Suchen

Grundlegende Sicherheitsüberlegungen für Netzwerke – Teil 3 Schwachstellen in Netzwerken und Absicherungsmaßnahmen bis Layer 4

Autor / Redakteur: Karin Winkler / Dipl.-Ing. (FH) Andreas Donner

Äquivalent zum Anwendungsbereich eines Netzwerkes, also z.B. in der Bürokommunikation, in der Fertigungsumgebung oder als Fernnetz, werden Anforderungen bezüglich der Informationssicherheit an das Transportsystem gestellt. Wir werden zunächst die Einflüsse kategorisieren, die die Einhaltung dieser Anforderungen in Frage stellen, und danach die Einflüsse und Effekte sowie deren mögliche Abwehr bzw. Neutralisierung gemäß dem OSI-Schichtenmodell systematisieren.

Firmen zum Thema

Im ISO-OSI-Schichtenmodell gibt es auf allen Layern ausreichend Angriffsmöglichkeiten auf die Informationssicherheit; Bild: www.wikipedia.de
Im ISO-OSI-Schichtenmodell gibt es auf allen Layern ausreichend Angriffsmöglichkeiten auf die Informationssicherheit; Bild: www.wikipedia.de
( Archiv: Vogel Business Media )

Die Effekte, die die Informationssicherheit nachrichtentransportierender Netzwerksysteme negativ beeinflussen, lassen sich in Abstraktion von den Komponenten wie folgt kategorisieren:

  • P-Zugriff: Gefährdung der Informationssicherheit durch Dritte ohne direkte Manipulation an Systemkomponenten mit dem Ziel der Nutzung originaler Daten (»lesen«, »abhören«, »passive Spionage«).
  • A-Zugriff: (Manipulation) Gefährdung der Informationssicherheit durch Manipulation Dritter an Systemkomponenten mit dem Ziel der Nutzung oder der Verfälschung originaler Daten (»schreiben«, »aktive Spionage«).
  • S-Ereignis: Gefährdung der Informationssicherheit entweder durch Manipulation Dritter an Systemkomponenten mit dem Ziel der Veränderung der Funktionalität bzw. der Außerbetriebsetzung (»Sabotage«) oder durch das System selbst ohne Fremdeinwirkung durch Ausfall von Systemkomponenten (»mangelnde Zuverlässigkeit«). Die erste Gruppe wollen wir als aktive S-Ereignisse, die zweite Gruppe als passive S-Ereignisse bezeichnen.

Im Allgemeinen setzen A-Zugriffe P-Zugriffe voraus, wenn der Spion z.B. zunächst unauffällig Kenntnis über interne Strukturen, Formate usw. erlangen will. Durch Dritte ausgelöste S-Ereignisse entsprechen entweder mechanischer Zerstörung oder setzen A-Zugriffe voraus, z.B. zur gezielten Schädigung von Software. Viren gehören ebenfalls zu den S-Ereignissen.

Schwachstellen in der Schicht 0, Medium

Die Schicht 0 umfasst die Übertragungsmedien als solche. Bei verdrillten Leitungen und Koaxialkabeln kann, da diese durch die bei der Übertragung von Nachrichten auftretenden magnetischen Wechselfelder in Kontakt zur Umwelt stehen, durch gewollte Ausnutzung des Nebensprecheffektes der P-Zugriff leicht herbeigeführt werden. Es kann sogar zu einem unbeabsichtigten P-Zugriff kommen.

Der P-Zugriff wird vom Netz keinesfalls bemerkt, da er nur einen ohnehin vorhandenen Effekt ausnutzt. Insbesondere bei WANs, die teilweise Telefonleitungen benutzen oder mit Telefongesprächen zusammen Daten vermitteln, steht dem P-Zugriff Tür und Tor auf.

Im Rahmen einer strukturierten Verkabelung werden die »Enden« der Kabel besser überwacht. Es ist nicht so einfach, sich an das Netz anzuschließen, liegt ein abgeschlossener Technikraum vor, Muss man sich erst Zugang zu diesem verschaffen, da das Abhören einzelner Leitungen im Allgemeinen. nicht viel bringt, es sei denn, man hat ein spezielles Ziel im Auge, welches an einem Gerät arbeitet, das mit dieser Leitung verbunden ist. Bei Lichtwellenleitern (Lwl) ist der P-Zugriff technisch aufwendig. Funkübertragung besteht sozusagen nur aus P-Zugriffen. Sie muss also ohnehin besonders geschützt werden.

