Humboldt-Universität zu Berlin, Rechenzentrum

"Firewall - ein Kernstück zur Sicherung des Verwaltungsnetzes der Humboldt-Universität"

1. Einordnung des Projektangebotes

Das vorliegende Projektangebot ist in engem Zusammenhang mit den Aufgabenstellungen der Nutzergruppe "Hochschulverwaltung im Deutschen Forschungsnetz" und seinen Teilprojektgruppen

1. Realisierungsbeispiele
2. Datenschutz und Datensicherheit
3. Anwendung der Rechnernetze im Verwaltungsbereich

zu sehen.

Der Anbieter ist seit 1994 Mitglied der Teilprojektgruppe 2.

Die im Bericht der Teilprojektgruppe 2 (DFN-Bericht Nr. 80) dargelegten grundsätzlichen Aussagen und Systematiken bilden das theoretische Fundament des Projekts, von dem ausgehend ein pragmatischer Lösungsansatz für die Hochschulverwaltung aufgezeigt werden soll.

Das Projektangebot der Humboldt-Universität ergänzt die Projekte

• der Fernuniversität Hagen zum "Public Key-Service im Hochschulverwaltungsbereich" und
• der Fachhochschule Wilhelmshaven zum "Entwurf eines Sicherheitskonzeptes im Hochschulverwaltungsbereich".

Während das Projekt der Fernuniversität Hagen die Entwicklung und Erprobung eines Public Key-Service (auf PGP-Basis) zum Inhalt hat und Erkenntnisse über die Möglichkeiten der flächendeckenden Verwendung von Authentifizierungs- und Verschlüsselungsverfahren für sensitive Anwendungen erbringen soll, betrachtet das Projekt der Fachhochschule Wilhelmshaven das Verwaltungs- und Hochschulnetz im Sinne des Verbundes und untersucht, inwieweit auf der Grundlage überwiegend globaler Netzsicherungsmaßnahmen für die Verwaltung eine weitgehend uneingeschränkte Nutzung des Wissenschaftsnetzes ermöglicht werden kann.

Der Schwerpunkt des Projektangebotes der Humboldt-Universität zu Berlin liegt darin, für ein bereits im Aufbau befindliches Verwaltungsnetz mit definierten Schnittstellen "nach außen" eine Beispiellösung Firewall zu entwickeln und diese in Untersuchungen zur sicheren Netzstrukturierung und zur Verschlüsselung und Signatur einzubetten.

Insofern ergänzen sich die Ansätze der 3 Projektanträge.

Ein regelmäßiger Informationsaustausch zwischen den Projektmitarbeitern sowie die wechselseitige Einbeziehung von Projektteilergebnissen wird angestrebt.

2. Problemsituation

Der Aufbau des Universitätsrechnernetzes hat in den letzten 6 Jahren rasante Fortschritte gemacht. Über 12 000 Mitarbeiter und Studierende verfügen an der Humboldt-Universität derzeit über einen Netzzugang und nutzen die universitätsinternen und die über das Internet angebotenen Dienste und Leistungen.

Fast zeitgleich wurde auch damit begonnen, für die Universitätsverwaltung PCs mit Netzanschlüssen zu installieren und damit die Voraussetzung für die Einführung neuer DV-Verfahren zu schaffen. Die Konzentration des überwiegenden Teiles der Zentralen Universitätsverwaltung im Hauptgebäude der Universität bot dabei günstige Bedingungen für die Verkabelung.

Das ursprüngliche Vernetzungskonzept für die Universitätsverwaltung enthält einige wichtige Grundprinzipien, die größtenteils heute noch gültig sind und die auch die Bildung eines "flächendeckenden" Verwaltungsnetzes möglich machen. Das sind z.B.

• der Aufbau abteilungsbezogener Subnetze, einschl. der Installation sog. gewidmeter Abteilungsrechner,
• die frühzeitige Durchsetzung des Konzepts der strukturierten Verkabelung,
• die zentrale Betreuung der Vernetzungs- und Servertechnik durch speziell geschultes Personal,
• der Einsatz von Banyan VINES als universitätsübergreifendes Netzwerkbetriebssystem.

