Schwachstellen der Informationssicherheit in Netzen und Absicherungsmaßnahmen bis zur Schicht 5

Kommentieren Drucken
Teil 52 von 71 aus der Serie "Professionelle Datenkommunikation"
Alle Artikel der Serie "Professionelle Datenkommunikation":

Äquivalent zum Anwendungsbereich eines Netzwerkes, also z. B. in der Bürokommunikation, in der Fertigungsumgebung oder als Fernnetz, werden Anforderungen bezüglich der Informationssicherheit an das Transportsystem gestellt. Wir werden zunächst die Einflüsse, die die Einhaltung dieser Anforderungen in Frage stellen, kategorisieren und danach die Einflüsse und Effekte sowie deren mögliche Abwehr bzw. Neutralisierung gemäß des OSI-Schichtenmodells systematisieren.

Die Effekte, die die Informationssicherheit nachrichtentransportierender Netzwerksysteme negativ beeinflussen, lassen sich in Abstraktion von den Komponenten wie folgt kategorisieren:

P-Zugriff: Gefährdung der Informationssicherheit durch Dritte ohne direkte Manipulation an Systemkomponenten mit dem Ziel der Nutzung originaler Daten (»lesen«, »abhören«, »passive Spionage«).

A-Zugriff: (Manipulation) Gefährdung der Informationssicherheit durch Manipulation Dritter an Systemkomponenten mit dem Ziel der Nutzung oder der Verfälschung originaler Daten (»schreiben«, »aktive Spionage«).

S-Ereignis: Gefährdung der Informationssicherheit entweder durch Manipulation Dritter an Systemkomponenten mit dem Ziel der Veränderung der Funktionalität bzw. der Außerbetriebsetzung (»Sabotage«) oder durch das System selbst ohne Fremdeinwirkung durch Ausfall von Systemkomponenten (»mangelnde Zuverlässigkeit«). Die erste Gruppe wollen wir als aktive S-Ereignisse, die zweite Gruppe als passive S-Ereignisse bezeichnen.

Im Allgemeinen setzen A-Zugriffe P-Zugriffe voraus, wenn z. B. der Spion zunächst unauffällig Kenntnis über interne Strukturen, Formate usf. erlangen will. Durch Dritte ausgelöste S-Ereignisse entsprechen entweder mechanischer Zerstörung oder setzen A-Zugriffe voraus, z. B. zur gezielten Schädigung von Software.

Viren gehören auch zu diesen S-Ereignissen.

Schwachstellen in der Schicht 0, Medium

Die Schicht 0 umfasst die Übertragungsmedien als solche. Bei verdrillter Leitung  kann, da sie durch die bei der Übertragung von Nachrichten auftretenden magnetischen Wechselfelder in Kontakt zur Umwelt stehen, durch gewollte Ausnutzung des Nebensprecheffektes der P-Zugriff leicht herbeigeführt werden. Es kann sogar zu einem unbeabsichtigten P-Zugriff kommen. Der P-Zugriff wird vom Netz keinesfalls bemerkt, da er nur einen ohnehin vorhandenen Effekt ausnutzt. Insbes. bei WAN, die teilweise Telefonleitungen benutzen oder mit Telefongesprächen zusammen Daten vermitteln, steht dem P-Zugriff Tür und Tor auf. Im Rahmen einer strukturierten Verkabelung werden die »Enden« der Kabel besser überwacht. Es ist nicht so einfach, sich an das Netz anzuschließen, liegt ein abgeschlossener Technikraum vor, Muss man sich erst Zugang zu diesem verschaffen, da das Abhören einzelner Leitungen im Allgemeinen. nicht viel bringt, es sei denn, man hat ein spezielles Ziel im Auge, welches an einem Gerät, was mit dieser Leitung verbunden ist, arbeitet. Bei Lichtwellenleitern (Lwl) ist der P-Zugriff technisch aufwendig. Funkübertragung besteht sozusagen nur aus P-Zugriffen. Sie muss also ohnehin besonders geschützt werden.

Die Technik mancher LANs lässt es zu, dass die metallischen Leiter während des laufenden Betriebs »angezapft« werden, um z. B. neue Endgeräte flexibel einzubringen. Stellt ein Angreifer die Verbindung auf die gleiche Weise, z. B. mittels eines TAPs her, so wird dies vom Netzwerk nicht bemerkt. Der Angreifer hat dann nachrichtentechnisch alle Möglichkeiten eines A-Zugriffs. Fernnetze haben auch hier wieder besondere Probleme, da es unmöglich ist, ein gesamtes Netz völlig physikalisch zu überwachen. Findet ein Angreifer eine Stelle, an der er seinen Angriff in Ruhe vorbereiten und durchführen kann, ist die Wahrscheinlichkeit einer Entdeckung äußerst gering. A-Zugriffe auf strukturierte Verkabelung haben entweder wenig Effekt oder setzen das Eindringen in den Technikraum voraus.