Einfach angezapft

Die Technik mancher LANs vor allem im Ethernet-Bereich mit Koaxialkabel lässt es zu, dass die metallischen Leiter während des laufenden Betriebs »angezapft« werden, um z.B. neue Endgeräte flexibel einzubringen. Stellt ein Angreifer die Verbindung auf die gleiche Weise, z.B. mittels eines TAPs her, so wird dies vom Netzwerk nicht bemerkt. Der Angreifer hat dann nachrichtentechnisch alle Möglichkeiten eines A-Zugriffs.

Fernnetze haben auch hier wieder besondere Probleme, da es unmöglich ist, ein gesamtes Netz völlig physikalisch zu überwachen. Findet ein Angreifer eine Stelle, an der er seinen Angriff in Ruhe vorbereiten und durchführen kann, ist die Wahrscheinlichkeit einer Entdeckung äußerst gering. A-Zugriffe auf strukturierte Verkabelung haben entweder wenig Effekt oder setzen das Eindringen in den Technikraum voraus.

Passive S-Ereignisse treten mit sehr geringer Wahrscheinlichkeit auf. Aktive S-Ereignisse, wie mechanische Zerstörung, Zerstörung durch Säure oder Überhitzung betreffen alle Medien etwa gleich stark. Weitere aktive S-Ereignisse sind von außen induzierte Störungen, die die Funktionalität herabsetzen. Bei verdrillten Leitungen und Koaxialkabeln können sie in Art des P-Zugriffs realisiert werden.

Fernnetze unterliegen zudem den Einflüssen allgemeiner Katastrophen wie Bränden, Stürmen und Überschwemmungen.

Zum elementaren Basisschutz gehören bauliche Maßnahmen, wobei die Trennung von Benutzern und Technik vorrangig ist. Alle wichtigen Vermittlungsgeräte wie Hubs, Switches, Brücken, Router aber auch Server gehören in abgeschlossene Technikräume, zu denen nur qualifiziertes Personal Zutritt hat.

weiter mit: Schwachstellen der Bitübertragungsschicht, Layer 1

Schwachstellen der Bitübertragungsschicht, Layer 1

In dieser Schicht kommen aktive Komponenten zum Tragen. Grundsätzlich sind sie als anfälliger gegen jede Art von Angriffen anzusehen. Es interessieren hier insbesondere die Geräte (Kommunikationsgeräte und Datenverarbeitungsgeräte) und bei LAN die Topologien.

Geräte sind im allgemeinen sehr verletzlich. Unter Ausnutzung elektromagnetischer Effekte können Geräte leicht und unbemerkt P-Zugriffen unterliegen. A-Zugriffe sind schwieriger unauffällig zu realisieren. Von den aktiven S-Ereignissen sind Herabsetzung der Funktionalität bzw. Zerstörung durch gewollt induzierte Hochspannung die wichtigsten. Passive S-Ereignisse wollen wir hier nicht weiter besprechen.

Betreibt man ein Stern-LAN auf HUB-Basis mit strukturierter Verkabelung oder Nebenstellenanlage, hängen P-Zugriffe bei dieser Topologie vom verwendeten Übertragungsmedium ab. A-Zugriffe können die Informationssicherheit vor allem bei großen Zentralen oder Hubs beeinflussen. Ein A-Zugriff wird vornehmlich dadurch erreicht, dass sich der Spion an die umfangreiche Zentrale auf einem legalen Weg anzuschließen versucht. Die Entdeckung hängt dann von seiner Aktivität und der Komplexität der Installation ab. Aktive Komponenten sind mit aufwendigen Abhörmethoden fast immer zu durchdringen. Je umfangreicher eine Zentrale bei aktiven Sternen ist, desto wahrscheinlicher ist ein passives S-Ereignis. Zentralen müssen daher besonders geschützt werden, wobei eine räumliche Distribution der Zentraleinheit sowie die Schaffung von Redundanz geeignete Mittel zur Erhöhung der Sicherheit sind.

