Sicherheit im DV-Netz der Kath. Universität Eichstätt

B. Brandel

Die Sicherheit in vernetzten DV-Umgebungen ist ein kostbares Gut, das ständig wechselnden Bedrohungen von innen (durch Manipulationen innerhalb unseres Netzes) und von außen (durch Angriffe aus dem Internet) ausgesetzt ist. Ein sicheres Arbeiten an den Rechnersystemen der Kath. Universität Eichstätt kann nicht allein durch Maßnahmen des Universitätsrechenzentrums realisiert werden, sondern ist nur durch die Sicherheitspartnerschaft zwischen Nutzern und Rechenzentrum, zu der auch Sie sich durch schriftliche Anerkennung unserer Benutzungsregelungen verpflichtet haben, möglich. Intention dieses Beitrags ist es, Ihnen, unseren Benutzern, bewusst zu machen, wie sicher oder unsicher unsere lokalen Netzumgebungen sind, welche Sicherheit Ihnen das Universitätsrechenzentrum zur Verfügung stellt und was Sie selbst eigenverantwortlich zur Gewährleistung einer ausreichenden lokalen Sicherheit beitragen können. Sicherheitsprobleme durch die Anbindung ans Internet sind nicht Thema dieses Beitrags, sondern zukünftigen Artikeln vorbehalten.

Die drei Säulen der Sicherheit von vernetzten DV-Umgebungen

Die Sicherheit der Rechnersysteme der Kath. Universität Eichstätt ruht auf drei Säulen, die gemeinsam vom URZ und von Ihnen, unseren Nutzern, instandgehalten werden müssen:

dem Schutz vor physischen Manipulationen an den Servern, an den lokalen Netzkomponenten sowie an Ihrem lokalen Rechner,
der Absicherung des DV-technischen Zugangs zum Rechnersystem
sowie der Absicherung des Zugriffs zu den Ressourcen des Rechnersystems.

Die beiden ersten Punkte sind Gegenstand dieses Artikels.

Schutz vor physischen Manipulationen an der Hardware

DV-Systeme, zu denen die Allgemeinheit physischen Zugang hat, können nicht befriedigend gegen Missbrauch und Sabotage abgesichert werden.

Schutz der zentralen DV-Komponenten durch das Rechenzentrum

Die wichtigen Netzkomponenten unseres lokalen Universitätsnetzes wie z.B. Router und Switches sowie die Server selbst befinden sich daher in sorgfältig abgesicherten Räumen. Durch diese physischen Zugangsbarrieren werden Angriffe auf die Herzstücke unserer Vernetzung deutlich erschwert. Eine erfolgreiche Attacke hätte hier besonders fatale Folgen für alle Benutzer: die Lahmlegung des gesamten Netzbetriebs und die Kompromittierung oder Zerstörung hochsensitiver Daten wäre möglich! Zusätzlich wird das Risiko, durch technisches Versagen oder höhere Gewalt (z.B. Temperaturschwankungen, Stromausfall, Spannungsschwankungen etc.) wichtige Daten auf den Servern zu verlieren, durch Klimatisierung, Einsatz von Notstromversorgungen und regelmäßige Datensicherungen minimiert.

Schutzmaßnahmen des Rechenzentrums für lokale PCs

Der Schutz der lokalen EDV-Ressourcen beginnt ebenfalls bei der Kontrolle des physischen Zugangs. Bei Rechnern in den PC-Pools kann das Rechenzentrum den physischen Zugang natürlich nur eingeschränkt kontrollieren, da das Aufsichtspersonal der PC-Pools vor allem die Benutzer qualifiziert beraten soll und erst in zweiter Linie überwachende Aufgaben erfüllt.

Schutzmaßnahmen durch die Benutzer selbst

Steht Ihr Arbeitscomputer in Ihrem eigenen Büro, arbeiten dort m.a.W. nur Sie selbst oder Personen Ihres Vertrauens? Dann können und müssen Sie selbst sicherstellen, dass Ihr Büro bei Abwesenheit immer verschlossen ist, v.a. wenn Sie ein Notebook Ihr eigen nennen (erhöhte Diebstahlgefahr!).

Sorgen Sie außerdem selbst für die regelmäßige Sicherung Ihrer lokalen Daten, insbesondere da Ihr lokaler PC i.Allg. nicht so gut gegen technische Defekte und höhere Gewalt geschützt ist wie z.B. unsere Server. Löschen Sie vertrauliche Daten, die Sie temporär auf öffentlichen PCs zwischengespeichert haben, bevor Sie diese verlassen!

Absicherung des DV-technischen Zugangs zum Rechnersystem

Die zweiter Säule der Sicherheit auf den Rechnersystemen der Kath. Universität Eichstätt ist die Kontrolle des DV-technischen Zugangs (Authentifizierung).

