III/2001
Besuchen Sie uns auf der Internet World: 15. bis 17. Mai Halle 4.2, Stand C20
DM 9,80 ÖS 75,-
Sfr. 9,80
Mai, Juni, Juli 2001
Das Magazin für Netze, Daten- und Telekommunikation
Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Das sichere Netz
Mai/Juni/Juli 2001
mit Marktübersicht Firewalls Biometrische Verfahren Login per Daumendruck
Das neue Signaturgesetz Schritt in die richtige Richtung
Vergleichstests: Firewalls Intrusion Detection Antiviren-Software
EDITORIAL
163. AUSGABE
Georg von der Howen Stellvertretender Chefredakteur
KOPF UNTER DER DECKE
Kinder haben es einfach: Kommt nachts das böse Monster ins Kinderzimmer, stecken sie den Kopf unter die Decke – und schon kann ihnen der furchteinflößende Eindringling nichts mehr anhaben. Derselben Taktik bedienen sich oft Sicherheitsverantwortliche in Unternehmen oder noch viel schlimmer, Hersteller von Security-Produkten – allerdings mit weit weniger Erfolg. Denn das schlichte Ignorieren oder Verschweigen potenzieller Gefahrenquellen nach dem Motto, “Weil nicht sein kann was nicht sein darf”, verhilft mittelfristig nur den übelwollenden ExMitarbeitern, Industriespionen oder Freizeit-Hackern zum Erfolg. So ist es schon schlimm genug, wenn eine Firewall eklatante Sicherheitslücken aufweist. Schlimmer ist allerdings, wenn der Hersteller dies verschweigt. Noch gravierender wird es, wenn die Firewall an sich sicher ist, aber auf einem Betriebssystem basiert, das sich mit einfachen Methoden aushebeln lässt – und der Hersteller des Betriebssystems seine Kunden davon nicht unterrichtet. Denn Hacker kennen oft die Achillesferse solcher Produkte, während der Anwender im Dunkeln bleibt. Der erste Appell geht daher an die Hersteller, Schwachstellen in ihren Werken offen zu legen (oder noch besser den Quellcode) – und sicherheitsrelevante Fehler schnellstmöglich zu beseitigen. Doch liegt das Problem nicht nur in fehlerhaften Produkten, auch die Unwissenheit der Sicherheitsverantwortlichen über bekannte und abstellbare Mängel in ihren Schutzsystemen birgt große Gefahren. Zudem gibt es für diese Unkenntnis eigentlich keine Entschuldigung. Denn die Informationsquellen im Internet, die Hackern zu ihrem Wissen über Lücken in Sicherheitsprodukten verhelfen, stehen auch dem normalsterblichen Administrator offen – er muss sie nur nutzen. Ein gutes Beispiel sind so genannte Portscanner, die im einfachsten Fall den Benutzer über offene Ports – das heißt aktive Dienste – auf Rechnern in TCP/IP-Netzen informieren. Diese Scanner sind meist das erste Teil im Puzzle-Spiel eines Hackers, das ihm mögliche Einstiegspunkte in ein fremdes System verrät. Denn ist ein Port auf einem Zielsystem offen und der dahinter laufende Dienst identifiziert, reicht oft ein Blick auf entsprechende Web-Seiten, um eine Sicherheitslücke in genau diesem Dienst zu finden. Was liegt also näher, als sich als potenzielles Opfer genauso zu verhalten wie der Angreifer? Portscanner verschiedenster Ausprägung gibt es als Freeware im Internet, und ein kontrollierter Scan des eigenen Netzes kann schon nach ein paar Minuten zu erstaunlichen Erkenntnissen führen. Letztlich läuft diese Vorgehensweise auf eine altbekannte Methode der Kriegsführung hinaus: den Feind mit seinen eigenen Mitteln zu schlagen. Greifen Sie also Ihr Netz mit Hacker-Methoden an und stopfen Sie die gefundenen Schlupflöcher. Seien Sie Ihr eigener Hacker – nur mit dem Unterschied, dass Ihre Absicht gutartig ist.
(
[email protected]) www.lanline.de
LANline Spezial Das sichere Netz III/2001
3
INHALT
Die ID-Mouse Professional verwendet das biometrische Verfahren Fingertip (Seite 54)
SICHERHEITS-KNOW-HOW Datenklassifizierung Zugriff streng nach Protokoll............... 6
Bei der Abbildung von Dialup-Remote-Access-Netzen auf ein IPSec-VPN treten massive Probleme auf (Seite 62)
SICHERHEITSTECHNOLOGIE Nutzen und Problematik biometrischer Verfahren Login per Daumendruck?...................54
Gute Chancen für Hacker Sicherheitsstudie vom TÜV Nord......10
DM 9,80 ÖS 75,-
Das Magazin für Netze, Daten- und Telekommunikation
Das Magazin für Netze, Daten- und Telekommunikation
Verschlüsselung auch in Dateisystemen Kryptographische Funktionen............70
Das neue Signaturgesetz Zweiter Anlauf....................................24
Sfr. 9,80
Mai, Juni, Juli 2001
Problematischer Generationswechsel Remote Access mit VPN und IPSec...62
Sicherheit in der Mail-Architektur Schwachstellen erkennen................... 16
Besuchen Sie uns auf der Internet World: 15. bis 17. Mai Halle 4.2, Stand C20
III/2001
Aktiver Schutz durch Content Inspection Vertrauen ist gut, Vorsorge ist besser...................................................80
www.lanline.de
Das sichere Netz mit Marktübersicht Firewalls
Mai/Juni/Juli 2001
Risiken und Schutzbedarf Verschlüsselung von E-Mails........... 83 SICHERHEITSPRODUKTE Keine Chance für Ungeziefer Vergleichstest: Antiviren-Software (1)....................... 28
Biometrische Verfahren Login per Daumendruck
Das neue Signaturgesetz Schritt in die richtige Richtung
Vergleichstests: Firewalls Intrusion Detection Antiviren-Software 03 4 394202 809803
B 30673
ISSN 0942-4172
Alarmanlagen für Netzwerke Vergleichstest Intrusion-DetectionSysteme............................................... 40
SICHERHEITSTECHNOLOGIE
Nutzen und Problematik biometrischer Verfahren Passwörter und PINs haben unbestritten gravierende Sicherheitsprobleme. Mit biometrischen Verfahren versucht man, bessere und zugleich bequemere Lösungen zu finden. Diese Verfahren bieten verlockende Möglichkeiten, sind aber nicht ganz ohne Komplikationen. Der folgende Artikel diskutiert positive und negative Seiten der Biometrie.
om Konzept her sind unsere EC-Karten ziemlich sicher, auch wenn die zugehörige PIN nur vierstellig ist: Der Bankautomat behält sie nach dem dritten Fehlversuch ein (die Risiken des bargeldlosen Kaufs seien hier natürlich ausgenommen). Dass es Dieben immer wieder gelingt, mit fremden EC-Karten an Bargeld heranzukommen, dürfte vor allem eine Ursache haben: Der Karteneigentümer hat die PIN irgendwo aufgeschrieben, im schlimmsten Fall sogar auf der Karte selbst. Angesichts der zunehmenden Zahl von PINs und Passwörtern, die sich jeder heutzutage merken muss, ist das in gewissem Maße verständlich. Oft soll sogar das Su-
V
peruser-Passwort von Unix-Rechnern unter der Tastatur zu finden sein, damit der Computer bei Abwesenheit des Administrators noch heruntergefahren werden kann. Ein weiteres Sicherheitsproblem sind triviale Passwörter, die beispielsweise nur aus ein oder zwei Zeichen bestehen. Unter SCO Unix gab es einst das Programm “goodpasswd”, das solche Sicherheitslücken nicht zuließ. Obwohl sehr einfach zu implementieren, scheinen derartige Absicherungen nach wie vor äußerst selten zu sein. Den Software-Herstellern ist durchaus ein Vorwurf daraus zu machen. Doch wenn Software auf “allzu ordentliche” Passwörter achtet, entsteht das nächste
Bild 1. Die ID Mouse professional verwendet das biometrische Verfahren Fingertip
SICHERHEITS-KNOW-HOW
Problem: Ein gutes Passwort kann sich der Anwender schlecht merken (erst recht nicht viele gute Passwörter), und dann schreibt er sie sich wieder auf. Der “normale” Nutzer hat nur wenig Sicherheitsbewusstsein. Das Thema Sicherheit wird aber immer wichtiger – was ist also zu tun? Der naheliegende Ausweg scheint die Biometrie zu sein, das heißt die Ausnutzung biologischer, personengebundener Merkmale. Wie intensiv daran geforscht wird, sieht man leicht auf der CeBIT: Die Zahl der Anbieter wächst von Jahr zu Jahr. Dem Einfallsreichtum sind keine Grenzen gesetzt wie im Kasten auf Seite 58 zu sehen ist. Und Biometrie ist ja so bequem: Man legt einfach seinen Daumen auf einen Sensor, und schon bekommt man sein Geld ausgezahlt. Oder noch bequemer: Der Nutzer setzt sich vor den Rechner, eine kleine Kamera auf dem Bildschirm erkennt den Arbeitswilligen und öffnet den Bildschirm, gleich vorkonfiguriert für seine persönlichen Bedürfnisse. Derartige Systeme sind bereits im Angebot, etwa unter www.cognitec.de.
Am 9.3.2001 passierte das neue Signaturgesetz den Bundesrat. Kommt damit endlich der Durchbruch für die digitale Signatur, auf den wir schon 1997 hofften? Eine Antwort darauf kann auch der folgende Artikel nicht geben, wohl aber einige Probleme und Fortschritte beleuchten, ohne auf juristische Finessen einzugehen.
Realität nicht so rosig. Von Kosten (die sinken werden) und Implementierungsproblemen (die gelöst werden) abgesehen, gibt es nicht zu ignorierende Sicherheitsprobleme, gerade in den genannten Fällen. Der Kryptologe Bruce Schneier nannte in seiner Online-Zeitschrift “Cryptogram” drei Kritikpunkte: 1. Biometrische Merkmale sind zwar individuell, doch nicht geheim. Ohne größere Probleme kann man jemandes Fingerabdruck oder seine Gesichtscharakteristik unbemerkt ermitteln und einem schwach konzipierten System vorhalten. Die bekanntesten Beispiele sind gestohlene Fingerabdrücke auf Klebeband und der Kamera vorgehaltene Fotos. 2. Biometrie kommt mit verschiedenen Fehlern schlecht zurecht: Wenn der Zugang zu Alices’ Bankkonto nur über den Fingerabdruck ihres linken Daumens möglich ist und sie sich ausgerechnet diesen Finger beim Zwiebelschneiden verletzt hat, ist guter Rat teuer. Noch ▲
▲
so weiter vorschreibt, ohne Freiräume für praktische Anwendungen zu schaffen. Die digitale Signatur war der handschriftlichen nicht etwa per Gesetz gleichgestellt, sondern dies lag im Fall einer Klage im Ermessen des Richters. Damit nicht genug: Im Bemühen um größtmögliche Sicherheit entwickelte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Richtlinien für Trustcenter, in denen Schlüsselpaare zur Signaturerzeugung und -verifizierung generiert werden [1,2]. Offenbar waren diese Vorschriften so streng und ihre Umsetzung derart teuer, dass praktisch keine Trustcenter entstanden. Inzwischen wird jedoch der Ruf nach einem umsetzbaren Recht immer lauter, nicht zuletzt dank E-Commerce und der notwendigen Einsparung von Verwaltungskosten. In der EU haben sich dabei Staaten wie Großbritannien stark gemacht, die eine etwas andere
“SICHERHEIT
GERETTET”
Bei einem ersten Blick auf das Gesetz [3] fällt auf, dass es zwei Arten von Unterschriften gibt: Die qualifizierte und die fortgeschrittene. Der eigenartige Sprachgebrauch täuscht – die qualifizierte Signatur entspricht einem deutlich höheren Sicherheitsstandard und ist in etwa mit der “alten” nach dem Signaturgesetz von 1997 zu vergleichen. Die
ob die qualifizierte Unterschrift überhaupt gebraucht wird. Denn sie soll dort gelten, wo die Schriftform ausdrücklich vorgeschrieben ist – beispielsweise bei Eheschließung und Hauskauf. Wer von den Lesern möchte eine Ehe über das Internet schließen? Fortgeschrittene Signaturen sollen dagegen dort wirksam werden, wo die Unterschrift vereinbart ist, also zum Beispiel bei “normalen” Kaufverträgen. Gegenüber dem früheren Gesetz sieht der Autor einige deutliche Fortschritte (insofern ist die Signatur wirklich “fortgeschritten”): – Die digitale Signatur ist der handschriftlichen per Gesetz gleichgestellt, ihre Anerkennung liegt
Es bleibt abzuwarten, ob das neue Signaturgesetz den Durchbruch für die digitale Signatur bringt
fortschrittliche, “neue” wird explizit nur bei ihrer Definition erwähnt, doch sie ist für die Praxis nach Meinung einiger Insider die wichtigere. In einem Firmenvortrag auf der diesjährigen CeBIT bezweifelte der Vortragende,
nicht im Ermessen eines Richters. – Die Trustcenter (CAs) haften für Schäden durch Unsicherheiten und müssen zu diesem Zweck eine Rückstellung von mindestens 500.000 Mark vorwei-
●Info-Fax
24
LANline Spezial Das sichere Netz III/2001
▲
LANline Spezial Das sichere Netz III/2001
54
Als im August 1997 ein Gesetz über die digitale Signatur verabschiedet wurde, erschien das im internationalen Maßstab eine fortschrittliche Initiative. Nur in den USA waren schon 1995 mit dem Utag-Digital-SignatureAct-Rahmenbedingungen für konkrete Gesetze erlassen worden, die aber nach Aussagen von Juristen damit nicht vergleichbar waren. Auch der Autor sah das neue Gesetz damals recht positiv [1, 8.2.4]. Und wo sind nun die vielen Trustcenter, die Schlüssel erzeugen und ausgeben, wo die zahlreichen Anwender, die Mahnbescheide, Rechnungen, Zeugnisse und Steuererklärungen über das Netz schicken? Nichts dergleichen ist zu entdecken, die Wirkung blieb aus. Andere europäische Länder sollen sogar mit einigem Erstaunen registriert haben, dass in Deutschland ein Gesetz erlassen wird, das für digitale Signaturen die Anwendung, Erzeugung, Registrierung und
Linie vertreten: Sie achten nicht so sehr auf den Datenschutz (für deutsche Begriffe wohl überhaupt nicht), sondern mehr auf praktikable Regelungen. Vor diesem Hintergrund ist nun das neue Signaturgesetz entstanden, welches das alte von 1997 ablöst.
# 013
●
www.lanline.de/info
▲
●
www.lanline.de/info
LANline Spezial Das sichere Netz III/2001
▲
# 029
www.lanline.de
4
Das neue Signaturgesetz
THEORIE KONTRA PRAXIS Leider ist die
●Info-Fax
54
ZWEITER ANLAUF
▲
LOGIN PER DAUMENDRUCK?
www.lanline.de
24 www.lanline.de
INHALT
FOKUS FIREWALLS Gatekeeper zwischen LAN und WAN Im Test: Vier Firewall-Lösungen.......................................86 IPSec-Interoperabilität auf dem Prüfstand FreeS/WAN und Raptor Firewall/PowerVPN 6.5............ 96 Anforderungen an Personal-Firewalls Schutz für den Arbeitsplatz................................................99 Lösung für das Firewall-Problem IIOP-Domain-Boundary-Controller..................................103 Marktübersicht: Firewalls................................................ 108 Anbieterübersicht: Firewalls............................................ 111
RUBRIKEN Editorial................................................................................. 3 Inhalt......................................................................................4 Impressum...........................................................................93 Inserentenverzeichnis........................................................113 Fax-Leser-Service.............................................................114
SICHERHEITSPRODUKTE
VERGLEICHSTEST INTRUSION-DETECTION-SYSTEME
Alarmanlagen für Netzwerke Software zur Erkennung von Einbrüchen (Intrusion Detection Systems – IDS) und zur Einschätzung von Schwachstellen (Vulnerability Assessment – VA) in Netzwerken wird zunehmend wichtiger, da die Einsätze im Spiel um die Sicherheit immer höher werden. Denn erfolgreiche DoS-Attacken können heute Millionenschäden verursachen, wenn beispielsweise ein Online-Broker Opfer eines Angriffs wird. Grund genug für LANline, sieben Produkte dieser beiden Kategorien näher unter die Lupe zu nehmen.
nnerhalb des IDS-Markts unterscheidet man heute zwischen vier großen Produktgruppen: Vulnerability-Assessment-Scanner, Host Intrusion Detection Systeme (Host IDS), Network IDS und Network Node IDS. VulnerabilityAssessment-Scanner, auch bekannt unter dem Titel “Risk Assessment Products”, gibt es wiederum in zwei Ausprägungen. Passive oder Host-Scanner ermöglichen dem Administrator die Definition einer Security-Policy für alle Rechner in seinem Netz, wobei beispielsweise für verschiedene Betriebssysteme oder Server unterschiedliche Regelwerke festgelegt werden können. Der Scanner überprüft dann jede Maschine und erstellt einen Bericht, der aufzeigt, wo welcher Rechner von der Security-Policy abweicht und welche Schritte zur Lösung der Probleme notwendig sind. Der zweite Typ von VA-Scannern geht aktiv an Sicherheitslücken heran: Als “Hacker in a box” stellt diese Software bekannte Angriffe (Web-Server Exploits, DoS-Attacken) zur Verfügung, die der Administrator auf seine Netzwerk-Ressourcen loslassen kann. Durch aktive Angriffe auf sein eigenes Netz kann der Administrator dieselben Schwachstellen erkennen, die auch ein Hacker finden würden, und diese dann abstellen.
I
nen dedizierten Host voraus. Zudem ist für jedes LAN-Segment ein eigener Network-IDS-Sensor notwendig, dass diese Systeme nicht hinter Switches ▲
●Info-Fax
40
LANline Spezial Das sichere Netz III/2001
▲
www.lanline.de
Die Real-Time-Monitoring-Funktionen von Etrust lassen manche Rivalen blass aussehen
Agent überwacht dann Event-Logs, kritische Systemdateien und andere zu prüfende Ressourcen und sucht nach unautorisierten Änderungen oder ver-
# 022
●
www.lanline.de/info
▲
40
Host-Intrusion-Detection-Systeme hingegen nutzen in der Regel Agenten, die auf allen zu überwachenden Rechnern installiert werden müssen. Der
dächtigen Aktivitätsmustern. Fällt dem Agenten etwas Ungewöhnliches auf, löst er automatisch einen Alarm aus. Network-IDS wiederum fangen den Verkehr auf dem Netz in Echtzeit ein und untersuchen die Pakete detailliert auf Denial-of-Service-Attacken oder gefährliche Nutzlast, bevor die Pakete ihr Ziel erreichen. Dabei vergleichen diese Systeme den Inhalt der Netzpakete mit einer Datenbank bekannter Angriffssignaturen. Diese Datenbanken werden regelmäßig von den Herstellern aktualisiert, sobald neue Angriffsmuster bekannt werden. Die meisten netzwerkbasierenden IDS arbeiten heute im so genannten “Promiscous Mode”. Das heißt, sie untersuchen jedes Paket auf dem lokalen Segment, egal, ob es für den IDS-Rechner bestimmt ist oder nicht. Diese Arbeitsweise ähnelt der eines LAN-Monitors wie dem Sniffer. Da diese Systeme viel Rechenleistung für die Untersuchung jedes Pakets aufwenden müssen, setzen sie in der Regel ei-
www.lanline.de
LANline Spezial Das sichere Netz III/2001
5
SICHERHEITS-KNOW-HOW
DATENKLASSIFIZIERUNG
Zugriff streng nach Protokoll Die meisten unbefugten Zugriffe auf Unternehmensnetzwerke haben keine externen Verursacher, sondern werden von Mitarbeitern im Unternehmen selbst vorgenommen. Administratoren müssen daher ein Bewusstsein für das Risiko unbefugter interner Zugriffe entwickeln und die – oft bereits vorhandenen – Schutzmechanismen des Netzwerks nutzen.
Die Ursachen für interne Angriffe auf das Unternehmensnetz sind vielfältig: Ein Mitarbeiter verschafft sich Zugang zu den Personaldaten, um das Gehalt des Chefs herauszufinden, eine Kollegin möchte erfahren, wer in der Beförderungsliste vor ihr steht, und ein weiterer Angestellter macht sich im Auftrag eines Wettbewerbers an die Änderung der Bilanzen, die zur Veröffentlichung vorgesehen sind. Das Spektrum der Attacken reicht dabei von reiner Neugierde bis hin zu vorsätzlich kriminellen Beweggründen. Die unbefugten Zugriffe auf das Unternehmensnetz haben aber eine Gemeinsamkeit: Sie kommen aus dem Unternehmen selbst und entziehen sich meist der öffentlichen Debatte. Denn die meisten internen Vorgänge dieser Art werden überhaupt nicht bemerkt, und nur ein Bruchteil der entdeckten illegalen Zugriffe wird verfolgt und geahndet. Gleichzeitig liegt das Interesse der Fachleute und auch der Hersteller von Sicherheits-
6
technologie noch immer überwiegend auf den Attacken der Hacker und Industriespione, die von außen kommen. Denn Hacker, die über das Internet an geschützte Unternehmensdaten herankommen, verhalten sich im Allgemeinen kalkulierbar: Sie versuchen einen Zugriff auf ein Unternehmensnetz nur dann, wenn es sich für sie lohnt. Das ist der Fall, wenn der Zugriff besonders einfach ist, weil zum Beispiel allgemein bekannte Sicherheitslücken nicht durch entsprechende Patches geschlossen wurden, oder wenn ein erfolgreicher Zugriff ihre Reputation erhöht wie etwa ein erfolgreicher Einbruch in das Unternehmensnetz von Microsoft. Industriespionage hingegen bezieht oft schon einen unternehmensinternen Zugriff mit ein. Hier werden zielgerichtet kritische Daten abgerufen, die Administratoren und Datenschützer ohnehin besonders sichern sollten. Niemand kann jedoch einen Zugriffsversuch auf die in einem Unternehmen vorhandenen Daten oder aktiven Komponenten
LANline Spezial Das sichere Netz III/2001
wirklich verhindern. Der Fokus bei der Datensicherheit muss deshalb auf dem Entdecken des Versuchs und dem frühzeitigen Abwehren des Zugriffs liegen. Einer wirksamen Prävention geht die Klassifizierung der zu schützenden Daten voraus. Jedes Unternehmen muss festlegen, welche Datenbereiche es sichern will und diese mit den entsprechenden Schutzmechanismen versehen. Ein Versandhaus hat hier beispielsweise ganz andere Ansprüche als ein Unternehmen, das in der Forschung tätig ist. Das Versandhaus hat kaum unerlaubte Zugriffe von Mitbewerbern zu fürchten, das Forschungsunternehmen muss jedoch mit Versuchen dieser Art rechnen. Interne unerlaubte Zugriffe sind in einem Versandhaus kaum zu erwarten, weil das Wissen über Computertechnologie unter den Angestellten recht gering
Server
aktive Komponenten
mern zugänglich gemacht, ginge das Kundenvertrauen verloren, und das Internet-Geschäft wäre ruiniert. Finanzielle Einbußen und ein nur schwer wieder gut zu machender ImageVerlust wären die Folgen. Im Forschungsunternehmen hätte ein unerlaubter Zugriff auf die Forschungsdaten katastrophale Folgen. Wenn die Ergebnisse zeitintensiver Untersuchungen auf diese Weise einem Mitbewerber zugute kämen, wäre der wirtschaftliche Schaden für das sabotierte Unternehmen immens. Sowohl Kreditkartennummern als auch Forschungsergebnisse kann man daher als kritische Daten klassifizieren, deren Veröffentlichung einen nicht behebbaren Schaden verursacht. Weitere Kategorien schützenswerter Daten sind sensible Daten wie zum Beispiel die Personaldaten eines Unternehmens sowie öffentliche Daten, also Daten, die zur
Syslog Daemon
Managementstation
Server und aktive Netzwerkkomponenten senden ihre Logs an die Managementstation
sein dürfte. Bei den Mitarbeitern eines Forschungsunternehmens sind solche Kenntnisse jedoch meist hoch entwickelt. Folglich muss das Versandhaus die Daten seiner Kunden schützen. Denn würden deren Kreditkartennum-
Veröffentlichung bestimmt sind. Werden sensible oder öffentliche Daten von Unbefugten gelesen oder manipuliert, kann der Schaden vielleicht noch behoben werden, weil die Daten nur indirekt genutzt werden können oder eine Manipu-
www.lanline.de
SICHERHEITS-KNOW-HOW
lation noch rückgängig gemacht werden kann. Im weiteren Sinne sind aber auch hier oft wirtschaftliche Konsequenzen die Folge. Eine weitere nützliche Klassifizierung von Sicherheitsrisiken ist die Einteilung in Externe (wie Hacker), Interne (Angestellte des Unternehmens) und Natürliche (Feuer, Wasser). Sind die Sicherheitsrisiken analysiert und die Daten in entsprechende Gruppen eingeteilt, ist das Bewusstsein für das Risiko von unbefugten Zugriffen und für die möglichen Zugriffsziele geschärft, kann man daran gehen, sich davor zu schützen. Wichtig ist jetzt, Werkzeuge einzurichten, die einen unerwünschten Zugriff entdecken und ihn entsprechend vereiteln können. Die verschiedenen schützenswerten Daten sollten daher zunächst entsprechend ihrer Klassifizierung auf getrennten Servern gespeichert werden, damit sich Schutzmassnahmen besser fokussieren lassen. Schutz vor externen Zugriffen, also über das Internet, bietet dann beispielsweise eine Firewall. Schutz vor internen Zugriffen kann durch eine konsequente Protokollierung erreicht werden. Hier müssen Administratoren und Datenschützer geeignete Aufzeichnungsmechanismen einrichten, um unbefugte Zugriffe rechtzeitig entdecken zu können. Server und aktive Netzwerkkomponenten besitzen heute schon Mechanismen – so genannte Syslogs – die Zugriffe protokollieren können. Die Log-Dateien werden im Speicher des jeweiligen Geräts geführt, registrieren also über das ganze Netzwerk verstreut Zugriffe – verfügen jedoch über
www.lanline.de
eine recht geringe Kapazität. Daher bietet sich die Einrichtung eines zentralen Rechners an, der über einen SyslogDienst verfügt. An diesen Dienst werden dann die Syslogs aller zu überwachenden Geräte geschickt. Nachdem der Administrator Erfahrungswerte über die durchschnittliche
Anzahl der Einträge in einem Syslog über einen definierten Zeitraum gesammelt hat, besteht die Möglichkeit, einen Schwellwert zu setzen, um bei dessen Überschreitung eine Alarmmeldung zu erhalten. Denn wird auf einen Server illegal zugegriffen, steigen dessen Syslog-Einträge sprung-
haft an. Der Administrator erhält eine Alarmmeldung und kann im Idealfall noch während des Zugriffs den Urheber ausfindig machen. Auf jeden Fall kann er ihn nach dessen Zugriff auf das Netz identifizieren. Da Syslogs bereits in die meisten Geräte integriert sind, sind sie nur entsprechend
LANline Spezial Das sichere Netz III/2001
7
SICHERHEITS-KNOW-HOW
zu konfigurieren, um effektiv ausgewertet werden zu können. Ein weiterer Schutz vor einem internen unbefugten Zugriff auf aktive Netzwerkkomponenten wird durch die Einrichtung entsprechender Passwörter auf den Komponenten erreicht. Da diese jedoch meist im Klartext übertragen werden, ist es ratsam, ein eigenes Netzwerk für das Netzwerkmanagement aufzubauen und OutOf-Band-Management zu betreiben. Da der Zugriff auf das separate Netzwerk lückenlos kontrolliert werden kann, können die dort verwalteten Passwörter von den Unternehmensmitarbeitern nicht eingesehen werden. Zudem hat das OutOf-Band-Management den Vorteil, dass auf die aktiven Komponenten auch dann zugegriffen werden kann, wenn das Unternehmensnetz einmal nicht zur Verfügung steht. Zu-
Server zugreifen und ohne weiteres einen Sabotageakt ausführen. Um dies zu verhindern, arbeitet die IEEE an zwei neuen Standards: dem EAP (Extensible Authentication Protocol) und dem EAPoE (Extensible Authentication Protocol over Ethernet). Das EAP ist eine Erweiterung des PPP (Point to Point Protocol) und erlaubt eine wesentlich flexiblere Authentifizierung innerhalb des PPP. Das EAPoE ist eine Erweiterung des 802.3-Standards um das EAP. Die neuen Standards erlauben es, von einem Benutzer eine Identifizierung zu verlangen, bevor er in das Netzwerk gelangt. Erst dann wird ihm eine IP-Adresse zugewiesen. Die Daten des Benutzers (IP-Adresse und VLAN-Zugehörigkeit) werden in einer LDAP-Datenbank zentral gespeichert. Sobald der Benutzer seinen PC anschaltet,
Radius-Server EAP Over Radius
EAP Over Ethernet
Directory LDAP
L2Switch
Funktionsweise des Extensible Authentication Protocol
dem können auf diese Weise Reparaturzeiten gesenkt werden. Da die meisten aktiven Netzwerkkomponenten schon über einen Out-Of-Band-Management-Port verfügen, kann ein solches Netzwerk in der Regel leicht aufgebaut werden. Mitarbeiter oder andere Personen, die bereits im Unternehmen sind, haben meist kein Problem, sich Zugang zum Netzwerk zu verschaffen. Von dort aus können sie auf den
8
wird von dessen Betriebssystem das EAP gestartet (das EAP soll demnächst in Windows 2000 integriert werden). Der Switch, an dem der PC angeschlossen ist, registriert das EAP und leitet es an einen Radius-Server weiter. Wenn dieser die Anfrage akzeptiert, sucht er die Benutzerdaten auf dem LDAP-Server und leitet diese an den Rechner des Benutzers weiter. Während dieser Zeit ist der Port des Switches,
LANline Spezial Das sichere Netz III/2001
Out-Of-BandManagement-Port
Der Out-Of-Band-Management-Port (Kreis) ermöglicht den Aufbau eines separaten Managementnetzes
an dem der Benutzer angeschlossen ist, blockiert. Erst wenn die Benutzerdaten erfolgreich übertragen sind, wird der Port freigeschaltet. Auf diese Weise wird der unbefugte Zugriff auf das Netzwerk innerhalb eines Unternehmens unterbunden. Schwieriger ist es, externen Geschäftspartnern einen eingeschränkten Zugriff auf das Unternehmensnetzwerk zu ermöglichen, um Daten auszutauschen. Einerseits soll der Datenaustausch leicht zu realisieren sein, andererseits soll der Geschäftspartner keine Gelegenheit zu unerwünschten Zugriffen bekommen. Hierbei erscheint eine Verbindung über das Internet als effektivste und kostengünstigste Lösung. Die Anforderungen an die Sicherheit werden dabei mit der Einrichtung eines VPNs (Virtual Private Network) erfüllt. Diese Technik baut einen Datentunnel vom Netzwerk des Geschäftspartners über das Internet zum eigenen Netzwerk auf, der einen sicheren Zugang durch Verschlüsselung der Daten bietet. Auf einem geeigneten Extranet-Switch lassen sich unterschiedliche Zugangsprofile für die Benutzer erstellen
und verwalten. Es gibt noch weitere einfache Möglichkeiten, den Zugriff zum LAN zu beschränken. Die vollständige Klassifizierung der Daten und die Einteilung des Netzwerks in entsprechende Bereiche ist jedoch immer die Voraussetzung für die interne Sicherung der Unternehmensnetzwerke. Die Möglichkeiten beginnen bei der Verkabelung – nur die belegten Benutzer-Ports werden auf einen Switch-Port gesteckt und enden mit der manuellen Steuerung des LAN-Verkehrs. Auf den HochleistungsSwitches lassen sich Filter setzen, die den Verkehr zwischen IP-Netzwerken und physikalischen Ports steuern können. Manche Anwendungen können aufgrund ihres TCP-Ports identifiziert werden und entsprechend für einen Port zugelassen oder nicht zugelassen werden. Eines aber haben all diese Möglichkeiten gemeinsam: Sie stehen auf den Servern und aktiven Netzwerkkomponenten zur Verfügung. Man muss sie nur einsetzen. (Thomas Schaller/gh) Thomas Schaller ist Senior Consulting Engineer bei Nortel Networks Germany.
www.lanline.de
SICHERHEITS-KNOW-HOW
SICHERHEITSSTUDIE VON TÜV NORD
Gute Chancen für Hacker Dass es um die Sicherheit in vielen Unternehmen eher schlecht bestellt ist, ist ein offenes Geheimnis. Dennoch gilt die Devise: “Was nicht publik wird, gibt es nicht.” Eine Untersuchung des TÜV Nord zeigt nun, wie ernst es um die externe Sicherheit von Unternehmensnetzen bestellt ist.
Im Kundenauftrag führte die TÜV Nord Security GmbH über 70 Security-Scans in verschiedenen Unternehmen unterschiedlicher Branchen durch, um die Sicherheit von Netzwerken in Bezug auf externe Hacker- und CrackerAngriffe zu testen. Die ScanAufträge wurden durch Unternehmen und Institutionen verschiedenster Größe und Branche erteilt und betrafen Industriebetriebe ebenso wie kommerzielle Netzbetreiber, kommunale Dienstleistungsbetriebe oder Firmen der Immobilienbranche. Die Größe der untersuchten Systeme reichte vom kleinen internen Netz mit nur wenigen Komponenten bis zu deutschlandweiten Netzen mit Schnittstellen zu einer großen Zahl zum Teil sehr komplexer firmeninterner Netze. Während der TÜV Nord bei einem Penetration-Test alle erreichbaren Netzkomponenten des Kunden auf alle bekannten Angriffsziele testet, erfolgen beim Security-Scan nur stichprobenartige Tests zufällig METHODE
10
ausgewählter Netzkomponenten auf die häufigsten Angriffsarten von Hackern und Crackern. Weitere Unterschiede zum Penetration-Test bestehen darin, dass beim Security-Scan: – keine Angriffsversuche unternommen werden, sondern die Aktivitäten mit dem Feststellen einer mög-
lichen Sicherheitslücke enden, – keine Aufklärung der Zielkomponenten über längere Zeiträume hinweg erfolgt, – nur Methoden angewandt werden, die nicht auf Aktivitäten aus dem internen Netzbereich angewiesen sind, und – ausschließlich frei verfügbare Tools eingesetzt werden, die für jedermann zugänglich sind. Das Vorgehen beim Security-Scan weist dabei zwei Vorzüge auf: Zum einen erhält der Kunde mit einem nur sehr geringen Aufwand einen aussagekräftigen Überblick über den Stand seiner Netzsicherheit, der es ihm gestattet, weitere Maßnahme zielgerichtet auf die wesentlichen Problembereiche zu konzentrieren. Zum anderen sind die Ergebnisse besonders praxisnah, da sie sich nicht auf theoretisch denkbare oder nur
sehr selten vorkommende, besonders ausgeklügelte Angriffsvarianten beziehen, sondern auf die verbreiteten und “bewährten” Methoden der Hacker- und Cracker-Szene. Die Untersuchungskriterien, die einem Security-Scan zugrunde liegen, sind zunächst eher technischer Natur. Aus der Tatsache, wie die eine oder andere Anforderung erfüllt ist, lassen sich jedoch Rückschlüsse auf die Organisation und die Sicherheitspolitik beziehungsweise die Umsetzung bekannter Sicherheitsvorkehrungen ziehen. Letztlich sind auch hier wieder die Grundsätze von Daten- und Verbraucherschutz zu beachten, da aufgrund mangelnder Netzsicherheit auch personenbezogene Daten – sei es aus der Personalbuchhaltung oder Kundendatenbank – in die falschen Hände geraten können. KRITERIEN
Möglichkeiten für Social Hacking Scanbarkeit externer Dienste UDP auf Port 21 Finger-Dämon läuft als “root” und ist extern ansprechbar Uneingeschränkte Möglichkeiten für Tracerout Unnötige Ansprechbarkeit von Ports Unnötige externe Erreichbarkeit von Netzkomponenten Unzweckmäßige Reaktionen auf externe Zugriffe Test-CGI kann extern aufgerufen werden Befehlsausführung über SMTP möglich Sonstige Hacker-Exploits können ausgeführt werden Finger ausführbar 0
10
20
30
40
50
60
70
Anteil der Firmen, bei denen entsprechende Mängelkategorien festgestellt wurden, in Prozent
LANline Spezial Das sichere Netz III/2001
www.lanline.de
SICHERHEITS-KNOW-HOW
Bei den hier getesteten Komponenten ging es um die Gewinnung von allgemeinen Informationen über ein Unternehmen wie zum Beispiel die Angaben zur Firma, zur Domain, zu zugewiesenen IPBereichen oder auch um die Informationen zu Administratoren und der Struktur von E-Mail-Adressen. Dafür führten die Tester unter anderem einen so genannten Ping-Scan über bekannte und vermutete IP-Bereiche mit öffentlich routbaren Adressen durch, um aktive IP-Adressen herauszufinden. Der Scan erfolgte mehrfach und mit unterschiedlichen Scannern und die dabei sichtbar gewordenen IP-Adressen wurden in eine Liste der von außen erreichbaren IT-Komponenten aufgenommen. EIGENSCHAFTEN DER ITKOMPONENTEN Auf den
von außen erreichbaren ITKomponenten wurden anschließend die Ports gescannt. Aus der ausgewiesenen PortBelegung, dem Port-Protokoll und den Antwortzeiten wurden Schlussfolgerungen auf die Art der Komponente, den Zugriff auf die Komponente (zum Beispiel die Frage, ob sie hinter einer Firewall liegt) und mögliche Angriffsmöglichkeiten abgeleitet. Weitere Tests versuchten, Angaben zum System sowie SoftwareVersionen der von außen erreichbaren IT-Komponenten abzufragen. Hierbei wurden bekannte Schwachstellen ermittelt, wie beispielsweise die Art der IT-Komponenten. Unabhängig von bereits vorliegenden Informationen über das System erfolgte eine Prüfung aller von außen er-
www.lanline.de
reichbaren Netzkomponenten, ob sie auf bekannte Schwachstellen des Betriebssystems und verbreitete Dienste ansprechbar waren. Diese Analyse betraf zunächst die von außen erreichbaren Netzkomponenten auf eventuell zugängliche Verzeichnisse. Damit konnten unter anderem Standardverzeichnisse wie beispielsweise Datenbanken oder Mail-User-Verzeichnisse sichtbar gemacht werden. Die Tester analysierten außerdem die von außen erreichbaren Netzkomponenten auf bereits installierte “Trojaner”, die für einen Angriff ausgenutzt werden könnten. Auch die Ausführbarkeit von Exploits, also Hacker-Anleitungen, die konkrete und detaillierte Anweisungen für Angriffe geben, wurde getestet.
dass spezielle Schwachstellen in den Systemen, die beliebte Hacker- und Cracker-Ziele sind, nicht explizit unwirksam gemacht wurden. Ob der Test durch die Systemverantwortlichen bemerkt wurde oder nicht, konnte von außen nur festgestellt werden, wenn eine technisch nachweisbare Reaktion erfolgte. Das war bei 31 Prozent der geprüften Kunden der Fall. Bedenklich ist, dass in jedem dieser Fälle die Reaktion taktisch unzweckmäßig war. Durch einen Kunden gab es darüber hinaus organisatorische Maßnahmen, die völlig unangemessen waren und bei allgemeiner Anwendung einen zuverlässigen Betrieb des Systems unmöglich machen würden.
39 Prozent aller festgestellten Mängel liegen in “allgemeinen Bedingungen und im organisatorischen Umfeld” des Unternehmens, das sich damit als Schwerpunkt bei den Sicherheitslücken gegen externe Angriffe herauskristallisiert hat. Diese Einschätzung deckt sich mit der oben genannten Tatsache, dass 63 Prozent aller geprüften Firmen Mängel in diesem Bereich aufweisen. Die 39 Prozent teilen sich dabei in folgende Unterbereiche auf: – Möglichkeiten für Social Hacking: 14 Prozent der festgestellten Sicherheitsmängel bestanden darin, dass zu Firmenmitarbeitern in öffentlich zugänglichen Verzeichnissen – wie zum Beispiel
SICHERHEITSMÄNGEL
Die SecurityScans von TÜV Nord Security ergaben bei 95 Prozent der Kunden Sicherheitsmängel, die Hackern oder Crackern als Ausgangspunkt für Angriffe aus dem Internet heraus dienen können. Interessant ist, dass bei 63 Prozent der geprüften Firmen Sicherheitsmängel in den allgemeinen Bedingungen und im organisatorischen Umfeld festzustellen waren, die sich mit minimalem Aufwand vermeiden lassen. Bei 55 Prozent der geprüften Firmen lagen Mängel in der allgemeinen Systemkonfiguration vor, die mit hoher Wahrscheinlichkeit nicht auf mangelnde Kompetenz zurückzuführen sind, sondern aus einzelnen Unachtsamkeiten resultieren. Bei 57 Prozent der geprüften Firmen wurden Fehlkonfigurationen festgestellt, die darin bestehen, ERGEBNISSE
LANline Spezial Das sichere Netz III/2001
11
SICHERHEITS-KNOW-HOW
auf Whois-Servern – so detaillierte Informationen hinterlegt worden waren, dass sich ohne großen Aufwand weitere Angaben zu diesen Mitarbeitern recherchieren lassen. Diese Informationspreisgabe war bei 63 Prozent der betrachteten Firmen zu verzeichnen. Darüber hinaus bestand bei weiteren drei Prozent der Firmen die Möglichkeit, Informationen zu Mitarbeitern von firmeninternen Servern problemlos über Fingerbeziehungsweise durch SMTP-Abfragen zu erhalten. Die so gewonnen Informationen können unter Umständen zur Ausgangsbasis eines Hacker-Angriffs werden. – Unnötige externe Erreichbarkeit von Netzkomponenten: Hier können aus dem Internet heraus IP-Adressen angesprochen werden, die für die Funktion des Systems nicht von außen erreichbar sein müssen. Da jede extern erreichbare Netzkomponente zugleich auch für externe Angriffe erreichbar ist, stellt eine solche unnötige Erreichbarkeit einen Sicherheitsmangel dar. Dieser hatte einen Anteil von 15 Prozent an der Gesamtanzahl der festgestellten Mängel und war bei 38 Prozent der geprüften Firmen zu finden. Nur bei 31 Prozent der Firmen gab es eine streng definierte Schnittstelle zwischen internen, öffentlich nicht routbaren IP-Adressen und der externen Netzanbindung. – Uneingeschränkte Möglichkeit für Traceroute: Bei 44 Prozent der Firmen war
12
ein uneingeschränktes Traceroute bis zu dem Server möglich, der als Zielsystem des Tests angegeben worden war. Das ermöglicht es Hackern und Crackern, einen Einblick in die innere Netzstruktur zu erhalten und Schlussfolgerungen für externe Angriffe zu ziehen. Deshalb ist die fehlende Beschränkung des Traceroute als Sicherheitsmangel anzusehen. Dieser hatte einen
auf einer oder mehreren Systemkomponenten. Das legt die Vermutung nahe, dass diese Mängel ihre Ursache nicht in mangelnder Kompetenz der betreffenden Mitarbeiter haben, sondern die Folge von Unaufmerksamkeit sind. Diese Mängelgruppe lässt sich wiederum in fünf Kategorien einteilen: – Unnötige Ansprechbarkeit von Ports: Es können aus dem Internet heraus Ports an-
– Scan-Barkeit externer Dienste: Bei 56 Prozent der geprüften Firmen war festzustellen, dass bei externen Diensten wie FTP oder Telnet nach Fehl-Logins ohne oder mit nur geringer Verzögerung ein erneuter LoginVersuch möglich war. Ein geringer Teil der betreffenden Systeme unterbrach zwar die Verbindung, ließ aber ohne Verzögerung einen erneuten Verbindungs-
Sonstige Hacker-Exploits können ausgeführt werden
Befehlsausführung über SMTP möglich 1%
Finger ausführbar 1%
Test-CGI kann extern aufgerufen werden
Unzweckmäßige Reaktionen auf externe Zugriffe
Unnötige Ansprechbarkeit von Ports
Uneingeschränkte Möglichkeiten für Tracerout
15%
2% 4% 7% 10%
14%
10% 12%
12%
12%
Finger-Dämon läuft als “root” und ist extern ansprechbar
UDP auf Port 21
Scanbarkeit externer Dienste
Möglichkeiten für Social Hacking
Unnötige externe Erreichbarkeit von Netzkomponenten
Anteil der einzelnen Mängel an der Gesamtzahl in Prozent
Anteil von zehn Prozent an der Gesamtanzahl der festgestellten Mängel. Die “allgemeinen Systemkonfiguration ist” der zweite Testbereich. Dort waren 39 Prozent aller festgestellten Mängel angesiedelt und betrafen 55 Prozent der untersuchten Firmen. Hervorhebenswert ist, dass derartige Mängel nie als durchgängige Fehlkonfigurationen gefunden wurden, sondern immer als Einzelfälle
LANline Spezial Das sichere Netz III/2001
gesprochen werden, obwohl diese für die Funktion des Systems nicht erforderlich sind. Damit werden diese Ports ohne zwingenden Grund zum möglichen Ziel von Hacker-Angriffen gemacht. Dieser Mangel war bei 44 Prozent der untersuchten Firmennetze zu finden und hatte einen Anteil von zehn Prozent an der Gesamtanzahl der festgestellten Mängel.
aufbau zu, wodurch diese Maßnahme wirkungslos wird. Diese Sicherheitslücke, die einen problemlosen Passwort-Scan zulässt, hatte einen Anteil von zwölf Prozent an der Gesamtanzahl der festgestellten Mängel. – UDP auf Port 21: Bei 56 Prozent der geprüften Firmen meldete sich Port 21 nur unter UDP. Da FTP nur unter TCP läuft, gibt es dafür nur zwei Erklärungen:
www.lanline.de
SICHERHEITS-KNOW-HOW
Entweder ist dieser Effekt auf ein vor der Komponente liegendes Sicherheitssystem zurückzuführen, das zum Beispiel eine Port-Umleitung realisiert, oder hinter Port 21 läuft in Wirklichkeit TFTP, das wegen seiner mangelnden Sicherheit nicht von außen ansprechbar sein sollte. Bedenklich ist, dass keine der dazu befragten Firmen auf Anhieb darüber Auskunft geben konnte, auf welche der beiden Möglichkeiten dieses Ergebnis bei ihren Systemen zurückzuführen ist. Damit muss aus Sicht der Netzsicherheit zunächst davon ausgegangen werden, dass ein unkontrollierter externer Zugang zu TFTP besteht. Dieser Mangel hatte einen Anteil von zwölf Prozent an allen festgestellten Mängeln. – Finger ausführbar: Durch die externe Ausführbarkeit von Finger wird nicht nur das Social Hacking, sondern auch die Aufklärung firmeninterner Arbeitsweisen möglich. Diese grobe Fehlkonfiguration war bei immerhin sechs Prozent der betrachteten Firmen festzustellen und machte zwei Prozent der gesamten Sicherheitsmängel aus. – Befehlsausführung über SMTP möglich: Auch durch die Eingabe von Befehlen über SMTP ist Social Hacking im zum Teil erheblichen Umfang möglich. Wenn SMTP von außen ansprechbar sein muss, ist also dafür Sorge zu tragen, dass Befehle wie “expn” oder “vrfy” nicht ausgeführt werden können. Das Fehlen dieser Einschränkung ist zweifellos als Sicherheitsmangel einzustufen. Dieser war bei sieben Prozent der geprüften Firmen anzutreffen und hatte
14
einen Anteil von einem Prozent an der Gesamtzahl der festgestellten Mängel. Die dritte Gruppe der Sicherheitslücken bestand aus der mangelnden Abschirmung beliebter Hacker- und CrackerZiele. 17 Prozent aller festgestellten Mängel bestanden darin, dass verbreitete Ziele von Hacker- und Cracker-Angriffen nicht oder nicht ausreichend nach außen abgeschirmt wurden. Derartige Schwachstellen waren bei 57 Prozent der untersuchten Firmen zu finden. Das ist umso unverständlicher, als diese Angriffsziele bei Systemverantwortlichen allgemein bekannt sind und sie in Diskussionen zu diesem Thema meist in Abrede stellen, dass es irgendwo noch Konfigurationen mit solchen Mängeln geben könnte. Diese Gruppe lässt sich wiederum in drei Punkte aufteilen: – Finger-Dämon läuft als “root” und ist extern ansprechbar: Hierbei handelt es sich um einen schweren Konfigurationsfehler. Denn es kursieren in der HackerSzene eine Unmenge von Tools, mit denen Finger zum Absturz gebracht werden kann. Gelingt das, gelangt der Angreifer mit hoher Wahrscheinlichkeit auf die Befehlszeilenebene in der Umgebung, in welcher der Dämon läuft – und erhielte in diesem Fall Root-Rechte! Dieser erhebliche Sicherheitsmangel war bei immerhin 56 Prozent der geprüften Firmen anzutreffen und hatte einen Anteil von zwölf Prozent an der Gesamtzahl der festgestellten Mängel. – Test-CGI kann extern aufgerufen werden: Auch diese Konfiguration ist bedroh-
LANline Spezial Das sichere Netz III/2001
lich, da sie Hackern den Zugriff auf das System gestattet und es ihnen zum Beispiel ermöglichen kann, die Passwort-Datei herunterzuladen. Auf einigen der untersuchten Systeme mit ansprechbarem Test-CGI waren zwar die entsprechenden Befehle blockiert, jedoch empfiehlt es sich im Interesse der Sicherheit, den externen Aufruf von CGI besser ganz zu unterbinden. Dieser Mangel machte vier Prozent aller festgestellten Mängel aus und war bei 19 Prozent der betrachteten Firmen anzutreffen. – Sonstige Hacker-Exploits können ausgeführt werden: Die Ausführbarkeit weiterer Hacker-Exploits (es waren konkret qpop, phf und www brd) machte nur ein Prozent der erkannten Sicherheitslücken aus und waren bei sieben Prozent der untersuchten Firmen zu finden. Dennoch kann ein solcher Mangel – wenn er auftritt – ein erhebliches Sicherheitsrisiko nach sich ziehen. Da dieses in der Regel bereits mit der Installation der aktuellen Hersteller-Patches zu beseitigen ist, erscheint das Auftreten solcher Fehler noch befremdlicher. Bei 31 Prozent der untersuchten Firmen waren Reaktionen auf unseren externen Zugriff feststellbar, die in jedem dieser Fälle unzweckmäßig waren. Sie hätten bei einem echten Hacker- oder Cracker-Angriff lediglich bewirkt, dass weder das Vorgehen noch die Identität des Angreifers erkannt werden können. Damit stellten selbst diese Abwehrversuche einen Sicherheitsmangel dar, der einen An-
teil von sieben Prozent an der Gesamtanzahl der festgestellten Mängel hatte. KONSEQUENZEN FÜR DIE UNTERNEHMEN Die Untersu-
chungen belegen deutlich, dass bei den meisten Unternehmen Unklarheiten über ihren Schutzbedarf an der Tagesordnung sind. Entweder ist man sich eventueller Gefahren überhaupt nicht bewusst, oder es besteht eine Hypersensibilität in Sachen IT-Sicherheitsrisiken. Denn oft wird die Informationstechnik nicht als komplexes Verbundsystem, sondern als isoliertes System betrachtet, sodass an verschiedenen Stellen ungesicherte “Löcher” entstehen. Technische Sicherheitsmaßnahmen werden umgangen, weil auch das Personal die Risiken mangels Schulung nicht kennt. Kleine und mittlere Unternehmen betreiben eigene Weboder Mail-Server mit zu schwachen Sicherheitsmaßnahmen, obwohl es sinnvoller und sicherer wäre, diese Bereiche einem kompetenten Provider zu überlassen, der ein umfassendes Sicherheitskonzept hat. In Anbetracht der steigenden Abhängigkeit nahezu aller Geschäftsprozesse von der Informationstechnik ist es daher dringend zu empfehlen, einen Sicherheitsbeauftragten für die gesamte IT zu berufen – ähnlich dem gesetzlich vorgeschriebenen Datenschutzbeauftragten. (Hans-Ulrich Bierhahn/gh) Info: Die komplette Studie “Untersuchungen zur Qualität und Sicherheit im E-Commerce” ist bei der TÜV Nord Security GmbH unter folgender Adresse für 500 Mark erhältlich: TÜV Nord Security Dr. Harald Bosse Musilweg 2 21079 Hamburg Tel.: 040/764003-21
www.lanline.de
SICHERHEITS-KNOW-HOW
SCHWACHSTELLEN ERKENNEN
Sicherheit in der Mail-Architektur E-Mail gilt als die Killerapplikation des Internets. Der Grund dafür ist einleuchtend: Selten hatte eine Technologie solch eine nachhaltige Auswirkung auf die Art und Weise, wie Menschen miteinander kommunizieren. Laut IDC wurden 1999 fünf Milliarden E-Mails zwischen 300 Millionen Mailboxen verschickt. Für das Jahr 2005 rechnen die Marktforscher mit einem Anstieg auf 35 Milliarden Mails pro Tag. Doch die Bedeutung von E-Mail in der Kommunikationskette spiegelt sich nur selten in der IT-Infrastruktur wider. Im Gegenteil: Die Mail-Architektur ist oft eine der wesentlichen Schwachstellen.