Mittel gegen aktive S-Ereignisse

Die Distribution ist das einzige geeignete Mittel gegen aktive S-Ereignisse, da z.B. nach einem Software-Eingriff in eine Zentrale den anderen Teilzentralen das abnorme Verhalten ggf. schneller auffällt als einer Zentrale, die sich selbst beobachtet. Auch gegen mechanische oder elektrisch induzierte Störungen sind verteilte Zentralen besser geschützt.

Ein Vorteil der strukturierten Verkabelung ist es, dass man nur genau ein Endgerät mit einer Leitung versorgt. Sollten in diesem Zusammenhang Unregelmäßigkeiten auftreten, können sie schnell bemerkt werden. Bei einem ordentlichen Netzwerk- und System-Management sind unbenutzte Buchsen zwar in der Wand physisch verfügbar und auch mit einem Kabel zur Zentrale versehen, aber in der Zentrale nicht angeschlossen bzw. inaktiviert. Ein Spion darf sich also gerne an derartige Buchsen anschließen.

Allerdings gibt es hier ein neues Gefährdungspotential: Ganz moderne strukturierte Verkabelungen werden im Zusammenhang mit virtuellen Netzen nicht mehr von Hand gepatcht, sondern elektronisch mit Hilfe eines Netzwerk-Management-Systems. Die meisten heute bekannten Management-Systeme basieren aber auf dem SNMP-Protokoll. Dies ist, wie wir wissen, in seiner Grundversion überhaupt nicht abgesichert. In Zusammenhang mit einem elektronischen Patchfeld ergeben sich für einen intelligenten Angreifer damit wunderbare Möglichkeiten der Aufschaltung auf beliebige Leitungen durch Manipulation der SNMP-Pakete in der Weise, dass der Angreifer für kurze Zeit vorgibt, die verwaltende Station zu sein. In einem hinreichend großen Netz wird dies nicht so schnell bemerkt.

Schwachstellen in der Sicherungsschicht, Layer 2

CSMA-Protokolle sind wie geschaffen für einen Angreifer, der bereits einen A-Zugriff auf das Busmedium durchgeführt hat. Er kann dann anderen Stationen, die natürlich wiederum A-Zugreifer sein können, Nachrichten zuschicken, sofern er sich an das gegenüber der Quelle des Verkehrs völlig blinde Verfahren hält.

Eine Station, die ein Paket erhält, ist im Allgemeinen nicht in der Lage, ohne zusätzliche Maßnahmen die Quelle der Information auszumachen. Auf diese Weise ist die Basis dafür gegeben, dass der A-Zugriff auf höhere Schichten ausgedehnt werden kann. CSMA-Systeme sind nicht fähig, ein durch S-Ereignisse geschädigtes System zu rekonfigurieren.

Die im IEEE 802-Standard vorgeschlagene logische Verbindungskontrolle LLC ist ein erhebliches Hindernis für einen Angreifer. Durch die speziellen Phasen einer Verbindungsdurchführung ist er gezwungen, sich bei weitergehenden A-Zugriffen in diesen logischen Kreislauf einzuschalten, wobei er durch verschiedene Hürden gehindert werden kann. Die LLC ist weiterhin in der Lage, dem System-Management Fehlerfälle oder Auffälligkeiten mitzuteilen und eine programmierte Reaktion auszulösen.

weiter mit: Schwachstellen in der Vermittlungsschicht, Layer 3

Schwachstellen in der Vermittlungsschicht, Layer 3

Je nach betrachtetem System ist die Vermittlungsschicht sehr unterschiedlich ausgeprägt. Dringt ein Angreifer auf logischem Wege hierhin vor, kann er sich insbesondere strukturelle Information – bspw. Von Routing-Tafeln – verschaffen. Er kann dann durch das Einsetzen falscher Informationen den Nachrichtenfluss auf dem gesamten Netzwerk lahmlegen, wenn die Steuerungsalgorithmen unglücklich gewählt sind.

Viele Angriffe auf Internet/Intranets basieren auf Lücken im verwendeten IP-Protokoll.

Schutz für diese Schicht ist vor allem dann schwierig zu gewährleisten, wenn es Verkehrsflüsse gibt, die z.B. ein Gateway auf einem längeren Wege nur passieren und dieses Gateway nur die Rechtsumgebung der unmittelbar angeschlossenen Teilnetze kennt. Eine Sicherungspolitik muss dann alle Gateways erfassen und kann z.B. durch ein Verband-Modell dargestellt werden. Die Vermittlungsschicht in einer einzelnen Teilnehmer-Stelle ist weniger gefährdet. Außerdem enthält sie meist wenig für einen Angreifer relevante Information.

