Von: Ingo Wupper
Die Sicherheitsansprüche an ein VPN sind im Wesentlichen davon abhängig, ob und in welchem Umfang Schnittstellen zum öffentlichen Internet bestehen. Soll das Netz nur dem firmeninternen Datenaustausch dienen, sind die Anforderungen relativ gering. Die komplette Kommunikation zwischen den angebundenen Niederlassungen wird verschlüsselt, ein Zugang zu externen Adressen, beispielsweise Internetdiensten, ist nicht möglich. Falls erforderlich, können Kunden in den Datenverkehr eingebunden werden. Sie erhalten dann ebenfalls den verwendeten Verschlüsselungscode. Bei diesem VPN-Modell ist eine Firewall selten notwendig, da nur ein interner Datenaustausch stattfindet. Das Ausspionieren der Daten durch Hacker ist kaum möglich, groß angelegte externe Angriffe sind unwahrscheinlich.
Internetzugänge erfordern höheren Sicherungsaufwand
Wenn Mitarbeiter Zugang zu Internetdiensten erhalten sollen, oder wenn Datenverkehr mit Kunden erforderlich ist, kann ein Unternehmen eine externe Zugangsmöglichkeit über seine Zentrale einrichten. In diesem Fall werden die verschlüsselten Datenpakete vom LAN der Niederlassung zur Zentrale transportiert, dort decodiert und unverschlüsselt zur eigentlichen Internetadresse weitergeleitet. Wie bei allen Internet-VPNs erfolgt der Transport vom Gateway über eine gemietete Leitung zum nächstgelegenen Einwahlpunkt des gewählten Internet-Service-Providers und wird von dort aus über verschiedene "Points of Presence" (PoP) durch das öffentliche Internet geleitet. Am Gateway, einer Schnittstelle zwischen LAN und öffentlichem Internet, sollte bei dieser Variante ein leistungsfähiges Firewallsystem zum Einsatz kommen.
Da der Datentransport ins öffentliche Internet immer über die Zentrale läuft, bietet sich diese Lösung nur für Unternehmen an, die geringen Bedarf an externer Internetkommunikation haben. Für zeitkritische Anwendungen ist diese Lösung nicht praktikabel, da der Umweg längere Laufzeiten mit sich bringt. Sie eignet sich zudem nur für den Transport kleiner Datenmengen ins öffentliche Internet, denn die redundanten Laufwege verursachen hohe Kosten, wenn der Service Provider nach transportiertem Datenvolumen abrechnet.
Für den gesteigerten Informationsbedarf vieler Unternehmen, wie auch für den Kundenverkehr via Internet, hat sich eine Lösung bewährt, die den Zugang zum Internet aus allen angebundenen Unternehmens-LANs gestattet. Über Gateways und Internetrouter ist jeder Client fähig, Internetdienste zu nutzen, beziehungsweise direkt mit externen Ansprechpartnern zu kommunizieren. Da jedes LAN mit dem öffentlichen Internet verbunden ist, sind auch datenintensivere oder zeitkritische Anwendungen über das Internet möglich.
Diese Variante erfordert den höchsten sicherheitstechnischen Aufwand, weil jede Niederlassung potenzielles Angriffsziel für Hacker sein kann. Je nach Sicherheitsbedürfnis des Unternehmens ist jedes LAN mit zumindest einer Firewall ausgerüstet.
Hacker betreiben Schwachstellenanalyse
Angriffe aus dem Internet können sich gegen verschiedene Angriffspunkte im System richten. Erster Schritt bei vielen Attacken ist ein Port-Scan, der die Firewall des Opfers auf mögliche Schlupflöcher untersucht. Sind Schwachstellen ausgemacht, zielen viele Angriffe darauf ab, die Zugangssysteme von Unternehmen - und damit auch das Firmen-VPN - zu blockieren. Bei so genannten "Distributed-Denial-of-Service"-Attacken (DDoS) sendet ein Hacker von mehreren Rechnern aus eine Unmenge nutzloser Daten, die das System des Opfers handlungsunfähig machen und dazu führen können, dass es partiell oder komplett kollabiert.