Die Sicherheitsdebatte bei Internet-Messaging dreht sich um drei Bereiche: 1. Virenschutz, 2. Schutz der Mail-Architektur vor Zugriffen von außen, 3. Schutz des Mail-Inhalts. In der Geschäftswelt enthalten E-Mails in zahlreichen Fällen Inhalte, die vertraulich und nicht für den Zugriff von Dritten bestimmt sind. Kein Unternehmen würde wichtige Briefe per Postkarte für Dritte einsehbar versenden. Doch in der Welt der elektronischen Post ist dies die Regel. Hier ist ein äußerst mangelhaftes Bewusstsein für MailSecurity vorzufinden. Die überwiegende Mehrheit der Mails sind “Clear Text”, das heißt, sie sind unverschlüsselt und können jederzeit gelesen, verändert oder umgeleitet werden.
16
sehr teuer sind und in zahlreichen Fällen – wie bei der PGPVerschlüsselung – eine erhebliche Umstellung des Anwenderverhaltens verlangen. DIE UNSICHERHEIT DES INTERNETS Da E-Mails über das
Internet verschickt werden, entstehen ernsthafte Sicherheitsprobleme. Der übliche Weg einer Mail sieht wie folgt aus (Bild 1): Client – SMTPServer – Internet – SMTP-Server – Local Message Store (POP/IMAP) – Client. Die Achillesferse ist die Verbindung zwischen dem SMTPServer des Senders und dem des Empfängers. Ohne Verschlüsselung können Mails von Dritten gelesen, verändert oder umgeleitet werden. Zur Lösung dieses Sicherheitsdefizits gibt es verschiedene Ansätze.
WARUM MAIL-SECURITY? In-
S/MIME Die Verschlüsselung
nerhalb von E-Business-Anwendungen ist E-Mail bereits heute eine der zentralen Anwendungen wie etwa im Bereich Direktmarketing, Newsletter oder bei Customer-CareProgrammen. Doch spätestens in der kommenden Phase der Mail-Nutzung, wenn die Rechnungsstellung, Auftragsabwicklung oder andere wichtige Dokumente wie Verträge auch in klassischen Unternehmen über E-Mail verschickt werden, kommt ein Unternehmen nicht um eine Reorganisation der Sicherheitsarchitektur herum. So planen Unternehmen wie die Telekom, einen Teil ihrer Rechnungsstellung per E-Mail zu versenden. Die Einsparungen liegen dabei im Millionenbereich. Bisher nimmt die Industrie zögerlich Sicherheitsmechanismen wie S/MIME an, da diese
über S/MIME zielt darauf ab, mehr Sicherheit in Transaktionen und in die Kommunikation in per se unsichere Netze wie dem Internet zu bringen. Die S/MIME-Kryptographie benutzt dabei Verfahren der Datenverschlüsselung, um Vertraulichkeit zu wahren, digitale
LANline Spezial Das sichere Netz III/2001
Zertifikate für die Identifizierung und digitale Signaturen, um die Richtigkeit und Integrität der Inhalte zu bestätigen. Für E-Mails gibt es zwei wichtige Standards, die im Folgenden erläutert werden. VERSCHLÜSSELUNG VON MAIL: S/MIME, PGP, STARTLS
Im Verschlüsselungsprozess werden Daten in ein Format konvertiert, sodass der Inhalt nur mit detaillierten Kenntnissen über den Verschlüsselungsmechanismus als solchem und dem Schlüssel dechiffriert werden können. Die verschlüsselten Daten, der Ciphertext, werden in der Regel mit einem einzigen Schlüssel chiffriert (Beispiel im Kasten auf Seite 20). Kennt der Adressat den Schlüssel und den Algorithmus, kann er die Botschaft entschlüsseln. Bei dieser Form der Verschlüsselung, der symmetrischen Kryptographie, verwenden beide Seiten denselben Schlüssel und Chiffrier-/ Dechiffrier-Algorithmus. Der Vorteil: Die symmetrische Kryptographie ist sehr schnell und effizient, da die Schlüssellänge im Durchschnitt zwi-
Sending Mail Computer Eva
POP/IMAP Server
The Internet
SMTP Server (MTA)
SMTP/Server (MTA)
Computer Hans Bild 1. Der übliche Weg einer E-Mail
www.lanline.de
SICHERHEITS-KNOW-HOW
schen 40 und 192 Bit groß ist. Die Schwierigkeit besteht darin, den gemeinsamen Schlüssel geheim zu halten, speziell, wenn die Kommunikation über öffentliche und damit unsiche-
beispielsweise von Network Associates. Als Verschlüsselungsalgorithmen kommen RSA, DH/DSS und IDEA zu Einsatz. Da diese Algorithmen von Exportbeschränkungen
Szenario 1
Internet
Sendmail API
Firewall
DMZ Boundary Relay oder
Clients Bild 2. Groupware-Architektur in Kleinunternehmen
re Leitungen geht. Ein weiteres Problem ist es, sich auf einen Schlüssel zu einigen. Als Konsequenz wurde mit der asymmetrischen Kryptographie ein Verfahren entwickelt, bei dem nicht beide Seiten ein Geheimnis teilen müssen. Dieses Verfahren umfasst zwei Schlüssel, wobei der eine Schlüssel chiffriert, was der andere dechiffriert. Der Clou: Der Besitzer gibt nur einen seiner beiden Schlüssel heraus, den Public Key, behält aber einen Private Key stets bei sich. PGP UND SEINE ALTERNATIVEN Der Begriff PGP (http://
www.pgp.com) beschreibt sowohl eine Spezifikation (RFC 1991: PGP Message Exchange Formats und andere) als auch die darauf basierenden Applikationen. Die ursprüngliche PGP-Implementierung stammt von Phil R. Zimmermann, mittlerweile gibt es weitere, auch kommerzielle Produkte,
18
betroffen waren, hat sich die Initiative PGPi (PGP international, http://www.pgpi.com) gegründet, die die legale Verwendung von PGP außerhalb der USA ermöglicht hat und PGP auch als Source-Code zur Verfügung stellt. PGP basiert darauf, dass Anwender untereinander Schlüssel austauschen und einander vertrauen. Dies funktioniert beispielsweise bei kleine Arbeitsgruppen, ist aber bei einer großen Anzahl von Benutzern schwer zu handhaben. Dennoch hat PGP Millionen von Anwendern gefunden und ist de facto ein Standard im Bereich Verschlüsselung. PGPSchlüssel können auch vom Anwender selbst generiert werden. Sie werden meistens in öffentlichen PGP-Key-Servern oder auch LDAP-Directory-Servern veröffentlicht. S/MIME (Secure Multipurpose Internet Mail Extensions) ist eine auf MIME basierende,
LANline Spezial Das sichere Netz III/2001
www.lanline.de
SICHERHEITS-KNOW-HOW
von RSA (www.rsasecurity. com/standards/smime/index.ht ml) entwickelte Spezifikation (RFC 1847), die die leichte Integration gesicherter E-MailÜbertragung in Software-Produkte ermöglichen sowie deren
dert in jedem Fall den Erwerb einer Lizenz. Größer sind die Unterschiede was die Authentifizierung der Schlüssel angeht. PGP setzt auf ein so genanntes “Web of Trust“ und basiert auf gegen-
Satz: Wir treffen uns um acht. Verschlüsselung: Vhq sqdeedm tmr tl zbgs. Schüssel: z d g k a e h l
n o
r s
nicht abgehört werden. STARTTLS kann zwischen Internet-Mail-Servern zum Einsatz kommen – unabhängig davon, ob der einzelne Benutzer seine Mails mit PGP oder S/MIME verschlüsselt.
t u
u v
x y
Beispiel für eine Verschlüsselung
Interoperabilität gewährleisten soll. S/MIME arbeitet mit so genannten X.509-Zertifikaten, die nicht nur die Verschlüsselung von Nachrichten ermöglichen, sondern auch deren Authentifizierung. Die gängigen E-Mail-Clients wie Microsoft Outlook, Netscape Messenger und andere unterstützen S/MIME, eine Open-Source-Variante existiert nicht. S/MIME ist mit PGP nicht kompatibel. Im direkten Vergleich der Verschlüsselungstechnik hat PGP gegenüber S/MIME die Nase vorn, da längere Schlüssel verwendet werden können (mehr dazu unter (www.scramdisk.clara.net/pg pfaq.html). S/MIME ist jedoch in viele E-Mail-Clients (Netscape Communicator und Microsoft Outlook) integriert und macht dadurch die Benutzung einfach und ständig verfügbar. Die Nutzung von PGP erfordert hingegen zunächst die Installation einer der frei verfügbaren oder kommerziellen PGP-Implementierungen, wobei auch Plug-ins für die E-Mail-Clients Outlook und Eudora erhältlich sind. Die Verwendung von PGP für kommerzielle Zwecke erfor-
20
seitigem Vertrauen. X.509Zertifikate werden hingegen nach einem formalen Verfahren zertifiziert. Hierfür gibt es eine Hierarchie von Certificate Authorities und einer oder mehrerer Registration Authorities, die die Identität der Teilnehmer überprüfen. Vorteil ist dabei die bessere Authentifizierung der Schlüssel. Außerdem übernimmt die Zertifizierungsstelle den organisatorischen Aufwand für die Schlüsselverwaltung. Hierfür verlangt sie in der Regel ein Entgelt. S/MIME und PGP arbeiten beide auf dem ISO-Application-Layer. Eine Ebene tiefer, nämlich auf dem Transport Layer arbeitet TLS (Transport Layer Security). Es ist eine Weiterentwicklung von SSL (Secure Sockets Layer) und benutzt ebenso wie S/MIME X.509-Zertifikate. Das TLS-Feature für SMTP, also für E-Mail, nennt man STARTTLS. Damit kann eine SMTP-Session vollständig verschlüsselt werden und nicht nur der Inhalt der einzelnen Mail. Auch die Adressund Absenderinformationen können dann von Fremden
LANline Spezial Das sichere Netz III/2001
VERSCHLÜSSELTE LEITUNG
Einfacher in der Handhabe als die Verschlüsselung der einzelnen Messages ist die Codierung der gesamten Session zwischen zwei Mail Transfer Agents (MTAs). Das heißt, nicht eine einzelne Mail wird mühevoll verschlüsselt, sondern der SMTP-Server baut eine sichere, verschlüsselte Verbindung zum gewünschten Mail-Server auf. Der neue Standard in diesem Bereich ist TLS (Transport Layer Security), hinter dem die IETF (Internet Engineering Task Force) steht. TLS ist die Weiterentwicklung von Netscapes Secure Sockets Layer (SSL). SSL hat sich als Implementierungsstandard im Web für Verschlüsselung zwischen Clients und Servern durchgesetzt. TLS kann man salopp als SMTPVersion von SSL bezeichnen. TLS sorgt für absolut sicheren Mail-Verkehr, wobei drei Etappen wesentlich sind: 1. Beim Versenden von EMails wirft der Client zunächst die elektronische Post in eine Art Briefkasten, einen Relay-SMTP-Server, ein. Dieser soll die Nachricht wie ein Postamt an sei-
nen Bestimmungsort liefern. 2. Der SMTP-Server des Senders baut eine verschlüsselte Verbindung mit dem Empfänger-SMTP-Server auf und schickt die Nachricht uneinsehbar über das Internet an den SMTP-Server des Empfängers. 3. Dieser leitet die Mail an einen Mail-Box-Server weiter (in der Regel ein IMAP-Server). Von hier kann der Empfänger seine Mails abrufen und auf seinem Desktop lesen. Wollen Unternehmen sicher gehen, dass sämtliche Mitarbeiter ihre Mails verschlüsseln, ist TLS die sicherste und am wirkungsvollsten durchzusetzende Lösung. Der Anwender merkt von der Verschlüsselung nichts und muss nicht wie bei PGP die Mails einzeln von seinem Desktop aus verschlüsseln. Wichtig ist: Die meisten Implementierungen des älteren Post Office Protocol (POP3) unterstützen weder TLS noch SSL, sodass Unternehmen verstärkt auf IMAP-Server setzen sollten. Beim ersten Einsatz eines neuen Mail-Clients wird der Anwender aufgefordert, ein Passwort einzugeben, um sicherzustellen, dass niemand anderes als der Besitzer des Keys diesen benutzt. Um die Mails zukünftig einfach und sicher abzurufen, reicht der Mail-Client sein Public-Zertifikat und das Log-in-Passwort an den IMAP-Server weiter, um den User zu identifizieren. Diese Zertifikate können außerdem beim Versenden von E-Mails über SMTP dazu benutzt werden, dass der SMTPServer nur E-Mails von Benutzern weiterleitet, die im Besitz eines gültigen Zertifikats sind.
www.lanline.de
SICHERHEITS-KNOW-HOW
Der IMAP-Server schickt dem Client seinerseits seinen Public Key, was dem User zusichert, auf den korrekten Server zuzugreifen. Beide Seiten handeln eine Cipher Suite aus und tauschen Schlüssel aus, um die Mails herunterzuladen. Eine Cipher Suite ist ein Bestandteil der SSL-Verschlüsselungsalgorithmen, wobei festgelegt wird, wie die Schlüssel ausgetauscht werden. Hierbei handelt es ich um einen protokollabhängigen Mechanismus. In einem einmaligen Setup entsteht so ein sicheres Mail-Umfeld für diese Verbindung. Derselbe Zertifizierungsprozess erfolgt bei der Identifizierung am Server, wenn Mails verschickt werden sollen. Doch läuft der Versand nicht über einen IMAP-, sondern über einen SMTP-Server. Als De-facto-Standard bei MTAs gilt Sendmail, der bereits 1981 von Eric Allman als erster MTA in der IT-Geschichte entwickelt wurde. Der SendmailMTA hat je nach Erhebung einen weltweiten Marktanteil zwischen 55 und 80 Prozent. MTAs greifen ebenfalls auf
TLS zurück. Die geläufigste Version ist dabei “TLS”, welches bei Bedarf durch “STARTTLS“ die SMTP-Verbindung sicher und vertraulich macht. Hierzu ist auf beiden Seiten ein TLS-fähiger SMTPDaemon erforderlich. Das schlagkräftigste Argument für TLS-Verschlüsselung auf Server-Basis besteht darin, dass sich Sicherheitsrichtlinien von Unternehmen trotz der Verschlüsselung aufrecht erhalten lassen, da nur die Leitung, nicht aber die Mail an sich codiert wird. Bei der Verschlüsselung von Mails haben Unternehmen keinerlei Kontrolle, welcher Content in das Unternehmen eindringt oder verlässt, was jede Antivirenstrategie untergräbt – ebenso können Content-Managementsysteme nicht effizient arbeiten, da sie die verschlüsselten Daten nicht filtern können. Die wichtigste Transaktion ist sicherlich die Übertragung der Mail vom sendenden SMTP-Server über das Internet zum empfangenden SMTPServer. Verkürzt formuliert übernimmt der SMTP-Server
die Rolle des Postamts im Internet. Wird die Mail als ClearText in einer unverschlüsselten Session verschickt, kann sie von Dritten ohne großen Aufwand eingesehen oder gar ma-
Szenario 3
22
LANline Spezial Das sichere Netz III/2001
Sendmail
Internet
API
Firewall
Internet Relay U.S.
DMZ Boundary Relay API
Asia
Europe
Subdomain Relays API
API
API
[…]
[…]
[…]
Bild 3. Die Groupware-Architektur in großen Unternehmen
nipuliert werden. Abhilfe schafft STARTTLS, das sich auf jeden SMTP-Server aufspielen lässt. STARTTLS nutzt die Zertifikate vom Client und dem Server, um die TLSVerschlüsselung auszuhandeln. Der Server des Sendenden verlangt ein Client-Zertifikat, wogegen der EmpfangsServer ein Zertifikat des Servers abfragt. Das heißt: Ein SMTP-Server sollte Serverund Client-Zertifikate abrufen können. Häufig unterstützen SMTP-Server jedoch nur Empfangszertifikate. Mails, die das Unternehmensnetzwerk verlassen, sind somit nicht sicher! SCHOTTEN DICHT IM GROUPWARE-BEREICH Eine
Bild 4. Sendmail Switch 2.1 routet Mails sicher und zuverlässig zwischen Netzwerken. Zugleich schützt der Mail-Transfer-Agent-Groupware-Lösungen vor dem Zugriff durch Dritte. Quelle: Sendmail
zu verschlüsseln. Die Mail-Architektur ist ein äußerst relevantes Thema für die Sicherheit von Groupware-Lösungen und kann als Schutz der gesamten IT-Infrastruktur die-
sichere Mail-Architektur hat jedoch weitaus mehr Tragweite als elektronische Postwege
nen. Auch der Schutz vor Viren und ungewünschtem Content ist ein Thema, das zentral in der Mail-Archtektur, nicht erst auf dem Desktop zu lösen ist. Was die Amerikaner martialisch als DMZ (Demilitarized Zone) bezeichnen, beschreibt im Netzwerkbereich eine Firewall, die das interne Netzwerk und das Internet mit einer Pufferzone trennt. Der Nutzen liegt darin, eine direkte Datenübertragung zwischen dem Internet und dem vertraulichen, internen Netzwerk zu verhindern. Sämtlicher ankommender Datenverkehr läuft über einen Proxy-Server in der DMZ. Eine DMZ sichert das interne Netzwerk durch ein äußerst striktes Package-Filtering ab, wobei der Zugang nach außen immer noch über SMTP-Dienste möglich ist.
www.lanline.de
SICHERHEITS-KNOW-HOW
Über den Port 25 in der Firewall wird hier die Verbindung zur Außenwelt hergestellt. Die Kombination aus DMZ und Proxy-SMTP isoliert die Groupware-Lösungen, die oft direkt an der Firewall nahezu ungeschützt Angriffen von außen ausgesetzt sind. Sendmail bietet zudem bei seinem Router, dem Switch 2.1, ein Content-Filter-API, das zusätzlichen Schutz bringt. So lassen sich direkt an der Firewall Antivirenlösungen, SPAM-Controlling-Software sowie Content-Filter von diversen Drittanbietern sowohl bei ein- als auch ausgehenden Mails einbinden. SZENARIO 1: KLEINUNTERNEHMEN Ein einfaches Netz-
werk besteht standardmäßig aus einem Groupware-Server oder einer kleinen Gruppe homogener Server (Notes oder Exchange). Hier empfiehlt es sich, einen Puffer zwischen dem Internet und der Groupware-Lösung über ein Boundary-Relay zu installieren. So können Hacker maximal auf das Boundary-Relay vordringen, nicht aber in die Groupware-Architektur und somit nicht in Kalender-/Adressdaten. Das Boundary-Relay leitet dabei die einkommenden Mails vom Internet an den Groupware Message Store weiter. Ein komplexeres System wie es in mittleren Unternehmen vorzufinden ist, ist meist aus mehreren uneinheitlichen Notes- und Exchange-Servern zusammengesetzt. Solch ein Szenario entsteht, wenn Abteilungen auf unterschiedliche Lösungen zurückgreifen oder wenn zwei Firmen fusionieren. Auch hier ist ein Boundary-Relay notwendig sowie ein weite-
www.lanline.de
res internes Relay. Beim Letzteren handelt es sich um einen zusätzlichen MTA, der den internen Mail-Verkehr routet. Dieser berücksichtigt die unterschiedlichen Bedingungen wie POP oder IMAP. Aus der Sicherheitsperspektive bietet diese Architektur optimalen Schutz, da Viren oder ungewünschter Content direkt am MTA hinter der Firewall abgefangen werden und gar nicht erst in das abgeschottete Netzwerk eindringen. Diese Gefahr besteht, wenn kein InternalRelay die Mails zentral checkt. Weiterer Pluspunkt: Hacker können nicht auf die Groupware-Lösung zugreifen. Diese Gefahr besteht, wenn der interne MTA von Notes und Exchange direkt hinter der Firewall angesiedelt ist. Fehlt ein solcher Blocker, lassen sich nicht nur Mails von außen einsehen, sondern auch Passwörter oder die Terminverwaltung. Hierbei handelt es sich keinesfalls um ein theoretisches Horrorszenario, sondern eine oft unterschätzte, gar unbekannte Gefahr bei Unternehmen. Zudem können Administratoren sehr viel wirksamer Viren- und Content-Schutz betreiben, da sie nur einen internen Relay-MTA pflegen und updaten müssen, nicht aber mehrere Groupware-Server.
ten sie Mails zwischen den einzelnen Büros beziehungsweise Abteilungen. Die zweite Funktion ist der Schutz vor Virenattacken, Spam-Mails und ungewolltem Content wie pornograhpische oder rassistische Inhalte. Wenn alle diese Knotenpunkte darauf ausgerichtet sind, Sicherheitsrisiken zu eliminieren, können sich diese gar nicht erst intern verbreiten. Sicherheitsbedrohungen wie “ILOVEYOU” haben sich gerade über große Unternehmen viral verbreiten können. Die Verbindung zur Außenwelt stellt ein zentrales Relay dar, das als POP- oder IMAPServer den Zugang zum Internet-Messaging ermöglicht. Ein SMTP-Server hilft hier, die unterschiedlichen Messa-
ging-Lösungen zu verbinden. Ein Pluspunkt aus Sicherheitsund Funktionalitätsgründen besteht darin, dass Mails so lokal wie möglich verschickt und zwischengespeichert werden. Eine sichere und zuverlässige Mail-Architektur bildet das Rückgrat eines jeden IT-Sicherheitskonzepts. So wundert es nicht, dass ein Großteil der Investitionen von Unternehmen in den Bereich Sicherung der IT-Infrastruktur anfallen werden. (Stephan Schindler/mw) Stephan Schindler ist Managing Director bei Sendmail. Weitere Informationen: Sendmail Web: www.sendmail.com Tel.: 089/30669390
SZENARIO 2: GROSSUNTERNEHMEN Ein komplexes
Netzwerk bei globalen Großunternehmen mit mehreren Niederlassungen weltweit hat zumeist dezentrale, gemischte Groupware-Architekturen. Subdomain-Relays fassen verschiedene Server in verschiedenen Niederlassungen eines Landes zusammen. Sie erfüllen zwei Funktionen: Erstens rou-
LANline Spezial Das sichere Netz III/2001
23
SICHERHEITS-KNOW-HOW
ZWEITER ANLAUF
Das neue Signaturgesetz Am 9.3.2001 passierte das neue Signaturgesetz den Bundesrat. Kommt damit endlich der Durchbruch für die digitale Signatur, auf den wir schon 1997 hofften? Eine Antwort darauf kann auch der folgende Artikel nicht geben, wohl aber einige Probleme und Fortschritte beleuchten, ohne auf juristische Finessen einzugehen.
Als im August 1997 ein Gesetz über die digitale Signatur verabschiedet wurde, erschien das im internationalen Maßstab eine fortschrittliche Initiative. Nur in den USA waren schon 1995 mit dem Utag-Digital-SignatureAct-Rahmenbedingungen für konkrete Gesetze erlassen worden, die aber nach Aussagen von Juristen damit nicht vergleichbar waren. Auch der Autor sah das neue Gesetz damals recht positiv [1, 8.2.4]. Und wo sind nun die vielen Trustcenter, die Schlüssel erzeugen und ausgeben, wo die zahlreichen Anwender, die Mahnbescheide, Rechnungen, Zeugnisse und Steuererklärungen über das Netz schicken? Nichts dergleichen ist zu entdecken, die Wirkung blieb aus. Andere europäische Länder sollen sogar mit einigem Erstaunen registriert haben, dass in Deutschland ein Gesetz erlassen wird, das für digitale Signaturen die Anwendung, Erzeugung, Registrierung und
24
so weiter vorschreibt, ohne Freiräume für praktische Anwendungen zu schaffen. Die digitale Signatur war der handschriftlichen nicht etwa per Gesetz gleichgestellt, sondern dies lag im Fall einer Klage im Ermessen des Richters. Damit nicht genug: Im Bemühen um größtmögliche Sicherheit entwickelte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Richtlinien für Trustcenter, in denen Schlüsselpaare zur Signaturerzeugung und -verifizierung generiert werden [1,2]. Offenbar waren diese Vorschriften so streng und ihre Umsetzung derart teuer, dass praktisch keine Trustcenter entstanden. Inzwischen wird jedoch der Ruf nach einem umsetzbaren Recht immer lauter, nicht zuletzt dank E-Commerce und der notwendigen Einsparung von Verwaltungskosten. In der EU haben sich dabei Staaten wie Großbritannien stark gemacht, die eine etwas andere
LANline Spezial Das sichere Netz III/2001
Linie vertreten: Sie achten nicht so sehr auf den Datenschutz (für deutsche Begriffe wohl überhaupt nicht), sondern mehr auf praktikable Regelungen. Vor diesem Hintergrund ist nun das neue Signaturgesetz entstanden, welches das alte von 1997 ablöst. “SICHERHEIT
GERETTET”
Bei einem ersten Blick auf das Gesetz [3] fällt auf, dass es zwei Arten von Unterschriften gibt: Die qualifizierte und die fortgeschrittene. Der eigenartige Sprachgebrauch täuscht – die qualifizierte Signatur entspricht einem deutlich höheren Sicherheitsstandard und ist in etwa mit der “alten” nach dem Signaturgesetz von 1997 zu vergleichen. Die
ob die qualifizierte Unterschrift überhaupt gebraucht wird. Denn sie soll dort gelten, wo die Schriftform ausdrücklich vorgeschrieben ist – beispielsweise bei Eheschließung und Hauskauf. Wer von den Lesern möchte eine Ehe über das Internet schließen? Fortgeschrittene Signaturen sollen dagegen dort wirksam werden, wo die Unterschrift vereinbart ist, also zum Beispiel bei “normalen” Kaufverträgen. Gegenüber dem früheren Gesetz sieht der Autor einige deutliche Fortschritte (insofern ist die Signatur wirklich “fortgeschritten”): – Die digitale Signatur ist der handschriftlichen per Gesetz gleichgestellt, ihre Anerkennung liegt
Es bleibt abzuwarten, ob das neue Signaturgesetz den Durchbruch für die digitale Signatur bringt
fortschrittliche, “neue” wird explizit nur bei ihrer Definition erwähnt, doch sie ist für die Praxis nach Meinung einiger Insider die wichtigere. In einem Firmenvortrag auf der diesjährigen CeBIT bezweifelte der Vortragende,
nicht im Ermessen eines Richters. – Die Trustcenter (CAs) haften für Schäden durch Unsicherheiten und müssen zu diesem Zweck eine Rückstellung von mindestens 500.000 Mark vorwei-
www.lanline.de
SICHERHEITS-KNOW-HOW
sen. Wenn also ein privater Schlüssel im Trustcenter unchiffriert in einer Datenbank liegt (anstatt nach Erzeugung gelöscht zu werden) und später gestohlen wird, braucht sein rechtmäßiger Besitzer nicht für die Folgen aufzukommen. Das ist kein Horrorszenario: Kreditkartennummern werden zwar mittels SSLProtokoll relativ sicher übertragen, aber dann nicht selten vom ungesicherten Server des Anbieters gestohlen, auf dem sie “herumliegen”. Beim alten Gesetz wurden Schadensfälle offenbar durch die übliche Produkthaftung geregelt, die in diesem Fall nicht ausreicht. – Die EU-Staaten erkennen ihre Signaturen gegenseitig an. Das ist wirklich notwendig, denn eine Beschränkung auf beispielsweise nationalen Handel wäre anachronistisch. Um es vereinfacht auszudrücken: Es scheint, als würde die qualifizierte Signatur mit ihren strengen Vorschriften (und ihrem hohen Preis) den Ansprüchen der Verfechter des alten Gesetzes entgegenkommen, während wir in der Praxis uns wohl eher mit der fortgeschrittenen beschäftigen werden. Die nationale Sicherheit ist gerettet, und wir können trotzdem noch arbeiten. UNGEKLÄRTE
DETAILS
Auch dieses Gesetz lässt noch sehr viele Fragen offen, die im Voraus wohl ohnehin nicht alle zu klären sind. Eine Signaturverordnung liegt derzeit noch zur Notierung in Brüssel und wird ver-
26
LANline Spezial Das sichere Netz III/2001
mutlich im Sommer in Kraft treten. Doch Verfahren im weitesten Sinne sind nicht festgeschrieben: – Welche Algorithmen sollen eingesetzt werden, und mit welcher Schlüssellänge? Kann man die Schlüssel dann auch für PGP (Pretty Good Privacy) und GnuPG (GNU Privacy Guard) verwenden? – Welche Infrastruktur wird dazu aufgebaut? – Darf man auch selbst erzeugte Schlüssel (etwa mit GnuPG oder PGP) zertifizieren lassen und auf eigene Gefahr hin nutzen? – Welche Technik kommt zum Einsatz? Dürfen private Schlüssel nur auf Smartcards gespeichert werden oder auch auf Rechnern? – Wie verhindert oder erkennt man, dass ein Betreiber getürkte Schlüsselpaare ausgibt, also beispielsweise RSA-Schlüssel, deren Faktorisierung bei Kenntnis eines Geheimnisses leicht möglich ist? [1, 6] Wie stellt man so einen Betrug überhaupt fest? – Beißen sich Zertifikate mit weitreichenden persönlichen Angaben nicht mit dem Anliegen des Datenschutzes? – Was geschieht bei Kompromittierung eines Schlüssels – wie kann diese überhaupt nachgewiesen werden? Bei EC-Karten wurden vermutlich Unschuldige der Fahrlässigkeit bezichtigt, ihre PIN nicht ausreichend geheimgehalten zu haben. Auf der anderen Seite überzeugten schon Scharlatane die Richter, man könne die
www.lanline.de
SICHERHEITS-KNOW-HOW
PIN recht leicht berechnen, was natürlich unsinnig ist (man braucht dazu mindestens eine DESCrack-Maschine wie Deep Crack, vergleiche [7]). Diese Liste ist keineswegs vollständig. Ungeklärte Fragen sowie einige besonders gemeine trojanische Pferde, die trotz Smartcard zahlreiche Windows-Rechner unsicher machen und echten Schaden anrichten (wer haftet dann eigentlich dafür?), werden noch genügend Stoff für Medien aller Couleur liefern. BLICK IN DIE ZUKUNFT
Eine interessante Möglichkeit wurde wohl bereits 1997 vertan: Man könnte auf jedem Personalausweis einen Chip mit dem Schlüsselpaar des Inhabers unterbringen. Damit hätte sich die Zertifizierung weitgehend erübrigt. Das ist nicht etwa eine fixe Idee des Autors, sondern wurde von einflussreichen und kompetenten Leuten aus der Wirtschaft angeregt. Auch der Akzeptanz digitaler Signaturen wäre das gewiss nicht abträglich, wenn man sie sicher und greifbar in der Nähe weiß (der psychologische Effekt ist nicht zu unterschätzen). Aber dieser Vorschlag findet auch heute noch keine Akzeptanz. So wissen wir noch nichts über die Details, nur über die “große Linie”. Fehler lassen sich im Voraus sowieso nicht ganz vermeiden; wichtig ist,
www.lanline.de
schnell daraus zu lernen und flexibel genug zu bleiben. Aber ein Anfang kann jetzt gemacht werden. Vielleicht wird es Diskussionen geben, ob digitale Signaturen nicht bereits Schulstoff sein sollten. Auf jeden Fall muss ein breiteres technisches Verständnis dafür erreicht werden, nicht nur bei Juristen und Behörden, sondern auch bei den Anwendern. Vielleicht wird man endlich einsehen, dass eine PIN eine Smartcard nur ungenügend schützt, wenn die mit dieser Smartcard erzeugte Unterschrift gleiche Beweiskraft wie die gewohnte, handschriftliche haben soll. Dann wären biometrische Verfahren der nächste Schritt. Auch diese werden angegriffen und verbessert – Sicherheit ist ein Prozess, kein Zustand [8]. Auf jeden Fall müssen alle beteiligten Seiten den Unterschied zur Handschrift verstehen: Unterschriften leistet man bewusst und sieht (in der Regel) dabei auch, was man eigentlich unterschreibt. Mit einer Pistole im Nacken wird man unfreiwillig Unterschriften leisten, doch gewiefte Graphologen erkennen den Stress später am Schriftzug. Wird dagegen für einige Zeit unbemerkt eine Signatur-Smartcard nebst PIN “geborgt”, dann sind die illegal erzeugten Unterschriften von den legalen mit keinen Mitteln zu unterscheiden. Gleiches geschieht, wenn weder PIN noch Smartcard gestohlen werden, aber der Rechner infolge Virusbefall ein anderes Dokument anzeigt als das,
was in Wirklichkeit signiert wird. Mit solchen Problemen werden wir erst lernen müssen, umzugehen. Trotz aller potenzieller Gefahren führt in der Zukunft wohl kein Weg an der digitalen Signatur vorbei – und ebenso wenig an der Erkenntnis, dass Information manchmal schützenswerter als Geld sein kann. Auch die prinzipielle Sicherheit von Software und insbesondere Betriebssystemen wird in diesem Zusammenhang in neuem Licht erscheinen. Gesetze, Anwendungen, Algorithmen und die Anwender selbst werden mit der Entwicklung Schritt halten müssen. Ein Anfang ist gemacht. (Reinhard Wobst/mw)
Literatur: [1] R. Wobst, Abenteuer Kryptologie, AddisonWesley 1998/2001 [2] B. Schneier, Angewandte Kryptographie, Addison-Wesley 1996 [3] www.iukdg.de [4] R. Smith, Internet-Kryptographie, AddisonWesley 1998 [5] G. Müller/A.Pfitzmann, Mehrseitige Sicherheit in der Kommunikationstechnik, AddisonWesley 1997 [6] R. Wobst, Trojanische Kryptographie, UNIXopen 12/97, S. 42-47 [7] R. Wobst, Offenes Geheimnis, UNIXopen 11/98, S. 32-36 [8] B. Schneier, Secret and Lies, John Wiley & Sons 2000
LANline Spezial Das sichere Netz III/2001
27
SICHERHEITSPRODUKTE
VERGLEICHSTEST: ANTIVIREN-SOFTWARE (I)
Keine Chance für Ungeziefer Spätestens seit den großen Virenausbrüchen der jüngsten Vergangenheit sollte jeder Administrator wissen, wie wichtig Antivirenprogramme für sein Netzwerk sind. Allerdings sind auch die “elektronischen Pestizide” keine Wunder-Tools und unterscheiden sich in ihren Leistungen oft erheblich. Grund genug für LANline, im ersten Teil des Antiviren-Software-Tests für Windows-2000- und Netware-Server die Produkte von Computer Associates, Network Associates, Symantec und Trend Micro näher unter die Lupe zu nehmen.
e nach gerade durchgeführter Studie sollen Firmen durch Virenbefall jährlich Schäden in Milliardenhöhe entstehen. Interessant sind jedoch nicht nur die entstandenen Verluste (wie immer sie auch berechnet werden), sondern auch die Kosten, die für Software-Lizenzen zur Vermeidung der Virenattacken anfallen. Denn in diesen Budgets sind oft Fehlinvestitionen enthalten, die man vermeiden kann. Dies ist Grund genug, insgesamt acht Server-Lösungen für Windows 2000 und Netware 5.1 genauer unter die Lupe zu nehmen. Um die Auswahl aus den knapp 20 Produkten am Markt zu beschränken, entschieden wir uns nur für Hersteller mit mehr als einem Prozent Marktanteil, die sowohl eine Lösung für Netware als für Windows NT/2000 im Angebot haben. Da nicht nur Server, sondern auch die lokalen Arbeitsplätze geschützt werden sollten, lieferte jeder Hersteller eine passende Client-Software mit. Im Test beschränkten wir uns jedoch auf den Scanner, der direkt auf dem Server läuft.
hat. Genauer handelt es sich bei einem Virus aber nur um ein Stück Software mit der Eigenschaft, sich selbst zu reproduzieren, wobei andere Dateien – die “Wirtsprogramme” – infiziert werden.
BEGRIFFSDEFINITION Im Allgemeinen
Von Würmern spricht man, wenn sich ein Programm über Netzwerke verbreiten kann – heutzutage meist per E-Mail – und dabei keine Wirte befällt, sondern eigenständig ist.
J
wird der Begriff “Virus” für alles verwendet, was irgendwie mit schadbringendem Programmcode (“Malicious Software” oder kurz “Malware”) zu tun
28
Ein Trojanisches Pferd oder kurz Trojaner hingegen gibt vor, nützlich zu sein, aber enthält letztlich eine dem Anwender unbekannte Schadfunktion. Im Gegensatz zu Viren oder Würmern können sich Trojaner nicht selbstständig verbreiten. Zu dieser Gattung gehören auch die Backdoor- oder Hintertüren-Programme, die es ermöglichen, einen Rechner fernzusteuern und auszuspionieren, ohne dass dies der Anwender mitbekommt. Einige Virenscanner gehen noch etwas weiter und definieren auch Spaßprogramme als schädlich, da diese im Firmennetzwerk meist unerwünscht sind. Zudem beherbergen die “Joke-Programme” oft genug “Backdoors” und tragen auch sonst nicht zur Produktivitätssteigerung im Unternehmen bei. Im Folgenden wird der Einfachheit halber meist nur von “Viren” gesprochen, auch wenn andere MalwareFormen gemeint sind. TESTAUFBAU Ein gutes Antivirenpro-
gramm sollte zunächst alle verbreiteten ITW-Viren (“In-the-Wild”, in freier
Inoculate-It ist nicht mehr ganz auf dem Stand der Technik, aber dafür ist es nicht so funktionsüberladen wie manch anderes Programm
LANline Spezial Das sichere Netz III/2001
Wildbahn) finden können. Diese Liste verändert sich natürlich mit der Zeit, wobei die Wildlist-Organisation (www. wildlist.org) seit Jahren versucht, die verbreiteten Viren sauber zu klassifizieren
www.lanline.de
SICHERHEITSPRODUKTE
und den Antivirenforschern zur Verfügung zu stellen. In diesem Test kam die Wildlist vom Februar 2001 mit 223 verschiedenen Viren in 446 infizierten Dateien zum Einsatz, um die Erkennungsrate der Scanner zu ermitteln. Bereits wenige nicht gefundene Viren stellen eine Gefahr dar, die aber hoffentlich schon das nächste Update der Virensignaturen ausräumt. Schließlich veraltet nichts schneller als ein Antivirenprogramm, da täglich bis zu 30 neue Viren entdeckt werden. Die meisten davon verschwinden zwar schnell wieder in den so genannten Virenzoos von Virenexperten oder von Virensammlern und tauchen nicht in freier Wildbahn auf. Jedoch finden sie sich oft auf dubiosen Download-Seiten im Internet, und deshalb sollten Virenscanner auch sie erkennen können. Als erstes mussten die Programme im Test daher nach der Installation zeigen, wie gut sie Viren finden können. Die Schutz-Software kann man hierbei prinzipiell in zwei Teile gliedern: Den OnDemand-Scanner, der bei Bedarf oder zeitgesteuert Suchvorgänge startet sowie den On-Access-Virenwächter, der permanent alle Dateizugriffe überwacht. Auch unter Volllast des Servers sollten alle Zugriffe auf infizierte Dateien geblockt werden. Der Testparcours bestand hier aus einzelnen Zugriffen auf infizierte Dateien sowie aus einer Kopieraktion der gesamten Virensammlung auf den Server. Unter Netware 5.1 zeigten sich bei einem Teil der Scanner erhebliche Schwierigkeiten der Wächter im Umgang mit infizierten Dateien. Einige Programme durchsuchten nur einen Teil der Dateien, andere starteten erst mitten in der Kopieraktion die Suche. Um die Fehler nachzuvollziehen, testeten wir auch alternativ unter Netware 4.11 und anderen Service-Packs von Netware 5.1. Da der Fehler unter Netware 4.11 nicht auftritt und gleich mehrere Scanner betroffen sind, könnte dies durchaus an einem Fehler in der deutschsprachigen Netware 5.1 liegen. Dies lies sich bis zum Redaktionsschluss jedoch nicht eindeutig klären.
30
Die Scanner wurden für diesen Test in den Standardeinstellungen belassen. Bei vielen machte sich das bemerkbar, da nicht alle Dateierweiterungen überprüft wurden und dabei etwa Viren in HLP- oder CHM-Dateien (WindowsHTML-Hilfedateien) nicht gefunden wurden. Die meisten Programme sind jedoch in der Lage, diese Viren zu finden, wenn alle Dateien durchsucht würden. Daher sollte man diese Option unbedingt aktivieren – leider war sie aber nicht in allen Scannern vorhanden, manchmal konnte man sich aber mit der zusätzlich eingefügten Dateierweiterung “???” behelfen. Ein Administrator sollte auf jeden Fall seine Systeme regelmäßig darauf testen, ob die Viren-Software noch aktiv ist und wie beabsichtigt funktioniert. Da “echte” Viren dafür zu gefährlich wären, hat die EICAR (European Institute of Computer Anti-Virus Research) das so genannte EICAR-Testfile entwickelt (www.eicar.org), welches etwa 70 Zeichen groß ist und nur aus Buchstaben beziehungsweise Zahlen besteht. Es wird von allen Scannern erkannt, ist aber völlig ungefährlich und gibt beim Start nur eine Textmeldung aus. KONFIGURATION Im Falle eines Vi-
renbefalls ist es zum einen wichtig, was mit der infizierten Datei geschehen soll. Möglichkeiten wie Umbenennen, Löschen, Desinfizieren oder das Verschieben in ein Quarantäneverzeichnis zur späteren Analyse (Isolation) sollten daher zur Standardausstattung eines guten Virenscanners gehören. Hierbei sollte das Programm auf jeden Fall zwischen Makroviren und den restlichen Virusarten unterscheiden können. Denn mit Makroviren infizierte Dokumente kann man in der Regel problemlos reinigen, Viren in Dateien sollten aber besser isoliert oder zumindest umbenannt werden. Weiterhin sollten verschiedene Formen der Benutzerbenachrichtigung vorhanden sein. In kleinen Netzwerken reicht oft eine einfache Bildschirmmeldung und ein Eintrag in der Log-Datei aus, bei vielen Nutzern wird das jedoch
LANline Spezial Das sichere Netz III/2001
unpraktikabel. Eine Benachrichtigung über SNMP ist wichtig, interessant sind aber auch Funktionen wie SMS oder E-Mail. Wenn man volles Vertrauen in seine Antiviren-Software hat und häufiger Infektionen festgestellt werden, kann es nützlich sein, nur bei unverhältnismäßig vielen Infektionen in einer bestimmten Zeit – etwa bei einem Outbreak – seine Aufmerksamkeit auf die Virenproblematik zu richten. Einige Programme bieten auch hierzu spezielle Optionen an. MANAGEMENT Gerade in größeren Net-
zen spielt das zentrale Management der Antivirenlösung inklusive der UpdateVerteilung eine große Rolle. Die Hälfte der Programme bot umfassende Managementkonsolen, zum Teil als Snap-in in die Microsoft-Management-Console (MMC), zum Teil als eigenständige Lösung. Programme und Updates, die sich etwa per Log-in-Skript verteilen, sind in großen Netzwerken unangebracht, da sie das Netzwerk in den frühen Morgenstunden nahezu dicht machen. Dagegen schaden die mächtigen Programme in kleinen Netzwerken meist mehr als sie nützen, weil sie einfach viel zu komplex sind und einen hohen Einarbeitungsaufwand erfordern. Hier sind kleinere Lösungen, vielleicht auch per Log-in-Skript, besser angebracht. Im Test haben wir darauf verzichtet, die Integration in umfangreichen Netzwerkmanagementlösungen wie Unicenter TNG oder Tivoli zu testen. Vielmehr begutachteten wir die Managementlösungen, die den Programmen beilagen. Dabei berücksichtigten wir nur Funktionen, die direkt in der Software enthalten sind und nicht, ob man sich vielleicht unter Zuhilfenahme verschiedener Werkzeuge selbst etwas zurecht stricken konnte. Undokumentierte oder versteckte Funktionen fielen ebenso durch das Raster, sind aber erwähnt. NICHT GETESTET: PSYCHOLOGIE Man
sollte jedoch immer im Hinterkopf behalten, dass eine Antiviren-Software immer nur ein Teil des kompletten Schutz-
www.lanline.de
SICHERHEITSPRODUKTE
konzepts ist. Der Einsatz sollte gezielt geplant werden, um Wildwuchs und andere Probleme zu vermeiden. Weiterhin sollten die Benutzer im Einsatz mit der Software und auch in den entsprechenden Sicherheitsaspekten geschult werden. Dazu gehört der verantwortungsvolle Umgang mit E-Mail, denn das beste Programm nützt nichts, wenn sich der Anwender zu leichtsinnig verhält. Typische Anwenderfehler sind beispielsweise vorschnelle Doppelklicks auf Attachments oder die Weiterleitung von Kettenbriefen wie Hoaxes (Virenfalschmeldungen), die schnell die Postkästen der Anwender verstopfen können. CA INOCULATE-IT Die komplett eng-
lischsprachige Virenschutzlösung Inoculate-It von Computer Associates (CA) gibt es in drei Varianten: In der Workgroup- beziehungsweise Advanced-Editon für Windows NT/2000 sowie als Netware-Lösung. Die Workgroup-Edition ist etwas preiswerter als die AdvancedEdition, dafür lässt sie sich aber nicht unter Unicenter TNG verwalten und einige Optionen wie etwa das der InternetGateway stehen nicht zur Verfügung. Allen dreien ist jedoch gemeinsam, dass die aktuellsten Versionen 4.53 (NT) beziehungsweise 4.50 (Netware) noch aus dem Jahre 1999 stammen. Der Hersteller hat für Anfang Mai 2001 eine komplett neuentwickelte Version 6.0 angekündigt, die sich zum Zeitpunkt des Tests aber noch im Betastadium befand. Der Installationsroutine unter Windows 2000 merkte man nicht nur am Aussehen schnell das Alter an: So meldete sich bei Installation der Software der Windows-Dateischutz von 2000 und fordert die Windows-CD an. Nach dem obligatorischen Neustart zeigte der Dienststeuerungsmonitor einen Fehler, und der Virenwächter funktionierte nicht. Auf der Download-Seite von CA ist ein entsprechender Patch (drvupdi. exe) zu finden, der das Problem beseitigt. Nach einem Neustart war der Wächter aktiv, aber die Installation des 17 MByte großen Pakets noch nicht vollendet. Etwas erschreckend ist die Zahl der
www.lanline.de
weiteren 18 Patches auf der DownloadSeite, von denen viele installiert werden sollten: So kann die installierte Version nur einmal monatlich automatische Updates herunterladen, während eine gepatchte Version den Download auch öfters ausführen kann. Alle Dateien liegen dazu im proprietären CA-ZIP-Format vor (*.caz), die manuell mittels “cazipxp -u” entpackt und danach nach Anleitung installiert werden müssen. Eine solche Vorgeheinsweise ist heutzutage völlig inakzeptabel. Im Bereich Virenerkennung zeigt Inoculate-It seine wahren Stärken: Standardmäßig werden alle Dateien (auch komprimierte) sowohl On-Demand als auch On-Access untersucht. Dabei konnte die Software alle Viren finden. Störend ist hingegen, dass der Virenwächter in der Standardkonfiguration gefundene Schädlinge zwar meldet, den Zugriff auf die Objekte jedoch erlaubt. Weiterhin zeigt die Software nicht für alle Dateien eine Meldung an, sondern verschluckt einige, andere erschienen zu spät. Zum Glück hat dieses Verhalten keine weiteren Auswirkungen. Findet der Virenwächter einen Virus, so erscheint nur auf dem Server mit einem Piepston eine entsprechende Meldung, die auch im NT-Event-Log des Servers vermerkt wird. Aktiviert man den mitinstallierten Alert-Manager, so werden die wichtigsten Meldemöglichkeiten abgedeckt: Für die Typen “Kritisch”, “Information” und “Warnung” kann die Software jeweils Meldungen via Broadcast, Unicenter TNG, Event-Log, E-Mail (nur direkt über Notes oder Exchange), Pager, SNMP oder Drucker (“Trouble Ticket”) verschicken. Eine Unterscheidung der Handhabung von infizierten Viren nach Makro- und anderen Arten ist nicht vorgesehen. Die möglichen Operationen bei einem Virenfund sind vielfältig: Keine Aktion, Datei löschen, umbenennen, reinigen, verschieben, überschreiben sowie “umbenennen und verschieben”. Bei der Reinigung legt das Programm eine Backup-Datei an, und wenn die Reinigung fehl schlagen sollte, wird die Datei umbenannt.
