Secure Virtual Networking

Hier taucht aber ein Problem auf: ein VPN erstreckt sich naturgemäß über das ganze eigene IT-System und vereint somit die Basiskomponenten Infrastruktur, Applikationen, Daten, Systeme und Anwender. Fremdkomponenten können dabei - sei es aus technischen oder organisatorischen Gründen - nicht oder nur schwer eingebunden werden. Dieses Integrationsproblem stellt sich heute immer häufiger.

So kann man sich als Beispiel ein Mail-System vorstellen, das als Dienst "Mail" zu hundert Prozent Bestandteil des eigenen Systems ist, aber bei einem Application Service Provider ASP gehostet wird. In diesem Fall hat man zwar Einfluss auf die Applikation und die User, jedoch nicht auf die Komponenten System und Infrastruktur, die normalerweise bei der Betrachtung einer VPN Lösung einbezogen werden müssen. Die Ursache dafür ist klar im Trend hin zu Outsourcing und Extranetlösungen zu finden.

Darüber hinaus verschärfen neue Technologien diese Situation: Gerade der Bereich "Wireless" bringt neue Aspekte hinsichtlich der Herkunft einer Kommunikationsanfrage mit sich. Normalerweise kann man, basierend auf den IP-Adressen, bestimmen, wo sich der Anwender befindet - nicht jedoch bei Mobilgeräten. Der User kommt zwar aus einem bestimmten IP-Subnetz, ist aber entweder auf dem Firmengelände oder am Strand von Malibu. Beide Standorte stellen extrem unterschiedliche Ansprüche an die Sicherheitsrichtlinien und bedürfen einer getrennten Betrachtung.

Der Mailserver und der Anwender am Strand von Malibu sind nur zwei der vielen Beispiele, die zeigen, dass die klassischen IT-Systeme immer mehr auseinander gerissen werden. Die einzelnen Komponenten sind im Intra-, Inter- und Extranet verteilt und müssen trotzdem zusammenarbeiten. Natürlich muss auch hier ein Sicherheitskonzept greifen, wobei das System als ganzes nicht mehr komplett im Hoheitsgebiet eines einzelnen Verantwortlichen liegt. Über Firewalls und VPN-Lösungen ist die Entwicklung im Sicherheitsumfeld heute an einem Punkt angelangt, an dem mit so genannten Secure Virtual Networks (SVN) - die schon Firewalls und VPNs beinhalten - die Problematik der verteilten Komponenten gelöst werden soll.

SVN Lösungen sind heute noch in den Kinderschuhen, da erst jetzt die entsprechenden Produkte auf den Markt kommen. Zudem ist es bei diesen Lösungen natürlich extrem wichtig, dass die einzelnen Unternehmen Soft- und Hardware entwickeln, die über einen gemeinsamen Satz von Schnittstellen (APIs) miteinander kommunizieren können. Nur so gelingt die Verwirklichung globaler SVN Sicherheitsregeln in einem Framework.

Die ersten SVN Ansätze sieht man heute schon in den Bereichen Applikationsintegration, Sicherheitsmanagement und Client-Integration - Elemente, die bis vor kurzem entweder nicht beachtet wurden oder schlichtweg nicht vernünftig implementierbar waren.

Integration von Applikationen und Anwendern

Ein Anwender, der sich in einem verteilten System an einer Applikation anmeldet, stellt diese und die entsprechende Sicherheitsrichtlinie vor nicht unerhebliche Probleme. Der Server kann zwar aufgrund der UserID dem Benutzer bestimmte Zugriffsrechte einräumen, hat dabei aber nicht die Möglichkeit, den Zugriff auf der Grundlage der allgemein gültigen Netzwerk-Sicherheitsrichtlinien feiner abzustufen. So wird ein Remote-Anwender den zugesicherten Vollzugriff auf seine Ressourcen erhalten, unabhängig vom Aufenthaltsort, der Art der Verschlüsslung, Authentifizierung an den Gateways, installierter Client-Software oder Sicherheitstools.

In einem solchen Szenario kann es leicht zu einer Katastrophe kommen: Vorstellbar ist beispielsweise, dass sich ein Homeoffice-Anwender von einem Intranetserver vertrauliche Daten zur Weiterbearbeitung herunterlädt. Wenn nun auf dem lokalen Rechner einige Netzwerklaufwerke freigegeben sind, verlassen sensible Informationen das VPN und geraten auf einen vollkommen ungesicherten Arbeitsplatz. Für Angreifer sind sie somit jederzeit sehr leicht abrufbar - wobei in diesem Fall noch nicht einmal fortgeschrittene Hacker am Werk sein müssen.

