Westfälische Wilhelms-Universität Münster
Zentrum für Informationsverarbeitung
(Universitätsrechenzentrum)
Einzelne Vorschläge zur Sicherung der Informationsverarbeitung in
heterogenen Umgebungen
Herausgegeben vom Arbeitskreis der Leiter der Hochschulrechenzentren
in Nordrhein-Westfalen
Ausgabe für die Westfälische Wilhelms-Universität
Münster
Änderungsstand: 17.03.2000 und am 17.05.2001 neu
hinzugfügt bzw. gelöscht
Inhalt
Diese Arbeit entstand nach Vorarbeiten im Zentrum für Informationsverarbeitung
in der und im Zentrum für Angewandte Informatik an der Westfälischen
Wilhelms-Universität Münster. Autoren waren W. Bosse, W. Held,
H.-W. Kisker, W. Lange, K. B. Mertz, S. Ost, R. Perske, G. Richter und E.
Sturm.
Die in Münster entstandene vorläufige Version wurde von Mitarbeiterinnen
und Mitarbeitern aller Hochschulrechenzentren in NRW und unter Beteiligung
eines Mitarbeiters des Bundesamtes für die Sicherheit in der Informationsverarbeitung
und des DFN-CERT überarbeitet. Allen Mitautoren sei dafür
gedankt. Die Ausgabe für die Westfälische Wilhelms-Universität
Münster ergibt sich dadurch, dass bei einzelnen Methoden vermerkt
ist, ob eine Realisierung im Zentrum für Informationsverarbeitung
erfolgt ist. Andere werden durch entsprechende Korrekturen ihre jeweils
lokale Ausgabe leicht erstellen können. Möglich wären aber
auch Ergänzungen durch die anderen HRZ, so dass gleichzeitig Nachfragen
möglich würden.
1 Einführung
Die folgende Zusammenstellung bezieht
sich im Wesentlichen auf technische Aspekte zur Sicherung der Informationsverarbeitung.
Die Bereiche Organisation, Infrastruktur sowie Personal sind an anderer
Stelle zu behandeln.
1.1 Gefährdungspotential
Mit der Nutzung der Informationsverarbeitung (IV) sind erfahrungsgemäß
leider auch Risiken verbunden. Der Datentransport im Netz unterliegt z.
B. folgenden Gefahren, die ausführlicher im Anhang beschrieben
werden:
-
Unbefugte Dritte könnten Daten und Passwörter mitlesen (abhören).
-
Unbefugte Dritte könnten die Daten verändern (fälschen).
-
Unbefugte Dritte könnten gegenüber dem Nutzer/Absender eine falsche
Identität vortäuschen (falscher Server/Empfänger).
-
Unbefugte Dritte könnten gegenüber dem Server/Empfänger
eine falsche Identität vortäuschen (falscher Client/Absender).
Die meisten Gefährdungen beruhen dabei auf anonymen Zugangsmöglichkeiten
zum IV-System, auf Unwissenheit, Sorglosigkeit oder mangelnde Koordination
bei disjunkten Zuständigkeiten im IV-Gesamtsystem1.
In allen Fällen sollte die
Größe der Gefahr abgeschätzt werden. Dabei ist ganz wesentlich
zu unterscheiden zwischen Gefährdungen durch Verursacher von außen
und von innen. Letztere verlangen eine feinere Granularität der Schutzmaßnahmen.
Bereits die Verfügbarkeit von Daten stellt ein Gefährdungspotential
dar.
Umgekehrt sind Vorkehrungen gegen
Gefährdungen vorzusehen, die aus der eigenen Institution heraus initiiert
werden. Dieses Gefährdungspotential kann sowohl von inneren Stationen
ausgelöst werden, als auch durch von außen missbrauchte innere
Stationen.
Daneben sind Vorkehrungen gegen physische Gefährdungen (höhere
Gewalt, Stromausfall oder Überspannungen, Feuer- oder Wasserschäden
und Beschädigungen am Netz, etwa durch Bauarbeiten) zu treffen. Nicht
außer Acht gelassen werden dürfen ebenso mögliche Gefährdungen
durch Bedienungspersonal sowie böswilliges oder fahrlässiges
Verhalten von Personen. Diese Probleme werden hier nicht behandelt. Dazu
wird u. a. auf eine »Prüfliste
für ein Sicherheitskonzept der IV, 1. Entwurf, Zentrum für Informationsverarbeitung
der Westfälischen Wilhelms-Universität Münster, W. Held,
H.-W. Kisker, K. B. Mertz, B. Neukäter, S. Ost, R. Perske, G. Richter,
Stand: 10.98« sowie auf den Anhang verwiesen.
1.2 Sicherheitsziele
Bei der Erfassung, Verarbeitung, Speicherung und Ausgabe sowie bei jedem
Transport von Daten, der häufig der elektronischen Kommunikation dient,
müssen folgende Sicherheiten erreicht werden:
-
Integrität der Datenübermittlung
-
Rechtsverbindlichkeit elektronischer Vorgänge bei Bedarf (digitale
Signatur, Zeitstempel)
-
Vertraulichkeit bei der Datenübermittlung (confidentiality, user privacy)
-
Zweiseitige Authentisierung der Partner (authentication), auch der Server
-
Nichtanfechtbarkeit einer Transaktion (non-repudiation)
-
Zugangsregelung zu Teilen einer Anwendung; zentrale Zugangskontrolle über
alle Applikationen eines Unternehmens (zentraler Berechtigungsserver und
single-sign-on)
-
Kontrolle des eingesetzten Authentisierungsmediums gegen Missbrauch, Verlust
(Schwarze Liste, Widerruf) und Vergesslichkeit
-
Zeitkontrolle bestehender Client-/Serververbindungen auf Inaktivität,
insbesondere bei multifunktionaler Nutzung von Endgeräten (time-out
Überwachung)
-
Verfügbarkeit von Zusatzdiensten, wie z. B.
-
Abwicklung von Zahlungsverkehr über das Internet
-
Zertifizierung, d. h. Verwaltung und Distribution der geheimen und öffentlichen
Schlüssel für Signaturen und Verschlüsselung (Schlüssel-Management)
Ein wichtiger Aspekt der Vertrauenswürdigkeit ist, dass die zur Sicherung
eingesetzte Software und Hardware von unabhängiger Stelle, wenn schon
nicht zertifiziert, so doch mindestens validiert ist.
Zur Abwehr der Gefahren sind besonders in heterogenen System-Umgebungen2leider
vielfältige Maßnahmen erforderlich, die oftmals den Durchsatz
des Betriebes beeinträchtigen und deshalb nicht immer beliebt sind.
Von vielen Verantwortlichen wird heutzutage zuerst an den Einsatz von
Firewalls gedacht. Mit ihnen erreicht man in einem ersten Schritt eine
deutliche Verminderung der Risiken. Unbeachtet bleiben dabei jedoch häufig
die Risiken, die aus dem inneren Netz drohen. Auch die langfristigen, negativen
Auswirkungen von Firewalls auf Betrieb, weitere Entwicklungen des Netzes
und der Netz-Anwendungen sowie der personelle Aufwand, der zur Pflege der
Firewalls notwendig ist, werden häufig zu wenig beachtet.
Dieses Dokument soll aufzeigen, dass es vielfältige, ganz konkrete
Möglichkeiten gibt, einen elementareren Ansatz zu verfolgen, nämlich
den einer direkten Sicherung der Kommunikation von Endsystem zu Endsystem
und von Nutzer zu Nutzer sowie zwischen Nutzer und Server und von Server
zu Server. Bei der Kombination der elementaren Sicherung der Kommunikation
von Endsystem zu Endsystem mit Firewall-Techniken, die nicht in die Netz-Technik
eingreifen, erreicht man eine Sicherheit, die über dem konventionellen
Firewall-Ansatz liegt und die Kommunikationsmöglichkeiten nicht behindern
muss, aber ausreichend dafür sorgt, dass das Gefährdungspotential
reduziert wird.
Eine allumfassende Lösung, die möglichst vollautomatisch alle
notwendigen Überprüfungen vornimmt, gibt es leider nicht. Man
kann also nur punktuell und Schritt für Schritt die Gefährdungen
verringern. Prüflisten (s. o.), die auch vom Bundesamt für Sicherheit
in der Informationsverarbeitung (BSI) herausgegeben werden, können
dabei helfen, die Übersicht zu behalten. Auch sie sind leider sehr
umfangreich und damit zeitaufwändig abzuarbeiten.
Eine Firewall allein schützt nicht gegen die einleitend genannten
Gefahren 1, 2 und 3 und gegen die Gefahr 4 nur in sehr eingeschränktem
Maße, nämlich nur dann, wenn alle Berechtigten »innerhalb«
der Firewall sitzen und wenn der Angreifer versucht, von »außerhalb«
der Firewall zuzugreifen.
Verschlüsselung schützt gegen die Gefahr 1 (siehe Abschnitt
1.1), zusammen mit digitalen Signaturen auch gegen die Gefahr 2 sowie
gegen die Gefahren 3 und/oder 43.
Eine zusätzliche Firewall verbessert aber sehr wohl den Schutz vor
Angreifern, die sich Fehler in Betriebssystemen oder anderen Softwareprodukten
zunutze machen, insbesondere, wenn sie von jenseits einer Firewall angreifen.
Eine besondere Gefährdung geht von den Endgeräten (PC, Workstation)
aus, wenn diese nicht genügend abgesichert sind oder wenn mit Passwörtern
unsachgemäß umgegangen wird. Endsysteme werden häufig »geknackt«
und dann erfolgen von diesen aus z. B. Angriffe nach innen. Ähnliches
gilt für Server, obwohl dafür oftmals schon einige Vorkehrungen
getroffen wurden. Auch für diese sind wesentliche Verbesserungen möglich.
Primäres Ziel muss es also sein, mit Priorität die Rechner im
Netz sicher zu machen. Erst danach sollte man, um den Datenaustausch nicht
unnötig zu behindern, zusätzliche Sicherungsmaßnahmen im
Netz selbst einführen oder, falls schon vorhanden, aktivieren.
Es muss darauf hingewiesen werden, dass eine weitreichende Sicherheit
ohne zusätzliche Investitionen und ohne Einschränkungen in der
Nutzung nur begrenzt zu erreichen ist. Dabei ist zu beachten, dass die
Sicherung der IV eine Daueraufgabe ist, die ständig Personal bindet.
Die vorliegende Abhandlung wendet sich in erster Linie an die für
das IV-System Verantwortlichen, damit sie geeignete Vorkehrungen zur Sicherheit
der IV treffen können. Die vorgeschlagenen Techniken sind dabei
nicht im Detail erläutert worden. Soweit sie nicht bekannt sein sollten,
kann man unter den jeweiligen Begriffen ergänzend ausführliche
Erläuterungen im WWW finden. Die folgende Stichwortliste soll somit
dazu dienen, einen Überblick über einige wichtige Möglichkeiten
zu bieten und in einem Abstimmungsprozess eine Strategie zur Realisierung
dieser Methoden festzulegen. Diese Liste muss, dem Kenntnisstand folgend,
fortgeschrieben und umgesetzt werden. Diese Abstimmungsprozess ist insbesondere
bei größeren, heterogenen IV-Ausstattungen unverzichtbar, wenn
einzelne Mitarbeiter keinen vollständigen Überblick mehr über
die eingesetzten Systeme und ihre Eigenschaften haben können. Es ist
empfehlenswert, in einer weiteren vertraulichen Liste (Datenbank) für
den internen Betrieb die eingeführten Sicherungsmaßnahmen für
das IV-System zu dokumentieren, damit der Überblick erhalten bleibt.
2 Spezielle Maßnahmen in Endgeräten
Gefährdungen der IV-Systeme kann durch Einsatz spezieller, auf die
Anwendungen zugeschnittener Produkte begegnet werden:
2.1 E-Mail, NetNews, WWW und FTP
2.1.1 E-Mail und NetNews
Die vorgeschlagenen Maßnahmen gelten sowohl für E-Mail als auch
für NetNews (mit NetNews Transport Protocol)
-
Zu sichern sind der Transport von Informationen/Nachrichten/Daten und der
Abruf einer zuzustellenden Nachricht.
-
Gefährdet sind das Passwort beim Senden und beim Empfangen sowie die
Informationen/Nachrichten/Daten selbst.
Als mögliche Abhilfen ergeben sich:
E-Mails verschlüsseln.
Es gibt zwei wesentliche zueinander inkompatible Methoden zur Verschlüsselung:
PGP und S/MIME. Falls es erforderlich ist, muss man beide Methoden vorhalten.
Ob eine E-Mail wirklich angekommen ist, kann derzeit nicht automatisch
überprüft werden.
Inwieweit E-Mails digital signiert oder mit digitalem Zeitstempel versehen
werden können, um damit weitere Sicherheit zu erreichen, wird unten
beschrieben.
Methode PGP
-
Software:
-
PGP kann in fast alle E-Mail-Programme eingebunden werden und ist für
Windows, Macintosh und Unix vorhanden. (In Betrieb4.)
-
Zertifizierung:
-
Auf Wunsch durch PGP-Zertifikat der WWU-Zertifizierungsstelle (CA) im ZIV
oder andere CAs.
-
Schutzbereich:
-
(auf dem gesamten Transportweg der E-Mail)
-
Verschlüsselung: Gefahren 1, 35
Signatur: Gefahren 2, 4
-
Bemerkung:
-
Solange man die PGP-Versionen 2, 5 oder 6 mit RSA-Schlüsseln nutzt,
gibt es keine Kompatibilitätsprobleme. DSS/DSH-Schlüssel werden
von älteren Versionen nicht unterstützt. Bei PGP 5 und 6 sollte
unbedingt die Warnmeldung vor Verwendung des ADK (Additional Description
Key) eingeschaltet werden.
Methode S/MIME
-
Software:
-
Netscape Communicator (Windows, Macintosh, Unix; erprobt)
-
Microsoft Outlook, Outlook Express (Windows, Macintosh; vorhanden)
-
Zertifizierung:
-
Notwendig für jeden Teilnehmer, erfolgt mittels X.509-Zertifikat der
WWU-Zertifizierungsstelle (CA) im ZIV oder anderer CAs.
-
Schutzbereich:
-
(auf dem gesamten Transportweg der E-Mail)
-
Verschlüsselung: Gefahren 1, 3
Signatur: Gefahren 2, 4
2.1.2 E-Mail gesichert versenden
Da beim Absenden keine Passwortkontrolle erfolgt, brauchen SMTP-Server
nicht besonders gesichert zu werden, die vorstehend genannten Maßnahmen
reichen im Prinzip aus. Trotzdem kann auch hier SSL eingesetzt werden.
-
Software:
-
Clients:
-
Netscape Communicator (Windows, Macintosh, Unix; erprobt)
-
Microsoft Outlook, Outlook Express (Windows, Macintosh; vorhanden)
-
Server:
-
SSL-Tunnel für SMTP-Server (vorhanden, allerdings werden Client-Zertifikate
ignoriert)
-
Zertifizierung:
-
Auf Wunsch durch PGP-Zertifikat der WWU-Zertifizierungsstelle (CA) im ZIV
oder andere CAs.