Der Ablauf eines DDoS-Angriffs kann in zwei Phasen unterteilt werden. In Phase 1 versucht der Angreifer so genannte "DDoS-Agenten" in verschiedenen Netzbereichen zu installieren. Diese Agenten greifen in Phase 2 auf Befehl eines zentralen "Masters" ein gemeinsames Zielsystem an, beispielsweise einen Gateway-Server. Das wiederum hat zur Folge, dass das angegriffene Unternehmen teilweise oder vollständig kommunikationsunfähig wird. Bereits bei mittelständischen Unternehmen kann eine vier- bis achtstündige Netzunterbrechung zu Schäden in Millionenhöhe führen. Schwer in Zahlen zu fassen, aber deswegen nicht weniger schmerzhaft, ist der Imageschaden, den eine erfolgreiche Attacke verursachen kann.
DDoS-Attacken wurden im vergangenen Jahr berühmt, als Hacker Großangriffe auf prominente amerikanische Webseiten starteten. Nach einer Umfrage des Computer Security Institute/Federal Bureau of Investigations vom März 2000 waren 60 Prozent aller amerikanischen Großunternehmen, die E-Commerce betreiben, bereits Opfer von unterschiedlichen DDoS-Attacken. Unter den Geschädigten waren beispielsweise Yahoo, Ebay oder Amazon.com. Nach einer Schätzung der Yankee Group verursachten diese Angriffe einen Schaden von mindestens 1,2 Milliarden Dollar.
Angesichts dieser Angriffsvarianten sind die Anforderungen an ein Sicherheitssystem für offene VPNs sehr hoch. Wesentlich für die Sicherheit ist die Verschlüsselung der Datenpakete für den internen Datenverkehr. Je nach Sicherheitsanforderungen wechselt die Codierung regelmäßig und erschwert so die Analyse durch Hacker.
Hohe Sicherheitsanforderungen für offene IP-VPNs
Ein Brennpunkt bei allen externen Angriffsversuchen ist die Firewall, die jedoch nur einen Baustein unter vielen Sicherheitsmaßnahmen darstellt. Sie ist üblicherweise im Gateway-Server integriert. Die Kontrolle erfolgt auf zwei Arten: Der Paketfilter überprüft Protokollkriterien, der Proxy-Filter den Inhalt der Pakete. Eine Kombination aus beiden Filtern bildet die "Multilayer Stateful Inspection". Mit dieser Technik ist eine Kontrolle auf fast allen Layern des OSI-Modells (Open Systems Interconnection) möglich. Entspricht der Inhalt einer Nachricht der "Security Policy", das heißt den vom Unternehmen festgesetzten Sicherheitsbestimmungen, kann sie das System passieren.
Alle Informationen, die ins LAN gelangen wollen, müssen zunächst die Firewall durchlaufen. Deshalb wird das Sicherheitssystem leicht zum Flaschenhals. Bei stark frequentierten Netzwerken kommen daher Cluster zum Einsatz, bei denen sich die Pakete auf mehrere Firewalls verteilen (Load Balancing). Ein solches System ist nicht nur schneller, sondern auch verlässlicher, da beim Ausfall einer Komponente die Daten zu anderen Zugängen umgeleitet werden.
Zusätzlich kommt in vielen Netzwerken auch eine so genannte "Demilitarisierte Zone" (DMZ) zum Einsatz. Die DMZ, der Brückenkopf zwischen dem sicheren LAN und dem Internet, trennt das "Trusted- Network-"LAN vom tendenziell unsicheren Internet. Systeme, die von allen Mitarbeitern benutzt werden, wie Web-, Mail- und Proxy-Server, sind oft in einer DMZ angesiedelt. Die DMZ sollte keine direkte Verbindung zum privaten Netzwerk haben und durch ein Firewall-Gateway geschützt sein. Somit wird es für Hacker nahezu unmöglich, unentdeckt von der DMZ ins LAN zu gelangen.
Doch selbst leistungsfähige Firewalls sind nicht vollständig sicher. Nach Einschätzungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind neben Konfigurations- und Programmierfehlern Konzeptionsmängel die häufigste Ursache für Schwachstellen in Firmennetzen.
Wer daher sein Netzwerk zusätzlich sichern will, sollte seine Firewall um ein "Intrusion Detection System" (IDS) ergänzen. Das IDS überprüft die Signaturen der einkommenden und ausgehenden Datenpakete und vergleicht sie mit gespeicherten Fingerabdrücken bereits analysierter Angriffe.
Mit der Installation ist es nicht getan
Im Gegensatz zur Firewall stellt das IDS nicht nur Abweichungen fest und speichert sie, sondern erkennt anhand des Signaturenvergleichs den konkreten Angriff und meldet ihn dem Administrator beziehungsweise einem "Remote Management Center".
