Firewall

Firewall - ein Kernstück zur Sicherung des

Verwaltungsnetzes der Humboldt-Universität



1. Zwischenbericht

26.Februar 1998



AuftragnehmerHumboldt-Universität zu Berlin

ZE Rechenzentrum

KennzeichenTK 598-SD027
KurzbezeichnungFirewall
Laufzeit des Vorhabens25.08.97 - 31.08.99
Berichtszeitraum25.08.97 - 31.01.98
ProjektleitungDr. P. Schirmbacher
Fachliche BetreuungD. Natusch
ProjektdurchführungA. Geschonneck
R. Herbst




Allgemeines

  • AP 1 Grundschutzkonzept und Risikoanalyse
  • AP 2 Netzstrukturierung
  • AP 3 Firewall
  • AP 4 Kommunikationswege unter Umgehung des Firewall-Systems
  • AP 5 Verschlüsselung und Signatur



Anlagen:

Policy der Certification Authority der Humboldt-Universität HU-CA

Gliederung des Sicherheitskonzeptes der Verwaltung

Allgemeines

Der erste Zwischenbericht soll vor allem dazu dienen, den erreichten Stand der einzelnen Arbeitsetappen zu dokumentieren und auf Probleme bzw. Veränderungen in Projektinhalt und -zeitplan aufmerksam zu machen.

Um vorab ein erstes Fazit zu ziehen: Das Projektthema ist aktueller und brennt den Universitätsverwaltungen stärker ,,unter den Nägeln", als zum Zeitpunkt des Projektantrages absehbar war. Es war ursprünglich geplant, die im Projektantrag genannten Teilthemen

  • Grundschutzkonzept und Risikoanalyse
  • Netzstrukturierung
  • Firewall
  • Kommunikationswege unter Umgehung des Firewall-Systems
  • Verschlüsselung und Signatur

zeitlich nacheinander und unter Beachtung der Ergebnisse der vorhergehenden Etappe zu bearbeiten. Das hätte z.B. bedeutet, daß das Teilthema ,,Verschlüsselung und Signatur" erst Anfang 1999 bearbeitet worden wäre. In Abstimmung mit dem DFN-Verein haben wir beschlossen, einzelne, für die Universität besonders dringlich zu lösenden Aufgaben aus dem Zeitplan herauszulösen und sofort mit der Bearbeitung zu beginnen. Diese Aufgaben sind:

  • Aufbau einer gesicherten/verschlüsselten Verbindung zwischen einem PC im Universitätsnetz und dem Personalsystem,
  • Aufbau und Betrieb einer Zertifizierungsinstanz zur Beglaubigung von PGP und SSL-Schlüsseln an der Humboldt-Universität (HU-CA),
  • Sichere Windows95-Installation im Verwaltungsnetz

Im folgenden geht es um eine Kurzinformation zum Stand der Arbeiten. Auf die Darstellung von Einzelheiten wird verzichtet bzw. sie sind in den Anlagen beschrieben.

Arbeitspaket 1: Grundschutzkonzept und Risikoanalyse

Zielstellung

  • Aufbau eines Grundschutzkonzepts Verwaltungsnetz, wodurch ein Mindeststandard definiert wird, der bereits die Verarbeitung personenbezogener Daten im Netz gestattet. Dieser Standard kann im Einzelfall bei der Verarbeitung sensibler Personendaten erweitert werden.

Ergebnisse

Die Arbeiten am Arbeitspaket 1 wurden vorläufig abgeschlossen, folgende Ergebnisse liegen vor:

  • Durchführung einer Risikoanalyse unter Verwendung des methodischen Instrumentariums des BSI-Sicherheitshandbuches.
  • Erarbeitung einer Rahmengliederung für ein "Sicherheitskonzept Verwaltungsnetz" nach der bereits in Teilen verfahren wird.

Es ist beabsichtigt, einzelne Themen des Arbeitspaketes zu einem späteren Zeitpunkt noch einmal aufzugreifen. Vorerst liegen die Prioritäten der Projektarbeit auf den dringend zu lösenden Teilaufgaben in den Arbeitspakten 3 bis 5.

Das Instrumentarium des BSI-Sicherheitshandbuches (Version 1.0, Ausgabe 1992) erweist sich als bedingt brauchbar, ein IT-Sicherheitskonzept für eine bestehende IT-Landschaft zu formulieren. Mit den im IT-Sicherheitshandbuch beschriebenen IT-Systemen und Anwendungen ist eine Beschreibung eines modernen heterogenen Netzwerkes mit Client-Server-Anwendungen schwer durchführbar ( ... betrachtet wird ein PC, der keine Verbindung zum Netzwerk besitzt).