-
Schutzbereich:
-
(Auf dem Weg vom Absender zum ersten E-Mail-Server. Der weitere Weg zu
evtl. weiteren Servern muss auf andere Weise zwischen Servern geschützt
werden).
-
Verschlüsselung: Gefahren 1, 3
Signatur: Gefahren 2, 4
-
Bemerkungen:
-
Soweit es gewünscht wird und möglich ist, sollten SMTP-Server
mit Zugangskontrollen versehen werden; dies wird derzeit jedoch von fast
keiner Client-Software unterstützt. SMTP-Server sollten nur eingesetzt
werden, wenn zuvor ausreichend Vorkehrungen gegen Spam-Verbreitung getroffen
worden sind.
2.1.3 E-Mailbox gesichert abfragen
Es gibt mehrere Methoden, die parallel zueinander genutzt werden können.
Besonders verbreitet sind POP3 und IMAP (IMAP ist leistungsfähiger
als POP3) sowie Exchange (Microsoft-spezifisch).
-
Bei der Verschlüsselung von Daten müssen auch die Directories
verschlüsselt sein, um z. B. Datenlöschungen zu vermeiden. Daten
und Directories werden z. B. bei Windows 2000 verschlüsselt.
-
Von großer Bedeutung ist die Länge der Schlüssel: 40-Bit-Schlüssel
halten professionellen Entschlüsselungsversuchen nur Minuten stand,
128-Bit-Schlüssel sind so gut wie nicht und 512-Bit-Schlüssel
derzeit gar nicht zu knacken (gilt für alle SSL- und sonstigen Verschlüsselungen).
Methode POP3: Einsatz von SSL6
POP (Post Office Protocol): POP-Server liefert E-Mail nach Abfrage vom
Client an diesen aus. Auf dem Server ist die E-Mail danach nicht mehr vorhanden,
wenn nicht die Parametrierung ausdrücklich anders eingestellt worden
ist.
-
Software:
-
Clients:
-
Microsoft Outlook, Outlook Express (Windows, Macintosh; vorhanden)
-
(Netscape Communicator leistet SSL derzeit nur über IMAP und nicht
über POP3)
-
Server:
-
SSL-Tunnel für AIX-POP3-Server (erprobt, allerdings werden Client-Zertifikate
ignoriert)
-
Zertifizierung:
-
Notwendig für Server, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Optional für Client, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Schutzbereich:
-
(auf dem Weg zwischen Mailbox und Nutzer, der Transport vom Absender bis
zur Mailbox kann durch obige Mittel geschützt werden)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen),
3 (falschen Server vortäuschen); indirekt durch Passwortkontrolle
(bei Client-Zertifikat direkt) auch 4 (falschen Client vortäuschen)
-
Bemerkung:
-
SSL kann optional zur Sicherung und parallel zu nicht mit SSL gesicherter
Übertragung genutzt werden.
Methode IMAP: Einsatz von SSL
E-Mail verbleibt zunächst auf dem Server und kann dort bearbeitet
werden. Sie kann aber auch direkt auf den Arbeitsplatzrechner transportiert
werden. Daneben gibt es eine Reihe weiterer Vorteile von IMAP gegenüber
POP.
-
Software:
-
Clients:
-
Netscape Communicator (Windows, Macintosh, Unix; erprobt)
-
Microsoft Outlook, Outlook Express (Windows, Macintosh; erprobt)
-
Server:
-
SSL-Tunnel für AIX-IMAP-Server (erprobt, allerdings werden Client-Zertifikate
ignoriert)
-
Zertifizierung:
-
Notwendig für Server, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Optional für Client, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Schutzbereich:
-
(auf dem Weg zwischen Mailbox und Nutzer, der Transport von Absender bis
Mailbox kann durch obige Mittel geschützt werden)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen),
3 (falschen Server vortäuschen); indirekt durch Passwortkontrolle
(bei Client-Zertifikat direkt) auch 4 (falschen Client vortäuschen)
Methode Exchange: Eigene Verschlüsselung der Firma Microsoft
-
Software:
-
Clients:
-
Microsoft Outlook, Outlook Express (Windows, Macintosh; vorhanden)
-
Server:
-
Microsoft Exchange (-)7
-
Zertifizierung:
-
Notwendig für Server, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Optional für Client, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Schutzbereich:
-
(auf dem Weg zwischen Mailbox und Nutzer, der Transport von Absender bis
Mailbox kann durch obige Mittel geschützt werden)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen),
3 (falschen Server vortäuschen); indirekt durch Passwortkontrolle
(bei Client-Zertifikat direkt) auch 4 (falschen Client vortäuschen)
2.1.4 Email-Relaying und -Spam
Verhinderung von unerwünschter Weiterleitung (Relaying) von Mail
Methode: Zentrales Blockieren von TCP-Port 25
-
Software:
-
Clients:
-
Server/Netzkomponente:
-
CISCO-IOS oder Vergleichbares
-
Zertifizierung:
-
Schutzbereich:
-
Gefahren 2 (Daten verfälschen, 4 (falschen Client vortäuschen)
Methode: Relayfester Mailserver
-
Software:
-
Clients:
-
Server:
-
Nahezu alle verbreiteten Mailserver lassen sich relayfest konfigurieren,
zumindest bei qmail und postfix ist dies die Voreinstellung.
-
Zertifizierung:
-
Schutzbereich:
-
Gefahren 2 (Daten verfälschen), 4 (falschen Client vortäuschen)
-
Bemerkungen:
-
Der Missbrauch von Mailservern durch Relaying muss zentral bekämpft
werden. Alle Mailserver sind zentral zu registrieren.
Unangeforderte Email (SPAM)
Methode: Filterung
-
Software:
-
Clients:
-
Verschiedene Mailclients erlauben lokale Filterung
-
Server:
-
Nahezu alle verbreiteten Mailserver erlauben eine Filterung an zentraler
Stelle etwa mit einer importierbaren Liste (http.//www.mail-abuse.org)
oder durch Schlüsselwort-Filterung des Headers
-
Zertifizierung:
-
Schutzbereich:
-
Bemerkungen:
-
Es wird empfohlen die zentrale Filterung nur dann durchzuführen, wenn
ein Benutzer entsprechende Verfügung erteilt hat.
2.1.5 Gesicherte Verbindung mit NetNews-Server
Methode NNTP: Einsatz von SSL
-
Software:
-
Clients:
-
Netscape Communicator (Windows, Macintosh, Unix; erprobt)
-
Microsoft Outlook, Outlook Express (Windows, Macintosh; erprobt)
Opera Software (Windows; erprobt)
-
Server:
-
SSL-Vorsatz für INN (funktioniert, allerdings werden Client-Zertifikate
ignoriert)
-
Zertifizierung:
-
Notwendig für Server, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Optional für Client, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Schutzbereich:
-
(auf dem Weg zwischen NetNews-Server und Nutzer; der Transport der Artikel
(Informationen) zwischen verschiedenen NetNews-Servern ist nicht automatisch
geschützt)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen),
3 (falschen Server vortäuschen); indirekt durch Passwortkontrolle
(bei Client-Zertifikat direkt) auch 4 (falschen Client vortäuschen)
2.1.6 WWW und Anonymous FTP
WWW-Datenübertragung verschlüsseln
Methode: HTTPS = HTTP mit Einsatz von SSL
-
Software:
-
Clients:
-
Netscape Navigator/Communicator (Windows, Macintosh, Unix; in Betrieb)
-
Microsoft Internet Explorer (Windows, Macintosh; in Betrieb)
Opera Software (Windows, erprobt)
-
Server:
-
Apache-SSL (Unix; in Betrieb)
-
Viele weitere (Windows, Macintosh, Unix; teilweise in Betrieb und teilweise
erprobt)
-
Zertifizierung:
-
Notwendig für Server, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Optional für Client, erfolgt mittels SSL-X.509-Zertifikat der WWU-CA
-
Schutzbereich:
-
(auf dem gesamten Transportweg der Daten)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen),
3 (falschen Server vortäuschen); bei Client-Zertifikat auch 4 (falschen
Client vortäuschen)
Verschlüsselung kann bei Netscape mit Fortify weiter verbessert
werden
-
Bemerkungen:
-
Wegen der bei WWW gegebenen Verschlüsselungsmöglichkeit
wird geraten wo immer nötig Gopher und anonymous FTP durch WWW zu
ersetzen.
-
Wenn man bei anonymous FTP Upload überhaupt erlauben
will, muss man auf strenge Trennung von Upload- und Download-Bereich achten.
2.1.7 Zugriff auf Dateien und Drucker
Mehrere völlig verschiedene Bereiche: NFS, DFS, SMB/Netbios, Appletalk
Bei der Verschlüsselung von Dateien müssen u. U. auch die
Directories verschlüsselt werden.
NFS durch Secure NFS ersetzen
-
Software:
-
Clients:
-
Secure NFS-Client (-)
-
Server:
-
Secure NFS-Server (-)
-
Zertifizierung:
-
inhärent: symmetrische Schlüssel werden vom Administrator nur
auf beteiligte Server und Clients verteilt
-
Schutzbereich:
-
(auf dem gesamten Transportweg der Daten)
-
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen),
3 (falschen Server vortäuschen), 4 (falschen Client vortäuschen)
DFS: Verschlüsselung ist mit DFS vorhanden und muss lediglich aktiviert
werden.
-
Software:
-
Clients:
-
DFS-Clients mit Data Masking Feature (Unix (vorhanden), Windows (-))
-
Server:
-
DFS-Server mit Data Masking Feature (Unix (vorhanden), Windows (-))
-
Zertifizierung:
-
inhärent: Client und Server müssen beim DCE-Security-Server angemeldet
sein
-
Schutzbereich:
-
(auf dem gesamten Transportweg der Daten)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen),
3 (falschen Server vortäuschen), 4 (falschen Client vortäuschen)
Andrew File System AFS
-
Software:
-
Verteiltes, transparentes Dateisystem mit starkem
-
Zugriffskontrollverfahren (Kerberos).
-
Clients:
-
erhältlich z.B. von IBM für alle Plattformen UNIX, Linux und
NT
-
Server:
-
erhältlich z. B.von IBM für viele Plattformen (versch. UNIX,
Linux und NT)
-
Zertifizierung:
-
inhärent: Client und Server müssen beim AFS-Security-Server angemeldet
sein
-
Schutzbereich:
-
Gefahren 1 (Daten abhören), 2 (Daten verfälschen), 3 falschen
Server vortäuschen, 4 (falschen Client vortäuschen)
NTFS
Absicherung über X.509 Zertifikate ab NT 5.0.
Drucker
Es ist zu sichern, dass der gewünschte Drucker und nicht ein anderer,
vorgetäuschter erreicht wird, die Druckausgabe also nicht in falsche
Hände gerät.
In NT-Umgebungen ist dies gesichert.
In übrigen Umgebungen kann man ein Printmanagement (z. B. mit DCE)
einführen. Oder man muss über LAN-Methoden sicherstellen, dass
IP-Adressen nicht verfälscht werden können.
2.1.8 Virenscanner
Methode: Filtern mit Hilfe von Virenmustern
-
Software:
-
Clients: Unterschiedliche Anti-Virus-Programme, z.B.
NAI, Sophos
-
Server: Virenscanner im Mailserver z.B. Interscan Viruswall
-
Bemerkung:
-
Die Verwendung von Virenscanner mit ständig aktualisierten Virenmustern
ist grundsätzlich zu empfehlen.
Wenn man sich hinreichend vorsichtig verhält und
-
keine fremden Programme startet, die Viren enthalten könnten,
-
keine Makros sowie keine HTML-Seiten mit aktiven Inhalten
(Java, ActiveX, Java-Script) zulässt,
ist im Prinzip ein gewisser Virenschutz gegeben.
2.2 Typische Unix-Anwendungen
Dialog (Ersatz für Telnet, Rlogin, Rsh usw.)
-
Software:
-
Clients:
-
ssh8 bzw. slogin (Unix;
in Betrieb)
-
TeraTerm mit TTSSH (Windows ab 95; in Betrieb) u. a. m.
-
Server:
-
sshd (Unix; in Betrieb)
-
Zertifizierung:
-
Nicht erforderlich
-
Schutzbereich:
-
(auf dem gesamten Transportweg der Daten)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen);
eingeschränkt auch 3 (falschen Server vortäuschen; es wird jedoch
nur erkannt, wenn der Server gegenüber einer früheren Sitzung
wechselt); indirekt durch Passwortkontrolle auch 4 (falschen Client vortäuschen)
-
Bemerkung:
-
Personen, die den Zugang zu ihren Systemen von anderen Institutionen aus
nutzen wollen (z. B. auf Dienstreisen) und dort kein SSH vorfinden, sollten
Telnet unbedingt mit einem Einmal-Passwort verwenden.
-
Es wird geprüft, ob eine LAN-weite Einführung erzwungen werden
kann. Die optionale Nutzung ist möglich.
Telnet für aktive LAN-Komponenten
Aktive LAN-Komponenten wie Router, Switches, Repeater usw. lassen sich
oft über Telnet ansprechen. Dies bedeutet ein großes Sicherheitsrisiko.
Daher sollte man den Zugang zu aktiven LAN-Komponenten über Telnet
grundsätzlich sperren. Dies ist über entsprechende Packet-Filter
(als Firewall) leicht erreichbar. (Realisiert).
Dateitransfer (Ersatz für Ftp, Rcp usw.)
-
Software:
-
Clients:
-
scp (Unix; in Betrieb)
-
Tera Term mit TTSSH (Windows ab 95; in Betrieb) u. a. m.
-
Server:
-
sshd (Unix; in Betrieb)
-
Zertifizierung:
-
Nicht erforderlich
-
Schutzbereich:
-
(auf dem gesamten Transportweg der Daten)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen);
eingeschränkt auch 3 (falschen Server vortäuschen; es wird jedoch
nur erkannt, wenn der Server gegenüber einer früheren Sitzung
wechselt); indirekt durch Passwortkontrolle auch 4 (falschen Client vortäuschen)
Remote Execution (Ersatz für Rsh, Rexec usw.)
-
Software:
-
Clients:
-
ssh (Unix; in Betrieb) u. a. m.
-
Server:
-
sshd (Unix; in Betrieb)
-
Zertifizierung:
-
Nicht erforderlich
-
Schutzbereich:
-
(auf dem gesamten Transportweg der Daten)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen);
eingeschränkt auch 3 (falschen Server vortäuschen; es wird jedoch
nur erkannt, wenn der Server gegenüber einer früheren Sitzung
wechselt); indirekt durch Passwortkontrolle auch 4 (falschen Client vortäuschen)
Remote Procedure Call
Der inetd-Daemon eines Unix-System initiiert Server-Prozesse für eine
Reihe von Diensten: ftp, telnet, rshd, rlogin, rexec, talk, pop, imap,
... . Die Standard-inetd-Implementierung realisiert weder eine Aufzeichnung
über erfolgreiche/abgewiesene Verbindungen noch erlaubt sie eine Nutzungsbeschränkung.
-
Abhilfe:
-
TCP-Wrapper oder xinetd.