SICHERHEITSPRODUKTE
Die Installation beziehungsweise Deinstallation von Remote-Rechnern funktionierte im Test nicht: Das Programm akzeptierte zwar den Admin-Account, aber nach einer Weile brach es mit dem “Fehler 2” ab. Eine Online-Hilfe existierte nicht und im Handbuch war zu diesem Thema nichts zu finden. Diese Probleme sollen jedoch laut CA mit der nächsten Version behoben sein. Wurden die Rechner manuell installiert und sämtlich Patches eingespielt, so gestaltete sich die Einbindung im Domain-Manager von Incoulate-It einfach: Ab sofort konnte der Rechner überwacht und gegebenenfalls auch die Reportdateien angezeigt sowie die Einstellungen für den Virenwächter oder für zeitgesteuerte Suchjobs angelegt oder verändert werden. Der Scheduler lässt nur die Suche auf ganzen Laufwerken zu, man kann aber die Suchpriorität einstellen. Die Installation von Updates ist nicht einfach: Mittels des Auto-DownloadManagers kann das Programm nur die neuesten Signaturen zeitgesteuert oder manuell herunterladen. Die Verteilung auf andere Server oder Clients übernimmt dann der Servicemanager, der in einstellbaren Abständen prüft, ob neue Updates heruntergeladen wurden. Dabei können auch Zeiträume festgelegt werden, in denen neue Updates nicht verteilt werden dürfen. Man merkt es dem Programm deutlich an, dass es schon in die Jahre gekommen ist. Die zum Erscheinungszeitpunkt einzigartigen Features sind mittlerweile schon ältere Standards. Im Test wurden alle Viren erkannt, und die Standardeinstellungen waren bis auf das “Melden aber Ignorieren” von Virenfunden beim Wächter sinnvoll. Bleibt zu hoffen, dass die neue Version pünktlich erscheint und nicht nur wieder komplett in Englisch, sondern die Client-Versionen diesmal auch auf Deutsch erhältlich sind. Einen noch antiquierteren Eindruck hinterlässt das Installationsprogramm des etwa 5 MByte großen Netware-Pakets. Als eines der wenigen Produkte im Test weist das noch aus Windows-3.1-
32
Zeiten stammende Setup immerhin auf die zur Installation benötigten Supervisor-Rechte hin. Aber die Meldung, dass das enthaltende Verwaltungsprogramm nur für Windows 3.x zur Verfügung stehe, machte misstrauisch. Zum Abschluss der Installation müssen Scanner und Alert-Manager von Hand am Server gestartet werden. Auch die Einträge in die autoexec.ncf erfolgten nicht automatisch. Die Bedienung des Scanners kann vollständig an der Netware-Console erfolgen, ist aber etwas umständlich. Um das separate Verwaltungsprogramm nutzen zu können, benötigt der Administrator jedoch zusätzlich einen Windows-Server. Bei der in der Windows-Server-Version enthaltenen Managementlösung sind lediglich die Optionen für Netware-spezifische Funktionen angepasst. Inoculate-It für Netware hinterließ bei der Virensuche einen positiven Eindruck und erkannte alle Viren. Der OnDemand-Scanner arbeitete wie sein Windows-Gegenstück. Der Wächter durchsucht ebenfalls alle Dateien, lässt aber komprimierte Dateien aus. Im Gegensatz zu anderen Testkandidaten hatte der Wächter auch keine Schwierigkeiten im Belastungstest unter Netware 5.1. Die Handhabung infizierter Dateien ist mit der Windows-Version vergleichbar. Wie bei Windows 2000 werden Virenfunde nur protokolliert und der Zugriff auf die Dateien per Default nicht verhindert. Der ebenfalls unter Netware vorhandenen Alert-Manager ermöglicht ähnliche Einstellungen wie unter Windows. Nachrichten können nicht über Unicenter TNG oder per E-Mail ausgegeben werden. Hinzu kommt wiederum die Meldung über ein Faxgerät. Programm-Updates werden von einem Windows-PC aus eingespielt und starten Inoculat-It neu. Dabei vergeht leider sehr viel Zeit, da das Programm viele verschiedene Komponenten lädt. Inoculate-It für Netware hinterließ insgesamt einen zwiespältigen Eindruck. So abschreckend sich die Installation gestaltete, so gut war die Virenerkennung. Einige Standardeinstellungen müssen von
LANline Spezial Das sichere Netz III/2001
Hand optimiert werden. Insgesamt bleibt abzuwarten, was die angekündigte neue Version bringt. Die aktuelle Version kostet für 25 Clients und einen Fileserver 2400 Mark. NETWORK ASSOCIATES NETSHIELD
Zwar stammen Netshield for Windows NT/2000 und Netshield for Netware vom gleichen Hersteller, allerdings waren die beiden Verwaltungsprogramme (Netshield Console) untereinander inkompatibel: Die Managementlösung für Netware gibt es nur in Englisch und sie konnte nicht mit einem Windows-Server kommunizieren. Das Gleiche gilt für die deutsche NT/2000-Lösung: Sie wollte partout nicht mit einem Netware-Server zurecht kommen. Dem Paket lag auch eine “Management-Edition” für mittelgroße Firmen und das NAI-eigene Netzwerkverwaltungsprogramm Epolicy bei, das insbesondere für große Unternehmen interessant sein dürfte. Im Test wurde nur die kleinste Lösung berücksichtigt. Die 20 MByte große Installation des Software-Pakets ging ohne Schwierigkeiten vonstatten, lediglich ein Neustart war zum Abschluss erforderlich. Die Standardeinstellungen sehen vor, dass der On-Demand-Scanner nur nach festgelegten Dateiendungen sucht, aber auch komprimierte und archivierte Dateien scannt. Zwar ist der Suchvorgang etwas träge, aber es wurden alle ITW-Viren gefunden. Der Wächter arbeitet bei Makroviren in einem “Smart-Modus”, wobei er versucht, Dokumente unabhängig von der Erweiterung zu erkennen. Für Programmdateien existiert dieser Modus nicht. Die Option, komprimierte und archivierte Dateien zu untersuchen ist standardmäßig deaktiviert. Auch der Zugriffswächter konnte alle Viren finden. Wird ein Virus vom OnAccess-Scanner entdeckt, so kann der Zugriff auf die infizierte Datei verweigert, die Datei verschoben, gesäubert oder gelöscht werden. Wenn die Reinigung nicht klappen sollte, so wird die Datei umbenannt. Eine Unterscheidung nach Makro- und anderen Virenarten gibt es nicht, jedoch verhält sich der Wächter
www.lanline.de
SICHERHEITSPRODUKTE
sehr merkwürdig: Mit Makroviren infizierte Dateien können nicht gelöscht oder umbenannt werden, auch wenn die Software diese Einstellungen anbietet. Es
ren angelegt, die bei Bedarf manuell zurückspielbar sind. Die Konfiguration des Scanners, des Wächters und des Alert-Managers ist ein-
Die Netware-Version von Netshield zeigt alle wichtigen Server-Informationen
wird nur der Zugriff verweigert. Weiterhin stimmen die Meldungstexte nicht mit der Realität überein: So behauptete der Wächter einige Male, dass er eine Datei nicht in die Quarantäne verschieben konnte, obwohl sie dort angekommen war. Diese funktionierte jedoch sehr gut: Vorhandene Dateien mit gleichen Namen werden nicht überschrieben, sondern die Software vergibt eine zusätzliche Zahl als Erweiterung. Ohne den mitinstallierten Alert-Manager kann Netshield nur Meldungen auf dem Server ausgeben beziehungsweise den Remote-Rechner vom Netzwerk trennen. Ist das System aktiviert, so gibt es folgende Benachrichtigungsformen: Pager, Drucker, SNMP, DMI, Programm starten, E-Mail, akustische Warnung und Dialogbox. Mittels der Netshield-Console kann der Administrator zwar weder Programme über das Netz installieren noch deinstallieren, die Einspielung von Updates ist jedoch möglich. Es lässt sich sogar einstellen, dass die Updates um einen bestimmten festgelegten Zeitraum herum ausgeführt werden sollen, um die Netzwerklast zu verteilen. Ein Rollback der Virensignaturen ist nicht vorgesehen, es werden aber Kopien der alten Signatu-
34
fach, ebenso können Log-Dateien von Suchläufen angesehen werden. Die Nachrichtentexte sind frei definierbar und können durch Textbausteine erweitert werden. Die deutsche Übersetzung hinterlässt jedoch keinen guten Eindruck: Hinter dem Begriff “Jetzt erweitern” verbirgt sich etwa die Update-Verteilungsfunktion, und wenn hinter einem Virenfund “Austauschbar” steht, so heißt das, er lässt sich entfernen. Die Netshield-Lösung für Windows 2000 ist klein und effizient, bietet aber trotzdem alle wichtigen Funktionen für kleine bis mittlere Netzwerke. Die Virenerkennung ist sehr gut, der Suchvorgang jedoch etwas träge. Der Hersteller sollte sich die deutsche Übersetzung aber noch einmal durch den Kopf gehen lassen. Die Installation von Netshield for Netware 4.50 hinterlässt hingegen einen zwiespältigen Eindruck: Einerseits weist das Programm auf die benötigten AdminRechte hin, andererseits vergibt NAI ein Standardpasswort (“netshield”), das dem Administrator die Verwaltung des Virenscanners erlaubt. Standardpasswörter sind immer problematisch, da sie oft nicht geändert werden und somit jedem Benutzer, der das Standardpasswort kennt, den Zugang zum System ermögli-
LANline Spezial Das sichere Netz III/2001
chen. Insgesamt werden bei der Installation 8,2 MByte auf den Server kopiert und das NLM automatisch gestartet. Lediglich den Eintrag in die autoexec.ncf muss der Administrator von Hand vornehmen. Der On-Demand-Scanner arbeitete im Test langsam aber gründlich und erkannte alle Viren. Auch unter Netware hat die Software Probleme mit Makroviren und konnte infizierte Dateien nicht löschen oder umbenennen. In der Standardeinstellung werden Dateien mit bestimmten Erweiterungen, Archive und komprimierte Dateien durchsucht. Auch der Wächter erkannte alle Viren. Er untersucht ebenfalls nur bestimmte Erweiterungen, jedoch keine archivierten Dateien. Die Einstellung “Zugriff verweigern” bewirkt aber, dass die Datei umbenannt wird. Der Alert-Manager, der unter Windows läuft, kann den Benutzer per Netware-Nachricht, Dialogbox, über einen Ausdruck, per Pager oder SNMPTrap benachrichtigen. Der Versand einer E-Mail oder der Start eines Programms ist ebenfalls möglich. Die Netshield-Console sieht dem Windows-Pendant sehr ähnlich, ist jedoch nicht ganz so umfangreich. Die wichtigen Funktionen zur Konfiguration des Wächters oder zum Starten von Scanjobs finden sich aber auch hier. Der Versuch, ein Update aus dem Internet mit Hilfe des Verwaltungsprogramms zu ziehen, schlug kommentarlos fehl. Signaturen können aber laut Verwaltungsprogramm auch von anderen Netware-Servern geholt werden, was aber nicht getestet wurde. Auch die Netware-Lösung ist für kleine bis mittlere Netzwerke zu empfehlen, da sie einfach und ohne große Einarbeitung zu bedienen ist. Der Umgang mit infizierten Dokumenten sollte jedoch verbessert werden. Netshield kostet für 25 Clients und einen Fileserver 5780 Mark. SYMANTEC NORTON ANTI-VIRUS CORPORATE EDITION Nicht nur der Na-
me des Programms war der längste im Test, es war auch das mit Abstand größte Paket. Die Netware-Version verschlang wie die Windows-Server-Variante jeweils gut 220 MByte Plattenplatz. Die
www.lanline.de
SICHERHEITSPRODUKTE
Ein kleines Tool ermöglicht die lokale Administration von Norton Anti-Virus auf Windows-NT und -2000-Servern
Installationsdateien sind über zwei CDs verteilt, nach 27 Mausklicks war das Setup abgeschlossen. Norton Anti-Virus integriert sich in die Microsoft Management Console. Für die “schnelle Administration zwischendurch” gibt es für Windows-Server auch ein Programm zur lokalen Verwaltung. Nach dem Start des MMC-Management-Tools fragt die Software nach einem Passwort, welches während der Installation angezeigt wurde – es ist “symantec”. Das Roll-Out auf die Server und Clients erfordert eine gewisse Einarbeitungszeit, geht dann aber schnell
www.lanline.de
vonstatten. NT- und 2000-Rechner müssen neu gestartet werden, was aber nicht automatisch erfolgt. Die Administration ist für NT/2000- und Netware-Server völlig identisch, wobei man seltsamerweise auf einem 2000-System laut Symantec auch “Netware compressed files” untersuchen kann. Die Standardeinstellungen des Scanners und des Wächters unter Windows 2000 Server sind vorbildlich: Die Software prüft grundsätzlich alle Dateien und bis auf den Wächter auch Archivformate. Alle Viren im Test wurden auf Anhieb er-
kannt. Der Suchvorgang ist jedoch eher als träge zu bezeichnen. Die Möglichkeiten bei einem Virenfund sind nach drei Arten unterteilt: Boot-Viren können entfernt oder ignoriert werden. Für Makroviren und Dateiviren lässt sich jeweils getrennt einstellen, ob sie gesäubert, in Quarantäne verschoben, gelöscht oder ignoriert werden sollen. Im Gegensatz zu vielen anderen Lösungen im Test bringt der Versuch, infizierte Dateien von einem Client auf den Server zu kopieren, kein Hinweisfenster auf dem ServerBildschirm, sondern er wird am Client angezeigt – auch wenn Norton dort nicht installiert ist. Die Benachrichtigungsformen durch den mitinstallierten Alert-Manager sind umfangreich: Nachricht anzeigen, Pager, E-Mail, Programm (EXE beziehungsweise NLM) starten, Broadcast, SNMP-Trap oder Event-Log. Die Management-Console bietet alle wichtigen Funktionen, allerdings sind diese oft in den Weiten der Untermenüs versteckt. Eine Installation oder ein Update ist schnell durchgeführt, wobei auch ein Rollback von alten Virensignaturen vorgesehen ist. Eine Remote-Deinstallation ist nicht möglich. Alle Programmteile wie Wächter oder Virenscanner lassen sich zentral konfigurieren. Auf einen Blick sieht man auch den Status des angeschlossenen Systems: Ein rotes Kreuz
LANline Spezial Das sichere Netz III/2001
35
SICHERHEITSPRODUKTE
vor einem Rechner etwa bedeutet einen Virenfund, und ein gelbes Ausrufezeichen weist auf alte Signaturen hin. Die genauen Versionsinformationen und Log-Dateien der Rechner lassen sich über verschachtelte Untermenüs ermitteln. Wöchentlich erscheinende Programm- und Signatur-Updates können über Symantecs Live-Update eingespielt werden. Alternativ ist für die Signaturen auch ein Update mittels selbstentpackendem EXE-Archive möglich, welches der Administrator von der Symantec-WebSeite herunterladen kann. Die Virenschutzlösung von Symantec für Windows 2000 Server ist auf große Firmen zugeschnitten. Die Virenerkennung ist sehr gut, allerdings geht das Programm etwas träge zu Werke und belegt auch auf dem Client viel Speicherplatz. Für kleine Netzwerke ist es kaum zu empfehlen, da diese Version dazu viel zu überfrachtet wäre. Versucht man die Corporate Edition von Symantec auf einem Netware-Rechner zu installieren, so erscheint die Meldung “Zugriff verweigert”, wenn der Administrator nicht die erforderlichen Rechte besitzt. Das NLM muss er im Anschluss an eine Installation im NDS-Mode von Hand starten, worauf die SetupRoutine aber hinweist. Beim ersten Start wird auch ein Eintrag in der autoexec.ncf erzeugt. Der On-Demand-Scanner arbeitet unter Netware zuverlässig und untersuchte in der Standardeinstellung alle Dateien und Archive. Ebenso kann bei einem Virenfund zwischen Datei- und Makroviren unterschieden werden. Die weiteren Einstellungen sind mit der Windows-Version identisch. Der Virenwächter prüft per Default alle Dateien und im Gegensatz zur Windows-Version auch Archive. Er weist jedoch das bekannte Netware-5.1-Problem auf und prüft Dateien nur stark verzögert. Neue Dateien werden dabei nicht blockiert, solange sie noch nicht durchsucht worden sind. Im Test wurden alle Viren erkannt. Über Virenfunde informiert das Programm den Anwender wie unter Windows und auch die Einstellungs- und Update-Möglich-
36
keiten sind mit denen unter Windows identisch. Wenn Symantec die Verzögerungen beim Virenwächter in den Griff bekommt, kann das Programm gerade für große Netzwerke empfohlen werden. Für kleine Netze ist es zwar ebenso geeignet, man muss sich aber die Frage stellen, ob man hier nicht Kanonen auf Spatzen schießt. Für Norton Anti-Virus sind für 25-Client- und eine Server-Lizenz 2470 Mark fällig. TREND MICRO SERVERPROTECT Von
Trend Micro sind zwei Produktlinien erhältlich: Officescan dient dem Schutz von Clients, während Serverprotect hauptsächlich für den Schutz von Servern gedacht ist. Die Verwaltung der Server, egal ob unter Windows oder Netware, erfolgt über eine eigene Managementkonsole. Die komplette Installation belegt gerade einmal 31 MByte. Während der Setup-Routine wird das Passwort zum Schutz der Verwaltungsoberfläche abgefragt (keine Standardvorgabe). Dabei installiert die Software neben dem Scanner und der Konsole einen Information-Server mit, der alle anfallenden Daten des Managementmoduls, aber auch Updates für die unterschiedlichen Betriebssysteme speichert. Der erste Windows- als
LANline Spezial Das sichere Netz III/2001
auch Netware-Server muss mit Hilfe des Installationsprogramms eingerichtet werden. Alle weiteren Server können von der Administrationsoberfläche aus ohne Neustart installiert und auch wieder deinstalliert werden. Fast alle dort enthaltenen Einstellungen und Aktionen sind für beide Betriebssysteme identisch. Eine gemeinsame Administration von Officescan und Serverprotect ist über das optional erhältliche, komplett Web-basierende Trend-Virus-Control-System (TVCS) möglich. Unter Windows 2000 Server durchsucht der Scanner standardmäßig alle Dateien und prüft auch Archive und komprimierte Dateien. Genau so gründlich geht auch der On-Access-Wächter vor. Beide Komponenten fanden alle Viren. Für den Wächter und den sehr schnellen Scanner ist getrennt einstellbar, was mit Boot- (nur unter Windows), Datei- oder Makroviren passieren soll. Zur Auswahl stehen: Zugriff erlauben, Löschen, Umbenennen, Verschieben und Reinigen. Vor der Reinigung legt das Programm eine Backup-Datei an. Sollte die Desinfektion nicht gelingen, so kann der Administrator eine Ausweichmöglichkeit festlegen. Hervorzuheben sind die umfangreichen Ausschlussmöglichkeiten bei der Meldung von Alarmen. Dies kann etwa
Die Outlook-ähnliche Oberfläche von Serverprotect ist übersichtlich, der Administrator kann sich schnell über den Zustand der Server informieren
www.lanline.de
SICHERHEITSPRODUKTE
Testumgebung Der Test fand im Labor der Forschungsgruppe AV-Test.de statt, einem Projekt der Universität Magdeburg und der Gega IT-Solutions, statt. Insgesamt elf Testrechner stehen hier zur Verfügung. Als Datenquelle – unter anderem für die benutzten Viren und Ghost-Images – fungierte ein Linux-Server mit Pentium-III-800, 348 MByte RAM und 240 GByte-Software-RAID-0-System. Als Server-Betriebssystem kam Suse Linux 7.1 mit Kernel 2.4.2 und Samba 2.0.7 zum Einsatz. Auf den zwei Einzel-Server-Testsystemen liefen jeweils die deutschen Versionen von Windows 2000 Server SP1 beziehungsweise Netware 5.1 SP2a auf Pentium III-800-Rechnern mit 256 MByte RAM und 30-GByte-Festplatten. Die restlichen acht PCs waren mit den deutschen Client-Betriebssystemen Windows NT 4.0 SP6a und 2000 Professional SP1 ausgestattet. Die mit dem Netware-Server verbundenen Systeme liefen mit dem deutschen Netware-Client in der Version 4.8g. Da dieses Netzwerk aus Sicherheitsgründen nicht mit dem Internet verbunden war, wurden einzelne Tests, etwa das Herunterladen von Updates und deren Verteilung in einem zweiten Netzwerk ohne Viren-Server getestet.
bei auftretenden Fehlalarmen nützlich sein. Zusätzlich besteht die Möglichkeit, Informationen über Virenfunde nur bei so genannten Outbreaks zu senden, die nur dann erfolgen, wenn in einer bestimmten Zeit eine einstellbare Anzahl von Virenfunden überschritten wurde. Die Benachrichtigung kann sowohl über ein akustisches Signal, eine Dialogbox, einen Ausdruck, im NT-Event-Log, als auch per Pager, SNMP-Trap oder E-Mail erfolgen. Nicht nur die Updates der Virensignaturen, sondern auch Programm-Upgrades führt der Administrator über das Internet durch. Bei Problemen können die Updates per Rollback-Funktion getrennt für einzelne System und nach einzelnen Komponenten zurückgezogen werden. Jedoch hinterlässt die Oberfläche einen noch nicht ganz ausgereiften Eindruck: In unterschiedlichen Menüs werden andere Komponenten für die gleichen Funktionen verwendet. Serverprotect für Windows 2000 Server ist ein leistungsfähiges, einfach zu bedienendes und vor allem sehr schlankes Programm für den Schutz von Servern. Die Virenerkennung ist sehr gut, die Benachrichtigungsformen sind umfangreich. Daher kann es gleich gut in kleineren oder auch sehr großen Netzwerken eingesetzt werden. Ganz so einfach wie in einer reinen Windows-Umgebung ist die Installation unter Netware 5.1 hingegen nicht.
38
Das Handbuch beschreibt allerdings genau die Vorgehensweise: Zuerst den Information-Server, dann die ManagementConsole und im dritten Durchgang den eigentlichen Server. Verwirrend ist allerdings während der Installation die Fehlermeldung “The NLM\\NW510\SYS\SYSTEM\CLIB.NLM is not found ...”, die jedoch nur auftritt, wenn die notwendigen Admin-Rechte nicht vorhanden sind. Der On-Demand-Scanner gibt keinen echten Grund zur Beanstandung. Er funktioniert wie sein Gegenstück unter Windows. Lediglich das nervende Piep-Signal bei einem Virenfund ist störend. Der Virenwächter hingegen bereitete Schwierigkeiten: Das Produkt von Trend Micro übersah beim Kopieren der gesamten Viruskolonie eine ganze Reihe von Viren. Eine Debug-Datei zeigte, dass die Dateien, in denen keine Viren gefunden wurden, vom Wächter gar nicht kontrolliert wurden. Beim einzelnen Kopieren der betreffenden Dateien auf den Server wurden hingegen alle Viren gefunden. Der Hersteller konnte den Fehler bis zum Redaktionsschluss noch nicht nachvollziehen, arbeitet aber an der Klärung der Ursache. Wenn Trend Micro die Schwierigkeiten mit dem Wächter unter der deutschen Netware 5.1-Version in den Griff bekommt, kann das Produkt für große Umgebungen empfohlen werden. Sowohl die einfache Verwaltung als auch das durchdachte Up-
LANline Spezial Das sichere Netz III/2001
date-Konzept tragen dazu bei. Serverprotect schlägt für 25 Clients und einen Server mit 1300 Mark zu Buche. FAZIT Alle vier hier getesteten Lösungen
sind für große Netzwerke gerüstet, da sie ein umfangreiches Verwaltungs- und Netzwerkmanagement besitzen. Bei CA ist dies Unicenter TNG, bei NAI der Epolicy Orchestrator und bei Symantec die MMC. Trend Micro wartet mit einer eigenständigen Lösung in Form der Serverprotect-Managementkonsole auf. Alle Lösungen verfolgen unterschiedliche Ansätze und sind daher nicht direkt vergleichbar. Das Produkt von CA ist deutlich in die Jahre gekommen, arbeitet aber mit einigen Patches ohne Schwierigkeiten. Mehr Probleme bereitete die schlanke Netshield-Lösung, da sie eigenwillig und entgegen den Benutzervorgaben handelte. Symantec steuerte das speicherplatzintensivste Paket bei, und es gibt keine eigenständige Lösung für kleinere Firmen. Trend Micro kommt bei vergleichbarer Leistung mit zirka einem Zehntel des Platzbedarfs aus und ist mehr als doppelt so schnell – hatte im Test aber immense Probleme mit Netware 5.1. Der zweiten Teil dieses Tests mit den Produkten von Kaspersky, Norman, Panda und Sophos erscheint in der Ausgabe 6/2001 der LANline. Die kompletten Ergebnistabellen finden sich in einer Online-Version mit grafischer Aufbereitung und als Excel-Datei unter www. lanline.de. (Marc Schneider, Andreas Marx/gh)
Info: Computer Associates Tel.: 06151/949-0 Web: www.cai.com Network Associates Tel.: 089/3707-0 Web: www.nai.com/international/germany/ default.asp Symantec Tel.: 02102/7453-0 Web: www.symantec.de Trend Micro Tel.: 089/37479700 Web: www.trendmicro.de
www.lanline.de
SICHERHEITSPRODUKTE
VERGLEICHSTEST INTRUSION-DETECTION-SYSTEME
Alarmanlagen für Netzwerke Software zur Erkennung von Einbrüchen (Intrusion Detection Systems – IDS) und zur Einschätzung von Schwachstellen (Vulnerability Assessment – VA) in Netzwerken wird zunehmend wichtiger, da die Einsätze im Spiel um die Sicherheit immer höher werden. Denn erfolgreiche DoS-Attacken können heute Millionenschäden verursachen, wenn beispielsweise ein Online-Broker Opfer eines Angriffs wird. Grund genug für LANline, sieben Produkte dieser beiden Kategorien näher unter die Lupe zu nehmen.
nnerhalb des IDS-Markts unterscheidet man heute zwischen vier großen Produktgruppen: Vulnerability-Assessment-Scanner, Host Intrusion Detection Systeme (Host IDS), Network IDS und Network Node IDS. VulnerabilityAssessment-Scanner, auch bekannt unter dem Titel “Risk Assessment Products”, gibt es wiederum in zwei Ausprägungen. Passive oder Host-Scanner ermöglichen dem Administrator die Definition einer Security-Policy für alle Rechner in seinem Netz, wobei beispielsweise für verschiedene Betriebssysteme oder Server unterschiedliche Regelwerke festgelegt werden können. Der Scanner überprüft dann jede Maschine und erstellt einen Bericht, der aufzeigt, wo welcher Rechner von der Security-Policy abweicht und welche Schritte zur Lösung der Probleme notwendig sind. Der zweite Typ von VA-Scannern geht aktiv an Sicherheitslücken heran: Als “Hacker in a box” stellt diese Software bekannte Angriffe (Web-Server Exploits, DoS-Attacken) zur Verfügung, die der Administrator auf seine Netzwerk-Ressourcen loslassen kann. Durch aktive Angriffe auf sein eigenes Netz kann der Administrator dieselben Schwachstellen erkennen, die auch ein Hacker finden würden, und diese dann abstellen.
I
40
Host-Intrusion-Detection-Systeme hingegen nutzen in der Regel Agenten, die auf allen zu überwachenden Rechnern installiert werden müssen. Der
dächtigen Aktivitätsmustern. Fällt dem Agenten etwas Ungewöhnliches auf, löst er automatisch einen Alarm aus. Network-IDS wiederum fangen den Verkehr auf dem Netz in Echtzeit ein und untersuchen die Pakete detailliert auf Denial-of-Service-Attacken oder gefährliche Nutzlast, bevor die Pakete ihr Ziel erreichen. Dabei vergleichen diese Systeme den Inhalt der Netzpakete mit einer Datenbank bekannter Angriffssignaturen. Diese Datenbanken werden regelmäßig von den Herstellern aktualisiert, sobald neue Angriffsmuster bekannt werden. Die meisten netzwerkbasierenden IDS arbeiten heute im so genannten “Promiscous Mode”. Das heißt, sie untersuchen jedes Paket auf dem lokalen Segment, egal, ob es für den IDS-Rechner bestimmt ist oder nicht. Diese Arbeitsweise ähnelt der eines LAN-Monitors wie dem Sniffer. Da diese Systeme viel Rechenleistung für die Untersuchung jedes Pakets aufwenden müssen, setzen sie in der Regel ei-
Die Real-Time-Monitoring-Funktionen von Etrust lassen manche Rivalen blass aussehen
Agent überwacht dann Event-Logs, kritische Systemdateien und andere zu prüfende Ressourcen und sucht nach unautorisierten Änderungen oder ver-
LANline Spezial Das sichere Netz III/2001
nen dedizierten Host voraus. Zudem ist für jedes LAN-Segment ein eigener Network-IDS-Sensor notwendig, dass diese Systeme nicht hinter Switches
www.lanline.de
SICHERHEITSPRODUKTE
oder Router “blicken” können. Einige der Systeme haben zudem Probleme, mit dem Durchsatz von Fast-EthernetSegmenten Schritt zu halten (geschweige denn Gigabit Ethernet).
man dafür mehrere solcher Agenten – einen für jeden Server, der geschützt werden soll – und alle Agenten sollten an eine zentrale Managementkonsole berichten. In den meisten Umgebungen macht
Testaufbau Vulnerability Assessment Jedes VA-Produkt wurde sorgfältig getestet, wobei eine Reihe von Schlüsselfunktionen besonders berücksichtigt wurde. Für den Test installierten wir eine Reihe von ScanningHosts in mehreren Subnetzen hinter einem Router und einer offenen Firewall, um den Einsatz, die Administration und die Scan-Funktionen zu testen. Drei Test-Hosts (Windows 2000, NT-4-Server und Linux) wurden “out of the box” installiert – mit so vielen Standarddiensten wie möglich, die mit dem Betriebssystem ausgeliefert werden (Web-Server, MailServer, FTP-Server, DNS-Server etc.). Anschließend wurden die Scans von den ScanningHosts mit den Standardeinstellungen und dem “stärksten” Scan-Modus gefahren und die Scan-Zeit sowie die gefundenen Sicherheitslücken bewertet. Testaufbau Intrusion Detection Zunächst installierten wir eine Reihe von Remote-IDS-Sensoren in verschiedenen Subnetzen und hinter einer offenen Firewall, um das Deployment und Management der Produkte zu bewerten. Anschließend wurde jedes IDS einer Reihe von Tests unterzogen – sowohl auf einem leeren Netz als auch auf einem ausgelasteten Segment – um die Leistungsfähigkeit bei verschiedener Netzlast, Erkennung von Angriffen und Erkennung von Tarnmanövern zu überprüfen.
Network Node IDS (NNIDS) ist ein relativ neuer Typ eines “hybriden” IDSAgenten, der einige Schwachstellen der netzwerkbasierenden IDS beseitigen soll. Dieser Agent arbeitet wie ein NetzwerkIDS, indem er Pakete abfängt und diese mit einer Datenbank vergleicht. Jedoch beschäftigt sich dieser “Mikro-Agent” nur mit Paketen, die an die Node gerichtet sind, auf der er residiert – entsprechend die Bezeichnung Network Node IDS (NNIDS). Da NNIDS nicht mehr jedes einzelne Paket auf dem Netz untersuchen müssen, können sie viel schneller arbeiten und verbrauchen weniger Ressourcen. Dies ermöglicht wiederum die Installation des Agenten auf bestehenden Servern, ohne diesen zuviel zusätzliche Last zuzumuten. Weiterhin eignen sich diese Systeme besonders für stark ausgelastete Segmente, geswitchte Umgebungen oder VPN-Implementationen, bei denen die Daten auf dem Netz verschlüsselt werden – also für alle Bereiche, in denen traditionelle netzbasierende IDS ihre Probleme haben. Andererseits benötigt
42
daher eine Kombination aus mehreren Systemen Sinn: NNIDS auf einzelnen Servern in geswitchten Server-Farmen und traditionelle NIDS auf weniger stark benutzten Segmenten, auf denen ein einziges IDS mehrere Hosts gleichzeitig schützen kann. CA ETRUST INTRUSION DETECTION 1.4.5 Ursprünglich bekannt unter dem
Namen “Sessionwall” bekam Etrust Intrusion Detection einen neuen Namen – und einen neuen Look – verpasst, nachdem sich Computer Associates den ursprünglichen Hersteller Abirnet einverleibt hatte. Neben der reinen Intrusion Detection verfügt das Produkt über Funktionen zur Überwachung, Entdeckung und Sperrung unpassender URLs sowie Reaktionen auf Sicherheitslücken in Echtzeit. Etrust arbeitet zu diesem Zweck mit Regeln für Web-Access, Monitoring/ Blocking/Alarmierung, Intrusion Detection sowie für die Erkennung von Angriffen, bösartigen Applets und verseuchter E-Mail. Die Regeln – in Order gruppiert –
LANline Spezial Das sichere Netz III/2001
wendet Etrust Intrusion Detection an, wenn es den Netzverkehr überwacht. Die Regeln beinhalten dabei Muster, Protokolle, Adressen, Domains, URLs, Inhalt etc. sowie Aktionen, die beim Eintreffen einer Übereinstimmung zwischen Datenpaket und Regel in Kraft treten sollen. Die Enterprise-Version ist zudem in der Lage, mehrere verteilte Etrust-Engines zu überwachen und zu verwalten und die dabei gewonnenen Informationen in einer zentralen relationalen Datenbank zu konsolidieren. Nach der Installation beginnt Etrust Intrusion Detection sofort mit der Überwachung von Einbruchsversuchen und verdächtiger Netzwerkaktivität. Dabei werden alle E-Mail-, Web-, Telnet- und FTPAktivitäten entsprechend der Default-Security-Policy protokolliert. Neue Regeln kann der Administrator einfach hinzufügen und bestehende Regeln über menügesteuerte Optionen anpassen. Alle Netzaktivitäten, die nicht mit einer bestimmten Regel in Zusammenhang gebracht werden können, werden für statistische Zwecke und zur Echtzeitanalyse identifiziert, was oft Hinweise für zusätzlich benötigte Regeln gibt. Wenn die verschiedenen Regelwerke editiert werden sollen, werden sich Administratoren der Firewall-1 gleich zu Hause fühlen. Denn die Regelverwaltung von Etrust ist der der Firewall-1 nicht nur ähnlich – sie ist identisch. Denn CA hat ein Entwicklungsabkommen mit Checkpoint, das den Zugriff auf den ursprünglichen Firewall-1-Code zur Regelverwaltung erlaubt. Durch zahlreiche verschiedene Fenster und Ansichten auf dieselben Daten bietet Etrust eines des besten Real-Time-Monitoring-Systeme im Test. Auch wenn Berichte offensichtlich nützlich für eine detaillierte Analyse sind, ist ein gutes Echtzeit-Reporting unabdingbar, wenn man tatsächlich angegriffen wird. Nur wenige IDS bieten dieses Feature überhaupt und keines so umfassend wie Etrust. Dabei ist es gut, dass das Monitoring so exzellent ausfällt, denn die Berichte sind einem solchen System kaum angemessen. Es gibt zwar zahlreiche vordefinierte Reports, aber diese verraten die Geschichte des
www.lanline.de
SICHERHEITSPRODUKTE
Produkts insofern, da der Großteil dieser Berichte sich auf allgemeines Netzwerkund Session-Monitoring sowie das URLBlocking beschränkt. Als reines IDS-Produkt fehlen CA Etrust Intrusion Detection einige der fortgeschritteneren Funktionen und Raffinessen der “reinrassigen” Rivalen. Wo das Produkt hingegen besticht, ist das Benutzer-Interface sowie die Echtzeit-Monitoring- und Reporting-Funktionen, die viele Konkurrenten blass aussehen lassen. Die Darstellung der Alarme und Angriffe auf der Konsole sind klar und gut gegliedert, und ein einziger Mausklick führt zu detaillierten Beschreibungen. Viele Unternehmen werden daher Etrust IDS aufgrund der leistungsstarken Content-Analyse- und Blocking-Fähigkeiten kaufen – und die IDS-Funktionaliät als “Bonus” mitnehmen. Wer kein HighEnd-IDS benötigt, ist daher mit Etrust gut bedient.
Etrust Intrusion Detection 1.4.5 + exzellente Überwachung und Alarmierung in Echtzeit, + nicht nur IDS, sondern auch ContentScanning und URL-Blocking, + entdeckte 100 Prozent der Angriffe unter hoher Last, – sehr beschränkte IDS-Berichtsfunktion.
CISCO SECURE IDS-4230 2.5 Ciscos Secure IDS (früher bekannt unter dem Namen Netranger) ist ein netzwerkbasierendes IDS und wird als dedizierte NetzwerkAppliance ausgeliefert. Drei verschiedene Varianten hat Cisco im Angebot: Den Cisco-Secure-IDS-4210-Sensor (bis zu 45 MBit/s), den Cisco-Secure-IDS-4230Sensor (bis zu 100 MBit/s – das Testgerät) sowie das Catalyst-6000-IDS-Modul für den Catalyst-Switch. Verwaltet werden will die Appliance über einen dediziertes Out-of-Band-Management-Port. Der zweite LAN-Port kommt ausschließlich für das Packet-Sniffing im zu überwachenden Netz zum Einsatz. Mehrere Sensoren können im Netzwerk verteilt und von einer
www.lanline.de
zentralen Konsole aus verwaltet werden. Für die zentrale und entfernte Verwaltung und Überwachung bietet Cisco einige Managementoptionen wie den Windows-basierenden Cisco-Secure-Policy-Manager (CSPM) an, der die konsolidierte Verwaltung von Firewalls, Site-to-Site-VPNs und Intrusion-Detection-Systemen ermöglicht. Der Unix-basierende Cisco-Secure-IDSDirector ermöglicht die Integration des IDS in ein HP-Openview-Netzwerkmanagementsystem. Die Definition von neuen Sicherheitsregeln im CSPM ist sehr geradlinig. Das Interface ist aufgeräumt, intuitiv und sehr einfach zu bedienen – ein Blick in die Dokumentation wird nur selten nötig sein. Für jeden Sensor kann der Administrator festlegen, welche IDS-Regel gerade genutzt wird, wie Adressen blockiert werden, ob Log-Dateien generiert werden und welche Angriffssignaturen gefiltert und ignoriert werden sollen. Dies ermöglicht beispielsweise einen Port-Scan von internen Rechnern aus, ohne einen Alarm im IDS auszulösen. Um eine neue Regel anzuwenden, genügt ein Klick auf den “Save & Update”-Knopf. Anschließend werden die Regeln automatisch an alle Sensoren verteilt, die die entsprechende Policy nutzen. Sobald eine Policy aktiviert wurde, schickt der Sensor Alarmmeldungen bei Einbruchsversuchen an die CSPM-Konsole, die ihm als Manager zugewiesen wurde. Die Realtime-AlertKonsole des CSPM gibt alle Alarmmeldungen aller verwalteten Sensoren umgehend aus. Wie dem Vorgänger fehlen auch der aktuellen Version des Cisco Secure IDS sämtliche Funktionen für Berichte und Datenanalyse. Das Produkt besitzt zwar ein exzellentes Echtzeit-Monitoring an der Konsole und einen einfachen Logfile-Betrachter (es gibt eine Log-Aktion, die mit individuellen Signaturen verknüpft werden kann), aber sonst nichts. Einfache Berichtsfunktionen werden laut Hersteller zukünftig in den CSPM integriert – wie es in der Vergangenheit bei der PixFirewall der Fall war – aber Cisco will sich bei den richtig großen Berichten
LANline Spezial Das sichere Netz III/2001
43
SICHERHEITSPRODUKTE
weiterhin auf Partner wie beispielsweise Netforensics verlassen. Ciscos Secure IDS ist eines der am einfachsten zu implementierenden Systeme, dank des All-in-one-ApplianceAnsatzes. Zudem hat Cisco einen der größten Negativfaktoren der Vorversion ausgemerzt: Die Abhängigkeit von HP Openview zur Konfiguration und Alarmierung. Obwohl das HPOV-Plugin weiterhin verfügbar ist, bietet der
ISS REALSECURE 5.0 ISS war einer der
ersten Hersteller von kommerziellen Netzwerk-Intrusion-Detection-Systemen und das Produkt Realsecure wird immer noch oft als Standard angesehen, an dem sich andere NIDS-Produkte messen müssen. Realsecure 5.0 besteht aus dem Workgroup-Manager, einer Konsole, einem Netzwerksensor (Promiscuous-Mode Network IDS) sowie einem Betriebssystemsensor (Host-ba-
Ciscos Secure IDS lässt sich nun auch mit dem Secure-Policy-Manager administrieren
Cisco-Secure-Policy-Manager eine für viele Anwender weitaus vertrautere Windows-Management- und AlertingUmgebung mit einer sehr professionellen und intuitiven Oberfläche. Die Installation und Konfiguration des CiscoSecure-IDS-Sensors ist sehr geradlinig. Allerdings verzichtet Cisco weiterhin auf Alarmierungsmöglichkeiten (außer an die CSPM-Konsole) sowie auf Berichts- und Analysefunktionen. Cisco Secure IDS-4230 2.5 + “All-in-one”-Appliance, + erkannte 100 Prozent der Attacken bei hoher Last, – kein eingebautes Reporting.
44
sed IDS-Sensor). Die neueste Version enthält zudem einen Server-Sensor, der unserer Definition eines NetworkNode-IDS-Sensors aus der Einleitung entspricht. Dieser Test behandelt jedoch nur den Workgroup-Manager sowie die Network-Sensor-Komponenten. Ein einziger Sensor kann an mehrere Konsolen gleichzeitig berichten, wobei jedoch nur eine Konsole den “Master Status” erhält, der Änderungen an der Konfiguration von Sensoren erlaubt. Natürlich kann eine Konsole auch mehrere Sensoren überwachen. Acht standardmäßige – und nicht editierbare – Policies werden mit dem System mitgeliefert, und die meisten Administratoren werden versucht sein, eines der mit
LANline Spezial Das sichere Netz III/2001
“Maximum Coverage” betitelten Regelwerke für größtmögliche Sicherheit zu nutzen. Allerdings ist dies auf Segmenten mit viel Netzverkehr keine gute Idee, da Realsecure ein großer Ressourcen-Verschwender ist und den Verkehr auf einem 100-MBit/s-Segment nicht überwachen kann, wenn alle Angriffsmuster abgeprüft werden sollen. Daher kommt der Administrator nicht umhin, einige Gedanken an die Definition realistischer Regeln zu verschwenden, die nur eine Untergruppe aller verfügbaren Angriffssignaturen prüfen. Die Erstellung von Regeln ist einer der Bereiche, in denen Realsecure viele Rivalen übertrifft. Ein Klick auf eine existierende Regel, ein weiterer Klick auf “Derive New Policy”, und schon hat der Administrator eine neue Regel auf Basis einer vorhandenen erstellt, die er nur noch mit einem Namen versehen muss. Policies können dabei aus bekannten “Security Events” bestehen, die von ISS mittels Angriffssignaturen zur Verfügung gestellt werden, aus “Connection Events” (Suche nach spezifischen Verbindungen über HTTP, FTP etc.), aus benutzerdefinierten Events (über Regular Expression String Matching) und aus Filtern (um Falschmeldungen auszuschließen). Für jeden Event gibt es wiederum ein Zahl von Reaktionsmöglichkeiten wie Konsole verständigen, Eintrag in Log-Datei, Rohdaten abspeichern, E-Mail versenden, Verbindung beenden, Session ansehen, Firewall sperren oder SNMPTrap auslösen. Nach der Definition von Regeln an der Konsole werden diese auf die entsprechenden Scan-Engines verteilt. Hier wäre es schön, wenn Realsecure den Administrator darüber informieren könnte, welche Sensoren von der Änderung betroffen sind und anbieten würde, die Änderungen dort automatisch anzuwenden. Alerts kann der Administrator auf der Konsole in Echtzeit empfangen sowie auf der Festplatte speichern. Nachdem Sensor-Logs mit der Konsole synchronisiert wurden, hat der Administrator zudem die Möglichkeit, eine Vielzahl
www.lanline.de
SICHERHEITSPRODUKTE
von grafischen und textbasierten Berichten zu generieren, die alle Aktivitäten auf dem überwachten Netz zusam-
großen Zahl von Reaktionsmöglichkeiten sowie einer exzellenten Echtzeitkonsole und einer umfassenden Signa-
Eine Realsecure-Konsole kann mehrere Sensoren überwachen
menfassen. Die Berichte lassen sich auf dem Bildschirm betrachten, ausdrucken sowie in viele Formate wie beispielsweise Lotus 123, Excel oder Word exportieren. Wie anfangs erwähnt, wird Realsecure oft als Standard gesehen, an dem sich andere Produkte messen müssen. In einigen Punkten wird das IDS diesem hohen Anspruch jedoch nicht gerecht. So hatte die aktuelle Version Schwierigkeiten, die Erkennungsrate bei hoher Netzwerklast aufrechtzuerhalten (obwohl der Hersteller hier Abhilfe versprochen hat), was den Administrator dazu zwingt, sorgfältig zu überlegen, welche Signaturen von welchen Sensoren auf stark frequentierten Segmenten überwacht werden müssen. Dies ermöglicht zumindest die modulare Architektur von Realsecure. Zudem ist die Erstellung von Regeln sehr benutzerfreundlich und flexibel, was Realsecure zu einem der einfachsten IDS macht, was die Verwaltung betrifft. Mit klaren und unzweideutigen Alarmen, einer
www.lanline.de
turdatenbank ist Realsecure auf alle Fälle eine Überlegung wert – wenn es in der richtigen Umgebung eingesetzt wird.
ISS Realsecure 5.0 + exzellente Regeldefinition, + exzellentes Monitoring und Reporting in Echtzeit, – schlechte Leistung unter Last, – keine Drill-down-Möglichkeit in Berichten mit Hyperlinks.
