Lock-Keeper

Aufgrund des umfangreichen Gefährdungspotentials von vernetzten IT-Systemen muss ein ernsthaft auf seinen IT-Schutz bedachter Nutzer eine Security-Policy aufstellen, die im Detail alle wesentlichen Sicherheitsfragen behandelt. Dabei ist zu beachten, dass Angriffe auf das IT-System von Außen, also aus dem Internet, erfolgen können, aber auch von Innen, also von berechtigen Nutzern des IT-Systems, die sich z.B. unberechtigten Zugang zu besonders geschützten Ressourcen verschaffen. Summarisch benannt bestehen die Sicherheitsrisiken beim Datenaustausch in

• der nicht gewährleisteten Authentizität von Sender und Empfänger,
• in Abhör- und Manipulationsmöglichkeiten von Seiten Dritter und
• im unbefugten Eindringen in Netzwerk.

Auch Daten selbst können die Integrität eines Systems gefährden oder mit Viren und Trojanern eine ernsthafte Bedrohung darstellen.

Um die im Zusammenhang mit der Diskussion des Prinzips der physikalischen Trennung relevanten Schutzleistung verschiedener Technologien zum Schutz von Datennetzen und vernetzten IT-Systemen gegen Angriffe von Außen beurteilen zu können, müssen solche Angriffe auf Netzwerke und IT-Systeme zunächst erfasst und dann untersucht werden, inwieweit übliche Firewall-Systeme ohne physikalische Trennung in der Lage sind, diese Angriffe abzuwehren [1]. (Auf die Frage nach dem nur mit den Mitteln und Werkzeugen der Kryptografie und nicht mit den Mitteln der physikalischen Trennung erreichbaren Schutz von Netzwerken gegen Angriffe von Innen - angesichts deren weiter Verbreitung sind hier deutlich größere Abwehranstrengungen anzumahnen - und in Bezug auf die anderen Sicherheitsrisiken wird in diesem mit dem Prinzip der physikalischen Trennung befassten Beitrag nicht eingegangen.)

Angriffe auf Netzwerke und IT-Systeme lassen sich zum einen klassifizieren in Online-Attacken und in Offline-Attacken. Online-Attacken funktionieren nur bei einer stehenden Netzverbindung zwischen Angreifer- und Opfersystem. Im Ergebnis verschaffen Sie dem

Angreifer über diese stehende Verbindung einen interaktiven Zugriff auf die angebundenen IT-Systeme im Unternehmen. Offline Attacken dagegen können ihre schädliche Wirkung auch entfalten ohne eine solche stehende Verbindung. Sie werden oft genutzt, um Online-Angriffe vorzubereiten. Rein zahlenmäßig gehören die Offline-Attacken zu den meistverbreiteten Angriffen, Online-Angriffe gelten jedoch als die gefährlicheren, da sie die gesamte Integrität eines Netzwerkes in Frage stellen können. Die nachfolgende Tabelle 1 gibt einen kurzen Überblick über bekannte Angriffstypen und zeigt, ob es sich um eine Online-Attacke oder um eine Offline-Attacke handelt.

Neben der Klassifikation in Online- und Offline-Attacken spielt bei der Beurteilung der Fähigkeiten zur Abwehr von Angriffen auf vernetzte IT-Systeme auch die Frage eine wichtige Rolle, ob das Wirkprinzip einer Attacke zuvor bereits bekannt ist und sich die Attacke so anhand spezieller Muster erkennen lässt, oder ob es sich um einen bis dato unbekannten Attack-Typ handelt [2].

Der übliche Weg, IT-Systeme vor Angriffen aus dem Netzwerk zu schützen, besteht in einer extensiven Datenfilterung [3]. Die Entscheidung, ob ein Datenpaket in den Bereich des geschützten Systems passieren darf, hängt davon ab, woher das Paket kommt, an wen es gerichtet ist, welchen Dienst es in Anspruch nehmen will, welche Protokollebenen involviert sind, usw. Tatsächlich basieren alle Netzwerkfirewallsysteme auf dem Prinzip der Datenfilterung. Bei Ihrer Konfiguration muss detailliert und exakt festgelegt werden, welche Datenpakete passieren dürfen und welche nicht. Erfahrungsgemäß führt die hohe Komplexität dieser Aufgabe zu einer Vielzahl von Fehlern: gefährliche Pakettypen dürfen passieren, ungefährliche Pakete werden ausgefiltert, Filterregeln sind unvollständig, nutzlos oder widersprechen sich gar. Untersuchungen belegen, dass eine widerspruchsfreie und zielführende Konfiguration von Firewallsystemen ohne technische Hilfe kaum noch möglich ist. Doch selbst wenn man für einen Moment unterstellt, dass sämtliche Konfigurationen korrekt erfolgen, bleibt das Problem, dass die Formulierung der Filterregeln voraussetzt, dass bekannt ist, wonach man sucht und was zu verbieten ist. Im Fall von unbekannten Attacktypen ist aber genau das prinzipiell unmöglich. Das Prinzip der Datenfilterung kann in diesen Fällen also keinen garantierbaren Schutz bieten.

