Dies ist einer der Artikel aus einer Serie von Sicherheitstipps. Hier die Links zu den Themen:
Datensicherung – Notwendig? Übel? Unentbehrlich!
Sicherheit in Anwendungssystemen – Nützlich oder lästig?
Sicherheit im Internet, E-Mail und E-Commerce
Physikalische Sicherheit und Gebäudesicherheit als Vorstufe zur Informationssicherheit
Maßnahmen in der Netzwerkarchitektur zur Hebung der Informationssicherheit
Sicherheit im Netzwerk
Maßnahmen in der Netzwerkarchitektur zur Hebung der Informationssicherheit
Autor: Michael Krausz, C.I.S.-Auditor, Wien
Version 2003
In diesem Artikel wollen wir die technischen Aspekte sicherer Netzwerkinfrastruktur beleuchten und die wesentlichen Elemente zur Hebung der Informationssicherheit im betrieblichen Umfeld zur Geltung bringen. Die Grenze bilden dabei die Netzwerkbetriebssysteme wie Windows 2000 oder UNIX, die nicht mehr Gegenstand dieses Artikels im engeren Sinn sind. Wir werden vielmehr die Möglichkeiten darstellen, die man auf der Ebene der aktiven Netzwerkkomponenten und der Architektur hat, um die Informationssicherheit in einem Netzwerk zu heben.
(1) Die Bedrohung
Bedrohungen für heutige Netze erwachsen vor allem aus drei Gründen:
- der zunehmende Einsatz von Hackern zur Wirtschaftsspionage
- die zunehmende Anzahl qualifizierter Hacker im Internet (Profis)
- der Verwundbarkeit von Netzwerkdiensten aufgrund fehlerhafter Programmierung, durch die Türen in das Netzwerk geöffnet werden
(2) Der Stand der Technik
Mittlerweile sind die Zeiten, in denen Netzwerke durch schlichte Modems an öffentliche Netze angeschlossen wurden, vorbei, da schon damals elementare Sicherheitsanforderungen nicht erfüllt werden konnten. Mitte der neunziger Jahre konnten sich dann Firewalls und die dahinterliegenden Architekturen durchsetzen und stellen damit heute den Stand der Technik für die sogenannte Umfangsverteidigung („Perimter-Defense“) dar. Darunter versteht man, dass für das Netzwerk eine äußerer Umfang (ähnlich einer Stadtmauer) definiert wird, an dessen zentralen Zugangspunkten dann eben eine Firewall eingesetzt wird.
Wichtiger als die Firewall selbst ist die architektonische Teilung des Netzes in drei verschiedene, so genannte „Zonen“, die sich durch den Datenverkehr unterscheiden, der jeweils zugelassen oder abgelehnt wird. Dabei wird die Firewall mit drei Netzwerkkarten ausgestattet, wovon eine dem Zugang nach außen dient, eine für die Anbindung des inneren Netzes verwendet wird und die dritte ein eigenes Netz bildet, in dem jene Rechner angesiedelt sind, die von beiden Seiten, d.h. von innen und von außen, zugänglich sein müssen. Durch die Trennung der Netzwerke wird dabei vor allem das innere Netz vollständig vom äußeren abgekoppelt, wobei an der Firewall selbst konfiguriert werden kann, welche Art von Datenverkehr hindurchgelassen werden soll. Im dritten Netz, der so genannten Demilitarisierten Zone (DMZ), werden typischerweise Webserver, Mail-Server und andere Geräte angesiedelt, die von außen erreichbar sein müssen (besonders beispielsweise DNS-Server), aber auch von innen erreicht werden sollen. Der Zugang zur DMZ wird dabei von der Firewall geregelt.
Auf der Firewall selbst werden so genannte Zugangsregeln, oft auch „Access Rules“ genannt, konfiguriert, die angeben welche Netze und welche Dienste von außen in Anspruch genommen werden dürfen. Dadurch wird der Datenverkehr in erlaubten und verbotenen geteilt. Datenverkehr, der aus dem inneren Netz kommt wird zumeist nicht beschränkt, woraufhin die Firewall auch die Antworten auf solche Anforderungen durchlässt. Diese Methode wird „Stateful-Inspection“ genannt und zählt ebenfalls zum Stand der Technik heutiger Firewall Implementierungen.
(3) E-Mail
Unverschlüsselter Mailverkehr ist heute eines der größten Sicherheitsrisikos, da jede Mail bis zu 40 Knotenpunkte passieren muss, um den Empfänger zu erreichen, und theoretisch zumindest an jedem dieser Punkte abgefangen werden kann. „Abgefangen“ ist hierbei als elektronisches Mitlauschen zu verstehen, dessen Existenz weder von Sender noch Empfänger erkannt werden kann (zumindest nicht mit technischen Mitteln).
Programme zur Verschlüsselung von Mail sind heute dem Status des Kindbetts lang entwachsen und können selbst von Laien bereits so bedient werden, dass eine reibungslose Integration in die täglichen betrieblichen Abläufe möglich ist. Letztendlich ist zu beachten, dass viele Unternehmen immer öfter Daten per Mail austauschen und diese Daten oft projektorientiert sind oder wichtige Informationen zu betrieblichen Abläufen darstellen. Was nützt dann die beste Absicherung des internen Netzes, wenn Daten per Mail quasi unbeobachtet das Haus verlassen können (und auf ihrem Weg zum Empfänger praktisch für jeden Knotenpunkt lesbar sind) ?
