Netzwerksicherheit
1. Gefahren durch
einen InternetAnschluß
Die potentiellen Gefahren für die
internen Informationssysteme, die durch einen Internet-Zugang zu den bestehenden
Gefahren hinzukommen, stellen sich durch folgende Szenarien dar:
-
Eindringen von nichtautorisierten Personen
von außen in das Informationsnetzwerk:
-
Verlust von Daten (Einfügung, Löschung,
Verfälschung)
-
Verlust von vertraulichen Informationen
( Öffentlichkeit, Spionage)
-
Störung der Netzverfügbarkeit
(Viren, Sabotage)
-
Einschleusen von "Trojanischen Pferden"
und Viren durch Datenübertragung aus dem Internet.
-
Vortäuschung falscher Identität
(mißbräuchliche Verwendung der eigenen Internetadresse durch
Dritte (Adress Spoofing), Täuschung durch von Dritten simulierte Identifikationen
usw.).
2. Motive der
Angreifer
Erkenntnisse über die mögliche
Identität von potentiellen Angreifern können einen ersten Anhaltspunkt
für die Dimensionierung des Sicherheitssystems liefern. Folgende sechs
Personengruppen können unterschieden werden:
-
Mitarbeiter des eigenen Unternehmens
Frustrierte oder sich ungerecht
behandelt fühlende Mitarbeiter versuchen sich über den Weg der
Zerstörung von Datenmaterial oder Sabotage von Systemen am Arbeitgeber
zu rächen. Die begangenen Delikte reichen dabei vom wiederholten unbemerkten
Betätigen des Hauptschalters bis zum raffinierten Datendiebstahl oder
der Verseuchung des EDVSystems mit Viren.
-
Studenten/Teenager aus dem Universitäts
und Schulumfeld
Die weitaus größte Anzahl
der Einbruchsversuche wird von Schülern und Studenten begangen. Leistungsfähige
Technik, kostenloser InternetZugang, genaue Kenntnis der Betriebssysteme
und Protokolle und Neugier bzw. Spieltrieb sind die Motivation dieser Angriffe.
Sie beschränken sich in der Regel auf Standardangriffe und sind deshalb
leicht abzuwehren und der entstehende Schaden ist gering.
-
Hacker aus der ComputerUntergrundszene
Hacker aus dem ComputerUntergrund
besitzen in der Regel einen sehr hohen Wissensstand über Einbruchsmethoden
in Datennetze. Sie unterhalten sogenannte HackerMailboxen, über
die Informationen über Fehler in Betriebs und Sicherheitssystemen
und konkrete Anleitungen zum Eindringen in abgesicherte Computeranlagen
ausgetauscht werden. Diese sind sehr gut gesichert, so daß ein Eindringen
von Außenstehenden in der Regel unmöglich ist. Ziel ist es,
neben dem Eindringen in Hochsicherheitssysteme, dasselbe wieder unbemerkt
zu verlassen. Zerstört oder gelöscht wird in der Regel nichts.
-
herkömmliche Kriminelle aus dem
Drogen/MafiaUmfeld
Mit der raschen Ausbreitung des
Internet machen sich auch verstärkt Personen der traditionellen kriminellen
Szene breit. Die Abwicklung von Drogengeschäften und anderen betrügerische
Handlungen sowie die Kommunikation zwischen Bandenmitgliedern erfolgt zunehmend
über das Internet. Eine weitere Form ist die Computerkriminalität,
die es auf Transaktionen, die unmittelbar finanzielle Werte darstellen,
abgesehen hat.
-
professionelle Hacker/Industriespione
Mit der Kommerzialisierung des Internet
öffnet sich zunehmend auch ein Markt für rein kriminelle, professionelle
Datendiebe. Teilweise rekrutiert sich dieser Personenkreis aus ehemaligen
Mitgliedern der ComputerUntergrundszene, teilweise aus bezahlten Computerspezialisten.
Diese werden meist mit konkreten Aufgaben betraut und dann alle Mittel
anwenden, diese schnellstmöglich und mit geringstem Aufand zu erledigen.
