Von: Anne Kulessa
Nach wie vor kommunizieren viele Firmen via Modem mit ihren Außendienstmitarbeitern. Aufwendig zu verwaltende Modem-Pools nehmen deren Anfragen entgegen und regeln den Datenaustausch mit der Zentrale. Mitunter fallen dabei hohe Telefonkosten für Ferngespräche an - und das, wo doch alles viel billiger über das Internet ginge. Es machte auch die teuren Standleitungen zu den Filialen überflüssig, die ohnehin nicht rund um die Uhr genutzt werden. Vorteile über Vorteile also, wenn das Internet kein Manko hätte: die fehlende Sicherheit.
Ein ungesichertes Netzwerk mit Internet-Zugang gleicht einer Haustür ohne Schloß: Alle Lauscher und Datendiebe haben freien Zugang zu den internen Datenbeständen. Die DV-Verantwortlichen stehen damit vor der schwierigen Aufgabe, die steigende Nachfrage nach elektronischer Kommunikation gegen das Sicherheitsrisiko abzuwägen.
Eine Reihe von Firewall-Systemen schützt ein LAN vor unerwünschten Eindringlingen und Hackern [1]. Die sogenannten "High-Level-Security"-Firewalls trennen das zu schützende Netzwerk vom unsicheren Internet durch eine dreifache Hürde: Sie kombinieren ein Application Gateway mit einem vor- und einem nachgeschalteten Paketfilter.
Abschirmende Firewalls
Die meisten Firewalls der führenden Hersteller verhüllen durch "Network Address Translation" (NAT) die Struktur des LAN vor der übrigen Welt. Die Geräte repräsentieren das Netz der Firma nach außen hin durch eine einzige registrierte IP-Adresse und verbergen damit die privaten Internet-Adressen des Firmennetzes. Kommuniziert ein Rechner des LAN über das Internet, erhält er für den Zeitraum der Verbindung eine dynamische IP-Adresse aus einem Pool registrierter Nummern. Eingehende Pakete leitet die Firewall an den Empfänger weiter. Auch wenn das eigene Netz gegen-über möglichen Angriffen von außen geschützt ist, besteht immer noch ein Risiko: Über das Internet ausgetauschte Daten können abgehört werden. Es wäre nämlich nicht praktikabel, dem Datenstrom einen bestimmten Weg vorzugeben. Dafür ist das weltweite Internet viel zu komplex. Vielmehr müssen die einzelnen Datenpakete jeweils einen eigenen Weg von einem Router zum nächsten suchen. Und an jeder dieser Zwischenstationen kann die Leitung belauscht werden.
Ein virtuelles privates Netzwerk (VPN) sichert die Kommunikation über das Internet vor unberechtigten Lauschangriffen. Dabei handelt es sich um eine IP-Verbindung, die Datenpakete kodiert und sich nur autorisierten Benutzern als Klartext offenbart. Das Prinzip ist einfach: Ein VPN chiffriert alle Daten, die das sichere Firmennetz verlassen, und der Empfänger dechiffriert sie, wenn sie das Gateway zu seinem LAN passieren. Einige Firewalls ermöglichen den Aufbau von VPNs und bieten neben der Datenverschlüsselung auch Mechanismen zum Authentifizieren von Benutzern an. Mit ihrer Hilfe kann der Systemadministrator bestimmen, welche Anwender Pakete in das Firmennetz senden dürfen. Kommuniziert ein Unternehmen häufig mit einer Niederlassung über das Internet, sollte eine VPN-Firewall mit Verschlüsselung und User-Authentifizierung an beiden Punkten installiert sein.
Verschiedene Firewall-Anbieter setzen für die Kommunikation über VPNs ihre eigenen, proprietären Sicherheitsmechanismen ein. Unternehmen müssen daher an den Endpunkten ihrer LANs Geräte eines Herstellers aufstellen. Um einen Datenaustausch zwischen Firewalls unterschiedlicher Hersteller zu gewährleisten, arbeitet die Working Group IP Security der Internet Engineering Task Force (IETF) an einer Reihe von Dokumenten, die eine sichere IP-Kommunikation beschreiben. Die grundlegenden Internet-Drafts hat das Komitee im vergangenen Sommer zum letzten Mal überarbeitet (siehe Kasten "Internet-Drafts zu IPSec"), denn die Steering Group der IETF hat die Entwürfe als "Proposed Standards" anerkannt.