3. Projektziele

Ausgehend von der hier nur kurz umrissenen Problemsituation an der Universität besteht das Hauptanliegen des Projektangebotes darin, die mit der flächendeckenden Vernetzung der Verwaltung verbundenen Risiken - die deutlich über die Risiken der lokalen Vernetzung hinausgehen - zu analysieren, konkrete datenschutztechnische Anforderungen abzuleiten und Zusatzmaßnahmen zur Verbesserung der Netzsicherheit zu formulieren und umzusetzen.

Für die konkrete Vernetzungssituation an der Humboldt-Universität ist die Entwicklung eines Firewall-Systems, in Verbindung mit weiteren Sicherheitsmaßnahmen, das geeignete Mittel, um die Risiken deutlich zu minimieren.

Da an anderen Hochschulen ähnlich gelagerte Sicherheitsprobleme bestehen, sehen wir in der Bearbeitung gerade dieses Themas eine gewisse Referenzfunktion.

Das Projekt gliedert sich in folgende Themenbereiche, wobei die Entwicklung der Beispiellösung Firewall im Mittelpunkt stehen wird:

1. Definition des Grundschutzkonzepts "Verwaltungsnetz"
2. Risikoanalyse
3. Netzstrukturierung - Koppel- und Filterelemente unter Sicherheitsaspekten
4. Entwicklung einer Beispiellösung Firewall
5. Kommunikationswege unter Umgehung des Firewall-Systems
6. Verschlüsselung und Signatur

Die ersten beiden Themen dienen mehr der Projektvorbereitung und der Erläuterung von Grundstandpunkten. Es wird ein Satz von Empfehlungen entstehen, der aber - auf Grund der Entwicklungsdynamik - laufend zu überarbeiten ist. Die nachfolgenden Themen konzentrieren sich auf zu untersuchende Sicherheitsmaßnahmen bzw. die Entwicklung von Beispiellösungen.

Der enge Zusammenhang zwischen den Themen 3 bis 6 soll im folgenden kurz verdeutlicht werden:

• Die Netzstrukturierung bildet den Ausgangspunkt der weiteren Untersuchungen. Hier wurden durch die Bildung von Subnetzen und die frühzeitige Durchsetzung der strukturierten Verkabelung bereits erste "Weichen gestellt" (Thema 3).
• Darauf aufbauend kann die Beispiellösung Firewall entwickelt werden, mit deren Hilfe der sensible Netzbereich der Verwaltung gegenüber den externen Netzbereichen geschützt werden soll (Thema 4).
• Wurde das Firewall-System entwickelt, darf es keine Kommunikation unter Umgehung des Firewalls geben. Welche technischen und organisatorischen Maßnahmen hierzu erforderlich sind, ist Gegenstand des 5. Themas.
• Die Untersuchung von Möglichkeiten von Verschlüsselung und Signatur stehen in engem Bezug zur Entwicklung des Firewall-Systems. Im 6. Thema werden die Einsatzmöglichkeiten von Verschlüsselungsverfahren für die sichere Kommunikation mit Partnern außerhalb des sicheren Netzbereiches untersucht.

In den folgenden Abschnitten werden die einzelnen Themenbereiche näher beschrieben.

3.1. Definition des Grundschutzkonzepts "Verwaltungsnetz"

Es wird von der These ausgegangen, daß in heterogenen Netzen, hier speziell der Verwaltung, nicht mehr von anwendungs- oder verfahrensbezogenen Sicherheitsmaßnahmen ausgegangen werden sollte, da die Systemgrenzen immer mehr verwischen und die Abtrennung von Systemen mit sensiblen Personendaten (dem Berliner Datenschutzgesetz unterliegende Daten) von Systemen mit weniger sensiblen Daten (dem Informationsverarbeitungsgesetz unterliegende Daten) nur schwer erreichbar ist.

Statt dessen wird ein niedriger bis mittlerer Grundschutz angenommen, der allen in der Verwaltung der Universität typischen Anwendungen gerecht werden kann.

Ziel des Projekts ist der Aufbau eines Grundschutzkonzepts Verwaltungsnetz, das einen Mindeststandard definiert, der bereits die Verarbeitung sensibler personenbezogener Daten im Netz gestattet, der jedoch im Einzelfall bei der Verarbeitung besonders sensibler Personendaten erweitert werden kann.

