Perimeter Sicherheit

Perimeter Sicherheit

Am Anfang haben sich Unternehmen ans Internet angeschlossen, um am E-Mail- und Web-System teilhaben zu können. Zusätzliche habe die Unternehmen die Möglichkeit genutzt, einfach mit ihren Niederlassungen und anderen Organisationen über das Verbundnetz Internet schnell und preisgünstig kommunizieren zu können.
Das Abwehrmodell sah so aus, dass verhindert werden musste, dass Fremde aus dem Internet ins eigene Unternehmensnetz zugreifen konnten und dass die ausgetauschten Daten nicht von anderen gelesen und manipuliert werden konnten. Durch die freie Internet-Infrastruktur, war die Wahrscheinlichkeit eines Zugriffes auf die übertragenden Daten über Router, Mailgateways, usw. stark gestiegen. Die Sicherheitskonzepte folgten der Idee der Perimeter Sicherheit, d.h., die Organisationen haben sich durch zentrale Firewalls und VPNs von den anderen abgegrenzt.

Firewall-Systeme

Die Firewall hat dabei das Ziel, die Kommunikation auf das Notwendigste für den eigentlichen Geschäftszweck des Unternehmens zu reduzieren. Das Notwendigste ist z.B., welche Computer müssen und dürfen ins Internet, welche Internet-Dienste werden wirklich gebraucht, welche Person sollte in welchem Zeitfenster z.B. im Internet surfen dürfen. Usw.
Siehe auch: Norbert Pohlmann: "Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrution Detection-System, Personal Firewalls", ISBN 3-8266-0988-3; 604 Seiten, MITP-Verlag, Bonn 2003.

Virtuell Private Networks (VPN) – SSL und IPSec

Bezüglich der Verschlüsselung der Daten zwischen dem Browser zum Web-Server hat sich der SSL(TLS)-Standard als HTTPS etabliert. Hier wird oberhalb des Transport-Protokolls eine Sicherheitsschicht für die HTTP Kommunikation eingeführt. Hauptaufgaben der Sicherheitsschicht sind: Die Authentikation der Kommunikationspartner unter Verwendung von asymmetrischen Verschlüsselungsverfahren und Zertifikaten. Die vertrauliche Ende-zu-Ende-Datenübertragung mit Hilfe symmetrischer Verschlüsselungsverfahren unter der Nutzung eines gemeinsamen Sitzungsschlüssels.
Die Sicherstellung der Integrität der transportierten Daten unter Verwendung von Message Authentication Codes. Statistisch nutzen leider nur 4 % die SSL(TLS)-Sicherheitsdienste, HTTPS und 96 % der HTTP Kommunikation läuft ungesichert. Außerdem werden sehr oft Cryptoprofile ausgewählt und genutzt, die nicht den heutigen Sicherheitsansprüchen genügen (siehe Internet_Analysis_System_13_10_08.pdf). Durch die SSL(TLS)-Sicherheitsdienste kann verhindert werden, dass Passwörter, Kreditkarteninformationen usw. mitgelesen werden können. In diesem Bereich würde eine höhere Nutzungsrate von SSL die Risiken zusätzlich minimieren.
Für die IT-Sicherheit der Datenkommunikation von Niederlassungen über das Internet spielt der IPSec-Standard eine besondere Rolle. IPSec (Internet Protocol Security) ist ein Sicherheitsstandard für den geschützten IP-Datentransfer. IPSec ergänzt das bestehende IPv4 um folgende Sicherheitsfunktionen: Jedes Paket kann gegen Manipulation und Wiedereinspielung geschützt sowie verschlüsselt werden. Außerdem kann die IP-Kommunikation gegen Verkehrsflussanalyse geschützt und die Kommunikationspartner (Personen oder VPN-Gateways) können authentisiert werden. Statistisch nutzen leider nur ca. 2 % IPSec Kommunikation im Internet.
Siehe auch: Markus a Campo, Norbert Pohlmann: "Virtual Private Network (VPN)“, ISBN 3-8266-0882-8; 398 Seiten, MITP-Verlag, Bonn 2003 – (als PDFs vollständig verfügbar)
Welche Probleme haben diese IT-Sicherheitsmechanismen heute?
Dadurch, dass immer mehr Computer im Internet angeschlossen sind, haben sich die Angriffsmodelle sehr stark verände

  • Die PCs, Notebooks, usw. können zunehmend über GSM, UMTS, … an der zentralen Firewall vorbei ins Internet und stellen somit eine Hintertüren (Back Door) und damit eine Risiko dar.

  • Viele Angriffe finden über die erlaubte Firewall-Kommunikation auf der Anwendungsebene statt!

  • Die Anzahl der Schwachstellen durch Softwarefehler wird immer größer.

  • Diese Computersysteme befinden sich wegen der erhöhten Mobilität der Mitarbeiter außerhalb der Kontrolle der Firmen und können kompromittiert werden! Beispiele sind: Außendienstmitarbeiter nutzen ihre Computersysteme in vielen unterschiedlichen Umgebungen mit unterschiedlichen Sicherheitsanforderungen. Heimarbeiter nutzen ihre PCs für private Zwecke. Mitarbeiter nehmen ihre Firmen-Notebooks mit nach Hause.