-
Personen aus dem Konkurrenz/WettbewerbsUmfeld
Der Aufwand der für die Abwehr
der Angriffe notwendig ist, ist sehr stark von der Motivation und Zielsetzung
des Angreifers abhängig. Die Abwehr von Schülern und Informatikstudenten,
die mit PC und Modem ihre ersten "HackErfahrungen" sammeln wollen,
erfordert dabei weniger Aufwand, als die Abwehr von gewieften Profies und
Insiderangriffen aus dem eigenen Unternehmen.
3. Angriffspunkte
und Schwachstellen des Internet
3.1 Internet:
mangelhaftes ProgrammDesign
Eine Hauptursache für die Vielzahl
an Sicherheitsproblemen im Internet stellt die prinzipielle Architektur
der Kommunikationsprotokolle TCP/IP und UDP dar. Keines dieser Produkte
wurde ursprünglich mit dem Ziel entwickelt, wirklich sichere Kommunikationspfade
zu garantieren.
Ein anderer Grund für erfolgreiche
Einbruchsversuche sind mangelhafte Systemkonfigurationen sowie teilweise
oder ganz fehlende Sicherheitsvorkehrungen an den Internet-Zugangssystemen.
Weiterhin bilden fehlerhafte Dienstprogramme oder die Applikationen selbst
(WWW,ftp,...) Angriffspunkte für potentielle Angreifer.
3.2 Unternehmensorganisation
Neben rein technischen Problemen liegen
die Gründe für mangelhafte Sicherheitsstandards vielfach aber
auch bei der Unternehmensorganisation. Das Fehlen eines Sicherheitsbeauftragten,
mangelnde gezielte Weiterbildung der Systemadministratoren sowie keine
oder unzureichende interne Sicherheitsrichtlinien sind in vielen Fällen
die Ursache für eklatante Sicherheitslücken.
3.3 Hitliste der
Einbruchsmethoden
Die nachfolgenden Angriffe stellen nur
einen kleinen Ausschnitt aus der Vielzahl bekannter Abgriffe dar.
-
SnifferAttacken
bei dieser Attacke wird mit Hilfe
von Programmen, die auf InternetHosts eingeschleust werden, der gesamte
Datenstrom überwacht und Paßwörter sowie Systemidentifikationen
abgespeichert.
-
IPSpoofing
Dabei werden vom Angreifer die eigenen
Datenpakete mit Sendeadressen versehen, die im Adreßbereich des Zielnetzwerkes
liegen. Sie erscheinen damit als von eigenen Nutzern generiert. Damit ist
es möglich, Paketfilter und ProxyFirewalls zu überwinden,
deren Authentifikationsmechanismen auf InternetAdressen basieren.
-
Netzeinbruch über
Remote Login
Eine Applikation von RemoteLogin
ist das TelnetProgramm. Telnet ist ein TerminalProgramm, das
die interaktive Nutzung von ComputerSystemen über das Netzwerk
hinweg ermöglicht. Bei einem Angriff wird die Tatsache ausgenutzt,
das die Kommunikation über das Netz im Klartext erfolgt. Benutzeridentifikationen
und Paßworte, die so ebenfalls im Klartext übertragen werden,
können so leicht abgehört werden.
Remote Login Programme bieten noch
weitere Angriffsmöglichkeiten, auf die hier nicht näher eingegangen
werden soll.
-
SendmailAngriffe
Bei diesem Angriff wird eine Reihe
von Programmfehlern in den unterschiedlichen SendmailVersionen ausgenutzt,
die es gestatten, auf dem Zielrechner Befehle zur Ausführung zu bringen
oder Dateien zu modifizieren oder zu kopieren (SendmailVersion 5).
Sendmail Angriffe sind insbesondere
deshalb gefährlich, weil der Mail Server in der Regel als RootApplikation
installiert ist. Sendmail Angriffe zielen daher auf das Erreichen
von RootRechten auf den Zielrechnern.
Weitere Angriffe sind Sicherheitslücken
oder Konfigurationsfehler des Network File Systems (NFS) und des Network
Information Services (NIS).