NETWORK ICE BLACK-ICE SENTRY 2.1 Icepac nennt sich eine Produkt-Sui-
te der Network Ice Corporation, die eine Mischung aus Network IDS und Network Node IDS sowie zentralisierte Berichte, Management und Installation bietet. In größeren Unternehmen kann zudem das Produkt Installpac verwendet werden, das Agenten-Software über das Netz auf Zielrechnern verteilt und
LANline Spezial Das sichere Netz III/2001
45
SICHERHEITSPRODUKTE
individuelle manuelle Installationen überflüssig macht. Die Standardinstallation benötigt keinerlei Konfiguration, bevor das Produkt läuft: Black-Ice-Sentry untersucht einfach jedes Paket auf dem Netz und vergleicht es mit allen
über eine Zeitachse darstellt. Im Gegensatz zu den meisten IDS beinhaltet Black-Ice auch eine Firewall. Diese kann als Personal Firewall (mit dem Black-Ice-Agent) oder als NetzwerkFirewall arbeiten, wenn auf dem Host
Die grafische Benutzeroberfläche von Black-Ice gibt über “Reiterkarten” detailliert Auskunft über erfolgte Angriffe und erkannte Eindringlinge
Signaturen in der Datenbank. Obwohl die Konfiguration über das grafische Interface nur wenig Möglichkeiten bietet, gibt es einige wichtige textbasierende Konfigurationsdateien, die manuell verändert werden können (solange man weiß, was man tut), um die Funktionsweise von Black-Ice zu optimieren. Während es nicht möglich ist, neue Angriffssignaturen zu definieren (BlackIce nutzt ein “full protocol decode” statt einem einfachen Mustervergleich), kann der Administrator dennoch die Verhaltensweise der Prokolldekodierung beeinflussen, in dem er neue Regeln definiert, die festlegen, welche Objekte oder Ressourcen die Engine überwachen soll. Die Standardinstallation schließt eine einfache grafische Benutzeroberfläche auf dem Host-Recher ein, die über “Reiterkarten” detaillierte Informationen über erfolgte Angriffe und erkannte Eindringlinge bietet und eine grafische Historie von Attacken, verdächtiger Netzaktivität und Netzwerkverkehr
46
zwei Netzwerkkarten installiert sind. Ist das “Packet-Logging” aktiviert, schreibt der Black-Ice-Agent den gesamten Netzverkehr in Log-Dateien mit. Dabei speichert die Software in der Tat den gesamten Netzverkehr und nicht nur Einbrüche, was unter Umständen schnell zu sehr großen Protokolldateien führt. Die Packet-Logs werden dabei als Trace-Dateien im Sniffer-Stil codiert und setzen eine entsprechende Software zur Decodierung und Anzeige voraus, die nicht im Lieferumfang enthalten ist. Die Icecap-Management-Console ist ein flexibles Web-basierendes Verwaltungs-Tool, das Einbruchsdaten von allen Black-Ice-Agenten im Netz sammelt, speichert und analysiert. Obwohl jeder Black-Ice-Agent direkt über das eigene GUI verwaltet werden kann, profitieren gerade größere Netze von Icecap als zentralisiertes Managementund Reporting-Tool, was dem Administrator die Mittel zur netzwerkweiten Sicherheitskontrolle zur Verfügung stellt.
LANline Spezial Das sichere Netz III/2001
Ohne Icecap bieten die Agent- und Sentry-Module nur rudimentäre Berichtund Alarmfunktionen auf dem eigenen GUI. Historische Daten können ohne Icecap ebenfalls nicht erfasst werden, eine Trendanalyse ist ohne das ManagementTool auch nicht möglich. Berichte gibt es zahlreiche, die sich in die Kategorien “interaktiv” und “periodisch” unterteilen. Interaktive Berichte arbeiten mit Echtzeitdaten, während periodische Berichte mit regelmäßig erstellten Snapshots arbeiten. Zusammengefasst ist Icepac ein sehr beeindruckendes IDS, das ein leistungsstarkes Network IDS mit NetworkNode-Komponenten, einer Firewall und Remote-Management-Fähigkeiten kombiniert. Die wichtigste Aufgabe eines jeden IDS ist dessen Fähigkeit, Pakete einzufangen, Angriffe akkurat zu erkennen und diese dem Administrator zu berichten – selbst bei hoher Netzwerklast. Diese Aufgabe verrichtet Icepac sehr gut, dank der Protokollanalysebasierten Architektur und hochoptimierten Netzwerktreibern.
Network Ice Black-Ice Sentry 2.1 + Architektur auf Basis von Protokolldekodierung ermöglicht Flexibilität und Performance, + erkennt 100 Prozent der Angriffe unter Last, + sehr geringe CPU-Belastung, – Icepac-Konsole braucht noch etwas Feinschliff – teilweise verwirrend, – Anpassung von Regeln umständlich – kein Viewer für Log-Dateien.
SYMANTEC-ENTERPRISE-SECURITYMANAGER 5.1 Der Symantec- (ehe-
mals Axent) Enterprise-Security-Manager (ESM)-kombiniert-Vulnerability Assessment und Security Policy Enforcement in einem Produkt. Dessen Hauptaufgabe besteht im Scannen von Rechnern im Unternehmensnetz – das Produkt unterstützt unter anderem die Zielplattformen Windows NT, verschiedene Unix-Varianten, Netware und Open VMS – und dem Aufzeigen
www.lanline.de
SICHERHEITSPRODUKTE
von potenziellen Sicherheitslöchern. Zudem soll die Software den Administrator dabei unterstützen, alle seine Systeme mit der unternehmensweiten Security-Policy in Einklang zu bringen.
nutzerinformation erstellen und speichern. Ein ESM-Agent auf einem Netware-Server kann zudem optional Sicherheitsprüfungen auf dem gesamten NDS-Baum oder eines Teils davon
Über die ESM-Enterprise-Konsole greift der Administrator auf die Datenbank mit den Scan-Ergebnissen zu
Wie die meisten anderen Axent-Produkte basiert der ESM auf einer TreeTiered-Architektur, was das Produkt sehr flexibel und skalierbar macht. Der ESM-Agent ist das Arbeitspferd des ESM-Systems, das alle Daten sammelt und interpretiert, die die Sicherheit eines Systems betreffen. Dieser Vorgang erfolgt periodisch unter der Kontrolle des ESM-Managers. Sicherheitsmodule analysieren die Konfiguration einer Arbeitsstation, eines Servers oder einer Node, auf der ein Agent installiert ist oder auf dem System, für das der Agent als Proxy fungiert und leiten die Daten an den Manager weiter, der eine Anfrage initiiert hat. Der Manager wiederum speichert die Daten in einer lokalen Datenbank, auf die über die Enterprise-Konsole zugegriffen werden kann. Neben der Informationssammlung kann der Agent Snapshot-Dateien von System- und Be-
www.lanline.de
durchführen. Jeder Agent besteht dabei wiederum aus einer Zahl von ESM-Modulen, die als ausführbare Programme die eigentliche Überprüfung auf Workstations oder Servern durchführen. Der Administrator kann Module anpassen, indem er bestimmte Sicherheitsprüfungen aktiviert oder abschaltet, den Namen der Prüfung ändert oder zugehörige Schablonen anpasst. Eine Security-Policy besteht aus einer Gruppe von Sicherheitsmodulen, wobei jedes Modul einen anderen Aspekt von Systemoder Netzwerksicherheit adressiert. Diese Policies können wiederum ESM-Domänen zugeordnet werden, die aus Gruppen von Agenten bestehen. Standardmäßig erstellt ESM einige Domänen auf Basis der HostBetriebssysteme. Jedoch kann der Administrator diese beliebig anpassen, um beispielsweise eine Gruppe von Rechnern einem Standort (Deutschland,
LANline Spezial Das sichere Netz III/2001
47
SICHERHEITSPRODUKTE
USA), einer Abteilung (Buchhaltung, Vertrieb) oder einer Funktion (WebServer, Mail-Server) zuzuordnen. Jeder ESM-Manager kontrolliert eine bestimmte Zahl von Agenten. Dabei speichert der Manager Policy-Daten und reicht diese bei Bedarf an einen oder mehrere ESM-Agenten sowie die ESM-Konsole weiter. Die EnterpriseKonsole ist die wichtigste Schnittstelle zwischen ESM und dem Administrator. Die Konsole empfängt Informationen für den Netzverwalter und schickt Befehle an andere ESM-Komponenten. Wenn die Aufträge ausgeführt sind, formatiert die ESM-Konsole die Ergebnisse als Tabelle, Kuchen- oder Balkendiagramm. Einige wenige Berichte sind im ESM bereits enthalten, die als Standard-HTML-Dateien ausgegeben werden. Der Enterprise-Security-Manager geht weiter als die meisten VA- und Auditing-Tools und bietet dem Administrator eine komplette Umgebung zur Definition, Überprüfung und Sicherstellung der Konformität einer SecurityPolicy. Die Erstellung von Policies ist ein Kinderspiel, deren Anwendung und die Ausführung von Sicherheitsüberprüfungen ist ebenso einfach – ob für eine einzelne Überprüfung eines Rechners oder einer Reihe von Tests über das gesamte Netzwerk. Policies können zwar unglaublich komplex werden und eine sehr granulare Kontrolle der Sicherheit ermöglichen, die exzellente Dokumentation gibt jedoch über jedes einzelne Modul und jeden Test detailliert Auskunft. Die Unterstützung verschiedener Plattformen ist zudem sehr umfangreich.
Symantec-Enterprise-SecurityManager 5.1 + hervorragende Benutzeroberfläche, + flexible und leistungsstarke zentralisierte Verwaltung und Durchsetzung der Policies, + große Plattformunterstützung, – keine Möglichkeit, Berichte zu drucken.
48
NAI-CYBERCOP-SCANNER 5.5 Network Associates hat das Vulnerability-Assessment-Tool Cybercop-Scanner ins Rennen geschickt, das mit einigen besonderen Features wie beispielsweise einem feindlichen DNS-Server, der Custom
nial of Service, Informationsgewinnung, Web, FTP etc. Insgesamt sind aktuell mehr als 700 Module in der aktuellen Vulnerability-Datenbank. Weitere Tests können automatisch über das Modul-Update hinzugeladen werden.
NAIs Cybercop informiert den Administrator detailliert über potenzielle Sicherheitslücken
Audit Scripting Language (CASL) sowie umfangreichen IDS-Evasion-Testing-Fähigkeiten aufwartet. Die Benutzerschnittstelle hat sich seit der letzten Version etwas verändert, obwohl sie die leichte Benutzbarkeit der Vorversion umfasst und in einigen Punkten sogar verbessert. Mit drei Konfigurationsteilen muss sich der Administrator vor dem Start einer Sicherheitsprüfung auseinandersetzen: Scan-Einstellungen, Moduleinstellungen und Anwendungsparameter. Ein Wizard unterstützt ihn bei den wichtigsten Einstellungen, alternativ ist eine manuelle Konfiguration möglich. Die Moduleinstellungen ermöglichen die Auswahl der Angriffssignaturen, die während des Scans zum Einsatz kommen sollen. Die Module bestehen aus Programmcode, der entweder das Zielsystem nach Sicherheitslücken untersucht oder versucht, Schwachstellen des Ziels auszunutzen. Module werden dabei entsprechend ihrer Funktion gruppiert: De-
LANline Spezial Das sichere Netz III/2001
Während eines Scans zeigt das Programm dessen Fortschritt in einem Fenster an. Gleichzeitig stellt der Scanner gefundene Schwachstellen in einem Ergebnisfenster dar, falls dies aktiviert wurde. Ist ein Scan abgeschlossen, kann der Benutzer direkt auf die Ergebnisse zugreifen. Bestimmte Module sind dabei als “Fix-It”-Module definiert, die bei der Überprüfung der Registry von Windows-Systemen zum Einsatz kommen. Die Module können bei einem fehlerhaften und die Sicherheit gefährdenden Registry-Eintrag diesen automatisch korrigieren. Zwei weitere Programme liefert der Hersteller neben dem Scanner mit: Crack und SMBGrind. Diese versuchen über “Brute Force Password Guessing” Benutzerkonten auf dem Zielsystem zu erraten, die dann für Angriffe genutzt werden können. Die restlichen Funktionen des Cybercop-Scanners sind einzigartig auf dem VA-Markt. So erlaubt der “Hostile
www.lanline.de
SICHERHEITSPRODUKTE
DNS-Server” die Überprüfung von DNS-Servern auf “Cache Corruption”Attacken. Ein weiterer Satz von Tests überprüft die korrekte Funktionsweise von Intrusion-Detection-Software. Zu guter Letzt erlaubt die Custom Audit Scripting Language die Definition eigener TCP/IP-Pakete und Attacken. Die verschiedenen Berichte sind ausführlich, leicht lesbar und können direkt aus dem Viewer ausgedruckt oder exportiert werden. Die neueste Version des CybercopScanners zeigt einige kleine aber feine Verbesserungen zur Vorversion. Das GUI ist wie immer sauber und leicht benutzbar, und die Berichte sind ausführlich und leicht lesbar. Cybercop-Scanner bietet eine Schnittstelle zur Definition von Policies, die Benutzerfreundlichkeit mit Flexibilität vereint. Die Scans sind schnell und akkurat. Dies und die Vielzahl zusätzlicher Tools, die weit über einfache Problemerkennung hinausgehen, machen den CybercopScanner zu einem der besten VA-Scanner auf dem Markt.
chitektur. Zunächst wird die Probe auf der LAN-Seite oder in der DMZ installiert und arbeitet dort als Client für die Konsole. Wenn sich die Probe mit der Konsole – die außerhalb der Firewall sitzt – über den Port 9999 verbunden hat, kann die Konsole die Probe beauftragen, das gesamte interne Netz zu scannen und eine Karte der verfügbaren Hosts und Dienste zu erstellen. Die Konsole kann dann die Prüfungen auf Sicherheitslücken in Betriebssystemen und Servern durchführen. Die Probe ist ebenfalls wichtig für die automatische Erkennung der Filterregeln der Firewall. Die gesamte Konfiguration und Verwaltung erfolgt über die E-Secure-Konsole, die ein nützliches und intuitives Interface hat, das allerdings bei Aktivierung aller Fenster etwas unübersichtlich werden kann. Nach dem ersten Aufruf der Konsole kann der Adminis-
Firewall-Modul sowie eine “New Session”, die als Vorlage für neue Sessions dient. Die Ergebnisse bereits durchgeführter Scans können zur späteren Analyse geladen werden. Das Policy-Fenster erlaubt eine kleine Auswahl von vordefinierten Regeln, die es zu überprüfen gilt: Safe (alle Tests außer Crash und DoS), Quick and Safe (alle HighVulnerability-Tests außer Crash und DoS) und Full (alle Tests). Jede Policy besteht dabei aus einem Satz von Testfällen (Vulnerabilities), die entsprechend ihren Kategorien sortiert sind. Die Definition von eigenen Policies ist möglich. Während eines Scan-Vorgangs informiert die Software den Administrator in Echtzeit über ein Statusfenster, das aus Grafiken und Charts besteht und den Status sowie die Zahl der gefundenen Lücken detailliert anzeigt. Nach einem Scan speichert E-Secure automatisch
NAI-Cybercop-Scanner 5.5 + + + + + –
leicht zu benutzen, exzellente Berichte, CASL-Skriptsprache, Hostile-DNS-Server, kann IDS-Systeme testen, nichts.
NETWORKS VIGILANCE NV E-SECURE V2.1 Network Vigilance E-Secure ist
ein Vulnerability-Scanner mit einem Unterschied zu den anderen Lösungen: Neben den üblichen Host-ScanningFunktionen über verteilte Scan-Engines ermöglicht das Produkt den Test von Netzwerken auf beiden Seiten einer Firewall sowie einen Test der Filterregeln der Firewall selbst. Während die meisten VA-Produkte “Single Point Devices” sind, die einzelne oder mehrere IP-Hosts scannen, besteht NV E-Secure aus einer verteilten Konsole-Agent-Ar-
50
Die Oberfläche von NV E-Secure orientiert sich am Outlook-Design und ist intuitiv zu bedienen
trator zwischen vordefinierten oder benutzerdefinierten Sessions wählen. Dabei gibt es nur drei vordefinierte Sessions: Zwei generische “Safe Scans” über entweder das Netzwerk- oder das
LANline Spezial Das sichere Netz III/2001
alle Ergebnisse in der darunter liegenden SQL-Datenbank für spätere Berichte. Alle Reports werden im HTML-Format generiert, im Standard-Web-Browser angezeigt und automatisch abge-
www.lanline.de
SICHERHEITSPRODUKTE
speichert. Der einzige Weg, die Berichte zu drucken, führt über den WebBrowser, was nicht unbedingt die eleganteste Möglichkeit ist. E-Secure ist eine gut konstruierte Software mit einer intuitiven Benutzeroberfläche und einer großen Zahl von Vulnerabiltiy-Signaturen, die durch regelmäßige Updates über das Web aktualisiert werden können. Der größte Vorteil von E-Secure ist jedoch seine verteilte Architektur, die die Überprüfung von Netzwerken von einer zentralen Konsole über zahlreiche Scan-Engines ermöglicht. Zusätzlich bietet die Firewall-Probe die Möglichkeit, Netze von innen zu scannen sowie einige TestSzenarien, in denen die Probe Pakete zur Konsole durchreicht – und umgekehrt – um die Effektivität der Filterregeln zu prüfen.
Networks Vigilance NV E-Secure 2.1 + + + + –
leicht zu bedienen, hervorragende Berichtsfunktion, verteilte Scan-Architektur, Prüfung der Firewall-Filter, Definition von Policies ist nicht immer intuitiv.
FAZIT Für einen abschließenden Ver-
gleich macht es Sinn, die getesteten Produkte in zwei Gruppen zu unterteilen: Netzwerk IDS und Vulnerability Assessment. Auf der VA-Seite stellten wir fest, dass es einige Unterschiede in puncto Reichweite, Genauigkeit und Inhalt der Berichte zwischen allen Produkten im Test gab. Daher empfiehlt es sich, jedes der Produkte vor einem Kauf in der individuellen Umgebung zu evaluieren, um zu sehen, ob die Ergebnisse der einzelnen Scanner den eigenen Ansprüchen genügen. Der Cybercop-Scanner und NV E-Secure produzierten die nützlichsten und zugänglichsten Ergebnisse und hatten zudem Funktionen an Bord, die anderen Produkten fehlen. ESecure wartete zudem mit einer echten
52
Unterstützte Plattformen Hersteller
Produkt
Plattform
Computer Associates
E-Trust Intrusion Detection
Windows 98, NT
Cisco
Secure IDS-4230
Appliance
ISS
Realsecure
Network- & Server-Sensor: Windows NT, Solaris OS-Sensor: AIX, HP-UX
Network Ice
Black-Ice
Icecap Manager: Windows NT/2000 Server Black-Ice Agent: Windows 95, 98, ME, NT 4.0, 2000 Black-Ice Sentry: Windows NT 4.0, 2000 Professional Black-Ice Guard: Windows NT 4.0
Symantec
Enterprise Security Manager
35 Betriebssysteme (u.a. Windows NT/2000, Netware, Unix, Open-VMS)
Network Associates
Cybercop Scanner
Windows NT/2000
Network Vigilance
NV E-Secure
Windows NT/2000
Multi-Tiered-Architektur auf, bei der die Scanning-Engines in verschiedenen Subnetzen und hinter einer Firewall zum Einsatz kommen können. Beide Produkte sind aus Sicht des Autors sehr zu empfehlen. Symantecs ESM zeichnete sich besonders durch das plattformübergreifende Policy-Auditing aus und würde daher einen anderen VAScanner ideal ergänzen. Bei den Intrusion-Detection-Systemen konnte Realsecure einfach nicht unter hoher Netzwerklast mithalten. Ciscos Secure IDS, CAs E-Trust und Black-Ice-Sentry hingegen boten gute Leistung und warteten jeweils mit besonderen Funktionen auf, die die Entscheidung zu Gunsten des einen oder anderen Systems fallen lassen können. Zu guter Letzt sind wir der Meinung, dass die Produkte von Cisco und CA ein “sehr empfehlenswert” verdienen, während Network-Ice das Produkt der Wahl des Autors ist. (Bob Walder/Georg von der Howen) Dieser Test wurde von der NSS Group durchgeführt. Eine detaillierte rund 200 Seiten starke Analyse der Testergeb-
LANline Spezial Das sichere Netz III/2001
nisse ist in Englischer Sprache unter http://www.nss.co.uk/ids verfügbar.
Info: Computer Associates Tel.: 06151/949-0 Web: www.cai.com Info: Cisco Tel.: 01803/671001 Web: www.cisco.com Info: Internet Security Systems Tel.: 0711/781908-0 Web: www.iss.net Info: Network ICE Corporation Tel.: 0044/1753/705140 Web: www.networkice.com Info: Symantec Tel.: 02102/7453-0 Web: www.symantec.de Info: PGP Security, A Network Associates Business Tel.: 089/3707-0 Web: www.pgp.com/international/germany Info: Networks Vigilance Tel.: 0033/1/56334000 Web: www.networksvigilance.com
www.lanline.de
SICHERHEITSTECHNOLOGIE
LOGIN PER DAUMENDRUCK?
Nutzen und Problematik biometrischer Verfahren Passwörter und PINs haben unbestritten gravierende Sicherheitsprobleme. Mit biometrischen Verfahren versucht man, bessere und zugleich bequemere Lösungen zu finden. Diese Verfahren bieten verlockende Möglichkeiten, sind aber nicht ganz ohne Komplikationen. Der folgende Artikel diskutiert positive und negative Seiten der Biometrie.
om Konzept her sind unsere EC-Karten ziemlich sicher, auch wenn die zugehörige PIN nur vierstellig ist: Der Bankautomat behält sie nach dem dritten Fehlversuch ein (die Risiken des bargeldlosen Kaufs seien hier natürlich ausgenommen). Dass es Dieben immer wieder gelingt, mit fremden EC-Karten an Bargeld heranzukommen, dürfte vor allem eine Ursache haben: Der Karteneigentümer hat die PIN irgendwo aufgeschrieben, im schlimmsten Fall sogar auf der Karte selbst. Angesichts der zunehmenden Zahl von PINs und Passwörtern, die sich jeder heutzutage merken muss, ist das in gewissem Maße verständlich. Oft soll sogar das Su-
V
peruser-Passwort von Unix-Rechnern unter der Tastatur zu finden sein, damit der Computer bei Abwesenheit des Administrators noch heruntergefahren werden kann. Ein weiteres Sicherheitsproblem sind triviale Passwörter, die beispielsweise nur aus ein oder zwei Zeichen bestehen. Unter SCO Unix gab es einst das Programm “goodpasswd”, das solche Sicherheitslücken nicht zuließ. Obwohl sehr einfach zu implementieren, scheinen derartige Absicherungen nach wie vor äußerst selten zu sein. Den Software-Herstellern ist durchaus ein Vorwurf daraus zu machen. Doch wenn Software auf “allzu ordentliche” Passwörter achtet, entsteht das nächste
Bild 1. Die ID Mouse professional verwendet das biometrische Verfahren Fingertip
Problem: Ein gutes Passwort kann sich der Anwender schlecht merken (erst recht nicht viele gute Passwörter), und dann schreibt er sie sich wieder auf. Der “normale” Nutzer hat nur wenig Sicherheitsbewusstsein. Das Thema Sicherheit wird aber immer wichtiger – was ist also zu tun? Der naheliegende Ausweg scheint die Biometrie zu sein, das heißt die Ausnutzung biologischer, personengebundener Merkmale. Wie intensiv daran geforscht wird, sieht man leicht auf der CeBIT: Die Zahl der Anbieter wächst von Jahr zu Jahr. Dem Einfallsreichtum sind keine Grenzen gesetzt wie im Kasten auf Seite 58 zu sehen ist. Und Biometrie ist ja so bequem: Man legt einfach seinen Daumen auf einen Sensor, und schon bekommt man sein Geld ausgezahlt. Oder noch bequemer: Der Nutzer setzt sich vor den Rechner, eine kleine Kamera auf dem Bildschirm erkennt den Arbeitswilligen und öffnet den Bildschirm, gleich vorkonfiguriert für seine persönlichen Bedürfnisse. Derartige Systeme sind bereits im Angebot, etwa unter www.cognitec.de. THEORIE KONTRA PRAXIS Leider ist die
Realität nicht so rosig. Von Kosten (die sinken werden) und Implementierungsproblemen (die gelöst werden) abgesehen, gibt es nicht zu ignorierende Sicherheitsprobleme, gerade in den genannten Fällen. Der Kryptologe Bruce Schneier nannte in seiner Online-Zeitschrift “Cryptogram” drei Kritikpunkte: 1. Biometrische Merkmale sind zwar individuell, doch nicht geheim. Ohne größere Probleme kann man jemandes Fingerabdruck oder seine Gesichtscharakteristik unbemerkt ermitteln und einem schwach konzipierten System vorhalten. Die bekanntesten Beispiele sind gestohlene Fingerabdrücke auf Klebeband und der Kamera vorgehaltene Fotos. 2. Biometrie kommt mit verschiedenen Fehlern schlecht zurecht: Wenn der Zugang zu Alices’ Bankkonto nur über den Fingerabdruck ihres linken Daumens möglich ist und sie sich ausgerechnet diesen Finger beim Zwiebelschneiden verletzt hat, ist guter Rat teuer. Noch
www.lanline.de
54
LANline Spezial Das sichere Netz III/2001
SICHERHEITSTECHNOLOGIE
schlimmer: Wenn Kritikpunkt teilweise erledigt. Wenn jemand ihren Finsich Alice nämlich beim Zwiebelschneigerabdruck stiehlt den verletzt hat, dann könnte sie die und missbraucht, Bank-Hotline anrufen und sich nach Bekann sie ihn nicht antwortung einer Geheimfrage (vieldurch einen andeleicht verbunden mit einer einigermaßen ren ersetzen lassen zuverlässigen Stimmerkennung) einen und gerät obenGeldautomaten freischalten lassen, an drein in Beweisnot dem sie sich wie früher per PIN authenvor einem Richter, tifizieren kann. Auch hier ist die Handder nichts von Biohabbarkeit in Krisenfällen durch das metrie versteht. richtige Konzept gewährleistet. Hinzu kommt noch Kritisch sind bei jedem biometrischen die Unsicherheit System dagegen zwei Parameter: Die der Identifizierung, False Acception Rate (FAR) und die False ein Grundproblem Rejection Rate (FRR). Die FAR ist der der Biometrie. JeProzentsatz der Personen, die unberechtigt des System arbeidie Kontrolle passieren, die FRR dagegen tet mit gewissen Bild 2. Die Bioid-Technologie: Anstatt ein Passwort und die User-ID einder Prozentsatz berechtigter Personen, die zugeben, stellt sich der Benutzer vor: Ein Blick und ein Wort genügen. Fehlerraten (FAR, unberechtigt vom Gerät abgewiesen werFRR). Mehr dazu den. auf der rechten Seite. Um ein positives Beispiel zu bringen: Im Idealfall wären FAR und FRR beide 3. Wenn das gleiche biometrische MerkDas System Bioid (Bild 2) mit der Null. Leider ist die Wirklichkeit nicht so mal für verschiedenste Zwecke begleichzeitigen Erkennung von Gesicht, schön; schon drei Prozent für beide Werte nutzt wird, entsteht bei “Diebstahl” Stimme und Lippendynamik diene – wie gleichzeitig gelten als vortrefflich. Diese des Merkmals ein ungleich größerer auf der Messe vorgeführt – als Einlass- Zahl erscheint nicht hoch, doch stellen Sie Schaden als bei verschiedenen Passkontrolle. In solch einem Fall ist es kaum sich einen Betrieb mit 1000 Beschäftigten wörtern, von denen nicht alle gestohmöglich, dem Computer gestohlene Da- vor, bei dem Tag für Tag 30 Mitarbeiter len werden. Das Szenario ist nicht abten unterzuschieben, denn man kommt protestierend vor dem Tor stehen und nach wegig, denn Passwörter lassen sich an ihn gar nicht heran. Es geht darum, dem Sicherheitsinspektor rufen, während ebenso wie die PIN (von Bankkarten) dass nur der Richtige den Betrieb betritt, immer wieder Industriespione der Konkurvorgeben, biometrische Merkmale und das ist mit hoher Wahrscheinlich- renz unbemerkt Zutritt erhalten. dagegen nicht. Eine starke Verbreikeit gewährleistet. Biometrische Systeme (genauer gesagt, tung von einfachen Fingerprint-GeräBiometrie muss für höhere Anforderun- ihre Erkennungs-Software) lassen sich tuten wäre vor diesem Hintergrund be- gen mit anderen Kontrollen verknüpft wer- nen. Man stellt je nach Zweck eine niedridenklich. den, beispielsweise dem Besitz einer ge FAR oder aber eine niedrige FRR ein; Smartcard oder doch noch einer PIN (als beide Werte sehr klein zu halten, gelingt in DIE RICHTIGE ANWENDUNG ENTechtem Geheimnis). In solch einem Sys- der Regel nicht. In Hochsicherheitstrakts SCHEIDET Doch jedes Problem hat Lötem verringert Biosungen. Der Autor teilt Schneiers Beden- metrie sehr stark die ken nicht uneingeschränkt: Wahrscheinlichkeit, – Das Verfahren “Geld für Fingerab- dass sich jemand mit druck” ist vom Konzept her falsch. Die- gestohlener Smartse Biometrie beruht nicht auf Geheim- card/PIN Geld abhenissen, sondern dient der Authentifizie- ben kann. Außerdem rung. Geldausgabe hingegen sollte auch sollte es immer noch auf einem Geheimnis beruhen. Und eine andere (umwenn zusätzlich zum Fingerabdruck ei- ständlichere) Mögne PIN eingegeben werden muss (womit lichkeit der Authentidie Bequemlichkeit der Biometrie wie- fizierung geben, falls der hinfällig wäre), dann berücksichtigt Biometrie versagt. Bild 3. Die Sensoren im Smartpen erfassen neben dem Schriftzug das System nicht die Fehleranfälligkeit – Damit hat sich auch Schreibdynamik inklusive Anpresskraft, Aufsetzen und Abheben auch der zweite des Stifts sowie den Neigungswinkel während des Schreibens solcher Methoden.
56
LANline Spezial Das sichere Netz III/2001
www.lanline.de
SICHERHEITSTECHNOLOGIE
Einige biometrische Methoden – Fingerprint: Der Fingerabdruck wird durch Auflegen eines Fingers auf einen Sensor erfasst. Fingerprint-Sensoren werden bereits in Tastaturen eingebaut. Ihr Preis ist stark im Sinken begriffen. Utimaco bietet bereits eine Smartcard mit Kryptoprozessor und Fingerprint-Sensor an. – Gesichtserkennung: Markante Punkte des Gesichts werden erkannt und vermessen. Wählt man dafür Punkte, deren Abstände sich nicht ändern, erkennt einen das System sogar noch nach durchzechter Nacht. Die Nutzung kann sehr komfortabel sein. Bei Cognitec (www.cognitec-ag.de) wurde dem Autor ein Bildschirmschoner vorgeführt, der den Bildschirm automatisch nach einer gewissen Zeit der Inaktivität sperrt. Das Entsperren geschieht dann wahlweise durch einfaches Hinsetzen der richtigen Person mit kurzem Blick in die Kamera oder aber (bei Fehlverhalten) per Passwort. Für die “schlampige Alltagspraxis” im Betrieb ist das ein großer Gewinn! – Iris-Scanner: Das Muster der Regenbogenhaut des Auges, ebenso individuell wie ein Fingerabdruck, wird von einer Kamera erfasst und ausgewertet. – Netzhaut-(Retina-)Scanner: Hier wird die Netzhaut im Augenhintergrund per Infrarot gescannt. – Unterschrift: Die Unterschrift wird elektronisch erkannt. Ein offenbar simples System verwendet der Paketdienst UPS, bei dem man mit einem Griffel auf einem kleinen Display quittieren muss. Wesentlich ausgefeilter erscheint das System Smartpen (www.smartpen.net), mit dem man mittels eines speziellen Stifts auf einem normalen Blatt Papier auf normaler Unterlage schreiben kann. Sensoren im Stift erfassen nicht nur den Schriftzug, sondern auch die Schreibdynamik inklusive Anpresskraft, Aufsetzen und Abheben des Stifts sowie den Neigungswinkel während des Schreibens. An der Nachahmung so gewonnener Daten würde sich wohl jeder Unterschriftenfälscher die Zähne ausbeißen. Nachteilig ist der relativ hohe Preis des Stifts (der leicht gestohlen werden könnte). Softpro (www.softpro.de) entwickelte ein analoges, preiswerteres System, bei dem ein spezielles Pad als Unterlage genutzt wird. – Handgeometrie: Das ist ein relativ altes Verfahren. Auch die Geometrie der Hände ist individuell verschieden. – Kombinierte Methoden: Erstmals auf der CeBIT 1998 wurde das System BioID (www.bioid.com) vorgestellt, das Gesichtszüge, Spracherkennung und Lippendynamik gleichzeitig erfasst und bemerkenswert unempfindlich gegenüber Brillen, Bärten, schweren Zungen und neuen Falten im Gesicht ist. – Methoden der Zukunft: Neben Arbeiten an der (jedenfalls im zivilen Bereich) noch recht unzuverlässigen Stimmerkennung gibt es Versuche, weitere individuelle Merkmale zu erfassen. Ein besonders originelles System stellte der “New Scientist” vom 4.12.1999 vor: Auch der Gang ist bei jedem Menschen verschieden. Hintergrund dieser Forschungen ist der Wunsch, maskierte Bankräuber anhand von Videoaufzeichnungen identifizieren zu können. Ebenso würden beispielsweise Ladendiebinnen, die eine Schwangerschaft vortäuschen, um gestohlenes Gut nach außen zu schmuggeln, automatisch am Gang erkannt werden (denn wirklich Schwangere laufen anders). Das sind verlockende Vorstellungen. Allerdings macht diese Methode ebenso eine allumfassende Personenüberwachung aus beträchtlicher Entfernung möglich. Es ist zu befürchten, dass dies bei erfolgreicher Forschung keine Utopie bleibt. – Auch die Dynamik von Tastenanschlägen ist individuell. Der Vorteil dieser Methode ist, dass sich während der Arbeit am Computer laufend überprüfen lässt, ob noch “der Richtige” an der Tastatur sitzt. Vermutlich sind Mausbewegungen, die in der heutigen tastaturfeindlichen Zeit nicht unwichtig sind, ebenso personenspezifisch.
muss man demnach öfters mit unberechtigt abgewiesenen Mitarbeitern leben (niedrige FAR, höhere FRR), während am Haupteingang mit niedriger FRR (und höherer FAR) nur eine Vorselektion erfolgen darf. Auch hier entscheidet wieder das Gesamtkonzept.
58
– Am erfolgversprechendsten ist nach Meinung des Autors jedoch das Konzept der variablen Biometrie. Damit sind biometrische Merkmale gemeint, die der Nutzer selbst verändern kann. Die herausragenden Beispiele aus Kasten 1 sind zum einen das System BioID, bei
LANline Spezial Das sichere Netz III/2001
dem der Anwender das gesprochene Wort (oder auch einen ganzen Satz) selbst sagen kann. Dies ist tatsächlich sehr wichtig. Stellen Sie sich vor, Bob wechselt zur Konkurrenz und loggt sich per BioID-System am Computer mit dem gleichen Wort wie früher ein. Dann ist doch die Versuchung seiner alten Firma, sich irgendwie mittels seines bekannten BioID-Datensatzes Zugang zu verschaffen, groß. Die alte Firma ist jedoch gewiss nicht in der Lage, einen Datensatz für neue gesprochene Wörter aus dem alten zu berechnen. Zum anderen kann sich der Anwender beim Smartpen aussuchen, was er auf Papier schreibt. Mnemonisch günstig wäre etwas, das mit dem Zweck der Authentifizierung zusammenhängt: Im Bankverkehr etwa der Name, gefolgt von den letzten drei Ziffern der Kontonummer. SEIEN SIE MISSTRAUISCH Biometrische
Verfahren sind also nicht so einfach einzubinden wie Passwortabfragen: Die Beurteilung ihrer Zuverlässigkeit ist ziemlich schwierig, und sie können Passwörter auch nicht einfach ersetzen, denn sie liefern “nur” wahrscheinliche Aussagen. Wegen dieser Schwierigkeiten tummeln sich offenbar allerhand schwarze Schafe auf dem Markt. Wie kann der Kunde diese erkennen? – Zuerst sollte man immer nach den FAR/FRR-Kurven fragen. Hier trennt sich bereits die Spreu vom Weizen, denn mancher Anbieter kennt diese Kurven nicht oder verheimlicht sie. Eventuell existieren Zeitschriftenartikel dazu, die unter Umständen erstaunliche Ergebnisse zutage fördern. So hat das BioID-Verfahren bei einer kleinen FAR eine hohe FRR – recht frustrierend für eine Einlasskontrolle. Während die Gesichtserkennung von Cognitec dank sorgfältigen Designs FAR- und FRR-Werte von etwa ein bis zwei Prozent aufweist, gelang es einem (männlichen!) Bekannten des Autors auf der diesjährigen CeBIT, bei einem anderen Anbieter als die Frau erkannt zu werden, die soeben noch vor dem Bildschirm gesessen hatte ...
www.lanline.de
SICHERHEITSTECHNOLOGIE
– Biometrische Systeme werden “trainiert”: Die optimalen Parameter ermittelt man, in dem das System auf eine Trainingsmenge angewandt wird. Dass FAR- und FRR-Werte, die auf solchen Trainingsmengen basieren, hervorragende Werte aufweisen, dürfte klar sein. Entscheidend sind die Werte bei großen Testmengen, die keine Elemente aus der Trainingsmenge enthalten. Auch danach sollte man fragen und das Antwortverhalten des Anbieters aufmerksam beobachten. – Biometrische Merkmale ändern sich langsam und gleichmäßig. Das System muss dies erkennen und darauf reagieren können. Auch dazu sollte ein Entwickler Angaben machen können. – Utopische Wahrscheinlichkeitsangaben wie “eins zu eine Million” für die Fehlerrate signalisieren, dass der Hersteller nichts von seinem Produkt versteht. Man sollte die Finger davon lassen. BLICK IN DIE ZUKUNFT Die Zukunft
der Biometrie liegt wohl bei den variablen Merkmalen und kombinierten Methoden, also eben nicht beim Fingerabdruck, dem Gang, der Stimme oder der Gesichtsgeometrie allein sowie in der Kombination mehrerer Merkmale zur Verbesserung der Treffsicherheit. Biometrische Daten dürfen jedoch nur zur Authentifizierung verwendet werden, und im Konzept ist zu berücksichtigen, dass eine Fingerkuppe auch zerschnitten sein kann beziehungsweise ein Gesicht durch ein zugequollenes Auge unkenntlich werden kann. Gegenüber PINs und Passwörtern ist zu berücksichtigen, dass es bei Biometrie kein “entweder richtig oder falsch” gibt – man hat mit den Wahrscheinlichkeiten FAR und FRR zu arbeiten, darf aber keinesfalls den Anwender mit ständigen Fehlversuchen frustrieren. Entsprechende Sicherheitskonzepte, akzeptable Kosten und Wartezeiten sowie erhöhte Treffsicherheit der biometrischen Systeme bleiben ständige Herausforderungen für die Anbieter. Ohne Frage kann Biometrie unser Leben einfacher und deutlich sicherer machen –
60
Probleme bei biometrischen Verfahren und ihre Lösung Generelle Probleme: 1. Biometrische Merkmale sind zwar individuell, doch meist nicht geheim. Das muss beim Sicherheitskonzept berücksichtigt werden. In der Regel dient Biometrie nur zur Authentifizierung. 2. Biometrische Merkmale verändern sich manchmal, ohne dass der Betroffene dies verhindern kann (zum Beispiel Verletzung einer Fingerkuppe). Auch das ist beim Konzept zu berücksichtigen. 3. Biometrische Identifizierung beziehungsweise Authentifizierung liefert nur wahrscheinliche, nie ganz sichere Aussagen. Die Senkung der FAR (false acception rate) geschieht immer auf Kosten der FRR (false rejection rate) und umgekehrt. Einen Ausweg bietet die Kombination mehrerer biometrischer Verfahren, gekoppelt mit klassischen Methoden wie Smartcards. Mehrere Sicherheitszonen, an deren Eingängen in verschiedener Weise kontrolliert wird, drücken Fehlerwahrscheinlichkeiten auf ein verträgliches Maß, ohne allzu sehr zu behindern. 4. Bei vielfacher Verwendung des gleichen biometrischen Merkmals – etwa des Fingerabdrucks – ist der Schaden im Betrugsfall vielfach größer als bei klassischer Identifizierung mittels Passwörtern und PINs, von denen nur einige gestohlen werden. Abhilfe schafft hier am elegantesten und preiswertesten die variable Biometrie, bei der der Nutzer das Merkmal selbst variieren kann – ein gesprochenes oder geschriebenes Wort beispielsweise.
Spezielle Probleme: – Fingerabdruck: Probleme bereiten trockene oder verschmutzte Finger sowie Verletzungen. Betrug ist beispielsweise bei einfachen (optischen) Sensoren durch aufgelegte Klebestreifen mit fremdem Fingerabdruck möglich. Moderne (und teurere) Sensoren prüfen zusätzlich Temperatur und manche sogar den Puls, damit – eine besonders grausame Vorstellung – keine angewärmten, abgeschnittenen Fingerglieder verwendet werden können. Dem Autor wurde aber auch von erfolgreichen Angriffen mittels künstlicher Finger aus Gummi und Gelatine berichtet! Andere Sensoren registrieren die Verfärbung der Fingerbeere, die beim Aufpressen entsteht und lassen ebenso den Test verschiedener Finger zu. Verletzte und verschmutzte Finger und Sensoren bleiben kritisch und müssen im Konzept eingeplant werden. – Gesichtserkennung: Probleme bereiten Brillen, Bartfrisuren, Verletzungen, Faltencremes sowie wachsende Kinder und Jugendliche. Ein Betrug ist auch durch vorgehaltene Fotos denkbar. Ausweg: im einfachsten Fall die Kombination mit anderen Merkmalen. Das Cognitec-System registriert die Änderung der Perspektive bei Bewegungen des Kopfs im Raum sowie den veränderten Schattenwurf. Dadurch wird es recht robust. – Irismuster Scannen: Probleme sind die noch unbequeme Benutzung (man muss relativ lange auf einen bestimmten Punkt schauen) und der Ausfall bei Verletzungen des Auges oder auch nur des Augenlids (zugequollenes Auge). – Netzhaut scannen: Die Probleme sind die gleichen wie beim Iris-Scanner, die Wartezeit (zum Beispiel eine Minute) ist nicht unbeträchtlich. – Unterschrift: Wird nur die Geometrie der Unterschrift getestet, haben Fälscher vermutlich noch eine Chance. Systeme, die gleichzeitig die Schreibdynamik erfassen, sind wesentlich sicherer (wie der Smartpen oder das System von Softpro, www.softpro.de). Probleme entstehen eher wegen der relativ hohen Fehlerrate, verglichen beispielsweise mit der von Fingerabdrücken. An der Handschriftenerkennung wird seit langem intensiv geforscht. – Handgeometrie: Fälschungsmöglichkeiten gibt es ähnliche wie bei Fingerabdrücken (wobei die Handgeometrie leichter zu “stehlen” ist). Vorstellbar ist auch, dass geschwollene Hände Probleme bereiten.
wenn sie denn richtig angewendet wird. Auf der anderen Seite sollte man nicht übersehen, dass ein weiterer Schwund der Privatsphäre auch dank “biometrischer
LANline Spezial Das sichere Netz III/2001
Überwachung” wohl nicht zu vermeiden ist, unabhängig von der Perfektion “ziviler” Systeme. (Reinhard Wobst/mw)
www.lanline.de
SICHERHEITSTECHNOLOGIE
REMOTE ACCESS MIT VPN UND IPSEC
Problematischer Generationenwechsel Teure Wählverbindungen in das Firmennetz durch kostengünstige Internet-Verbindungen zu ersetzen, ist das Ziel vieler Unternehmen. Damit die vertraulichen Daten dabei sicher übertragen werden, propagieren Hersteller von Firewalls und VPN-Lösungen das IPSec-Protokoll als rundum glücklich machende Lösung. Doch in der Praxis ist IPSec zwar für die LAN-LAN-Koppelung über das Internet tauglich. Bei der Abbildung von Dialup-Remote-Access-Netzen auf ein IPSec-VPN treten jedoch massive Probleme auf.
in Virtual Private Network (VPN) ist der “Transport” eines privaten Netzes über ein öffentliches Netz wie das Internet. Im Internet kommt das IP-Netzwerkprotokoll (Internet Protocol) zum Einsatz, um Daten von einem Rechner zu einem anderen zu leiten. Jedes Datenpaket besitzt dabei einen IP-Header, der die eigene Adresse sowie die Zieladresse des Pakets beinhaltet. Netzwerkprotokolle wie IP sind auf Ebene 3 (Layer 3) in dem OSI-Schichtenmodell definiert. Ein Layer-3-Protokoll wie IP benötigt jedoch Layer 2 (und Layer 1), um die Datenpakete bis zum nächsten Vermittlungsrechner (Router) übertragen zu können. Layer 2 und Layer 1 können wie ein LAN “verbindungslos” sein – sie werden in diesem Fall durch das Ethernet-Protokoll und eine LAN-Karte dargestellt – oder eben “verbindungsorientiert”. In diesem Fall erfolgt die Einwahl beispielsweise via ISDN über das DFÜ-Netz zum NAS (Network Access Server) eines Providers. Nach Aufbau der ISDN-Verbindung (Layer 1) über den B-Kanal verhandeln die Teilnehmer zunächst das Layer2-Protokoll PPP (Point-to-Point-Protocol), erst danach kann der Rechner IP-Pakete zum Provider übermitteln. Während einer PPP-Session werden bestimmte Attribute wie die öffentliche IP-Adresse,
E
62
DNS-Server und WINS-Server zwischen dem NAS und dem entfernten Rechner ausgetauscht. Die vom Provider zugeteilte öffentliche IP-Adresse behält der Client dabei nur so lange, wie die PPP-Verbindung steht. Eine Layer-2-PPP-Verbindung ist multiprotokollfähig, das heißt, es können neben IP auch andere Protokolle wie beispielsweise IPX und
LANline Spezial Das sichere Netz III/2001
Apple-Talk übermittelt werden. Des Weiteren beinhaltet eine PPP-Verhandlung sicherheitsspezifische Abläufe wie die Authentifizierung mit Benutzername/Password (PAP/CHAP), einfache Verschlüsselung (Encryption Control Protocol – ECP) sowie weitere Features wie Datenkompression (Compression Control Protocol – CCP) und Rückruf (Link Control Protocol – LCP). Ein weiteres Beispielszenario für den Einsatz von PPP ist die Anbindung einer Filiale (LAN) an das Internet und der Zugriff von beliebigen Arbeitsplatz-PCs auf das zentrale Datennetz. Hierfür baut der in der Zweigstelle installierte IP-Router für den Versand seiner IP-Pakete eine ISDNVerbindung zum nächsten NAS auf, über die anschließend alle PPP-Verhandlungen erfolgen. Der Router erhält vom NAS eine öffentliche IP-Adresse (die einzige, die im Internet zu vermitteln ist). Der Knackpunkt ist nun der: Die Rechner im LAN besitzen jeweils eine abweichende – private – IP-Adresse. Bei jedem von einem LAN-Rechner erzeugten Datenpaket tauscht der Router dann die private Quell-IP-Adresse gegen die öffentliche IP-Adresse aus. Das Ergebnis: Alle LAN-Rechner erscheinen im Internet
Bild 1. IPSec-Processing
www.lanline.de
SICHERHEITSTECHNOLOGIE
ausschließlich mit der öffentlichen IPAdresse. Dieser Vorgang wird IP-NAT (IP-Network-Address-Translation) oder auch “Masquerading” genannt. Das Verfahren bietet zugleich Schutz gegen unerwünschte Verbindungen vom Internet in das LAN. REMOTE-ACCESS-VPN Ein Remote-Access-VPN ist die Abbildung eines traditionellen Direkteinwahl-Remote-AccessNetzes über ein öffentliches IP-Netz. Unternehmen, die ein solches VPN planen, stellen an dieses dieselben Anforderungen wie beim direkten Zugriff auf die Unternehmenszentrale. Im Wesentlichen geht es dabei um die Erfüllung folgender Punkte: – starke und persönliche Authentisierung jedes einzelnen Benutzers, – Unterstützung verschiedener Authentisierungsmethoden wie PKI, X.509.v3Zertifikate, Zertifikate auf Smartcards, User-ID/Password (Radius), SecureID oder OTP (One Time Password), – starke Verschlüsselung, – sicherer Schlüsselaustausch, – überschaubare Konfiguration und Administration der VPN-Clients und der dazu gehörenden Sicherheits-Policy, – keine Topologie-Einschränkungen sowie – Multiprotokollfähigkeit beim Einsatz unterschiedlicher Netzwerkprotokolle.
