Immer mehr Firmen und Behörden entdecken das Internet als Kommunikationsweg, der Standorte miteinander verbindet oder Außendienstmitarbeitern den Zugang zur Zentrale eröffnet. Bei Extranets, also geschlossenen Kommunikationsstrukturen auf Basis von Internet-Techniken, spielt die Sicherheit eine entscheidende Rolle.
Als "Torwächter" zwischen dem öffentlich zugänglichen Internet und dem Extranet dienen Firewalls. Solche Systeme sichern folgende Zugriffsarten ab:
- Outbound: den Zugang zum Inter-net vom Intranet aus;
- Inbound: Zugriffe aus dem Internet auf öffentliche Angebote oder Dienste durch anonyme Benutzer, etwa die Web-Site eines Unternehmens;
- Inbound-Zugriffe auf Dienste durch einen geschlossenen Teilnehmerkreis, beispielsweise Heimarbeiter oder Geschäftspartner.
Nur wenige Firewalls decken alle drei Bereiche ab. Ein Grund sind die Verzögerungszeiten: Je sicherer eine Firewall ist, desto mehr Zeit benötigt sie, um die Datenpakete zu überprüfen. Das wiederum ist ein Handicap für Echtzeitapplikationen. Integriert der Netzwerkspezialist dagegen weniger Sicherheitsmechanismen, wird das Intranet anfälliger. Er muß also einen Kompromiß zwischen Sicherheitsgrad, Verarbeitungsgeschwindigkeit und den Anforderungen der Applikationen finden.
Bild 1 zeigt die Kontrollbereiche einer Firewall. Im unkontrollierten Bereich, der "entmilitarisierten Zone" (De-militarized Zone, DMZ), befinden sich Router, die Verbindung zum Internet und ungeschützte Systeme. Die Firewall schützt das dahinter liegende Intranet. Noch sicherer ist ein dediziertes Segment, dessen Stationen über eine spezielle Adapterkarte in einem Subnetz abgeschottet sind.
Arten von Firewall-Systemen
Die Leistungsfähigkeit einer "Brandschutzmauer" hängt von den Kontrollkomponenten ab. Systeme mit einfachen Paketfiltern bieten nur eingeschränkte Funktionen und sind außerdem schwer zu warten. Eine Alternative sind dynamische Paketfilter, die ein breites Spektrum von Kommunikationsvorgängen absichern. Firewalls, die auf der Transport- beziehungsweise Verbindungsschicht arbeiten, reichen TCP- oder UDP-Verbindungen weiter. Die externe Kommunikation läuft in diesem Fall über ein Gateway.
Am sichersten, aber auch sehr komplex, sind Systeme auf der Anwendungsschicht. Statt den gesamten Datenfluß zu kontrollieren, versieht die Firewall jede Applikation mit einem Code und trennt mit seiner Hilfe den Datentransfer zwischen dem internen und externen Netz. Jeder Dienst, also Telnet, FTP oder HTTP, läuft auf einem eigenen Proxy-Server. Die Firewall agiert nach außen hin als Server, nach innen als Client oder umgekehrt bei einer Verbindung zwischen einem internen Client und einem externen Server. Die doppelte Verarbeitung geht jedoch zu Lasten der Performance.
Die meisten Firewalls sind eine Mischung aus Transport- und Applikationsschicht-Systemen. Sie leiten ausgehende Dienste über Transportschicht-Komponenten, während die hereinkommenden Daten durch Anwendungsschicht-Firewalls gefiltert werden. Häufig anzutreffen ist folgende Kombination: Ein Paketfilter auf einem Router analysiert die ankommenden Daten und gestattet nur den Zugriff auf die Rechner zwischen dem internen und externen Router sowie der Firewall. Der Router im internen (sicheren) Netz läßt nur Datenverkehr mit der Firewall zu. Diese Konfiguration heißt "Zwinge".
Ein sicheres Extranet erfordert ein umfassendes Sicherheitskonzept. Unabhängige Gremien wie das Computer Emergency Response Team (CERT, http://www.cert.org) geben dem IT-Verantwortlichen Hinweise, wie er ein Extranet "abdichten" kann. Diese Organisation sammelt Informationen über Sicherheitsmängel im Internet und beschreibt Angriffsarten.