Auch im Fall von Online-Attacken kann bloße Datenfilterung keinen ausreichenden Schutz bieten, denn die Verbindung zwischen dem potentiellen Angreifer außerhalb des zu schützenden Netzes und dem zu schützenden IT-System bleibt auch während der Filterprozesse bestehen, für die passierenden Datenpakete wird lediglich entschieden, ob sie blockiert und damit abgewiesen werden oder nicht. Können gefährliche Pakete nun aufgrund fehlender Filterregeln für neuartige Attacken oder aufgrund von Konfigurationsfehlern unentdeckt passieren, dann steht der Entfaltung ihres Schadenspotentials nichts mehr entgegen, denn die zur Ausführung einer Online-Attacke notwendige Verbindung zwischen Angreifer und Opfersystem bleibt ja trotz aller Filterprozesse bestehen.

Damit kann es einen sicheren Schutz von kritischen IT-Systemen und Netzinfrastrukturen gegen unbekannten bzw. online Angriffe auch in Zukunft nur auf der Basis einer strikten physikalischen Trennung geben. Aller technischer und konzeptioneller Fortschritt bei den filterbasierten Schutzsystemen kann daran nichts ändern. Zu fragen bleibt lediglich, ob neue technische Systeme entwickelt und eingesetzt werden können, mit denen sich das Arbeiten, also der Datenaustausch über solche harten physikalischen Grenzen hinweg einfacher und effektiver gestalten läßt, als mit dem zur Zeit üblichen händischen Datentransport.

Tatsächlich gibt es für solche Systeme eine Reihe von Ideen, die mehr oder weniger ausgeprägt alle auf die Implementierung eines Schleusenprinzips hinauslaufen: Die über die Netzwerkgrenze zu transferierenden Daten werden in eine "Schleusenkammer" eingeschlossen, dort untersucht und dann in das zu schützende Netzwerk transferiert.

Neben sehr simplen und leicht umgehbaren Realisierungen dieser Idee innerhalb eines Rechners, wie z.B. die "Physical Isolation Card", basieren Umsetzungen der Pump-Technologie auf einer recht komplizierten Spezialhardware, der "Data Diode" zum Transfer der Daten von einem Netwerk in das andere (man spricht hier vom "pumpen") [4]. Hauptnachteil dieses vom US Naval Research Lab entwickelten Ansatzes ist die Schwierigkeit, diese Spezialarchitektur mit Sicherheitsprodukten anderer Hersteller zu kombinieren, wie das z.B. zum Virenschutzes nötig ist. Ein weiterer Ansatz, die sogenannte GAP-Technologie, nutzt zwei Rechnerkomponenten und eine zwischengeschaltete Schalt- und Speichereinheit, über die der Datenaustausch realisiert wird [5]. Schwachpunkt dieser Umsetzung der Schleusenidee sind die fehlenden Möglichkeiten zum Schutz der transferierten Daten gegen Hacker-Angriffe über eine der beiden Rechnerkomponenten.

Am konsequentesten wird das Schleusenprinzip von der Lock-Keeper-Architektur umgesetzt [6]. Der Lock-Keeper besteht aus drei unabhängigen Rechnerkomponenten die über einen relaisgesteuerten Schalter so miteinander verbunden sind, dass entweder die linke Rechnerkomponente "OUTER" mit der mittleren Rechnerkomponente, dem "GATE", verbunden ist, oder GATE mit der rechten Rechnerkomponente "INNER". Auf diese Weise können Daten aus einem mit OUTER verbundenen Netz, wie z.B. dem Internet, in das mit INNER verbundene Netz mit seinen hohen Sicherheitsanforderungen transportiert werden und umgekehrt, ohne das zu einem einzigen Zeitpunkt eine direkte physikalische Verbindung zwischen diesen beiden Netzen besteht.

Um den Anforderungen im Hochsicherheitsbereich zu entsprechen, wird beim Lock-Keeper der Schaltmechanismus nicht software-basiert sondern komplett hardwarebasiert gesteuert. Hacker-Angriffe auf eine wie auch immer geartete Steuersoftware sind damit von vornherein ausgeschlossen. Selbst im Fall eines Hardwaredefekts am Schaltmechanismus oder an einem der drei Rechnerkomponenten bleiben die mit dem Lock-Keeper verbundenen beiden Netze stets physikalisch getrennt.