Tunneln anderer Applikationen, z. B. Grafikoberfläche X11
Speziallösung für Anwendungen, die nicht anders geschützt
sind.
-
Software:
-
Clients:
-
ssh (Unix; vorhanden) u. a. m.
-
Server:
-
sshd (Unix; vorhanden)
-
Zertifizierung:
-
Nicht erforderlich
-
Schutzbereich:
-
(auf dem gesamten Transportweg der Daten)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen);
eingeschränkt auch 3 (falschen Server vortäuschen; es wird jedoch
nur erkannt, wenn der Server gegenüber einer früheren Sitzung
wechselt); indirekt durch Passwortkontrolle auch 4 (falschen Client vortäuschen)
Batch-Dienst
Es gibt immer noch sehr leistungsfähige Serversysteme, die im Batch-Betrieb
genutzt werden. Dabei werden Aufträge in Form von shell-scripten mit
der Angabe der benötigten Ressourcen (Zeit, Memory, Disk, usw.) in
ein Warteschlangensystem eingereiht und kontrolliert durch das Batch-System
zum Ablauf gebracht.
Oftmals im Einsatz ist das Network-Queueing-System (NQS) in einer der
frei verfügbaren Versionen oder eine kommerzialisierte Abart davon.
Die Benutzeridentifikation erfolgt lediglich durch die UNIX-UID, die aus
der den Job erzeugenden interaktiven Sitzung übernommen wird. Gegebenenfalls
kann ein mapping von UIDs verschiedener UNIX-Umgebungen genutzt werden.
Es ist kein über dieses Minimum herausgehender Zugriffsschutz weit
verbreitet.
-
Abhilfe:
-
nicht bekannt
Trusted hosts
Unter Unix gibt es das Konzept der »vertrauenswürdigen Rechner«.
Hierbei wird bei Verwendung eines vertrauenswürdigen Rechners von
diesem kein Passwort verlangt. Dieses Konzept ist generell als gefährlich
einzustufen, da es mehrere Schwachstellen enthält. So ist es damit
z. B. einfach möglich, über einen kompromittierten Rechner weitere
Zugänge zu erlangen (Island-Hopping-Attack). Der Mechanismus sollte
daher genauestens kontrolliert werden.
Synchronisation von Dateibäumen
-
Zur gesicherten Synchronisation von Dateibäumen
ist Ersatz für rdist usw. zu schaffen.
-
Software:
-
Clients:
-
rsync (Unix, benutzt optional ssh als Transportmethode)
-
Server:
-
rsync (Unix, benutzt optional ssh als Transportmethode)
-
sshd (Unix)
-
Zertifizierung: Nicht erforderlich
-
Schutzbereich: (auf dem gesamten Transportweg der Daten)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten
verfälschen); eingeschänkt auch 3 (falschen Server vortäuschen;
es wird jedoch nur erkannt, wenn der Server gegenüber einer früheren
Sitzung wechselt); indirekt durch Passwortkontrolle auch 4 (falschen Client
vortäuschen)
2.3 Server (und Arbeitsplatz-Rechner)
2.3.1 Server (und Arbeitsplatzrechner) allgemein
-
Die gegenseitige Abhängigkeit von Servern sollte
minimiert werden, damit nicht im Falle der Kompromittierung eines Servers
andere Server in Mitleidenschaft gezogen werden.
-
Server sind grundsätzlich im abhörsicheren Backbone aufzustellen.
In diesem Backbone sollen gleichzeitig keine Endgeräte direkt angeschlossen
werden.
-
Für alle Server müssen die Administratoren/Betreuer bekannt sein.
Sie müssen ihre Pflichten und Verantwortungen kennen.
-
Server müssen regelmäßig gewartet
und auf den neuesten Softwarestand gebracht werden, dies verhindert bereits
den größten Teil der Einbrüche in diese Systeme. Durch
zentralen Abschluss von Campus-Software-Verträgen können auch
Institute bei der Wartung ihrer System unterstützt werden. (Revisionsverwaltung)
-
E-Mail-Server dürfen nicht anonym eingerichtet und betrieben werden.
Zustellung und Absendung von E-Mail von/nach außerhalb sollte nur
entsprechend registrierten Servern ermöglicht werden, um das Spam-Risiko
zu vermindern. Entsprechende Einstellungen können über Router
oder Switches erfolgen.
-
Wenn der Radius-Server (Einwahl-Server) sicher erreicht wird (Abhören
allenfalls durch Netz-Provider oder bei Missbrauch über Gemeinschafts-PC),
werden die übrigen Server des ZIV auch sicher erreicht. Der
Einwahlvorgang kann durch Verwendung von z.B. CHAP bei Radius-Servern (Einwahl-Server)
gesichert konfiguriert werden. Der Zugang zum Radius-Server vom
häuslichen Arbeitsplatz aus sollte zumindest dann über den Einsatz
von Smart-Karten abgesichert sein, wenn die entsprechenden Rechner von
mehreren genutzt werden (z. B. Wohnheim-Wohnung).
-
Die Verwendung von Shadow-Passwort-Dateien vermindert
die Gefahr, dass Passwörter von internen Benutzern durch Crack-Programme
ausgespäht werden.
-
Server müssen regelmäßig gewartet und auf den neuesten
Software-Stand gebracht werden.
-
Server sind so zu konfigurieren, dass "Software mit Rootrechten" nicht
missbraucht werden kann. Daher sind DFS- und NFS-Clients so einzustellen,
dass setuid- und setgid-Bits sowie Device-Dateien ignoriert werden.
-
Die Datenintegrität (Missbrauch durch Trojanische Pferde) kann durch
TripWire gesichert werden (kryptografische Checksumme über die Daten).
(Einsatz geplant).
-
In Zukunft sollte man LDAP-Server ebenfalls mit SSL-Verschlüsselung
nutzen.
-
Terminal-Server: Clients haben sicheren Zugang zum Terminal-Server. Der
Zugang zu anderen NT-Servern ist gesichert. Der Zugang zu Unix-Servern
kann in Abhängigkeit von den Möglichkeiten der Unix-Server gesichert
werden.
-
NT-Server (und NT-Workstations)
Der Betrieb von NT-Servern (und NT-Workstations) in einem Domain-Verbund
birgt eine Anzahl Sicherheitsrisiken. Prinzipiell sind vergleichbare Maßnahmen
wie zur Sicherung eines UNIX-Servers notwendig, um einen sicheren NT-Betrieb
darzustellen. Nur durch verschiedene recht durchgreifende, teilweise die
Benutzbarkeit der Systeme einschränkende Sicherheitsrichtlinien ist
eine sichere NT-Umgebung herzustellen. Windows 2000 verspricht bzgl. Sicherungsmöglichkeiten
gegen absichtlichen Benutzermissbrauch Verbesserungen und sollte diesbezüglich
genau untersucht werden. Eine gute und ausführliche Zusammenfassung
zur Erhöhung der Sicherheit von NT-basierten Umgebungen findet sich
in "Windows NT Security Guidelines", einer Studie von Trusted Systems Services
im Auftrage von NSA Research. Diese ist unter dem URL http://www.trustedsystems.com/fm_Signup.htm
erhältlich.
2.3.2 PCs mit Windows NT/2000
Die Betriebssysteme Windows NT und Windows 2000 erlauben an sich die
Konfiguration sehr sicherer Rechnersysteme. Bekanntermaßen legt Windows aber
mehr Wert auf leichte Benutzbarkeit als auf Sicherheit, und so sind die
Rechner auf Grund von Voreinstellungen - insbesondere bei
Anwendungsprogrammen - vielfältigen Gefahren ausgesetzt:
-
Aus Unkenntnis können anderen Benutzern allzu große Zugriffsrechte
gewährt werden,
-
das Ausspionieren von Passwörtern wird unter Umständen zu leicht
gemacht,
-
Angriffe per E-Mail kommen oft schon durch einen voreiligen Mausklick
zum Ziel,
-
Angriffe per Web-Browser können unzulässigerweise Daten preisgeben,
-
andere Angriffe per TCP/IP können über Hintertüren eine Fernsteuerung
des Rechners bewirken,
-
auch bei Backup-Programmen gibt es Fallen, die das Ausspionieren von
Passwörtern erlauben.
Im Folgenden werden die Maßnahmen besprochen, mit denen man diesen Gefahren
begegnen kann. Natürlich sind nicht alle Ratschläge in jeder Situation
sinnvoll. Man sollte auf jeden Fall jede Maßnahme testen, bevor sie auf ein
Produktionssystem angewendet wird.
Kontrollierte Rechtevergabe
Ein Windows-Benutzer kann über so genannte Freigaben (engl. shares) anderen
Benutzern Zugriff auf eigene Ordner, Laufwerke und Drucker einräumen.
Hierbei ist Folgendes zu beachten:
-
Nach dem Einrichten einer Freigabe hat der Benutzer "Jeder" alle
Zugriffsrechte, dieser Benutzer ist jedesmal zu entfernen (es sei denn,
man ist sicher, die NTFS-Rechte mit Sorgfalt gesetzt zu haben).
-
Administratoren haben immer Zugriff auf die Laufwerkfreigaben C$, D$
usw. Will man verhindern, dass jemand mit einem "geknackten"
Administrator-Passwort über das Netz auf diese Freigaben zugreift, so
kann man in den Richtlinien für Benutzerrechte "Auf diesen Rechner vom
Netzwerk aus zugreifen" für Administratoren verbieten. Die Freigaben
C$, D$ usw. kann man bei Windows 2000 ansonsten nur für die aktuelle
Sitzung aufheben.
-
Alle Freigaben können unterbunden werden, wenn man in Systemsteuerung
-> Netzwerk unter Eigenschaften den Haken bei "Datei- und
Druckerfreigabe für Microsoft-Netzwerke" entfernt oder den
Server-Dienst stoppt.
Parallel zu den (herkömmlichen) Freigaben gibt es bei Windows NT/2000 noch
die Zugriffsrechte des NTFS-Dateisystems. Diese werden unabhängig von
Netzzugriffen definiert, gelten aber bei Zugriff über das Netz ebenfalls.
Bei Serverinstallationen werden üblicherweise nur noch die NTFS-Rechte zur
Absicherung benutzt.
Sicherheitsrichtlinien können entweder in Systemsteuerung -> Verwaltung ->
Lokale Sicherheitsrichtlinien oder mit regedt32.exe direkt in der Registry
gesetzt werden. Als Dokumentation empfiehlt sich aus dem Windows 2000 Server
Resource Kit die "Group Policies Reference" bzw. die "Registry Reference".
Folgende Punkte sollten bedacht sein:
-
Die Änderung der Registry über das Netz sollte verboten sein. Hierzu
gehe man in HKEY_LOCAL_MACHINE zum Eintrag
System\CurrentControlSet\Control\SecurePipeServers\winreg und überprüfe
beim Menüleistenpunkt Sicherheit -> Berechtigungen, wer diesen Eintrag
ändern darf. Wer den Eintrag winreg ändern darf, darf nämlich überhaupt
die Registry ändern.
-
Im Eintrag HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\lsa kann
man anonyme Abfragen von Benutzernamen, Gruppen und freigegebenen
Resourcen verbieten; dazu setze man RestrictAnonymous auf 1.
Das so genannte "Vordefinierte Administratorkonto" kann nicht gelöscht
werden und ist von der automatischen Sperre ausgenommen, die anderen
Administratorkonten auf Wunsch widerfahren kann. Der Sinn ist, dass man
nicht die Wartung des Systems dadurch sabotieren können soll, dass man alle
Administratorkonten durch Eingabe falscher Passwörter lahmlegt.
Lokal empfiehlt sich folgende Vorgehensweise:
-
Auf jeden Fall muss das vordefinierte Administratorkonto mit einem
Passwort geschützt werden. (Dies wird von Windows nicht
vorgeschrieben.)
-
Das vordefinierte Administratorkonto sollte umbenannt und nur beim oben
genannten Sabotagefall benutzt werden.
-
Zur Täuschung eines Angreifers kann man dann noch ein Konto namens
"Administrator" einrichten, ihm aber nur Gastrechte gewähren.
-
Zusätzlich sollte man die Rechte auf den Verzeichnissen
%Systemroot%\SYSTEM32\Config sowie %Systemroot%\[SYSTEM32}\repair
prüfen.
Auf NT-Servern sollte der Gruppe der Administratoren wie oben beschrieben
das Recht "Auf diesen Rechner vom Netzwerk aus zugreifen" entzogen werden,
sofern dies praktikabel ist. Dem steht oft aber schon die zentrale
Software-Wartung entgegen.
Auf einem NT-Domänencontroller befindet sich das vordefinierte
Administratorkonto standardmäßig nicht nur in der Gruppe der
Administratoren, sondern auch in den Gruppen "Domänen-Admins" und
"Domänenbenutzer". Hier empfiehlt sich das folgende Vorgehen:
-
Der Gruppe der Administratoren wie oben beschrieben das Recht "Auf
diesen Rechner vom Netzwerk aus zugreifen" entziehen,
-
das vordefinierte Administratorkonto aus der Gruppe der Domänen-Admins
entfernen,
-
eine globale Gruppe anlegen, die nicht über das Recht "Auf diesen
Rechner vom Netzwerk aus zugreifen" verfügt,
-
das vordefinierte Administratorkonto dieser Gruppe hinzufügen und
einstellen, dass es die primäre Gruppe des Kontos sein soll,
-
das vordefinierte Administratorkonto aus der Gruppe Domänenbenutzer
entfernen.
Ausspionieren von Passwörtern
Die Bedrohung durch ausspionierte Passwörter ist allgemein gegeben. Hier
soll nur auf Windows-spezifische Eigenheiten eingegangen werden. Von den
vielen verfügbaren Werkzeugen sei hier L0phtcrack vorgestellt (gesprochen
"Loftcrack", zu beziehen von http://www.l0pht.com/l0phtcrack/).
Es
beherrscht alle Arten der Passwortspionage und kann sowohl von Angreifern
als auch von Administratoren zur Verhütung von Spionage eingesetzt werden.
Als Quelle zur Passwortspionage kommen für L0phtcrack in Frage:
-
Registry
-
SAM (Security Accounts Manager: Sicherheitskonten-Verwaltung)
-
Abhören
Die schnellste Möglichkeit, Passwörter zu "knacken", ist die so genannte
Wörterbuchattacke. L0phtcrack gibt an, 100 Passwörter gegen ein Wörterbuch
von 8 MB in 1 Min. zu vergleichen (auf einem Pentium Pro 200). Diese Methode
ist auch für Administratoren geeignet: Es sollten alle Benutzer, deren
Passwort im Wörterbuch stehen, darauf aufmerksam gemacht werden, dass ihr
Passwort per Programm leicht zu erraten ist.
Sehr viel aufwändiger ist die so genannte "Brute Force"-Methode: Lässt man
L0phtcrack davon ausgehen, dass nur Kleinbuchstaben und Ziffern vorkommen,
so soll es ungefähr ein Woche Rechenzeit dauern, um z. B. das Passwort
take2asp1r1n herauszubekommen. Nutzt man alle 96 möglichen Zeichen in einem
14 Zeichen langen Passwort, so gelangt man allerdings schon in den Bereich
von Billarden Jahren.
