Fujitsu Stealth Datacenter und Sicherheits-Rack

Das Tarnkappen-Rechenzentrum

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska* / Ulrike Ostler

Seitenansicht des neuen Rack zur Erhöhung der Sicherheit im Datacenter.
Seitenansicht des neuen Rack zur Erhöhung der Sicherheit im Datacenter. (Bild: Fujitsu)

Probleme bei IPv4 und IPv6

Im Falle von IPv6 kommt das Deaktivieren der ICMP-Kommunikation als Workaround eigentlich gar nicht in Frage, denn hier zeichnet das Protokoll für integrale Teile der Kernfunktionalität des Netzwerks verantwortlich: Die Paketfragmentierungs-benachrichtigungen, die Nachbarsuche via NDP (Neighbor Discovery Protocol) und die zustandslose Adressenautokonfiguration (Stateless Address Autoconfiguration oder SLAAC) basieren alle auf ICMP. Viele der ICMP-Nachrichten werden zudem nicht an Unicast- sondern an Multicast-Adressen gesendet. NDP und SLAAC stellen potenziell gravierende Sicherheitslücken dar.

Es ist bisher nicht klar, ob beziehungsweise wie der Anbieter die ICMP-Problematik für IPv4 und IPv6 lösen konnte, damit das System im Netzwerk unsichtbar bleiben kann.

Der IETF liegt inzwischen seit Anfang 2015 ein von Microsoft eingereichter Entwurf für TCP Stealth, ein modifiziertes TCP-Handshake-Verfahren zum Einsatz von Authentifizierungstokens in TCP SYN-Paketen. Die vorgeschlagene Übergabe eines solchen Tokens beim Austausch der Anfangssequenznummer (TCP ISN, initial sequence number) zwischen dem Server und dem Client beim Verbindungsaufbau soll es dem Server ermöglichen, gegenüber nicht authentifizierten Clients in den Tarnmodus zu schalten (quasi von dem „Radar“ der Gegenseite verschwinden). Inwiefern Fujitsu ein ähnliches Konzept implementiert hat, ist bisher nicht klar.

Ein Fujitsu-Sprecher bezeichnete die Geheimhaltung technischer Details gegenüber DatacenterInsider als temporär und begründete diese mit noch nicht abgeschlossenen Patentverfahren.

Ergänzendes zum Thema
 
Das Fazit der Autoren: Ein Quantensprung

Paranoide Sicherheit

Wenn es um die Verwundbarkeit von IT-Systemen geht, gilt die Aufmerksamkeit der Unternehmen primär der Anbindung an das Internet. Fujitsu möchte mit dem Stealth Data Center auch eine manchmal nicht minder relevante Achillesferse adressiere: IT-Mitarbeiter und Dritte mit physischem Zugang zu der Hardware.

Das Sicherheits-Rack wurde wie ein Hi-Tech-Tresor konzipiert. Mit Hilfe von physischen Zugriffsbeschränkungen und einer Vielzahl von Tür- und Schock-Sensoren kann das Gerät den Diebstahl bzw. Austausch von Komponenten wie auch den Einbau von Spionage-Hardware verhindern. Die Mehrfaktorauthentifizierung beinhaltet biometrische Zugriffskontrolle per kontaktlosem Infrarot-Handvenenscan mittels „Palm Secure“, einer vielfach preisgekrönten Handvenenerkennungstechnologie von Fujitsu auf der Basis eines Nahinfrarotscanners, die sich bereits seit 2006 bewähren konnte.

Palm Secure kommt unter anderem in „Palm Lock“ zum Einsatz, einer biometrischen Zugangslösung für SAP auf der Basis der Echtzeitzugriffs.Management-Plattform „bio Lock. Die Registrierung für Palm Secure dauert weniger als eine Minute pro Person und die Authentifizierung an sich nimmt unter einer Sekunde in Anspruch.

Das Stealth Data Center protokolliert alle Aktivitäten am System wie auch dem Sicherheitsrack und kann, falls gewünscht, das Mehraugenprinzip erzwingen, um das System vor verantwortungslosem Handeln eines einzelnen Mitarbeiters zu schützen und das Risiko menschlicher Fehler zu minimieren.

Biometrische Zugriffskontrolle per kontaktlosem Infrarot-Handvenenscan - eine Erfindung von Fujitsu.
Biometrische Zugriffskontrolle per kontaktlosem Infrarot-Handvenenscan - eine Erfindung von Fujitsu. (Bild: Fujitsu)

Gekapselte Anwendungen auf dem Endgerät sollen dafür sorgen, dass Anwendungsdaten getrennt („abstrahiert“) von Betriebssystem und Hardware des Endgerätes verarbeitet werden. Die gekapselten Anwendungen laufen im Rechenzentrum und werden über eine verschlüsselte Verbindung zum Client gestreamt.

Durch die Überwachung des Arbeitsspeichers des Endgerätes sollen sich Manipulationen verhindern lassen. In Zukunft möchte Fujitsu weitere Maßnahmen zur Abwehr von Angriffen durch das Mitlesen von Tastatur- und Mauseingaben implementieren.

Fujitsu Stealth Datacenter wurde an den Standorten Augsburg, München und Paderborn entwickelt.
Fujitsu Stealth Datacenter wurde an den Standorten Augsburg, München und Paderborn entwickelt. (Bild: Fujitsu)

Digitale Souveränität: Developed in Germany

Fujitsu Stealth Data Center wurde in Augsburg, München und Paderborn entwickelt. Das Werk in Augsburg gilt als modernste Fertigungsstätte für IT-Systeme in Europa und beschäftigt über 1.500 Mitarbeiter. Fujitsu Technology Solutions ging aus dem Gemeinschaftsunternehmen Fujitsu Siemens Computers hervor und wird als Regionalgesellschaft des japanischen Konzerns geführt. Das Bayerische Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie verlieh dem Hersteller vor zwei Jahren den Bayerischen Qualitätspreis in der Kategorie „Industrie“.

*Die Autoren:

Filipe Pereira Martins und Anna Kobylinska arbeiten für McKinley Denali Inc. (USA)

TCP Stealth.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43576124 / Server)