4. Firewalls
Unter einem FirewallSystem versteht
man jene NetzwerkKomponenten, über die ein lokales Netzwerk an
ein externes, öffentliches Datennetz wie das Internet angekoppelt
ist. Die Aufgabe des FirewallSystems ist es, einen möglichst
ungestörten Zugriff der Benutzer des lokalen Netzwerks auf das öffentliche
Netzwerk zu ermöglichen und gleichzeitig das eigene Datennetz vor
externen Übergriffen zu schützen. Um dies zu gewährleisten,
muß das FirewallSystem den einzigen Zugang des lokalen Datennetzes
nach außen darstellen. Sie besteht in der Regel aus mehreren Hard
und SoftwareKomponenten, die je nach Anforderung an die für interne
Benutzer zur Verfügung stehende Dienste sowie die zu garantierende
Sicherheit individuell konfiguriert werden.
Der Einsatz von FirewallSystemen
zur Sicherung von lokalen Netzwerken hat folgende Vorteile:
-
Durch die Konzentration der Risikozone
auf ein einziges System kann das Sicherheitsmanagement auf einen einzigen
Punkt innerhalb des Datennetzes konzentriert werden. Alle anderen Netzknoten
bleiben von zu ergreifenden Sicherheitsmaßnahmen im wesentlichen
unberührt.
-
Überwachungs und Kontrollmechanismen
müssen ebenfalls lediglich auf dem FirewallSystem installiert
werden.
-
Alle Verbindungen vom und zum lokalen
Netzwerk müssen über das Firewall-System erfolgen und können
somit überwacht und kontrolliert werden.
Das FirewallSystem stellt die physikalische
und logische Schnittstelle zwischen dem externen und internen zu schützenden
Datennetz dar. Nach außen hin öffnet die Firewall den Zugang
zum lokalen Netzwerk über unterschiedliche Übertragungsschnittstellen
wie ISDNLeitungen, ModemLeitungen, X.25Leitungen und Datenmietleitungen.
Den Übertragungsschnittstellen nachgeordnet sind die jeweiligen Kontrollmechanismen,
die den Aufbau von Verbindungen zwischen internen und externen Datennetzen
je nach Dienst und Teilnehmer zulassen, kontrollieren oder verhindern.
5. Netzwerksicherheit:
Standards und Organisationen
Für eine objektive Bewertung von
ITSystemen nach einheitlichen Kriterien wurde 1983 von amerikanischen
Verteidigungssystem das "OrangeBook" (TCSEC NCSC Trusted Computer
System Evaluation Criteria) herausgegeben. Das war der erste bedeutende
Klassifikationskatalog.
Der für Europa relevante Klassifikationskatalog
ist das 1991 veröffentlichte Dokument "Kriterien für die Bewertung
der Sicherheit von Systemen der Informationstechnik" (ITSEC Information
Technology Security Evaluation Criteria).
5.1 Orange Book
Darin werden die ITSysteme in sieben
Sicherheitsstufen eingeordnet nach den vier Klassen A,B,C und D eingeteilt.
Systeme der Klasse D besetzen den geringsten Sicherheitsstandard, Systeme
der Klasse A1 den höchsten (D < C1 < C2 < B1 < B2 <
B3 < A1). Das "OrangeBook" wurde 1987 durch das "RedBook"
(TNI Trusted Network Interpretation) erweitert.
5.1.1 Orange Book:
KlasseDSysteme
Als KlasseDSysteme werden
alle Systeme bezeichnet, die nicht die Sicherheitsanforderungen für
die Sicherheitsklassen C1 bis A1 erfüllen. Sie stellen den geringsten
Sicherheitsstandard dar.
5.1.2 Orange Book:
KlasseCSysteme
Die Kriterien für die Sicherheitsklasse
C erfordern das Vorhandensein von benutzerbestimmbaren Zugangsbeschränkungen.
Damit sind Systeme gemeint, bei denen vom Benutzer die Rechte für
den Systemzugang bestimmt werden.
C1Systeme sind für Benutzergruppen
geeignet, die sich alle auf dem selben Sicherheitsniveau befinden. Es wird
lediglich die Trennung zwischen Benutzern und Daten gefordert.
Für C2Systeme müssen
die benutzerbestimmbaren Beschränkungen so realisiert sein, daß
die Operationen der einzelnen Benutzer überwacht und gespeichert werden
können. Die einzelnen Benutzer müssen individuell identifizierbar
und die Überwachungsdaten vor nicht autorisierten Zugriffen geschützt
sein.
