Wide Area Networks (WANs) nehmen in der Kommunikationsinfrastruktur von Unternehmen eine immer wichtiger werdende Position ein. Als Bindeglied zwischen anderen Netzen sind WANs in Sachen Sicherheit besonders exponiert. Jost Hoppermann* skizziert in diesem Beitrag sowohl die Struktur von WANs als auch die am stärksten bedrohten Komponenten und weist darüber hinaus auf Sicherungsverfahren hin.

Vermittlungsknoten gehören zu den empfindlichsten Punkten eines WANs. Die netzinternen Verbindungen laufen dort zusammen, und außerdem kann eine nahezu beliebige Anzahl von Endgeräten an sie angeschaltet werden. Auch Einwählzugänge sind häufig an den Vermittlungsknoten selbst realisiert. Zusätzlich können den Knoten PADs (Packet Assembler Disassembler) zugeordnet sein, die zur Konvertierung eingehender Datenströme (zum Beispiel asynchron oder SNA/SDLC) etwa nach X.25 oder dem netzinternen Paketvermittlungsprotokoll dienen.

Vermittlungsknoten sind besonders stark gefährdet

Die Vermittlungsknoten bieten daher Ansatzpunkte für alle denkbaren Formen von Angriffen. Die gängigen Maßnahmen zum Schutz von Knoten beginnen bei abschließbaren Schränken und abgeschlossenen Geräteräumen. In der Praxis werden leider gerade kleinere Vermittlungseinheiten in ungesicherten Räumen untergebracht, so daß beabsichtigten oder unbeabsichtigten Manipulationen Tür und Tor geöffnet sind.

Ein weiterer Schritt ist die Fernüberwachung der Räume und Schränke vom NMC aus. Die Anzeige von Meldungen, daß zum Beispiel die Tür eines Schrankes geöffnet oder wieder verschlossen wurde, ist in den meisten Paketvermittlungssystemen verfügbar oder ohne großen Aufwand implementierbar und bietet eine deutliche Verbesserung der Knotenabsicherung. Für große Installationen mit wichtigen, zentralen Vermittlungseinrichtungen oder auch das NMC empfehlen sich weitere Maßnahmen bis hin zur Außenüberwachung von Gebäuden.

Zusätzlich sollten die Kabelführungen von den Knoten zu den Postanschlüssen abgesichert werden. Dies kann im Einzelfall sogar mittels Über- oder Unterdruckkanälen mit entsprechender Überwachungssensorik geschehen. Auf jeden Fall aber sind die Steckverbindungen an Modems und Knoten abzusichern.

Einwählzugänge und auch Gateways zu fremden Netzen sind ebenfalls besonders sensible Punkte eines WANs. Vielfach werden in einem WAN, auf das über Einwählzugänge oder Gateways von externen Stellen zugegriffen wird, besonders gefährdete Anschlüsse des WANs über das Leistungsmerkmal "Geschlossene Benutzergruppe" (GBG) zusammengefaßt, um so ein höheres Maß an Absicherung zu erzielen.

GBGs sind ein grundlegendes Leistungsmerkmal von paketvermittelten Netzen mit X.25 Zugangsprotokoll und zum Beispiel auch im Datex-P-Netz verfügbar.

Auch Datex-L und das ISDN bieten eine ähnliche Funktionalität. Eine GBG sollte jedoch eher ein Datenschutz- als ein Sicherheitsmechanismus sein. Je nach Form der genutzten GBG kann sich der Grad der Vertrauenswürdigkeit sowohl erhöhen als auch verringern. Hinzu kommt, daß ein Kommunikationspartner im WAN durchaus mehreren GBGs angehören kann. Bei hochgradig sensitiven Daten wird in solchen Fällen die Informationsflußkontrolle deutlich erschwert.

Einen anderen, bei richtiger Anwendung sehr effektiven Sicherheitsmechanismus stellen spezialisierte Rechnersysteme im Paketvermittlungsnetz dar, die den Zugriff auf Netzressourcen kontrollieren und verwalten. Diese Rechnersysteme werden im folgenden als Sicherheits-Server bezeichnet. Sicherheits-Server können über einen einzigen Rechner realisiert oder auch auf mehrere Rechner verteilt werden.