Notwendigkeit der Authentifizierung

Bei allen Rechnern der Katholischen Universität Eichstätt, ob Pool-Rechner, vernetztem Büro-PC oder Server wird der logische Zugriff auf das System durch entsprechende Authentifizierungsverfahren überprüft. Dies ist einerseits notwendig, um unberechtigten Benutzern den Zugang zu verwehren und andererseits, um die Urheber etwaiger Transaktionen feststellen zu können.

Gleichgültig, ob Sie von WindowsNT Workstation oder von MS-DOS/Windows3.11 aus auf unser Novell 4.11-Netz zugreifen möchten oder ob Sie stattdessen lieber unter Linux die Ressourcen der Unix-Welt nutzen wollen, in jedem Fall müssen Sie sich vorab einer Anmeldeprozedur unterziehen. Dabei muss man zwischen der Anmeldung am lokalen System und der Anmeldung im Netz unterscheiden. Das Zusammenspiel von beiden soll sowohl den DV-technischen Zugang zum lokalen Rechner als auch zu den Netzressourcen absichern.

Beschreibung der verschiedenen Authentifizierungsverfahren

Im Unterschied zu MS-DOS/Win3.11-Systemen können sich ungebetene Gäste nicht ohne Weiteres unbefugt lokalen Zugang auf WindowsNT- oder Linux-Rechnern verschaffen. Sie müssen sich vorab mit Kennung und Passwort ausweisen. Unter MS-DOS/Win3.11 gibt es diesen lokalen Zugangsschutz nicht. Um die Arbeit im Netz trotzdem unter allen drei lokalen Betriebssystemen einigermaßen sicherzumachen, ist der Gesamtanmeldungsvorgang unterschiedlich realisiert.

Auf WindowsNT-Arbeitsstationen in den PC-Pools müssen Sie sich gleichzeitig sowohl lokal als auch beim Novell-Netz authentifizieren. Damit wird ein rein lokaler Zugang verhindert. Die lokale Kennung/Passwort-Kombination wird i.d.R. automatisch an die Novellanmeldung angeglichen, damit nur eine Eingabe notwendig ist. Übergangsweise muss noch in manchen Pools eine für alle Nutzer einheitliche Kennung (z.B. pool mit leerem Passwort) mit sehr restringierten lokalen Aktionsrechten eingegeben werden. Die Novell-Kennung samt Passwort wird dann verschlüsselt übers Netz zum Novellserver übertragen und dort anhand einer auf dem Server der Allgemeinheit nicht zugänglichen Datei überprüft. Der Datenaustausch zwischen Novellserver und PC während der eigentlichen Arbeit findet allerdings unverschlüsselt statt und kann theoretisch abgehört werden. Dieses Risiko wird aber durch die physische Absicherung der wichtigen Netzkomponenten (Router, Switches, ...) minimiert.
An Büro-PCs ist auch eine rein lokale Anmeldung unter WindowsNT möglich.
Um das Arbeiten unter MS-DOS/Windows3.11 in den Pools trotz der fehlenden lokalen Zugangskontrolle doch ein wenig sicherer zu machen, wird wird der Rechner nach Herstellung einer rudimentären Netzverbindung aus dem Netz heraus auf Virenbefall überprüft. Als nächstes müssen Sie sich im Novellnetz anmelden. Erst dann erhalten Sie Zugang zum lokalen PC unter MS-DOS und auf die Netzlaufwerke. Wenn Sie dann win311 aufrufen, wird für Sie Windows3.11 aus dem Netz installiert, um Ihnen eine unmanipulierte Windows3.11-Arbeitsumgebung bieten zu können. Die damit verbundenen langen Wartezeiten sind leider der Preis, der für diesen Sicherheitsgewinn in Kauf genommen werden muss.
Im vor ungebetenen Benutzern sicheren Büro ist u.U. auch eine lokale Version von MS-DOS/Windows3.11 installiert, so dass Sie dort auch lokal ohne Authentifizierung arbeiten können.
Linux ist so konfiguriert, dass vor Ihrer lokalen Anmeldung der Rechner schon über das Network File System (NFS) Zugriff auf Dateisysteme im Netz aufgebaut hat, und dann bei Ihrer Anmeldung Ihre Passworteingaben mit Hilfe des Netzwerkdienstes Network Information Service (NIS) mit einer zentral auf einem Passwortserver im Netz abgespeicherten Passwortdatei abgleicht. Da im Unterschied zum Novellnetz auf diese Datei, in der die Passwörter verschlüsselt stehen, von allen Netzbenutzern lesend zugegriffen werden kann, sollten Sie unter Linux besonders darauf achten, auf keinen Fall triviale Passwörter zu verwenden! Außerdem findet die Datenübertragung zum Passwortserver und zum Fileserver unter Linux unverschlüsselt statt, so dass theoretisch Angreifer die übertragenen Pakete abfangen und abhören können. Dasselbe gilt auch, wenn Sie sich über das lokale Netz oder gar das Internet von einem anderen Rechner aus auf einem Linuxrechner anmelden, um nicht nur seine Dateiressourcen, sondern auch seine Rechenpower zu verwenden. Diese Möglichkeit gibt es übrigens unter MS-DOS/Windows3.11 und WindowsNT nicht.

