inforum 1/2006 - Netzseitige IT-Sicherheitsmaßnahmen des ZIV 2006
1/2006 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
ImpressumNetzseitige IT-Sicherheitsmaßnahmen des ZIV 2006
Netzseitige Maßnahmen zur IT-Sicherheit ermöglichen an lokalen Bedarf angepasste Schutzfunktionen und zeigen nachweisbare Erfolge.
Das ZIV hatte im inforum Nr.1/2005 »netzseitige IT-Sicherheitsmaßnahmen« vorgestellt, die auf einer hierarchischen Strukturierung des Netzes unter unmittelbarer Einbettung von wichtigen Sicherheitsfunktionen beruhen: stateless und stateful packet screening, Intrusion-Prevention sowie differenzierter VPN-Zugang.
Der vorliegende Artikel ist nur eine erste Fortschreibung dieses Beitrags. Dazu beitragen sollen auch die hier folgenden Artikel zum Stateful-Packet-Screening-Service und zum VPN-Service. In einer nächsten inforum-Ausgabe soll dann detaillierter auf den netzbasierten Intrusion-Prevention-Service, den Stateless-Packet-Screening-Service und weitere Maßnahmen zur Strukturierung eingegangen werden.
Notwendige Schlüsseltechnologie ist die Virtualisierung für LAN-, Routing- und Sicherheitsfunktionen (vgl. [1]). Als unabdingbar wird die Selbstverwaltungsmöglichkeit für die Sicherheitsbelange vor Ort (Mandantenfähigkeit) angesehen. Netzstrukturierung und ihre Implementierung sind ohnehin als langfristige Prozesse anzusehen, die laufend an die sich verändernde Bedarfssituation angepasst werden müssen. Dennoch sind in vielen Bereichen der Universität und des Universitätsklinikums kontinuierlich Strukturierungsmaßnahmen durchgeführt worden, die das Sicherheitsniveau verbessert haben.
Musterhaft konnte in einem Pilotprojekt für das Zentrum für Zahn-, Mund- und Kieferheilkunde (ZMK) im Universitätsklinikum (UKM) vorgegangen werden. Unter Zusammenarbeit der lokalen IT-Verantwortlichen, dem IT-Zentrum des UKM und dem ZIV wurde eine Netzzone »ZMK« innerhalb der Netzzone »UKM« konzipiert; die Netzzone »ZMK« selbst ist unterstrukturiert in derzeit 18 ebenfalls neu geschaffene Netzzonen, die unterschiedlichsten Zwecken bei unterschiedlichen personellen Zuständigkeiten dienen und die unterschiedlichen Sicherheitsbedürfnissen unterliegen (vgl. Abb. 1):
7 Netzzonen für Arbeitsplatzrechner entsprechend der Vielzahl der Arbeitsbereiche bzw. Kliniken,
1 Systemadministratorenzone,
5 Server-Netzzonen für einzelne Kliniken oder gemeinsame interne Nutzung sowie für externe Nutzung (z. B. Web-Server),
3 Sonderzonen (Veranstaltungsräume, TV-Studio, zentrale Drucker),
2 Zonen für den VPN-Zugang unterschiedlicher Personenkreise (mit unterschiedlichen Rollen und entsprechenden Rechten beim Zugang zu anderen Netzzonen)
Abb. 1: Struktur der Netzzone ZMK (weitgehend anonymisiert)
Alle Netzzonen innerhalb der Zone »ZMK« unterliegen wechselseitig einer Einschränkung der Zugangsmöglichkeiten, ebenso gegenüber dem externen Netz (übergeordnete Netzzonen bis hin zum Internet), indem stateless packet screening angewendet wird. Hier kommt die neueste Switch-Technologie zum Einsatz (Cisco Catalyst 6509), die es erlaubt, über einen eigenen »virtuellen Router« für die Netzzone »ZMK« Interfaces mit so genannten ACLs (Access-Control-Listen) für die einzelnen Netzzonen einzurichten. Die Vorgehensweise ist hier in der Regel eine restriktiv, um ein möglichst hohes Schutzniveau zu erreichen: Kommunikation, die nicht ausdrücklich erlaubt ist, wird durch ACLs strikt unterbunden.