Aber auch mit Windows-Bordmitteln kann man Maßnahmen gegen das Ausspionieren
von Passwörtern ergreifen:
-
Auf dem Server sollte man in den Lokalen Sicherheitsrichtlinien unter
"LAN-Manager-Authentifizierungsebene" einstellen, dass NT-LMv2 (bei
Windows 2000) bzw. NT-MD5 (bei Windows NT) als Verschlüsselungsart
zwischen Klienten und Server benutzt wird. Die einfache Version NT-LM
lässt sich erheblich einfacher "knacken".
-
Ebenfalls in den Lokalen Sicherheitsrichtlinien unter
"Kennwortrichtlinien" kann man einstellen "Kennwörter müssen den
Komplexitätsanforderungen entsprechen". Unter Windows NT entspricht
dies dem Registry-Eintrag passfilt.dll unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\lsa. Dann wird bei
Passworteinrichtung bzw. -änderung erzwungen, dass Passwörter eine
bestimmte Länge haben und Zeichen aus mehreren Bereichen enthalten
(Groß-, Kleinbuchstaben, Ziffern, Sonderzeichen).
-
Größte Wirkung hat das Kommando syskey, das bewirkt, dass die oben
erwähnte SAM verschlüsselt wird; selbst L0phtcrack muss dann passen.
Dies ist bei Windows 2000 schon voreingestellt.
-
Empfehlenswert ist auch die Anwendung des Kommandos "passprop
/adminlockout" aus dem Resource-Kit auf dem Domänen-Controller: Dies
bewirkt, dass ein Domänenadministrator nach dreimaliger Eingabe eines
falschen Passworts sich erst einmal wieder lokal anmelden muss.
Benutzung des Browsers
Bei der Benutzung eines Browsers kann zum einen die Sicherheit der Daten
bedroht sein:
-
durch fehlerhafte Implementierung des Java-Plugins
-
durch fehlerhafte Implementierung von Java-Script
-
durch ActiveX-Controls
-
durch fehlerhafte Plugins (z. B. Flash)
Außerdem kann die Privatsphäre bedroht sein:
-
Durch in HTML versteckten Code kann die E-Mail-Adresse verschickt
werden.
-
Durch das so genannte Smart-Browsing können die Surf-Gewohnheiten des
Nutzers aufgezeichnet werden.
-
In so genannten Cookies kann auf dem Rechner des Nutzers Beliebiges
gespeichert und bei der nächsten Verbindung wieder abgerufen werden.
Als browserunabhängige Rezepte kann man empfehlen, wobei die heutigen
Browser manche Vorgehensweise fast impraktikabel erscheinen lassen:
-
Möglichst die neueste Version des Browsers einpielen (bei Netscape
mindestens Version 4.75).
-
Java und JavaScript immer nur einschalten bei Seiten, die dies
verlangen und vertrauenswürdig sind (oder per "Personal Firewall"
kontrollieren, s. u.)
-
Als Dienstanweisung könnte man formulieren: Surfen und Mailen mit
Administratorrechten ist verboten!
-
Die Einstellungen des Browsers mit dem
Browser-Check der Zeitschrift c't
kontrollieren.
Speziell für den Microsoft Internet Explorer gelten folgende Empfehlungen:
-
JScript/VBScript und ActiveX nur einschalten bei Seiten, die dies
verlangen und vertrauenswürdig sind,
-
Cookies nur einschalten bei Seiten, die dies verlangen und
vertrauenswürdig sind; ggf. "Cookies pro Sitzung annehmen", "Anlegen
von Objekten auf dem Desktop" nur in Ausnahmefällen zulassen,
-
IFRAMES und Framesets nur in Ausnahmefällen zulassen,
-
Bei "Software Channel" "Hohe Sicherheit" einstellen.
Speziell für Netscape gelten folgende Empfehlungen:
-
Nur Plugins einspielen, die man unbedingt braucht,
-
Smartbrowsing abschalten,
-
Cookies nur einschalten bei Seiten, die dies verlangen und
vertrauenswürdig sind; ggf. Schreibschutz für die Datei cookies.txt
einrichten,
-
SmartUpdate entweder ausschalten oder "Jede Installation manuell
bestätigen" einschalten,
-
Im Menüpunkt "Sicherheit": Warnmeldungen einschalten, sofern sie nicht
doch zu sehr auf die Nerven gehen.
Empfangen von E-Mail
Die Hauptgefahr beim Empfangen von E-Mail besteht im Öffnen eines als Anhang
mitgeschickten Programms. Nur Datenschutzprobleme gibt es im Zusammenhang
mit in HTML verfasster E-Mail: Mit Hilfe von JavaScript können Daten
verschickt werden, versteckter Code kann eine Bestätigung verschicken, dass
die E-Mail gelesen wurde.
Empfehlenswert ist eine Dienstanweisung, E-Mail-Anhänge erst zu öffnen nach
Rücksprache mit dem Absender bzw. nach Vorankündigung. Es reicht nicht, dass
man den Absender kennt. Ist der Rechner des Absenders mit einem Virus
infiziert, so könnte eine Mail vom Virus im Namen des Absender mit einer
schon benutzten Betreff-Zeile verschickt worden sein.
Alternativ könnte man den Anhang erst abspeichern und mit einem
Virenscan-Programm untersuchen. Zum Abspeichern zwänge einen auch ein
Web-Mail-Interface (statt eines üblichen Mail-Programms).
Die Mindestmaßnahme zur Erkennung eines gefährlichen Anhangs ist die
Verhinderung der Tarnung mit einer unvollständigen Dateinamenerweiterung: In
Extras -> Ordneroptionen -> Ansicht -> "Dateinamenerweiterung bei bekannten
Dateitypen ausblenden" das Häkchen entfernen! Wenn dann ein E-Mail-Anhang
nicht mehr den Namen wichtig.txt, sondern wichtig.txt.vbs hat, kann man mit
ziemlicher Sicherheit von einem böswillig verschickten Visual-Basic-Programm
ausgehen.
Leider gilt die Ausblendregel nicht für alle Dateitypen. In der Registry
sollte man außerdem noch unter HKEY_CLASSES_ROOT in den Schlüsseln piffile,
ShellScrap und xnkfile den Wert "NeverShowExt" durch "AlwaysShowExt"
ersetzen. (.lnk ist die Dateinamenerweiterung für Verknüpfungen; wenn man
auch diese immer zeigen möchte, so tue man für lnkfile das gleiche.)
Um die Gefahr eines versehentlich geöffneten Anhangs auszuschließen, kann
man die Zuordnung einer Dateinamenerweiterung zu einem Programm so ändern,
dass nicht mehr ein "gefährliches" Programm aufgerufen wird (Extras ->
Ordneroptionen -> Dateitypen):
-
.doc-Dokumenten WordPad oder
Word-Viewer zuordnen,
-
.xls-Dokumenten Excel-Viewer zuordnen (auch:
www.nsf.gov/sbe/srs/seind00/plugin/exhelp.htm),
-
.js, .vbs, .scr einem Editor zuordnen, bei .reg als Standardvorgang
"edit" einstellen,
-
Sonderfall .bat-Datei: HKEY_CLASSES_ROOT/batfile/shell auf "edit"
setzen.
Wenn man den Sicherheitsmechanismen von Word traut, sollte man:
-
einstellen: nicht automatische Ausführung von Makros,
-
bei der Datei normal.dot nur Administratoren das NTFS-Recht "Ändern"
gewähren, damit ein Virus sich nicht weiter verbreiten kann (nach der
einmaligen - möglicherweise schädlichen - Ausführung). Dies hilft
natürlich nur, wenn man nicht standardmäßig mit Administratorrechten
arbeitet!
Betrachtet man die beiden auf Windows verbreiteten Mailprogramme, so lässt
sich für Netscape 4.6 an Positivem feststellen:
-
Warnung bei den meisten aktiven Anhängen,
-
HTML-Teile werden ohne JavaScript ausgeführt,
-
in den Einstellungen kann man eigene Standard-Anwendungen zuordnen.
Negativ fällt auf:
-
.exe-Dateien werden ohne Warnung lokal gespeichert,
-
.js-Dateien werden ohne Warnung sofort ausgeführt, sofern JavaScript
aktiviert ist (ab Netscape 4.7 lässt sich JavaScript für E-Mail
getrennt deaktivieren, was man auch tun sollte!),
-
Plugins werden in jedem Fall ausgeführt.
In ähnlicher Weise inkonsequent stellt sich Outlook Express 98 dar, positiv
ist:
-
Warnung beim Anklicken von aktiven Anhängen,
-
Mit Standard-Sicherheitseinstellungen bestehen keine ernsthaften
Probleme.
Negativ ist festzuhalten:
-
.doc- und .xls-Dokumente werden ohne Vorwarnung geöffnet.
-
HTML-Teile werden immer angezeigt.
Ansonsten werden die Sicherheitsmerkmale für Outlook Express im Internet
Explorer eingestellt (s. o.).
Virenscanner
Auf den oben beschriebenen und anderen Wegen kann man an Programmdateien
gelangen, die zum Ziel haben, Schaden auf dem PC anzurichten. Zum Aufspüren
dieser - allgemein gesprochen - Viren dient Antivirensoftware. Man findet
folgende Fähigkeiten:
-
Suche von Schädlingen im Hauptspeicher
-
Suche von Schädlingen in Dateien auf Anforderung
-
Suche von Schädlingen bei Zugriff auf eine Datei
-
Überprüfen von Internet-Downloads
-
Desinfizieren von Dateien, also Entfernen der schädlichen Teile,
-
Deaktivieren eines Virus mit Immunisierung, also Entfernen der
schädlichen Teile, aber Belassen charakteristischer Zeichenfolgen, die
dem Virus signalisieren, dass die Datei schon befallen ist.
Außerdem sind die meisten Virenscanner in der Lage Fehlalarme zu
produzieren, was die Verwendbarkeit beträchtlich einschränkt.
Die Methode, einen Virus zu finden, besteht darin, so genannte Signaturen
aufzuspüren, Code-Sequenzen, die für ein bestimmtes Virus typisch sind.
Durch regelmäßige Aktualisierung der Signatur-Datenbank kann man die Gefahr,
von einem bekannten Virus befallen zu werden, minimieren. Die oft genannte
Zeitspanne "wöchentlich" erscheint angesichts der Tatsache, dass sich neue
Viren innerhalb von Stunden verbreiten, zu groß.
Zusätzlich besitzen moderne Virenschutzprogramme eine so genannte Heuristik,
d. h. auch neue Viren, die auf ähnliche Art vorgehen wie schon bekannte,
werden erkannt.
Abgesehen vom Problem neuer Viren gibt es weitere prinzipielle Probleme,
Viren zu erkennen:
-
verschlüsselten E-Mails sieht man nicht an, ob sie gefährlichen Code
enthalten,
-
komprimierte E-Mails müssen erst entpackt werden, dazu muss die
Antivirensoftware den Komprimierungsalgorithmus kennen,
-
mit so genannten EXE-Packern komprimierte .exe-Dateien können
theoretisch mit einem eigenen Format erzeugt worden sein,
-
OLE-Objekte können in Exceltabellen "versteckt" sein,
-
Officedateien im HTML-Format (Makros werden in *.mso-Dateien verpackt)
sind den meisten Virenscannern noch nicht bekannt.
Besteht der Verdacht auf einen Virusbefall des Rechners, so ist
folgendermaßen vorzugehen:
-
Netzwerk- bzw. Modemstecker ziehen,
-
Rechner runterfahren, ausschalten und von (Notfall-)Diskette oder CD
neu starten,
-
Komplett-Scan des Systems ohne Reinigen,
-
auf anderem Rechner Anleitung des Herstellers der Antiviren-Software
zur Beseitigung des entdeckten Virus ausdrucken,
-
diese Anweisungen Schritt für Schritt ausführen,
-
wenn möglich, befallene Programme oder sogar das gesamte Betriebssystem
neu installieren,
-
anderenfalls der Scansoftware das Reinigen überlassen, was allerdings
zu zerstörten Dateien oder sogar einem defekten Betriebssystem führen
kann.
Personal Firewall
Nicht nur über Browser und per E-Mail kann dem eigenen Rechner Schaden
zugefügt werden, auch durch direkte Kontaktaufnahme aus dem Internet mit
einem auf dem eigenen Rechner laufenden Programm kann Schaden entstehen.
Dieses auf dem eigenen Rechner laufende Programm kann insgeheim laufen (ein
sog. Wurm) oder ein nützliches Programm mit Nebeneffekt (ein sog.
Trojanisches Pferd) sein.
Gegen solche Angriffe aus dem Internet können so genannte Firewalls (zu
deutsch: Brandmauern) helfen. Folgende Funktionalitäten sind auf dem Markt
anzutreffen:
-
Paketfilter filtern TCP/IP-Pakete,
-
Inhaltsfilter suchen nach aktiven Inhalten (Java, JavaScript, VBScript,
Active Controls), aber auch nach vertraulichen Informationen, die nach
außen transportiert werden sollen (Cookies, Kreditkartennummern),
-
manche Produkte stellen einen sog. Sandkasten (engl.: sand box) zur
Verfügung, sodass Programme ohne Autorisierung nicht eine
Internetverbindung aufbauen können,
-
Durch Protokollführung kann verfolgt werden, welche besonderen
Vorkommnisse vorgefallen sind.
Ein Paketfilter arbeitet nach bestimmten Regeln. Zu einer Paketfilterregel
gehört ein Protokoll-Typ (z. B. UDP), zwei IP-Adressen von Sender und
Empfänger, deren Portnummern und eine Richtung des Verbindungsaufbaus. Passt
eine Regel auf einen Verbindungsaufbauwunsch, so gilt eine festgelegte
Maßnahme, entweder zulassen oder unterbinden.
Als Minimalempfehlung sollte man folgende Regeln vereinbaren:
-
Adress Resolution Protocol (ARP) erlauben (wenn überhaupt angegeben),
-
Domain Name Service (UDP-Port 53) erlauben,
-
Webbrowser (HTTP und HTTPS: TCP-Ports 80, 443) erlauben,
-
E-Mail (POP3, POP3/SSL, SMTP: 110, 995, 25) erlauben,
-
File Transfer Protocol (FTP: 21 hin, 20 zurück) erlauben,
-
alles andere verbieten.
Der Nutzen eines Firewalls ist begrenzt (!):
-
Der Verbindungsaufbau zu Trojanischen Pferden, die nicht durch
Antivirensoftware entdeckt wurden, kann unterbunden werden,
-
ein fremder Port-Scan kann ins Leere laufen (an sich nur ein
"unfreundlicher Akt", durchaus stündlich zu beobachten),
-
Werbebanner können unterdrückt werden,
-
Inhaltsfilter können Skripte etc. blockieren.
Ein Sandkasten, der Programmen nur dann Zugriff auf das Internet erlaubt,
wenn dies explizit bei der Installation so festgelegt wurde, funktioniert
leider in den bekannten Produkten noch nicht richtig. Für Programmierer
existieren allerdings schon Bastellösungen (c't Nr. 10/2001). Würde diese
Funktionalität vom Betriebssystem zur Verfügung gestellt, wären sämtliche
Firewalls überflüssig.
