IP als Herausforderung für die Sicherheit

07.11.07

Kategorie: Netze im Wandel

Gerhard Kafka: IP als Herausforderung für die Sicherheit

Wenn ich heute die Zeit um 20 Jahre zurückdrehe wird mir klar, warum ich damals so skeptisch gegenüber dem Internet-Protokollstack TCP/IP gewesen bin. Als gelernter Nachrichtentechniker bin ich es gewohnt, dass jeder an ein öffentliches Netzwerk angeschlossene Teilnehmer eindeutig identifiziert werden kann. Das begann so beim analogen Fernsprechnetz und setzte sich über die Datennetze ATM, X.25 und Frame Relay bis zu dem hier in Deutschland immer noch weit verbreiteten ISDN fort. Dies gilt auch für die Mobilfunknetze der zweiten und dritten Generation sowie WiMAX, das sich allerdings noch in der Einführungsphase befindet.

Sämtliche zuvor genannten Netzwerke haben übrigens Eines gemeinsam: Jeder physikalischen Teilnehmeranschlussleitung - egal ob über die Übertragungsmedien Kupfer, Glas oder Funk realisiert – ist eine eindeutige Rufnummer zugeordnet. Das heißt praktisch, dass in diesen klassischen Netzen in der Regel der Urheber einer Verbindung festgestellt werden kann. Zudem arbeiten die klassischen Netze verbindungsorientiert, was soviel bedeutet, dass vor jeder Kommunikationsverbindung geprüft wird, ob der gewünschte Partner auch in dem Augenblick erreichbar ist oder der Anschluss gerade besetzt ist. Der Angerufene hat zudem die Möglichkeit, den Verbindungswunsch abzulehnen. Schöne heile alte Kommunikationswelt. Mit dem Internet und IP als Transportprotokoll ist nun alles ganz anders geworden.

Umfangreiche Sicherheitsvorkehrungen unabdingbar
Warum ist denn der IP-Protokollstack so angreifbar? Nun könnte hier eine detaillierte Abhandlung über dessen Vorteile und Nachteile stehen, was aber nicht geplant ist. Vielmehr möchte ich versuchen, die gravierenden Schwachstellen hervorzuheben. Da hilft zunächst die Feststellung, dass IP zu den verbindungslosen Protokollen zählt. Erst durch das Transportprotokoll TCP wird die Verbindungsorientierung hergestellt und die Informationsübertragung Ende-zu-Ende gegen Verluste und Übertragungsfehler gesichert. Wird anstelle von TCP jedoch UDP eingesetzt, dann bleibt die Kommunikation verbindungslos. An dieser Stelle muss ich es einmal loswerden: Sprache wird mit VoIP über UDP transportiert. Man hat also einen verbindungsorientierten Kommunikationsdienst auf eine verbindungslose Plattform aufgesetzt. Das muss auch so sein, denn die Sprachkommunikation findet in Echtzeit statt und es besteht keine Möglichkeit, verlorene Sprachpakete so wie bei der Datenübertragung zu wiederholen. Und VoIP funktioniert ja doch, weil man das Fehlen der Verbindungsorientierung durch ein zusätzliches Protokoll RTP und RTCP ausgleicht. Dieser Overhead und natürlich auch noch der der Ebenen zwei und drei sind der Grund, warum für das 64 kbit/s Sprachsignal jetzt plötzlich fast die doppelte Datenrate – das ist in jedem Fall gegeben, wenn VoIP über VPN-Tunnels mit IPsec transportiert wird - bereitgestellt werden muss. Aber das wollte ich nur nebenbei erwähnen.

Weiter mit der Unsicherheit von IP. Anders als bei den klassischen Transportprotokollen ist eine IP-Adresse nicht an einen festen physikalischen Anschluss gebunden. Nicht genug damit, IP-Adressen werden z.B. durch NAT und Anonymizer bzw. Anonymisierer versteckt bzw. umgewandelt. Dahinter stehen Systeme, z.B. Proxy Server, die einem Benutzer helfen, seine Anonymität im Internet und vor allem im World Wide Web zu wahren. Einen dritten Grund möchte ich nicht verschweigen, denn er stellt aus meiner Sicht den eigentlichen Unsicherheitsfaktor von IP dar: die IP-Adresse. Mit diesem Parameter werden nämlich gleich zwei Funktionen gemeinsam gesteuert. Bekanntlich besteht eine IP-Adresse aus den beiden Teilen Netz und Host. Mit dem ersten Teil werden die Netzwerke verbunden und die Informationen geroutet und der zweite Teil adressiert die Endgeräte.