Grundlage von Layer-2- und Layer-3-VPNs ist das so genannte Tunneling. Dieses Verfahren ist für den Transport von Daten zwischen einem zentralen VPN-Gateway und Remote-VPN-Client über ein öffentliches, unsicheres Netz notwendig. Etabliert wird ein Tunnel dadurch, dass jedem erzeugten Datenpaket ein extra IP-Header und ein oder mehrere – je nach eingesetztem Tunneling-Verfahren – spezifische Header vorangestellt werden. Der Tunnel beginnt da, wo der extra IP-Header hinzugefügt wird und endet dort, wo der IP-Header wieder entfernt wird. Da Authentisierung und Verschlüsselung komplett innerhalb des Tunnels ablaufen, spielen die Tunnelendpunkte eine sehr
TUNNELING-VERFAHREN
www.lanline.de
wichtige Rolle. Abhängig vom Tunnelendpunkt spricht man daher von einem “Site-to-Site-VPN”, “End-to-Site-VPN” und “End-to-End-VPN”. Ein Beispiel für ein Site-to-Site-VPN ist ein Tunnel zwischen einem FilialRouter und einem VPN-Gateway in der Zentrale. Bei einem End-to-Site-VPN wird entweder ein Tunnel zwischen einem Einzelplatz-PC und einem VPNGateway oder einem Client in einem Filialnetz und dem zentralen VPN-Gateway aufgebaut. Dabei ist es nicht erforderlich, dass der Filial-Router VPN-fähig ist. Das End-to-End-VPN funktioniert im Grunde genauso wie ein End-to-SiteVPN, nur dass das VPN-Gateway im Applikations-Server integriert ist. Dadurch ist die gesamte Strecke vom Client-PC bis zur zentralen Applikation gesichert. Unternehmen gehen zunehmend dazu über, die Tunnel nicht im Filial-Router enden zu lassen, sondern in den einzelnen Arbeitsstationen im LAN. Die Vorteile liegen auf der Hand: Persönliche Authentisierung der Teilnehmer und eine Verschlüsselung der Unternehmensdaten im Filialnetz. Auf dem Remote-AccessMarkt zeichnet sich daher zunehmend eine Entwicklung weg von “Site-to-Site-” hin zu “End-to-Site-VPNs” ab. LAYER-2-VPN Zu den bekanntesten Lay-
er-2-Verfahren gehören L2F (Layer-2Forwarding), L2TP (Layer-2-TunnelingProtocol) und PPTP (Point-to-Point-Tunneling-Protocol). Ein Layer-2-Tunnel ist ein “virtuelles Kabel” über jede IP-Plattform und lässt sich über jede IP-Struktur hinweg aufbauen. Dabei ist es unerheblich, ob die installierten Router zwischen Client und VPN-Gateway IP-NAT einsetzen. Wie eingangs beschrieben, ist ein Layer-2-Tunnel multiprotokollfähig. Folglich besteht bei einem Layer-2-VPN die Möglichkeit, über ein öffentliches Netz, das nur IP vermittelt, mit der Unternehmenszentrale über beliebige Netzwerkprotokolle zu kommunizieren. Der Tunnelaufbau bei einem Layer-2-VPN wird durch einen extra IP-Header, einen UDP- (User Datagramm Protocol) oder TCP-Header (Transmission Control Pro-
LANline Spezial Das sichere Netz III/2001
63
SICHERHEITSTECHNOLOGIE
tocol) und einen für das Tunnelverfahren spezifischen Header realisiert. Der Overhead pro Paket ist dabei abhängig vom eingesetzten Verfahren und liegt bei ungefähr 40 Byte. Wie hervorragend die Eigenschaften der Layer-2-Tunneling-Verfahrens für Remote-Access auch sind, so können sie nur zum Teil Datenintegrität und eine relativ schwache Authentisierung (CHAP/ PAP) gewährleisten. Weiterhin fehlen wesentliche Sicherheitsfunktionen wie: Verschlüsselung, Unterstützung von digitalen Zertifikaten und ein leistungsfähiges Schlüsselmanagement. Eine Möglichkeit, Security-Mechanismen und
enabled”. Nach Ablauf der SSL-Verhandlung wird alles verschlüsselt, was über die PPP-Verbindung läuft: die Netzwerkprotokolle IP/IPX und auch der letzte Teil der PPP-Verhandlung, in dem die Zuweisung der privaten IP-Adresse, DNS- und/oder WINS-Server an den Client erfolgt. Layer-2-Tunneling mit den bereits beschriebenen Sicherheitsmechanismen ermöglicht den Aufbau eines RemoteAccess-VPNs, das jede Infrastruktur unterstützt. Bereits vorhandene Netzwerkkomponenten können problemlos genutzt werden. Dabei ist es unerheblich, ob ein Client den Tunnel über einen Provider, Router in einer Zweigstelle (der sich zum Provider
Bild 2. Klassische Remote-Access-Lösung
Layer-2-VPN-Tunneling zu vereinen, bietet sich mit der Erweiterung des Pointto-Point-Protokolls. Man unterscheidet hierbei zwischen zwei Ansätzen: 1. Erweiterung der PPP-AuthenticationPhase (PAP/CHAP), 2. Erweiterung des PPP EncryptionControl-Protocols (ECP). In beiden Fällen wird für die Erweiterung das SSL (Secure-Socket-Layer) v3.0 Handshake-Protokoll eingesetzt. Dieses Verfahren ist in dem von Microsoft eingereichten “Experimental RFC 2716” (PPP EAP TLS Authentication Protocol) beschrieben. Es unterstützt die Anwendung von Zertifikaten: Das heißt, starke Authentisierung und sicherer Schlüsselaustausch sind möglich und das VPN ist somit “PKI (Public Key Infrastructure)
64
einwählt), einen NAS in der Zentrale oder direkt zum VPN-Gateway in der Firmenzentrale aufbaut. Der Remote-Anwender erhält für die PPP-Session immer dieselben Attribute wie IP-Adresse, Datenkompression oder DNS-Adresse. LAYER-3-VPN MIT IPSEC Ein Layer-3VPN ist nicht multiprotokollfähig, sondern bezieht sich immer auf ein bestimmtes Netzwerkprotokoll – im Falle von IPSec ist es das Netzwerkprotokoll IP. Mit den IPSec-RFCs (2401 bis 2409) lässt sich ein VPN mit vorgegebener Security für das IP-Protokoll realisieren. Es steht hier ein komplettes Rahmenwerk zur Verfügung, das sowohl (Layer 3-) Tunneling als auch alle notwendigen Sicherheitsmechanismen wie starke Au-
LANline Spezial Das sichere Netz III/2001
thentisierung, Schlüsselaustausch und Verschlüsselung umfasst. Das Ziel dieses VPN-Standards ist dessen Herstellerunabhängigkeit. Jede Kommunikationskomponente, die IPSec unterstützt, muss über ein IPSecModul verfügen. Mit Hilfe dieses Moduls wird jedes Datenpaket gegenüber einer Security-Policy-Database (SPD) entsprechend überprüft. Die SPD besteht aus Einträgen (SPD-Entries), in denen unter anderem ein zusätzlicher Filterteil (Selector) beschrieben ist. Der Selector setzt sich aus IP-Adressen, UDP- und TCPPorts sowie IP-Header-spezifischen Einträgen zusammen. Stimmt nun ein Datenpaket mit dem Selector eines SPD-Eintrags überein, wird die weitere Vorgehensweise überprüft. Je nach Ergebnis lässt eine IPSec-fähige Komponente das Paket dann durch (permit), wirft es weg (deny) oder appliziert bestimmte Security-Merkmale (IPSec-Processing). Nach Übereinstimmung eines Datenpakets mit einem SPD-Eintrag wird überprüft, ob bereits eine Security Association (SA) für diesen SPD-Eintrag existiert. Die SA bestimmt, ob das Security-Protokoll ESP (Encapsulating Security Payload) oder AH (Authentication Header) verwendet werden soll. ESP unterstützt die Verschlüsselung und Authentisierung des IPPakets, AH ermöglicht nur die Authentisierung. Eine weitere Aufgabe der SA besteht darin, den Modus des SecurityProtokolls festzulegen. IPSec unterscheidet hierfür zwei Betriebsmodi: TunnelMode und Transport-Mode. Im TunnelMode wird der gesamte Rahmen verschlüsselt. Das Datenpaket bekommt also einen neuen Header. Quelle und Ziel sind so versteckt und nur die Tunnelendpunkte erkennbar. Im Transport-Mode wird der Rahmeninhalt verschlüsselt, der ursprüngliche IP-Header wird beibehalten. Quell- und Zieladresse bleiben ungeschützt. Darüber hinaus legt die SA den Algorithmus für die Authentisierung, die Verschlüsselungsmethode (nur bei ESP) und den verwendeten Schlüssel fest. Funktionsvoraussetzung des bereits beschriebenen Ablaufs ist, dass die Gegenstelle über dieselbe SA verfügt.
www.lanline.de
SICHERHEITSTECHNOLOGIE
Der obere Teil von Bild 1 zeigt das Versenden eines IP-Datenpakets vom IPStack zum IPSec-Modul. Dort findet das IPSec-Processing des original IP-Headers (IP1) mit seiner Payload (Nutzdaten) statt. Der untere Teil des Bildes stellt das Ergebnis des Prozesses dar: Der Transport-Mode ist für Rechner-zu-RechnerKommunikation, der Tunnel-Mode für den Betrieb über ein VPN-Gateway zuständig. Der IP2-Header ermöglicht den Datentransport vom Client via Internet zu einem Gateway. Das VPN-Gateway entfernt den IP2-Header, entschlüsselt und sendet das Paket weiter zum Unternehmensnetz. Für Remote-Access- und Endto-Site-VPNs kommt nur der ESP-Tunnel-Mode in Frage. Wenn eine IPSec-SA für einen bestimmten SPD-Eintrag nicht vorliegt, muss sie mit der Gegenstelle ausgehandelt werden. In so einem Fall kommt die zweite große Komponente einer IPSecImplementation zum Einsatz: das IKEProtokoll (Internet-Key-Exchange). Wie wichtig IKE in diesem Zusammenhang ist, verdeutlicht das Beispiel einer Internet-Verbindung zwischen Remote-Client und dem VPN-Gateway in der Firmenzentrale. Der Client hat einen SPD-Eintrag mit einem Selector, den das ESP im Tunnel-Mode für IP-Pakete an die Firmenzentrale vorgibt. Vom Client wird zunächst eine Layer-2-(PPP-)Verbindung zum Provider hergestellt. Anschließend erhält das IPSec-Modul im Client ein IP-Paket mit der Zieladresse “Firmenzentrale”. Es existiert zwar ein SPDEintrag für dieses IP-Paket, jedoch keine SA. Nun stellt das IPSec-Modul an das IKE-Modul die Anforderung, eine IPSecSA mit der Gegenstelle – dem VPN-Gateway – auszuhandeln (dieser Vorgang wird als “Phase-2-Verhandlung” bezeichnet). Dabei bekommt das IKE-Modul auch die im SPD-Eintrag vorhandenen Security-Merkmale. Voraussetzung für den Ablauf dieses Prozesses ist eine Art Kontrollverbindung zwischen Client und VPN-Gateway. Diese Kontrollverbindung trägt die Bezeichnung “Phase-1Verhandlung”, und das Resultat ist die IKE-SA. Die “Phase1-Verhandlung”
66
übernimmt den gesamten Authentisierungsvorgang vom Client zum VPNGateway und erzeugt gleichzeitig eine verschlüsselte Kontrollverbindung, über die anschließend die “Phase-2-Verhandlung” (IPSec-SA) abläuft. Die IKE “Phase-1-Verhandlung” ist ein Handshake, das den Austausch von digitalen Zertifikaten erlaubt und einen Schlüsselaustausch für die Kontrollverbindung beinhaltet. Dieses Verfahren kann in zwei verschiedenen Modi erfolgen: Dem Main-Mode und dem Aggressive-Mode. Im Main-Mode (oder Identity-Protection-Mode) erfolgt ein Austausch von insgesamt sechs Nachrichten, wobei übertragene IDs oder Zertifikate verschlüsselt werden. Im Aggressive-Mode hingegen werden nur drei Nachrichten ausgetauscht, und es wird keine Verschlüsselung eventuell übertragener IDs und Zertifikate vorgenommen. Unabhängig vom Verhandlungsmodus gibt es verschiedene bidirektionale Authentisierungsmethoden. Die zwei wichtigsten sind: 1. Preshared Key: Client und VPN-Gateway besitzen jeweils dieselben, vorkonfigurierten Schlüssel. 2. RSA Signatures: Diese Methode unterstützt die Anwendung von digitalen Zertifikaten. Während einer IKE-Verhandlung mit Preshared Key und Main-Mode muss der Client vom VPN-Gateway anhand seiner IP-Adresse eindeutig identifizierbar sein. Denn der Preshared Key wird in die symmetrische Schlüsselberechnung mit einbezogen, das heißt, die Verschlüsselung beginnt bereits vor der Übertragung von Merkmalen, die den Client identifizieren. Erfolgt nun die Einwahl eines Clients über einen Provider, bleibt seine IP-Adresse aufgrund der dynamischen Adresszuweisung unerkannt. Eine Möglichkeit, dieses Problem zu umgehen, ist der “Aggressive Mode”. Der Nachteil bei dieser Methode: Die Übertragung der IDs und/oder digitalen Zertifikate erfolgt im Klartext. Eine andere Methode ist, dass alle Clients denselben Preshared Key erhalten. Diese Vorgehensweise ist allerdings mit
LANline Spezial Das sichere Netz III/2001
einer Schwächung der Authentisierung verbunden. IPSEC UND REMOTE ACCESS Der folgende Abschnitt beschreibt die Probleme von IPSec im Remote Access und zeigt entsprechende Lösungsansätze auf. Die Hauptprobleme in diesem Bereich sind: 1. Wenn Preshared Key, Main-Mode und dynamische IP-Adressen benutzt werden, muss der Preshared Key für alle IPSec-Clients gleich sein. 2. IPSec unterstützt nicht die traditionell im Remote Access eingesetzten unidirektionalen Authentisierungsmethoden Radius (PAP/CHAP), Secure-ID oder OTP. 3. Die IP-, DNS- und WINS-Adresszuweisung vom VPN-Gateway zum Client ist innerhalb des IKE-Protokolls nicht spezifiziert. Die privaten IP-, DNS- und WINS-Adressen müssten danach in jedem IPSec-Client fest konfiguriert werden. 4. Bei größeren Remote-Access-Netzen (mehr als 300 Teilnehmer) können Ressourcen-Probleme im VPN-Gateway auftreten. Die IPSec-Clients unterbrechen ihre Layer-2-(PPP-)Verbindung zum Provider immer wieder und löschen (vielleicht) ihre eigenen SAs, die nach wie vor im VPN-Gateway exisitieren. 5. Zwischen IPSec-Client und VPNGateway darf kein IP-NAT-Verfahren eingesetzt werden, da der IPSec-ESPHeader nicht über genügend Informationen verfügt. Setzt beispielsweise ein Filial-Router IP-NAT bei der Einwahl zum Provider ein, muss sich der Tunnelendpunkt im Router befinden. Das bedeutet, es findet nur eine Authentisierung des LANs statt, jedoch keine persönliche Authentisierung der Teilnehmer. Insbesondere beim Einsatz von digitalen Zertifikaten (PKI) muss der Tunnelendpunkt im FilialPC liegen. 6. Bei großen Remote-Access-Installationen ist die Konfiguration und Administration der SPD-Einträge sowohl auf Client-Seite als auch im Zentralsystem sehr aufwändig.
www.lanline.de
SICHERHEITSTECHNOLOGIE
Zwischenzeitlich gibt es verschiedene Ansätze, um diese Mankos zu beseitigen und IPSec für Remote Access zu optimieren. Als Lösung für Punkt 1 und 2 existiert der von Cisco eingereichte Draft Xauth (Extended Authentication). Er setzt jedoch eine Veränderung und Erweiterung des IKE-Protokolls voraus. Für Punkt 3 sind dem Autor derzeit keine Drafts bekannt. Um das in Punkt 4 dargestellte Problem zu lösen, gibt es einen Vorschlag (keinen Draft), der eine Art Polling beschreibt. Mit Hilfe dieses Verfahrens soll signalisiert werden, wenn eine SA nicht mehr aktiv ist. Polling wird allerdings zu einem Problem, wenn der Client im Shorthold-Mode arbeitet, da die Layer-2-PPP-Verbindung zum Provider immer bestehen bleibt. Für Punkt 5 gibt es einen neu eingereichten Draft (NAT Traversal 28/2-2001) der Firma SSH. Im Prinzip geht es darum, dass jedes erzeugte IPSec-Paket zusätzlich in einen IP und UDP-Header verpackt wird, um so eine Kommunikation über Geräte, die IP-NAT einsetzen, zu ermöglichen. Punkt 6 ist davon abhängig, wie ein Hersteller die Verwaltung der SPDs implementiert. Bei den oben genannten Lösungsansätzen handelt es sich um Drafts und Vorschläge, wobei nicht alle von der IPSRA(IP Security Remote Access) und IPSecWorking-Group akzeptiert sind. Dies belegt auch folgender Auszug aus dem vom Cisco eingereichten Xauth Draft: “The document has been published as informational as the IPSRA working group will not accept any protocol which extends Isakmp or IKE. Furthermore, the IPSec working group refuses to accept any protocols that deal with remote access.” Der nach Meinung des Autors interessanteste Ansatz, um die in den Punkten 1 bis 5 aufgezeigten Probleme zu lösen, ist im Informational RFC 2888 “IPSec over L2TP” (Secure Remote Access with L2TP) beschrieben. Mit “IPSec over L2TP” werden keinerlei Veränderungen oder Erweiterungen am RFC 2401 bis 2409 vorgenommen, womit der Akzeptanz seitens der IPSec- und Ipsra-Wor-
68
king-Groups nichts im Wege stehen dürfte. In der Praxis wird zunächst ein Layer2-Tunnel zwischen Remote-Client und VPN-Gateway aufgebaut. Anschließend läuft eine Standard-PPP-Verbindung (ohne zusätzliche Sicherheit wie PPPEAP-TLS) über die die IKE-Verhandlung und die IPSec-Datenpakete übertragen werden (Punkt 1 bis 3). Trennt der Client seine Layer-2-Verbindung zum
sendens der privaten IP-Adressen ist letztlich abhängig vom Grad des Sicherheitsbedürfnisses des VPN-Betreibers. FAZIT IPSec ist ein Standard mit ausge-
zeichneten Sicherheitsmechanismen, der in bestimmten VPN-Szenarien funktioniert, in denen mit festen IP-Adressen gearbeitet wird (B2B, Extranet). In diesen Fällen lassen sich durchaus auch VPN-
Bild 3. VPN (IPSEC/L2TP) Remote-Access-Lösung mit End-To-Site- und Site-To-SiteTunneling
Provider, erfolgt automatisch der Tunnelabbau und, die IPSec-SAs können gelöscht werden (Punkt 4). Mit Punkt 5 (IP-NAT) gibt es – wie eingangs beschrieben – bei einem L2TP-Tunnel keine Probleme. Die im RFC 2888 beschriebenen Nachteile sind der Overhead (L2TP- und IPSec-Header), die Komplexität der Implementierung (Layer-2-Tunneling und IPSec) sowie das unverschlüsselte Versenden der privaten IP-Adressen (IPSec wird erst nach dem Tunnelaufbau und anschließender PPP-Verhandlung aktiv). Die praktische Erfahrung mit “IPSec over L2TP” zeigt jedoch, dass sich der Overhead entweder durch PPP-Kompression oder IP-Kompression (IPcomp) auf IPSec-Ebene begrenzen lässt. Die Komplexität der Implementierung eines Herstellers hängt von dessen Kenntnissen hinsichtlich Layer-2-Technologie ab. Das Problem des unverschlüsselten Ver-
LANline Spezial Das sichere Netz III/2001
Gateways verschiedener Hersteller einsetzen. Allerdings können Probleme beim Einsatz von digitalen Zertifikaten auftreten. Im Bereich Remote Access weist IPSec erhebliche Mängel auf, die leider von Anbietern und Consultants sehr selten angesprochen werden, aber deren Kenntnis wichtig für Unternehmen sind, die in ein Remote-Access-VPN investieren wollen. Ohne Zweifel hat IPSec für Remote Access seine Berechtigung, wenn es allen Herstellern gelänge, sich auf ein einheitliches Verfahren zu einigen (zum Beispiel “IPSec over L2TP”). Doch so lange immer wieder neue Drafts eingereicht werden oder sogar mehrere Drafts existieren, die das gleiche Problem zu lösen versuchen, ist es sehr schwer, von einem Standard zu sprechen. (Andreas Baehre/gh) Andreas Baehre ist Chefentwickler bei NCP Engineering.
www.lanline.de
SICHERHEITSTECHNOLOGIE
KRYPTOGRAPHISCHE FUNKTIONEN
Verschlüsselung auch in Dateisystemem Einen phasenweisen Aufschwung erlebt das Sicherheitsbedürfnis in der IT immer wieder dann, wenn Modifikationen von Websites, Denial-of-Service-Attacken und das massive Auftreten von Viren bekannt werden. Features wie Kerberos, IP-Security, verschlüsseltes Dateisystem, Zertifikate und Secure-Socket-Layer (SSL) tragen dazu
SCHLÜSSELDIENSTE Es gibt mittler-
bei, ein Netzwerk unverwundbarer gegen Übergriffe zu gestalten.
weile sehr viele unterschiedliche kryptographische Funktionen, sie lassen sich jedoch alle lediglich in drei Kategorien gliedern: die Einweg-, symmetrische und asymmetrische Verschlüsselung. Bei der Einwegfunktion wird eine Nachricht mittels eines mathematischen Algorithmus derart verschlüsselt, dass ein Entschlüsseln unmöglich ist. Wird das Ergebnis immer auf eine vordefinierte Länge gebracht, spricht man von einer Hash-Funktion. Um auf die Ausgangsnachricht (Digest) zu kommen, müssen alle mögli-
Allerdings wissen die Wenigsten um die Funktionsweise, Einsatzgebiete und Limitierungen dieser Funktionalitäten.
ie komplette Netzwerksicherheit lässt sich auf die fünf folgenden Eigenschaften reduzieren. Wenn darüber nachgedacht wird, Sicherheitsmechanismen zu implementieren, so muss klar sein, dass ein einzelner Mechanismus niemals alle Aspekte berücksichtigt. “Vertraulichkeit” bedeutet, dass private Daten nicht von unbefugten Personen gelesen werden können. Dabei unterscheidet man zwischen gesendeten und gespeicherten Daten. Gespeicherte Informationen können durch verschlüsselte Dateisysteme vertraulich abgelegt werden. Um Informationen vertraulich zu übermitteln, haben sich Technologien wie SSL und IPSec durchgesetzt. “Integrität” setzt voraus, dass ein Empfänger sichergehen kann, dass die empfangene Daten nicht geändert wurden. “Zurückweisungsverhinderung” besagt, dass ein Sender einer Nachricht nicht bestreiten kann, eine bestimmte Nachricht geschickt zu haben. Bei E-Mails etwa kann anhand von Signaturen geprüft werden, ob die Nachricht wirklich von dem angegebenen Absender stammt. “Wiederholungsverhinderung” soll sicherstellen, dass jemand, der einen
D
70
er sich ausgibt. Authentisierung wird häufig mit Autorisierung verwechselt. Die Authentisierung stellt lediglich die Identität eines Benutzers fest und sagt nichts darüber aus, ob der authentisierte Benutzer überhaupt Rechte auf die zugegriffene Ressource besitzt – ähnlich einem Personalausweis, der belegt, wer der Besitzer dieses Ausweises ist, nicht aber gleichzeitig eine Einreiseerlaubnis bedeutet. Auch diese Funktionalität wird bei Windows 2000 mit Kerberos ermöglicht.
Verbindungsaufbau zweier Hosts auf Netzwerkebene mitprotokolliert, diese Information nicht dazu nutzen kann, seinerseits eine Verbindung mit einem dieser Hosts aufzunehmen und sich dabei als der andere Host ausgeben. Dies wird bei Kerberos mit Zeitstempeln und Zufallswerten erreicht.
Bild 1. Einwegverschlüsselung
“Authentisierung” bedeutet, dass ein Empfänger einer Nachricht (Benutzer oder Dienst) feststellen kann, ob der Absender wirklich derjenige ist, für den
LANline Spezial Das sichere Netz III/2001
chen Ausgangsnachrichten mit der Hash-Funktion verschlüsselt und anschließend die Ergebnisse verglichen werden. Dabei muss eine Kollisions-
www.lanline.de
SICHERHEITSTECHNOLOGIE
freiheit der Funktion gewährleistet sein. Das bedeutet, dass keine zwei verschiedenen Ausgangsnachrichten zum selben Digest führen. Ein praktisches Beispiel wäre folgende Einwegverschlüsselung: Nehmen Sie einen beliebigen Satz, lassen Sie jedes zweite Wort weg, schreiben Sie den Rest on block und entfernen dabei immer den ersten und fünften (falls vorhanden) Buchstaben eines Worts. Wenn Sie dann das Ergebnis (Digest) auf eine vordefinierte Länge bringen, beispielsweise durch Abschneiden überschüssiger Buchstaben, so spricht man von einem Hash-Algorithmus. Um nun auf den Ausgangssatz zu kommen, müssen alle möglichen Wortkombinationen mit diesem Beispielalgorithmus chiffriert und die Digests verglichen werden. Genutzt wird dieses Verfahren zum Beispiel beim Speichern von Passwörtern bei NT 4.0 oder zur Sicherstellung der Integrität
www.lanline.de
von gesendeten Daten. Wenn bei einer Nachricht der Hash der Nachricht mitgeschickt wird, kann der Empfänger überprüfen, ob die Daten geändert wurden, indem er die empfangene Nachricht ebenfalls verschlüsselt und den Digest vergleicht. Dazu muss natürlich auf beiden Seiten derselbe Hash-Algorithmus verwendet werden. Gängige Algorithmen sind MD2 (128 Bit Digest), MD4 (128 Bit Digest), MD5 (128 Bit Digest) und SHA1 (160 Bit Digest). MD3 sollte nicht mehr verwendet werden, da bei diesem Algorithmus Kollisionen entstehen können. SYMMETRISCHE VERSCHLÜSSELUNG
Bei der symmetrischen Verschlüsselung wird die Ausgangsnachricht mit einem Schlüssel verschlüsselt. Um von der verschlüsselten Nachricht wieder auf die Ausgangsnachricht zu kommen, wird wieder derselbe Schlüssel ange-
wandt, daher “symmetrisch” oder auch “reversible”. Ein Beispiel für eine symmetrische Verschlüsselung wäre, wenn Sie einen Brief schreiben und jeden Buchstaben durch eine Zahl ersetzen und bei einem “a” beispielsweise mit der Zahl 17 beginnen. Der Empfänger muss diesen Schlüssel kennen und kann dann den Text zurückübersetzen. Dieses Verfahren ist nur so sicher wie es die verwendeten Schlüssel sind. Versucht jemand den Schlüssel zu errechnen, indem er immer wieder die Ausgangsnachricht mit der verschlüsselten Nachricht vergleicht, so trägt zum einen die Schlüssellänge dazu bei, dies schwieriger zu gestalten. DES ist beispielsweise nur 56 Bit lang, wobei RC4 und RC2 jeweils 128 Bit lange Schlüssel vorweisen. Allerdings wird bei dem DES-Algorithmus jeder 64 Bit-Block einer Datei/ Nachricht einzeln verschlüsselt und
LANline Spezial Das sichere Netz III/2001
71
SICHERHEITSTECHNOLOGIE
meistens mit jeweils einem anderen Schlüssel. Außerdem gibt es noch 3DES, wo die gesamte Datei/Nachricht mit einem 128 Bit Schlüssel dreimal
lich längeren Schlüssel (mindestens 512 Bit) viel sicherer als die symmetrische Verschlüsselung, aber erheblich langsamer. Ein Beispiel für eine asym-
Bild 2. Ablauf der symmetrischen Verschlüsselung
hintereinander verschlüsselt wird, und DESX, wo außer dem bekannten Schlüssel eine Zufallszahl in den Algorithmus einfließt. Bei einigen Verfahren wird zur Erhöhung der Sicherheit die Gültigkeit eines symmetrischen Schlüssels zeitlich begrenzt. Falls ein Unbefugter doch mal einen Schlüssel herausfinden sollte, kann er diesen nach Ablauf der Zeit nicht weiter verwenden. Genutzt wird symmetrische Chiffrierung bei Verschlüsselung von gespeicherten und übertragenen Daten, da sie bis zu 1000-mal schneller ist als die asymmetrische Verschlüsselung. So werden beispielsweise Macintosh-Passwörter und die Datenübertragung bei IPSec symmetrisch verschlüsselt.
metrische Verschlüsselung wäre, wenn Sie jemandem als Nachricht einen Betrag übertragen. Um diesen zu verschlüsseln, wählen Sie folgende Formel: Nachricht = Betrag3 Damit der Empfänger diese Nachricht entschlüsseln kann, muss der jedoch diese Formel anwenden: 3√ Nachricht = Betrag In der Praxis ist es, anders als in unserem Beispiel, absolut unmöglich, von
einem Schlüssel auf den dazugehörigen anderen zu schließen. Sollte also ein Benutzer seinen Private-Key verlieren, so besteht keine Möglichkeit, die mit seinem Public-Key verschlüsselten Daten zu entschlüsseln. Beim RSA-Verfahren werden der Private-Key (d) und der Public-Key (e und n) aus zwei unterschiedlichen Primzahlen (p und q) errechnet. Die Primzahlen werden nach dem Erstellen der Schlüssel verworfen. Die verschlüsselte Nachricht c wird aus der Ausgangsnachricht m nach der Gleichung c= me mod n erstellt. Das Entschlüsseln erfolgt über die Funktion m= cd mod n. Ohne Kenntnis des privaten Schlüssels d ist die Nachricht daher unzugänglich. Die Namen der Schlüssel rühren daher, dass Public-Keys öffentlich von Allen zugänglich sind, zum Beispiel, wenn sie bei Verisign oder Global Trust beantragt werden. Private-Keys bleiben nach Erhalt immer beim Benutzer und werden niemals an andere weitergegeben. Welcher der beiden Schlüssel public und welcher private markiert wird, ist dabei völlig unerheblich. Der vereinfachten Schreibweise wegen wird dieses Verfahren meistens nur Public-Key-Technik genannt. Genutzt werden asymmetrische Chiffrierverfahren zur Signierung und Verschlüsselung von E-Mails. SIGNATUR Die Signatur ist eine Son-
derform der asymmetrischen Verschlüsselung und wurde mit Inkrafttreten des neuen Signaturgesetzes im
ASYMMETRISCHE VERSCHLÜSSELUNG Die asymmetrische Verschlüsse-
lung (Public-Private-Key-Verschlüsselung) erfordert für die Entschlüsselung einer Nachricht einen anderen Schlüssel als zur Verschlüsselung. Die Schlüssel stehen in einem mathematischen Verhältnis zueinander, sodass mit dem Publik-Key verschlüsselte Daten nur mit dem zugehörigen Private-Key entschlüsselt werden können. Dieses Verfahren ist daher und wegen der wesent-
72
LANline Spezial Das sichere Netz III/2001
Bild 3. Prinzip der asymmetrischen Verschlüsselung
www.lanline.de
SICHERHEITSTECHNOLOGIE
Frühjahr 2001 der handschriftlichen Unterschrift gleichgesetzt. Die Aufgaben der Signatur sind nach dem Gesetz zur digitalen Signatur lediglich das Kennzeichnen einer Nachricht, sodass auch Modifikationen an dieser Nachricht vom Empfänger erkannt werden können. Die Verschlüsselung der Nachricht selbst ist dadurch nicht gegeben. Bei der Signatur wird die Nachricht erst gehashed, wodurch sich Integrität erzielen lässt. Danach wird der erhaltene Digest mit dem Private-Key verschlüsselt. Durch den für jedermann zugänglichen Public-Key des Absenders kann die Signatur durch den Empfänger verifiziert werden. SCHLÜSSELVEREINBARUNGSMETHODEN Schlüsselvereinbarungsmethoden
dienen der Aushandlung von symmetrischen Schlüsseln, denn was nützt eine starke (symmetrische) Verschlüsselung,
www.lanline.de
wenn die Möglichkeit besteht, den eingesetzten Schlüssel zu erfahren. Die gängigsten Vereinbarungsmethoden sind das Deffie-Hellman-Verfahren und Encrypted-Key-Exchange. Letzteres wird später im Text zusammen mit der Secure-Channel-Dateiübertragung erklärt, weil es unter anderem dort seine Anwendung findet. Beim Deffie-Hellman-Verfahren einigen sich zwei Partner (zwei Router oder ein Router und ein Server) auf eine natürliche Zahl g und eine Primzahl p. Partner 1 wählt außerdem eine Zufallszahl a während Partner 2 eine Zahl b annimmt. Diese beiden Zahlen verlassen niemals den jeweiligen Partner. Aus diesen Zufallswerten und den vorher ausgehandelten Werten errechnet Partner 1 den Wert (und Partner 2 den Wert.) Diese Werte werden dem Partner mitgeteilt. Der eigentliche Clou liegt in der Mathematik, denn beide Partner sind nämlich in der Lage, trotz der geheim gehaltenen
Zahlen auf dasselbe Ergebnis zu kommen, den symmetrischen Schlüssel K. Diese Methode wird bei IPSec-Übertragungen eingesetzt. Dort kann außerdem definiert werden, wie häufig ein neuer symmetrischer Schlüssel ausgehandelt werden soll. VERSCHLÜSSELTE
DATEISYSTEME
Ein mittlerweile häufig angewandter Sicherheitsmechanismus ist das verschlüsselte Dateisystem. Es dient der Absicherung gespeicherter Daten. Diese können allerdings auch mit Dateisystem-Berechtigungen, etwa unter dem Netware-Dateisystem oder NTFS, abgesichert werden. Wenn ein Benutzer keinem anderen außer sich selbst Rechte auf seine Dateien vergibt, so wird unter normalen Umständen kein anderer in der Lage sein, diese Daten zu lesen. Lediglich der Administrator kann unter Umständen sich selbst Rechte auf Be-
LANline Spezial Das sichere Netz III/2001
73
SICHERHEITSTECHNOLOGIE
nutzerdaten vergeben. Schließen wir diesen Fall aus, so sind die Daten unter normalen Umständen mit DateisystemRechten ausreichend gesichert. Sollte es aber für jemanden möglich sein, die
(EFS) unter Windows 2000. Dieses ist für den Benutzer transparent. Wird eine Datei zur Verschlüsselung ausgewählt, so generiert der Random-Key-Generator (RKG) einen Zufallswert als sym-
Bild 4. Die Signatur ist eine Sonderform der asymmetrischen Verschlüsselung
Daten aus der Betriebsumgebung zu entfernen, indem beispielsweise ein Notebook oder eine Festplatte gestohlen wird, so kann die Festplatte in einen anderen Computer eingebunden und die Daten mit Hilfe eines anderen Betriebssystems ausgelesen werden. Dies ist nicht möglich, wenn die Daten vom Benutzer verschlüsselt wurden. Verschiedene Betriebssysteme bieten dafür unterschiedliche Verschlüsselungsansätze. So gibt es für Linux beispielsweise optional ein so genanntes steganografisches Dateisystem. Dabei ist es dem Benutzer möglich, seine Daten mit einem Passwort (= symmetrischer Schlüssel) zu verschlüsseln. Das Besondere dabei ist, dass drei verschiedene Verschlüsselungsebenen definiert werden können, die abhängig vom Passwort sind. Dem Benutzer sind während der Arbeit nur die Daten jener Sicherheitsebene sichtbar, für die er das Passwort eingegeben hat. Einen ganz anderen Weg geht Microsoft mit dem Encrypted-File-System
74
metrischen Schlüssel. Unter Zuhilfenahme dessen wird eine DESX-Verschlüsselung der Datei durchgeführt, nicht eine DES-Verschlüsselung, wie in einiger Fachliteratur beschrieben. Für jede Datei wird ein eigener Schlüssel generiert, dessen Länge abhängig von der Sprachversion von Windows 2000 ist. Nur bei der US-Version ist er standardmäßig 128 Bit lang, bei den ande-
LANline Spezial Das sichere Netz III/2001
ren Versionen 40 Bit. Mit dem mittlerweile verfügbaren High-EcryptionPack kann das Produkt den amerikanischen Richtlinien angepasst werden. Spätere Releases von Windows 2000 sollen neben DESX auch andere Algorithmen unterstützen. Da es sich hierbei um eine symmetrische Verschlüsselung handelt, benötigt der Benutzer für die Entschlüsselung dieselben Schlüssel. Daher wird jeder Schlüssel im DataDecription-Field (DDF) einer Datei angehängt. Dieser Schlüssel wird seinerseits asymmetrisch mit einem 512 oder 1024-Bit-Public-Key des Benutzers verschlüsselt, da sonst jeder Zugriff darauf und damit auf die Datei hätte. Da nur der Benutzer, der diese Datei verschlüsselt hat, den entsprechenden Private-Key besitzt, sind die Daten vor Übergriffen geschützt. Zusätzlich wird der Schlüssel noch mit dem Public-Key eines Recovery Agents asymmetrisch verschlüsselt und im Data-RecoveryField (DRF) ebenfalls der Datei angehängt. Damit ist gewährleistet, dass die Daten nicht unzugänglich sind, falls der Benutzer seinen Schlüssel verliert. Falls mehrere Recovery Agents definiert wurden, wird pro Agent ein eigenes DRF generiert. Das Public-Private-Schlüsselpaar für den Administrator generiert Windows 2000 sowohl lokal als auch in der Domäne bei der Installation. Für einen Benutzer gibt es zwei Möglichkeiten, ein Schlüsselpaar zu erhal-
Bild 5. Einstellungen bei IPSec unter Windows 2000
www.lanline.de
SICHERHEITSTECHNOLOGIE
ten. Wenn der Administrator einen Certificate-Server aufgesetzt hat, kann er für alle Benutzer ein X.509 Version 3 Zertifikat anfordern, welches ein Schlüsselpaar für Dateiverschlüsselung beinhaltet. Dieses Zertifikat kann nicht zur Authentisierung oder E-Mail-Verschlüsselung verwendet werden. Wenn der Benutzer diese Zertifikat importiert, verwendet EFS diese Schlüssel. Ist kein entsprechendes Zertifikat importiert worden, so generiert EFS für den Benutzer bei der ersten Verschlüsselung ein Zertifikat mit den jeweiligen Schlüsseln. Sowohl die importierten als auch automatisch generierten Zertifikate werden im Profil eines Benutzers gespeichert und sind im Snap-in “Zertifikate” zu sehen. Werden keine Server-basierenden Profile implementiert, so generiert EFS auf jedem Computer oder Server, auf dem ein Benutzer Dateien verschlüsselt, für ihn ein neues Zertifikat in speziellen Verzeichnissen. Das bedeutet, dass für jeden Benutzer, der auf einen Server zugreift, ein minimales, lo-
Bild 7. Dateiverschlüsselungs-Zertifikat
76
kal gespeichertes Profil generiert wird. Geht nun das Profil auf einem Server verloren, so kann der Benutzer selbst
tigen Version von EFS ist eine gemeinsame Benutzung verschlüsselter Dateien durch mehrere Benutzer nicht möglich.
Bild 6. Verschlüsselung eines Verzeichnisses durch EFS unter Windows 2000
unter Verwendung des Zertifikats von einem anderen Computer nicht auf seine Daten zugreifen, sondern muss sie vom Recovery Agent restaurieren lassen. Daher empfiehlt es sich für einen Benutzer, das Zertifikat zu exportieren und beispielsweise auf einer Diskette zu sichern. Dies geschieht mit dem Snap-in “Zertifikate-Aktueller-Benutzer” in der Microsoft-ManagementConsole. Zu beachten ist auch, dass NTFS vor EFS greift, das heißt, wenn ein Recovery Agent vom Benutzer keine NTFS-Rechte auf die Datei erhalten hat, so kann er sie selbst dann nicht wieder herstellen, wenn er den entsprechenden Private-Key vorweisen kann. In der derzei-
LANline Spezial Das sichere Netz III/2001
Kopiert oder verschiebt ein Benutzer eine verschlüsselte Datei über das Netz, so wird die Datei auf dem Quellsystem transparent entschlüsselt und auf dem Zielsystem wieder transparent verschlüsselt. Der eigentliche Transfer der Daten findet natürlich unverschlüsselt statt. Um diesen ebenfalls sicher zu gestalten, können IP-Security oder Secure Channel eingesetzt werden. SECURE CHANNEL Secure Channel
(abgekürzt Schannel) unterstützt mehrere Verfahren. Secure-Socket-Layer (SSL), mittlerweile in der Version 3, wurde von Netscape entwickelt und ist eines davon. Da diese Technik entwickelt wurde, bevor es ein RFC (Request for Comment) dazu gab, wurde nach Fertigstellung der Richtlinien (RFC 2246) ein weiteres Protokoll herausgebracht, das Transport Layer Security Version 1 (TLS). Diese Verfahren sind zwar nicht kompatibel aber technisch fast identisch und werden daher im folgenden gemeinsam behandelt. Die Aufgaben von SSL/TLS sind Verschlüsselung der gesendeten Daten (Vertraulichkeit), und Authentisierung von Servern. Die Verschlüsselung findet ausschließlich symmetrisch statt.
www.lanline.de
SICHERHEITSTECHNOLOGIE
Allerdings wird eine asymmetrische Kryptographie genutzt, um den symmetrischen Schlüssel zu übertragen. Nachteil von SSL/TLS ist, dass die verwendeten Applikationen diese Protokoll unterstützen müssen. Exchange kann es beispielsweise zur Replikation und alle gängigen Web-Browser zur HTTPSVerbindung nutzen. Bevor die Daten gesichert über das Netz gesendet werden können, wird erst ein symmetrischer Hauptschlüssel, das Master Secret, ausgehandelt. Aus diesem generieren danach Server und Client jeweils einen eigenen symmetrischen Schlüssel zur Chiffrierung der Daten und einen Schlüssel zu Authentisierung der gesendeten Daten. Ein Client-Hallo-Paket ist typischerweise die erste Meldung beim Start einer SSL/TLS-Sitzung. Das Protokoll erlaubt auch dem Server ein Hallo-Paket anzufordern, was aber unüblich ist. Bestandteil dieses Pakets ist ein 32+28 Byte großer Zufallswert. Dieser wird zum Errechnen des Master Secrets auf beiden Hosts vermerkt. Außerdem enthalten sind zu verwendende symmetrische Chiffrierung, Hash-Algorithmen und das Schlüssel-Austausch-Verfahren. Microsoft-Applikationen nutzen in
eine Kompressionsmethode enthält. Anschließend sendet der Server sein X.509v3-Zertifikat, das seinen Public-
1. Client•Hallo 2. Server•Hallo 3. Zertifikate•des•Servers
Client
4. Pre-Master-Secret
78
}
Encrypted KeyExchange
5. Aufforderung•zur•Chiffrierung
Server
6. Client•Finished 7. Server•Finished 8. Verschlüsselte•Datenübertragung
Bild 8. Handshake bei SSL/TLS zur Aushandlung des Master Secrets
Key enthält, an den Client. Das TLSVerfahren begnügt sich damit, bei SSL werden vom Server noch weitere Zertifikate an den Client geschickt, unter anderem das der CA. Dies ist für das weitere Vorgehen allerdings nicht notwendig und dient lediglich der zusätzlichen Server-Authentisierung. Erfordert die Applikation oder die Website eine beid-
Die Tabelle listet die Protokolle, die SSL absichern kann, mit ihren Standard-Ports und den Ports, die im Falle einer SSL-Verschlüsselung verwendet werden
der Regel RC4, MD5 und SHA und Encrypted-Key-Exchange als SchlüsselEinigungs-Verfahren. Falls der Client Komprimierung unterstützt, gibt er die Methoden ebenfalls im ersten Paket mit. Der Server antwortet seinerseits ebenfalls mit einem Hallo-Paket, das eine 32+28 Byte große Zufallszahl, die eine ausgewählte Chiffrierungs-Suite und
Paket 5 erklärt der Client, dass er bereit ist zur Nutzung des Master Secrets und fordert damit den Server auf, symmetri-
seitige Authentisierung, dann schickt der Server in diesem Schritt auch ein Zertifikatanforderungspaket. Im dritten Schritt antwortet der Client mit einem Zertifikat, falls er dazu aufgefordert wurde. Außerdem schickt er den so genannten Pre-Master-Secret, eine 48 Byte lange generierte Zahl, verschlüsselt mit dem Public-Key des Servers. Im
LANline Spezial Das sichere Netz III/2001
sche Verschlüsselung zu nutzen. Zu diesem Zeitpunkt können Server und Client den Master-Secret-Key aus den erhaltenen Komponenten errechnen. Das Client-Finished-Packet dient der Überprüfung, das der Computer, der dieses Paket sendet, auch derselbe ist, der das “HalloPaket” geschickt hat. Dazu werden die Phrase “Client Finished” und alle vorangegangenen Handshake-Meldungen mit MD5 und SHA gehasht und das Ergebnis in zwei Teile geteilt. Ein Teil wird noch einmal MD5, der andere mit SHA gehasht, und am Ende wird eine XORVerknüpfung beider Digest durchgeführt. Der Server antwortet seinerseits mit einem “Server Finished”, welches sich um den String “Server Finished” vom “Client Finished” unterscheidet. Der Inhalt von Paket 6 und 7 ist bereits symmetrisch verschlüsselt, der folgende Datenaustausch ebenfalls. (Eduard Zander/mw) Eduard Zander (CNE, MCSE, MCT) ist Consultant für Netzwerk- und Security-Design beim Systemhaus Taskarena IT-Solutions am Standort Bonn. Sie erreichen den Autor unter der EMail-Adresse
[email protected].
www.lanline.de
SICHERHEITSTECHNOLOGIE
VERTRAUEN IST GUT, VORSORGE IST BESSER
Aktiver Schutz durch Content Inspection Eine klassische Firewall allein reicht bei weitem nicht, um vor unliebsamen Überraschungen aus dem Netz gewappnet zu sein. Die gezielte “Inhaltsbegutachtung” jeglichen externen Codes, der ins Firmennetz eingespeist werden soll, ist darüber hinaus vonnöten. Eingebettet in die allgemeinen Sicherheitsrichtlinien eines Unternehmens überwachen Tools wie Etrust Content Inspection die Informationsströme auf Gateway- und Desktop-Ebene, suchen gezielt auch nach verstecktem Datenbefall selbst in komprimierten Daten und verifizieren digitale Signaturen in Umgebungen wie Java oder Active-X.
ngesichts der Hiobsbotschaften über Virenbefall, Trojanische Pferde, gecrackte Websites etc. mag so manchen Administrator ein mulmiges Gefühl beschleichen, wenn er die ambitionierten E-Business-Pläne aus dem Management vernimmt. Vielleicht wird er sich mit Wehmut an Zeiten zurückerinnern, als die digitale Kommunikation mit Externen noch die Ausnahme und nicht die Regel war. Die Realität heute zeichnet natürlich ein komplett anderes Bild. Allein schon die Flut von E-Mails mit Anhängen, die große Organisationen tagtäglich via Web erreichen, öffnen der Beschädigung eines Netzwerks Tür und Tor. Ganz zu schweigen von den diversen Websites mit aktiven, auf Active-X oder Java fußenden Elementen, die ungebeten und unkontrolliert auf die Clients ins Netz gelangen können. Dass das Hacken oder die Verseuchung eines Netzes durch so genannte Script Kiddies, die ohne besonderes Sicherheitswissen im Netz verfügbare Tools als “Black Box” und damit als Waffe benutzen, immer einfacher wird, erhöht die Gefahr. Folglich stehen die Netzverantwortlichen vor der Herausforderung, gute – sprich nützliche – Daten und Code in das Firmennetz zu lassen, während man nichtvertrauenswürdigen, mitunter fehlerbehaf-
A
80
teten Objekten den Zutritt verwehrt. Dieser Aufgabe versuchen Administratoren in der Regel durch den Einsatz von Firewalls gerecht zu werden. Sie sollen zum einen
die Verwaltungsinformation der Datenpakete (beispielsweise die Header-Infos von TCP/IP) durch den eingestellten Filter gesichtet und gegebenenfalls zum Client gelotst. Die Inhalte der eigentlichen Datenpakete werden dabei nicht untersucht. Gegen eine Vireneinschleusung über die Anwendung, insbesondere bei gefälschten Packet-Headern ist man also nicht gefeit. Selbst weitreichendere Ansätze wie Stateful Inspection, eine Art Paketfilter mit Gedächtnis, ziehen ihr Wissen allein aus den Headern und analysieren hierfür die Übertragung zwischen Sicherungs- und Transportschicht. Die meisten Firewall-Systeme sind folglich nur eingeschränkt in der Lage, im Bereich der erlaubten Kommunikation Angriffen mittels E-Mail-Attachments, Downloads, Java-Applets oder Active-X-Controls adäquat zu begegnen, ganz zu schweigen von zerlegten Virusprogrammen, deren IP-Header sich verkleiden und die sich erst nach der Firewall wieder zusammensetzen. Einschlä-
Bild 1. Das Control Center fungiert als zentrale Steuereinheit, die beispielsweise Änderungen der Policies vom Policy Manager empfängt
“schädliche” Inhalte vom zu schützenden Bereich fernhalten und zum anderen nützlichen Inhalt durchlassen. In der einfachsten und verbreitetsten Variante, dem Paketfilter, werden einzig
LANline Spezial Das sichere Netz III/2001
gige Antivirenprogramme, die ergänzend eingesetzt werden, können wiederum Schädlinge, die die Firewall überwunden haben, nur anhand bekannter digitaler Signaturen erkennen.
www.lanline.de
SICHERHEITSTECHNOLOGIE
Die fünf Vorteile der Überprüfung von Daten auf der Anwendungsebene: 1. Proaktive Sicherheit, da im Gegensatz zu traditioneller Antiviren-Software kein kontinuierliches Update der Signaturdateien zwingend erforderlich ist. 2. Als Gateway-basiertes System erfolgt der Schutz schon am Eingangspunkt der Information. 3. Durchsetzung einer aktiven Sicherheitspolitik, da nur vom Administrator anerkannte Attachments sowie Dateien Einlass finden und Script-Filtering “tückischen” Code draußen lässt. 4. Endanwender werden entlastet, da die zentralen Sicherheitsregeln am Gateway erfolgen. 5. Zugangsbeschränkung oder Abblocken von unerlaubten URLs.
