14.02.2002
Sichere Netzwerke durch „Hardware-Schotts“
Dieser Text ist vom 14.02.2002 und könnte inhaltlich veraltet sein.
Trübe Aussichten für Hacker: Trennungssysteme riegeln Backends ab – Technik aus Trier
Hacker, Viren und Trojaner: Die Verwundbarkeit von
Backoffice-Systemen bleibt die entscheidende Hemmschwelle für die
Verbreitung von E-Business-Applikationen. Als Lösung des Problems
kündigt sich nun die physikalische Trennung von internen
Firmennetzwerken und Internet als neuer Standard in Sachen
Network-Security an: Die Air-Gap-Technologie.
Nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) war es nur ein Vorgeschmack auf das, was in Zukunft noch zu erwarten ist: der „Code-Red-Wurm“. Durch eine - bereits bekannte - Hintertür in Microsofts IIS-Software infizierte er mehr als eine Million Server und legte diese ganz oder teilweise lahm. Den Gesamtschaden beziffert das Marktforschungsinstitut Computer Economics auf 2,6 Milliarden US-Dollar. Größere Schäden sind zu befürchten, bislang werden unbekannte Angriffstechniken verwendet, gegen die herkömmliche Abwehrmaßnahmen kaum Schutz bieten.
Jüngste Hackerattacken scheinen umso kritischer, als vor allem Real-Time-Access auf sensitive Ressourcen über Web-Applikationen oder E-Mail-Systeme für viele Unternehmen oder Behörden längst an der Tagesordnung sind. Doch wer Geschäftspartnern, Kunden oder Außendienstlern selektive Zugriffsrechte einräumt, möchte nicht zugleich potenzielle Einfallstore für ungebetene Dritte öffnen.
Experten sind sich einig: Ein Höchstmaß an Sicherheit lässt sich nur erzielen, indem die Gefahrenquelle abgekoppelt, also keine unmittelbare Verbindung zwischen Internet und Intranet zugelassen wird. Eine Technologie, die dieses Konzept als neues Paradigma in Sachen Netzwerk-Sicherheit aufgreift, ist die Air-Gap-Technologie.
Bei den 'E-Gap' oder 'Lock-Keeper' genannten Lösungen handelt es sich um physikalische Trennungssysteme, die das Backend hermetisch gegen die Außenwelt abriegeln. „Das Verfahren der physikalischen Netztrennung vervollständigt das bekannte Spektrum an Schutzmechanismen wie Firewalls, Intrusion Detection oder Anti-Viren-Systemen und bietet Anwendern einen zusätzlichen effektiven Schutz ihres Netzwerkes“, erläutert Henry Hanau, Bereichsleiter Network Consulting bei der Security Networks AG.
„Die Air-Gap-Technologie ist ein sinnvolles und Kosten sparendes Komplementärsystem für IT-Sicherheitsarchitekturen“, resümiert Frank Schlottke, Geschäftsführer der Applied Security GmbH.
Neues Sicherheitsparadigma
Air-Gap-Systeme werden in Deutschland u. a. als „ Lock-Keeper“ des Trierer Instituts für Telematik oder als „E-Gap“ von dem israelischen Anbieter Whale Communications angeboten.
Realisiert wird die Sicherheitsschleuse, die eine permanente Netztrennung garantiert, bei dem „Lock-Keeper“ mit insgesamt drei Linux-Rechnern. Der äußere Rechner stellt die Verbindung zum Internet her, auf dem zweiten Rechner ist die Steuerungssoftware für das mechanische Relais installiert, der dritte Rechner sorgt für die Verbindung in das interne LAN.
Der Lock-Keeper arbeitet wie eine Schleuse, die Datenpakete von außen nach innen transportiert. Das System sorgt dafür, dass eine Verbindung entweder zwischen Innen- und Außenrechner oder aber zwischen Außen-Server und Internet besteht – und nie ein direkter Kontakt zwischen Innenrechner und Internet.
Alle Daten aus dem Intranet werden zum Intranet-Server gesendet und analysiert. Erst bei geöffneter Innenschleuse gelangen die bereinigten Informationen auf den Lock-Server-Server. Der kann die Datenpakete erst dann weiter zum Internet-Server senden, wenn sich die innere Schleuse geschlossen hat. Dann erst baut der Lock-Keeper die Verbindung zum Internet auf, öffnet das zweite Schleusentor. Zwar können zu diesem Zeitpunkt sowohl berechtigte als auch unberechtigte Zugriffe von außen auf den Lock-Keeper-Server erfolgen, dennoch bleibt das interne Computernetz unangetastet, da keine physikalische Verbindung besteht, solange der Weg in das Internet geöffnet ist. Wird dieser dann im letzten Schritt wieder verschlossen und der Weg vom Lock-Keeper-Server zum Intranet-Server geöffnet, können infizierte Dateien zwar bis dorthin gelangen, sie können aber, je nach Wunsch, verschieden intensiv analysiert werden, ohne dass eine Online-Verbindung besteht. „Von höchster Bedeutung ist, dass zu keinem Zeitpunkt beide Schleusentore gleichzeitig geöffnet sind“, sagt Institutsleiter Professor Christoph Meinel.