3.2. Risikoanalyse

Wie bereits im Punkt 2 angedeutet, entstehen durch die Verbindung einzelner lokaler Netze, die Kopplung verschiedener Netzwerkbetriebssysteme und auch durch die Öffnung des Verwaltungsnetzes zum Wissenschaftsnetz und damit zum Internet weitergehende Sicherheitsrisiken mit möglicherweise globaleren Auswirkungen. Deshalb muß eine erste Aufgabe in der Analyse der erwarteten Risiken bestehen. Hier wird u.a. auf das methodische Instrumentarium des Sicherheitshandbuchs des BSI zurückgegriffen.

Gegenstand der Schwachstellen- und Risikoanalyse ist weniger die einzelne DV-Anwendung, sondern das Verwaltungsnetz insgesamt.

Bezogen auf das Vernetzungskonzept (s. Abbildung 1) beginnt der sog. unsichere Bereich hinter dem Firewall-System. Die Risikoanalyse wird sich auf die Angriffe von außen, aber auch auf mögliche Manipulationen aus dem internen Netz, beziehen.

3.3 Netzstrukturierung - Koppel- und Filterelemente unter Sicherheitsaspekten

Gegenstand der Untersuchung ist das Vernetzungskonzept der Verwaltung, mit dessen Umsetzung bereits begonnen wurde. Wichtige Komponenten des Vernetzungskonzepts sind

• die strukturierte Verkabelung,
• Anbindung des Verwaltungsnetzes an das Universitätsnetz über einen separaten Routerausgang - unter Nutzung der IP-Adressenfilterung,
• die Subnetzkopplung innerhalb des Verwaltungsnetzes mit Hilfe einer Bridge - unter Nutzung der Filterfunktion auf MAC-Adressenebene.

Ausgehend von der Beschreibung des Vernetzungskonzepts werden die Sicherheitsrisiken herausgearbeitet und Vorschläge zur Verbesserung des Vernetzungskonzepts unter Sicherheitsaspekten gemacht.

Geleistete Vorarbeiten zum Teilthema:

Das in Abbildung 1 skizzierte Vernetzungskonzept wurde für die Verwaltung in großen Teilen umgesetzt. Gegenwärtig verfügen ca. 300 Mitarbeiter der Zentralen Universitätsverwaltung (ZUV) über einen PC mit Netzanschluß.

3.4. Entwicklung einer Beispiellösung Firewall

Das Firewall-System soll dem Schutz des internen Netzes gegen Angriffe von außen dienen. Dieser Schutz soll aus einer Kombination von Hard- und Software erreicht werden. Das System wird so konfiguriert, daß es als einziger Übergang zwischen dem sog. sicheren Netzbereich der Zentralen Universitätsverwaltung (ZUV) und dem externen unsicheren Netzbereich dient.

Neben den externen Gefahren werden die Manipulationen aus dem internen Netz in die Untersuchungen einbezogen. Der Schutz der übertragenen Daten gegen Angriffe auf deren Vertraulichkeit und Integrität sowie die Gewährleistung einer hohen Verfügbarkeit der Netzwerkserver (Denial-of-Service-Attacks) wird dabei ebenfalls Beachtung finden. Angriffe, die auf IP-Spoofing beruhen, oder das Source-Routing bzw. ICMP mißbrauchen, werden so erfolgreich abgewehrt.

Als Ansatz sehen wir die Schaffung eines Systems, bestehend aus

• einem äußeren und inneren Screening-Router, der eine sichere "demilitarisierte Zone" (DMZ) schaffen soll,
• einem Bastions-Host (der bei Bedarf, zur Unterstützung der Sicherheitsrouter, dualhomed ist), der die Schnittstelle zwischen dem inneren und äußeren IP-Netz bildet. Dieser Bastionshost wird als Application-Level-Gateway konfiguriert und
• einem Loghost für das automatische Verarbeiten von Logdateien.

Bei der Konzipierung des Firewalls wurde auf Arbeiten des DFN-CERT (u.a. DFN-Bericht Nr. 76) zurückgegriffen.