Abbildung 1 zeigt schematisch, wie ohne Sicherheits-Server der Verbindungsaufbau von einem an einen Einwählzugang asynchron angebundenen externen Rechner (Laptop) zu einem Ziel-Host-Rechner erfolgt. Der Laptop kommuniziert mit dem vor den Knoten geschalteten PAD, der die - in diesem Beispiel - asynchronen Daten zum Beispiel ins X.25-Zugangsprotokoll zum WAN umsetzt. Beim Eingangsknoten geht eine Verbindungsanforderung ein, und der Ruf wird an den Zielknoten weitergeleitet. Nachdem der an den Zielknoten angeschlossene Host-Rechner die Verbindungsanforderung akzeptiert hat, wird im letzten Schritt die Verbindung hergestellt.

Anders sieht es aus, wenn ein Sicherheits-Server in den Prozeß des Verbindungsaufbaus eingebunden ist (Abbildung 2).

Die Voraussetzung, auf der die folgende Beschreibung aufbaut, ist die Integration des vor den

Vermittlungsknoten geschalteten PAD in das Sicherheitssystem des Sicherheits-Servers. Einwählzugänge mit nicht ins Sicherheitssystem integrierten PADs können ebenfalls vom Sicherheits-Server überwacht werden, nur gestaltet sich das entsprechende Procedere netzintern komplizierter.

In einem WAN mit Sicherheits-Server wird grundsätzlich zwischen abzusichernden und nicht abzusichernden Zielen (Rechnersystemen) unterschieden. Gilt ein Ruf einem nicht abzusichernden System, wird der Verbindungsaufbau wie oben beschrieben durchgeführt.

Im anderen Fall wird nach der Verbindungsanforderung in Schritt 1 der Ruf zum Sicherheits-Server, der an irgendeinen Knoten im WAN angeschaltet sein kann, umgeleitet. Dem Eingangsknoten ist die WAN-Zieladresse zu diesem Zeitpunkt nicht bekannt. Der Sicherheits-Server versucht nun, den eingegangenen Ruf zu kontrollieren. Dies kann über Benutzerkennung/Paßwort oder verwandte Verfahren geschehen.

Zusätzlich prüft der Sicherheits-Server zum Beispiel, ob die vorliegende Benutzerkennung gesperrt und die Ursprungsadresse für das gewünschte Ziel zugelassen ist.

Ist die Kontrolle nicht erfolgreich, teilt der Sicherheits-Server dem Eingangsknoten mit daß der Ruf zurückzuweisen ist. Die Verbindung wird dann vom Knoten abgebrochen.

Ist die Validierung hingegen erfolgreich, wird die Verbindung zum gewünschten Ziel aufgebaut. Der Sicherheits-Server teilt dem Eingangsknoten die Adresse des Zielknotens mit (Schritt 2), und der Verbindungsaufbau zum Zielknoten und dem abzusichernden Host-Rechner wird mittels des oben beschriebenen Verfahrens abgewickelt (Schritt 3).

Ergänzend können gerade bei Einwählzugängen tageszeit- und datumsabhängige Sperren der Einwählzugänge die Absicherung weiter verstärken. Eine noch höhere Absicherung verspricht an Einwählzugängen die Verwendung von automatischen Rückrufmechanismen mit fest vorgegebenen Rückrufnummern, die allerdings sofort wieder einen höheren Zeitaufwand und höhere Kosten bedingen.

Für stark mobile, etwa laptop- oder notebookgestützte Anwendungen kommen Rückrufmechanismen nicht in Frage. Hier können sogenannte Challenge-Response-Systeme Abhilfe schaffen, die ähnlich wie ein Sicherheits-Server den Zugang zu Netzen absichern. Der Anwender am Laptop muß hier zum Beispiel mittels eines tragbaren taschenrechnerähnlichen Verschlüsselungsgerätes ein vom System generiertes Wort (Challenge) verschlüsseln und dem System in dieser verschlüsselten Form übermitteln (Response). Bei korrekter Verschlüsselung wird der Zugang zum Netz freigegeben.