Während Switch-basierte ACLs eine Zugangskontrolle ohne Leistungseinbußen und ohne besonderen Investitionsaufwand ermöglichen und deshalb im großen Umfang einsetzbar sind, können Stateful-Packet-Screening- und Intrusion-Prevention-Funktionen nur an strategisch ausgezeichneten Punkten in der Netztopologie eingebettet werden. Im ZMK-Projekt wurden diese Funktionen deshalb nur einmal, für die gesamte Netzzone »ZMK« eingerichtet. Entsprechende Schutzfunktionen wirken nur auf den Datenverkehr von und nach »außen«, nicht aber zwischen den untergeordneten Netzzonen.
Stateful packet screening (Cisco Firewall Service Module) soll zunächst beispielsweise dazu verwendet werden, Rechnern in Arbeitsplatznetzzonen zu ermöglichen, Verbindungen nach außen zu initiieren, während das Öffnen von Verbindungen von außen (Internet, allgemein Systeme außerhalb der Netzzone »ZMK«) in der Regel unterbunden wird. Intrusion-Prevention-Funktionen erhöhen für alle Systeme in der Netzzone ZMK die Sicherheit in Bezug auf solche Angriffe, die hier ebenfalls von außen erfolgen und für deren Typus die verwendete Intrusion-Prevention-Appliance (McAfee Intrushield 4000) aktiviert wurde. Gerade diese Sicherheitsfunktion erwies sich sehr schnell als sehr wertvoll, nicht nur weil die Gerätestatistik eine Vielzahl geblockter Angriffe regelmäßig nachweisen konnte, sondern auch weil anfangs unerwünschter Datenverkehr »von innen nach außen« registriert werden musste, der Hinweise auf problembehaftete Endgeräte in der Netzzone und zu einer Bereinigung Anlass gab. Auch der gezielte Zugang über VPN (authentifiziert, 3DES-verschlüsselt) unmittelbar in verschiedene Netzzonen innerhalb der Netzzone »ZMK«, je nach Autorisierung, wurde realisiert.
Den Erfolg dieses Projektes »ZMK« mag man auch daran ablesen, dass das Universitätsklinikum sich entschlossen hat, diese Sicherheitstechnologie und -strategie in Zusammenarbeit mit dem ZIV weiter auszubauen. Ein unmittelbar nächster Schritt wird beispielsweise der Einsatz einer Intrusion-Prevention-Instanz über der Netzzone »UKM« sein.
Eine weitere Anwendung für die beschriebenen Sicherheitsmaßnahmen hier sind Zugänge aus externen Bereichen (Remote Access System, »RAS-Bereich«). Gemeint sind die Einwahlzugänge über ISDN- und Analogverbindungen, der authentifizierte Zugang über frei zugängliche LAN-Anschlüsse (pLANet) und Funk-LAN-Zellen der Universität sowie Zugänge aus Studierendenwohnheimen. Seit langem ist dieser Bereich, über den ja zumeist private Rechner an das Universitätsnetz gekoppelt werden, problematisch, weil uns darüber eine Vielzahl von Beschwerden erreicht, die mühsam im ZIV-CERT bearbeitet werden müssen. Ursache ist häufig ein infizierter Rechner in diesem Zugangsbereich. Als eine besonders wichtige Sicherheitsmaßnahme wurde deshalb das Netz so umstrukturiert, dass der gesamte RAS-Bereich auf oberster Hierarchieebene vom übrigen Netz getrennt wurde (vgl. Abb. 2, Netzzone Wissenschaftsnetz Münster, Netzzonen RAS-I und RAS-O). Gleichzeitig wurde eine Intrusion-Prevention-Instanz an der Stelle eingebettet, an der der RAS-Datenverkehr in das lokale Netz endgültig und in Gesamtheit eintritt (RAS-O). Der Erfolg dieser Maßnahme war ganz erheblich, in der Größenordnung wurde mindestens eine Drittelung der CERT-Vorfälle erzielt.
Abb. 2: Struktur der hierarchisch obersten Netzzone (WNM)
Für die Universität ist bereits vorbereitet auch eine Intrusion-Prevention-Instanz oberhalb der Netzzone der Universität (vgl. Abb. 2, Netzzone UNI) einzubetten, eine Aktivierung kann in wenigen Wochen erfolgen.
[1] G. Richter et al., 2006: »Schutz großer Netze«, in: 13. DFN-CERT Workshop »Sicherheit in vernetzten Systemen«, Hrsg.: Chr. Paulsen
1/2006 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
Impressum
Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)