5.1.3 Orange Book:
KlasseBSysteme
Die KlasseBKriterien fordern
zusätzlich die Implementation von festgelegten, regelbasierenden Schutzmechanismen.
Für Benutzer dieser Systeme ist es nicht mehr möglich, Rechte
zu vergeben. Dies ist ausschließlich dem Systemadministrator erlaubt
und erfolgt nach definierten Regeln. Dabei werden die Informationen folgendermaßen
klassifiziert:
-
nicht vertraulich
-
vertraulich
-
geheim und
-
streng geheim
Jedem Benutzer ist über eine Markierung
einer der genannten Geheimhaltungsgrade zugeordnet. Durch einen Vergleich
von Benutzerberechtigung und dem Geheimhaltungsgrad des Objektes wird festgestellt,
ob ein Nutzer zugriffsberechtigt ist.
B1Systeme
B1Systeme haben folgende Kriterien
zu erfüllen:
-
verbindliche Zugangskontrolle,
-
Markierung aller Objekte durch Geheimhaltungsstufen,
-
alle bekannten Möglichkeiten, in
das System einzubrechen, müssen beseitigt sein,
-
eine formelle oder informelle Beschreibung
des Sicherheitsmodells muß verfügbar sein,
-
Ausdrucke von vertraulichen Daten müssen
sichtbar als solche kenntlich sein,
-
eine vollständige Dokumentation
der Funktionen und Aufgaben des Systemverwalters muß verfügbar
sein.
B2Systeme
B2Systeme fordern darüber
hinausgehend:
-
Verbindliche Zugangskontrollen zu allen
direkt und indirekt vom ITSystem erreichbaren Komponenten müssen
vorhanden sein.
-
Der Kommunikationspfad zwischen Benutzer
und ITSystem muß gesichert und vertrauenswürdig sein.
-
Das ITSystem muß gegen elektromagnetische
Abstrahlung nach außen abgeschirmt sein.
-
Operator und Systemverwaltungsfunktionen
müssen getrennt sein.
-
Alle Einrichtungen müssen mit ihrer
minimalen und maximalen Geheimhaltungsstufe markiert sein.
-
Eine formelle Beschreibung des Sicherheitsmodells
muß vorliegen.
B3Systeme
Neben den B2Forderungen müssen
insbesondere:
-
die Zugriffslisten auch Einträge
der nicht zugriffsberechtigten Benutzer enthalten,
-
eine äußerst detaillierte
Beschreibung von Funktion, Verhalten und Design des ITSystems vorhanden
sein,
-
ein automatisches Hilfsmittel zur Erfassung
und Meldung von sicherheitsrelevanten Ereignissen vorhanden sein,
-
das ITSystem modular aufgebaut
sein, bestimmte Funktionen sind in Hardware zu realisieren
-
gesicherte Mechanismen für die
Wiederherstellung des ursprünglichen Systemzustandes nach Systemfehlern
implementiert sein.
5.1.4 Orange Book:
KlasseASysteme
Zusätzlich zu den Anforderungen
an B3Systeme, muß das gesamte Modell des Software-Designs als
formale Beschreibung vorhanden sein. Auf Grundlage dieser Beschreibung
ist ein Nachweis der fehlerfreien Implementation der Software zu erbringen.
5.2 Der ITSECKriterienkatalog
Der ITSECKriterienkatalog für
Europa teilt in Analogie zum amerikanischen "Orange-Book" ITSysteme
in sieben Sicherheitsklassen ein (E0E6). Die jeweiligen Sicherheitsklassen
entsprechen im wesentlichen denjenigen des "OrangeBook".
| Orange Book Klassifikation |
D |
C1 |
C2 |
B1 |
B2 |
B3 |
A1 |
| ITSEC Klassifikation |
E0 |
E1 |
E2 |
E3 |
E4 |
E5 |
E6 |
Literatur Kyas,O., Sicherheit im
Internet RisikoanalyseStrategienFirewalls, DATACOMBuchverlag,
Bergheim, 1996
Verfasser: Holger Koch
homepage