Geeignet bei höchsten Sicherheitsanforderungen für Datenübertragungen
Das System eignet sich insbesondere für Verbindungen, bei denen der systembedingte geringe Zeitversatz in der Übertragung nichts ausmacht. Haupteinsatzbereich für den Lock-Keeper sieht das Trierer Institut insbesondere bei Organisationen mit Hochsicherheitsanforderungen für Datenübertragungen in Ergänzung zu Firewalls.
Für Anwendungen, die einen hohen Datendurchsatz bzw. keine verzögerte Datenübertragung erfordern, eignet sich das „E-Gap“ der israelischen Firma Whale Communications.
Um Hackern jede Chance zu nehmen, arbeitet das E-Gap-System mit zwei Servern:
Ein externer ist mit der Außenwelt verbunden, ein interner Server ist an die Sicherheitszone angebunden, den Datentransport zwischen diesen Servern übernimmt das völlig autonome Speichermodul 'E-Disk'.
Die Zugriffsmöglichkeiten der beiden Server enden jeweils auf der E-Disk, auf die zu einem gegebenen Zeitpunkt nur einer dieser Server zugreifen kann. Ein Datentransfer ist daher jeweils nur auf einem Teilstrecken-Abschnitt möglich. Unter keinen Umständen aber - selbst der Administrator kann dies nicht erzwingen - existiert eine durchgängige Datenleitung zwischen Außenwelt und Innenserver bzw. Backoffice. Backoffice-Systeme können so wirkungsvoll nach außen hin abgeschottet werden.
Die E-Disk speichert zunächst alle eingehenden Daten zwischen, noch vor der Weitergabe ins interne Netz erfolgt dann eine umfassende Analyse. Zudem trennt E-Gap beispielsweise alle TCP/IP-Header säuberlich ab, so dass lediglich die Anwendungsdaten an den Innenserver gelangen. Die Rohdaten werden dann im 'Quarantäne-Sektor' entschlüsselt und auf Virenbefall, Format und Identität der Gegenstelle geprüft.
Gerade sicherheitskritische Backoffice-Systeme erreichen mit dieser Technologie ein höheres Sicherheitsniveau hinsichtlich ihrer Internet-Anbindung, weil auch unbekannte Sicherheitsrisiken bereits im Vorfeld ausgeschaltet werden. Denn nur wenn sich keinerlei Anomalien zeigen, werden die Daten bzw. Anfragen an das interne Netzwerk weitergeleitet, Hacker-Angriffe werden somit jederzeit systembedingt abgewehrt.
Luftloch schafft Sicherheit – Hacker ohne Chance
Dieses 'Luftloch' (Air-Gap) zwischen den Datenwelten verhindert, dass manipulierte Codes aus dem Cyberspace in die internen Anlagen eindringen können. 'Die Unterbrechung der direkten TCP/IP-Kommunikation zwischen unsicheren und sicheren Netzen durch ein Trennungssystem kann schutzwürdige Netze wirkungsvoll vor auf TCP/IP basierenden Angriffen schützen“, so Björn Dehms, Sicherheitsexperte im BSI.
Trotz umfassender Prüfung der so transportierten Daten kommt es zu keinem spürbaren Zeitverzug, der Datendurchsatz eines E-Gap-Systems liegt bei rund 100 Megabit pro Sekunde und lässt sich bei Bedarf noch steigern.
„Die Umgehung des Systems durch Hacker ist ausgeschlossen“ , so Manfred Melzer vom Beratungshaus computer & competence GmbH. Da eine Vielzahl von Bedrohungsszenarien schon systembedingt entfallen, erübrigt sich zudem weitgehend die Notwendigkeit der Nachrüstung mit Software-Patches.
Bewährt hat sich E-Gap erst kürzlich im Zusammenhang mit den Code-Red-Attacken. Während Hunderttausende von Servern infiltriert wurden, haben die mit E-Gap bestückten Anlagen standgehalten und alle unzulässigen Anfragen ins Leere laufen lassen.