Es kann bestenfalls zur Unterstützung bei der Erstellung des Konzeptes dienen. Insbesondere erweist es sich als schwierig, die möglichen Schadenshöhen bei den verschiedenen Schadensursachen sinnvoll zu bewerten.

Das IT Grundschutzhandbuch liegt in einer Version von 1997 vor und beinhaltet bereits einen großen Teil der Neuerungen in der IT-Landschaft.

Eine Forderung des IT-Sicherheitshandbuches bestimmt die Fortschreibung des IT-Konzeptes. Es kommt darauf an, zu jedem Zeitpunkt eine Analyse der vorhandenen Sicherheitssysteme in der IT-Landschaft vornehmen zu können. Dies ist mit vertretbarem Aufwand nur dann zu erreichen, wenn das IT-Konzept als Report einer Datenbank über die IT-Systeme und Schutzmaßnahmen verstanden wird (Database-Publishing). Ein solcher Ansatz ist in einer mit Java-Frontend ausgestattenen Datenbank-Applikation mit HTML-Output von der Fa. Ploenzke-Informatik im Auftrag des BSI

verwirklicht worden. Der Einsatz dieser Software im RZ wird getestet.

Arbeitspaket 2: Netzstrukturierung

Zielstellung

  • Ausgehend von der Beschreibung des Vernetzungskonzepts werden die Sicherheitsrisiken herausgearbeitet und Vorschläge zur Verbesserung des Vernetzungskonzepts unter Sicherheitsaspekten gemacht

Aktivitäten

  • Überarbeitung des Netzwerk-Dokumentation des Verwaltungsnetzes der Universität
  • Überarbeitung von Filterregeln der eingesetzten Netzwerktechnik
  • Erarbeitung des Vernetzungskonzeptes der Verwaltung der Universität
  • Erarbeitung eines Lösungskonzeptes zum sicheren Betrieb von Windows95 - PC im Verwaltungsnetz

Ergebnisse

Die Überarbeitung der Netzwerkdokumentation ist zu großen Teilen abgeschlossen (Jan 1998).

Es wurde eine Datenbanklösung geschaffen, die es ermöglicht, die für den Netzbetrieb notwendigen Nutzerdaten über einen SSL-fähigen WWW-Browser abzufragen (Okt 1997). Aufgrund der Plattformunabhängigkeit wird die Netzwerkbetreuung wesentlich unterstützt.

Mittels der Netzwerk-Management-Software Spectrum wurde die Performance der aktiven Komponenten des Verwaltungsnetzes analysiert. Temporär auftretende Instabilitäten des Netzes konnten auf die zentrale Bridge innerhalb des Verwaltungsnetzes zurückgeführt werden. Im Ergebnis der Untersuchungen erfolgte der Austausch dieser Komponente durch eine Bridge höherer Leistungsfähigkeit (Okt 1997).

Eine weitere Erhöhung der Netzwerksicherheit konnte durch den Einsatz von Switch-Technik im Verwaltungs-LAN erreicht werden (Dez 1997). Dies dient der Vorbereitung der Migration zu VLANS in der näheren Zukunft.

Arbeitspaket 3: Firewall

Zielstellung

  • Schutz des internen Netzes gegen Angriffe von außen
  • einziger Übergang zwischen dem sicheren Netzbereich der Zentralen Universitätsverwaltung (ZUV) und dem externen unsicheren Netzbereich
  • Schutz der übertragenen Daten gegen Angriffe auf deren Vertraulichkeit und Integrität

Aktivitäten

  • Erhöhung der Ausfallsicherheit des Firewall-Systems unter Last
  • Erprobung von Java-, JavaScript- und ActiveX-Filtern
  • Installation mehrerer Möglichkeiten der Nutzer-Authentisierung auf dem Firewall-System
  • Installation der automatischen Auswertung registrierter Penetrationsversuche

Ergebnisse

Es konnte eine Erhöhung der Ausfallsicherheit des bestehenden Firewall-Systems unter Lastbedingungen erzielt werden.

Durch die Integration verschiedener Gateways in das System ist es gelungen, zusätzliche Internet-Dienste für die Nutzer verfügbar zu machen (z.B. pop3, SQL, telnet).

Im Zuge der Erhöhung der Netzwerksicherheit erfolgte die Umstellung des Verwaltungsnetzes auf eine aktuelle und somit sicherere Browser-Version.

Erste Sondierungsgespräche mit Anbietern von Firewall-Systemen haben stattgefunden und es wurden Teststellungen vereinbart.

