Suchen

Grundlegende Sicherheitsüberlegungen für Netzwerke – Teil 4 Schwachstellen in Netzwerken und Absicherungsmaßnahmen der höheren Schichten

| Autor / Redakteur: Karin Winkler / Dipl.-Ing. (FH) Andreas Donner

In den letzten 30 Jahren hat sich die Erkenntnis durchgesetzt, dass man in den unteren Schichten mit Ausnahme relativ grober Maßnahmen gegen relativ grobe Fehler oder Ausfälle eigentlich recht wenig ausrichten kann. Ein interessanter Objektschutz beginnt daher in der Schicht 5. Ab hier werden auch die zu schützenden Objekte, die Angriffe und die Reaktionsmöglichkeiten differenziert und komplex.

Firmen zum Thema

Datenspione setzen an allen Schichten des ISO-OSI-Referenzmodells an – am wirkungsvollsten lassen sie sich in den oberen Schichten abwehren; Bild: Symantec
Datenspione setzen an allen Schichten des ISO-OSI-Referenzmodells an – am wirkungsvollsten lassen sie sich in den oberen Schichten abwehren; Bild: Symantec
( Archiv: Vogel Business Media )

In den wenigsten realen Systemen liegen die Schichten 5 bis 7 als isolierte Implementierungen vor. Vielmehr gibt es ein Betriebssystem als zentrale Schaltstelle, die Netzverbindungen mit ihren Protokollen wie TCP/IP sind I/O-Einrichtungen und die Endfunktionalitäten wie E-Mail, File Transfer usw. sind als Anwendungsprogramme des Betriebssystems realisiert. Genauso verwaltet das Betriebssystem alle Daten, auf welchem Medium sie auch immer vorliegen. Ein Angriff auf das Betriebssystem ist also besonders erfolgversprechend. Und genau da setzen auch die Abwehrmaßnahmen auf.

Sicherung der Information auf der Kommunikations-Steuerungsschicht

In einem realen System kann diese Schicht insbesondere dazu genutzt werden, das unautorisierte Binden von Prozessen für Kommunikationsaufgaben zu vermeiden. Ein Angreifer von außen hat, wenn er lediglich einen A-Zugriff auf ein Übertragungsmedium vollzogen hat, kaum Chancen, in den recht komplexen Protokollablauf einzugreifen, um eine Modifikation herbeizuführen.

Ein Angreifer von innen jedoch hat ggf. einen hohen Systemstatus. Mit diesem kann er sich eines Prozesses bemächtigen und diesen dazu veranlassen, Session-Arbeitseinheiten mit dem Aufbau von Verbindungen zu beauftragen. Die Kommunikations-Steuerungs-Schicht ist gegen diese Art von Angriffen schlecht zu schützen, es sei denn, man nimmt generell einen relativ hohen Overhead in Kauf und kompliziert die Verbindungsaufbauphase entsprechend.

Gehen wir jedoch vom ursprünglichen Szenario aus, so ist die Schicht fünf eher Bestandteil eines angeschlossenen Rechen-Systems als des Nachrichtentransportsystems und somit mit dessen Mechanismen vernünftig schützbar. Dies gilt besonders für die im Rahmen von Intranets verwendeten geschlossenen Realisierungen der Schichten 5 bis 7 mit den anwendungsorientierten Grunddiensten Telnet, FTP, SMTP und HTTP.

Sicherung der Information auf der Datendarstellungsschicht

Auf der Datendarstellungsschicht kann man mit den üblichen Maßnahmen wie komplizierte Verbindungsaufbauphase und schwierig zu fälschende Passwörter den Schutz generell flankieren. Als die die Darstellung von Daten hauptsächlich betreffende Schicht ist die Schicht 6 jedoch primär die Stelle für die Anwendung von Verschlüsselungsverfahren. Die Information, die die Schicht sechs verlässt, ist transparent für die anderen Schichten und wird von diesen nicht mehr weiter verändert, selbst wenn noch Kontrollinformation hinzugefügt wird.

Kryptographische Systeme arbeiten üblicherweise nach folgendem Modell:

  • Berechtigte Subjekte sind Sender und Empfänger eines Nachrichtentransportsystems. Nachrichten werden von einem Sender über einen Nachrichtenkanal an einen Empfänger übertragen.
  • Grundlage für die Interpretation von Nachrichten sind Nachrichten im Klartext. Ein Subjekt, das Nachrichten im Klartext kennt, kennt die den Nachrichten zugeordnete Information. Nachrichten können von Klartext in Kryptotext codiert und von Kryptotext in Klartext decodiert werden. Über den Nachrichtenkanal werden Kryptotexte übertragen.
  • Sender und Empfänger zeichnen sich als berechtigte Benutzer dadurch aus, dass sie Klartext in Kryptotext codieren und Kryptotext in Klartext decodieren können. Ein Sender erzeugt Nachrichten in Klartext und codiert diese in Kryptotext. Er sendet Kryptotext an den Empfänger. Der Empfänger empfängt Nachrichten im Kryptotext und decodiert diese in Klartext.
  • Nichtberechtigte Subjekte sind Code-Brecher. Sie haben wenigstens einen P-Zugriff auf den durch das Rechnernetz implementierten Nachrichtenkanal durchgeführt. Sie versuchen, Nachrichten von Kryptotext in Klartext zu decodieren. Das darf ihnen nicht gelingen!

Die Theorien um Kryptosysteme sind in der Literatur ausführlich beschrieben. Ohne weitergehende mathematische Ausführungen können wir an dieser Stelle nicht mehr näher darauf eingehen. Eines der wichtigsten Verfahren ist der Data Encryption Standard DES.

Geheimhaltung von Schlüsselinformationen

Ein weiteres Teilproblem, das bei Verwendung kryptographischer Verfahren auftritt, ist die Geheimhaltung der jeweils benutzten Schlüssel. Ein Verfahren hierzu besteht darin, zusätzlich zu dem eigentlichen Nachrichtenkanal einen sicheren Schlüsselkanal zu benutzen; dies dürfte in der Praxis sicherlich in den meisten Fällen unpraktikabel sein. Eine andere Möglichkeit zur Lösung dieses Teilproblems ergibt sich aus der Komplexitätstheorie und beruht auf der Existenz von Einwegfunktionen, also von Funktionen, die mit vertretbarem Aufwand zu berechnen sind, deren Inverse zu berechnen jedoch einen praktisch nicht zu leistenden Aufwand erfordert.

Es gibt in der praktischen Anwendung eine weitere interessante Klasse von kryptographischen Systemen, die eine Art Hintereinanderschaltung von Schlüsseln verwenden, nämlich die so genannten Public Key Systeme oder Systeme mit allbekannten Schlüsseln. Will man ein Nachrichtenübertragungssystem mit dieser Art von Codierung schützen, so muss man darauf achten, dass nicht auch die für einen Code-Brecher unwesentlichen Kontrollinformationen mit verschlüsselt werden, da sie nämlich ggf. durch eine Verschlüsselung für eine Partner-Kontroll-Instanz unleserlich werden.

All dies eignet sich grundsätzlich für die Anwendung in Intranets, aber nicht ohne sinnvollen Plan: die Sicherheitspolitik.

weiter mit: Probleme der Anwendungsschicht

(ID:2052462)