Sicherheitsbezogenes Netzwerkdesign
Wenn der Gast ins Netz gehen soll
Mit Kaffee und Kuchen allein kommt ein moderner Gastgeber nicht weit. Ein bisschen Internetzugang hier und ein reichliches Portiönchen E-Mail-Abruf dort dürfen es schon auch noch sein. LAN-Betreibern wird es bei solchen Ansprüchen leicht mulmig, soll doch auch der liebste Gast - sei er nun Berater, Servicemann oder Wissenschaftler auf Durchreise - nicht unbedingt Zugang zu virtuellen Privatgemächern haben. Ein professionelles Gästenetz löst das Problem.
Höflichkeit und Gastfreundschaft scheint sich nicht immer auf Anhieb mit dem Wunsch nach
Sicherheit zu vertragen. So gehört es zum Beispiel für viele Institutionen zum guten Ton, Gästen im
Haus übers LAN oder WLAN Zugriff aufs Web und den persönlichen E-Mail-Account einzuräumen. Oft
lässt sich dies auch gar nicht vermeiden, denn die Gäste sind nicht selten zum Vorteil des
Gastgebers und obendrein zum Arbeiten da: Freie Mitarbeiter, Vertragspartner, Servicepersonal und
Berater gehören bei modernen Firmen ebenso ins erweiterte personelle Unternehmensumfeld wie
Gastwissenschaftler und Konferenzteilnehmer bei Hochschulen oder Forschungseinrichtungen.
Alptraum fürs Security-Team
Den Administratoren und Sicherheitsverantwortlichen allerdings bereitet diese Situation keine
große Freude. Sie können und dürfen die Computer der Gäste nicht so überwachen wie die der
Mitarbeiter, und tief greifende Administrationszugriffe sind ohnehin tabu. Darüber hinaus muss noch
sichergestellt sein, dass die fremden Akteure im Netz keine vertraulichen Daten zu sehen bekommen,
und dass nachweisbar ist, wer grundsätzlich auf welche Ressourcen im Unternehmensnetz zugreifen
kann. Mit allzu rigidem Vorgehen allerdings lösen die Administratoren auch nicht alle Probleme –
nicht nachvollziehbare Hindernisse verleiten Besucher mit dem nötigen Know-how nämlich allzu leicht
dazu, sich auf eigene Faust ihre eigenen, unkontrollierten Wege ins und durchs Gastgeber-LAN zu
suchen. "Despotismus von jeder Art reizt zur Widersetzlichkeit", heißt nicht umsonst ein kluges
Buch des Politiktheoretikers Zwi Batscha zur Französischen Revolution. Besser ist es also allemal,
die Gäste geregelt bei der Hand zu nehmen und ihnen ihre eigene Zone im Netz zuzugestehen.
Technisch ist dieses Vorhaben gar nicht so schwierig umzusetzen, und es kostet vor allem nicht
allzu viel Geld. Die wichtigste Voraussetzung ist zunächst, dass eigene Hardware im eigenen Netz
sicher identifiziert werden kann und dass damit grundsätzlich die Möglichkeit besteht, fremde
Computer und Geräte als solche zu erkennen und anders zu behandeln als eigene. Um diesen Zustand zu
erreichen, wird für sämtliche bekannte Hardware (PCs, Server, Drucker und so weiter) dediziertes
Portmapping am Router oder Switch eingeführt. Dies bedeutet einigen administrativen Aufwand – die
Systemverwalter müssen Switch für Switch abarbeiten und jeweils die kontrollierte Hardware zum
richtigen Port mappen.
Die bekannten Systeme bekommen dann routinemäßig via DHCP ihre IP-Adressen und Einstellungen
zugewiesen. Die "Leasetime" sollte dabei möglichst lang eingestellt werden, damit die IP-Adressen
nicht so oft wechseln und damit im Fehlerfall die "alte" IP-Adresse weiter verwendet werden
kann.
Gelangen nun fremde Systeme mit fremder physikalischer Hardwareadresse (oft auch als "
MAC-Adresse" bezeichnet, wobei dieser Begriff eigentlich nur für Token-Ring-Netze gilt) ins Netz,
senden sie den ARP-Broadcastrequest jeweils dreimal – das jeweilige System will sichergehen, dass
seine Hardwareadresse im gleichen Netzsegment nicht noch einmal vorhanden ist. Die Frage, wieweit
das jeweilige Netzsegment reicht, soll hier nicht behandelt werden, aber laut Boot-Protokoll wird
bei einem Standard-Setup der Request mit drei Hops, also bis zum vierten Router geleitet und dann
verworfen.
Für die Implementierung eines Gästenetzwerks wird an dieser Stelle das Router- oder Switch-Setup
besonders wichtig. Meldet sich unbekannte Hardware mit einer fremden Adresse an und fragt nach, ob
eine bestimmte Hardwareadresse schon existiert, könnte der Switch im einfachsten Fall grundsätzlich
mitteilen, dass die verlangte Adresse schon vergeben sei. So käme das fremde Gerät nie auf
geregeltem Weg ins Netz.