Ob die Sicherungsmechanismen funktionieren, kann der Fachmann mit Hilfe von Tools wie "Satan" (Security Administrator Tool for Analyzing Networks) oder dessen Nachfolger "Saint" überprüfen [3]. Allerdings sollte er diese Werkzeuge nicht auf dem Gateway installieren, damit ein Angreifer dort nicht einen gut gefüllten "Werkzeugkoffer" vorfindet.
Im Tunnel durchs Internet
Ein bewährtes Verfahren, um Daten sicher über das Internet zu transportieren, ist das Tunneling (RFC-2003). Es baut zwischen Endpunkten eine virtuelle Verbindung auf. Die Standardmethode zum Transport von Multiprotokoll-Datagrammen ist das "Point-to-Point Protocol" (PPP) oder seine Weiterentwicklung "Multilink PPP" (ML-PPP).
Im Grunde genommen war es überflüssig, das Point-to-Point Protocol zu entwickeln. Denn mit dem "High Level Data Link Control-Protokoll (HDLC) existierte bereits eine Lösung, die vergleichbare Funktionen zur Verfügung stellte. Für redundante Strecken ist zudem das "Multilink HDLC" eine bessere Alternative, weil es nicht wie PPP auf Protokolle höherer Schichten angewiesen ist, was bei Fehlern zu größeren Time-outs führt.
HDLC garantiert im Gegensatz für eine fehlerfreie Leitung. Als Folge davon kann ein Re-Routing wesentlich schneller erfolgen als bei PPP. Zudem weist das Point-to-Point Protocol eine höhere "Bit Error Rate" (BER) als HDLC auf. Trotz dieser Argumente entwickelt sich PPP zum De-facto-Standard bei ISDN-Verbindungen unter Windows.
Tunnel als Grundlage von VPNs und Extranets
PPP läßt sich unterteilen in das "Password Authentication Protocol" (PAP) und das "Challenge Handshake Authentication Protocol" (Chap). Sie dienen zur Authentifizierung und Überprüfung der Identität eines Benutzers im Extra- oder Intranet.
Das Zugangssystem ist über ein LAN oder ein Weitverkehrsnetz mit dem dahinter liegenden Netz verbunden und leitet die Pakete über PPP zum Zielrechner weiter. Bei der Tunnellösung packt das Zielsystem die vom Teilnehmer empfangenen PPP-Pakete in ein Tunnelprotokoll ein und transportiert dieses über das Internet weiter.
Durch das Tunnelverfahren verhält sich das System so, als hätte sich der Teilnehmer direkt eingewählt. Zusätzlich wird der externe Teilnehmer autorisiert und erhält eine IP-Adresse. Die IP/IPX-Pakete werden entpackt und anschließend zum Adressaten weitergeleitet. Das Endgerät kann ein Access-Router sein oder ein Server, der in der Lage ist, Tunnelmechanismen zu implementieren. Auf diese Weise entsteht ein Virtuelles Privates Netz (VPN) beziehungsweise ein Extranet. Der Anwender hat die Wahl zwischen fol- genden Vorgehensweisen:
- Er baut den Tunnel selbst auf: Im Intranet wird dazu ein Tunnelserver aufgesetzt. Die Clients greifen über eine spezielle Software auf das Netz zu.
- Outsourcing: Ein Internet-Service-Provider errichtet und verwaltet im Auftrag des Kunden den Tunnel. Teilnehmer im Extranet sind über eine Wähl- oder Standleitung mit dem ISP verbunden; eine spezielle Software ist nicht notwendig.
- Hybride Realisierung: Auch hier ist der ISP für den Aufbau und das Management des Tunneling verantwortlich, der Server steht jedoch beim Anwender.
Router enthalten standardmäßig Techniken, die auch beim Tunneling zum Zuge kommen können. Dazu zählt das "Point-to-Point Tunneling Protocol" (PPTP). Beim ihm werden die Pakete in eine modifizierte Form des "Generic Routing Encapsulation Protocol Version 2" (GRE V2) verpackt und zum "Network Access Server" (NAS) des Service-Providers transportiert.
