Suchen

Grundlegende Sicherheitsüberlegungen für Netzwerke – Teil 3

Schwachstellen in Netzwerken und Absicherungsmaßnahmen bis Layer 4

Seite: 3/3

Firmen zum Thema

Schwachstellen in der Vermittlungsschicht, Layer 3

Je nach betrachtetem System ist die Vermittlungsschicht sehr unterschiedlich ausgeprägt. Dringt ein Angreifer auf logischem Wege hierhin vor, kann er sich insbesondere strukturelle Information – bspw. Von Routing-Tafeln – verschaffen. Er kann dann durch das Einsetzen falscher Informationen den Nachrichtenfluss auf dem gesamten Netzwerk lahmlegen, wenn die Steuerungsalgorithmen unglücklich gewählt sind.

Viele Angriffe auf Internet/Intranets basieren auf Lücken im verwendeten IP-Protokoll.

Schutz für diese Schicht ist vor allem dann schwierig zu gewährleisten, wenn es Verkehrsflüsse gibt, die z.B. ein Gateway auf einem längeren Wege nur passieren und dieses Gateway nur die Rechtsumgebung der unmittelbar angeschlossenen Teilnetze kennt. Eine Sicherungspolitik muss dann alle Gateways erfassen und kann z.B. durch ein Verband-Modell dargestellt werden. Die Vermittlungsschicht in einer einzelnen Teilnehmer-Stelle ist weniger gefährdet. Außerdem enthält sie meist wenig für einen Angreifer relevante Information.

Es wird jedoch deutlich, dass es Stellen in einem Netzwerk gibt, die nur entweder unter sehr großem Aufwand oder gar nicht zu schützen sind. Es ist also notwendig, dafür Sorge zu tragen, dass in diesen Teilen ausgeführte Angriffe ohne große Wirkung bleiben.

Mit der neuen IP Version 6 (IPv6, IPnG) werden weitere Sicherheitsfunktionen verbunden und funktionale Mängel beseitigt. Allerdings ist die Qualität dieser Lösungen noch unklar. Ebenfalls besteht eine gewisse Wahrscheinlichkeit dafür, dass die Sicherheitsmaßnahmen während der Dauer des Versionenwechsels von IPv4 auf IPv6 (ca. 2 Jahre) wieder ausgehebelt werden. Außerdem weiß niemand mehr so recht, ob IP6 überhaupt in dem Maße kommen wird wie anfangs proklamiert.

Sicherung der Information auf der Transportschicht, Layer 4

Innerhalb der Verbindungsaufbauphase kann durch ein Mehrweg-Handshake die Etablierung einer logischen Verbindung abgesichert werden. Dabei können auch Passwörter Verwendung finden. Ein Angreifer Muss dann im Besitz dieser Passwörter sein.

Innerhalb eines verteilten Systems stellt sich das Problem der Verwaltung der Passwörter. Konnten in einem geschlossenen System die Passwörter von einem geschützten Verwalter gespeichert und ausgegeben werden, lässt sich diese Konstruktion auf ein offenes System nur mittelbar ausdehnen.

Eine Möglichkeit ist es, bei der Systeminitialisierung auf geschützten Wegen Passwörter auszutauschen. Niemand kann jedoch sicher sein, dass nicht eine Stelle von einem Angreifer vollständig akquiriert wird, so dass er sich auch in den Besitz der Passwörter bringen kann.

Besser ist es, einen mehrstufigen Berechtigungsschutz vorzunehmen, bei dem das Passwort transaktions- und benutzerabhängig ist. Ein Benutzer generiert dabei z.B. mittels einer externen und vom Netzwerk völlig getrennten Maschine einen Code, den er nur für eine Transaktion an das Rechensystem weitergibt.

Dieses erzeugt daraus z.B. die Passwörter für die Transportebene und weitere relevante Informationen in Zusammenarbeit mit entsprechender Software auf dem entfernten angesprochenen Knoten. Ein Angreifer auf ein solches System muss sich zunächst in den Besitz der externen Maschine bringen, also ein klassisches Kriminaldelikt begehen, bevor er den Angriff auf das Nachrichtensystem ausführen kann.

Während einer laufenden Transferphase ist das Eindringen sehr schwierig, da der Eindringling die logische Verbindung aufbrechen müsste. Dies kann jedoch durch den eigentlichen Nachrichtenstrom überlagernde Kontrollnachrichten verhindert werden. Auch hier ist also eine gewisse Redundanz Voraussetzung für die Schaffung von Sicherheit.

In der Verbindungsabbauphase sollte man darauf achten, dass es keine einseitig »hängenden«, unsanft und nicht definiert abgebauten Verbindungen gibt, da ein Angreifer diese leicht reaktivieren kann, ohne den Passwortschütz täuschen zu müssen.

Ein gutes Transportprotokoll bietet also die Möglichkeit eines geeigneten Schutzes im Zusammenwirken mit geeigneten unteren Schichten. Durch Codierung und zusätzlichen Einbau von Timeouts (»Zeitfallen«) kann dieser Schutz weiter erhöht werden. Letztlich konvergieren diese Maßnahmen gegen die Schutzvorrichtungen bei geschlossenen Systemen. Dies hängt damit zusammen, dass gerade die Schicht vier der Übergangspunkt zwischen der offenen und der geschlossenen Systemwelt ist.

Das Protokoll TCP hat die in der Folge 106 benannten Sicherheitsmängel. Es ist nicht abzusehen, dass bald eine in dieser Hinsicht verbesserte Version von TCP in breitem Maße eingesetzt werden kann. Mit dem Wechsel von IPv4 auf IPv6 ändert sich in dieser Hinsicht wenig.

(ID:2052460)