Beeindruckt zeigt sich der IT-Security-Experte Ludger Rook, CCI GmbH in Meppen, und lobt den 'massiven Zuwachs an Sicherheit' durch Air-Gap-Systeme. „Hacker könnten sich bloß noch in der so genannten demilitarisierten Zone austoben. Das Backoffice aber wird für sie unerreichbar.'
Harald Kesberg
Mehr zu diesem Thema: www.ti.fhg.de
Nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) war es nur ein Vorgeschmack auf das, was in Zukunft noch zu erwarten ist: der „Code-Red-Wurm“. Durch eine - bereits bekannte - Hintertür in Microsofts IIS-Software infizierte er mehr als eine Million Server und legte diese ganz oder teilweise lahm. Den Gesamtschaden beziffert das Marktforschungsinstitut Computer Economics auf 2,6 Milliarden US-Dollar. Größere Schäden sind zu befürchten, bislang werden unbekannte Angriffstechniken verwendet, gegen die herkömmliche Abwehrmaßnahmen kaum Schutz bieten.
Jüngste Hackerattacken scheinen umso kritischer, als vor allem Real-Time-Access auf sensitive Ressourcen über Web-Applikationen oder E-Mail-Systeme für viele Unternehmen oder Behörden längst an der Tagesordnung sind. Doch wer Geschäftspartnern, Kunden oder Außendienstlern selektive Zugriffsrechte einräumt, möchte nicht zugleich potenzielle Einfallstore für ungebetene Dritte öffnen.
Experten sind sich einig: Ein Höchstmaß an Sicherheit lässt sich nur erzielen, indem die Gefahrenquelle abgekoppelt, also keine unmittelbare Verbindung zwischen Internet und Intranet zugelassen wird. Eine Technologie, die dieses Konzept als neues Paradigma in Sachen Netzwerk-Sicherheit aufgreift, ist die Air-Gap-Technologie.
Bei den 'E-Gap' oder 'Lock-Keeper' genannten Lösungen handelt es sich um physikalische Trennungssysteme, die das Backend hermetisch gegen die Außenwelt abriegeln. „Das Verfahren der physikalischen Netztrennung vervollständigt das bekannte Spektrum an Schutzmechanismen wie Firewalls, Intrusion Detection oder Anti-Viren-Systemen und bietet Anwendern einen zusätzlichen effektiven Schutz ihres Netzwerkes“, erläutert Henry Hanau, Bereichsleiter Network Consulting bei der Security Networks AG.
„Die Air-Gap-Technologie ist ein sinnvolles und Kosten sparendes Komplementärsystem für IT-Sicherheitsarchitekturen“, resümiert Frank Schlottke, Geschäftsführer der Applied Security GmbH.
Neues Sicherheitsparadigma
Air-Gap-Systeme werden in Deutschland u. a. als „ Lock-Keeper“ des Trierer Instituts für Telematik oder als „E-Gap“ von dem israelischen Anbieter Whale Communications angeboten.
Realisiert wird die Sicherheitsschleuse, die eine permanente Netztrennung garantiert, bei dem „Lock-Keeper“ mit insgesamt drei Linux-Rechnern. Der äußere Rechner stellt die Verbindung zum Internet her, auf dem zweiten Rechner ist die Steuerungssoftware für das mechanische Relais installiert, der dritte Rechner sorgt für die Verbindung in das interne LAN.
Der Lock-Keeper arbeitet wie eine Schleuse, die Datenpakete von außen nach innen transportiert. Das System sorgt dafür, dass eine Verbindung entweder zwischen Innen- und Außenrechner oder aber zwischen Außen-Server und Internet besteht – und nie ein direkter Kontakt zwischen Innenrechner und Internet.
Alle Daten aus dem Intranet werden zum Intranet-Server gesendet und analysiert. Erst bei geöffneter Innenschleuse gelangen die bereinigten Informationen auf den Lock-Server-Server. Der kann die Datenpakete erst dann weiter zum Internet-Server senden, wenn sich die innere Schleuse geschlossen hat. Dann erst baut der Lock-Keeper die Verbindung zum Internet auf, öffnet das zweite Schleusentor. Zwar können zu diesem Zeitpunkt sowohl berechtigte als auch unberechtigte Zugriffe von außen auf den Lock-Keeper-Server erfolgen, dennoch bleibt das interne Computernetz unangetastet, da keine physikalische Verbindung besteht, solange der Weg in das Internet geöffnet ist. Wird dieser dann im letzten Schritt wieder verschlossen und der Weg vom Lock-Keeper-Server zum Intranet-Server geöffnet, können infizierte Dateien zwar bis dorthin gelangen, sie können aber, je nach Wunsch, verschieden intensiv analysiert werden, ohne dass eine Online-Verbindung besteht. „Von höchster Bedeutung ist, dass zu keinem Zeitpunkt beide Schleusentore gleichzeitig geöffnet sind“, sagt Institutsleiter Professor Christoph Meinel.