Ein noch nicht gelöstes Problem stellt die Einbindung der Dienste des Banyan Vines-Netzes in das Firewall-Konzept dar. Zwischen internem Verwaltungsnetz und dem außerhalb der Firewall liegendem Universitätsnetz erfolgt die Kommunikation über Banyan Vines-IP, einem Non-TCP/IP-Protokoll, welches mit dem gegenwärtigen Firewall-Konzept noch nicht zu beherrschen ist. Zukünftige Versionen von Banyan Vines werden jedoch Produkt-Ankündigungen zufolge auf TCP/IP beruhen und somit in das Firewall-Konzept mit einbezogen werden können.

Ein weiteres Problem stellt die Möglichkeit dar, SMTP-Mail auszutauschen. Es exististiert ein Vines-to-SMTP Mailgateway, welches sich im äußeren Netzwerk befindet und somit mit den bekannten Sicherheitsrisiken behaftet ist.

Arbeitspaket 4: Kommunikationswege unter Umgehung des

Firewall-Systems

Zielstellung

  • Entwicklung eines Sicherungs- und Archivierungskonzepts für die Unix-Server der Studien-, Personal- und Haushaltsabteilung auf Basis von UniTree und Convex-Robotersystem (im RZ vorhanden bzw. mit RZ-Mitteln erweiterbar). Es ist noch zu entscheiden, ob dedizierte Netzverbindungen zum RZ (außerhalb der Firewall) oder vorhandene Verbindungen (über die Firewall) genutzt werden
  • Recherche nach Hard- und Software, mit der unerlaubte FAX-Anschlüsse im Verwaltungsnetz detektiert werden können.

Ergebnisse

Es fanden erste Informationsgespräche über ein Backup-Konzept statt. Ergebnisse liegen noch nicht vor.

Arbeitspaket 5: Verschlüsselung und Signatur

Zielstellung

  • Mit zunehmender Vernetzung wird die sichere Übermittlung von Daten immer bedeutsamer. Durch den Einsatz suffizienter Verschlüsselung soll die Sicherheit, Integrität und Unfälschbarkeit der transportierten Daten gewährleistet werden
  • Aufbau einer HU-internen Zertifizierungshierarchie in enger Abstimmung mit dem DFN-Projekt "Policy Certification Authority" (PCA)

Aktivitäten

  • Ausrüsten der durch die Teilnehmer des ZUV-Netzes benutzten externen Unix-Server mit SSH und Organisation einer Key- und Zertifikatsverwaltung
  • Aufbau eines ACE-Servers zur sicheren Authentisierung

Ergebnisse

Es wurden die Voraussetzungen für den Betrieb einer Zertifizierungsinstanz geschaffen. Es enstand eine Policy.

Der Inhalt dieser Policy wurde innerhalb des RZ, mit dem Datenschutzbeauftragten der HU und ähnlich gearteten DFN-Projekten (DFN-PCA, Ambix) abgestimmt.

Der interne Testbetrieb der HU-CA und der RZ-DCA wurde im Dez 1997 begonnen.

Eine aus den Mitteln des DFN beschaffte Sun-Workstation dient u.a. als WWW-Server der CA der HU (HU-CA) und der DCA des Rechenzentrums (RZ-DCA) der Humboldt-Universität.

Anfang Februar wurden unsere Ergebnisse und Erfahrungen auf einem Arbeitstreffen der Zertifizierungsinstanzen in Jena vorgstellt und mit den Teilnehmern diskutiert.

Dezentralisierungstendenzen innerhalb der Verwaltung der Universität machen es erforderlich, einen Zugang zu den zentralen Servern durch einen unsicheren Bereich hindurch zu ermöglichen. Es ist beabsichtigt, die Übertragung sensibler Daten über solche unsicheren Kanäle zu verschlüsseln. Zur Verschlüsselung wird SSH benutzt. Schwierigkeiten bei der Tastaturanpassung für die eingesetzten Applikationen machten es erforderlich, auf das kommerzielle Produkt F-Secure SSH der ansonsten frei erhältlichen Software zurückzugreifen.

An die Projektgruppe wurde der Wunsch herangetragen, eine authentisierte und verschlüsselte Verbindung zwischen einem im Außennetz stehenden dezentalen PC und den UNIX-Servern im sicheren Bereich hinter der Firewall zu ermöglichen. Nach Abstimmung mit dem DFN-Verein wurde für März 1998 eine diesbezügliche technische Lösung zugesagt. Aus Haushaltsmitteln wurde hierfür eine Sun-Workstation beschafft, auf der ein ACE-Server von Security Dynamics installiert ist. Dieser Server authentisiert externe Nutzer auf Basis von zeitabhängigen Einmal-Paßwörtern.

Document Actions
last modified 09-01-20 KL
Personal tools