(4) Datenaustausch großer Datenmengen
Für den Austausch großer Datenmengen mit Partnern oder Kunden ist Mail im Grunde ungeeignet, da viele Mailserver mit großen Dateien (ab ca. 50MB) schlicht überfordert sind oder die Zustellung verweigern. Mit FTP steht seit den Urzeiten des Internet ein Protokoll zur Verfügung, das für solche Zwecke wie maßgeschneidert ist, jedoch heutzutage aufgrund der inhärenten Sicherheitsprobleme nur innerhalb sicherer Netze angewendet werden sollte. Wenn man nun mit Geschäftspartnern große Datenmengen austauschen muss oder will, so sollte man heutzutage das SSH Protokoll verwenden, für das eine Implementierung zur Übertragung von Dateien (SCP) existiert. Hierbei werden die zu übertragenen Daten verschlüsselt und bleiben damit für eventuelle Mithörer an Netzwerkknotenpunkten unlesbar.
(5) Virenschutz
Noch immer treiben in vielen ungeschützten Netzen Viren ihr Unwesen, die von nichtsahnenden (oder ahnungslosen) Benutzern und Administratoren an Kunden, Partner und potentielle Kunden verteilt werden. Abgesehen von der nicht gerade guten Nachrede, die Virenvorfälle nach sich ziehen können, ist auch darauf hinzuweisen, dass Schadenersatzansprüche gegen den Verbreiter eines Virus bestehen, unabhängig vom Grad der nachgewiesenen Fahrlässigkeit. Um heutzutage effizienten Virenschutz zu gewährleisten, wird aus Sicht der Netzwerkarchitektur zumeist die Virenkontrolle bereits am Umfang des Netzwerkes durchgeführt. Dazu werden so genannten Mail-Forwarder installiert, die eingehende Mails empfangen, auf Viren kontrollieren und erst nach der Prüfung an die internen Mailserver weiterleiten. Eine Prüfung abgehender Mail ist meist ebenfalls selbstverstädlich. Moderne Proxy-Server sind weiters in der Lage auch HTTP Datenverkehr auf Viren überprüfen zu können. Die Wirksamkeit jeder Virenkontrolle steht und fällt jedoch mit der Aktualisierung der Viren-Signaturen, die allerdings von modernen Programmen bereits automatisch durchgeführt wird.
(6) Fernwartung
Fernwartungszugänge externer Unternehmen stellen einen besonderen Problemkreis dar, der ebenfalls nicht unterschätzt werden sollte. Letztendlich hat der Endkunde keine Garantie darüber, dass nicht der Dienstleister selbst gehackt wird oder ein Mitarbeiter des Dienstleisters plötzlich zum Hacker wird. Ein dauernder Zugang in Ihr Netz wäre daher für den Hacker zweifelsfrei ein „gefundenes Fressen“, da viele Zugänge oft auch administrative Berechtigungen beinhalten.
Der wirksamste Schutz vor dem Missbrauch einer Fernwartungsverbindung wird jedoch organisatorisch und nicht technisch implementiert. Zwar gibt es bei vielen Firewalls die Möglichkeit, Zugänge auch zeitlich zu begrenzen, am wirkungsvollsten ist jedoch das grundsätzliche Abdrehen des Fernwartungszuganges bis zu jenem Zeitpunkt, an dem er tatsächlich benötigt wird. Durch entsprechende Kontaktaufnahme des Dienstleisters vor der geplanten Wartung kann die Authentizität des Begehrens bestätigt werden. Nach Abschluss der Wartungsarbeiten soll der Zugang wieder geschlossen werden, sodass ein Missbrauch rein technisch verunmöglicht wird. Dies beinhaltet das Abschalten von Modems (falls verwendet), jedenfalls aber das Deaktivieren der für die Fernwartung verwendeten Accounts.
Zusammengefasst ist für heutige Netzwerke zu empfehlen, dass unbedingt Firewalls eingesetzt werden, denn nur diese bieten einerseits Schutz und ermöglichen das Feststellen versuchter Angriffe durch Dritte. Weiters ist modern ausgelegter Virenschutz unabdingbar für den Datenaustausch per E-Mail mit Kunden und Partnern. E-Mail Verschlüsselung komplettiert die Schutzmaßnahmen und sichert die Vertraulichkeit der Kommunikation mit Kunden, Lieferanten und anderen Geschäftspartnern.
Alle hier beschriebenen Methoden können heute bereits sehr kosteneffizient umgesetzt werden, sodass die „Ausrede“, die beschriebenen Maßnahmen seien einzeln oder im Gesamten „wirtschaftlich nicht vertretbar“ von keinem ernsthaft arbeitenden Auditor mehr akzeptiert werden kann.
Mehr zu diesem Thema auf dieser Website:
- eine umfassende Auflistung von sehr empfohlenen Sicherheitsmaßnahmen.
http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf dieser Seite liegt bei Michael Krausz.