Natürlich ist das "Durchschleusen" der Daten keine einfache Sache. Es ist sicherzustellen, dass

1. über die zu schleusenden Daten keine Malware in das abzusichernde Netz gelangen kann
2. die physikalische Trennung der beiden Netze dem Nutzer soweit als möglich verborgen bleibt.

Da das GATE (wie auch INNER und OUTER) ein vollständiger Rechner ist, kann (1) mit allen anderen bekannten und etablierten Mitteln und Methoden zur Daten- und Contentfilterung realisiert werden. Jeder nur vorstellbare Firewall-Schutzmechanismus kann dort implementiert (bzw. angeschlossen) und betrieben werden. In Kombination mit einem solchen System bietet der Lock-Keeper über durch das integrierte Firewallsystem erreichbaren Schutz den zusätzlichen "Schutz-Mehrwert" einer physikalischen Trennung.

Anforderung (2) bereitet mehr Schwierigkeiten. In Bezug auf die zur Schaltung des Schleusensystems benötige Zeit lässt sich der Schleusenvorgang nicht verdecken. Fairer Weise darf die jedoch nicht mit der Datenübermittlungsgeschwindigkeit in Netzwerken verglichen, sondern muss mit der Zeit verglichen werden, die zum händischen Transport der Daten zwischen physikalische getrennten Netzwerken erforderlich ist und da ist der Lock-Keeper mit seinem nur wenige Sekunden dauernden Schaltzyklus deutlich im Vorteil.

In Bezug auf die verschiedenen Netzwerkservices, wie z.B. Filetransfer, Email, Web Services, Datenbankreplikation bzw. -synchronisation lässt sich die physikalische Trennung durchaus vor dem Nutzer verbergen. Durch die Schaffung künstlicher Endpunkt auf OUTER und INNER können die Services auf der einen Seite "abgebaut", in schleusenfertige Pakete umgewandelt und auf der anderen Seite korrekt wieder "zusammengesetzt" werden. Der Nutzer bemerkt von diesen teilweise recht komplexen Vorgängen nichts, er erhält seine Email in der üblichen Form oder kann seine Web Services wie gewohnt anbieten. Der korrekte und vollständige Abbau der involvierten Netzwerkprotokolle auf der einen Seite und der Wiederaufbau auf der anderen Seite ist übrigens unerlässlich und ein wesentliches Charakteristikum des Schutzprinzips der physikalischen Trennung.

Mit den beschriebenen Eigenschaften bietet der Lock-Keeper - im Gegensatz zu anderen Sicherheitslösungen - einen garantierten Schutz gegen alle bekannten und unbekannten Online-Attacken. Der Lock-Keeper separiert ein zu schützendes Netzwerk vollständig. Der Einsatz von Netzwerkprotokollen über den Lock-Keeper hinweg wird unterbunden, der Lock-Keeper agiert als ein Proxy, um Dienste bereitstellen zu können.

Auf der Anwendungsebene bleibt ein mit den integrierten Content-Filtermechanismen verbundenes Restrisiko, das jedoch deutlich geringer ausfällt als bei alleinigem Einsatz dieser Filtermechanismen. Vorteilhaft ist, dass theoretisch mögliche Programmierfehler in den Content-Filtern sich nicht direkt auf die Schutzleistung des Lock-Keepers auswirken können, da das GATE die Filter im Lock-Keeper isoliert und die physikalische Trennung auch unter diesen Umständen nicht aufgehoben werden kann. Damit setzt sich der Lock-Keeper klar von anderen Lösungen wie beispielsweise Application Gateways ab, die Ihre Schutzleistung in diesem Fall verlieren.

Selbst wenn schädliche Daten wie Viren oder Trojaner von den Filtermechanismen nicht erkannt werden und durch den Lock-Keeper geschleust werden, kann garantiert werden, dass es der Schadsoftware nicht möglich ist, einen Rückkanal zu etablieren, um vertrauliche Informationen aus dem über den Lock-Keeper geschützten Netz hinauszuschleusen, eine Gefahr, die insbesondere bei herkömmlichen Firewallsystemen eine ernste und nicht zu unterschätzende Bedrohung darstellt.