Geeignet bei höchsten Sicherheitsanforderungen für Datenübertragungen
Das System eignet sich insbesondere für Verbindungen, bei denen der systembedingte geringe Zeitversatz in der Übertragung nichts ausmacht. Haupteinsatzbereich für den Lock-Keeper sieht das Trierer Institut insbesondere bei Organisationen mit Hochsicherheitsanforderungen für Datenübertragungen in Ergänzung zu Firewalls.
Für Anwendungen, die einen hohen Datendurchsatz bzw. keine verzögerte Datenübertragung erfordern, eignet sich das „E-Gap“ der israelischen Firma Whale Communications.
Um Hackern jede Chance zu nehmen, arbeitet das E-Gap-System mit zwei Servern:
Ein externer ist mit der Außenwelt verbunden, ein interner Server ist an die Sicherheitszone angebunden, den Datentransport zwischen diesen Servern übernimmt das völlig autonome Speichermodul 'E-Disk'.
Die Zugriffsmöglichkeiten der beiden Server enden jeweils auf der E-Disk, auf die zu einem gegebenen Zeitpunkt nur einer dieser Server zugreifen kann. Ein Datentransfer ist daher jeweils nur auf einem Teilstrecken-Abschnitt möglich. Unter keinen Umständen aber - selbst der Administrator kann dies nicht erzwingen - existiert eine durchgängige Datenleitung zwischen Außenwelt und Innenserver bzw. Backoffice. Backoffice-Systeme können so wirkungsvoll nach außen hin abgeschottet werden.
Die E-Disk speichert zunächst alle eingehenden Daten zwischen, noch vor der Weitergabe ins interne Netz erfolgt dann eine umfassende Analyse. Zudem trennt E-Gap beispielsweise alle TCP/IP-Header säuberlich ab, so dass lediglich die Anwendungsdaten an den Innenserver gelangen. Die Rohdaten werden dann im 'Quarantäne-Sektor' entschlüsselt und auf Virenbefall, Format und Identität der Gegenstelle geprüft.
Gerade sicherheitskritische Backoffice-Systeme erreichen mit dieser Technologie ein höheres Sicherheitsniveau hinsichtlich ihrer Internet-Anbindung, weil auch unbekannte Sicherheitsrisiken bereits im Vorfeld ausgeschaltet werden. Denn nur wenn sich keinerlei Anomalien zeigen, werden die Daten bzw. Anfragen an das interne Netzwerk weitergeleitet, Hacker-Angriffe werden somit jederzeit systembedingt abgewehrt.
Luftloch schafft Sicherheit – Hacker ohne Chance
Dieses 'Luftloch' (Air-Gap) zwischen den Datenwelten verhindert, dass manipulierte Codes aus dem Cyberspace in die internen Anlagen eindringen können. 'Die Unterbrechung der direkten TCP/IP-Kommunikation zwischen unsicheren und sicheren Netzen durch ein Trennungssystem kann schutzwürdige Netze wirkungsvoll vor auf TCP/IP basierenden Angriffen schützen“, so Björn Dehms, Sicherheitsexperte im BSI.
Trotz umfassender Prüfung der so transportierten Daten kommt es zu keinem spürbaren Zeitverzug, der Datendurchsatz eines E-Gap-Systems liegt bei rund 100 Megabit pro Sekunde und lässt sich bei Bedarf noch steigern.
„Die Umgehung des Systems durch Hacker ist ausgeschlossen“ , so Manfred Melzer vom Beratungshaus computer & competence GmbH. Da eine Vielzahl von Bedrohungsszenarien schon systembedingt entfallen, erübrigt sich zudem weitgehend die Notwendigkeit der Nachrüstung mit Software-Patches.
Bewährt hat sich E-Gap erst kürzlich im Zusammenhang mit den Code-Red-Attacken. Während Hunderttausende von Servern infiltriert wurden, haben die mit E-Gap bestückten Anlagen standgehalten und alle unzulässigen Anfragen ins Leere laufen lassen.
Beeindruckt zeigt sich der IT-Security-Experte Ludger Rook, CCI GmbH in Meppen, und lobt den 'massiven Zuwachs an Sicherheit' durch Air-Gap-Systeme. „Hacker könnten sich bloß noch in der so genannten demilitarisierten Zone austoben. Das Backoffice aber wird für sie unerreichbar.'
Harald Kesberg
Mehr zu diesem Thema: www.ti.fhg.de