In einem Netzwerk-Management-Center (NMC) wird über das Netzwerk-Management-System (NMS) das gesamte WAN verwaltet und gesteuert. Die mittels des NMS zu erledigenden Aufgaben umfassen eine Vielzahl von Aktivitäten von der Konfiguration des WAN über die Überwachung des Netzes bis hin zur Möglichkeit, gezielt auf einzelne Komponenten wie netzinterne Verbindungen und Knoten (bis hinunter auf Portebene) einzuwirken.

Angriffe, die an dieser Stelle ansetzen, können daher auch das WAN selbst zum Ziel haben. Ein nicht autorisierter Benutzer im NMS kann - bei hinreichender Sachkenntnis und entsprechendem Einsatz der Möglichkeiten des NMS - ein WAN völlig lahmlegen.

Von diesem Extremfall abgesehen, gelten auch alle genannten Bedrohungen und andere für NMC und NMS. Sowohl NMC als auch NMS als zentrale Steuerungskomponente eines Paketvermittlungsnetzes sollten daher in besonderem Maße geschützt werden.

Das NMS besteht zumeist aus einer herstellerspezifischen, auf die Hardware und Software des eigentlichen Paketvermittlungsnetzes zugeschnittenen Software auf einem oder mehreren handelsüblichen Rechnern mit entsprechendem Betriebssystem. Neben der Absicherung von Gebäuden und Räumen sollte ein erster Schritt zur Absicherung des NMS in der konsequenten Nutzung der im Betriebssystem und im NMS vorhandenen Sicherheitsmechanismen bestehen. Die Integration höherwertiger Zugangskontrollen wie zum Beispiel Chipkarten oder biometrische Verfahren können die Absicherung des NMC/NMS weiter verstärken.

Netz-Management-System droht Gefahr über das WAN

Viele Paketvermittlungsnetze bieten die Möglichkeit, sich aus dem WAN in das NMS einzuschalten. Dies ist aus der Sicht derjenigen, die im Feld WAN-Komponenten überprüfen oder konfigurieren soll, natürlich begrüßenswert. Aus der Perspektive der IT-Sicherheit sind derartige Möglichkeiten jedoch problematisch, da über das WAN Angriffe auf das NMS erfolgen können.

Sicherheitsrelevante Ereignisse im Netz sollten daher den Operatoren am NMS gemeldet werden, um einerseits das WAN selbst zu schützen, andererseits aber auch Angriffe auf das NMS über das Netz frühzeitig zu lokalisieren. Um im nachhinein solche Ereignisse auch rückverfolgen zu können, sollte es möglich sein, sie separat zu protokollieren

Weitere technische und organisatorische Maßnahmen wie die Beschränkung der Zugriffsrechte der Operatoren auf den notwendigen Umfang oder physische Zugangskontrollen - sollten die Sicherheitsmaßnahmen abrunden.

Das Restrisiko, das bei sachgemäßer Anwendung von hochwertigen Kryptoverfahren noch vorhanden ist, liegt in der denkbaren Kompromittierung von Schlüsseln und der lediglich statistischen Sicherheit der Verfahren selbst. Betrachtet man Verfahren wie DES und RSA, so erscheint diese statistische Sicherheit für die meisten Anwendungen mehr als ausreichend.

Bei den Vermittlungsknoten und auch dem NMC sowie NMS ist das Restrisiko nach Anwendung aller beschriebenen Maßnahmen relativ gering. Es kann jedoch nicht konkret abgeschätzt werden, da an den Vermittlungsknoten und am NMC/NMS auch organisatorische Maßnahmen und die Infrastruktur des Gebäudes, in dem ein Knoten oder das NMS installiert sind, eine Rolle spielen.

Paßworte bieten keine umfassende Sicherheit

Auch Einwählzugänge können nicht mit absoluter Sicherheit gegen nicht autorisierten Zugang zum WAN abgesichert werden. Die kombinierte Anwendung von Benutzerkennung/Paßwort kann nur in beschränktem Umfang Unbefugte aussperren, da zum Beispiel Paßwörter ungeschickt gewählt oder kompromittiert werden können. Selbst Chipkarten - und mit ihnen die zugehörigen Paßwörter - können in unbefugte Hände geraten. Nicht auf Unbefugte übertragbar ist nur die Identifikation aufgrund biometrischer Verfahren. Leider sind viele dieser Verfahren noch nicht so weit, daß autorisierte Benutzer mit hundertprozentiger Sicherheit Zugang zum System erlangen.