Eine unkontrollierte und unbewusste Ausführung von Programmen, und sei es nur als Java-Applets oder Active-X-Controls einer Website, stellt aber immer ein sicherheitstechnisches VabanqueSpiel dar. Und da eine prinzipielle Abschaltung aktiver Inhalte angesichts des Designs heutiger Websites unmöglich ist, sind zwei Dinge erforderlich. Die aktive Inhaltsüberprüfung auf Anwendungsebene, die schon vor der Weiterleitung an den Client greift, tut folglich Not. Und auf dem Arbeitsplatzsystem muss ein gesonderter Schutz sicherheitsrelevanter Anwendungen und Dateien im Einsatz sein. Programme wie beispielsweise Etrust Content Inspection komplettieren deshalb in Unternehmen eingesetzte Sicherheitssysteme wie Firewalls um den aktiven Schutz auf der Ebene der AnwendungsSoftware. Integriert mit den Internet-Gateway-Servern verhindern sie etwa, dass unerwünschte Downloads den Weg zur Workstation finden. Alle eingehenden HTTP-basierten Objekte werden hierfür am Gateway abgefangen. Digital signierte Objekte werden zur Verifizierung inspiziert, komprimierte Dateien wie .CAB oder .ZIP zunächst ausgepackt und im Anschluss auf Verstoß gegen die Sicherheitsregeln analysiert. Erst nach positiver Prüfung erfolgt der Transport ins Firmennetzwerk. Da die beschriebene Kontrolle proaktiv auf Basis vordefinierter Regeln in Echtzeit erfolgt, ergänzt die “Inhaltsinspektion” zudem Antivirenprogramme, die bei bekannten Mustern – eventuell ergänzt um heuristische Verfahren – Alarm schlagen.
www.lanline.de
Die wichtigste Komponente der Etrust Content Inspection ist die Gateway Service Application, die eine Schleuse für den
externen Datenstrom darstellt. Neben der “Prüfmaschine” umfasst die Architektur einige Managementwerkzeuge, um die Arbeit des Administrators zu entlasten. Hierzu gehört als oberste Steuereinheit das Browser/Exchange-basierte Control Center, das von dem Policy Manager alle Änderungen an den Sicherheitsregeln als auch die Daten der vom Gateway analysierten Objekte erfährt. Sämtliche Informationen werden dabei in einer Datenbank gespeichert. Der Policy Manager erlaubt von zentraler Stelle aus Sicherheitspläne zu erstellen, Antivirenlisten zu führen und diese an die entsprechenden Gateways zu verteilen. Der Audit Viewer
Vom BSI vorgeschlagene Maßnahmen für Administratoren Schutzmaßnahmen für den Endanwender: – Einsatz von Virenschutzprogrammen mit regelmäßiger automatisierter Aktualisierung (Update), da ein veraltetes Schutzprogramm nur für ein falsches Sicherheitsgefühl sorgt. Die Programme sollten sowohl zentral bei der Überwachung der E-Mail eingesetzt werden (File- beziehungsweise Mail-Server), als auch lokal beim Endanwender (Client), damit dieser auch bei verschlüsselter Kommunikation geschützt ist. – Die Konfiguration der E-Mail-Clients sollte so eingestellt sein, dass Attachments nicht automatisch geöffnet werden. Außerdem sollten als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (etwa Winword) oder Scripts eingesetzt werden. Aus Sicherheitsgründen sollte ebenfalls das HTML-Format nicht verwendet werden. – Die Endanwender sollten im Umgang mit E-Mails entsprechend geschult und hinsichtlich der Sicherheitsaspekte sensibilisiert werden. – Für Probleme ist ein zentraler Ansprechpartner (E-Mail-Adresse, Telefon- und Faxnummer) zu benennen. Zentrale Schutzmaßnahmen: – Virenschutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs sind auf MailServern und Gateways zu installieren und regelmäßig zu aktualisieren. – Filterregeln an Gateways oder Firewalls sowie die Nutzung von “Policies” sind zur Erhöhung der Sicherheit gut geeignet. Derartige Maßnahmen erfordern oft keine teuren Zusatzprodukte. Dabei können Dateitypen (beispielsweise *.VBS, *.WSH, *.BAT, *.EXE), die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen, gleich zentral abgeblockt werden. – Es sollten nur vertrauenswürdige E-Mail-Programme zugelassen sein, die auch über entsprechende Sicherheitsfunktionen verfügen. “Private” Insellösungen auf einzelnen Arbeitsplatzrechnern dürfen nicht zugelassen werden, um die Sicherheit des Gesamtsystems nicht zu gefährden. – Rechner, auf denen für die Organisation, Firma oder Behörde kritische Anwendungen laufen, müssen ohne E-Mail und Internet-Zugang betrieben werden. – Rechner mit ungeschützter externer Kommunikationsverbindung (beispielsweise ein Modem ohne Anschluss über gesicherte Gateways und Firewalls) dürfen nicht gleichzeitig mit dem Firmen- oder Behördennetz verbunden sein. Die Installation solcher Kommunikationsverbindungen erfordert eine ausdrückliche Genehmigung. – Und nicht zu vergessen – Datensicherung! Bei Datenverlust ist das die einzige Maßnahme, die einen Weiterbetrieb der Firma, Organisation oder Behörde ermöglicht. Quelle: http://www.bsi.de
LANline Spezial Das sichere Netz III/2001
81
SICHERHEITSTECHNOLOGIE
gewährt wiederum einen Blick auf das Aktivitäten-Logfile, das sämtliche Prüfungen und etwaige Sicherheitsverletzungen enthält und bei Bedarf in die allgemeine Sicherheitskontrolle eines Unternehmens fließen kann.
gurationen im Gegensatz zur CVP-Version das jeweilige Plug-in auf derselben Maschine wie der Cache-(Proxy-)Server, der den HTTP-Verkehr transportiert. Und als Stand-alone-Gateway-Edition übernimmt Etrust Content Inspection neben
Bild 2. Über den Audit Viewer können die Log-Dateien Gateway-Log und Security-Log betrachtet werden. Standardmäßig öffnet das sich das Gateway-Log.
Da die Prüfarbeiten auf Anwendungsebene erfolgen, ist es sinnvoll, neben einer allgemeinen Variante für die wichtigsten Programme spezielle Konfigurationen vorzuhalten, die zum einen sofort einsetzbar sind und zum anderen auf die Eigenarten Rücksicht nehmen. Im Fall von Etrust Content Inspection sind dies Checkpoints Firewall-1 (CVP Edition) sowie Editionen für die Cache-Server (Proxies) von Microsoft und Netscape. In der CVP-Edition wird beispielsweise jeglicher HTTP-Verkehr gemäß vordefiniertem Plan analysiert, bevor die Weiterleitung an die Workstation im Netz über das Firewall-System genehmigt wird. Die Integration der Inspection Engine wird dabei als Regel in der Firewall-1-Regelbasis vorgenommen, um durch Umleitung diese “Vorkontrolle” zu gewährleisten. Die Proxy-Editionen arbeiten wiederum als Plug-in für Microsofts Proxy-Server-2.0 und Netscape-Proxy-Server (auch unter Unix). Deshalb residiert in solchen Konfi-
82
der Kontrolle der Inhalte zusätzlich die Aufgabe der Firewall, untersucht Attachments auf Viren und überprüft unsignierte Java Applets und Active-X-Controls unter SMTP, HTTP sowie FTP. Ergänzend zu den Gateway-Versionen erlaubt die Etrust Content Inspection Desktop Edition die Analyse der lokalen Ressourcen. Schließlich kann “tückische” Software auch durch andere Wege (CDs, Disketten, Platten, Laptops, PDAs etc.) den Weg in das interne Netz finden. Durch die Einrichtung einer so genannten persönlichen Sicherheitszone lassen sich darüber hinaus alle wichtigen Programme und Dateien gesondert schützen. Der Zugriff hierauf ist aus dem ungesicherten Bereich allein bei expliziter Bewilligung durch den Anwender möglich. Vorsicht ist aber bei remote Zugriff geboten, da die Schutzrechte dann ausgehebelt werden. Die “private” Inhalteinspektion darf aber nur als Ergänzung der Gateway-ServiceApplication begriffen werden. Sie wird nie
LANline Spezial Das sichere Netz III/2001
ein vollwertiger Ersatz zu der zentralen Einrichtung sein. Denn wer die Einhaltung der Sicherheitsregeln den Endanwendern überträgt und sich auf deren hundertprozentige Einhaltung durch diese verlässt, wird schnell eines Besseren belehrt werden. Schon aus prinzipieller Managementsicht ist es deshalb wünschenswert, alles zentral administrieren zu können. Dies erleichtert die Einbettung in das allgemeine System- und Sicherheitsmanagement, und die Administration und Konfiguration der Gateways wird vereinfacht. Zudem ist es meist nicht mit dem Betrieb eines einzigen Gateways getan. Denn zum einen halten viele Firmen mehrere Internet-Zugänge offen. Zum anderen ist ein hochstehender Schutz mit Content Inspection nicht “umsonst”, sprich ohne Belastung der Netzressourcen zu haben. In der Regel werden deshalb Firmen je nach gewünschtem Sicherheitsniveau ihre Auswahl unter den verschiedenen Sicherheitskonzepten treffen. Durch Segmentierung in einzelne Bereiche lassen sich beispielsweise dann je nach Gewichtung des Sicherheitsbedarfs die Filter setzen und – wenn echte Proxies mit Content Inspection vorhanden sind – müssen nicht alle Protokolle (UDP etc.) über die Firewall gelenkt werden. Sicher ist auf jeden Fall, dass für die Internet-Einbindung immer ein mehrstufiges Konzept ratsam ist. Eine falsche Anordnung der einzelnen Tools kann hier aber schnell eine Maßnahme ins Leere laufen lassen. Beispielsweise arbeitet die oben beschriebene Integration der Checkpoint Firewall mit Etrust Content Inspection vergleichbar zu einer zweistufigen Firewall-Konzeption. Wenn für remote Anbindungen der Einsatz von Tunneling-Konzepten wie VPNs (Virtual Private Networks) ins Auge gefasst wird, darf die Content Inspection nicht an derselben Netzwerkkarte hängen wie der Tunnel und damit zur verschlüsselten Zone gehören, denn sonst wäre aufgrund der Verschlüsselung “tückischem” Code wieder unversehens ein Tor geöffnet. (Matthias Frank/mw) Matthias Frank ist Product Manager bei Computer Associates in Damstadt.
www.lanline.de
SICHERHEITSTECHNOLOGIE
VERSCHLÜSSELUNG VON E-MAILS
Risiken und Schutzbedarf Weltweit versenden Anwender täglich Millionen von E-Mails. Die meisten davon gehen unchiffriert über das Internet, da sich viele Unternehmen der damit verbundenen Risiken nicht bewusst sind. Internet-Mails lassen sich jedoch problemlos und ohne größeren Aufwand schützen: So bleiben Geschäftsgeheimnisse gewahrt, und der Datendiebstahl im Internet wird weitestgehend ausgeschlossen.
as Kommunikationsmittel E-Mail über das Internet beschleunigt Geschäftsprozesse und ist von den Anwendern leicht zu handhaben. In aller Regel weist es jedoch einen schwerwiegenden Mangel auf: Die dabei versendeten Informationen gehen ohne besondere Vorsichtsmaßnahmen über das Internet. Im
D
Postkarten können im Postamt, auf dem Weg zwischen Postämtern oder durch den Briefträger ohne großen Aufwand gelesen werden. Dies ist jedoch nicht das einzige Risiko beim Versenden von Informationen mittels Internet-Mails. Je nach Einsatzgebiet können weitere Probleme auftreten wie:
Internet-Security-Appliances wie die Scryptguard von Dica können transparent für den Anwender E-Mails vor der Übertragung über das Internet verschlüsseln – jedoch nur, wenn die Gegenstelle ebenfalls ein entsprechendes Gerät zur Entschlüsselung besitzt
übertragenen Sinn heißt das, die verwendeten Briefumschläge sind durchsichtig. Was dies für die Geschäftspost von Unternehmen bedeutet, liegt klar auf der Hand: Der Brief ist kein Brief, der in einem Umschlag steckt, sondern eine für jedermann lesbare Postkarte.
www.lanline.de
– organisatorische und technische Mängel, die das Risiko von Internet-Mails stark erhöhen. Dazu gehören der falsche Umgang mit Passwörtern (unerlaubter Zugang zum Mail-Client), Datenverluste durch unzureichend dimensionierte Systemressourcen (fehlender Mail-Spei-
LANline Spezial Das sichere Netz III/2001
83
SICHERHEITSTECHNOLOGIE
cher) oder fehlerhaft konfigurierte Systemkomponenten (unkorrekte Systemzeit oder falsche Redirect-Adressen). – Fehlhandlungen durch menschliches Versagen, die Sicherheitsmaßnahmen unwirksam machen (Angabe falscher Adressen, das Anhängen falscher Dateien oder das Nichtbeachten von Sicherheitsoptionen). So belegen beispielsweise aktuelle Studien von Sozialwissenschaftlern des Europäischen Instituts für IT-Sicherheit an der Ruhr-Universität Bochum, dass der Mensch das größte Sicherheitsrisiko in Netzwerken darstellt. – Vorsätzliche Handlungen zur Gefährdung des Internet-Mail-Verkehrs, die innerhalb des Unternehmens oder durch Dritte ausgeführt werden. Diese können sich entweder gegen einzelne E-Mails oder den gesamten Internet-Mail-Dienst richten. Die Frage ist nun, wie sich – vor dem Hintergrund dieser Problematik – InternetMails am besten schützen lassen.
Der allgemeine Schutz des Internet-Mail-Dienstes erfolgt im Wesentlichen über Mail-Filter auf Servern oder Firewalls. Das Stichwort im Bereich der Sicherung einzelner E-Mails heißt jedoch Verschlüsselung. Um im Bild von oben zu bleiben, geht es hierbei darum, einem Brief einen Umschlag zu geben und ihn so vor unbefugten Blicken zu schützen. Da aber ein Briefumschlag beispielsweise über Wasserdampf leicht und ohne Spuren zu hinterlassen, geöffnet werden kann, muss der “elektronische” Briefumschlag für E-Mails eine wichtige zusätzliche Eigenschaft besitzen: Er darf sich nur mit dem speziellen “Brieföffner” des Empfängers öffnen lassen können. Dies ist bei asymmetrischen Verschlüsselungsverfahren der Fall. Während symmetrische Sicherheitssysteme den gleichen Schlüssel für Absender und Empfänger erfordern und dieser auf eine absolut sichere Weise ausgetauscht werden muss (also keinesfalls über das Internet), arbeiten asym-
VERSCHLÜSSELUNG
Public Key Encryption Gerüstet mit den Verschlüsselungswerkzeugen Private Key und Public Key lassen sich E-Mails vor vielfältigen Bedrohungen schützen: Maßnahme
Ergebnis
Verschlüsseln des Mail-Körpers mit dem Public Key des Empfängers
Mail-Körper kann nur vom Besitzer des
Erzeugen eines eindeutigen Komprimats des Mail-Körpers und Verschlüsselung mit Private Key Erzeugen eines eindeutigen Komprimats des Mail-Körpers und Verschlüsselung mit Private Key Erzeugen eines Zeitstempels und Verschlüsselung mit dem Private Key des Zeitstempeldienstes Verschlüsseln des Mail Körpers mit dem Public Key des Empfängers Erzeugen eines eindeutigen Komprimats des Mail-Körpers und Verschlüsselung mit Private Key Erzeugen eines eindeutigen Komprimats Mail-Körpers und Verschlüsselung mit Private Key
84
zugehörigen Private Key gelesen werden Änderungen am Mail-Körper werden beim Empfänger durch Vergleich des erhaltenen mit einem selbst berechneten Komprimat erkannt mit dem Public Key des manipulierten Absenders lässt sich das Komprimat nicht entschlüsseln Zeitstempel kann mit dem Public Key des Zeitstempeldienstes enstschlüsselt werden unbefugte Dritte können den MailKörper nicht lesen, da sie nicht über den Private Key verfügen nur der Absender kann das Komprimat mit seinem Private Key verschlüsselt haben, wenn es sich mit dem zugehörigen Public Key entschlüsseln lässt Viren beziehungsweise Trojanische Pferde werden als Änderung am MailKörper beim Komprimatvergleich erkannt
LANline Spezial Das sichere Netz III/2001
metrische Verschlüsselungsverfahren mit einem “Schlüsselpaar”. Vorteil dabei ist, dass nur ein Schlüssel (Private Key) geheimgehalten werden muss und der andere (Public Key) über das Internet übertragen werden kann. Im Bild des Briefumschlags ist der Public Key also der elektronische “Klebstoff”, mit dem der Briefumschlag vom Absender verschlossen wird. Der dazugehörige Private Key bildet den elektronischen Brieföffner, mit dem ausschließlich der Empfänger den Brief lesen kann. PUBLIC KEY INFRASTRUCTURE Die Pu-
blic-Key-Verschlüsselung fällt jedoch in sich zusammen, wenn ein unbefugter Dritter einem Absender seinen Public Key zukommen lässt und ihn glauben macht, er stamme vom Empfänger einer sicher zu übertragenen E-Mail. Der Unbekannte (Man in the Middle) kann dann die vom Absender chiffrierte E-Mail – wenn er sie abgefangen hat – mit seinem Private Key entschlüsseln und lesen. Anschließend chiffriert er die E-Mail mit dem öffentlich zugänglichen Public Key des tatsächlichen Empfängers und sendet die so gesicherte E-Mail weiter an den Empfänger. Dieser entschlüsselt die E-Mail mit seinem Private Key, ohne zu merken, dass der Inhalt der E-Mail offengelegt wurde. Vor solchen Angriffen schützt das Mittel der Beglaubigung, das heißt der Zugehörigkeit eines Public Keys zu einer Person durch einen oder mehrere zuverlässige Dritte. Der Absender muss dabei in jedem Fall sicher sein, dass der verwendete Public Key auch tatsächlich dem Empfänger gehört. Dieser als Zertifizierung bezeichnete Vorgang ist recht aufwändig und wird durch eine sogenannte Public Key Infrastructure (PKI) unterstützt. Durch die dort eingesetzten technischen und organisatorischen Maßnahmen werden die benutzerbezogenen Daten (Registration, Authority) erfasst, Schlüsselpaare (Key Generation) erzeugt, Public Keys (Key Distribution System) verteilt und Zertifikate (Certificate Directory) verwaltet. FEHLENDE AKZEPTANZ Neben den be-
schriebenen technischen Möglichkeiten zur Sicherung von E-Mails liegen die Pro-
www.lanline.de
SICHERHEITSTECHNOLOGIE
Risiken beim Einsatz von E-Mails Risiken für den Internet-Maildienst an sich bestehen unter anderem in: – der Manipulation von Mailing-L0isten (Spoof) – Massen-Mails nach dem Schneeballprinzip (Spam) – der Überlastung von Mail-Servern (Bomb).
– – – – – –
Risiken für einzelne E-Mail ergeben sich aus: dem Mitlesen durch unbefugte Dritte der Manipulation am Inhalt der Manipulation am Absender (Fake) der Manipulation des Zeitpunkts der Absendung der Umleitung zu unbefugten Dritten dem Einschleusen von Viren oder Trojanischen Pferden
bleme in der Praxis vor allem in der mangelnden Akzeptanz von Netzwerkadministratoren und Benutzern. Die folgenden Gründe spielen hierbei eine gravierende Rolle: – Offenheit: E-Mail ist ein offener Dienst, über den jeder am Internet angeschlossene Benutzer erreichbar ist, der in sich jedoch keine Sicherheitsmechanismen enthält. Durch die Integration zusätzlicher Sicherheitssysteme in Mail-Clients und -Server wird diese Offenheit gefährdet. Nur die Durchsetzung von Standards wie beispielsweise S/MIME kann hier einen Durchbruch bringen. – Skalierbarkeit: Sicherheitslösungen, die dieser Offenheit gerecht werden
www.lanline.de
wollen, müssen über eine große Anzahl von Mail-Clients beziehungsweise Mail-Servern skalieren. Diese Clients und Server können in ganz unterschiedlichen Umgebungen stehen. So müssen die Geschäftsstellen eines Großunternehmens untereinander, mit der Muttergesellschaft, mit Zulieferern, mit Anwaltskanzleien oder auch mit Finanzämtern sichere E-Mails austauschen. Heutige Sicherheitslösungen sind bezüglich der Schlüsselverwaltung und der Umsetzung von Sicherheitsstrategien meist nur sehr begrenzt skalierbar. – Durchsetzbarkeit: Nur einfach zu handhabende Sicherheitslösungen las-
sen sich im alltäglichen Betrieb durchsetzen und sind damit de facto sicher. Heutige Systeme erfordern vom MailBenutzer meist die aktive Mitwirkung und einen relativ hohen Eigenaufwand. Es ist darum nicht verwunderlich, dass Sicherheitsstrategien durch Mitarbeiter großzügig interpretiert beziehungsweise umgangen werden. – Bezahlbarkeit: Der Erfolg von Internet-Mail beruht zu einem großen Teil auf dem hervorragenden Preis-Leistungs-Verhältnis dieses Dienstes. Zusätzliche Sicherheitslösungen erfordern aber meist zusätzliche Benutzerlizenzen, die oftmals erhebliche Zusatzkosten für Unternehmen erzeugen. Alle am Markt existierenden Sicherheitslösungen für Internet-Mail – unabhängig davon, ob Mail-Client-, Mail-Server-, Proxy-Server- oder Web-basierend – haben heute mehr oder weniger mit diesen Problemen zu kämpfen. Aus diesem Grund gilt es, einen einheitlichen Standard zu finden, der versendete E-Mails automatisch schützt und zudem für alle daran Beteiligten bezahlbar ist. (Günther Dorn/gh) Günther Dorn ist Marketing Communications Manager bei Dica Technologies in Berlin.
LANline Spezial Das sichere Netz III/2001
85
FOKUS FIREWALLS
WATCHGUARDS FIREBOX II Die knall-
IM TEST: VIER FIREWALL-LÖSUNGEN
rote, Linux-basierte Firewall-Lösung von Watchguard kommt mit einem 274-seitigen englischen Handbuch und verfügt damit über die umfangreichste Dokumentation aller Produkte in diesem Test. Sämtliche zur Inbetriebnahme erforderlichen Komponenten wie Cross-Over-Kabel und Ähnliches gehören zum Lieferumfang. Ein positives Extra: Das große Display an der Vorderseite der Appliance gibt genau Auskunft über den Zustand des Geräts, die Prozessorlast und den Datenverkehr zwischen den einzelnen Subnetzen. Es fällt also sofort auf, wenn etwas nicht stimmt. Die Software-Plattform “Watchguard Control Center” bildet dieses Display für Remote-Überwachungen auf dem Client-Monitor nach. Neben den eigentlichen Firewall-Funktionen, dem Blocken von Sites und Ports, bietet die Firebox auch VPN-Funktionalität. Die Installation der Appliance läuft folgendermaßen ab: Zuerst ist auf einem Client das Watchguard-Live-Security-
Gatekeeper zwischen LAN und WAN Wenn auch viele Sicherheitsspezialisten darauf hinweisen, Firewalls alleine würden nicht ausreichen, um im Unternehmensnetz für Sicherheit zu sorgen, stellen diese Komponenten doch den Kern eines jeden Sicherheitskonzepts dar. Grund genug für LANline, sich die Produkte Firewall-1 von Checkpoint, Etrust-Firewall von Computer Associates, Guardian Pro NT von Netguard und Firebox II von Watchguard, näher anzuschauen.
ei den getesteten Firewalls handelt es sich mit der Firewall-1 und der Etrust-Firewall um zwei reine SoftwareLösungen und mit der Guardian Pro NT und der Firebox II um Appliances, also vorinstallierte Hardware-/SoftwareKombinationen, die lediglich an das Netz angeschlossen werden müssen. Die Raptor von Symantec als Appliance auf einem Sun-Rack lag zum Zeitpunkt des Tests nur als Betaversion vor und wird als endgültiges Produkt zusammen mit weiteren Firewalls in einer der nächsten LANline-Ausgaben nachgereicht. Die vier hier vorgestellten Produkte kamen alle in der gleichen Infrastruktur zum Einsatz, die aus drei Subnetzen bestand: Das erste Subnetz umfasste das LAN, in dem Clients unter Windows 2000 Professional, Windows 2000 Server, Windows ME sowie Debian- und Suse-Linux installiert waren. Diese Rechner verfügten über keine eigenen Sicherheitsvorkehrungen und verließen sich vollständig auf den Schutz der jeweiligen Firewall. Im zweiten Subnetz, der demilitarisierten Zone (DMZ), befanden sich Web-, FTP- und E-MailServer auf Basis von Debian Linux und Windows 2000 Server. Diese stellten nur die genannten Dienste bereit und waren ansonsten von der Außenwelt abgeschottet. Das dritte Subnetz schließlich enthielt den DSL-Router, der die Verbindung zum Internet ermöglichte sowie ein Debian-
B
86
Linux-System, auf dem etliche HackerTools installiert wurden. Dazu gehörten sowohl allgemeine Stress-Test- und DoSWerkzeuge als auch speziell auf bestimmte Firewalls abgestimmte Angriffsmittel. Mit Hilfe dieser Tools suchten wir
Telnet Host
WWW Server
FTP Server
SMTP Server
DNS Server
Internet INTERNET
Hacker
INTRANET
Hacker
Router
WWW Server
Firewall
FTP Server
SMTP-Server
DMZ Hacker
Protected Hacker
File Server
WWW Server
FTP Server
SMTP Server
Clients
Die Struktur des Testaufbaus
sowohl nach eventuell vorhandenen Sicherheitslücken als auch nach Performance-Verlusten unter hoher Last.
LANline Spezial Das sichere Netz III/2001
System zu installieren, dazu benötigt der Anwender einen Rechner unter Windows 95 Service Release 2 oder höher, Win-
www.lanline.de
FOKUS FIREWALLS
dows 98, Windows 2000 Service-Pack 1 oder Windows NT 4.0 ab Service-Pack 4. Nach Aufruf der Installationsroutine überprüft diese zunächst, ob eine Verbindung mit dem Internet besteht, um eventuelle Updates von Watchguard herunterzu-
le-Port genutzt werden, beim Anschluss an Serial tut sich überhaupt nichts. Darauf wird zwar im Handbuch hingewiesen, der ungeduldige Administrator kann allerdings dadurch Probleme bekommen. Wir bekamen die Firebox II mit Soft-
Die Firebox II verwirft während einer DoS-Attacke ordnungsgemäß alle dazugehörigen Pakete weg
laden. Dies macht beim Einrichten einer Firewall verhältnismäßig wenig Sinn, da diese zu diesem Zeitpunkt noch unkonfiguriert ist und daher den Internet-Zugang blockiert. Der Anwender erhält zwar nach gescheitertem Verbindungsaufbau die Möglichkeit, das Live-Security-System lokal von CD zu installieren, die elegantere Lösung liegt aber darin, den Client vorzubereiten, solange noch eine funktionierende Internet-Anbindung besteht. Nach der Installation steht dem Benutzer der so genannte Quick Setup Wizard zur Verfügung, mit dem sich die Erstkonfiguration der Firewall durchführen lässt. Nach Angaben des Herstellers gibt es dafür zwei Optionen, entweder via TCP/IP-Netzwerk oder über ein serielles Kabel. Bei uns im Test funktionierte allerdings immer nur die zweite Option. Hierbei ist zu beachten, dass die Firebox II über zwei serielle Ports verfügt, von denen einer mit “Serial”, der andere mit “Console” gekennzeichnet ist. Zur Konfiguration darf ausschließlich der Conso-
88
ware-Version 4.5 ausgeliefert, auf der Watchguard-Homepage fand sich bereits die Version 4.6. Nach dem Herunterladen ließ sich diese problemlos über das serielle Kabel installieren, und wir hatten das Gerät nach kürzester Zeit auf dem aktuellen Stand. ABSCHLUSS DER INSTALLATION Der Quick Setup Wizard sammelt die erforderlichen Informationen für eine erste Konfigurationsdatei und überträgt diese dann bei bestehender Verbindung auf die Firebox. Watchguard unterscheidet bei der Erstkonfiguration zwischen “Drop-in Mode” und “Routed Mode”. Der Drop-inMode setzt voraus, dass die Firebox zwischen Router und LAN platziert wird, ohne dass es erforderlich ist, einen LANRechner umzukonfigurieren. Das funktioniert also nur mit einem Subnetz, und alle drei Netzwerk-Interfaces der Firebox erhalten die gleiche IP-Adresse. Da diese Konfiguration für unseren Testaufbau nicht ausreichend war, entschieden wir
LANline Spezial Das sichere Netz III/2001
uns gleich für den Routed Mode. Dieser Modus ermöglicht den Einsatz der Firebox mit drei unterschiedlichen Netzwerksegmenten. Dazu hat der Administrator zunächst die IP-Adressen für die drei Interfaces anzugeben und das Gateway zu definieren. Will er zudem Netzwerkdienste nach außen bereit stellen, muss er anschließend die IP-Adressen der öffentlichen FTP-, HTTP- und SMTP-Server eingeben. Den Abschluss der Konfiguration bildet dann die Definition der Read-Onlyund Read-Write-Passwörter für die Firewall. Damit stellt der Hersteller sicher, dass das Default-Passwort der Firebox bei der Erstkonfiguration überschrieben wird. Komischerweise muss die Appliance nach Beendigung der Konfiguration aus- und eingeschaltet werden, sonst erkennt das Setup- Tool ihre Anwesenheit nicht und überträgt folglich auch keine Konfigurationsdaten. Nach der ursprünglichen Inbetriebnahme der Firebox II mit Hilfe des seriellen Kabels platzierten wir das Gerät an seiner vorgesehenen Stelle im Netz und griffen über das Watchguard-Control-Center darauf zu, das es ermöglicht, die Administration der Firewall durchzuführen. Neben offensichtlichen Optionen wie der Regeldefinition enthält dieses Windows-Tool auch die Möglichkeit, einen DHCP-Server einzurichten oder das Default-PaketHandling festzulegen wie beispielsweise “Block Spoofing Attacks”. Die Regeldefinitionen selbst sind verhältnismäßig übersichtlich gestaltet und sollten einem Administrator, der sich mit den Netzwerkdiensten auskennt, keine Probleme bereiten. Viele Dienste wurden bereits vorkonfiguriert, bei Bedarf lassen sich auch eigene Definitionen vornehmen, und die HTML-basierte, englischsprachige Online-Hilfe lässt kaum Wünsche offen. Die zweite wichtige Aufgabe des Control-Centers liegt im Überwachen der Firewall. Dazu bietet Watchguard Informationen über die verwendete Bandbreite, die aktiven Dienste, den Status des Geräts sowie Listen mit geblockten Sites. Der Log-Viewer ermöglicht Einblicke in die vergangenen Aktivitäten, und die
www.lanline.de
FOKUS FIREWALLS
Host-Watch-Option stellt die bestehenden Verbindungen grafisch dar. “Historical Reports” schließlich ist ein Werkzeug zum Erstellen von Berichten über die Firebox-Log-Aktivitäten. FAZIT Im Betrieb verhielt sich die
Watchguard-Lösung sehr zuverlässig, der Datendurchsatz blieb auch während DoSAttacken auf einem gleichbleibenden Niveau, und die Appliance ließ sich auch durch andere übliche Angriffsmethoden nicht aus der Ruhe bringen. Negativ fielen während des Praxiseinsatzes neben dem unverhältnismäßig lauten Lüfter die ständigen Pop-up-Fenster des Live-SecuritySystems auf dem Client- Rechner auf, mit denen Watchguard seinen registrierten Benutzern mehr oder weniger interessante Neuigkeiten mitteilt. Diese Funktion lässt sich aber glücklicherweise deaktivieren.
Watchguard Firebox II + Die Firebox ist zuverlässig und leistungsstark, + Die Konfiguration ist übersichtlich, und die Lösung bringt umfassende Reporting-Werkzeuge mit, – Der Lüfter ist zu laut für Büroumgebungen.
GUARDIAN PRO NT Die Netguard-Ap-
pliance setzt anders als viele Konkurrenzprodukte auf Embedded NT und arbeitet mit der MAC-Layer-Stateful-InspectionFirewall Guardian. Schutz gegen DoSAngriffe und URL-Blocking gehören auch hier zum Funktionsumfang. VPNFunktionalitäten sind optional. Das Gerät selbst verfügt über keinen lauten Lüfter und lässt sich problemlos auch in Büroumgebungen einsetzen. Zur Konfiguration ist ein Client-Rechner mit einem Pentium 233 MHz sowie Windows 9x oder Windows NT 4.0 (ab Service-Pack 5) erforderlich. Da die Netguard-Appliance nur über zwei Netzanschlüsse verfügt, konnten wir in diesem Test keine DMZ verwenden. Nach dem Anschluss ans Netz erfolgt der erste Konfigurationsschritt via Net-
90
scape 4.5 oder Internet Explorer 5.0 oder waltung erfolgt nun über den Windowsneuer. Mit Hilfe dieser Browser kann basierten “Guardian-Pro-Manager”. sich der Administrator über die DefaultDas Tool übernimmt unter anderem die IP-Adresse 192.168.200.1 mit der Fire- Regeldefinitionen, die Logs, Alerts und wall verbinden. Das Default-Passwort die Reports. Zur Regelerstellung arbeitet wird bei dieser Erstkonfiguration nicht die Management-Software mit Objekten zwangsläufig geändert. Es existiert ledig- wie Anwendern, Hosts, Netzwerken, lich ein Hinweis im umfangeichen, eng- Diensten oder auch Protokollen, die sich lischsprachigen Handbuch, der Anwen- alle in Gruppen unterteilen lassen. Aus der ist hier also auf sich allein gestellt. Nach dem Login und dem manuellen Ändern des Passworts bietet das HTML-Administrations-Tool zwei Möglichkeiten zur IP-Konfiguration: Quick und Standard. Im Quick-Modus arbeitet die Firewall ohne Network Address Translation (NAT), diese Lösung kommt also Die Realtime-Überwachung der Guardian-Pro-Firewall lässt sich mit nur in Frage, wenn vielen grafischen Elementen visualisieren das Gerät zwischen einen Router und ein bereits bestehendes Netzwerk posi- diesen Basiselementen erstellt der Admitioniert wird. Damit bleiben alle Rechner nistrator dann die Regeln nach dem Scheim selben Subnetz, was eine Neukonfigu- ma: Quelle, Ziel, Protokolltyp, Uhrzeit, ration des Routers überflüssig macht. Die in der die Regel gelten soll (beispielsweiQuick-Konfiguration etabliert auch die se von 8:00 bis 17:00 Uhr) und die zu erDefault-Policy, allen Rechnern im LAN greifende Maßnahme (Pass, Drop, etc.). den Internet-Zugang zu ermöglichen und Diese Regeln werden dann “klassisch” in allen eingehenden Verkehr zu blocken. Listen zusammengefasst und nacheinanDa wir mit mehreren Subnetzen arbeiten der von der Firewall abgearbeitet, ein wollten, entschieden wir uns für den Vorgehen, das dem erfahrenen AdminisStandardmodus. trator keine Schwierigkeiten bereiten Bei der Standardkonfiguration unter- dürfte. bindet die Firewall zunächst einmal jeden Zum Vereinfachen der Konfiguration Datenverkehr, der Administrator muss bietet die Software einen so genannten die gewünschten Dienste selbst freischal- Strategy Wizard. Er fragt zunächst, ob ten, was sicherlich mehr Sinn macht als NAT erforderlich ist oder nicht, wie die die Vergabe von Default-Policies mit internen IP-Adressen lauten (hier lassen eventuell versteckten Schlupflöchern. sich auch Subnetze angeben), ob ZugrifDer erste Schritt ist jedoch die IP-Konfi- fe von außen auf Web, FTP, Mail und guration, dabei lässt sich die externe DNS möglich sein sollen und ob das inNetzwerkkarte auf Wunsch via DHCP- terne Netz auf ICMP-Anfragen reagieren Client ins Netz einbinden. Damit ist die soll. Im nächsten Schritt kommen dann Aufgabe des HTML-Tools abgeschlos- die externen IP-Adressen dran. Dabei ersen, die restliche Konfiguration und Ver- möglicht der Wizard die Angabe einer
LANline Spezial Das sichere Netz III/2001
www.lanline.de
FOKUS FIREWALLS
permanenten Adresse genauso wie die von Adressräumen oder dynamischer Adressen für Einwahlverbindungen. Als nächstes möchte der Wizard wissen, wie groß die Bandbreite zum Internet ist, was für die Bandbreitenkontrolle eine wichtige Rolle spielt. Danach erfolgt die Angabe der internen Server (Web, FTP, DNS und Mail) auf die von außen zugegriffen werden soll. Gleichzeitig kann der Administrator diesen Servern auch einen bestimmten Prozentsatz der Bandbreite reservieren. Damit ist der Assistent abgeschlossen, und die Regeln können auf die Firewall gespielt werden. Geht man von den Ergebnissen dieses Strategy-Wizards aus und erweitert sie dann um die erforderlichen eigenen Regeln, kommt man recht schnell zu befriedigenden Ergebnissen. Alle Strategien lassen sich beliebig im- und exportieren, um dem Nutzer überflüssige Arbeit zu ersparen. DIE KOMPONENTEN Der Hersteller unterscheidet bei der Guardian-Pro-NT-Lösung drei Komponenten: Die FirewallKomponente, die Bandwidth-ControlKomponente und die NAT-Komponente. Die Firewall-Komponente untersucht die übertragenen Pakete und bietet Sicherheitsfunktionen auf den Applikationsund Protokollebenen, unter anderem unterstützt sie H.323 und RTSP (Real Time Streaming Protocol) für Streaming Media. Überwachungsfunktionen mit automatischen Alerts halten den Administrator über den Status des Systems auf dem Laufenden, und History- und Logfiles helfen auch bei dieser Lösung beim Eingrenzen von Problemen. Gegen die verbreiteten Angriffsarten wie SYN Flooding Attack, Spoofing, Brute-Force-Angriffe, Telnet-Spawning oder auch ShortTCP-Sessions stellt die Firewall Schutzmechanismen zur Verfügung. Darüber hinaus bietet sie auch die Möglichkeit, mit Content-Filter-Servern zusammenzuarbeiten, um Viren, Java Applets, ActiveX-Controls und Cookies zu überwachen. Die Bandwidth-Control-Komponente teilt die vorhandene Bandbreite nach Administratorvorgaben auf. Zunächst gliedert der Administrator die Band-
www.lanline.de
breite nach Kategorien, vordefiniert terschiedlichen Farben auf dem Display sind Guaranteed, Priorized und Stand- erscheinen. Was die Logs angeht, gibt es by. Danach ermöglicht das Netguard- ebenfalls drei verschiedene Typen: Tool das Zuweisen von Anwendern und “Alert”, “Log” und “Agent”. Erstere entGruppen zu diesen Kategorien. Es ist halten die Alerts, Zweitere umfassen Insogar möglich, jedem Anwender und jeder Gruppe eine ganz bestimmte Bandbreite zuzuweisen, das geht nach Minimum, Limits und Prioritäten. Der Administrator kann dabei auch bestimmte Dienste und Zielrechner freigeben. Die Lösung bietet folglich umfassende Kontroll- und Schutzmechanismen für den Netz- Die Invalid-Password-Protection der Netguard-Firewall bietet zusätzlichen Schutz gegen Brute-Force-Angriffe werkverkehr. Die NAT-Komponente schließlich übersetzt die Adressen der nach außen formationen über den Datenverkehr und nicht sichtbaren Clients sowie die Letztere bieten Informationen über das Adressen der Server, die vom externen Anwenderverhalten, Angriffe auf das Netz aus angesprochen werden müssen. System und so weiter. Abgerundet wird Dabei wird nach außen nur die IP- das Ganze durch so genannte Traffic-HisAdresse der Firewall sichtbar, alle an- tory-Reports, also kontinuierlich aufgederen Adressen bleiben versteckt. Das führte Details über den gesamten Datenfunktioniert jedoch nur, wenn für jeden verkehr zwischen Hosts im LAN und im Dienst ein eigener Server aufgesetzt Internet. wird, also ein Web-Server, ein FTPServer und so weiter. FAZIT Die Netguard-Firewall verfügt über sehr viele Zusatzfunktionen wie etDAS ÜBERWACHEN DER NETGUARDwa die Bandbreitenkontrolle pro AnwenFIREWALL Zum Visualisieren des Datender. Zudem sind die Konfiguraverkehrs bietet Netguard eine Vielzahl tionsoptionen recht ausgereift, wie die von grafischen Optionen (Balken- und Quick-Konfiguration für kleine Netze Tortengrafiken, 2-D- und 3-D-Darstel- und unerfahrene Administratoren oder lungen etc.). Die Vorgänge, die damit auch der Strategy-Wizard zeigen. Trotz überwacht werden können, umfassen bei- dieser Hilfsmittel kann der Administrator spielsweise die verwendete Bandbreite aber mit Hilfe des Guardian-Pro-Manapro Benutzer beziehungsweise pro Dienst gers allen Dingen auf den Grund gehen oder auch die gesamte Bandbreitennut- und überall eigene Einstellungen vornehzung über die Zeit. Alerts und Logs men. Ein negativer Aspekt muss allerschließen die Überwachungsfunktionen dings herausgehoben werden: Im Test ab. Bei den Alerts ist zu sagen, dass sie in ließ sich die Firewall durch ein populäres die Rubriken “Informative”, “Warnings” DoS-Tool nahezu beliebig “abschießen”, und “Errors” unterteilt werden, die in un- egal, aus welchem Subnetz der Angriff
LANline Spezial Das sichere Netz III/2001
91
FOKUS FIREWALLS
kam und egal, wie sie konfiguriert war. Dabei verschwand sie meist ohne jede Meldung im Nirvana. Nur einmal gab sie die rätselhafte Bemerkung aus: “an unnamed file was not found”. Eine Anfrage bei PSP Net, dem Distributor, der uns das Testgerät zur Verfügung stellte, erbrachte folgende Stellungnahme des Herstellers: “Der Hersteller Netguard hat die Problematik erkannt und die Ursache lokalisiert. Es handelt sich um eine Sicherheitslücke, die ausschließlich über das “embedded NT” entsteht und zukünftig durch einen Fix behoben werden kann. Ausdrücklich betont der Hersteller, dass diese Problematik nicht bei der Software-Lösung auftritt. Diese läuft einwandfrei und bietet den gewohnt hohen Netguard-Firewall-Schutz.”
gehaltenen Firewall 3.0 verläuft eher unproblematisch, wenn man davon absieht, dass es zum Einsatz des Produkts erforderlich ist, zunächst das Unicenter TNG Framework 2.1.1 zu installieren, das dann seine üblichen Viren-Checks und Subnet-Discoveries durchführt. Für den bloßen Einsatz einer Firewall ist das eindeutig übertrieben. Wurde Unicenter TNG Framework erst mal auf der Platte untergebracht,
on ein, die nur auf einem Computer läuft und keinen User-Client bereitstellt. Gleich zu Beginn der Installation liefert die Setup-Routine Anweisungen in einem viel zu kleinen Fenster, dessen Größe man nicht verändern kann und in dem man ständig herumscrollen muss, damit man lesen kann, was eigentlich drin steht. Diese Information stellte sich später zudem als völlig überflüssig heraus, die CA-Lösung sagt
Guardian Pro NT + Die Konfigurationsoptionen haben sowohl für den Anfänger als auch für erfahrene Administratoren etwas zu bieten. + Funktionen wie die integrierte Bandbreitenkontrolle können überzeugen. – anfällig gegenüber gewissen DoS-Angriffen.