Aus diesem Grund geht man nun neue Wege und beginnt die Authentifizierung von Verbindungen nicht am eigentlichen Dienst, sondern an den entsprechenden VPN-Gateways zu terminieren. Dadurch besteht die Möglichkeit, das sogenannte "User Authorities", die auf diesen Gateways mitlaufen, sämtliche verbindungsrelevanten Informationen sammeln können: User ID, Art der Authentifizierung (Passwort,S/Key, Token, Zertifikat usw.), LDAP DN, Session ID, Art der Verschlüsselung (Keine, DES,3DES usw.), Herkunft und Ziel - IP und Portnummern (in naher Zukunft sogar auch über NAT Devices hinweg !)

Zudem arbeiten die User Authorities so eng mit den VPN-Gateways zusammen, dass sie auch Information vom Client selber sammeln können. Ist auf dem Client eine entsprechende Desktop-Firewall installiert, die sich transparent in das Sicherheitsmanagement des Gateways integrieren lässt, so kann die User Authority heute bestimmen, ob die Sicherheitsrichtlinie auf dem Desktop aktiv und gemäß der allgemeinen Policy gültig ist. In naher Zukunft wird es auch denkbar sein, dass dadurch Informationen über installierte Client-Software der User Authority unmittelbar zur Verfügung stehen, darunter z.B. Version des Virenscanners, Zeitpunkt des letzten Updates oder auch GPS-Daten von einem Mobilgerät.

All diese Informationen nennt man "User Credentials", die nun von den User Authority-Clients abgefragt werden können. In der Praxis geschieht dies folgendermaßen: Der Client terminiert seine Authentifizierung am Gateway und die User Credentials werden von der User Authority gesammelt. Die Verbindungsanfrage gelangt nun zum eigentlichen Dienst (Datenbank, Web-, Mailserver usw.). Dieser verlangt jetzt keine Authentifizierung mehr vom Client, sondern fragt über den eingebauten User Authority-Client die User Authority nach den Credentials für diese Verbindung. Aufgrund dieser Informationen kann der Dienst nun entscheiden, welche Ressourcen zur Verfügung gestellt werden sollen. Der User Authority-Client ist entweder fester Bestandteil des Dienstes oder kann mit einem Software Developer Kit (SDK) in C/C++ vom Entwickler recht einfach in eigene Anwendungen integriert werden. Das nötige SDK ist zum Beispiel frei über http://www.opsec.com erhältlich. Vor allem die Einbindung des User Authority-Client in Webserver über vorgefertigte CGI-Scripts gestaltet sich sehr einfach. Die User Authority ist eine Entwicklung der Firma Check Point Software Technologies Ltd. und wird mittlerweile von den folgenden Unternehmen unterstützt:

• Integratoren, Consultants and Application Service Providers (ASPs)
• CoreHarbor ein führender Ariba ASP, Counterpane Internet Security, ESOFT Global, Euclid, GUARDENT, METASeS, RealNames Corporation, Sapiens International, Securify, Telenisus and USinternetworking Inc.
• Middleware
• Access360, Apogee Software, BEA Systems, Inc., Citrix Systems, CrossWorlds, Extricity, IBM MQSeries, Nevex Software Technologies und TIBCO Software, Inc.
• Authorization Management
• Arcot Systems, enCommerce, Iaxess, IBM Tivoli, Probix, Netegrity und Securant
• eBusiness Applications
• BroadVision , Exterprise, Oracle und Selectica, Inc.

Sicherheitsmanagement

Das Sicherheitsmanagement sich nicht auf Firewall-Komponenten erstreckt, ist seit Jahren bekannt und kann schon als "alter Hut" gelten. Ein modernes Management beinhaltet heute alle relevanten Komponenten dieses Themenbereichs. Dazu gehören neben Firewalls auch Verschlüsselung, NAT, Bandbreitenmanagement, Content Security usw. Die Richtlinien werden dabei in Form von Regeln aufgesetzt, die Schritt für Schritt abgearbeitet werden und sich auf Objektdefinitionen (Netzwerke, IP-Adressen, User, Router usw.) beziehen.