Die Lock-Keeper Technologie wurde von Siemens lizenziert und wird nun international vertrieben [7]. Gegenstand aktueller Forschung am Lock-Keeper sind unter anderem die Möglichkeiten zur Integration des Lock-Keepers in komplexen Architekturen, wie beispielsweise SOA-Umgebungen basierend auf Web Services. Web Services bieten neue Möglichkeiten zur plattform- und programmiersprachen-unabhängigen Kommunikation. Ressourcen, die bisher isoliert - und damit durch eine wirkliche physikalische Trennung geschützt - waren, können nun nahtlos in die IT-Umgebung eingebunden werden. Diese fortschreitende Integration führt aufgrund der damit verbundenen Komplexität zu neuen Sicherheitsproblemen, die nur noch schwer zu beherrschen sind. Die Lock-Keeper Technologie bietet hier die Möglichkeit, Netzwerke und Systeme wieder auf höchstem Niveau durch die vollständige physikalische Entkopplung zu schützen. Dies umfasst auch die Integration von Mechanismen zur Erkennung und Abwehr von Gefahren, welche mit Web Service Protokollen verbunden sind. In diesem Zusammenhang wird auch an starken Authentifizierungsverfahren sowie Identitätsmanagement geforscht. Da mit dem Lock-Keeper nicht nur Netzwerke physikalisch getrennt werden, sondern auch Sicherheitsdomänen separiert werden, kommt diesen Verfahren eine besondere Bedeutung zu. Spezielle Verfahren zum Identitätsmanagement ermöglichen eine hochsichere Authentifizierung im Lock-Keeper und ermöglichen eine sichere Kommunikation auch über unterschiedliche Sicherheitsdomänen hinweg.

Zurzeit wird auch an einem Einsatz der Lock-Keeper-Technologie bei der Polizei des Landes Brandenburg gearbeitet. Dort wird eine Online-Plattform "Die Internetwache" betrieben, welche Dienste und Informationen einer üblichen Polizeiwache für die Bürger bereitstellt. Um die Aktivitäten der Internetwache effizient in die üblichen Prozessabläufe bei der Polizei zu integrieren, muss diese Plattform mit dem Backend System im internen Netzwerk der Polizei kommunizieren. Die Herausforderung besteht nun in der Absicherung des internen Netzwerkes unter Gewährleistung höchst möglicher Sicherheit. Als der Schutz herkömmlicher Firewall-Systeme hier nicht ausreichend ist, wird die Absicherung mit dem Einsatz des Lock-Keepers realisiert.

Im Hochsicherheitsbereich hat das Prinzip der physikalischen Trennung von Netzwerken und IT-Systemen auch in Zukunft Bestand und ist nicht ersetzbar. Es bietet einen nicht anders zu gewährleistenden Schutz z.B. gegen Online-Attacken und jedwede neuen, bis dato unbekannte Hacker-Attacken. Dank technischem Fortschritt kann allerdings mit Systemen wie dem beschriebenen Lock-Keeper das Kommunikations-Handling zwischen den physikalisch getrennten Netzen wesentlich effizienter gestaltet werden, als das in der Vergangenheit mit der händischen Datenübermittlung der Fall war. Insbesondere ist es dank Lock-Keeper möglich, auch gewohnten Netzwerk-Services zu nutzen und die physikalische Trennung (mit Ausnahme des verlängerten Zeitbedarfs) vor dem Nutzer zu verbergen.

[1] C. Meinel and H. Sack. WWW - Kommunikation, Internetworking, Web Technologien. Springer-Verlag, Berlin, Heidelberg, New York, 2004.

[2] F. Cheng and C. Meinel. Research on the Lock-Keeper, Technology: Architectures, Advancements and Applications. International Journal of Computer and Information Science(IJCIS), 2004.

[3] W.R. Cheswick, S.M. Bellovin. Firewalls and Internet Security, Addison-Wesley, 1995, pp. 159-166.

[4] Kang, M. H. and Moskowitz, I. S.: A Pump for Rapid, Reliable, Secure Communication, in Proceedings of 1st ACM Conference on Computer & Communications Security, Fairfax, VA, Nov 3-5, 1993, pp. 119-129.

[5] Whale e-Gap Website: www.whalecommunications.com

[6] F. Cheng, C. Meinel, T. Engel, G. Müllenheim, J. Bern, and D.Thewes. A Complete Solution for Highly Secure Data Exchange: Lock-Keeper and its Advancements. Proc. IEEE PDCAT 2003, Chengdu (China), pages 201–205, 2003.

[7] Siemens Switzerland. Lock-Keeper Website: www.siemens.ch, 2006.

Christioph Meinel

Hasso-Plattner-Institut, Universität Potsdam

Postfach 900460

14440 Potsdam

E-Mail

© Springer-Verlag 2007