Mit dem Internet-Wizard lassen sich unter anderem die Netzwerkkarten per Drag and Drop den einzelnen Subnetzen zuweisen
ETRUST FIREWALL 3.0 UND 3.1 Zum
Testen der beiden reinen Software-Lösungen verwendeten wir einen Pentium II mit 350 MHz, 128 MByte RAM sowie drei identischen 10/100-Ethernet-Netzwerkkarten. Als Betriebssystem kam die deutsche Version von Windows NT Server 4.0 mit Service-Pack 6a zum Einsatz. Zusätzliche Dienste waren auf dem Server nicht installiert. Die Etrust-Firewall von Computer Associates ist der Nachfolger der Guard-IT-Lösung des gleichen Herstellers. Die von CA angegebenen Mindestvoraussetzungen zum Einsatz der Firewall sind PentiumProzessor oder besser Windows NT 4.0 mit Service-Pack 3 oder später sowie zum Einsatz des Admin-Clients das Java Runtime Environment 1.1.8 oder darüber. Zudem werden 128 MByte RAM empfohlen. Die Installation der komplett in Englisch
92
kann es an die Installation der Etrust-Firewall gehen. Der Hersteller unterscheidet auch hier zwischen mehreren Kompontenten: Der Etrust-Firewall-Admin-Server enthält die Regeldatenbank und stellt das Ziel für alle Alerts dar. Der Etrust-FirewallAdmin-Client dient als Benutzer-Interface zum Admin-Server. Die Etrust-FirewallEngine überwacht den Datenverkehr und setzt die Policies um. Der Etrust-FirewallUser- Client stellt ein GUI für die einzelnen Anwender dar und der Etrust-FirewallLogin-Agent realisiert anwenderbasierte Firewall-Regeln mit Hilfe von Betriebssystemauthentifizierung. Bei der EnterpriseEdition der Firewall lassen sich diese Komponenten über mehrere Rechner verteilen, wir setzten zum Test die Workgroup-Editi-
LANline Spezial Das sichere Netz III/2001
nämlich nur, dass der Anwender nach dem Reboot in den
\AClient gehen und dort die Datei Admin.bat ausführen soll. Dieser Befehl startet den Javabasierten Administrations-Client. Da während der Installation aber automatisch eine Verknüpfung im Startmenü angelegt wird, scheint diese Meldung noch aus früheren Zeiten zu stammen. Während der Installation fragt ein Wizard dann, ob es sich um eine Intranet-Firewall mit mindestens einer Netzwerkkarte oder um eine Internet Firewall mit zwei oder mehr Netzwerkkarten handelt. Wir wählten an dieser Stelle die Internet-Variante. Anschließend wird das Daten-Repository definiert. Hier gibt es die Optionen SQL-Server (nicht bei der Workgroup Edition), MS-Access oder File
www.lanline.de
FOKUS FIREWALLS
Repository. Da auf unserem Testrechner kein Access lief, verwendeten wir das File Repository. Zum Abschluss muss der Anwender noch das Root-Passwort für die Firewall definieren, womit der Installationsvorgang abgeschlossen ist. ADMINISTRATION Nach dem erforderlichen Reboot konnten wir uns mit Hilfe des Administrations-Clients in die Firewall einloggen. Die Client-Software macht im Vergleich zu den Konkurrenzlösungen einen eher spartanischen Eindruck, und bei der Regeldefinition ließen sich teilweise die Tabellenspalten nicht skalieren, sodass der Administrator nicht alles sehen kann, was darin steht. Dieses Problem trat auf, da die Firewall sämtlichen definierten Variablen zunächst einmal ein “unknown message key” voranstellte. Dieser Effekt hängt mit der Spracheneinstellung des Betriebssystems zusammen. Bei einer Testinstallation der Lösung auf einem englischen Win-
die Sicherheitslösung funktioniert aber auch ohne. Allerdings muss auf dem NTRechner das Service-Pack 6 installiert sein. Das Abarbeiten der Regeln erfolgt auch bei der Etrust-Firewall von oben nach unten. Hier muss der Administrator also keine größeren Überraschungen erwarten. Um die eigentliche Erstkonfiguration zu vereinfachen, steht ein so genannter Internet Wizard zur Verfügung, der dem Anwender dabei hilft, die Netzwerkkarten an die Subnetze “Private Network”, “DMZ” und “Internet” zu binden, den Zugriff aus dem privaten Netz auf die wichtigsten Internet-Dienste freizugeben und eigene DMZ-Dienste bereitzustellen. Damit kommt man wie schon bei der Netguard-Lösung zu einer guten Arbeitsgrundlage, die sich dann manuell weiter anpassen lässt. Sie wird nach Abschluss des Wizards nicht automatisch installiert, sondern muss erst vom Administrator
Checkpoints Firewall-1 beim Blocken einer DoS-Attacke
dows-2000-Server, die mit Hilfe eines 9,5 MByte großen Updates von der CA-Homepage möglich war, trat er nicht auf. Der Support des Herstellers erklärte auf Anfrage, dass dieses Problem bekannt sei und in der neuen Version 3.1 der Firewall nicht mehr auftrete. Kurz vor Redaktionsschluss erhielten wir die aktualisierte Fassung und setzen unseren Test damit fort. Ein erster positiver Punkt fiel schon bei der Installation auf: Die Etrust-Firewall 3.1 benötigt kein Unicenter mehr, das InstallationsTool weist zwar darauf hin, dass das Managementsystem installiert werden sollte,
www.lanline.de
überprüft, eventuell angepasst und dann aktiviert werden. Dabei stehen umfangreiche Hilfefunktionen zur Verfügung. Zum Überprüfen bietet das Verwaltungswerkzeug eine spezielle Option an, die simuliert, ob bei installierter Regel bestimmte Hosts noch ansprechbar sind. Dies ist in einer Produktivumgebung eine sehr sinnvolle Funktion, da sie dabei hilft, unliebsame Überraschungen von vornherein zu vermeiden. Nachdem die Regeln zur Zufriedenheit arbeiten, lassen sie sich per Mausklick aktivieren. Auch im späteren Betrieb überwacht die Firewall die Konsis-
IMPRESSUM HERAUSGEBER: Eduard Heilmayr (he) REDAKTION: Rainer Huttenloher (Chefredakteur) (rhh), Stefan Mutschler (Chefredakteur) (sm), Georg von der Howen (stv. Chefredakteur) (gh), Marco Wagner (stv. Chefredakteur) (mw), Doris Behrendt (db), Dr. Götz Güttich (gg), Rainer Konath-Fröhlich (rkf), Kurt Pfeiler (pf) AUTOREN DIESER AUSGABE: Andreas Baehre, Hans-Ulrich Bierhahn, Günther Dorn, Matthias Frank, Béatrice Martin, Andreas Marx, Thomas Schaller, StephanSchindler, Marc Schneider, Sebastian M. Staamann, Stefan Strobel, Bob Walder, Reinhard Wobst, Eduard Zander REDAKTIONSASSISTENZ: Edit Klaas, Tel.: 089/45616-101 REDAKTIONSANSCHRIFT: Bretonischer Ring 13, 85630 Grasbrunn, Fax: 089/45616-200, http://www.lanline.de LAYOUT, GRAFIK UND PRODUKTION: Daniela Ernst, Günther Kaspar Tel.: 089/45616-229 Edmund Krause (Leitung) ANZEIGENDISPOSITION: Daniela Ernst, Tel.: 089/32731566 Sandra Pablitschko, Tel.: 089/45616-108 TITELBILD: Wolfgang Traub ANZEIGENVERKAUF: Anne Kathrin Latsch, Tel.: 089/45616-102 E-Mail: [email protected] Susanne Ney, Tel.: 089/45616-106 E-Mail: [email protected] Karin Ratte, Tel.: 089/45616-104 E-Mail: [email protected] Annette Forstner, Tel.: 089/45616-223 E-Mail: [email protected] VERLAGSLEITUNG: Cornelia Jacobi, (verantwortlich für Anzeigen), Tel.: 089/71940003 oder 089/45616-117 E-Mail: [email protected] ANZEIGENPREISE: Es gilt die Preisliste Nr. 13 vom 1.1.2001 ANZEIGENASSISTENZ: Davorka Esegovic, Tel.: 089/45616-156 ANZEIGENVERWALTUNG: Gabriele Fischböck, Tel.: 089/45616-262, Fax: 089/45616-100 ERSCHEINUNGSWEISE:
LANline Spezial III/2001 Das sichere Netz ist ein Sonderheft der LANline, das Magazin für Netze, Daten- und Telekommunikation
ABONNEMENT-BESTELL-SERVICE: Vertriebs-Service LANline, Edith Winklmaier, Herzog-Otto-Str. 42, 83308 Trostberg, Tel.: 08621/645841, Fax 08621/62786 E-Mail: [email protected] Zahlungsmöglichkeit für Abonnenten: Bayerische Vereinsbank München BLZ 700 202 70, Konto-Nr. 32 248 594 Postgiro München BLZ 700 100 80, Konto-Nr. 537 040-801 VERTRIEB EINZELHANDEL: MZV, Moderner Zeitschriften Vertrieb, Breslauer Str. 5, 85386 Eching BEZUGSPREISE: Jahresabonnement Inland: 148,– DM Ausland: 174,– DM (Luftpost auf Anfrage) Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für Studenten, Schüler, Auszubildende und Wehrpflichtige – nur gegen Vorlage eines Nachweises. Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber zu vertreten sind, nicht geliefert werden können, besteht kein Anspruch auf Nachlieferung oder Erstattung vorausbezahlter Bezugsgelder. SONDERDRUCKDIENST: Alle in dieser Ausgabe erschienenen Beiträge sind in Form von Sonderdrucken erhältlich. Kontakt: Edmund Krause, Tel.: 089/45616-240, Alfred Neudert, Tel. 089/45616-146, Fax: 089/45616-350 DRUCK: Konradin Druck GmbH, Kohlhammerstr. 1-15, 70771 Leinfelden-Echterdingen URHEBERRECHT: Alle in der LANline Spezial erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers. Aus der Veröffentlichung kann nicht geschlossen werden, dass die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichem Schutzrecht sind. © 2001 AWi Aktuelles Wissen Verlagsgesellschaft mbH MANUSKRIPTEINSENDUNGEN: Manuskripte werden gerne von der Redaktion angenommen. Mit der Einsendung von Manuskripten gibt der Verfasser die Zustimmung zum Abdruck. Kürzungen der Artikel bleiben vorbehalten. Für unverlangt eingesandte Manuskripte kann keine Haftung übernommen werden. VERLAG: AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn Web: http://www.awi.de Geschäftsleitung: Eduard Heilmayr (Geschäftsführer), Dr. Bernd Kröger (Geschäftsführer), Cornelia Jacobi (Prokuristin) ISSN 0942-4172
i v w
Mitglied der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW). Bad Godesberg Mitglied der Leseranalyse Computerpresse 2001
LANline Spezial Das sichere Netz III/2001
93
FOKUS FIREWALLS
tenz der Regeln. Fügt man beispielsweise eine neue Policy ein, die eine andere Regel blockiert, erscheint diese in der Regelliste in Rot. Um die Verantwortlichen über alle Vorgänge auf dem Laufenden zu halten, bietet auch die Etrust-Firewall umfangreiche Alerting-Funktionen an. Dazu werden den einzelnen Regeln so genannte AlertLevels zugewiesen. Hierbei stehen zur Verfügung “None”, “Information”, “Warning” und “Critical”. Ein so genannter Host-VulnerabilityScan, der Aufschluss über installierte Service-Packs, offene Ports und laufende Dienste bietet, schließt den Funktionsumfang der Firewall ab. FAZIT Im Test verhielt sich das Computer-Associates-Produkt sehr zuverlässig und ließ sich durch DoS-Angriffe nicht beeindrucken. Auch bei Portscans lieferte es keine relevanten Informationen nach außen. Vor allem die selbstständige Regelüberwachung und die Option, die Policies zu testen, bevor sie aktiv werden, überzeugen. Lediglich das AdministrationsTool, das teilweise die Fenster nicht richtig aufbaut und insgesamt einen etwas altbackenen Eindruck macht, überzeugt nicht ganz. Der Hersteller empfiehlt übrigens, es ausschließlich mit der von CA mitgelieferten Java-Version 1.2.2 einzusetzen, im Test stellten wir fest, dass diese tatsächlich die Performance im Vergleich zu Java 1.3.0 verbessert.
Etrust Firewall 3.0/3.1 + Die Regeln lassen sich vor der Aktivierung testen. + Die Firewall überwacht die Konsistenz der Regeln. – Das Administrations-Tool lässt zu wünschen übrig.
DER KLASSIKER: FIREWALL-1 Zum Test lag uns die Checkpoint Firewall-1, Version 4.1 mit Service-Pack 2 vor, sie wurde aber während des Tests mit Service-Pack 3 auf den neuesten Stand gebracht. Wir installierten die Stateful-Inspection-Software
94
von der Checkpoint-2000-Enterprise-Suite-Strong-(3DES-)Edition. Nach dem Einlegen dieser CD fragt das Installations-Tool zunächst, ob die Installation der Server-/ Gateway-Komponenten (VPN-1-/Firewall-1-Modul, Flood-Gate Modul und Meta-IP-Modul) oder der Mobile-/DesktopKomponenten (VPN-1 Securemote, VPN1 Secure Client und Session Authen-
erstellt werden. Dazu gehören Workstations, Routers, Switches oder auch Address Ranges mit ihren jeweiligen IPs. Bei den meisten Komponenten wie Netzwerkkarten oder Hosts gibt es die Möglichkeit, mittels “Get” beziehungsweise “Resolve Name” die Namen aufzulösen, um den manuellen Konfigurationsaufwand zu verringern. Sind die Netzwerkobjekte erst mal
Regeln, die sich wie die beiden FTP-Policies hier widersprechen, werden vom CA-Administrationswerkzeug farblich hervorgehoben
tication Client) gewünscht wird. Wir entschieden uns für die Server-/Gateway-Option mit VPN-1-/Firewall-1 bei einer Standalone-Installation auf einem Rechner. Während der Installation fragte die Software nach der Lizenz. Diese muss online über http://license.checkpoint.com beantragt werden. Sollte während der FirewallInstallation der Internet-Zugang nicht zur Verfügung stehen, ist es also auch hier ratsam, diese Arbeit vorher zu erledigen. Bei unserer Lösung wurde das Service-Pack 2 automatisch von der gleichen CD mit eingespielt. Da es sich um eine Neuinstallation der Firewall handelte, verzichteten wir auf die Backward-Compatibility-Option. Nach dem Anlegen der Administrationszugriffrechte war ein Neustart erforderlich, danach stand die Software im Netz zur Verfügung. KONFIGURATION Um die Firewall in Betrieb zu nehmen, müssen mit Hilfe des Policy-Editors entsprechend den im Netz vorhanden Komponenten “Network Objects”
LANline Spezial Das sichere Netz III/2001
bekannt, ermöglicht es die Firewall-1, vergleichbar mit den anderen Lösungen, Tabellen mit Regeln zu erstellen, die festlegen, welche Dienste zwischen welchen Hosts zu welcher Zeit zuzulassen sind und welche nicht. Die Firewall-1 arbeitet diese Listen ebenfalls sequenziell ab, am Vorgehen für den Administrator im Vergleich zu anderen Firewalls ändert sich also nichts. Eine sehr sinnvolle Option, die der PolicyEditor von Checkpoint anbietet, heißt “negate”. Damit kann der Administrator beispielsweise eine Regel definieren, die alles verwirft, was nicht HTTP ist. Mit Hilfe der Regeln lassen sich darüber hinaus bestimmte Dienste für definierte Anwender oder Gruppen freischalten. Nach der Definition der Netzobjekte und der Installation der Standardregeln verhielt sich die Firewall wie gewünscht. Auch dieses Produkt bietet übrigens die Funktion, Firewall-Regeln vor der Installation zu verifizieren. Das Update auf Service-Pack 3 erfolgte ohne Schwierigkeiten, man sollte allerdings vorher die Regeln abspeichern,
www.lanline.de
FOKUS FIREWALLS
“Next Generation Management” für die Firewall-1 Zur Zeit entwickelt Checkpoint eine neue Managementinfrastruktur, die neben einer zentralen Policy-Verwaltung ein erweitertes Logging-System und Funktionen zur Hochverfügbarkeit umfasst. Diese Next-Generation-Managementinfrastruktur enthält das so genannte Secure-Update. Es ergänzt die bereits bestehenden Möglichkeiten des zentralen Policy-Managements und aktualisiert von einer einzelnen Konsole aus automatisch die Software und Lizenzen der unternehmensweit verteilten Gateways. Mit “Security Policy Audit Trails” können die Administratoren Änderungen an den Sicherheits-Policies mit Hilfe von Protokollfunktionen nachvollziehen, und zwar für einzelne Anwender und über Datums- und Zeitstempel. Zusätzlich hat der Hersteller das zentrale Logging-System erweitert, es berücksichtigt nun auch Sicherheitsanwendungen von Drittherstellern. Im Bereich der Hochverfügbarkeit bietet Checkpoint die Option, sowohl VPN-1-/Firewall-1 als auch den VPN-Secure-Client-PolicyServer so zu konfigurieren, dass ein zweiter Server eingesetzt werden kann, wenn der erste nicht erreichbar ist. Das “Next Generation User Interface” vereinfacht schließlich die Administration des Systems. Die kritischen Elemente des Sicherheitsumfelds werden dazu im “Security Dashboard” dargestellt, das den Administratoren eine Art Makroüberblick über ihre Sicherheitsinfrastruktur gibt. Dieses Dashboard macht das Wechseln zwischen mehreren Anwendungsfenstern überflüssig und lässt sich an Anwenderwünsche anpassen. Spezielle Werkzeuge ermöglichen Abfragen und Policy-Analysen für jedes Objekt und jede Regel. Mit Hilfe des “Visual-PolicyEditors” lassen sich die Regeln über eine grafische Karte darstellen und verwalten. Dabei illustriert das Tool den Effekt, den eine Sicherheits-Policy haben würde, wenn sie installiert wird. Es hebt auch genau hervor, welcher Verkehr in ein Unternehmensnetz hinein gelassen wird.
in unserem Test waren nach dem Update alle vorher definierten Policies verschwunden. Alle Angriffsversuche verliefen anschließend im Sande. DoS-Attacken wurden automatisch abgeblockt, lediglich ein populärer Portscanner war in der Lage, aus dem System (auf dem zu diesem Zeitpunkt die Dienste ICMP, SMTP, FTP und HTTP offen waren) die Information herauszukitzeln, dass es sich um eine NT-Maschine mit aktiver Firewall-1 handelte.
REPORTS Zum Erstellen von Reports bietet Checkpoint ein Werkzeug an, mit dem der Administrator anhand etlicher Kriterien automatisiert Informationen über den Firewall-Verkehr zusammenstellen kann. Zu den wichtigsten gehören Startdatum, Zeit, verwendete Dienste, Quelle des Datenverkehrs, Ziel, Protokoll, Anwender, Dauer, Zahl der Bytes oder auch angesurfte URLs. Diese Reports lassen sich per EMail verschicken, in eine Datei abspeichern oder über Betriebssystembefehle weiterverarbeiten. FAZIT Checkpoints
Der Policy-Editor ist das zentrale Werkzeug zum Verwalten und Installieren der Regeln
www.lanline.de
Firewall-1 ist ein sehr leistungsfähiges Werkzeug zum Absichern eines Unternehmensnetzes, das dem erfahrenen Administrator viele Möglichkeiten bietet. Auch die LogFunktionen ließen keine Wünsche offen. Zur Zeit arbeitet der Hersteller an einem verbesserten
Administrations-Tool, mit dem die Arbeit mit dieser Firewall verringert und transparenter gestaltet werden soll. Es ist zu hoffen, dass sich damit das Einbinden von Netzwerkkomponenten so vereinfacht, dass auch unerfahrene Administratoren mit der Lösung arbeiten können.
Firewall-1 + großes Leistungspotenzial, + Funktion zum Überprüfen der Gültigkeit der Regeln, – Administration verhältnismäßig aufwändig.
ZUSAMMENFASSUNG Wenn auch große
Unterschiede in Bezug auf die Benutzerfreundlichkeit und den Funktionsumfang bestehen, bleibt festzuhalten, dass alle Firewalls im praktischen Einsatz recht vernünftige Leistungen brachten und sich mit Ausnahme der Guardian Pro NT weder durch DoS-Angriffe noch durch spezielle Tools aus der Ruhe bringen ließen. Wir verwendeten im Test allerdings immer nur das jeweils neueste Release, deshalb wird es wohl nicht lange dauern, bis wieder eine Sicherheitslücke bei der einen oder anderen Lösung auftritt, die dann ein neues Tool ausnutzen wird. Deshalb gehört neben einer übersichtlichen Regeldefinition das einfache Updaten der Firewall zu den wichtigsten Funktionen. (Götz Güttich) Info: Watchguard Tel.: 001/2065218340 Web: www.watchguard.com Info: Netguard/PSP Net Tel.: 06430/2233 Web: www.psp.net/netguard/ Info: Checkpoint Tel.: 0811/600520 Web: www.checkpoint.de Info: Computer Associates Tel.: 06151/9490 Web: www.ca.com
LANline Spezial Das sichere Netz III/2001
95
FOKUS FIREWALLS
Kommunikation nicht beim einzelnen Benutzer sondern wird automatisch vom System übernommen. Die Bestandteile von IPSec sind der Authentication Header (AH), die Encapsulating-Security-Payload (ESP), die Security Association (SA), der Security-Parameter-Index (SPI) und der Internet-KeyExchange (IKE). Zu Beginn der Kommunikation handeln die beteiligten Rechner die verwendeten Verfahren aus.
FREES/WAN UND RAPTOR FIREWALL/POWERVPN 6.5
IPSec-Interoperabilität auf dem Prüfstand IPSec bezeichnet den Standard für VPN-Systeme, der die Interoperabilität zwischen den Geräten verschiedener Hersteller gewährleisten soll. FreeS/WAN ist die Open-Source-Implementierung von IPSec unter Linux. Inwieweit die Interoperabilität von IPSec eingehalten wird, sollte in einem
TRANSPORT- UND TUNNELMODUS IP-
Test anhand des Zusammenspiels von FreeS/WAN mit dem kommerziellen
Sec besitzt zwei Betriebsmodi: den Transportmodus und den Tunnelmodus. Im Transportmodus verschlüsselt IPSec nur den Datenteil des zu transportierenden IPPakets, der Original IP-Header bleibt dabei erhalten und es wird ein zusätzlicher IPSec-Header hinzugefügt. Der Vorteil dieser Betriebsart ist der geringe Overhead. Allerdings ist es für einen Angreifer möglich, eine Verkehrsanalyse durchzuführen. Im Tunnelmodus mit ESP wird das komplette IP-Paket verschlüsselt (IP-Header
Produkt Raptor Firewall/PowerVPN 6.5 von Symantec ermittelt werden.
irtual Private Networks (VPN) ermöglichen den Aufbau von gesicherten Verbindungen über ungesicherte Übertragungswege wie beispielsweise Standleitungen oder das Internet. VPNs werden eingesetzt zur Verbindung zwischen der Zentrale eines Unternehmens und seinen Filialen, mobilen Mitarbeitern und Geschäftspartnern. Um zu verhindern, dass vertrauliche Unternehmensdaten von Dritten abgefangen oder manipuliert werden und um einer Verkehrsanalyse vorzubeugen, werden die Daten vor der Kommunikation über das ungesicherte Medium verschlüsselt, mit einem neuem IP-Header versehen und am Zielpunkt wieder entpackt und entschlüsselt.
V
Daten über TCP/IP, das von der IETF (Internet Engineering Task Force) entwickelt wurde und bietet Schutz vor Verfälschung, unberechtigten Einblicken und Attacken durch externe Angreifer (Wiretapping, Spoofing, Denial-of-Service-Attacken, Session-Hijacking, ICMP-Angriffen, TCP-
Original- Paket
Neuer IP- Header
IP- Header
Daten
IPSec- Header
IP- Header
Daten
IPSec- Header
IP- Header
Daten
verschlüsselt
IPSEC – DER VPN STANDARD In der Ver-
gangenheit wurden von verschiedenen Herstellern proprietäre Lösungen mit eigenen Algorithmen zur Verschlüsselung, zum Schlüsselaustausch und zur Benutzeridentifizierung angeboten mit der Folge, dass eine gesicherte Verbindung nur zwischen identischen Produkten aufgebaut werden konnte. Zur Gewährleistung der Interoperabilität zwischen den Produkten verschiedener Hersteller entstand der VPN-Standard IPSec (Internet Protocol Security), der nicht an bestimmte Produkte oder Algorithmen gebunden ist. IPSec umfasst eine Sammlung von Protokollen für den sicheren Austausch von
96
Transportmodus
Bild 1. Die zwei Betriebsmodi von IPSec: Transport- und Tunnelmodus
Sequenznummern-Attacken) und sichert so Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit und Verfügbarkeit. Da IPSec auf der Schicht 3, der Vermittlungsschicht des OSI-Referenzmodells angesiedelt ist, bietet es Schutz für alle Daten von Protokollen in den darüber liegenden Schichten (beispielsweise HTTP, FTP, SNMP, Telnet etc.), ohne dass Applikationen modifiziert werden müssen. Dadurch liegt die Verantwortung einer sicheren
LANline Spezial Das sichere Netz III/2001
und Daten) und mit einem neuen IP-Header und IPSec-Header versehen. Ein Angreifer kann so nur den Anfangs- und den Endpunkt des IPSec-Tunnels feststellen. AH UND ESP Der IPSec-Header kann die
Komponenten AH und ESP enthalten, die einzeln oder gemeinsam eingesetzt werden können. Der Authentication Header (AH) sichert die Integrität und Authentizität der Daten und der statischen Felder des IP-
www.lanline.de
FOKUS FIREWALLS
Headers durch eine kryptographische Prüfsumme über die Nutzdaten und Teile des Headers. Hierbei kommen die Hash-Funktionen SHA-1 oder MD5 zum Einsatz. AH bietet jedoch keinen Schutz der Vertraulichkeit, da alle Informationen im Datenpaket in Klartext sind. Die EncapsulatingSecurity-Payload (ESP) schützt die Vertraulichkeit, die Integrität und Authenti-
FREES/WAN Mit FreeS/WAN (Free Se-
cure Wide Area Network) steht eine freie IPSec-Implementierung des IETF-Standards unter der GNU General-Public-License (GPL) zur Verfügung. Die kryptografischen Teile der Software wurden außerhalb der USA programmiert und unterliegen damit nicht den US-Exportrestriktionen. Der Sourcecode des Projekts ist
Bild 2. Im Labor wurde eine VPN-Verbindung zwischen einem FreeS/WAN-Gateway unter Suse Linux 6.0, FeeS/WAN-Version 1.4 und Raptor Firewall/Power VPN 6.5 von Symantec unter Windows NT 4.0 aufgebaut
zität der Datenpakete durch Verschlüsselung. Zusätzlich schützt es vor ReplayAttacken und verhindert im Tunnelmodus die Verkehrsanalyse. SA, SPI UND IKE Eine Security Association (SA) ist eine Übereinkunft zweier Security-Gateways über die IPSec-Parameter (Art der Verschlüsselung, Verfahren zur Authentisierung, Transport- oder Tunnelmodus etc.). Da eine SA jeweils nur für eine Richtung gültig ist, treten sie immer paarweise auf. Über den im IPSec-Header enthaltenen Security Parameter Index (SPI) wird die SA eindeutig identifiziert. Internet Key Exchange (IKE) ist eine standardisierte Methode zum dynamischen Authentifizieren von IPSec-Teilnehmern, zum Verhandeln von Security-Associations und zum Generieren von gemeinsam genutzten Schlüsseln. IKE ist ein hybrides Protokoll, das auf den Protokollen ISAKMP (Internet Security Association and Key Management Protocol), Oakley und SKEME basiert.
www.lanline.de
für das Betriebssystem Linux im Web unter www.freeswan.org verfügbar. FreeS/WAN unterstützt AH und ESP im Transport- und Tunnelmodus unter Verwendung von MD5 und SHA-1. Es werden die manuelle Schlüsselverwaltung (die Schlüssel werden in der Konfigurationsdatei /etc/ipsec.conf gespeichert) und der automatische Schlüsselaustausch über Pluto, einer Implementierung des IKE-Protokolls, unterstützt. Die Authentifizierung läuft entweder über lokal gespeicherte “preshared secrets” (in Form von ASCIIZeichenketten) oder über RSA-Signaturen; eine manuelle Schlüsselvereinbarung ist ebenfalls möglich. Derzeit ist Triple-DES (168 Bit Schlüssellänge) der einzige in Linux FreeS/ WAN nutzbare Algorithmus zur Datenverschlüsselung. Der DES Algorithmus (56 Bit) ist im Source-Code oder als ladbares Modul vorhanden, sollte aber aus Sicherheitsgründen nicht eingesetzt werden. Außerdem ist die vom IPSec-Standard geforderte unverschlüsselte Übertragung “null encryption” verfügbar.
FOKUS FIREWALLS
FreeS/WAN besteht aus den Komponenten: KLIPS, Pluto und verschiedenen Skripten. KLIPS (Kernel IPSec Support) ist Bestandteil des Kernels und ermöglicht den Aufbau der Verbindungen mit AH und ESP. Pluto ist die IKE-Implementierung und dient dem automatischen Schlüsselmanagement. Er läuft als Dämon auf dem Security-Gateway und verifiziert Identitäten, legt Sicherheits-Policies fest und initiiert Schlüssel für die KLIPS-Schicht. Ein Pluto-Dämon und ein anderer IKE-Dämon
freie Protokoll-Analyzer “ethereal” zum Einsatz. Die Verbindung wurde sowohl mit manuellem als auch mit automatischem Schlüssel aufgebaut. FREES/WAN-KONFIGURATION In Suse
Linux 7.0 ist FreeS/WAN enthalten und wurde über Yast installiert. Die Konfiguration erfolgt über die Konfigurationsdateien “/etc/ipsec.conf,” in der die Einstellungen für den zu errichtenden Tunnel konfiguriert werden und “/etc/ipsec.secrets,” in der
WAN ist die Bedeutung der einzelnen Parameter bekannt. Die Konfiguration des Raptor Firewall/PowerVPN-Gateways über die grafische Oberfläche gestaltet sich mit diesem Wissen einfach, zumal gleiche Bezeichnungen für die Parameter verwendet werden. Für jede Verbindung (manuell oder automatisch über IKE) wird der gleiche Verbindungsname verwendet, der auch in der “/etc/ipsec.conf” eingetragen wurde. FreeS/WAN wird auf dem Linux-Gateway mit dem Befehl “/sbin/init.d/ipsec.start” gestartet. Der manuelle Aufbau erfolgt mit dem Kommando “ipsec manual -up muenchen_ wien_static”. Im Falle des automatischen Verbindungsaufbaus werden die Kommandos “ipsec auto -add muenchen_ wien_ike” und “ipsec auto -up muenchen_ wien_ike” abgesetzt. Diese Kommandos können auch in die Startup-Skripten aufgenommen werden, um die VPN-Verbindungen beim Systemstart automatisch aufzusetzen. Die Verbindung konnte bei unseren Versuchen in beiden Fällen problemlos aufgebaut werden. Anschließend kann von Snoopy (Bild 2) aus eine Kommunikation, beispielsweise via Web, E-Mail, Telnet oder FTP zu Woodstock und umgekehrt aufgebaut werden. Die Beobachtung der Verkehre mittels “ethereal” zeigte deutlich, wie der Verbindungsaufbau vonstatten geht und die Daten verschlüsselt übertragen werden. VERBINDUNGSAUFBAU
Bild 3. Die wichtigsten Parameter der Konfigurationsdateien
müssen sich authentifizieren, bevor eine Verbindung erfolgreich zustande kommen kann. Die Authentifikation geschieht durch ein “Geheimnis”, das manuell oder mit Hilfe der RSA-Signatur ausgetauscht wurde. Gespeichert werden die “preshared secret keys” und die “RSA private keys” in der Datei /etc/ipsec.secrets. TESTAUFBAU Im Labor wurde eine VPN-
Verbindung zwischen einem FreeS/WANGateway unter Suse Linux 7.0, FreeS/ WAN-Version 1.4 und dem kommerziellen Produkt Raptor Firewall/PowerVPN 6.5 von Symantec unter Windows NT 4.0 aufgebaut. Um zu überprüfen, ob die Daten klar oder verschlüsselt in den entsprechenden Segmenten übertragen werden, kommt der
98
die für die Authentifizierung beim Schlüsselaustausch benötigten Informationen (die so genannten shared secrets) eingetragen werden. Für den manuellen und den automatischen Verbindungsaufbau (muenchen_ wien_static beziehungsweise (muenchen_ wien_ike) wird jeweils eine eigene Verbindung in ipsec.conf definiert. In der Datei ipsec.secrets werden die “shared secrets” für die Authentifizierung beim Schlüsselaustausch des IKE-Protokolls abgelegt. Die “shared secrets” werden später auch bei der Konfiguration der Raptor Firewall/PowerVPN verwendet. Die wesentlichen Teile der Konfigurationsdateien “ipsec.conf” und “ipsec. secrets” sind im Kasten wiedergegeben. Nach der Konfiguration von FreeS/
LANline Spezial Das sichere Netz III/2001
FAZIT FreeS/WAN funktioniert problem-
los mit verschiedenen VPN-Produkten. Eine Liste ist auf der FreeS/WAN-Homepage (www.freeswan.org) verfügbar. Unsere Erfahrungen speziell mit Raptor Firewall/PowerVPN sind positiv. Die Konfiguration ist einfach, das Ergebnis überzeugend. (Béatrice Martin/mw) Frau Dipl.Ing. Béatrice Martin ist als Security-Consultant bei der Firma one4net (Mitglied der Brain Force Group) tätig. Sie erreichen die Autorin unter [email protected].
www.lanline.de
FOKUS FIREWALLS
SCHUTZ FÜR DEN ARBEITSPLATZ
Anforderungen an Personal Firewalls Ungefähr seit den frühen 90er-Jahren gibt es einen allgemein sichtbaren und stetig wachsenden Markt für Firewall-Produkte, die Unternehmensnetze mit Hilfe von IP-Filtern, Proxies und vielen weiteren Techniken gegen Angriffe von außen schützen sollen. Firmen wie Check Point, Cisco, Axent (jetzt Symantec) und andere ringen um die Marktführerschaft, und insgesamt gibt es heute sicher mehrere hundert verschiedene Anbieter von Produkten, die sich Firewall nennen. Dabei geht der Begriff Firewall noch einige Jahre weiter zurück. Die Firewalls der ersten Jahre wurden vor dem Erscheinen kommerzieller Produkte vor allem aus individuell konfigurierten Routern und Unix-Workstations aufgebaut.
er kommerzielle Erfolg von Firewalls ist sehr eng an den Erfolg des Internets generell gekoppelt. Die Grundidee dabei war, dass man zwar nahezu jedem Rechner in einem Unternehmensnetz Zugang zum Internet geben möchte, dass dieser Zugang aber gleichzeitig vor den Gefahren des Internets geschützt sein soll. Anstatt jeden einzelnen Rechner sicher zu machen, sichert man die Verbindung in das externe Internet und verhindert so, dass ein Angreifer überhaupt von außen auf einen internen Rechner zugreifen kann. Von den vielen öffentlichen Diskussionen über die Gefahren im Internet, Hacker und Einbrüche in die Computersysteme großer Firmen verunsichert, fragen sich immer mehr Privatanwender, ob sie nicht auch eine Art Firewall für ihren PC zu Hause brauchen. Einige Software-Firmen sahen in dieser Situation eine Marktchance und stellten erste Firewall-Produkte für den einzelnen PC und den Privatanwender vor. Die etablierten Hersteller von Virenscannern und Tools für PCs zogen nach oder kauften die kleineren Unternehmen kurzerhand auf. So gibt es heute Personal Firewalls von Symantec unter dem “Norton’s” Label, von Mcafee und vielen wei-
D
www.lanline.de
teren Herstellern. Wer sich beim Betrachten dieser Produkte an die ursprünglichen Funktionen und Designziele von Firewalls erinnert, der wird sich wundern und fragen, ob diese Produkte überhaupt Sinn machen, oder ob hier nicht vielmehr ein Markt auf Verunsicherung und Missinformation aufgebaut wird. Der folgende Artikel versucht dieser Frage auf den Grund zu gehen und die potenziellen Anforderungen an eine Firewall für Einzel-PCs den Features der verfügbaren Produkte gegenüberzustellen. Dabei wird relativ schnell klar, dass sinnvolle “Personal Firewalls” außer dem Namen nicht viel mit den etablierten Firewalls gemeinsam haben können. Ein wichtiger Grund für den Bedarf einer klassischen Firewall liegt vor allem in der Menge der internen Rechnersysteme. In einem großen Netz ist es praktisch nicht möglich, alle PCs oder Server sicher zu konfigurieren. Vielmehr muss davon ausgegangen werden, dass ein hoher Prozentsatz der internen Server mit trivialen Mitteln geknackt werden kann beziehungsweise dass man unberechtigt auf die dort gespeicherten Daten zugreifen kann.
In einem sehr kleinen Netz mit nur einem Server und einer Hand voll Arbeitsplätzen oder im Extremfall bei einem Einzel-PC trifft dieses Argument nicht zu. Es wäre sogar einfacher und billiger, die wenigen Systeme sicher zu machen, als eine vollwertige Firewall zu beschaffen und diese sicher zu konfigurieren. Natürlich gibt es auch hier Ausnahmen, vor allem in Bereichen, wo trotz einer minimalen Anzahl von Systemen eine sehr hohe Sicherheit gefordert ist, die sich nur durch eine mehrstufige Absicherung erreichen lässt. Für den typischen Privatanwender mit seinem einzelnen PC mit Internet-Anschluss jedoch ist es offensichtlich, dass eine Firewall im klassischen Verständnis keinen Sinn macht und der Anwender besser beraten wäre, seinen PC anhand einer Anleitung so zu konfigurieren, dass er aus dem Internet nicht angegriffen werden kann. Genau hier weicht eine gute Personal Firewall deutlich von dem klassischen Begriff ab. Anstelle der herkömmlichen Mechanismen zum Abschirmen eines Netzes muss die Personal Firewall den PC des Anwenders beinahe automatisch sicher machen, indem die Konfiguration angepasst wird und spezielle Mechanismen eingebracht werden, die den Privatanwender vor den Gefahren aus dem Internet schützt, die für ihn relevant sind. Denn viele Angriffe, die man im Internet beobachten kann, richten sich gegen Server-Systeme. Zumeist sind dies Unix-Rechner, die mit dem typischen Windows-PC des Privatanwenders nur wenig gemein haben. Ein zweiter wichtiger Unterschied von Personal Firewalls zu klassischen Firewalls ist daher die Fokussierung auf andere Angriffe. Viele Gefahren, vor denen eine klassische Firewall schützen soll, sind für den Windows-PC zu Hause völlig unrelevant. Die größte Gefahr für Privatanwender geht nach wie vor von Viren, Trojanern beziehungsweise so genanntem “Malicious Code” aus. Dabei handelt es sich um Active-X-Elemente in Web-Seiten, Java-Applets, Dateien oder Programme, die der Anwender aus dem Internet herunterlädt oder von Bekannten per
LANline Spezial Das sichere Netz III/2001
99
FOKUS FIREWALLS
E-Mail geschickt bekommt. Solche Programme enthalten immer wieder Hintertüren, die einem Angreifer die volle Kontrolle über den PC verschaffen oder sensible Dokumente per E-Mail an den Angreifer zurücksenden. Ein Sicherheitspaket für Privatanwender sollte daher auch diesen Bereich abdecken und Viren, Hintertüren
Speziell der letzte Punkt ist sehr wichtig und zeigt recht deutlich die Abgrenzung zu klassischen Firewalls. Eine klassische Firewall hat nur sehr wenige Möglichkeiten, das tatsächliche Verhalten von heruntergeladenen Programmen zu erkennen. Es gibt zwar im Bereich der Content-Security spezielle Gateways, die bekannte gefährliche Programme schon beim Herunterladen erkennen und blockieren können, aber die Mechanismen sind immer eingeschränkt. Bei JavaApplets kann sogar teilweise der ByteCode auf Gateways analysiert werden, um so das Verhalten vorhersagen zu können. Einige Personal Firewalls bieten hier so genannte Sandbox-Funktionen an, bei denen jedes heruntergeladene Programm bei der Ausführung genau kontrolliert wird. Sobald ein bösartiges Verhalten erkennbar ist, Zone Alarm unterscheidet bei den Regeln nur zwischen Applikationen und Netzwerkbereichen, die Zonen genannt werden wird das Programm automatisch beendet. Im Folgenden weroder allgemein bösartiges Verhalten von den die wichtigsten Features der existieheruntergeladenen Programmen verhin- renden Personal Firewalls beschrieben und bewertet. dern. Zusammengefasst unterscheiden sich Personal Firewalls vor allem durch folgen- – FILTERN DER IP-KOMMUNIKATION Diese Funktion ist direkt von den Firede Eigenschaften von klassischen Firewalls für Firmen übernommen und auf walls: einen Einzel-PC übertragen worden. Wie – Entlastung des Anwenders beziehungsbei “richtigen” Firewalls kann man Reweise Automatisierung der sicheren geln definieren, welche IP-Adressen über Konfiguration eines einzelnen PCs anwelche Ports miteinander kommuniziestelle der Abschirmung eines ganzen ren dürfen. Zusätzlich beziehen die PerNetzes, sonal Firewalls jede dieser Regeln auf – Schutz vor spezifischen Angriffen auf das jeweilige Programm. Damit kann der Einzelplatz-PCs anstelle von Angriffen Anwender konfigurieren, dass beispielsauf Unix-Server, weise der Internet-Explorer mit allen – Schutz vor Viren/bösartigem Verhalten Adressen im Internet und auf allen Ports von heruntergeladenen Programmen.
100
LANline Spezial Das sichere Netz III/2001
kommunizieren darf, währen Outlook Express nur die Ports 110 und 25 nutzen darf und die Textverarbeitung Word gar keine Kommunikationsrechte besitzt. Einige Personal Firewalls unterscheiden nicht zwischen Ports, sondern regeln nur, welches Programm prinzipiell mit dem Internet Daten austauschen darf und welches nicht. Andere erlauben die Definition von komplexen Regeln mit allen Details, unterstützen den Anwender aber dabei mit einem Assistenten. Wieder andere Firewalls definieren zunächst gar keine Regeln, sondern erkennen Angriffe und blockieren dann genau die Quelladresse des Angriffs. Prinzipiell aber ist ein IP-Filter in nahezu jeder Personal Firewall enthalten. Die effektivste Funktion dabei ist die Kontrolle der Anwendungen. Kein neues Programm darf mit dem Internet kommunizieren, solange dies nicht explizit durch eine Regel erlaubt wird. So kann relativ einfach verhindert werden, dass ein harmlos aussehendes Programm aus dem Internet sensible Daten nach außen schickt oder eine Kontrollverbindung für eine Hintertür öffnet. Komplexe Regeln, die neben dem Programm noch nach IP-Adresse oder Ports unterscheiden, sind zwar für Spezialisten interessant, tragen aber kaum noch zur Sicherheit bei. Sehr elegant wird dieser Filter beispielsweise von dem Produkt Zone Alarm implementiert. Es unterscheidet bei den Regeln nur zwischen Applikationen und Netzwerkbereichen, die Zonen genannt werden. Typischerweise hat man bei Zone Alarm zwei Zonen: Alle Adressen im lokalen Netz (Zone Intranet) und alle anderen Adressen in der Zone Internet. Das andere Extrem ist die Firewall im Norton Internet Security 2000 Paket. Sie definiert komplexe Regeln mit allen Details. Damit man diese Regeln überhaupt noch verwalten kann, gibt es einen Assistenten, der erkennt, wenn eine Verbindung blockiert wird und dann eine spezielle Regel vorschlägt, um diese Verbindung in Zukunft zu erlauben. Die Regelbasis wird dabei jedoch schnell so kompliziert, dass man schon ein Spezialist sein muss, um hier noch den Überblick zu behalten.
www.lanline.de
FOKUS FIREWALLS
– FILTERN NACH KATEGORIEN ODER SCHLÜSSELWORTEN Häufig bieten
Personal Firewalls eine so genannte Kindersicherung, mit der man angeblich verhindern kann, dass Kinder auf nicht jugendfreie Web-Seiten zugreifen können. Dazu enthalten die Produkte eine lange Liste mit URLs, die in mehrere Kategorien wie Extremismus oder Pornografie unterteilt sind. Durch Blockieren einer Kategorie können dann alle enthaltenen URLs gesperrt werden. Die URL-Liste selbst lässt sich automatisch über das Netz aktualisieren. Andere Produkte arbeiten nicht mit einer Liste von URLs, sondern suchen im Text der übertragenen Web-Seite nach vorgegebenen Schlüsselwörtern. Findet die Firewall beispielsweise ein Wort mit einer sexuellen Bedeutung, so wird die Seite gesperrt. Dies hat natürlich auch den negativen Nebeneffekt, dass viele unbedenkliche Seiten fälschlicherweise gesperrt werden. Über den Sinn von solchen Funktionen kann man sicher streiten. Die Effektivität ist jedenfalls sehr gering. Sowohl die Produkte mit URL-Listen als auch die Produkte mit Schlüsselworten lassen sich von einem mittelmäßig begabten Kind meist in wenigen Minuten umgehen. – SELEKTIVES BLOCKIEREN VON COOKIES Cookies sind kleine Textzeilen, mit
denen ein WWW-Server einen bestimmten Anwender wiedererkennen beziehungsweise einen Status im Browser speichern kann. Dazu sendet der WWW-Server das Cookie an den Browser. Der Browser speichert das Cookie, und wenn er eine weitere Seite von derselben URL abfragt, dann sendet er das Cookie wieder mit zurück. Mit dieser relativ einfachen Funktion kann man beispielsweise bei einem Shopping-Server den Einkaufswagen realisieren. Eine wirkliche Gefahr geht damit von Cookies eher nicht aus. Es gab zwar in der Vergangenheit Programmierfehler in den Browsern, sodass man mit einem Cookie einen Pufferüberlauf im Browser auslösen konnte, doch diese Fehler sind inzwischen behoben. Persönliche Daten, die auf dem PC gespeichert sind, können mit Cookies
www.lanline.de
LANline Spezial Das sichere Netz III/2001
101
FOKUS FIREWALLS
nicht abgefragt werden. Sie enthalten nur Informationen, die von einem Web-Server kommen. Die einzige greifbare “Gefahr”, die bleibt, ist das Erfassen der Benutzergewohnheiten beim Surfen. Einige WerbeBanner-Server speichern die Benutzerkennung, sobald sie einmal in einen Server eingegeben wurde und können so feststellen, wann ein Benutzer auf einen anderen
Personal Firewalls im Unternehmen: Zentrale Administration Falls eine Personal Firewall als zusätzlicher Schutz in einem Unternehmensnetz verwendet werden soll, dann ist es essenziell, dass die Einstellungen und die Überwachung zentral erfolgen können. Normalerweise wird es nicht möglich sein, dass jeder Anwender seine persönliche Firewall selbst konfiguriert oder dass ein Administrator von PC zu PC geht, um jeden einzeln einzustellen.
Server mit demselben Banner-System zugreift. Der Weg, den ein bestimmter Benutzer beim Surfen nimmt, ist damit nachvollziehbar, solange die Server mit einem gemeinsamen Werbe-Partner zusammenarbeiten. Manche Personal Firewalls bieten deshalb Funktionen, die je nach Server Cookies blockieren können. Damit kommt es vor, dass Shopping-Server oder Web-Portale nicht mehr funktionieren oder dass man ständig gefragt wird, ob bestimmte Cookies akzeptiert werden sollen oder nicht. Der tatsächliche Nutzen für die Sicherheit ist im Vergleich zu anderen Funktionen vernachlässigbar. – FILTERN NACH VERTRAULICHEN INHALTEN Diese Funktion ist weniger
ein Schutz vor externen Angreifern als ein Schutz des Anwenders vor sich selbst. Typischerweise kann man seine Kreditkartennummer in der Personal Firewall speichern. Sobald die Firewall diese Nummer in einer Verbindung findet, zeigt sie eine Warnung an und bricht die Verbindung auf Wunsch ab. Damit soll verhindert werden, dass ein
102
Anwender seine Kreditkartennummer versehentlich über eine unverschlüsselte Verbindung in einem Web-Formular einträgt. Bei verschlüsselten Verbindungen bemerken die heute verfügbaren Produkte nichts von dem vertraulichen Inhalt. Leider ist auch die Effektivität dieser Funktion eher gering. Zum einen kann es durchaus auch gefährlich sein, seine Kreditkartennummer über eine verschlüsselte Verbindung einzugeben, da Kreditkartendaten häufig gar nicht während der Übertragung mitgelesen werden, sondern später von einem schlecht gesicherten Web-Server gestohlen werden, der diese Nummern speichert. Ob der Zugriff auf den Server dabei mit SSL verschlüsselt stattfand, macht keinen Unterschied. Zum anderen speichert man mit dieser Funktion seine Kreditkartennummer auf dem PC selbst. Dadurch entsteht ebenfalls eine Unsicherheit, denn wenn es ein Angreifer schafft, einen speziellen Virus auf den PC zu bringen, dann könnte dieser Virus auch direkt nach solchen gespeicherten Informationen suchen. – SANDBOX Der sicher wichtigste und ef-
fektivste Schutz für PCs ist eine Sandbox. Dabei handelt es sich um spezielle Programme, die sich in das Betriebssystem einklinken und alle Interaktionen und Zugriffe der Programme kontrollieren können. Meist unterscheidet man zumindest zwischen vertrauenswürdigen Programmen, die ohne Beschränkungen ablaufen dürfen und unbekannten Programmen aus dem Internet, die genau kontrolliert werden. Für solche Programme kann man in der Sandbox genau definieren, auf welche Verzeichnisse sie zugreifen können. Einige Sandboxen erlauben sogar die Einschränkung von Zugriffen auf die Registry oder Netzwerkverbindungen. Falls der Anwender sich dann ein Programm aus dem Internet herunterlädt, wird es automatisch in die Sandbox gestellt. Dort kann es zwar ablaufen, aber keinen Schaden anrichten. Falls das Programm dann Hintertüren wie Netbus oder Back Orifice enthält, erkennt die Sandbox den
LANline Spezial Das sichere Netz III/2001
Verstoß gegen seine Zugriffsrechte und kann das Programm anhalten. Wenn die Sandbox auch Zugriffe auf das Netz verhindern kann, dann ist damit die wichtigste Funktion eines IP-Filters schon enthalten. Sandbox-Systeme sind auch eine sinnvolle Ergänzung für Firmen, die bereits eine Firewall besitzen. Die Sandboxen laufen in diesem Fall auf allen wichtigen Arbeitsplätzen und stellen eine zusätzliche Sicherheitsebene dar. Viren, Hintertüren oder allgemein bösartige Programme, die durch die existierende Firewall hindurchgelangen, können so auf dem Arbeitsplatz erkannt und blockiert werden. Im Idealfall kommuniziert eine solche Sandbox für Unternehmensanwendungen mit den Content-Security-Komponenten der Firewall, die das entsprechende Programm nach dem Erkennen auf einem PC in Zukunft schon vor dem Zugang in das interne Netz abfangen können. – AUTOMATISCHES LÖSCHEN VON HISTORY UND CACHE Auch diese
Funktion hat keine Bedeutung für die eigentliche Sicherheit gegen externe Angreifer, sondern schützt nur die Privatsphäre des Anwenders falls der PC von mehreren Personen gemeinsam genutzt wird. Beim Abmelden jedes Benutzers werden so alle im Cache gehaltenen Web-Seiten und das Protokoll seiner aufgerufenen Seiten gelöscht. Der nächste Benutzer kann dann nicht mehr herausfinden, auf welche Web-Seiten der Benutzer vor ihm zugegriffen hat. Manche Personal-Firewall-Produkte bieten zudem eine Benutzerverwaltung. Damit kann man die oben beschriebenen Funktionen abhängig von dem gerade angemeldeten Benutzer konfigurieren. Besonders die URL-Filter, die nur Zugriffe auf bestimmte Kategorien von Web-Seiten zulassen, bieten sich für eine solche benutzerabhängige Konfiguration an. So kann ein Kind an einem Familien-PC nur noch jugendfreie Seiten sehen, während der Vater ohne Beschränkungen surfen darf. (Stefan Strobel/mw) Stefan Strobel arbeitet im Bereich Strategic Development bei Articon-Integralis.
www.lanline.de
FOKUS FIREWALLS
Gesamtsicherheitslösung für die Gesamtheit der verschiedenen Middleware-basierten Anwendungen im Unternehmen bieten können.
IIOP-DOMAIN-BOUNDARY-CONTROLLER
Lösung für das Firewall-Problem
PROBLEME BEIM ZUSAMMENTREFFEN
Anwendungen für die enge IT-gestützte Kooperation mit externen Partnern – so lautet die Forderung im Zeichen des E-Commerce. Ein technologischer Kernbestandteil dieser Anwendungen ist sehr oft Corbaoder Java-basierte Middleware. Eine unverzichtbare Anforderung ist Sicherheit. Existierende Firewall-Installationen dürfen nicht in ihrer Sicherheit beeinträchtigt werden. Für die Anwendungen sind Sicherheitsfunktionen wie Authentifizierung, Zugriffskontrolle, Verschlüsselung und Sicherheits-Audit zu erbringen. IIOP-Domain-BoundaryController sind auf den Einsatz von Corba und Java zugeschnittene Application-Level-Gateways. Sie ermöglichen in pragmatischer Weise ein Optimum an Sicherheit.
er Einsatz von Corba- und Java-basierter Middleware zur Realisierung unternehmensweiter verteilter Anwendungen ist mittlerweile in Organisationen mit großen IT-Infrastrukturen weit verbreitet. Das in den meisten Fällen verwendete Kommunikationsprotokoll ist das von der OMG für Corba standardisierte und für die Java Remote Method Invocations (RMI) von J2EE und EJBs übernommene Internet Inter-ORB Protocol (IIOP). IIOP ist mittlerweile von nahezu allen Herstellern von Middleware- und Application-Servern in ihre Produkte integriert worden. Nach dem Erfolg einer unternehmensweiten Anwendung im internen Netzwerk soll oftmals in einem zweiten Schritt der Zugriff auch von außerhalb des eigenen Netzes ermöglicht werden. Der Zugriff soll in den meisten dieser Fälle über das Internet erfolgen, immer jedoch über die Grenze des eigenen Netzes (Domain Boundary) hinweg. Diese wird typischerweise durch eine Firewall-Installation geschützt. IIOP muss also durch die Firewall-Installation geschleust werden. Dadurch dürfen jedoch keine Sicherheitsrisiken entstehen, weder für die Gesamt-Firewall-Installation noch
D
www.lanline.de
für die zugänglich gemachten Corba- beziehungsweise Java-Anwendungen. Hier erweist sich einerseits, dass Firewalls für Middleware-basierte Anwendungen Lösungen für Middleware-spezifische Probleme bieten müssen, die bei herkömmlichen Firewall-Ansätzen wegen ihrer Komplexität nicht berücksichtigt sind. Andererseits zeigt sich, dass entsprechende Produkte eine integrierte, vollständige und leicht integrierbare
Ein offensichtliches Problem beim Zusammentreffen von IIOP-basierter Middleware mit herkömmlichen Firewalls, insbesondere Packet-Filtern, entsteht durch das in Corba verfolgte Ziel der Lokationstransparenz für die einzelnen Corba-Objekte. Die verteilten Objekte sind nicht, wie von den typischen Internet-Diensten wie WWW und E-Mail gewohnt, über statische und im vorab bekannte Transportadressen, bestehend aus IP-Adresse und Port, ansprechbar. Vielmehr werden diese Transportadressen den Objekten dynamisch bei Erzeugung zugewiesen und anschließend in deren Objektreferenzen (Interoperable Object References, IORs) als Adressinformation hineingepackt. Der zugreifende Client, genauer gesagt die in dem Client-Programm enthaltene Corbabeziehungsweise RMI-Implementierung, extrahiert dann die Adressinformation direkt vor dem Verbindungsaufbau aus der erhaltenen Referenz des Zielobjekts. Aus programmiertechnischer Sicht bietet dies den Vorteil, dass der Anwendungsentwickler Corba- und entfernte Java-Objekte wie lokale Objekte behandeln kann und sich nicht um Aufgaben wie Adressierung, Verbindungsaufbau und die Übertragung von Parametern kümmern muss.