Bei den modernen komplexen Architekturen stößt der Sicherheitsverantwortliche aber schnell an die Grenzen eines solchen Managements: Er / Sie verliert die Übersicht über die Komponenten in Bezug auf die Policies. Dementsprechend tauchen Unklarheiten auf, wie zum Beispiel "Sind jetzt wirklich alle meine Komponenten abgedeckt ?" Diese kritischen Fragen müssen dann natürlich einer eingehenden und aufwendigen Überprüfung unterzogen werden. Um diesen zeitintensiven Prozess abzukürzen und um zu verhindern, dass sich dabei zusätzliche katastrophale Fehler einschleichen, werden diese Policies in naher Zukunft nicht nur in Form von Regelwerken aufgebaut, sondern mit Hilfe von Visualisierungstools unterstützt. Ein Visual Policy Editor kreiert sozusagen "On the Fly" ein Abbild des zu verwaltenden IT-Systems. Das ermöglicht die grafische Verdeutlichung von Regeln, wie zum Beispiel "Voice over IP von A nach B ist erlaubt", und gleichzeitig auch das Abändern von Objekteigenschaften in der visualisierten Darstellungsform.

Gerade in komplexen Umgebungen ist meist nicht nur eine Person verantwortlich für die Sicherheitsrichtlinien, sondern ein ganzes Team aus Security-Experten, das täglich Veränderungen am System vornimmt. Dadurch gewinnt die Visualisierung besonders auch hinsichtlich des "Loggings" von Veränderungen an den Policies eine immens wichtige Rolle. Die neue Generation des Sicherheitsmanagements beinhaltet all diese Funktionen und geht sogar darüber hinaus: Versions-, Lizenz- und Updatemanagement der einzelnen Komponenten ist ebenfalls ein elementarer Bestandteil dieser Tools. Die Firma Check Point ermöglicht mit der nächsten Version ihres Managementtools sogar die Darstellung der Versionsstände von Produkten anderer Anbieter sowie die Betriebssysteme und Releasestände, auf denen sie installiert sind.

Konnte man früher in kleineren Umgebungen noch mit einem Systemausfall des Managementservers leben, so werden diese Systeme jetzt besonders im B2B- oder auch E-Commerce Umfeld extrem kritisch. Fällt ein Managementserver aus, so sind die einzelnen verwalteten Komponenten, wie zum Beispiel die Firewalls, in ihrer Funktion natürlich nicht beeinträchtigt. Man verliert jedoch während der Ausfallzeit die Möglichkeit der Administration und des Auditing. Aus diesem Grund werden heute gespiegelte Hochverfügbarkeitslösungen implementiert, die auch in verteilten Systemen funktionieren. So können die Managementserver verteilt aufgebaut werden und bilden trotzdem ein virtuelles System, das den Betrieb 24 Stunden am Tag, 365 Tage im Jahr garantieren kann.

Schlusswort

Um SVN-Lösungen mit dem selben Grad an Perfektion, wie er sich heute im VPN-Umfeld etabliert, realisieren zu können, müssen noch einige Hürden genommen werden. Oberste Priorität hat die Zusammenarbeit der einzelnen Hersteller von Sicherheitslösungen im Rahmen von Sicherheits-Schnittstellen sowie die Implementierung dieser Schnittstellen und Lösungen in allen Bereichen des IT-Systems.

Die Open Platform for Security (OPSEC) ist hier richtungsweisend, da in dieser Allianz mittlerweile mehr als 280 Unternehmen vertreten sind und der übergreifende Ansatz konsequent verfolgt wird. Durch ein solches Framework wird es zukünftig möglich sein, ein Management von verteilten Inter-, Intra- und Extranetlösungen zu verwirklichen, das beim Client anfängt und sich bis zu den Applikationen erstreckt. Erst dann werden solche Systeme in der Lage sein, die wichtigen Sicherheitsattribute Vertraulichkeit, Integrität, Verfügbarkeit und Nachweisbarkeit gegenüber Dritten vollständig zu realisieren - unabhängig davon, ob sich das System komplett im eigenen VPN befindet oder ob es sich um eine vollständig dezentrale SVN-Lösung handelt.

Dieser Artikel wurde uns freundlicher Weise von Checkpoint Software zur Verfügung gestellt. http://www.checkpoint.com