Ziel ist aber, das fremde Gerät zwar zuzulassen, aber ihm einen eigenen, vom normalen Netz
getrennten Bereich zuzuweisen. Dazu muss die richtige Reaktion eingestellt werden, die greift, wenn
die neue Hardware eine ARP-Verifizierung bereits erfolgreich durchgeführt hat und nun entweder eine
gespeicherte IP-Adresse initialisieren will oder wünscht, per DHCP eine neue zu bekommen.
Im ersten Fall, der Verifizierung einer früheren IP-Adresse, muss der DHCP-Server dem Rechner
auf jeden Fall mitteilen, dass diese bereits vergeben sei, um alle Bereiche des Netzes schützen zu
können. Die behauptete Vergabe kann tatsächlich existieren, sodass der Server standardmäßig die
bestehende Adresse schützt, oder der Server gaukelt dem anfragenden Gerät die Vergabe nur vor. Den
DHCP-Server entsprechend einzurichten, verlangt von den Administratoren allerdings einigen Aufwand.
Es wäre sicher einfacher, das fremde Gerät mit der falschen IP-Adresse erst einmal ins Netz zu
lassen und dann kurzerhand nicht weiter zu routen – aber damit überwindet die Gasthardware die
Schranke zum Netz eben doch und wird so zum Risiko, denn für einen böswilligen Hacker bietet dieser
Zustand durchaus Möglichkeiten, sich weiter vorzuarbeiten.
Fürs Gästenetzwerk sollte also zunächst einmal ein kleiner, recht preiswerter, möglicherweise
nur virtueller Server mit HTTP/s Proxy Server Daemon, Virenscanner mit Virenscannerlizenz,
Firewall-Mechanismen und Protokollierungsfunktionen zur Verfügung stehen. Jeder Gast erhält bei der
Anfrage an den DHCP-Server eine IP-Adresse aus einem speziellen Bereich "VLAN-GUEST". Diesem
Bereich wird eine Route an den Gästeserver zugeordnet. Der Router ist für HTTP/s, FTP und POP3
eingerichtet – mehr sollte in Standardfall nicht zur Verfügung stehen. Der Gast kann auf diese
Weise surfen, E-Mails über den Virenscanner gesichert lesen und schreiben, HTTP/s-Anfragen nach
außen durchführen (falls er dem Gastgebernetzwerk vertraut) und mit den internen Mitarbeitern Daten
via FTP-Server austauschen. Sein PC bleibt dabei im Gäste-VLAN gefangen und kann problemlos
kontrolliert werden, ohne dass die Administratoren auf den fremden Computer zugreifen müssten.
Durchgriffe auf SAP oder andere spezielle Anwendungen lassen sich individuell einrichten.
Weitere Vorteile der Lösung im einzelnen:
Gäste können sofort arbeiten,
es wird ihnen als willkommener Nebeneffekt das Gefühl vermittelt, dass man
sich um sie kümmert,
bringt ein interner Anwender unbekannte Hardware mit, erfährt dies der
Administrator durch die Protokollierung und kann sofort eingreifen,
interne Anwender können mit privater Hardware zumindest surfen,
berechtigte neue Hardware kann durch Eintragen am Switch problemlos angemeldet
werden.
Kars Ohrenberg, Leiter der IT-Gruppe Kommunikationsnetzwerke des Deutschen
Elektronen-Synchrotrons (Teilchenbeschleuniger) DESY, arbeitet zurzeit mit dem Cisco-eigenen
VMPS-Protokoll, um an seiner Institution ein Gästenetzwerk zu betreiben, das ganz ähnlich
funktioniert wie das oben beschriebene. DESY hat etwa 1800 feste Mitarbeiter im internen Netz, aber
die Zahl der Gäste – vor allem Forscher, die das Synchrotron zeitweise nutzen – übersteigt diese
Zahl bei weitem. "Den meisten genügt es, wenn sie Zugang zu Mail und Internet haben und drucken
können", weiß Ohrenberg zu berichten. Untypisch im Vergleich mit anderen Organisationen ist dass es
im DESY-Netz eher wenig vertrauliche Daten zu schützen gilt – gerade die wertvollen
Forschungsergebnisse sind ohnehin meist öffentlich.
Gästenetzwerk bei DESY
Wer sich im Desy-Gästenetz befindet, agiert außerhalb der eigentlichen Desy-Firewall, ist aber
durch eine eigene Firewall geschützt. VMPS dient prinzipiell dazu, Ports anhand der
Hardwareadressen von Geräten immer automatisch einem definierten VLAN zuzuordnen. Switchports, an
denen ein Gerät angeschlossen ist, dessen Hardwareadresse nicht in der Tabelle oder Datenbank des
VMPS-Servers enthalten ist, können dabei einem speziellen VLAN zugeordnet werden, hier dem
Gästenetz. Mithilfe des Protokolls wird jeder Port, an dem kein Gerät angeschlossen ist, außerdem
isoliert, damit beim Anschluss eines neuen Geräts eine neue VLAN-Zuordnung stattfindet.
In der Zukunft – da nicht Teile des Netzes dezentral verwaltet werden, bedeutet dies einen
Zeitraum von drei bis fünf Jahren – will Desy Cisco-unabhängig sein Netz auf
802.1x-Authentifizierung in Verbindung mit einem Radius-Server umstellen. Nicht authentifizierte
Geräte können dann wieder in ein Gäste-VLAN geschickt werden.
Lesen Sie mehr zum Thema