Das IDS kann auch den internen Datenverkehr kontrollieren und so Angriffe identifizieren, die aus dem LAN selbst stammen, etwa wenn Mitarbeiter vertrauliche Firmendaten ausspionieren oder wichtige Informationen löschen wollen.
Damit die dargestellten Sicherheitskomponenten effizient arbeiten, müssen sie permanent überwacht und gepflegt werden. Die einfache Verbindung einzelner Komponenten reicht nicht aus, notwendig ist vielmehr das Erstellen eines Gesamtkonzeptes. Für diese Aufgabe ist in vielen Unternehmen der Netzwerkadministrator zuständig. Doch die Komplexität der Netze und die Sicherheitsansprüche steigen, und Administratoren haben häufig weder das notwendige Fachwissen noch die Zeit, um Sicherheitssysteme effizient zu managen. Gefährliche Lücken tun sich auf; einmal installierte Firewalls sind oft über Jahre sich selbst überlassen; Software-Updates unterbleiben. Ein veraltetes Signaturenverzeichnis eines IDS bietet beispielsweise nur einen unzulänglichen Schutz, da es Attacken mit neuen Angriffsmustern nicht erkennt.
In vielen Fällen ist es deshalb günstiger, die Sicherheitsvorkehrungen durch einen externen spezialisierten Dienstleister überwachen zu lassen.
Tatsächlich wollen immer mehr Firmen Sicherheitsleistungen auslagern. Nach einer Studie des Marktforschungsunternehmens Infonetics Research planen 46 Prozent der befragten Unternehmen, beim Aufbau eines VPNs Teilbereiche oder das gesamte Management an externe Serviceanbieter abzugeben. Die Yankee Group prognostiziert für den Sicherheitsbereich bis 2005 ein Umsatzwachstum auf 1,7 Milliarden Dollar, und nach einer Untersuchung der Gartner-Group werden die Ausgaben der westeuropäischen Unternehmen für Sicherheitsservices zwischen 2000 und 2005 jährlich um 21 Prozent steigen.
"Managed Security" gewinnt an Bedeutung
Ein externer Partner kann das Know-how, die Technik und das Fachpersonal bieten, um mit einem Service rund um die Uhr und sieben Tage die Woche alle sensiblen Punkte eines Unternehmensnetzes via Remote-Management zu betreuen. Der Kunde kann sich auf sein Kerngeschäft konzentrieren, Personalkosten entfallen ebenso wie Investitionen in die technische Sicherheitsausstattung und deren Aktualisierung. Die Authentifizierungs- und Verschlüsselungstools werden ständig aktualisiert, was die Integrität und Vertraulichkeit der übermittelten Daten gewährleistet.
Probleme erkennen, bevor Störungen auftreten
Ein externes "E-Security-Management" hält vor allem die drei Schlüsselfunktionen eines Sicherheitssystems aufrecht. Es garantiert, dass das Netz permanent verfügbar ist, die gesendeten Daten unverändert sind und die übermittelten Informationen nicht ausspioniert wurden. Eine ausgelagerte Überwachungsstelle agiert "proaktiv". Sie kontrolliert die Verfügbarkeit des Datenverkehrs an sensiblen Punkten wie Gateway, IDS und PoP und meldet sie der Zentrale. Werden bestimmte Alarmwerte überschritten, reagiert diese sofort und schaltet beispielsweise neue Verbindungen oder sperrt bei Virengefahr den Zugang zum LAN, bevor Schäden im Kundennetz auftreten. Sollte sich ein Fehler oder eine Attacke trotzdem auf das Kundennetz auswirken, informiert die Zentrale den Kunden und behebt die Störung so schnell wie möglich.
Das Remote-Management analysiert den Vorfall, klärt die Ursache und definiert Maßnahmen, die eine Wiederholung verhindern, beispielsweise eine Neuordnung bestimmter Netzabschnitte oder eine Modifizierung eines Firewallsystems oder der DMZ. Bei Hackerangriffen versucht die Zentrale, IP-Adresse und Personalien des Angreifers ausfindig zu machen, damit das betroffene Unternehmen Strafanzeige gegen ihn erstatten kann. Über ein Status-Monitoring hat der Kunde jederzeit die Möglichkeit,den aktuellen Zustand seines Netzwerks zu überprüfen. Er kann sich mit seinem Passwort einloggen und jede Aktion nachvollziehen, die in seinem Netz stattfindet. So kontrolliert er nicht nur sein Netz, sondern auch die Aktivitäten des externen Spezialisten. (haf)
Zur Person
Ingo Wupper
ist Leiter Solutions Consulting bei der Vanco GmbH.