Passive S-Ereignisse treten mit sehr geringer Wahrscheinlichkeit auf. Aktive S-Ereignisse, wie mechanische Zerstörung, Zerstörung durch Säure oder Überhitzung betreffen alle Medien etwa gleich stark. Weitere aktive S-Ereignisse sind von außen induzierte Störungen, die die Funktionalität herabsetzen. Bei verdrillten Leitungen können sie in Art des P-Zugriffs realisiert werden.

Fernnetze unterliegen zudem den Einflüssen allgemeiner Katastrophen wie Bränden , Wirbelstürmen und Überschwemmungen.

Zum elementaren Basisschutz gehören bauliche Maßnahmen, wobei die Trennung von Benutzern und Technik vorrangig ist. Alle wichtigen Vermittlungsgeräte wie Hubs, Switches, Brücken, Router aber auch Server gehören in abgeschlossene Technikräume, zu denen nur qualifiziertes Personal Zutritt hat.

Schwachstellen der Schicht 1, Bitübertragungsschicht

In dieser Schicht kommen aktive Komponenten zum Tragen. Grundsätzlich sind sie als anfälliger gegen jede Art von Angriffen anzusehen. Es interessieren hier insbes. die Geräte (Kommunikationsgeräte und Datenverarbeitungsgeräte) und bei LAN die Topologien. Geräte sind im Allgemeinen sehr verletzlich. Unter Ausnutzung elektromagnetischer Effekte können Geräte leicht und unbemerkt P-Zugriffen unterliegen. A-Zugriffe sind schwieriger unauffällig zu realisieren. Von den aktiven S-Ereignissen sind Herabsetzung der Funktionalität bzw. Zerstörung durch gewollt induzierte Hochspannung die wichtigsten. Passive S-Ereignisse wollen wir hier nicht weiter besprechen. Betreibt man ein Stern-LAN auf HUB-Basis mit strukturierter Verkabelung oder Nebenstellenanlage, hängen P-Zugriffe bei dieser Topologie vom verwendeten Übertragungsmedium ab. A-Zugriffe können die Informationssicherheit vor allem bei großen Zentralen oder Hubs beeinflussen. Ein A-Zugriff wird vornehmlich dadurch erreicht, dass sich der Spion an die umfangreiche Zentrale auf einem legalen Weg anzuschließen versucht. Die Entdeckung hängt dann von seiner Aktivität und der Komplexität der Installation ab. Aktive Komponenten sind mit aufwendigen Abhörmethoden fast immer zu durchdringen. Je umfangreicher eine Zentrale bei aktiven Sternen ist, desto wahrscheinlicher ist ein passives S-Ereignis. Zentralen müssen daher besonders geschützt werden, wobei eine räumliche Distribution der Zentraleinheit sowie die Schaffung von Redundanz geeignete Mittel zur Erhöhung der Sicherheit sind.

Die Distribution ist das einzige geeignete Mittel gegen aktive S-Ereignisse, da z. B. nach einem Software-Eingriff in eine Zentrale den anderen Teilzentralen das abnorme Verhalten ggf. schneller auffällt als einer Zentrale, die sich selbst beobachtet. Auch gegen mechanische oder elektrisch induzierte Störungen sind verteilte Zentralen besser geschützt.

Ein Vorteil der strukturierten Verkabelung ist es, dass man nur genau ein Endgerät mit einer Leitung versorgt. Sollten in diesem Zusammenhang Unregelmäßigkeiten auftreten, können sie schnell bemerkt werden. Bei einem ordentlichen Netzwerk- und System-Management sind unbenutzte Buchsen zwar in der Wand physisch verfügbar und auch mit einem Kabel zur Zentrale versehen, aber in der Zentrale nicht angeschlossen bzw. inaktiviert. Ein Spion darf sich also gerne an derartige Buchsen anschließen. Allerdings gibt es hier ein neues Gefährdungspotential: Ganz moderne strukturierte Verkabelungen werden im Zusammenhang mit virtuellen Netzen nicht mehr von Hand gepatcht, sondern elektronisch mit Hilfe eines Netzwerk-Management-Systems. Die meisten heute bekannten Management-Systeme basieren aber auf dem Protokoll SNMP. Dies ist, wie wir wissen, in seiner Grundversion überhaupt nicht abgesichert. In Zusammenhang mit einem elektronischen Patchfeld ergeben sich für einen intelligenten Angreifer wunderbare Möglichkeiten der Aufschaltung auf beliebige Leitungen durch Manipulation der SNMP-Pakete in der Weise, dass der Angreifer für kurze Zeit vorgibt, die verwaltende Station zu sein. In einem hinreichend großen Netz wird dies nicht so schnell bemerkt.