Bis dahin ist der beste Firewall noch die Eingabe des Kommandos
ipconfig /release
wodurch der gesamte Internetverkehr unterbunden wird.
Backup-Strategien
Was oft vergessen wird, ist die Tatsache, dass Backups im Prinzip dieselben,
möglicherweise geheimen, Daten des Rechners enthalten, nur an einem anderen
Ort. An diesem anderen Ort müssen also mindestens so hohe
Sicherheitsstandards gelten wie am eigenen Rechner. Insbesondere das
Zurückholen der Daten darf nur von demjenigen veranlasst werden, der auch
das Kopieren veranlasst hatte.
Hier tut sich, wenn man nicht aufpasst, ein Scheunentor auf. Man stelle sich
etwa folgendes Szenario vor:
-
Man hat etwa mit dem Produkt TSM vereinbart, dass um Mitternacht ein
Backup durchgeführt werden soll.
-
Dies bedeutet, dass das Backup-Passwort in der Windows-Registry
abgespeichert wird (es wird ja um Mitternacht benötigt).
-
Kenner des Produkts wissen jetzt, dass man nur das Kommando showpw
einzugeben braucht, um TSM zu veranlassen, das Backup-Passwort im
Klartext auszugeben (allerdings benötigt man Administratorrechte).
Diese Funktionalität zeigt, dass automatisches Backup nur für Server gedacht
ist, nicht für einen PC, der schon mal unbeaufsichtigt herumsteht.
Die Sicherheitsanforderungen an den Ort des Backups können gesenkt werden,
wenn Backups nur verschlüsselt aufbewahrt werden.
Quellen
2.3.3 Windows-Terminalserver (Microsoft)
Verschlüsselung auf Wunsch in beide Richtungen (Server, Client)
-
Software:
-
Clients:
-
Alle Windows-Varianten, Smart-Karten
-
Server:
-
NT
-
Zertifizierung:
-
über NT-Mittel
-
Schutzbereich:
-
(auf dem gesamten Transportweg der Daten)
-
Gefahren 1 (Daten und Passwörter abhören), 2 (Daten verfälschen),
3 (falschen Server vortäuschen), 4 (falschen Client vortäuschen)
2.4 Kerberos
Kerberos ist ein wichtiges Instrument zur Erhöhung der Sicherheit
in heterogenen IV-Umgebungen. Kerberos wird für Windows-Systeme zukünftig
verfügbar sein, für Unix-Systeme gibt es bereits seit längerer
Zeit Lösungen. Stichwortartig werden folgende Eigenschaften genannt:
-
Sicheres Login für Server und für eingetragene, mit Kerberos
ausgestattete Clients.
-
Teilweise gibt es Kerberos-fähige Anwendungen (E-Mail, NetNews, teilweise
Filetransfer).
-
Kerberos überprüft Server und Clients.
-
Kerberos sollte als Angebot einer Einrichtung vorgehalten werden.
-
Kerberos-Server kann sowohl auf Windows NT als auch auf Unix-Servern installiert
werden.
-
Für Zugang zu Kerberos-Server sollte man wieder Secure Shell (ssh)
verwenden.
-
Kerberos-Server sind, da sie als Konzentratoren der Sicherungsmethoden
gefährdet sind, besonders sicher aufzustellen. Oft muss man mehrere
Kerberos-Server betreiben. Durch regelmäßige, automatische Überprüfung
muss gewährleistet werden, dass jeder mögliche Diebstahl eines
Gerätes schnell festgestellt wird.
-
Die Anbindung von Smart-Karten an Kerberos bleibt notwendig.
-
Microsoft hält Kerberos für flexibler und effizienter als die
bisher in Windows eingeführten Sicherungsmechanismen, weil Verbindungen
schneller erreicht werden, weil die wechselseitige Authentifizierung flexibler
ist, die Delegation von Authentifizierungen flexibler ist usw. Microsoft
wird deshalb Kerberos in NT Version 5 implementieren. Allerdings ist auf
die Kompatibilität mit Unix-Kerberos zu achten.
2.5 Sonstiges
Zu sonstiges Produkten, wie unter anderem DNS, Finger und aktive Inhalte/aktive
Elemente (z. B. ActiveX, Java, JavaScript, Plug Ins, Makros und Cookies),
sei auf die einschlägige Literatur verwiesen.
3 Login und Smart-Karte
Identitätskontrollen finden an verschiedenen Punkten eines IV-Systems
statt. Dazu gehören u. a. Windows-Login, Workstation-Login und Einwahlserver-Login.
Die Smart-Karte liefert in Kombination mit anderen Verfahren eine "starke"
Authentisierung im Gegensatz zum herkömmlichen Passwort allein ("schwache"
Authentifizierung). Die Smart Karte kann auch gewisse Risiken des klassischen
Passwortverfahrens eliminieren. Die Smart-Karte ist also ein
wichtiges Mittel zur Erhöhung der Sicherheit beim Zugang zur IV im
Endsystem und ergänzt die vielfältigen übrigen Vorkehrungen.
Sie ist in Zukunft aus vielfältigen Gründen der Datensicherung
(Kryptographie, digitale Unterschrift, elektronischer Zahlungsverkehr,
...) unverzichtbar. Die Smart-Karte ist die Infrastruktur der öffentlichen
Schlüssel. Sie dient der Aufnahme des privaten Schlüssels, sie
isoliert dabei sicherheitsrelevante Rechenoperationen von anderen Systemteilen.
Weitere Informationen findet man unter W. Bosse, W. Held, H.-W. Kisker,
Anwendung von Smart-Karten in Betrieben, Hochschulen und Ämtern, Zentrum
für Informationsverarbeitung der/Institut für Angewandte Informatik
an der Westfälischen Wilhelms-Universität Münster, Entwurf
vom 09.09.1999.
Realisierungen gibt es für diverse Windows-Systeme. Erste Realisierungen
für Linux sind bereits verfügbar.
Bis zur Einführung von Smart-Karten müssen weiterhin Passwörter
genutzt werden. Dabei sollte u. a. Folgendes beachtet werden:
-
Server, die Passwörter verwalten, sollten von außerhalb des
Hochschulnetzes nicht erreichbar sein und von innen ebenfalls gut durch
Zugangs- und Dienstebeschränkungen abgesichert werden.
-
Benutzer sollten »gute« Passwörter wählen und diese
regelmäßig wechseln.
-
Anzustreben ist, dass Software eingerichtet wird, die Hilfestellung bei
der Festlegung von Passwörtern gibt und dem Nutzer anzeigt, ob das
von ihm gewählte Passwort leicht erraten werden kann, damit er gegebenenfalls
ein besseres wählen kann.
-
Benutzer sollten nie für auswärtige Server
die gleichen Passwörter wie für intern Authentisierungen verwenden.
-
Um das Abhören von Passwörtern zu verhindern, sollten Passwörter
möglichst nicht unverschlüsselt über das Netz geschickt
werden.
Für erhöhten Sicherheitsbedarf kann man
Einmal-Passwörter verwenden, entweder in Kombination mit der Smart
Karte oder als Ersatz für das klassische Passwort.
Wichtig ist das Deaktivieren anonymer Login-Zugänge. Lediglich
für spezielle und überprüfbare Anwendungen darf Anonymität
zugelassen werden. Zum Beispiel kann ein anonymes Login an Internet-Adressen
gekoppelt werden, so dass der Rechnerzugang zwar anonym, aber nur über
festgelegte Arbeitsplatzrechner ermöglicht wird. Auf diese Weise kann
man die Nachfrage von externen Teilnehmern einer Veranstaltung befriedigen.
Der Passworttransport zwischen Nutzer und Einwahlserver erfolgt ohne
Zusatzmaßnahmen ungesichert. Der Passworttransport zwischen Einwahlserver
und Securityserver erfolgt über nicht abhörbare Pfade.
Single Sign-on bedeutet, dass mit einem einzigen Login alle Server in
einer Firma oder des Hochschulnetzes erreicht werden, zu dem der Nutzer
grundsätzlich Zugang hat. Dies erleichtert die Arbeit der Nutzer und
verbessert die Sicherheit der IV wesentlich, weil die übrigen Server
z. B. über Kerberos sicher erreicht werden. Notwendig ist dazu eine
vereinheitlichte Nutzerverwaltung. Mit dem Single Sign-on wird der administrative
Aufwand der IV deutlich verringert.
Mit digitalen Signaturen und Zeitstempeln kann die Echtheit von Dokumenten
überprüft werden. Siehe gesonderter Bericht W. Bosse, W. Held,
H.-W. Kisker, Anwendung von Smart-Karten in Betrieben, Hochschulen und
Ämtern, Zentrum für Informationsverarbeitung der/Institut für
Angewandte Informatik an der Westfälischen Wilhelms-Universität
Münster, Entwurf vom 09.08.1999
4 Zertifizierung
-
Eingerichtet ist im ZIV eine WWU-Zertifizierungsstelle (CA) für die
Zertifizierung öffentlicher Schlüssel, die für den Anwender
einfach zu erreichen ist. Es gibt eine Zertifizierung für PGP, eine
weitere nach dem Standard X.509 wird gerade eingerichtet. Es ist geplant,
beide in die Zertifizierungshierarchie des DFN einzubinden. Diese Zertifizierungen
unterliegen besonders vertrauensvollen Randbedingungen, die nicht beliebig
verteilt werden können.
-
Daneben ist die Zertifizierung von Software, die Sicherheitsfunktionen
erfüllen soll, besonders wichtig. Kein Diensteanbieter und kein Nutzer
kann es sich derzeit allerdings leisten, nur zertifizierte Software einzusetzen,
sofern er sie überhaupt erhält. Deshalb ist der öffentliche
(kostenlose) Zugang zu Trust-Centern als Verteiler geprüfter Software
für Clients und Sicherheitseinrichtungen für die IV-Anwender
sehr wichtig für die Nutzerakzeptanz.
-
Für besonders hohe Sicherheitsanforderungen, insbesondere für
rechtsverbindliche Geschäftsvorgänge im Sinne des Signaturgesetzes,
sind besonders strenge Maßnahmen zu ergreifen, die nur mit Hardwareeinrichtungen
auf Client/Nutzerseite zu erfüllen sein werden.
-
Der Nutzen von Zertifikaten erhöht sich mit der Nutzerzahl. Es sind
deshalb landes- oder bundesweite Lösungen anzustreben. Dies gilt insbesondere
bei der Zertifizierung von Schlüsseln auf Basis von Smartkarten.
-
Es wird angestrebt Zertifikate des DFN und der Universitäten in gängige
Web-Browser zu integrieren.
4.1 PGP-Zertifikate
-
Software:
-
PGP (DOS, auch: Unix, Windows, Macintosh; in Betrieb)
-
Aussage des Zertifikats:
-
Schlüssel gehört zur Person
-
Organisationsform:
-
WWW of Trust, optional hierarchisch, z. B. DFN
4.2 X.509 - Zertifikate
Zum Beispiel für SSL-Verschlüsselungen und S/MIME-Mail.
-
Software:
-
SSLeay (Unix, erprobt)
-
OpenSSL (Unix, erprobt)
SECUDE (Unix, erprobt)
-
Aussage des Zertifikats:
-
Schlüssel gehört zur Person bzw. zum Server bzw. zum Client
-
Organisationsform:
-
Zwingend hierarchisch, z. B. DFN
4.3 Signaturgesetz und EU-Richtlinie
Die Auswirkungen des Signaturgesetzes und der entsprechenden EU-Richtlinie
für digitale Signaturen und deren Anwendungen sind hier nicht zu erläutern.
Die Erlaubnis, entsprechende Zertifizierungen durchzuführen, ist an
strengere Auflagen gebunden als bei den zuvor beschriebenen Verfahren.
Es ist noch zu klären, wie den Anforderungen bezüglich Software,
technischen Komponenten und Organisation entsprochen werden kann und muss,
und für welche Anwendungen die Zertifizierung nach dem Signaturgesetz
im Tagesgeschäft erforderlich ist. Denkbar ist, in Ausnahmefällen
auf eine externe Zertifizierung zurückzugreifen.
5 Zusätzliche Maßnahmen in LANs
5.1 Kontrollierter Zugang zu Netzen
Soll der Zugang zu Netzen nur authentifizierten Nutzern möglich sein,
bieten sich folgende Maßnahmen an:
-
PPP over Ethernet, L2TP, PPTP
-
Log-and-key-Verfahren (Telnet Verbindung zum Router, Accountprüfung
über Radius, Freischaltung einer IP-Adresse; praktiziert in Bochum)
5.2 Broadcast-Medien
Daten passieren in Ethernet-LANs oftmals alle direkt angeschlossenen Endgeräte
-
Es besteht daher die Gefahr abgehört zu werden. Drei Möglichkeiten
der Abhilfe bieten sich an:
-
Anschluss der Endgeräte an LAN-Security-fähige Geräte (Ausblenden
der Daten für Nicht-Ziel-MAC-Adressen, Zulassung von Endgeräten
nur an festgelegten physischen Anschlüssen)
-
Anschluss der Endgeräte an switched Ports (Switched Network)
-
Server grundsätzlich im abhörsicheren Backbone (Backbone ohne
Endgeräteanschlüsse) aufstellen.
-
Es besteht weiter die Gefahr der illegalen Geräteidentifizierung auf
Link- und/oder Vermittlungsebene. Damit ergeben sich Missbrauchsmöglichkeiten
z. B. durch Trojanische Pferde oder Datenfälschung
Abhilfe: Switched-Network, möglichst IP-Switching
Die genannten Maßnahmen (bis auf LAN-Security-Geräte) bieten
keinen starken Schutz, da die gängigen LAN-Switche durch Überlastung
der Adresstabellen in einen Broadcast-Modus versetzt werden können.
5.3 ELANs und VLANs
ELANs und VLANs erlauben in ATM- bzw. LAN-Netzen die logische Zusammenfassung
von physisch verstreut liegenden Netzbereichen (in der Regel über
festgelegte LAN-Ports von Switches) und zwar weitgehend unabhängig
von der Lage dieser Netzbereiche innerhalb der Gesamttopologie. Dies ist
für Durchsatz und Administrierung hilfreich. Es erlaubt im Prinzip,
-
Netzbereiche mit einheitlichen Sicherheitsregeln zu bilden,
-
topologieunabhängige Sicherheitsfunktionen beim Übergang in andere
Netzbereiche (Firewall-Funktionen) zu implementieren und
-
Firewalls skalierbar in verschiedenen Sicherheitsstufen einzuführen.
Werden ELANs und VLANs unter dem Gesichtpunkt der Sicherheit eingesetzt,
so ist auf eine sorgfältige Konfigurierung der Software zu achten,
um unberechtigten Nutzern den Zugang zu einem ELAN/VLAN zu verwehren. Zusätzlich
bestehen bei VLANs Zweifel an der Zuverlässigkeit in Überlastsituationen.
5.4 Virtual private network (VPN)
VPNs ermöglichen Datentransfer von Arbeitsplätzen aus über
öffentliche unsichere Netze. VPNs können aber auch verwendet
werden, um zwei LAN-Segmente sicher zu verbinden. Die Realisierung erfolgt
über VPN-Router.
