Unter Blinden wird auch der Einäugige nicht zwingend König Marc Ruef | 28.04.2008 Ein Grossteil meiner Freunde und Bekannten sind oder waren Studenten. Seien dies nun Juristen, Soziologen oder Künstler. Für sie gelte ich, obschon mein Bildungsweg ganz anderes vermuten lässt, als Akademiker. Ich mag es, Probleme im Kopf zu lösen. So wie halt Sherlock Holmes auch. Und erscheint ein Sachverhalt dann mal zu komplex, greife ich zu "Papier und Bleistift". Je weniger ich mich bei einer Problemlösung bewegen muss, desto lieber habe ich das Problem. Das heisst aber nicht, dass ich mich nicht dabei dennoch bewege. Nietzsche sagte nicht umsonst, dass der Mensch im Gehen denkt. Meine akademische Herangehensweise schlägt sich bei Sicherheitsüberprüfungen in der Hinsicht nieder, dass ich zu Beginn sämtliche Informationen zur Zielumgebung einsehen möchte. Dies umfasst jegliche Information, vom Grobkonzept über das Detalikonzept bis hin zu Produkt-Handbüchern und aktuellen Konfigurationseinstellungen. Also noch bevor ich das erste IP-Datagramm über das Netzwerk jage, sollte ich eigentlich schon alles wissen, um keine unnötigen Zugriffe durchsezten zu müssen. Im Idealfall habe ich das Zielsystem schon kompromittiert, noch bevor ich das RJ45-Kabel in meinen Laptop einstecke und meine VMwares hochfahre. Eine solche systematische Deduktion ist vor allem dann von Vorteil, wenn man sich in sehr grossen und hochgradig komplexen Umgebungen zurechtzufinden hat. Viele Hosts, manchmal mit multiplen Schnittstellen und IP-Adressen sowie eine mehrschichtige Netzwerktopologie machen es gar unabdingbar, dass man sich als erstes auf dieser Ebene seiner Aufgabe nähert. Es ist deshalb schon fast Pflicht, dass der Kunde vorgängig die erforderlichen Daten sammelt und bereitstellt. Eine Aufgabe, die man nicht unterschätzen sollte. Es ist Montag Morgen und ich melde mich beim Kunden an. Ich bin wie immer eine halbe Stunde zur früh. Heute ist nämlich mein erster Tag vor Ort und ich kann es nicht leiden, wenn ich zu spät komme. Das anstehende Projekt ist sehr zeitkritisch, denn so muss ich noch während der Aufbauphase einen Abnahmetest durchführen, so dass die neue Umgebung am Freitag der gleichen Woche in Betrieb gehen kann. Keine optimale Planung, ich weiss. Aber so ist das halt bei grossen Firmen. Es handelt sich dabei um eine hochsichere Single Sign-On Lösung (SSO): Benutzer sollen sich einmal anmelden müssen und dann auf sämtliche Applikationen des Unternehmens zugreifen können. So fällt das Verwalten einer Unzahl an Zugangsdaten weg. An der Kickoff-Sitzung lasse ich gleich notieren, dass ich ein aktuelles Netzwerkschema sowie die IP-Adressen der Schnittstellen der involvierten Systeme brauche (Reverse-Proxy, Alteon-Switches, WebSphere-Farm und Active Directory Server). Ohne diese Daten wird es nahezu unmöglich, dass ich im Wirrwar des Unternehmensnetzwerks die richtigen Systeme angehe. Der für mich zuständige Herr willigt ein, sich um die Daten zu kümmern. Er gibt jedoch zu bedenken, dass die Chancen sehr gering sind, hier halbwegs aktuelle oder gar vollstände Informationen zu finden. Ich war gespannt. Zwischenzeitlich war ich mit dem Einrichten meines altertümlichen Dell-Laptops beschäftigt, als man mir mitteilte, dass es in der Tat keine Daten gibt. Kein Netzwerkschema. Keine IP-Adressen. "Doch, es gibt Adresslisten", sagt plötzlich jemand. Ich kriege fünf IP-Adressen zugesteckt. Welche wohin gehört, weiss niemand so richtig. Mittels ARP-Auflösungen und TTL-Auswertungen versuche ich Systeme zuzuordnen. Manche der Adressen gehören zu Clustern. Andere gehören zum gleichen Host, manchmal zur gleichen Schnittstelle. Es ist ein Chaos und ich der Einäugige im Land voller Blinder. Abklärungen seien noch immer im Gange, versicherte man mir; auch am Tag darauf. Um nicht unnötig fortwährend in der Kaffeepause zu sitzen, versuche ich mal die klar eingegrenzten Systeme zu prüfen. Ich komme nicht richtig forwärts. Um die Kerberos-Tickets zu analysieren, brauche ich Netzwerk-Sniffs der geschützten AD-Umgebung. Die kann ich nicht selber generieren, weshalb ich die Rückmeldung des Netzwerkteams abwarten muss. Dieses lässt sich Zeit. Und als dann mal jemand auf mich zukommt, so weiss er nicht genau, was ich will. Als ich ihm von SSO und WebSphere berichte meint er nur, dass niemand bei ihnen wisse, welche Hosts das seien. Das Chaos legt sich und vor mir steht das grosse Nichts. Der Begriff Nihilismus passt hier eigentlich ganz gut. Ich kann nicht testen, da mir die grundlegendsten Informationen fehlen. Ohne Netzwerkdiagramme und IP-Adressen wird es unmöglich auszumachen, woher ich komme und wohin ich will. Der Test wird unterbrochen und ich lasse über die Projektleiter eskalieren. Die angestrebten Termine konnten natürlich nicht gehalten werden. Mein Resumée der letzten Tag war, dass diese Firma sich weniger Sorgen um Single Sign-On machen und die Kräfte lieber auf eine saubere Netzwerkdokumentation richten sollte. Davon hat man mehr. Und dann klappts auch mit dem nächsten Sicherheitstest.