Es wird jedoch deutlich, dass es Stellen in einem Netzwerk gibt, die nur entweder unter sehr großem Aufwand oder gar nicht zu schützen sind. Es ist also notwendig, dafür Sorge zu tragen, dass in diesen Teilen ausgeführte Angriffe ohne große Wirkung bleiben.

Mit der neuen IP Version 6 (IPv6, IPnG) werden weitere Sicherheitsfunktionen verbunden und funktionale Mängel beseitigt. Allerdings ist die Qualität dieser Lösungen noch unklar. Ebenfalls besteht eine gewisse Wahrscheinlichkeit dafür, dass die Sicherheitsmaßnahmen während der Dauer des Versionenwechsels von IPv4 auf IPv6 (ca. 2 Jahre) wieder ausgehebelt werden. Außerdem weiß niemand mehr so recht, ob IP6 überhaupt in dem Maße kommen wird wie anfangs proklamiert.

Sicherung der Information auf der Transportschicht, Layer 4

Innerhalb der Verbindungsaufbauphase kann durch ein Mehrweg-Handshake die Etablierung einer logischen Verbindung abgesichert werden. Dabei können auch Passwörter Verwendung finden. Ein Angreifer Muss dann im Besitz dieser Passwörter sein.

Innerhalb eines verteilten Systems stellt sich das Problem der Verwaltung der Passwörter. Konnten in einem geschlossenen System die Passwörter von einem geschützten Verwalter gespeichert und ausgegeben werden, lässt sich diese Konstruktion auf ein offenes System nur mittelbar ausdehnen.

Eine Möglichkeit ist es, bei der Systeminitialisierung auf geschützten Wegen Passwörter auszutauschen. Niemand kann jedoch sicher sein, dass nicht eine Stelle von einem Angreifer vollständig akquiriert wird, so dass er sich auch in den Besitz der Passwörter bringen kann.

Besser ist es, einen mehrstufigen Berechtigungsschutz vorzunehmen, bei dem das Passwort transaktions- und benutzerabhängig ist. Ein Benutzer generiert dabei z.B. mittels einer externen und vom Netzwerk völlig getrennten Maschine einen Code, den er nur für eine Transaktion an das Rechensystem weitergibt.

Dieses erzeugt daraus z.B. die Passwörter für die Transportebene und weitere relevante Informationen in Zusammenarbeit mit entsprechender Software auf dem entfernten angesprochenen Knoten. Ein Angreifer auf ein solches System muss sich zunächst in den Besitz der externen Maschine bringen, also ein klassisches Kriminaldelikt begehen, bevor er den Angriff auf das Nachrichtensystem ausführen kann.

Während einer laufenden Transferphase ist das Eindringen sehr schwierig, da der Eindringling die logische Verbindung aufbrechen müsste. Dies kann jedoch durch den eigentlichen Nachrichtenstrom überlagernde Kontrollnachrichten verhindert werden. Auch hier ist also eine gewisse Redundanz Voraussetzung für die Schaffung von Sicherheit.

In der Verbindungsabbauphase sollte man darauf achten, dass es keine einseitig »hängenden«, unsanft und nicht definiert abgebauten Verbindungen gibt, da ein Angreifer diese leicht reaktivieren kann, ohne den Passwortschütz täuschen zu müssen.

Ein gutes Transportprotokoll bietet also die Möglichkeit eines geeigneten Schutzes im Zusammenwirken mit geeigneten unteren Schichten. Durch Codierung und zusätzlichen Einbau von Timeouts (»Zeitfallen«) kann dieser Schutz weiter erhöht werden. Letztlich konvergieren diese Maßnahmen gegen die Schutzvorrichtungen bei geschlossenen Systemen. Dies hängt damit zusammen, dass gerade die Schicht vier der Übergangspunkt zwischen der offenen und der geschlossenen Systemwelt ist.

Das Protokoll TCP hat die in der Folge 106 benannten Sicherheitsmängel. Es ist nicht abzusehen, dass bald eine in dieser Hinsicht verbesserte Version von TCP in breitem Maße eingesetzt werden kann. Mit dem Wechsel von IPv4 auf IPv6 ändert sich in dieser Hinsicht wenig.

(ID:2052460)