Schwachstellen in der Schicht 2, Sicherungsschicht

CSMA-Protokolle sind wie geschaffen für einen Angreifer, der bereits einen A-Zugriff auf das Busmedium durchgeführt hat. Er kann dann anderen Stationen, die natürlich wiederum A-Zugreifer sein können, Nachrichten zuschicken, sofern er sich an das gegenüber der Quelle des Verkehrs völlig blinde Verfahren hält. Eine Station, die ein Paket erhält, ist im Allgemeinen nicht in der Lage, ohne zusätzliche Maßnahmen die Quelle der Information auszumachen. Auf diese Weise ist die Basis dafür gegeben, dass der A-Zugriff auf höhere Schichten ausgedehnt werden kann. CSMA-Systeme sind nicht fähig, ein durch S-Ereignisse geschädigtes System zu rekonfigurieren.

Die im IEEE 802-Standard vorgeschlagene logische Verbindungskontrolle LLC ist ein erhebliches Hindernis für einen Angreifer. Durch die speziellen Phasen einer Verbindungsdurchführung ist er gezwungen, sich bei weitergehenden A-Zugriffen in diesen logischen Kreislauf einzuschalten, wobei er durch verschiedene Hürden gehindert werden kann. Die LLC ist weiterhin in der Lage, dem System-Management Fehlerfälle oder Auffälligkeiten mitzuteilen und eine programmierte Reaktion auszulösen.

Schwachstellen in der Schicht 3, Vermittlungsschicht

Je nach betrachtetem System ist die Vermittlungsschicht sehr unterschiedlich ausgeprägt. Dringt ein Angreifer auf logischem Wege hierhin vor, kann er sich insbes. strukturelle Information verschaffen, wie z. B. die in Routing-Tafeln vorhandene. Er kann durch das Einsetzen falscher Informationen den Nachrichtenfluss auf dem gesamten Netzwerk lahmlegen, wenn die Steuerungsalgorithmen unglücklich gewählt sind.

Viele Angriffe auf Internet/Intranets basieren auf Lücken im verwendeten IP-Protokoll.

Schutz für diese Schicht ist vor allem dann schwierig zu gewährleisten, wenn es Verkehrsflüsse gibt, die z. B. ein Gateway nur als eines auf einem längeren Wege passieren und das Gateway nur die Rechtsumgebung der unmittelbar angeschlossenen Teilnetze kennt. Eine Sicherungspolitik muss dann alle Gateways erfassen und kann z. B. durch ein Verband-Modell dargestellt werden. Die Vermittlungsschicht in einer einzelnen Teilnehmer-Stelle ist weniger gefährdet. Außerdem enthält sie meist wenig für einen Angreifer relevante Information.

Es wird jedoch deutlich, dass es Stellen in einem Netzwerk gibt, die nur entweder unter sehr großem Aufwand oder gar nicht zu schützen sind.
Es ist also notwendig, dafür Sorge zu tragen, dass in diesen Teilen ausgeführte Angriffe ohne große Wirkung bleiben.

Mit der neuen IP Version 6, IPnG, werden weitere Sicherheitsfunktionen verbunden und funktionale Mängel beseitigt. Allerdings ist die Qualität dieser Lösungen noch unklar. Ebenfalls besteht eine gewisse Wahrscheinlichkeit dafür, dass die Sicherheitsmaßnahmen während der Dauer des Versionenwechsels von IPv4 auf IPv6 (ca. 2 Jahre) wieder ausgehebelt werden.