Abb.2 (nicht öffentlich)

Ziel ist es, die hier nur kurz skizzierte und in Abbildung 2  beschriebene Beispiellösung Firewall innerhalb des Projektzeitraumes, unter Beachtung der Ergebnisse der Risikoanalyse und unter dem Aspekt der Performancesteigerung und der Verbesserung der Bedienungs- und Benutzerfreundlichkeit, weiterzuentwickeln.

geleistete Vorarbeiten zum Teilthema:

Das in Abb. 2 beschriebene Firewallkonzept wurde durch das Rechenzentrum entwickelt und befindet sich seit Juni 1996 im Testbetrieb. Die bisher durchgeführten Konsistenztests entsprachen unseren Erwartungen und bestätigten die Richtigkeit des gewählten Ansatzes.

Mit der jetzigen technischen Ausstattung sind jedoch Probleme bezüglich der Performance zu erwarten.

3.5. Kommunikationswege unter Umgehung des Firewall-Systems

Ziel eines Firewall-Systems soll es sein, sämtliche Kommunikation zwischen dem sicheren und dem unsicheren Netz zu kanalisieren und somit alle "Hintertüren" zu schließen.

Solche Hintertüren können sein:

• Modems oder
• Datenaustausch per Diskette
• Non-TCP/IP-Protokolle, wie Banyan VINES

Gegenwärtig wird versucht, durch organisatorische und technische Maßnahmen z.B. das Faxen oder die Einwahlmöglichkeit von und zu einem vernetzten PC in der ZUV zu verhindern. Hierzu sollen systematische Untersuchungen durchgeführt werden.

Gegenstand des Teilthemas ist deshalb

• die Untersuchung der mit dem Fernzugriff verbundenen Risiken,
• die Analyse der hard- und softwareseitigen Möglichkeiten der Überwachung von Netzzugängen "von außen" (z.B. Scannen von Modemanschlüssen im Verwaltungsnetz).

Der Beginn der Umsetzung ausgewählter Sicherheitsmaßnahmen soll innerhalb des Projektzeitraumes erfolgen.

Geleistete Vorarbeiten zum Teilthema:

Die "Empfehlungen des Rechenzentrums zur elektronischen FAX-Nutzung in der Verwaltung" bilden einen ersten Ansatz.

3.6. Verschlüsselung und Signatur

Mit zunehmender Vernetzung wird die sichere Übermittlung von Daten immer bedeutsamer. Durch den Einsatz suffizienter Verschlüsselung soll die Sicherheit, Integrität und Unfälschbarkeit der transportierten Daten gewährleistet werden.

Ziel ist es, den Netzteilnehmern der ZUV abhörsichere WWW- und Telnetverbindungen zu Hosts im unsicheren Netzbereich zu ermöglichen. Damit ist auch die Möglichkeit gegeben, innerhalb der ZUV geschützte Arbeitsgruppen zu definieren.

Darüber hinaus wird im vom Firewall-System geschützten Netzbereich (DMZ) ein Mail-Gateway installiert, das eine automatische PGP-Signatur zuläßt. Dazu sind die LAN-Messaging-Tools, wie z.B. Beyond Mail von Banyan VINES, an dieses Verfahren anzupassen. Das Mail-Gateway soll auch die Verwaltung der Public Keys übernehmen. Voraussetzung hierfür ist die Schaffung einer Zertifizierungsinstanz, die neben der Zertifizierung der PGP-Keys auch eine Zertifizierung der SSL-WWW-Server-Keys vornimmt.

Ziel des Projektteilthemas ist der Aufbau einer HU-internen Zertifizierungshierarchie, die in enger Abstimmung mit dem DFN-Projekt "Policy Certification Authority" (PCA) erfolgen soll.

Bei der Bearbeitung des Themas sollte auf die Ergebnisse des Projekts der Fernuniversität Hagen zum Public Key-Service Bezug genommen werden.

Geleistete Vorarbeiten zum Teilthema:

Es wurde damit begonnen, die Unix-Hosts der ZUV und die durch das Rechenzentrum verwalteten Hosts mit SSH-Daemons auszustatten.

Zur Banyan VINES-Anbindung existiert noch kein eindeutiger Lö sungsansatz. Während der Bearbeitung des Teilthemas sollten dazu weitere Prä zisierungen vorgenommen werden.