Bei der Entwicklung des IP-Protokolls vor über 30 Jahren wurde bewusst eine offene und hochverfügbare Plattform geschaffen. Bekanntlich bestand die Aufgabe darin, drei Netze des amerikanischen Verteidigungsministeriums, die nicht direkt miteinander kommunizieren konnten zu verbinden und gleichzeitig eine ausfallsichere Infrastruktur zu schaffen. Dass heute rund eine Milliarde Webbenutzer diese Plattform täglich verwenden konnte damals niemand voraussehen. Und das Thema Sicherheit stand ebenfalls nicht auf der Agenda.

Web Sicherheit kostet
Keine Sicherheit kann (sehr) teuer werden! Damit möchte ich schlicht und einfach zum Ausdruck bringen, dass die unbestritten attraktive IP-Plattform zusätzliche Investitionen in die Sicherheit erfordert. Und wir wissen alle, dass es 100% Sicherheit nicht geben kann. Trotzdem werden die Netzwerke der nächsten Generation (NGN) auf der Basis von IP gebaut. Das hat sowohl für die Betreiber als auch Benutzer einige Vorteile wie z.B. Kostenreduktion bei Beschaffung und Betrieb, Multiservice-Fähigkeit und Flexibilität bzw. unbegrenzte Skalierbarkeit.

Aber es führt auch dazu, dass wir heute immer komplexeren Netzwerken gegenüberstehen und vielen Angriffen ausgesetzt sind. Wenn wir das Bild betrachten, dann wird jedem sofort klar, dass die folgende Punkte die allgegenwärtigen IP-Netze charakterisieren:
Sie sind schwierig zu managen und
Anfällig für menschliche Fehler
Sie erfordern umfangreiche Erfahrung in der Administration und
Eine grössere Komplexität erhöht die Angriffsmöglichkeiten.

Zum Glück war die einschlägige Industrie nicht untätig und hat eine Reihe von Tools entwickelt, um die Sicherheit in IP-Netzen zu erhöhen. Neben einem simplen Firewall brauchen wir u.a. Applikationsfilter mit „Stateful Inspection“, AAA-Server, IDS/IPS, SSL-Gateway, Verschlüsselungseinrichtungen und PKI, Antispy- und Antivirussoftware, VPN-Gateways und –Clients sowie Sandkisten, Honeypots und Phoneypots. Und das Spiel geht weiter, denn die Attacken werden zunehmend raffinierter. Deshalb müssen Sie Ihr Sicherheitsniveau ständig überprüfen und ggf. auch mal einen Penetrationstest selbst oder mit Dritten durchführen. Aber Vorsicht: der kürzlich verabschiedete „Hackerparagraph“ stellt nämlich schon den Besitz von Tools zum Angriff auf die Informationssicherheit unter Strafe. Und betrachten Sie Sicherheit immer als dynamischen Prozess!

In meinem nächsten Blog am 21. November möchte ich das Schlagwort „Unified Communications“ aufgreifen und feststellen, wie sich dadurch die Kommunikationslandschaft verändert.

<- Zurück zu: Netze im Wandel Blog

IT-Wissen Blogs

Data Loss Prevention (7/7): Krimineller Datenhandel weitet sich aus
16.09.08, IT-Sicherheit

Data Loss Prevention (6/7): Krimineller Datenhandel weitet sich aus
12.09.08, IT-Sicherheit

E-Book der Woche

Navigation, Ortung - Hier direkt zum kostenlosen Download

Interessante Artikel

..RAID.. ..SDSL.. ..WLAN.. ..ITIL.. ..QuadCore.. ..RFID.. ..bluetooth.. ..iSCSI.. ..IEEE 802.. ..l2tp.. ..M4B-Format.. ..MAC Adresse.. ..RAW.. ..AC97.. ..AM.. ..EBCDIC.. ..OSI.. ..SCEP.. ..Echtzeitanwendung.. ..OSI.. ..SATA.. ..WAN.. ..VLAN.. ..XML.. ..IPTV.. ..fogging.. ..G.722.. ..Letterbox.. ..multipath routing.. ..EMV.. ..blu ray disc.. ..Virtualisierung.. ..flexray.. ..floating car data.. ..FOMA.. ..FPU.. ..hspa+.. ..Biegeradius.. ..Polyäthylen .. ..Abstrakter Datentyp.. ..routing table.. ..fiber to the building.. ..switching fabric.. ..Differenzverstärker.. ..USB.. ..iPod.. ..MP3.. ..Video.. ..Java..