt, wie A die Nachricht N, verschlüsselt mit seinem Geheimen Schlüssel G.A, an den Kommunikationspartner B versendet. Zusätzlich verschickt A seine eigene Kennung, so daß B weiß, wer der Urheber der Nachricht sein könnte. B fordert nun von der SVZ den Öffentlichen Schlüssel Ö-A von A an. Die SVZ verschlüsselt Ö-A mit ihrem Geheimen Schlüssel G-SVZ und Übermittelt G-SVZ (Ö-A) an B. B kann nun relativ sicher sein, daß der mittels des Öffentlichen Schlüssels Ö-SVZ entschlüsselte Öffentliche Schlüssel wirklich der von A (Ö-A) ist. Der letzte Schritt ist die Entschlüsselung der Nachricht mit N = Ö-A(G-A(N)). Ist das Ergebnis der Entschlüsselung sinnvoller Klartext, so ist die Nachricht mit hoher Wahrscheinlichkeit von A.

Will A als Sender der Nachricht sicherstellen, daß nur B die Nachricht entschlüsseln kann, kann er N mit dem Öffentlichen Schlüssel von B verschlüsseln. Ö-B erhält A wiederum von der SVZ.

Die Beschreibung dieses Verfahrens ist natürlich stark vereinfacht, gibt jedoch die wesentlichen Schritte der Schlüsselverteilung wieder. In der Praxis werden zum Beispiel zur Zertifizierung des von der SVZ übermittelten Schlüssels, zur Authentifizierung der kommunizierenden Partner und zur Aushandlung eines Sessionschlüssels bei bilateraler Kommunikation komplexe Sicherheitsprotokolle eingesetzt. Diese spezifischen Verfahren variieren von Hersteller zu Hersteller. Sie sind aber auch Gegenstand der Standardisierung im OSI-Bereich. (wird fortgesetzt)