Beim NAS erfolgt keine Authentifizierung des Benutzers, sondern eine statische Zuordnung. Der Teilnehmer kann daher nicht den Endpunkt des Tunnels bestimmen; der Betreiber des Zugangssystems ist wiederum nicht in der Lage, Accounting- oder Statistikdaten zu erfassen. Ein weiterer Nachteil des Verfahrens ist, daß das Home Gateway ein Windows-NT-Rechner sein muß. Zudem benötigt es eine feste IP-Adresse für die statische Vergabe der Route. Viele Unternehmen verwenden jedoch private IP-Adressen gemäß RFC-1918.
Layer-2-Forwarding Für PPTP spricht, daß es sowohl IP- wie auch IPX/SPX-Pakete (Multiprotocol Tunneling) überträgt. Außerdem erlaubt es Dial-out, also die Anwahl einer Rufnummer von der Zen
trale aus, um eine direkte Verbindung zu einem Arbeitsplatz herzustellen.
Eine Alternative ist das Layer-2-Forwarding-(L2F-)Protokoll von Cisco (RFC-2341). Als Home Gateway dient ein Router, als NAS ein Access-Server. Wie bei PPTP ist es egal, welche Client-Software der Anwender benutzt. Allerdings unterstützt L2F auch das "Serial Line Protocol" (SLIP). Außerdem erfolgt die Zuordnung von NAS und Home Gateway im Gegensatz zu PPTP dynamisch.
Dritte Variante: Das "Layer 2 Tunneling Protocol"
Im Unterschied zum PPTP identifiziert L2F den Teilnehmer und fragt dessen Paßwort ab. Dadurch kann das Zugangssystem den Zielort des Tunnels anhand des Namens oder der Wahlziffer bestimmen. Dank Multi-Providing hat der Benutzer direkten Zugriff auf das Internet oder das VPN. Ein weiteres Plus ist, daß L2F über unterschiedliche Paketnetze transportiert werden kann, etwa ATM und Frame-Relay. Nicht unterstützt wird Dial-out.
Um die Vorteile beider Ansätze zu vereinen, wurde ein drittes Protokoll spezifiziert: das "Layer 2 Tunneling Protocol" (L2TP). Es erweitert L2F um die Dial-out-Funktion. Wenn also keine physikalische Verbindung vorhanden ist, baut das Zugangssystem eine Verbindung zur Gegenstelle auf. Die Nachteile der Layer-2-Tunneling Verfahren sind:
- Der Schicht-2-Rahmen benötigt einen zusätzlichen Header;
- die Skalierung ist eingeschränkt, da viele parallele PPP-Verbindungen die Ressourcen stark beanspruchen. Die Lösung ist also von der Client-Anzahl abhängig.
- Der Rechenaufwand an den Tunnelenden ist hoch, wodurch es zum Abbruch von Verbindungen kommen kann.
Diese Nachteile sollen Layer-3-Tunneling-Netzwerkprotokolle beseitigen. Die Implementierung auf der Schicht 3 hat den Vorteil, daß sich der Datenverkehr logisch unabhängig übermitteln läßt. Zur Zeit konkurrieren vier Verfahren: IPsec, GRE, Mobile IP und das "Virtual Tunneling Protocol" (VTP).
Die besten Chancen werden IPsec eingeräumt. Diese Spezifikation definiert Verfahren für die Authentifizierung und Verschlüsselung auf der IP-Schicht. Firewalls können über IPSec chiffrierte Daten austauschen, auch wenn sie unterschiedliche Verschlüsselungsverfahren verwenden.
IPsec ist im Gegensatz zu herstellerspezifischen Ansätzen eine Sicherheitserweiterung auf der IP-Schicht, wodurch es jedes Datenpaket vor Verfälschung (Authentizität und Integrität) schützt und zusätzlich verschlüsselt (Vertraulichkeit). Im Grunde wären Sicherheitsmechanismen auf der Anwendungsschicht überflüssig, würde IPsec die Daten auch nach dem Empfang schützen. Das ist nicht der Fall, deshalb sind Ergänzungen wie eine digitale Signatur nötig.