Existierende Risiken sind vorab zu prüfen

Realistisch betrachtet, kann also keine der genannten Bedrohungen ausgeschlossen werden. Dies soll jedoch keine Schreckensvision bei denjenigen hervorrufen, die WANs nutzen oder gerade ein privates Netz planen oder installieren. "Sichere WANs" kann es ebensowenig geben, wie es ganz allgemein "sichere IT-Systeme" gibt.

Wie bei allen anderen IT-Systemen auch, muß beim WAN festgestellt werden, welche Risiken real existieren und welche dieser Risiken durch die vorhandenen Sicherheitsmechanismen und -maßnahmen abgedeckt werden. Denn

letztendlich gilt auch hier, daß Sicherheitsmaßnahmen, seien sie organisatorischer oder technischer Natur, dem zu schützenden Objekt, dem Umfeld und auch dem vorhandenen Risikopotential gegenüber angemessen sein müssen.

Bisher war immer wieder von Sicherheitsmechanismen die Rede. Diese Mechanismen können durch Sicherheitskriterien bewertet werden. Das amerikanische Red Book mit dem Originaltitel "Trusted Network Interpretation of the Trusted Computer Systems Evaluation Criteria" geht davon aus, daß einzelne Komponenten eines WAN auch separat evaluiert und zertifiziert werden können. Allerdings müssen alle diese Komponenten einer gemeinsamen "Network Security Architecture" genügen.

Die deutschen IT-Sicherheitskriterien definieren den Begriff des zu evaluierenden IT-Systems hingegen nicht klar. Ein IT-System kann hier sowohl ein isoliertes IT-Produkt wie ein komplexes Gebilde einzelner Produkte sein. Im Gegensatz dazu unterscheiden die europäische Itsec bei den Objekten des Evaluationsvorgangs zwischen IT-Produkten, die man quasi von der Stange kaufen kann, und IT-Systemen. IT-Systeme wiederum setzen sich aus verschiedenen Hardware- und Software-Komponenten zusammen die durchaus auch IT-Produkte sein können. Zusätzlich wird die spezielle Installations- und Betriebssystemumgebung und der Zweck des IT-Systems in die Betrachtung einbezogen.

Nach dem Verständnis der Itsec ist ein WAN daher sicherlich ein IT-System und ein Vermittlungsknoten ein IT-Produkt. Die Vertrauenswürdigkeit eines Vermittlungsknotens als typischem IT-Produkt ist mit entsprechendem Aufwand evaluierbar.

Die Evaluation eines WAN praxisgerechter Größe hingegen ist vom Aufwand her mindestens mit der Evaluation eines Großrechner-Betriebssystems vergleichbar. Die Kosten einer solchen Großrechner-Evaluation liegen deutlich im zweistelligen Millionen-Bereich. In die Überlegungen muß auch mit einbezogen werden, daß unter den netzinternen Verbindungen zwischen den Vermittlungsknoten noch die Übertragungstechnik der Telekom liegt.

Aufwand und Kosten für WAN-Check sind hoch

Müßte diese Übertragungstechnik streng genommen nicht aus der Itsec-Perspektive des IT-Systems ebenfalls evaluiert werden? Der Aufwand für die Evaluierung eines WAN wird auf jeden Fall außerordentlich hoch und die Kosten werden beträchtlich sein.

Es wird sicherlich einzelne, hinsichtlich ihrer Vertrauenswürdigkeit evaluierte und zertifizierte Komponenten eines WAN wie zum Beispiel Kryptogeräte geben. Bereits jetzt sind nach den US-amerikanischen Sicherheitskriterien zertifizierte Kommunikationssubsysteme auf dem Markt. In Hinblick auf die Komplexität der Aufgabe, den Aufwand und die resultierenden Kosten erscheint die Evaluation eines vollständigen WAN jedoch als wenig wahrscheinlich.

*Jost Hoppermann ist Mitarbeiter der Geschäftsstelle Kommunikation und Anwendung bei der Danet Beratung und Software Entwicklung GmbH in Darmstadt.