-
Vom Endnutzer zum VPN-Router muss ein sicherer Datentransfer gewährleistet
sein (ssh, SunScreen Skip, ...).
-
Die Authentifizierung kann relativ sicher gestaltet werden, z. B. durch
public-key-Verfahren.
-
Jeglicher Datenverkehr im VPN wird verschlüsselt. Die Verschlüsselung
wird auch zwischen Routern durchgeführt, dadurch ergibt sich eine
End-to-End-Verschlüsselung. Die Verschlüsselung ist für
Nutzer transparent.
-
Die Verschlüsselung erfolgt auf relativ niedriger Ebene (ISO OSI-Schicht
2 oder 3).
-
Das Verschlüsselungsverfahren soll abhängig von der Anwendung
so gewählt werden, dass keine nennenswerte Reduzierung der Transferrate
erfolgt.
-
Die Verfahren basieren auf IPSEC (= layer-3-Protokolle) oder layer-2-tunneling-Protokoll
(Ebene 2).
-
VPN mit layer 2 tunneling erlaubt Nutzer-Authentifizierung (IPSEC erlaubt
oftmals nur Maschinen-Authentifizierung). IPSEC kann zur Lösung dieses
Nachteils mit layer 2 Protokoll kombiniert werden.
-
Layer 2 tunneling (zusammen mit Extensible Authentification Protocol kann
vielfältige Authentifizierungsmethoden unterstützen (z. B. Einzel-Passwort,
Smart-Karte, ...).
-
Realisierung in oder neben einer Firewall
-
VPN wird durch S/WAN (Secure Wide Area Network) gefördert.
-
IPSEC gibt es für IPv4 und später für IPv6.
-
Leider ist bisher kein standardisierter Schlüsseltausch festgelegt
worden.
-
VPN wird als Sicherheitsmaßnahme empfohlen, vor allem bei der Verbindung
sicherer Subnetze über ansonsten unsichere Verbindungen.
-
Das Verfahren ppp over ethernet ist noch genauer zu untersuchen.
5.5 Sicherung von SNMP und Netzmanagement
Mit dem SNMP werden Netze gemanagt, z. B. Fehler lokalisiert. Über
die missbräuchliche Nutzung derartiger Software sind Manipulationen
an Rechnern und aktiven LAN-Komponenten möglich. Deshalb sollte kein
schreibender Zugriff über SNMP zugelassen werden, da derzeit noch
Mehrfachpasswörter im Klartext übertragen werden müssen.
Durch Packet-Filter (Firewall) in allen aktiven LAN-Komponenten kann man
sicherstellen, dass SNMP missbräuchlich allenfalls noch in einem Netz-Segment
hinter der letzten aktiven LAN-Komponente zum Einsatz kommen kann. (u.
a. in Münster realisiert). Wenn ein gesicherter Zugriff auf LAN-Komponenten
realisiert ist (z. B. mit ssh), sollte dieser Zugangsweg zur Konfiguration
verwendet werden. Ein Outband-management (wie z. B. in Dortmund mit einem
separaten Terminalnetz) wird nicht überall realisiert werden können,
ist aber dringend anzustreben.
5.6 Private Adressräume, NAT
-
Grundsätzlich muss die direkte Konnektivität mit anderen Internet-Bereichen
durch Verwendung von reservierten Adressen (private Adressräume) ausgeschlossen
werden, solange keine Netzadress-Translation (NAT) eingesetzt wird.
-
NAT verbirgt Endgeräte eines IP-Adressraumes hinter einer einzigen
IP-Adresse. Dies ist kombinierbar mit Firewall-Funktionen. Dadurch ergibt
sich einerseits eine restriktive Zugangskontrollmöglichkeit, andererseits
ist dies jedoch mit grundsätzlichen und erheblichen Einschränkungen
der Netzfunktionalität verbunden.
-
Private Adressräume sind generell nicht empfehlenswert, da sie das
Netz intransparent machen.
-
NAT ist kein Security-Verfahren.
5.7 Firewall-Funktionen
Firewalls sind ein umfassendes Thema, das einer getrennten Behandlung bedarf.
Zahlreiche Unterlagen findet man zum Beispiel auf den WWW-Seiten des DFN-CERT.
An dieser Stelle sei nur darauf hingewiesen, dass die große Zahl
unterschiedlicher Produkte sich prinzipiell auf drei Typen zurückführen
lässt:
-
Packet Screen oder Packet-Filter
-
Packet Screen mit Bastion
-
Gateway-Firewall
-
Viele der am Markt verfügbaren Firewalls sind eher für Anschlussgeschwindigkeiten
bis 10 Mbit/s ausgelegt. Bei komplizierten Regelwerken, die zur Sicherheitsprüfung
eingerichtet werden, kann sich eine Firewall zu einem »Flaschenhals«
in der Kommunikation entwickeln, der dann von den Nutzern in der Regel
nicht akzeptiert wird. Daher ist bei der Auswahl der Firewall der erforderliche
Durchsatz zu berücksichtigen.
-
Erlaubte Funktionen werden auf der Basis von Sicherheitsregeln festgelegt,
welche die Kommunikationsmöglichkeiten im Grundsatz zwischen allen
Endgeräten (oder Endgerätebereichen) spezifizieren. Die erste
Möglichkeit ergibt sich durch eine Packet-Firewall mit Funktionen
im Transportsystem.
-
Implementierung in Routern, Switches (einheitlich administriert)
-
Implementierung in Endgeräten (dezentral administriert)
-
Erweiterte Funktionen auf der Basis von nutzerbezogenen Zugangsregeln (Funktionen
im Anwendungssystem-Gateway) . Man unterscheidet daher grundsätzlich
zwischen einfacher Firewall (Packet-Filter, statisch oder dynamisch ) und
der Applikationfirewall.
-
Implementierung in speziellen Firewall-Rechnern, Skalierbarkeit ist zu
beachten.
-
Bei Einsatz von Packet-Firewalls im Netz (bzw. bei allgemein netztechnischer
Konnektivitätssteuerung) kombiniert mit einer nutzerbezogenen Endsystemadministration
ist die gewünschte Funktionalität in der Regel auch erreichbar.
-
Bei Firewall-Rechnern muss eine Einschränkung allgemeiner Netzfunktionen
hingenommen werden (z. B. IPSEC nicht möglich ohne spezielle Durchleitungsmechanismen,
Multicast-IP fraglich).
-
Da in vielen Fällen der Zugriff zu Daten auch von außerhalb
einer Firewall notwendig bleibt, ist die Verschlüsselung der sichere
Weg, der eine hohe Funktionalität beibehält (VPN, 5.3).
-
Die Administrierbarkeit einer Firewall ist besonders wichtig. Andernfalls
wird der Schutz nicht erreicht. Der Personalaufwand kann, wenn die Sicherungsregeln
vielfältig sind und sich laufend ändern, sehr groß werden.
Von den zu schützenden Instituten fehlen oft die nötigen Informationen.
-
Grundsätzlich macht eine Firewall viel zusätzliche Arbeit und
schränkt den Bewegungsraum im Netz ein. Außerdem darf der Aufwand
für die Analyse des Firewall-Logs nicht unterschätzt werden.
Es gilt wieder die Nutzen/Aufwand-Relation.
-
Hersteller: Checkpoint (Software: Firewall-1, weitaus die meisten Installationen,
z. B. in ????? installiert), SunScreen (z. B. in Hagen installiert), Secure
Computing, Axent, Network Associates, Watchguard (Hardware Firebox II),...
-
Alternativ sind Router mit Paketfilterregeln oder Linux-Packetfilter mit
geeigneter Konfigurationssoftware (z. B. FCT) einsetzbar. Sie sind leicht
administrierbar und preiswert verfügbar.
-
Die Sicherheits-Politik muss vor Einführung einer Firewall feststehen.
Erforderlich ist ein dynamisches Regelwerk, das ständig anpassbar
sein muss. Es ist eine starke Hand notwendig, um nach der Einführung
einer Firewall die Regeln auf Wunsch Einzelner nicht dauernd ändern
zu müssen und damit die Sicherheit zu gefährden.
-
Mittels demilitarisierter Zonen (DMZ) können Server so aufgestellt
werden, dass die Sicherheitsregeln und damit die Administration von Firewalls
vereinfacht werden.
-
Ab einer bestimmten Netzgröße kann es erforderlich werden, die
Granularität der Packetfilter zu verfeinern, also interne Bereiche
mit weiteren Packetfiltern weiter zu segmentieren. Ziel hierbei ist es,
Angriffe von »innen«, die erfahrungsgemäß 80% aller
Angriffe ausmachen, auf ein reduziertes Inneres zu beschränken und
damit den Schaden einzugrenzen.
-
Unabhängig von einem Firewall-Einsatz bleibt es unverzichtbar, die
Sicherheit der Endsysteme durch geeignete Maßnahmen (s. 2.4) sicherzustellen.
Die Implementierung von Firewall-Schutzfunktionen in eigenen Geräten
ist für die Architektur eines vermittelnden (Schicht-3-)Netzes grundsätzlich
mit Skepsis zu betrachten.. Dies betrifft sowohl die Nutzung als auch das
Management des Netzes und gilt in besonderem Maße für Applikationsgateways
(vgl. auch B. Carpenter, Internet Transparency, Internet Draft Dec. 1999).
Auch die Regelung von Zugriffsrechten auf Endsystemen ist naturgemäß
eher bei den unter Umständen zahlreichen Systemadministratoren als
bei »dem« Netzadministrator anzusiedeln und die Einführung
von Applikationsgateways führt häufig zur Auseinandersetzung
über die Frage, von wem diese zu administrieren seien, da ein grundsätzlicher
Interessenkonflikt besteht. Das Skalierungsverhalten von Applikationsgateways,
insbesondere in größeren Netzen, ist ein weiterer kritischer
Gesichtspunkt. Vor diesem Hintergrund und angesichts der Schwierigkeiten
allgemeiner Regelungen bei der Einführung von »Firewalls«
sei auf die bereits schon sehr häufig eingesetzten Firewall-Funktionen
in Endsystem (»Personal Firewall«) hingewiesen. Skalierbarkeit
ist hier offensichtlich, die Administratorfragestellung ist relativ leicht
zu beantworten, die Administration kann mit Einschränkungen relativ
leicht spezifisch für die betroffene Nutzergruppe oder sogar dem einzelnen
Nutzer »geregelt« werden und die Netzarchitekturproblematik
ist nur wenig tangiert. Auch kann das Argument nur mit Einschränkungen
gelten, dass die Verwaltung der Endsystemkonfiguration nicht geleistet
werden könne und dass deshalb ein »Firewall« eingesetzt
werden müsse - auch die Administration von Firewalls ist nicht ohne
erheblichen Aufwand zu leisten.
Exemplarisch sei Software genannt, mit welcher Firewall-Funktionen in
Endsystemen realisiert werden kann. Diese ist insbesondere bei Unix-Systemen
bereits vielfach im Einsatz. Eine weitere Ausarbeitung dieses Themas ist
noch erforderlich, wobei auch die bereits systemseitig vorhandenen Konfigurationsmöglichkeiten
des Firewalling ausgearbeitet und vor allem erprobt werden müssten.
-
Unix: inetd, TCP-Wrapper, xinetd
-
Microsoft: ZoneAlarm, ConSeal PC Firewall, McAfee Personal Firewall, Secure
Desktop (SyShield), Norton Internet Security 2000 (@Guard,), BlackICE Defender,
LockDown., eSafe, NetWatcher 2000 (alle Nennungen ohne jegliche Wertung!)
6 Intrusion Detection
In Netzen und Betriebssystemen sind viele Sicherheitslücken bekannt
und gut dokumentiert. Sie können dennoch, weil die Fehler nicht beseitigt
werden, immer wieder für Angriffe ausgenutzt werden. Aber auch wenn
alle Sicherheitsmaßnahmen eingeführt und alle bekannten Fehler
korrigiert worden sind, können neue Softwarefehler, Konfigurationsfehler,
Bedienungsfehler usw. weiter zu Sicherheitslücken führen. Deshalb
sind Maßnahmen vorzusehen, um diese verbleibenden Lücken möglichst
frühzeitig aufzudecken.
Es gibt eine Reihe von Programmen mit deren Hilfe Sicherheitslöcher
z. B. in der Konfiguration von Netzkomponenten durch simulierte Angriffe
aufgedeckt werden können. SATAN ist ein älteres Programm dieser
Art, SAINT ein neueres.
Von »Intrusion Detection« wird dagegen gesprochen,
wenn im laufenden Betrieb durch Beobachtungsprogramme nicht nur Einbruchsversuche,
sondern auch wahrscheinliche Einbrüche entdeckt werden. Dabei werden
z. B. Logfiles ausgewertet und früh mögliche Einbrüche erkannt.
Diese Programme können selbstlernend sein oder sie verfahren nach
vom Administrator definierten Regeln und überwachen z. B. den Verkehr
auf bestimmten Ports, die für besonders gefährdet erachtet werden.
Problematisch sind dabei der Datenschutz und das Einstellen von Schwellwerten
zur Ausgrenzung von Fehlalarmen.
Die für Intrusion Detection verfügbaren Software-Produkte
sollten, entsprechende Verabredungen mit den Nutzern vorausgesetzt, regelmäßig
aktiviert werden.
Tcpwrapper, logdaemon, crack, cops, tiger, iss, nmap und saint sind
beispielsweise als Produkte zu nennen.
Report-Mechanismen (z. B. Syslog) sind teilweise im Einsatz; die Vervollständigung
dieser Mittel erfolgt, sobald die Zeit das zulässt. Wenn mehrere Server
vorhanden sind, sollten die Reports auf einem Server zusammengeführt
werden, damit die Überprüfung überhaupt möglich bleibt.
Der Aufwand entsteht im Wesentlichen in der Implementierung und im Setzen
der Filter.
7 DFN-CERT und BSI
Das DFN CERT und andere CERTs, geben darüber hinaus regelmäßig
Hinweise zu Sicherheitsmaßnahmen. Zu den Aufgaben des DFN-Cert gehören
insbesondere:
-
Sammeln von Vorfällen,
-
Organisieren von Workshops,
-
Organisieren eines response-teams,
-
Pflege von E-Mail-Listen für verschiedene Probleme,
-
Hilfestellung bei sicherheitsrelevanten Fällen.
Das CERT ist über "cert.dfn.de" zu erreichen (pgp-verschlüsselte
E-Mails sind erwünscht.)
Es sei auch auf das Bundesamt für die Sicherheit in der Informationsverarbeitung
(BSI) hingewiesen, insbesondere auf dessen umfangreiche Veröffentlichungen
zu allen Aspekten der IV-Sicherheit. (Im ZIV in Münster liegen diese
Daten vor).
8 Information und Ausbildung
Wohl an allen Hochschulen gibt es hochschulinterne E-Mail-Listen zur Verständigung
der Systemadministratoren untereinander als dauerndes Kommunikationsinstrument.