Sicherung der Information auf der Schicht 4, Transportschicht

Innerhalb der Verbindungsaufbauphase kann durch ein Mehrweg-Handshake die Etablierung einer logischen Verbindung abgesichert werden. Dabei können auch Passwörter Verwendung finden. Ein Angreifer Muss im Besitz dieser Passwörter sein. Innerhalb eines Verteilten Systems stellt sich das Problem der Verwaltung der Passwörter. Konnten in einem geschlossenen System die Passwörter von einem geschützten Verwalter gespeichert und ausgegeben werden, lässt sich diese Konstruktion auf ein Offenes System nur mittelbar ausdehnen.

Eine Möglichkeit ist es, bei der Systeminitialisierung auf geschützten Wegen Passwörter auszutauschen. Niemand kann jedoch sicher sein, dass nicht eine Stelle von einem Angreifer vollständig akquiriert wird, so dass er sich auch in den Besitz der Passwörter bringen kann.

Besser ist es, einen mehrstufigen Berechtigungsschutz vorzunehmen, bei dem das Passwort transaktions- und benutzerabhängig ist. Ein Benutzer generiert z. B. mittels einer externen und vom Netzwerk völlig getrennten Maschine einen Code, den er nur für eine Transaktion an das Rechensystem weitergibt.

Dieses erzeuge daraus z. B. die Passwörter für die Transportebene und weitere relevante Informationen in Zusammenarbeit mit entsprechender Software auf dem entfernten angesprochenen Knoten. Ein Angreifer auf ein solches System muss sich zunächst in den Besitz der externen Maschine bringen, also ein klassisches Kriminaldelikt begehen, bevor er den Angriff auf das Nachrichtensystem ausführen kann.

Während einer laufenden Transferphase ist das Eindringen sehr schwierig, da der Eindringling die logische Verbindung aufbrechen müsste. Dies kann jedoch durch den eigentlichen Nachrichtenstrom überlagernde Kontrollnachrichten verhindert werden. Auch hier ist also eine gewisse Redundanz Voraussetzung für die Schaffung von Sicherheit.

In der Verbindungsabbauphase sollte man darauf achten, dass es keine einseitig »hängenden«, unsanft und nicht definiert abgebauten Verbindungen gibt, da ein Angreifer diese leicht reaktivieren kann, ohne den Passwort schütz täuschen zu müssen.

Ein gutes Transportprotokoll bietet also die Möglichkeit eines geeigneten Schutzes im Zusammenwirken mit geeigneten unteren Schichten. Durch Codierung und zusätzlichen Einbau von Timeouts (»Zeitfallen«) kann dieser Schutz weiter erhöht werden. Letztlich konvergieren diese Maßnahmen gegen die Schutzvorrichtungen bei geschlossenen Systemen. Dies hängt damit zusammen, dass gerade die Schicht vier der Übergangspunkt zwischen der offenen und der geschlossenen Systemwelt ist.

Das Protokoll TCP hat die in der Folge 31 benannten Sicherheitsmängel. Es ist nicht abzusehen, dass bald eine in dieser Hinsicht verbesserte Version von TCP in breitem Maße eingesetzt werden kann.

Sicherung der Information auf der Schicht 5, Kommunikations-Steuerungsschicht

In einem realen System kann diese Schicht insbesondere dazu genutzt werden, das unautorisierte Binden von Prozessen für Kommunikationsaufgaben zu vermeiden. Ein Angreifer von außen hat, wenn er lediglich einen A-Zugriff auf ein Übertragungsmedium vollzogen hat, kaum Chancen, in den recht komplexen Protokollablauf einzugreifen, um eine Modifikation herbeizuführen.

Ein Angreifer von innen jedoch hat ggf. einen hohen Systemstatus. Mit diesem kann er sich eines Prozesses bemächtigen und diesen dazu veranlassen, Session-Arbeitseinheiten mit dem Aufbau von Verbindungen zu beauftragen. Die Kommunikations-Steuerungs-Schicht ist gegen diese Art von Angriffen schlecht zu schützen, es sei denn, man nimmt generell einen relativ hohen Overhead in Kauf und kompliziert die Verbindungsaufbauphase entsprechend.

Gehen wir jedoch vom ursprünglichen Szenario aus, so ist die Schicht fünf eher Bestandteil eines angeschlossenen Rechen-Systems als des Nachrichtentransportsystems und somit mit dessen Mechanismen vernünftig schützbar. Dies gilt besonders für die im Rahmen von Intranets verwendeten geschlossenen Realisierungen der Schichten 5-7 mit den anwendungsorientierten Grunddiensten Telnet, FTP, SMTP und HTTP.

« Teil 51: Objekte in vernetzten und verteilten SystemenTeil 53: Sicherung der Information ab der Datendarstellungsschicht »


zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.