Beitrag der Benutzer zur Absicherung der Authentifizierung

Damit kein ungebetener Gast Ihre Kennung missbrauchen kann, müssen Sie unbedingt selbst darauf achten, Ihr Passwort sicher zu gestalten. Wie das geht (v.a. kein Wort aus einem Wörterbuch und keine Eigennamen verwenden, nicht an Sonderzeichen sparen,...) wurde bereits ausführlich in der INKUERZE2/97 (Thema "Passwortsicherheit") beschrieben. Außerdem versteht es sich von selbst, dass Sie sich bei der Passworteingabe von niemandem über die Schulter schauen lassen sollten.

Grenzen der Authentifizierung

Die Authentifizierung an öffentlich zugänglichen Computern und erst recht in offenen Netzen ist eigentlich nicht nur einseitig d.h. vom Nutzer gegenüber dem System sondern auch umgekehrt notwendig, d.h. auch das System muss sich gegenüber dem Nutzer zweifelsfrei authentifizieren, damit der Nutzer sicher sein kann, seine Informationen nur dem System anzuvertrauen, dem er sie geben will.

Wer garantiert Ihnen beispielsweise, dass Ihnen kein Passwortabhörprogramm, das sich als das übliche Anmeldefenster ausgibt (Programme dieser Art nennt man auch Trojanisches Pferd), Kennung und Passwort entlockt und heimlich abspeichert, Ihnen daraufhin mitteilt, Sie hätten sich vertippt, und anschließend das korrekte LOGIN-Fenster aufruft?

Derartige Sicherheitslücken existieren vor allem unter MS-DOS, da dieses Betriebssystem ebenso wie Windows95/98 keinerlei lokalen Zugriffsschutz bietet. Unter WindowsNT ist eine derartige Manipulation ausgeschlossen, da Sie vor Ihrer lokalen Anmeldung die Tastenkombination

    <Strg> <Alt> <Entf>

drücken müssen und dadurch eventuell aktive ungebetene Prozesse wie z.B. Passwortabhörprogramme außer Gefecht gesetzt werden. Daher will Ihnen das Universitätsrechenzentrum auch weder Windows95 noch Windows98 zumuten, sondern stellt Ihnen, wenn Sie schon ein Microsoft-Betriebssystem benützen möchten, WindowsNT zur Verfügung.

Unter dem Betriebssystem Linux sind derartige Manipulationen prinzipiell nicht ausgeschlossen. Ein entsprechender Hacker müsste sich dazu aber zuvor mit einigem Aufwand Administratorrechte verschaffen, sei es durch Einbruch aus dem Netz oder durch größere Manipulationen am PC selbst.

Weiterführende Literatur und Veranstaltungen

Wenn Sie sich näher für das Thema Sicherheit interessieren, sei der Hinweis auf folgenden Bericht der Arbeitsgruppe "Verwaltungen und Kliniken im Hochschulnetz" gestattet, die Herr Dr. W.A. Slaby leitete und in der auch der Autor dieses Artikels mitarbeitete. Der Bericht hat den Titel "Sicherheit in Verwaltungs- und Kliniknetzen" und ist unter der URL

http://www.stmukwk.bayern.de/unifh/

als PDF-Version erhältlich.

Außerdem sind Sie herzlich zum Kurs "Internet-Security für Anwender" eingeladen, den der Autor dieses Beitrags am 11.12.1998 von 8 Uhr bis 12 Uhr, 14 Uhr bis 17 Uhr in Ingolstadt abhält. Möchten nicht auch Sie unsere Sicherheitspartnerschaft vertiefen?

Ansprechpartner im URZ: Zimmer: Telefon: PMail:

Bernhard Brandel IN: AS-301 -1888 bernhard.brandel

Dr. Wolfgang A. Slaby EI: eO-109a -1214/-1462/-1670 wolfgang.slaby

Ansprechpartner im URZ:	Zimmer:	Telefon:	PMail:
Bernhard Brandel	IN: AS-301	-1888	bernhard.brandel
Dr. Wolfgang A. Slaby	EI: eO-109a	-1214/-1462/-1670	wolfgang.slaby