Für Systemfragen sollte eine entsprechende landesweite E-Mail-Liste
reaktiviert werden. Es wird angeregt, diese Liste um eine entsprechende
Liste für Sicherheitsfragen zu ergänzen. Der Nutzen regelmäßiger
Treffen wird hervorgehoben, die durch virtuelle Treffen über Videokonferenzsysteme
z. T. ersetzt werden können.
9 Anhang
9.1 Auszug aus dem IT-Sicherheitskonzept der Universität
Paderborn
Dieser Teil des Anhangs ist uns dankenswerterweise von der Universität
Paderborn als »Entwurf: Konzept zur Sicherheit der Informationstechnik
an der Universität Paderborn (IT-Sicherheitskonzept), Autoren Prof.
Heiss, C. Fries und andere« überlassen worden. Wir haben diesen
Entwurf gekürzt und an unsere Bedürfnisse angepasst. Dieser Anhang
wendet sich an alle, die für die Sicherheit in einer Einrichtung verantwortlich
sind. Das Papier soll Problembewusstsein in den Gremien und bei den Benutzern
für die Notwendigkeit von Sicherheitsmaßnahmen erzeugen, und
darauf hinweisen, dass solche notwendigerweise Arbeit und Geld kosten.
Es wird allgemein als hilfreich empfunden, ein solches fertiges Papier
für eine Hochschule zu haben, insbesondere weil darin nicht nur technische
Aspekte, sondern auch notwendige organisatorische Maßnahmen aufgeführt
sind.
Gefährdung von Objekten und Diensten
Sicherheit bedeutet die Abwesenheit von Gefahr. Gefährdet sind
die Integrität und Verfügbarkeit der Hardware,
der Software und der Daten sowie die Vertraulichkeit der Daten.
Im Blickpunkt stehen daher die IT-Systeme9
(einschließlich der auf ihnen gespeicherten Daten) als durch ihre
Umgebung bedrohte Objekte und weniger als Subjekte, die durch Fehlverhalten
Schaden verursachen. Die Verfügbarkeit der Systeme ist nur
insofern Gegenstand dieses Dokuments, als sie durch Umgebungseinflüsse
bedroht ist, z. B. durch sogenannte »denial-of-service-attacks«,
die darauf abzielen, den legitimen Benutzern die Nutzung vorzuenthalten.
Allgemeine Verfahren zur Erhöhung der Verfügbarkeit (z. B. durch
Redundanz) werden nicht behandelt.
Neben den Endgeräten (PCs, Drucker, etc.) basiert die Funktionsfähigkeit
der Informationstechnik auf dem Zusammenspiel einer Reihe von Komponenten,
deren Existenz sich die Benutzer oft nicht bewusst sind. Als besonders
schutzwürdige Objekte und Dienste gelten:
-
Netzwerkkomponenten (Hochschulnetz)
-
Spezialserver (z. B. Namens- und Adressumsetzung, Lizenzen, etc.)
-
Remote Access Router (Modem-Zugang)
-
WiN-Zugang (Außenanbindung an DFN-Wissenschaftsnetz, Internet)
-
Server zur Speicherung von Benutzerdaten und Programmen (Fileserver)
-
Internet-Dienste und die dazugehörigen Server (WWW, E-mail, FTP)
Eine störungsfreie Verfügbarkeit dieser Objekte und Dienste ist
nur dann gewährleistet, wenn den möglichen Gefährdungen
durch geeignete Maßnahmen vorgebeugt wird. Die physische Sicherheit
der Komponenten ist bedroht durch allgemeine Umwelteinflüsse, höhere
Gewalt sowie fahrlässiges und böswilliges Verhalten. Neben gerätespezifischen
technischen Defekten können Stromausfälle und Überspannungen,
Feuer/Wasserschäden, aber auch Beschädigungen des physischen
Netzwerks (z. B. bei Bauarbeiten) zum Ausfall von Rechnern, Peripherie,
Netzwerkkomponenten und Sicherungsmedien führen. Damit droht der Ausfall
des Hochschulnetzes und Datenverlust.
Auch das Bedienpersonal stellt eine Gefährdung dar: Wartungsarbeiten
an Hardwarekomponenten, Installation oder Aktualisierung von Software,
die ohne sorgfältige Planung und Absprache durchgeführt werden,
Fehlbedienung durch Unwissen oder Fahrlässigkeit können zum zeitweiligen
Ausfall
zentraler Dienste und des Hochschulnetzes führen. Auch das Auslaufen
befristeter Lizenzen kann den Ausfall dringend benötigter Dienste
zur Folge haben. Ist ein Ausfall eingetreten, so kann mangelnde personelle
Redundanz die Behebung des Fehlers erheblich verzögern. So ist häufig
das erforderliche Spezialwissen auf ein bis zwei Personen beschränkt.
Darüber hinaus sind die Komponenten in zunehmendem Maße böswilligen
Angriffen ausgesetzt. Diebstähle und Vandalismus bedrohen die physische
Sicherheit, Hackerangriffe von innen wie von außen die logische Sicherheit.
Neben der Funktionstüchtigkeit des Gesamtnetzes ist dabei auch die
Integrität
und Vertraulichkeit der Benutzerdaten bedroht. Im Vergleich dazu bergen
Computerviren ein eher geringes Sicherheitsrisiko, da sie zunächst
nur lokal auf einzelnen PCs Schaden anrichten können.
Verantwortlichkeiten und Zuständigkeiten
Um den möglichen Gefährdungen wirksam begegnen zu können,
müssen die Verantwortlichkeiten und Zuständigkeiten für
alle schutzwürdigen Objekte und Dienste klar definiert und allen Beteiligten
bekannt sein. Es muss möglich sein, jede von Rechnern der Universität
ausgehende Aktivität einer Person zuzuordnen. Für alle existierenden
Rechner und Dienste müssen verantwortliche Personen benannt sein.
Zuständige Personen müssen mit entsprechenden Kompetenzen ausgestattet
sein, damit sie auch gegebenenfalls erforderliche Maßnahmen ergreifen
können.
-
Die grundsätzliche Autorität und Verantwortung für den Betrieb
der vernetzten IT-Systeme liegt beim Leiter des Zentrums für Informationsverarbeitung.
-
Für jeden hochschulweiten Dienst ist ein Dienstverwalter zuständig
und verantwortlich. Außerdem muss mindestens ein sachkundiger Stellvertreter
benannt sein.
-
Jedem Benutzer eines vernetzten Rechners der Hochschule ist ein eigener
Account zugeordnet. Jedem Account ist umgekehrt der Benutzer namentlich
zugeordnet, der für alle Handlungen und Netzaktivitäten unter
diesem Account persönlich verantwortlich ist. Die Benutzer sind schriftlich
zu verpflichten, die Benutzungsordnung einzuhalten. Bei lokal verwalteten
autonomen Systemen (z. B. PCs), bei denen keine Anmeldung (login) stattfindet,
ist der Rechner entweder einer Person fest zugeordnet (Arbeitsplatz im
Dienstzimmer) und wird auch ausschließlich von ihr benutzt oder es
sind Maßnahmen zu treffen, die eine eindeutige Zuordnung erlauben.
Physische Sicherheit
Zur Gewährleistung der physischen Sicherheit der schutzwürdigen
Objekte und Dienste müssen folgende Grundsätze eingehalten werden:
-
Zentrale Komponenten müssen in geeigneten (USV10,
Brandschutz, ggf. Klimatisierung) und angemessen gesicherten Räumen
betrieben werden. Kein Zugang (Handwerker, Putzdienst) ohne Verantwortlichen,
spezifischer Alarmplan (Aushang) als Handlungsanweisung für den Notfall,
Raumüberwachung mit Alarmauslösung
-
Netzwerkkabel sind so zu verlegen, dass sie weder durch Baumaßnahmen
noch durch Vandalismus direkt gefährdet sind.
-
In geschlossenen Laborräumen ist durch ein Zugangskontrollsystem sicherzustellen,
dass kein Unbefugter Zugang zu den Rechnern erhält.
-
In offenen Poolräumen sind die Rechner durch geeignete (u. a. bauliche)
Maßnahmen gegen Diebstahl und unberechtigten Zugang zum Hochschulnetz
zu sichern.
Datensicherung
Sämtliche auf Rechnern gespeicherten Daten und Programme sind den
oben genannten Gefahren ausgesetzt. Diese Gefahren können durch geeignete
Maßnahmen reduziert, aber nicht völlig verhindert werden. Die
einzige wirksame Maßnahme gegen den Verlust von Daten besteht im
Anlegen von Sicherheitskopien. Die Sicherungsmedien müssen sicher
vor Vandalismus, Diebstahl, Feuer, Wasser aufbewahrt werden, am besten
in speziellen Räumen auch in einem anderen Gebäude. Mit der Durchführung
aller mit »Backup und Restore« verbundenen Aufgaben sollten
zwei Personen vertraut (betraut) sein.
Bei Systemen mit lokaler Datenhaltung (z. B. PC unter Windows 95) ist
die regelmäßige Datensicherung Aufgabe des jeweiligen Besitzers/Benutzers.
Es wird dringend empfohlen, aktuelle lokale Datenbestände regelmäßig
zu sichern. Bei vernetzten Systemen mit zentralisierter Datenhaltung (Fileserver)
sollte eine Datensicherung automatisch durchgeführt werden. Durch
geeignete Maßnahmen (Datensicherungsordnung als Teil der Nutzungsordnung,
als Aushang, durch Hinweis beim Einloggen etc.) muss klargestellt sein,
-
ob die Datensicherung nur Systemprogramme und bestimmte Server-Directories
berücksichtigt, oder auch die Programme und Dokumente des Anwenders
auf der Workstation,
-
um welche Uhrzeit die Datensicherung erfolgt,
-
wie der IT-Anwender seine Programme und Dokumente gegebenenfalls selbst
sichern kann und
-
wer im Problemfall anzusprechen ist (Name, Telefon, Raum, E-Mail).
Im ZIV erfolgt die Datensicherung täglich inkrementell.
Netze
Neue Formen des Wissenschaftsbetriebs über Hochschulen und Ländergrenzen
hinweg, der schnelle Zugriff und Austausch von Informationen und die gegenseitige
Nutzung von DV-Ressourcen sind erst durch Vernetzung von Computern möglich
geworden. Ohne das lokale Hochschulnetz und das Internet ist Forschung,
Lehre und Verwaltung heute nicht mehr denkbar. Aus diesem Grund besteht
ein gemeinsames Interesse aller Mitglieder der Hochschule in der Stabilität
und dem ordnungsgemäßen Funktionieren des lokalen Netzes, der
benötigten Netzwerkdienste und dem Übergang vom lokalen Netz
in das Internet. Allen Gefährdungen, die die Stabilität oder
die Funktion des Netzwerkes beeinträchtigen können, ist daher
entgegen zu wirken. Die Sicherheitsaspekte und Maßnahmen sind dabei
aber stets auch vor dem Grundsatz der größtmöglichen Offenheit
des Hochschulnetzes zu sehen. Dabei ist zu beachten, dass erhöhte
Sicherheitsmaßnahmen kurzfristig immer Mehrarbeit für die Systemadministration,
eine Umstellung der gewohnten Anwendungen für die Benutzerinnen und
Benutzer und eventuell eine Beeinträchtigung der Performance und der
Offenheit des Netzes bedeuten.
Beim Netzwerk und seinen Diensten müssen Eingriffe in das Hochschulnetz
auf den folgenden drei Ebenen unterschieden werden
-
direkter physischer Zugriff auf das Netz durch Integration eines
Rechners per Netzwerkkarte
-
Zugriff auf das Netz per Wählzugang
-
Wählzugänge in die Hochschule werden für Studierende und
Bedienstete zentral im ZIV zur Verfügung gestellt. In begründeten
Ausnahmefällen können die Leiter/innen von IV-Versorgungseinheiten
ausschließlich in Absprache mit dem ZIV lokale Wähleingänge
einrichten. Alle Wähleingänge müssen dem bereits genannten
Grundsatz der eindeutigen Identifikation genügen. Um die Sicherheitsrisiken
zu minimieren, müssen die Betreiber der Wähleingänge die
Verbindungsdaten aufzeichnen und überwachen. Modems zum »Rauswählen«
sind vor unbefugter Benutzung zu schützen.
-
Zugriff auf das Netz per Netzwerkdienst von einem Rechner aus dem Intra-
bzw. Internet.
9.2 Mitwirkende an diesem Bericht
Herren
Niggemann Bundesamt für die Sicherheit in der Informationsverarbeitung,
Köln Peters DFN-CERT, Hamburg
Wenzel, Schippang und Sternberger, Fernuniversität Hagen
Dieter, Fries, Universität Paderborn
Schoening, Deutsche Sporthochschule Köln
Rapp, Ziegler, Universität Dortmund
Huth, Nastoll und Schilling, Universität Essen
Münch und Hofmann, Universität Siegen
Gros, Grun, Universität Paderborn
Brett, Ministerium SWWF, Düsseldorf
Kalle, Universität Köln
Krieger, Rudolph, Zoller, Hackenberg, Wojcieszynski und Frau Brigitte
Wojcieszynski, Ruhr-Ruhr-Universität Bochum
Herren
Franck und Hektor, RWTH Aachen
Hilpert und Schneider, Universität Wuppertal
Koeller, Universität Bielefeld
Elsner und Corsten, Universität Bonn
Lannert, Universität Düsseldorf
Stermann, Universität Duisburg
Held, Perske und Richter, Universität Münster
9.3 Zusammenfassung der Arbeitsergebnisse der von der
Senatskommission für das Rechenzentrum (SKR) eingesetzten Arbeitsgruppe
»Sicherheit« an der RWTH Aachen
In ihrer Sitzung am 2. Nov. 98 beschloß die SKR den Einsatz einer
Arbeitsgruppe »Sicherheit«, bestehend aus folgenden Herren:
Herr Bolten (Vertreter der Studierenden),
Prof. Epple (Prozessleittechnik, für die Professoren),
Dr. Kahlert (Theoretische Physik D, für die wissenschaftlichen
Mitarbeiter),
Herr Thevis (Informatik, für die nicht-wissensch. Mitarbeitenden)
und
Herr Franck (Rechenzentrum, Koordination).
Als Ergebnis ihrer Erörterungen und Diskussionen gibt die einberufene
Gruppe die nachstehenden Empfehlungen, über die generelle Einstimmigkeit
herrschte bzw. erzielt werden konnte, an die SKR weiter.
Die zunehmenden Einbrüche in Rechnernetze und Rechensysteme der
RWTH Aachen signalisieren dringenden Handlungsbedarf.
Im Vordergrund stehen dabei nicht (mehr) die Investitionsschäden
bei den kompromittierten Systemen. Immer häufiger werden diese anschließend
unter Ausnutzung von Sicherheitslücken in Form von bekannt gewordenen
Unzulänglichkeiten der Betriebssysteme und Anwendungen derart umfunktioniert,
dass sie als fern- und fremdgesteuerte Roboter sicherheitsbedrohende Informationen
ausspionieren und/oder ihrerseits dann als Angriffswerkzeug auf (weitere)
RWTH-eigene oder fremde Maschinen dienen, mit dem Ziel, auch diese zu kompromittieren
usw.