Bild 1. Corba und Java/EJB einerseits und Firewalls andererseits waren bisher in der Praxis sich ausschließende Technologien
LANline Spezial Das sichere Netz III/2001
103
FOKUS FIREWALLS
Aus der Sicht des Administrators einer zwischen Client und Zielobjekt befindlichen Firewall bedeutet diese Lokationstransparenz ein Problem. Er kann nicht im vorab wissen, welche Anwendungen beziehungsweise Anwendungskomponenten (Objekte) zu welchem Zeitpunkt auf welchen Hosts und an welchen Ports ansprechbar sein sollen. Genau diese Information ist aber die Grundlage für die Definition sinnvoller Regeln für herkömmliche Firewalls. Dort wird der Sicherheitspolitik des Unternehmens entsprechend, eine Anwendung, in den meisten Fällen ein Standard-InternetDienst, von außen zugreifbar gemacht, indem der Administrator eine Firewall-Regel einrichtet, die den Aufbau von TCPVerbindungen (bei verbindungslosem Transport das Passieren von UDP-Paketen) zu dem dieser Anwendung zugeordneten Port auf dem im vorab bekannten Host (IP-Adresse) erlaubt. Der Kreis der erlaubten Initiatoren oder Absender für das IP-Adresse/Port-Ziel kann typischerweise zusätzlich auf bestimmte Absender-IP-Adressen oder bestimmte authentisierte Benutzer eingeschränkt werden. Als erlaubtes Ziel können auch IP-Adressen-Bereiche und Port-Bereiche definiert werden. Grundlage der Interaktion zwischen Client und Server einer Corba- oder Java-Anwendung und des damit verbundenen Austausches von IIOP-Nachrichten ist eine TCP-Verbindung. Deren Aufbau wird zum Beginn der Interaktion von der ClientSeite aus initiiert. Die Zieltransportadresse der Server-Seite ist dabei das aus der Referenz des Server-Objekts (IOR) entnommene Paar aus IP-Adresse und TCP-Port. Diese Adresse müsste der Administrator einer zu passierenden Firewall vorher durch eine entsprechende Regel freischalten. Dazu müsste er beim Einsatz einer herkömmlichen Firewall jedoch im vorab die Adresse kennen, was bei IIOP-basierten Anwendungen typischerweise eben gerade nicht der Fall ist. Der Firewall-Administrator steht hier oft vor der Alternative, entweder den gesamten Bereich der IP-Adressen aller Hosts, auf denen IIOP-Server laufen (und dafür jeweils den gesamten Bereich
104
der Ports über die diese kommunizieren), freizuschalten oder den Betrieb von IIOPbasierten Anwendungen über die DomainGrenze zu blockieren. Das erste bedeutet eine substantielle Schwächung des mit der Firewall beabsichtigten Schutzes der internen Domain. Das zweite bedeutet die Behinderung von IT-Projekten mit einem oftmals gewaltigen Potenzial an möglicher Produktivitätssteigerung. Ein noch schwierigeres Problem beim Betrieb IIOP-basierter Anwendungen über eine Firewall-Installation tritt auf, wenn die interne Domain und das externe Netzwerk verschiedene Adressräume haben, das heißt, wenn an der Domaingrenze eine Network Address Translation (NAT) vorgenommen wird. Der IIOP-Server, der die IOR für das zuzugreifende Objekt erzeugt, kennt nur die in der internen Domain gültige IP-Adresse des Hosts des Objekts. Diese wird in die IOR eingebettet und damit zu allen potenziellen Clients herausgegeben. Jene Clients, die sich außerhalb der internen Domain und damit des Gültigkeitsbereichs der eingebetteten IP-Adresse befinden, sind damit von ihrem erfolgreichen Gebrauch ausgeschlossen. Wenn diese externen Clients versuchen, eine TCP-Verbindung zu dem Host mit der IPAdresse aus der IOR aufzubauen, laufen diese Versuche in die Irre, da die Adresse im Adressraum dieser Clients nicht gültig ist. Zusätzlich kann die Herausgabe der internen IP-Adresse in der IOR eine Verletzung der Unternehmenssicherheitspolitik bedeuten, wenn diese Politik die Vertraulichkeit der internen Netzwerkinstallation und damit auch der internen IP-Adressen verlangt. VERSCHIEDENE ANSÄTZE FÜR IIOPFIREWALLS Allgemein lassen sich zwei
Arten von Firewalls unterscheiden: Transport-Level-Firewalls und Application-Level-Gateways. Die meisten existierenden Firewall-Installationen bestehen aus Kombinationen dieser beiden Firewall-Arten. In einem ersten Standard der Object Management Group (OMG) zu Corba/Firewall-Security sind drei verschiedene technische Ansätze zur Realisierung von Corba-Firewalls spezifiziert worden: TCP-Fi-
LANline Spezial Das sichere Netz III/2001
rewalls, SOCKS-basierte Firewalls und GIOP-Proxies (GIOP ist die allgemeine Form von IIOP). TCP-Firewalls und SOCKS-basierte Firewalls (beide Transport Level Firewalls) werden bei diesem Ansatz durch die Anpassung der Corba-Produkte und die Einzelanpassung der Corba-basierten Anwendungen an die vorhandenen Firewall-Installationen durch die Entwickler unterstützt. Beide Ansätze sind jedoch im Markt nicht auf Resonanz gestoßen, vermutlich wegen der hohen Komplexität für die Anwendungsentwickler. Alternative proprietäre Ansätze wie sie des öfteren in Einzelprojekten umgesetzt wurden, bauen darauf auf, entsprechend dem Auf- und Abbau von IIOP/ TCP-Verbindungen Regeln von Packet Filter Firewalls dynamisch zu setzen und zu löschen. Sie werden jedoch nicht durch Standardprodukte unterstützt und sind auf Einzelprojekte beschränkt. Ein GIOP-Proxy hingegen ist ein Application-Level-Gateway für IIOP-(GIOP-) basierte Anwendungen. In vielen Unternehmen verlangt mittlerweile die Sicherheitspolitik Application-Level-Gateways für alle Anwendungen einzusetzen, die über die Domain-Grenze hinweg interagieren. Diese sind im Unterschied zu reinen Packet-Filter-Firewalls in der Lage, nicht nur anhand der Adressinformation zu entscheiden, ob ein Paket in die geschützte Domain hineingelassen wird, sondern können für diese Entscheidung auch den Inhalt des Pakets analysieren und so für einen höheren Grad an Sicherheit sorgen. Voraussetzung hierfür ist, dass für jede grenzüberschreitende Anwendung ein entsprechender Application Proxy auf dem Application-Level-Gateway installiert ist. Für Standard-Internet-Anwendungen und -Dienste wie etwa WWW und E-Mail, werden solche Application-Proxies von den Herstellern von Application-LevelGateway-Produkten mitgeliefert. Für unternehmensspezifische Anwendungen wie sie typischerweise mit Corba- und EJBApplication-Servern realisiert werden, stehen solche Application-Proxies im Regelfall nicht zur Verfügung. Theoretisch könnte zwar für jede Corba- und/oder EJBbasierte Anwendung als Teil des Projekts
www.lanline.de
FOKUS FIREWALLS
ein solcher Application-Proxy erstellt werden, der dann an der Domänengrenze die nötige Sicherheitsfilterung vornähme. Dies würde jedoch umfangreiches und tiefgehendes Sicherheits- und FirewallKnow-how im Projektteam erfordern und extrem hohe Entwicklungskosten zur Folge haben. Gefordert sind vielmehr generische IIOP-Application-Level-Gateways (GIOP-Proxies in der Sprache der bisherigen OMG-Corba/Firewall-Spezifikation), die einerseits für alle IIOP-basierten Interaktionen anwendbar sind und andererseits detaillierte Sicherheitskontrollen auf der Anwendungsebene ermöglichen. IIOP-Application-Level-Gateways wurden von zwei Herstellern von Corba- und EJB-Application-Server-Produkten schon relativ früh für ihre Produkt-Suiten entwickelt. Iona Technologies bietet die Wonderwall-Lösung für den Einsatz mit den Orbix-Produkten an; Inprise/Borland offeriert die Gatekeeper-Lösung für den Einsatz mit ihren Visibroker- und Appserver-Produkten. Beide Produkte haben zum Ziel, die Koexistenz von IIOP und Firewall-Installationen zu ermöglichen und darüber hinaus Sicherheitsfunktionalität wie Zugriffskontrolle, Logging und SSLVerschlüsselung zu integrieren. Inprises Gatekeeper ist außerdem als Relay für IIOP-Verbindungen vorgesehen, die von Corba-/IIOP-Clients, die als Java-Applets
www.lanline.de
realisiert sind, aufgebaut werden. Dies kann notwendig sein, weil die Security Policy der Java Virtual Machine im WebBrowser in der Regel nur den Verbindungsaufbau zum Herkunftsort des Applets erlaubt. In der Praxis hat sich der allgemeine Ansatz von IIOP-Application-Level-Gateways (GIOP-Proxies) zur Realisierung von Corba-Firewalls durchgesetzt. Der Stand der Technik hinsichtlich Produktverfügbarkeit und Standardisierung ließ jedoch bisher einige Anforderungen aus der Anwendung von Corba und Java in großen Projekten unerfüllt: 1. Der Einsatz der Produkte erfordert in der Regel die Anpassung der Anwendung durch die Programmierer, um die Anwendung “Firewall-ready” zu machen. Dies ist insbesondere schwierig, wenn einige Clients über die Firewall hinweg auf die Anwendung zugreifen, andere hingegen nicht. Gewünscht ist eigentlich die vollkommene Transparenz der Firewall für die Anwendung. 2. Für Szenarien mit Produkten verschiedener Hersteller der verwendeten Corba-/EJB-Produkte und IIOP-Firewalls muss vollkommene Interoperabilität, das heißt Standardisierung und Standardkonformität, gegeben sein. 3. Die IIOP-Application-Level-Gateways müssen die Bereitstellung umfas-
sender Sicherheitsfunktionalität unterstützen. Dies kann durch die Implementierung dieser Funktionalität im IIOP-Application-Level-Gateway selbst geschehen oder durch die Unterstützung von und Interoperabilität mit Corbaund/oder EJB-Security-Produkten, die innerhalb der Domain eingesetzt werden. Für den zweiten Ansatz erweist sich jedoch der Mangel an vollständigen Sicherheitslösungen als hinderlich. Hinzu kommt, dass in vielen Fällen die Sicherheitspolitik des Unternehmens die Umsetzung von Sicherheitsmaßnahmen, zum Beispiel starke Authentifizierung, schon an der Domain-Grenze verlangt, sodass potenzielle Angriffe aus dem Internet bereits dort abgefangen werden und bösartige Nachrichten und Pakete gar nicht in das interne Netz gelangen können. Die Anforderungen 1 und 2 werden auf der Standardisierungsebene von der OMG durch die Ausarbeitung einer neuen Firewall-Spezifikation angegangen. Die Anforderung 3 wird von IIOP-Firewall-Herstellern durch die Bereitstellung von IIOP-Level-Gateways mit umfassender Sicherheitsfunktionalität, den IIOPDomain-Boundary-Controllern, erfüllt. Diese Produkte erfüllen auch die Anforderungen 1 und 2. Ein erstes Produkt dieses Typs, das hier im Weiteren als Beispiel dienen soll, ist der Xtradyne-Do-
LANline Spezial Das sichere Netz III/2001
105
FOKUS FIREWALLS
main-Boundary-Controller von Xtradyne Technologies aus Berlin. IIOP-DOMAIN-BOUNDARY-CONTROLLER Stellen IIOP-Application-Level-Gate-
ways noch vergleichsweise simple Insellösungen für die dargestellten Probleme mit IIOP und Firewall-Sicherheit dar, so handelt es sich bei IIOP-Domain-Boundary-
zwei Zwecken. Erstens wird für jede einkommende Nachricht die Entscheidung getroffen, ob die Nachricht passieren darf oder nicht. Die Kriterien und Mechanismen hierfür, unter anderem Authentifizierung und rollenbasierte Zugriffskontrolle, werden weiter unten erläutert. Zweitens ermöglicht die Analyse der ausgehenden Nachrichten das Auffinden und Modifizie-
Bild 2. Die Xtradyne-Domain-Boundary-Controller-Lösung besteht typischerweise aus dem eigentlichen Domain-Boundary-Controller im Grenznetz und dem Security Center (Security Server und Security Manager) im geschützten internen Netzwerk
Controller-Produkten um vollständige und integrierte Sicherheitslösungen für Corbaund EJB-Application Server. Obwohl auch als reine IIOP-Application-Level-Gateways einsetzbar, erweitern sie deren Funktionalität wesentlich. Bild 2 zeigt die einzelnen Komponenten eines DomainBoundary-Controllers (DBC) und ein typisches Einsatzszenario, nämlich die Integration in eine Firewall-Installation mit Grenznetz (Demilitarized Zone), bestehend aus einem äußeren und einem inneren Paketfilter (Routers) und Application-Level-Gateways auf Dual-Homed-Hosts im Grenznetz dazwischen. Der Domain-Boundary-Controller (DBC) lauscht nach außen, das heißt zum Internet hin, auf alle einkommenden Nachrichten und vorhergehenden Wünsche nach Verbindungsaufbau an dem für IIOP beziehungsweise IIOP/SSL von der IETF zugewiesenen Port. Er analysiert die in beiden Richtungen durchgehenden IIOPNachrichten. Dies dient hauptsächlich
106
ren von Objektreferenzen (IORs), die in den Nachrichten enthalten sind. Diese Referenzen sind dazu bestimmt, von den außerhalb des Firewalls befindlichen Clients zum Zugriff auf die entsprechenden, innerhalb des Firewalls befindlichen, Objekte benutzt zu werden. Zur Lösung der am Anfang des Artikels dargestellten Probleme von traditionellen Firewalls mit der dynamischen Zuweisung von Ports für Objekte und mit NAT ersetzt der DBC jeweils das in der erkannten IOR enthaltene IP-Adresse/Portnr.-Paar durch die eigene zum Internet sichtbare IPAdresse und Port-Nummer. Dies bewirkt, dass auf dem äußeren Packet-Filter der Firewall-Installation nur ein IP-Adresse/ Port-Nr.-Paar für einkommende Pakete freigeschaltet werden muss, wie dies für die Einbindung von Application-LevelGateways üblich ist. Per Konfiguration kann der DBC so eingestellt werden, dass die eingesetzte Adresse NAT berücksichtigt, die am inneren und/oder äußeren
LANline Spezial Das sichere Netz III/2001
Packet Filter der Firewall angewendet werden kann. Der DBC setzt in diesem Fall jeweils die Adresse ein, unter der er tatsächlich erreichbar ist und verwendet die Adressen, um für alle erhaltenen IORs die nötigen Verbindungen aufbauen zu können. Eine erkannte als Teil einer IIOP-Nachricht ausgehende IOR wird vom DBC so verstanden, dass das entsprechende Corbaoder Java-Objekt (vorbehaltlich möglicher Einschränkungen durch die Zugriffskontrollpolitik) für den Adressaten der IIOPNachricht zugreifbar sein soll. Der DBC erzeugt und verwaltet intern ein virtuelles Proxy-Objekt, das alle nötige Zustandsinformation enthält. Die komplexen Mechanismen zur internen Verwaltung sämtlicher Zustandsinformationen sind jedoch vollkommen im DBC gekapselt. Die Entwickler und Betreiber der IIOP-basierten Anwendungen sehen von alledem nichts. Sie können die Anwendungen entwickeln und betreiben als wäre die Firewall gar nicht vorhanden. Der DBC spricht nach innen und außen nur IIOP oder IIOP über SSL (IIOP/SSL), sodass vollkommene Konformität mit den bereits im Markt akzeptier-ten OMG-Standards und damit Herstellerunabhängigkeit und Interoperabilität mit den Produkten der Corba- und Java-Produktanbieter gegeben ist. UMFASSENDE SICHERHEITSFUNKTIONALITÄT IIOP-Domain-Boundary-Con-
troller ermöglichen die vollständige und detaillierte Kontrolle des Zugriffs auf die geschützten Corba- und Java-Objekte. Nach außen und nach innen unterstützt der DBC die Verwendung des Secure-SocketLayer (SSL) beziehungsweise TLS als sicherem Transport für IIOP und zur Authentifizierung des DBCs gegenüber dem Client, basierend auf einem Public-KeyCertificate. Starke Verschlüsselung mit vollen Schlüssellängen sorgt für hohe kryptographische Sicherheit. Die Sicherheitspolitik vieler Unternehmen enthält zusätzlich die Anforderung, nur Nachrichten durch die Firewall-Installation in das interne Netz zu lassen, deren Absender durch ein starkes Authentifizierungsverfahren vom zuständigen
www.lanline.de
FOKUS FIREWALLS
Application-Level-Gateway festgestellt und verifiziert worden ist. Starke Authentifizierung wird hier in der Regel so verstanden, dass die Überprüfung der Identität durch die Überprüfung der Kenntnis oder des Besitzes eines Geheimnisses erfolgt. Dieses kann zum Beispiel der Besitz einer Smart Card mit einem RSA-Private-Key
einzelnen Benutzern bis zu ganzen Subnetzwerken, auf der Server-Seite bis hinunter zu einzelnen Operationen auf einzelnen Objektinstanzen. Das Zugriffskontrollmodell vereinigt das rollenbasierte Zugriffskontrollmodell der Enterprise Java Beans mit den (oft Directory-gestützten) Benutzer- und Gruppenverwaltungen wie
Bild 3. Security-Manager ermöglichen die Verwaltung von Benutzern, Gruppen, Rollen und Ressourcen
und dem zugehörigen Public-Key-Certificate sein oder der Besitz eines SecurIDTokens. Der Xtradyne DBC unterstützt Single-Sign-On, das heißt einmalige Authentifizierung für alle Corba- oder Javabasierten Anwendungen auf Hosts im internen Netzwerk, basierend auf PublicKey-Certificates (gegenseitige Authentifizierung auf der SSL-Ebene), SecurID-Tokens von RSA Technologies oder Username/Password-Authentifizierung über die SSL-Verbindung. Die Überprüfung der Korrektheit der Header der einkommenden IIOP-Nachrichten und gegebenefalls das Ausfiltern inkorrekter Nachrichten verhindert Denialof-Service-Angriffe auf die Corba- und Java-Server mit Hilfe fabrizierter Nachrichten (so genannte “Request Bombs”), wie sie bei ungeschützten Corba- und EJB-Servern möglich sind. Das rollenbasierte Zugriffskontrollmodell erlaubt eine beliebig feingranulare Zugriffskontrolle, auf der Client-Seite von
www.lanline.de
sie in großen Organisationen anzutreffen sind. Die Entitäten des Zugriffskontrollmodells sind Users, Groups, Roles und Resources. Ein sinnvolles Feature des Xtradyne DBCs erlaubt die Definition von Mindest-Protection-Levels (Authentifizierung und Nachrichtenschutz) für vergebene Rechte. Zur Sicherheitsüberwachung unterstützen DBCs ein detailliertes Logging von sicherheitsrelevanten Ereignissen. Die Generierung und Aufzeichnung ist konfigurierbar. Prinzipiell sind auch bei DBCs die üblichen Abwägungen zwischen sehr ausführlichem Logging zwecks gründlicher Analyse und dem Kompakthalten der LogDateien zu treffen. Die Anbindung an zentralisiertes Logging und Security Audit wird durch standardisierte Schnittstellen unterstützt. Der DBC schickt die generierten Events zur Weiterverarbeitung zu einem Syslog-Daemon oder einem anderen beliebig ausgewählten Unix-Prozess. Die Xtradyne-DBC-Lösung besteht aus der ei-
gentlichen DBC-Komponente, dem Security-Server und dem Security-Manager. Die DBC-Komponente führt die Analyse des IIOP-Verkehrs durch und erzwingt die Sicherheitsmaßnahmen. Sie wird gesteuert durch den Security-Server, der die Logik zur Auswertung und Umsetzung der Sicherheitspolitik implementiert. Die Sicherheitspolitik in ihrer persistenten Form wird vom Security Server in Dateien verwaltet oder wahlweise in einem LDAP-Directory. Letzteres ermöglicht die Anbindung der DBC-Sicherheitspolitik an existierende Benutzer- und Gruppenverwaltungen. Die Security-Manager-Komponente ermöglicht mit Hilfe einer detaillierten grafischen Benutzerschnittstelle (Bild 3) die Definition der Sicherheitspolitik und die Konfiguration des DBC selbst. Das Haupteinsatzfeld für DBCs ist der sichere Betrieb von Corba- und/oder Javabasierten Anwendungen über DomainGrenzen hinweg. Hier werden DBCs in erster Linie als Teil der Firewall-Installation betrieben. Der Einsatz als Teil der Firewall deckt beide möglichen Fälle des Einsatzes von IIOP ab, a) IIOP bis zum Client und b) IIOP zwischen dem Domaininternen Corba- oder Java-Server und einem Servlet-fähigen Web-Server im Grenznetz, der zum Internet HTTP spricht. Im Fall a) ist der Einsatz eines DBC unumgänglich. Auch im Fall b) ist der Einsatz eines DBC zu empfehlen. Dieser bildet eine wirksame Barriere, die das interne Netzwerk sichert, auf Anwendungsschicht, auch wenn der Web-Server-Host von Angreifern erobert werden sollte. Zusätzlich eignen sich DBCs auch als Plug-in-Sicherheitslösung für rein unternehmensinterne Anwendungen. Der Vorteil des Einsatzes von DBCs in solchen Fällen ist die extrem leichte, oft nachträgliche, Integration von Sicherheit in die Anwendungen. Hier stoßen DBCs in eine Lücke, die von der Corba- und Java-Community seit langem beklagt wird. (Sebastian M. Staamann/mw) Sebastian M. Staamann ist einer der beiden CEO der Xtradyne Technologies AG und zusammen mit Tim Eckardt Gründer des Unternehmens.
LANline Spezial Das sichere Netz III/2001
107
FOKUS FIREWALLS
Marktübersicht: Firewalls
Dafür Dreger Elron Software Energis Evidian F-Secure
G Data
Genua GFI
GTA
108
Starlord Conni Suse Linux/Tivoli Elron IM Firewall Managed Security Access Master Netwall Workstation Suite Distributed Firewall Internet Security Kit Secure 4U Genugate Languard for ISA Server Mail Essentials for Exchange GB-1000 Appliance GB-Flash GB-Flash 19-Zoll Rack-Mount
●
●● ●
●
●
●
●●
●●●
●
●
● ● ICSA
●
●
●
●
●●
●●●
●
●
● ● ICSA
●
●
●●
●●●●
● ● ● ICSA
●
●
●
●
● ●●● ●
●
● ● ●●
●●
●●● ● ● ● ● ● ● ●
● ●●●●
●
●●●● ● ● ●● ● ● ● ● ● ● ●
●● ●●
●
●●
●
●●
●
●
●
●
●●●●●
●●●●●
●●●
100 600
●
●●
● ● ● ● ●
●● ● ● ● ● ● ● ●
10 120 370 370 1000 11
●●● ● ● ●●●
600 30 45 100 150
● ● ● ● ● ● ● ●
● ● ● ● ● ● ● ●
● ● ●●● ●●● ● ● ●●●
●
● ● ● ● ● ● ● ●
●●● ●●
●●●●●
●●●●● ● ●●●
●● ●● ●●
●●●
●●●●●●●● ●● ●●● ● ● ● ●● ●● ● ●● ●● ●● ●● ●● ●
●●●
●
●●● ● ● ● ● ● ●
●
●●
●
●
● ● ● ● ● ● ●
● ● ● ● ● ● ●
● ● ● ● ● ● ●
● ● Common Cirteria E-All, ICSA, West Coast Labs ● ● ICSA.Net
●● ● ●● ●● ●● ●● ●
●● ●●●
● ● ● ● ● ●
● ● ICSA, ITsec E3, CC EAL 2 ●● EAL 2, ITsec, E3, EAL 4 ● EAL 2, ITsec E3, EAL 4 ● ● Common Criteria EAL 4 ● EAL 2, EAL 4, ITsec E3 ● EAL 2, EAL 4, ITsec E3 ●● ● Common Criteria EAL 4, ITsec E3, ICSA ● ● Checkmark, ITsec, ICSA
●●●●●
● ●● ● ●●● ●●● ● ● ●●●●● ● ● ●●●●●●●●●
● ●●●●●● ● ● ● ICSA ●●●●● ●●● ● ●● ITsec E3 hoch
●●
●●
● ●
●●
●● ●●
●●●●●
●●● ●
●●
●●●●● ●●●●● ●● ●
●
●●
●
●●●
●
●
45
●●●
● ●
● ●
3000 3000
●●● ●●●
LANline Spezial Das sichere Netz III/2001
● ● ICSA, IPsec
●●●●●●
●● ●● ●●●●●●●●●●●
●●
● ● unbegr. ●
●●
●●●●
●●●●
●
●
● ●●●
●●●●●●●●●●●●●●
● ●
●
●●●●●
●● ●●●●●
● 50-600 ● ●●●● ●
● ●
●●●
● 45-155 ● ● ●●●● ●●●●●●
●●●● ●
●
●
●● ●
●
●
●
45
● ● ● ● 250 ● ● ●●● 40/50 ● ● ●● ●● 10 ●● ● ● 95 ●● ●
●
●
●●
●●●●● ● ● ● ● ● ● ●
●
abgeschlossene Zertifizierungen
●
●
●●
Administration
Funktionen
Network Address-Translation Port Address-Translation Aufbau von VPNs möglich integrierte Benutzerverwaltung externe Authentisierung LDAP-Client Load-Balancing Failover-Mechanismen DoS/DDoS Detection URL-Filtering Content-Filtering Erkennung von Malicious Code Viren-Scanner E-Mail-Scanner OPSEC-Unterstützung Echtzeit-Monitoring Intrusion Detection Portscan Detection Web-basierte Administration Administration via SSL SSH-Administration Administration via Telnet vordefinierte Regel vorhanden Regeln frei definierbar
Produktname Office Connect Internet Firewall 25 Office Connect Internet Firewall DMZ Super Stack 3 Firewall Aladdin E-Safe-Gateway 3.0 Allied Telesyn AT-AR014 Nemesis Firewall Aravox Aravox Netsentry II Astaro Astaro Security Linux Frank Bernard Linuxwall Biodata Big Fire Sphinx Blue Ridge Border Guard 3000 Borderware Borderware Firewall Server Bytex Atlas CA Computer E-Trust Suite Associates Checkpoint Firewall-1 Cisco Systems Cisco IOS Firewall Cisco PIX 506 Cisco PIX 515 Cisco PIX 520 Cisco PIX 525 Cisco PIX 535 Columbus CN1000/1050 Networks Conware Securewall F1 Wall Cyberguard Knightstar
Arbeitsweise
max. Datendurchsatz (MBit/s)
Hersteller 3Com
Betriebssystem
reine Software-Lösung Komplettlösung proprietäre Lösung (Appliance) Windows NT Windows 2000 Netware Unix Linux eigenes OS Static Paket Filter Dynamic Paket Filter (Stateful Insp.) Application Level Gateway Circuit Level Gateway
Plattform
●●● ● ●
●●●● ●●●●
●
●●
●● ●● ●●●●●●● ●●● ●● ●
●
●● ●●
●●
●●
● ● ● ICSA
●●●● ●●●●
● ● ICSA ● ● ICSA
www.lanline.de
FOKUS FIREWALLS
Netasq Netscreen
Network Associates
Network-1 Nokia
Nuag PPPEDV PSP Net Sandbox Security Secure Computing Sonicwall
Symantec
M>Manager 2.0 M>Tunnel 2.0 M>Wall 4.5 M>Wallcard Firewall Appliances Netasq F100 Netscreen 5 Netscreen 10 Netscreen 100 Netscreen 1000
● ●
● ● ● ●
●
●
● ● ● ● ● ●
●● ● ● ●
● ●● ●
Sidewinder
●
Sonicwall Pro Sonicwall Pro VX Sonicwall Soho 2 Sonicwall Tele 2 Sonicwall XPRS 2 Desktop Firewall ● Power VPN mit ● Raptor Mobile Raptor Firewall ●
●
● ● ●
● ●●●● ●●●● ● ●
●
●
●
●
●●●
125
●●●● ●●●●●
●●
●
95 80 10 10 100 1000
● ● ● ● ● ●
● ● ● ● ● ●
● ● ● ● ● ●
●● ●● ●●
●●
●● ●● ●●
●
● ●●●
● ● ● ● ● ●
● ● ●●●● ●● ●●●● ● ●●●●●● ●●● ● ● IKE ●●●●●● ●●● ● ● IKE ● ● ● ● ● ICSA ●● ●● ● ● UL 1950
●● ● ● ● ● ● ●
● ● ● ●
●
●
●
●
●● ● ● ●● ●● ● ●● ● ●●●●
●
●●● ● ●● ●● ●● ●● ●● ●● ●●●● ● ● ●
●
●●●
●●
●●●●●
●
●●●
● ● ● ● 80-100 ● ● ● ● ● ● ● ● ● ● ● ● 800 ● ● ● ● ● ● ● ●
●●●●● ●●●●●
● ●
●● ● ●
●●●●●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
2320 3760 75
●●●●● ●●●●● ●●●●●
66 1000
●●●●●
● ●
100
●●●●●●
●●●●
100 100 70 70 70
● ● ● ● ●
● ● ● ● ●
●●● ●●● ●● ●● ●●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ●
● ● ● ●
● ● ● ●
● ● ● ●
● ● ● ● ●
●● ●
●
● ●●●●
>100
●●●●●
●●
● ●
●
●
●●●●
>100
●●
●●
●
●●
● ● ● ● NSA ● ● ● NSA ●● NSA ● ● American Government Cert., ICSA ● ● ITsec 3, ICSA ● ● ● ICSA, ITsec ● ● ICSA ● ● ICSA ● ● ● ICSA, ITsec ● ● ● ICSA, ITsec ● ● ● ●
● ● ● ● ●
ICSA ICSA ICSA, NSA, E3 ICSA, NSA, E3 Check Point CCSE, Nokia NSA ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ICSA, NSA, E3 ●●●●●●●●●●●●● ● ● ● ICSA, NSA, E3 ●● ● ● ●●●●●●● ● ● ● ● ●● ●● ICSA ●●●●●● ● ●●
80 1280 100
● ● ● ● ●
● ● ● ●
● ●●●
●
●● ●● ● ●● ● ● ●●●●●●●●●●●●●●● ●●●●●●●●●●●●●●● ●● ● ●● ●●
● ● ● ●
● ● ● ● ●●●● ● ●
● ● ● ●
● ● ● ICSA V. 3.0 A Firewall, ICSA V. 1.0 A, IPsec, NEBS Level 3, CE
● ● ●
●●●●● ●●●●● ●●●●●
● ● ● ●
● ● ● ●
60
175
●
● ● ● ● 55-70 ● ● ● ● ● ● ● ● ● ● ● ● 80-100 ● ● ● ● ● ● ● ● ●●● ●●● ●
● ●
●● ● ●●
100
●●●● ●● ●● ●●● ● ●● ● ●● ●●●●● ●●●●● ●●●●● ● ● ●
3000 3000
●
● ● ●
● ● ●
IP 440 IP 650 Leo.Firewall-2 Popconnect Plus Firewall Secure 4U
● ● ●
●
Gauntlet 5.5 ● ● Gauntlet 6.0 ● PGP Eppliance ● 5/10/50 PGP Eppliance ● 75/100/150 PGP Eppliance 3xx ●● PGP Eppliance ●● 1000 Cyberwall Plus ● ●● IP ● IP 110 ● IP 330 ● IP 400 ●
www.lanline.de
●● ● ● ● ●●
● ● ●
abgeschlossene Zertifizierungen ● ● ICSA ● ● ICSA ● ● ICSA
● ● ● ● ●
●
●
●
● ● ● ● ●
● ● ● ● ● ● ●
● ● ● ● ● ● ●
●
●
● ● ● ● ●
● ● ● ● ● ICSA Firewall, ICSA IPsec, Welf Webtrends ● ● ICSA ● ● ICSA ● ● ICSA ● ● ICSA ● ● ICSA ●● ● ● ICSA, IPsec, Common Criteria ● ● ICSA, IPsec, Common Criteria
LANline Spezial Das sichere Netz III/2001
109
▼
Matranet
●●● ● ● ● ●● ● ● ● ● ●●
Administration
Funktionen
Network Address-Translation Port Address-Translation Aufbau von VPNs möglich integrierte Benutzerverwaltung externe Authentisierung LDAP-Client Load-Balancing Failover-Mechanismen DoS/DDoS Detection URL-Filtering Content-Filtering Erkennung von Malicious Code Viren-Scanner E-Mail-Scanner OPSEC-Unterstützung Echtzeit-Monitoring Intrusion Detection Portscan Detection Web-basierte Administration Administration via SSL SSH-Administration Administration via Telnet vordefinierte Regel vorhanden Regeln frei definierbar
Produktname GNAT Box GNAT Box Light GNAT Box Pro Ibrixx Fort Noxx Intrusion PDS 2100 PDS 2315 Iplanet Iplanet EFS 3.0 Kontron SP-100 Firewall & Cryptokarte LCI Intermate Intermate VPN 2000 Link.X Securepoint Lucent Techno- Lucent Managed logies Firewall
Arbeitsweise
max. Datendurchsatz (MBit/s)
Hersteller GTA
Betriebssystem
reine Software-Lösung Komplettlösung proprietäre Lösung (Appliance) Windows NT Windows 2000 Netware Unix Linux eigenes OS Static Paket Filter Dynamic Paket Filter (Stateful Insp.) Application Level Gateway Circuit Level Gateway
Plattform
FOKUS FIREWALLS
Xtradyne Technologies
110
●
●
●
● ● ●● ● ●●
●
●
● ●●●●● ● ●●●●● ● ●
●●●●●
● 1000 ● ● 100 ● ● 40 ● ● ● 95 ● ● ● ● ● unbegr. ● ●●● 75 ●
●●
● ●
●●●● ● ● ● ●
●
●
●●● ●●
LANline Spezial Das sichere Netz III/2001
●
106 6 2
Administration
Funktionen
Network Address-Translation Port Address-Translation Aufbau von VPNs möglich integrierte Benutzerverwaltung externe Authentisierung LDAP-Client Load-Balancing Failover-Mechanismen DoS/DDoS Detection URL-Filtering Content-Filtering Erkennung von Malicious Code Viren-Scanner E-Mail-Scanner OPSEC-Unterstützung Echtzeit-Monitoring Intrusion Detection Portscan Detection Web-basierte Administration Administration via SSL SSH-Administration Administration via Telnet vordefinierte Regel vorhanden Regeln frei definierbar
Produktname Veloci Raptor Firewall Stonegate Microliss Tac TFX Multi Secure Kryptowall Firewall Watchguard Firebox II Watchguard Live Security System Watchguard Soho IIOP Domian Boundary Controller
Arbeitsweise
max. Datendurchsatz (MBit/s)
Hersteller Symantec (Forts. v. S. 109) Stonesoft Telco Tech Terre Active Ubizen Utimaco Via Net.Works Watchguard
Betriebssystem
reine Software-Lösung Komplettlösung proprietäre Lösung (Appliance) Windows NT Windows 2000 Netware Unix Linux eigenes OS Static Paket Filter Dynamic Paket Filter (Stateful Insp.) Application Level Gateway Circuit Level Gateway
Plattform
●
●●● ●●● ●● ● ●●● ●●● ●●●
●●
●●● ● ● ● ●●●● ●●● ●●●●● ●● ●● ●
●●●
● ●● ●●●●●●
●
●
●
●
●
● ● ●●●●●●● ●●●●● ● ●●●●●●● ●● ●
●
abgeschlossene Zertifizierungen
●
● ●●●● ● ●●●● ●● ●●●● ●
●
●
●●●
●
● ●
● ●●
● ● ICSA, IPsec, Common Criteria ●● ● ●● ● ●● ●●●● ● ● ITsec ● ● ● ● BSI, NSI
● Common Criteria, ICSA
●●
www.lanline.de
FOKUS FIREWALLS
Anbieter: Firewalls Telefon 0180/5671530
3Com/Bedea Berkenhoff & Drebes
06441/801138
3Com
0180/5671530
Aladdin Allied Telesyn
089/894221-135 00800/25543310
Aravox/Connect Astaro Frank Bernard Biodata
08031/3895949 0721/4900690 069/90478980 06454/9120118
Blue Ridge/Connect Borderware Borderware/Connect Borderware/Entrada Borderware/IBS Borderware/IT Protect Borderware/Topologix Bytex/Connect CA Computer Associates Check Point Check Point/Applied Security Check Point/Class Check Point/Danet Check Point/Infoconcept Check Point/Integralis Check Point/IT-Protect Check Point/R2R Check Point/The Bristol Group Cisco Systems/Ace Cisco Systems/Comed Cisco Systems/Integralis Cisco Systems/OFM Cisco Systems/SHE Cisco Systems/Telematis Cisco Systems/TLK
08031/3895949 06201/901050 08031/3895949 05251/1456-0 0631/36696-00 02332/7596-00 040/352253 08031/3895949 089/9961-9110 0811/600520 06027/40670
Cisco Systems Cisco Systems/Ace Cisco Systems/Connect Cisco Systems Cisco Systems/Ace Cisco Systems/Class Cisco Systems/Connect Cisco Systems/K&K Cisco Systems/Ace Cisco Systems/K&K Cisco Systems Cisco Systems/Ace Cisco Systems/Connect Cisco Systems Cisco Systems/Ace Cisco Systems/Connect Cisco Systems/TLK Columbus Networks Conware
www.lanline.de
08151/991-276 06151/868-341 07243/5380-22 089/94573-0 02332/7596-00 08032/9899-0 06103/2055300
Produkt Office Connect Internet Firewall 25 Office Connect Internet Firewall Office Connect Internet Firewall DMZ Super Stack 3 Firewall Super Stack Internet Firewall E-Safe-Gateway 3.0 AT-AR014 Nemesis Firewall Aravox Netsentry II Astaro Security Linux Linuxwall Big Fire Sphinx Border Guard 3000 Borderware Firewall Borderware Firewall Borderware Firewall Borderware Firewall Borderware Firewall Borderware Firewall Atlas E-Trust Suite Firewall-1 Firewall-1 Firewall-1 Firewall-1 Firewall-1 Firewall-1 Firewall-1 Firewall-1 Firewall-1 VPN-1 Cisco IOS Firewall Cisco PIX Cisco PIX Cisco PIX Cisco PIX Cisco PIX Cisco PIX
Preis in DM 1529 k. A. 3289 10989
Hersteller/Anbieter Cyberguard Cyberguard/Pan Dacom Cyberguard/Connect Dafür J. Dreger Elron Software Energis Evidian
Telefon 0044/1346/382550 06103/932-0 08031/3895949 06151/14094 06181/4107-0 001/781/993-6201 0621/126940 02203/3051742
Evidian/Kess
02241/9693970
F-Secure/Ace
07121/9758-0
GData
0180/1001188
Genua Genua/Applied Security GFI
089/991950-0 06027/40670 040/3068100
k. A. ab 2933 594 ab 60000 390 ab 2640 ab 9779 80 16000 2000-22000 ab 6000 2800-30900 ab 5000 ab 5800 5717 k. A. k. A. ab 299 $ ab 7700
ab 5000 k. A. 12737 k. A. ab 5000 ab 850 k. A. k. A. 07121/97580 ab 231 08191/965596 k. A. 089/94573-0 k. A. 06109/764930 ab 3600 0621/5200-0 k. A. 0800/8010101 k. A. 089/45011-120 3500100000 01803/671001 Cisco PIX 506 1900 $ 07121/97580 Cisco PIX 506 ab 4490 08031/3895949 Cisco PIX 506 4300 01803/671001 Cisco PIX 515 5000 $ 07121/975840 Cisco PIX 515 ab 11530 08151/991-276 Cisco PIX 515 ab 5850 08031/3895949 Cisco PIX 515 11000 02303/254000 Cisco PIX 515 45000 07121/975840 Cisco PIX 520 ab 29980 02303/254000 Cisco PIX 520 53000 01803/671001 Cisco PIX 525 16000 $ 07121/975840 Cisco PIX 525 ab 36900 08031/3895949 Cisco PIX 525 35000 01803/671001 Cisco PIX 535 60000 $ 07121/975840 Cisco PIX 535 ab 138350 08031/3895949 Cisco PIX 535 130000 089/45011-120 Firewall Software k. A. 0044/1322/303164 CNI1000/CNI 1050 k. A. 0721/94950 Secureware F1 Wall ab 4000
GTA GTA/XNC
0044/1903/205151 02203/695091
GTA/Class GTA/XNC
08151/991-276 02203/695091
Ibrixx Intrusion
0721/626870 089/327140-0
Intrusion/Haitec Intrusion/The Bristol Group Iplanet/Class Kontron/Xtro
089/35631-0 06103/2055300 08151/991-276 08165/77-683
LCI Intermate Link.X/IAP Lucent Technologies
0045/72/260421 040/389796 0228/2432540
Lucent Technologies/Landis 02161/35290-211 ICT Solutions Lucent Technologies/MMS 040/211105-40 Matranet
0033/1/34584431
Netasq Netasq/The Bristol Group Netscreen/BSP.Network Netscreen/Help
0033/320/619630 06103/2055300 0941/92015-100 06051/9749-24
Netscreen/BSP.Network Netscreen/Help Netscreen/BSP.Network Netscreen/Help Netscreen/Pan Dacom Netscreen/Connect Netscreen/Help Network Associates/ ATM Computernetzwerke
0941/92015-100 06051/9749-24 0941/92015-100 06051/9749-24 06103/9342-0 08031/38959-49 06051/9749-24 07531/808-4436
Produkt Knightstar Knightstar Starlord Conni Suse/Tivoli Elron IM Firewall Managed Security Access Master Netwall Access Master Netwall Distributed Firewall Workstation Suite Internet Security Kit Secure 4 U Genugate Genugate Languard for ISA Server Mail Essentials for Exchange GB-1000 GB-1000 GB-Flash GB-Flash 19-Zoll Rack-Mount GNAT Box GNAT Box Light GNAT Box Pro Fort Noxx PDS 2100 PDS 2315 Intrusion.com Securecom Familie Iplanet EFS 3.0 SP-100 Firewall & Crypto Karte Intermate VPN 2000 Securepoint Lucent Managed Firewall Lucent Managed Firewall Lucent Managed Firewall M>Manager 2.0 M>Tunnel 2.0 M>Wall 4.5 M>Wallcard Firewall Appliances Netasq F100 Netscreen 5 Netscreen 5 Netscreen 5 Netscreen 10 Netscreen 10 Netscreen 100 Netscreen 100 Netscreen 100 Netscreen 1000 Netscreen 1000 Gauntlet 5.5 Gauntlet 5.5
Preis in DM k. A. ab 75000 k. A. 20000 k. A. 3234 700-2400 ab 5400 ab 5400 ab 150 ab 400 130 80 ab 17000 ab 17300 ab 685 ab 820 5750 6200 3450 6440 ab 3000 gratis 2300 k. A. 3600 4300 ab 4500 k. A. ab 32300 k. A. 5200 1850 11000 23639 11000 k. A. k. A. k. A. k. A. 2678-19350 k. A. k. A. 1500 2900 k. A. 11000 k. A. 29000 37000 ab 200000 k. A. 20000 ab 7500
Gauntlet Firewall 6.0 ab 7500
LANline Spezial Das sichere Netz III/2001
111
▼
Hersteller/Anbieter 3Com
FOKUS FIREWALLS
Hersteller/Anbieter Network Associates/ PGP Security
Produkt PGP Eppliance 5/10/50 PGP Eppliance 75/100/150 PGP-Eppliance 3xx PGP Eppliance 1000 Network-1 001/781/522-3425 Cyberwall Plus Nokia/Class 08151/991-276 Nokia IP Nokia/The Bristol Group 06103/2055300 Nokia IP Nokia/Haitec 089/33631-0 Nokia IP Nokia/Integralis 089/94573-0 Nokia IP Nokia/R2R 08032/9899-0 Nokia IP Nokia/Quante 0511/740192-0 Nokia IP 110 Nokia/Defense 089/897464-12 Nokia IP 110 Nokia/Quante 0511/740192-0 Nokia IP 330 Nokia/Defense 089/897464-12 Nokia IP 400 Nokia/Quante 0511/740192-0 Nokia IP 440 Nokia IP 650 Nuag 089/60086-0 Leo.Firewall-2 PPEDV 08677/988928 Popconnect Plus PSP Net 06430/2222 Firewall Sandbox Security 089/800700 Secure 4U Secure Computing/Recomp 02664/9953-43 Sidewinder Secure Computing/CCM 0228/986450 Sidewinder Consult Secure Computing/Thales 040/251522-0 Sidewinder 5.1 Communication Sonicwall/Applied Security 06027/40670 Sonicwall Sonicwall/R2R 08032/9899-0 Sonicwall Sonicwall 0044/870/7200 Sonicwall Pro Sonicwall Pro VX Sonicwall Soho2 Sonicwall Tele2 Sonicwall XPRS2 Sonicwall/Infoconcept 07243/5380-0 Sonicwall XPRS2 Symantec 0180/1000166 Desktop Firewall Power VPN mit Raptor Mobile Symantec/Infoconcept 07243/5380-0 Power VPN Symantec 0180/1000166 Raptor Firewall Symantec/Aagon Consulting 02921/7892-0 Raptor Firewall Symantec/Brainforce 089/317004967 Raptor Firewall Symantec/Centracon 02171/7283-0 Raptor Firewall Symantec/Entrada 05251/1456-0 Raptor Firewall Symantec/Infoconcept 07243/5380-0 Raptor Firewall Symantec/IT-Protect 02332/7596-00 Raptor Firewall Symantec 0180/1000166 Veloci Raptor Firewall Symantec/Entrada 05251/1456-0 Veloci Raptor Firewall
112
LANline Spezial Das sichere Netz III/2001
Telefon 089/3707-0
Symantec/IT-Protect Stonesoft Telco Tech Terre Active Ubizen Utimaco Software
02332/7596-00 089/969782-0 03328/430810 0041/62/8239355 0032/16/287000 0241/9632922
Veloci Raptor Firewall Stonegate Microliss Tac TFX Multi Secure Kryptowall
Via Net.Works Watchguard/Connect
0203/3093-100 08031/38959-49
Watchguard/Entrada
05251/1456-0
Firewall Soho Firebox II Watchguard Firebox II
Watchguard/IT-Protect Watchguard/K&K Watchguard/R2R Watchguard/Xtro Watchguard/Comset
02332/7596-00 02303/25400-0 08032/9899-0 08165/77-683 02131/790812
Watchguard/Entrada Watchguard/K&K Xtradyne
05251/1456-0 02303/25400-0 06196/400-971
Preis in DM ab 1250 ab 6200 ab 30000 k. A. 2500 ab 11900 k. A. ab 15000 k. A. ab 7500 ab 8070 8400 ab 21760 25000 ab 40450 ab 65460 2930 699 ab 3256 99-9800 ab 6000 ab 4995 8580-49280 ab 1600 k. A. 4901 8176 813 977 2937 5745 110 4173 ab 4174 4173 k. A. 4174 k. A. 4840-52000 ab 4174 ab 4174 14491 1680050400 ab 14474 k. A. 3000 12000 k. A. 1400032000 Euro 99 1050 11500 1330033700 ab 11400 11000 ab 1199 k. A. 11000
Watchguard Firebox II Watchguard Firebox II Watchguard Firebox II Watchguard Firebox II Watchguard Live Security System Watchguard Soho 1200-1600 Watchguard Soho 1200 IIOP Domain Boun- 60000 dary Controller
www.lanline.de