Vertraulichkeit und Integrität
Das IPSec Framework ist ein Rahmen von Normen, der festlegt, mit welchen Ergänzungen das Internet-Protokoll die Integrität der Datenpakete und die Vertraulichkeit der Inhalte sichert sowie kryptografische Algorithmen einbindet. Zwei Protokollabschnitte sorgen für den Schutz der Datenpakete: "IP Authentication Header" (AH) und "IP Encapsulating Security Payload" (ESP). AH gewährleistet für jedes Paket mittels einer Prüfsumme die Datenintegrität und die Authentifizierung des Datenursprungs. Der Abschnitt schützt den gesamten Inhalt des IP-Pakets vor unberechtigten Zugriffen, abgesehen von einigen Feldern im Header. Ein zusätzliches Nummernfeld verhindert Replay-Angriffe. Die für das AH-Protokoll verwendeten Algorithmen heißen "Hashed Message Authentication Codes" (HM AC). Sie setzen den Authentifizierungscode zweimal hintereinander ein und erreichen so ein hohes Maß an Schutz.
ESP sorgt auf Wunsch für die Vertraulichkeit des Datenverkehrs. Der Protokollabschnitt legt fest, ob, beziehungsweise nach welchem Algorithmus verschlüsselt wird. Wie AH kann auch ESP authentifizieren und Anti-Replay-Maßnahmen treffen.
IPSec stellt zwei grundsätzlich verschiedene Verfahren bereit: den Transportmodus und den Tunnelmodus. Die Sicherheitsprotokolle AH und ESP folgen im Transportmodus unmittelbar nach dem IP-Header. Die Protokolle authentifizieren das gesamte Paket bis auf veränderliche Einträge des IP-Kopfes. Hingegen greifen die Verschlüsselungs- mechanismen nur für die höheren Protokollebenen und den Datenbereich des Pakets. Im Transportmodus bleibt der ursprüngliche IP-Header erhalten. Die Daten sind authentifiziert und je nach Wunsch auch verschlüsselt. Das Verfahren schützt die Kommunikation oberhalb der Verbindungsschicht vor unerwünschten Mitlesern.
Der Tunnelmodus bietet erhöhte Sicherheit, weil er das gesamte IP-Paket einschließlich des Protokollkopfes kodiert. Das Paket erhält einen neuen IP-Header, an den sich AH beziehungsweise ESP anschließen und sowohl die Daten als auch die ursprünglichen Protokollköpfe sichern. Eine VPN-Kommunikation zwischen zwei Sicherheits-Endpunkten wie Firewalls oder Internet-Zugangsrechnern muß gemäß dem Standard im Tunnelmodus erfolgen. Gegenüber dem Tunnelbetrieb spart der Transportmodus Rechenzeit und ist für Verbindungen innerhalb eines sicheren Netzwerks vorgesehen.
Eine Frage der Performance
Mit IPSec steht erstmals ein allgemein verbindlicher, herstellerübergreifender Standard zur Verfügung, der den Datenaustausch zwischen unterschiedlichen Firewalls im Rahmen einer VPN-Lösung regelt. Vorläufer des Standards haben verschiedene Firewalls bereits umgesetzt. Weil der Bedarf nach kostengünstigen, sicheren Internet-Verbindungen stark ansteigen wird, dürfte der Einbau der neuen Norm bald folgen.
IPSec wird nicht dazu führen, daß alle Unternehmen nur noch mit AH-gesicherten Paketen kommunizieren werden. Denn IPSec-Lösungen können in der Performance nicht mit proprietären Firewall-Systemen konkurrieren. Ein optimal konfiguriertes VPN, in dem präzise aufeinander abgestimmte Firewalls des gleichen Herstellers miteinander in Kontakt stehen, übertrifft eine IPSec-basierte Kommunikation klar an Performance. Firmen sollten sich deshalb nur dann für IPSec entscheiden, wenn ein derartiges Fein-Tuning nicht möglich ist, zum Beispiel beim Austausch mit Fremdunternehmen. (kpl)
Literatur
[1] Miserre, R., Plessner, K.: Grenzkontrolle; gateway 9/98, S. 66 ff.
Weblinks
Homepage der IETF:
http://www.ietf.org
Liste der Internet-Drafts:
ftp://ftp.ietf.org/internet-drafts
Liste der RFCs:
http://info.internet.isi.edu/1s/in-notes/rfc
Offizielle Übersicht (RFC 2400):
ftp://ftp.isi.edu/in-notes/std/std1.txt
Anne Kulessa
war Account Manager bei GFKT und ist seit 1995 Marketing Manager bei Wick Hill.