Das Rechenzentrum als zentrale Einrichtung der Hochschule ist dann der
Ansprechpartner für Geschädigte innerhalb und außerhalb
der RWTH Aachen. Der vermeintliche Verursacher ist häufig genug selber
zuvor Opfer eines erfolgreichen Angriffs geworden. Durch Attacken, die
von Rechnern aus der RWTH her erfolgen, wird zudem das Image der RWTH Aachen
beschädigt.
(1) Sensibilisierung des Sicherheitsbewusstseins
Es ist unumgänglich, auf allen denkbaren Ebenen das Sicherheitsbewusstsein
der Verantwortlichen, der Systemadministratoren und der Endbenutzer zu
sensibilisieren und zu schärfen.
Auf einer eigenen Web-Seite des Rechenzentrums (www.rwth-aachen.de/security)
sind sicherheitsrelevante und die Sicherheit verbessernde Informationen
systemübergreifend für alle Betroffenen im Aufbau oder bereits
abrufbar. Empfehlungen für Systeminstallationen und -konfigurationen
sowie Beschreibungen der aktuellen Angriffsmethoden und Hinweise auf sicherheitsrelevante
»Patches« werden dort laufend aktualisiert.
Für den Endbenutzer wird an anderer Stelle (www.rwth-aachen.de/ca)
beschrieben, wie auf Anwenderebene Daten (insb. elektronische Post) mittels
Verschlüsselungstechniken geschützt und ihre Integrität
erhöht bzw. überprüft werden kann.
In Vorträgen sind und werden verschiedene Sicherheitsaspekte dargelegt,
entsprechende Kurse und/oder Workshops befinden sich in Planung.
An die Leitungen der Institute, Lehrstühle und der Hochschule angegliederten
Einrichtungen, an alle in den Ausführungsbestimmungen zur Netzordnung
genannten Gruppen und Ebenen muss appelliert werden, die Auswahl und die
Verantwortung der Systemadministratoren stärker unter sicherheitspolitischen
Aspekten zu sehen. Die Betreiber eigener LANs/Domänen haben seinerzeit
ein bis zwei »Netz(werk)verantwortliche« inkl. deren Telefonnummern
und e-mail-Adressen benannt, die bei Problemen als Ansprechpartner gegenüber
dem Rechenzentrum fungieren sollen.
Bei dem Versuch, diese nach Einbrüchen anzusprechen und um Hilfe
bei der Aufklärung zu bitten, vergeht häufig unnötig viel
Zeit, weil durch Fluktuationen von Menschen und Maschinen entweder diese
Personen im Institut nicht mehr tätig sind oder die e-mail-Adressen
ins Leere gehen. Manchmal ist auch nach mehrfachen telefonischen Rückfragen
kein kompetenter Ansprechpartner ausfindig zu machen, was die Aufklärungsarbeit
nahezu unmöglich macht und bei Geschädigten insb. außerhalb
der RWTH ein desolates Bild einer Technischen Hochschule hinterlässt.
Die Netzverantwortlichen müssen auf die notwendigen sicherheitspolitischen
Funktionen ausdrücklich hingewiesen werden; eine laufende (kontrollierte)
Aktualisierung der Namens- und Telefonliste und der Erreichbarkeit durch
elektronische Post ist vordringlich.
(2) Zentrale Firewall
Die Unterkommission empfiehlt dringend den Aufbau und Betrieb eines
zentralen Firewall-Systems für die länger diskutierten, nachfolgenden
Aufgabenbereiche:
Dieses System soll die Funktion eines »Frühwarnsystems«
erfüllen und erkannte Angriffsmuster abwehren. Es dient in erster
Linie aber auch der Protokollierung - im Rahmen des gesetzlich Erlaubten
- von als verdächtig eingestuften Aktivitäten, die noch der Analyse
bedürfen. Wird ein Angriffsmuster erkannt, wird es iterativ in die
Abwehrstrategie eingebunden, im anderen Falle die Protokollierung solcher
Aktivitäten zukünftig ausgeklammert. Umgekehrt muss evt. ein
erfolgreicher Einbruch die Überprüfung bzw. Erweiterung der Protokollierung
ähnlicher Aktivitäten nach sich ziehen, solange die Methode des
Angriffs unklar bleibt.
Keineswegs soll dieser zentralen Firewall jedoch eine Abschottungsfunktion
zufallen, da die Dienste des Rechenzentrums uneingeschränkt allen
Instituten zur Verfügung stehen müssen. In diesem Sinne ist es
kein klassisches Firewallsystem für all die im Netz der RWTH eingebundenen
Rechner. Diese Aufgabe wäre auch nicht realisierbar. Zur Absicherung
institutseigener LANs wird unter dem nächsten Punkt Stellung bezogen
Bei der Dimensionierung der zentralen Maschine ist ihre einfache Skalierbarkeit
hervorzuheben, um so bei ständig steigendem Bedarf an Netzkapazität
mindestens die Geschwindigkeit der aktuellen B-WiN-Bandbreite durchzusetzen
und nicht umgekehrt als Bremse zu wirken.
Die zugehörige Aufgaben zur Konzeptionierung, zum Aufbau und laufenden
Betrieb der Maschine, zur Justierung von alarmauslösenden Funktion,
Analyse von Protokollen und Angriffsmethoden sind mit dem aktuellen Personalstand
des Rechenzentrum nicht zu bewältigen. Hier entsteht zusätzlicher
Bedarf.
(3) Prototyp einer Firewall für LANs
Wie oben ausgeführt, kann die Abschottungsfunktion einer Firewall
für kleine, in sich homogene LANs, z. B. vernetzte Abteilungsrechner
in den Einrichtungen der Hochschule in Frage kommen. Die Arbeitsgruppe
stellt sich vor, dass das Rechenzentrum eine Empfehlung für ein preiswertes
PC-System als Prototyp einer Instituts-Firewall - evt. auf der Basis des
Betriebssystems LINUX - erarbeitet, den Kern des Betriebssystem nach den
neuesten sicherheitsrelevanten Erkenntnissen pflegt und für ein Ethernet-basiertes
Netzwerk mit derzeit (in der Regel) noch 10Mb/s, max. 100Mb/s vorkonfektioniert.
Die Anpassung der Netztopologie sowie mögliche Betriebssystem-Updates
könnten dann etwa durch einen Systemadministrator in der jeweiligen
Einrichtung vollzogen werden, in Ermangelung eines solchen evt. auch durch
das Rechenzentrum. Im letzten Falle wäre auch eine Abrechnung/Vergütung
nach Aufwand zur Deckung der Personalkosten denkbar.
(4) Prüfung der Einbruchsicherheit (»friendly attack«)
Die Arbeitsgruppe ist sich im Klaren darüber, dass die vorgeschlagenen
Maßnahmen niemals einen hundertprozentigen Schutz vor Einbrüchen
bieten, sondern nur die Sicherheit vor einem Einbruch ein Stück erhöhen
können. Dies mag u. a. der Grund für den Wunsch einzelner Institute
sein, die Güte der Einbruchsicherheit Ihrer Rechnersysteme und Rechnernetze
beurteilen zu können oder zu wollen.
Dazu hat das Rechenzentrum in der letzten Sitzung der SKR im November
des vergangenen Jahres als neuen Dienst die Prüfung der Einbruchsicherheit
von Abteilungsrechnern in Aussicht gestellt, im Fachjargon auch »friendly
attack« genannt.
Auf ausdrückliche Anordnung würde das Rechenzentrum die Rolle
des »freundlichen Attackierers« übernehmen und versuchen,
sich Zugang zu den betroffenen Institutsrechnern zu verschaffen, indem
es z. B. Sicherheitslücken, Unzulänglichkeit in Implementierungen
und Konfigurationen aufspürt. Diese sollten dann der auftraggebenden
Leitung der Hochschuleinrichtung offen dargelegt werden mit dem Ziele der
anschließenden Beseitigung.
Wir regen an, an das Rektorat heranzutreten mit der Bitte, (juristisch)
zu prüfen, ob sich dies in Einklang mit der bestehenden Netzordnung
und den zugehörigen Ausführungsbestimmungen durchführen
lässt. Sollte dies verneint werden müssen, erscheint eine Anpassung
der Ausführungsbestimmungen durch das Rektorat der gangbarste und
schnellste Weg.
(5) Aufbau einer Beratung
Ein wesentlicher Grunddienst des Rechenzentrum ist seit eh und je die
Beratung gewesen.
Diese Notwendigkeit hat insbesondere auch in Sicherheitsfragen ihre
Gültigkeit. Durch eine gute und kompetente Beratung kann im Vorfeld
späterer Schaden vermieden werden.
Der Gesamtkomplex der Sicherheit in der elektronischen Kommunikation
ist in beratender Form abzudecken, z. B. der sinnvolle Einsatz von Verschlüsselungstechniken,
ihre Integration in bestehende (Alltags-) Anwendungen, Hilfestellungen
zur Erhöhung der Sicherheit für die gängigsten Betriebssystemplattformen,
schnelle und nachvollziehbare Reaktionen auf alle sicherheitsrelevanten
Fragestellungen. Auch hier wird zusätzlicher Personalbedarf gesehen.
Auch ist zukünftig gerade im Sicherheitsbereich noch sehr viel
Neuland zu beschreiten, als Beispiel sei an dieser Stelle nur kurz auf
sichere Protokolle und deren großflächige Integration in bestehende
Netzstrukturen hingewiesen.
Die oben ausgeführten fünf Punkte werden von der eingesetzten
Arbeitsgruppe als die zzt. wesentlichsten angesehen. Sie sollten auch nicht
nacheinander, sondern möglichst parallel angegangen werden, um den
Sicherheitsgrad ein gutes Stück und so schnell wie möglich anzuheben
und zu verbessern.
Aachen, den 02.02.99
10 Literatur
-
Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der
öffentlichen Verwaltung an das Internet, erstellt vom Arbeitskreis
Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder,
Überarbeitete Fassung vom September 1998
-
Diverse Schriftstücke des DFN-CERT zum Thema Firewall sind über
die entsprechenden WWW-Seiten des DFN abrufbar.
-
BSI, IT-Grundschutzhandbuch 1998
-
Bayerisches Staatsministerium für Unterricht, Kultus, Wissenschaft
und Kunst, Sicherheit in Verwaltungs- und Kliniknetzen, 1998
-
Weitere Informationen unter http://www.sicherheit-im-internet.de/
-
C. Fries und andere: Entwurf - Konzept zur Sicherheit der Informationstechnik
an der Universität Paderborn (IT-Sicherheitskonzept), Paderborn, 22.03.1999
-
W. Held, H.-W. Kisker, Anwendung von Smart-Karten in Betrieben, Hochschulen
und Ämtern, Zentrum für Informationsverarbeitung der/Institut
für Angewandte Informatik an der Westfälischen Wilhelms-Universität
Münster, Entwurf vom 09.08.1999
-
W. Held, H.-W. Kisker, K. B. Mertz,
B. Neukäter, S. Ost, R. Perske, G. Richter, Prüfliste für
ein Sicherheitskonzept der IV, 1. Entwurf, Zentrum für Informationsverarbeitung
der Westfälischen Wilhelms-Universität Münster, Stand: 10.98
-
Diverse Abhandlungen zum Thema Sicherheit:
-
Regionales Rechenzentrum der Universität zu Köln (RRZK), http://www.uni-koeln.de/RRZK/
-
Rechenzentrum der Universität Stuttgart http://www.uni-stuttgart.de/RUS/
-
Rechenzentrum der Universität Freiburg http://www.ruf.uni-freiburg.de/rz/
-
Rechenzentrum der RWTH Aachen http://www.rwth-aachen.de/security
und http://www.rz.rwth-aachen.de
-
Diverse Begriffe (SSL, S/MIME, IPSEC, SSH, KERBEROS, ...) http://www.rsa.com/rsalabs/faq/html/
-
Microsoft, Virtual Private Networking: An Overview, 1999, http://msdn.microsoft.com/workshop/server/feature/vpnovw.asp
11 Anmerkungen
| 1 |
IV-Gesamtsystem = Menge aller IV-Geräte, IV-Netze, Software und
Personen zur Betreuung. |
| 2 |
Mit heterogenen System-Umgebungen sind Rechner sehr unterschiedlicher
Hersteller, Betriebssys-teme und Anwendungen gemeint. Manchmal sind die
Netze aus aktiven Komponenten verschiedener Hersteller zusammen geschaltet. |
| 3 |
Das Problem der sicheren Verschlüsselung von Daten, die für
mehrere Angehörige einer Einrichtung verfügbar sein müssen,
ist unter dem Schlagwort Enterprise Key Recovery bekannt (siehe dazu z.
B. den Artikel von Pohl, Cerny "Enterprise Key Recovery", Informatik Spektrum
4/99, S. 110-121). |
| 4 |
An verschiedenen Produkten ist vermerkt, ob sie im Zentrum für
Informationsverarbeitung (ZIV) vorhanden oder im Einsatz sind. Dies ist
für Nachfrager u. U. hilfreich, weil sie erkennen können, welche
Erfahrungen vorliegen. |
| 5 |
Die Ziffern der Gefahren beziehen sich im Folgenden immer auf die im
Abschnitt
1.1 genannten 4 verschiedenen Gefährdungen. |
| 6 |
Bemerkungen zu Secure Sockets Layer (SSL)
-
Von Netscape eingeführt für sicheren Informations-Austausch im
Internet
-
SSL ist derzeit in einer Reihe von Anwendungen (einige E-Mail-Systeme und
Netnews, WWW) eingebaut; ohne Einbau von SSL in die Produkte hat man wenig
Chancen SSL zu nutzen.
-
Verschlüsselung transparent für Nutzer, End-to-End-Verschlüsselung
-
Kein Tunneling, Geschwindigkeit akzeptabel, durch Gateways ist eine Umsetzung
zwischen SSL-geschützten und -ungeschützten Verbindungen möglich.
-
Verschlüsselung oberhalb der Transportschicht
-
SSL ist neuerdings unter dem Namen Transport Layer Security (TLS) standardisiert.
Die mögliche Alternative S-HTTP hat sich als Ersatz von HTTP nicht
durchgesetzt.
-
Transfer zwischen Servern verschiedener Betriebssysteme funktioniert in
der Regel auch, wenn SSL auf beiden im Einsatz ist.
-
SSL unterstützt UDP nicht, SSL setzt auf TCP-Socket auf.
|
| 7 |
(-) bedeutet, dass keine eigene Erfahrung vorliegt. |
| 8 |
Secure Shell (SSH) dient der verschlüsselten Unix/Unix-Kommunikation
und ist ein Ersatz für Telnet. SSH wird auch zum sicheren File Transfer
und X11-Verkehr genutzt. Schließlich ist SSH für die Unix-Server/PC-Kommunikation
einsetzbar. Sobald vielfältigere Funktionalität benötigt
wird, ist u.U. ein kommerzielles SSH-Produkt nötig. |
| 9 |
IT und IV werden synonym verwendet. |
| 10 |
USV = Unterbrechungsfreie Stromversorgung |
Zentrum für Informationsverarbeitung
(Universitätsrechenzentrum) / ziv@uni-muenster.de / 05.06.2001
/ Dr. W. Held
/ Zum Impressum