Absicherung von Daten durch IPSec
IPsec erweitert jedes IP-Paket um den Authentication Header (AH) und die Nutzdaten-ESP (Encapsulated Security Payload). Der AH enthält eine kryptographische Prüfsumme über die Nutzdaten und Teile des Paketkopfes. Hash-Funktionen, wie "Message Digest 5" (MD5) und "Secure Hash Algorithm" (SHA), bilden mit einem symmetrischen Schlüssel die Prüfsumme. Durch die Prüfsumme entsteht ein "Message Authentication Code", der die Nutzdaten vor Verfälschung schützen soll. Zusätzlich werden wichtige Daten des IP-Headers, wie die Sende- und Empfangsadresse, gesichert.
Nicht alle Felder des Headers gehen in die Prüfsumme mit ein, weil sonst variable Felder die Prüfsumme ungültig machen würden. ESP wird hauptsächlich zum Verschlüsseln der Nutzdaten verwendet. Dabei kommen symmetrische Verschlüsselungsverfahren wie DES, Triple-DES oder Idea zum Einsatz.
Verschlüsselung beim Transport über öffentliche Netze
Um die Kommunikation über öffentliche Netze abzusichern, werden zusätzlich kryptographische Verfahren eingesetzt. Es gibt zwei Kryptotechniken, die auf einem Schlüssel basieren: symmetrische und asymmetrische. Bei der symmetrischen Variante wird der Schlüssel zur Dechiffrierung vom Schlüssel zur Chiffrierung abgeleitet. Sie verwendet einen einzigen Schlüssel, auf den sich die Kommunikationspartner vor Beginn einer Sitzung einigen müssen. Symmetrische Verschlüsselungstechniken sind schnell und effizient umzusetzen.
Asymmetrische Verfahren, auch "Public-Key-Verfahren" genannt, verwenden dagegen unterschiedliche Schlüssel zum Chiffrieren und Dechiffrieren. Der Schlüssel wird veröffentlicht, so daß jedermann die Möglichkeit hat, eine Nachricht für Dritte unlesbar zu machen. Nur der Empfänger kann die Mitteilung dekodieren. Er benötigt dafür zwei Schlüssel, den öffentlichen und einen privaten.
"Public-Key"-Verfahren sind langsam und benötigen zudem sehr lange Schlüssel. Außerdem sind sie gegen kryptoanalytische Angriffe anfällig. Deshalb dienen diese Verfahren nicht zur Verschlüsselung von Nutzdaten, sondern zum Austausch von Schlüsseln für symmetrische Verfahren und die digitale Unterschrift. Diese Signatur garantiert, daß die Nachricht vom Absender stammt, der in der Meldung angegeben wird, und nicht verändert wurde.
Wegen der besseren Performance werden bei Echtzeitübertragungen ausschließlich symmetrische Schlüsselverfahren eingesetzt. Asymmetrische Techniken dienen dazu, den Teilnehmern die entsprechenden Schlüssel zuzuweisen. Auf diese Weise läßt sich ein hoher Sicherheitsgrad erzielen. Die Schlüssellänge sollte allerdings mindestens 128 Bit betragen.
Abschließend kann man feststellen, daß IPsec für fast alle Anwendungsbereiche Sicherheitsfunktionen erschließt. Es mangelt momen- tan jedoch noch an Implementierungen. Das liegt zum einen daran, daß die RFCs zum größten Teil noch Drafts sind, also unverbindliche Entwürfe. Dies wird sich in Kürze jedoch ändern.
Auch ohne IPv6, das erweiterte Sicherheitsfunktionen bereitstellt, kann der Anwender damit bereits auf Mechanismen zurückgreifen, die bei der Kommunikation über das Internet Vertraulichkeit, Integrität und Authentizität sicherstellen. Dies ist die Grundlage für den Aufbau sicherer Extranets und die Voraussetzung dafür, daß sich diese Technik durchsetzen wird.
In der nächsten Ausgabe stellen wir Anwendungsbeispiele von Extranets vor. (re)
Literatur
[1] Detken, K.-O.: Security Concept: Sicherheitsmechanismen für das Intranet; Netsikom 99; Computas-Konferenz vom 25.-26.01.99 in Köln
[2] Detken, K.-O., Reder B.: Geschlossene Gesellschaft - Serie Extranet, Teil 1: Grundlagen; gateway 3/1999, S. 28 ff.
[3] Fey, J.: 1001 Gefahr - Bedrohung durch Hacker-Tools; gateway 1/1999, S. 80 ff.