IT-Konvergenz und Sicherheit – Das aktuelle Kommunikationsdilemma erfordert neue Wege effektiver Kommunikationsmethoden. Deren Fundament kann in einer sicheren, hochverfügbaren und zuverlässigen IP-Infrastruktur liegen.

Voice-over-IP ist in aller Munde. Die Konvergenz von Sprache und Netz wird zur Realität. Die Integration der verschiedenen Kommunikationswege vereinfacht die Nutzung erheblich. Eine signifikante Verbesserung der Art und Weise, wie Menschen und Organisationen miteinander und untereinander kommunizieren, wird erreicht. Ziel ist es, die Kommunikation einfacher, weniger komplex und für den Nutzer kontrollierbarer zu machen – sowohl zu Hause als auch im Büro und unterwegs. Dabei soll der ungehinderte Zugang zu Anwendungen, Diensten und Informationen – gleich über welches Netz und mit welchem Endgerät – erreicht werden. Nachdem der Nutzer sich eindeutig authentifiziert hat, stehen ihm alle Dienste zur

Verfügung, die in seinem Profil hinterlegt sind. Dabei spielt es keine Rolle, ob er über das Firmennetz, das öffentliche Festnetz oder das Mobilfunknetz zugreift.

Die zunehmende Komplexität erfordert neue Lösungen

Anwender haben heute mit einem Kommunikationsdilemma zu kämpfen: Die Komplexität der Erreichbarkeit von Menschen und Informationen nimmt mit der Vielzahl der Endgeräte weiter zu. Die Menge an unstrukturierten Informationen, die auf alle Anwender einströmen, wird immer größer. Gleichzeitig wächst der Bedarf, jederzeit an relevante Informationen zu kommen, damit wichtige Aufgaben an jedem Aufenthaltsort erledigt werden können. Das Ergebnis dieses Kommunikationsdilemmas ist, dass Unternehmen weniger produktiv arbeiten, schlechter für Kunden erreichbar sind und Geld verschwenden.

Die Verschmelzung von Sprache mit der IP-Infrastruktur wird immer mehr zur Realität. Die abwartende Haltung vor der Einführung von VoIP ist größtenteils verschwunden. Sowohl Carrier als auch Unternehmenskunden erkennen den Mehrwert von VoIP an und starten die Implementierung. Damit dies aber zum Erfolg wird ist es unabdingbar, die Infrastruktur zu betrachten, um im voraus Fehler in der Implementierung zu vermeiden und im Betrieb eine zuverlässige und konvergente Kommunikationsplattform zur Verfügung zu stellen.

Funktionen wie Quality-of-Service (QoS) oder Policy-Management für den Dienst Sprache werden hierbei häufig genannt. Es bedarf aber weitaus mehr als nur dieser beiden fundamentalen Leistungsmerkmale, um für die zukünftigen konvergenten Netze gerüstet zu sein.

Denn der wirkliche Mehrwert von VoIP kommt erst zum Vorschein, wenn die Sprache Einzug in die Geschäftsprozesse der Unternehmen hält. Die Kommunikation soll mittels VoIP vereinfacht werden, um die Mitarbeiter in ihrer täglichen Arbeit zu unterstützen. Dazu gehört natürlich auch die Integration in existierende IT-Umgebungen. Nur wenn die Konvergenz auch horizontal betrachtet wird und das Zusammenwachsen von den einzelnen IT-Applikationen mit VoIP realisiert wird, können signifikante Erfolge erzielt werden.

Nächste Generation der Konvergenz

Beispielsweise stellt Siemens Communication Enterprise im Rahmen ihrer »Secure Intelligent Enterprise Networking Architecture« Funktionen zur Verfügung, die die oben beschriebene Intelligenz der nächsten Generation der Konvergenz bereitstellen. Die Hipath-Kommunikationsplattformen bilden hier den Kern. Durch ihre auf Standards basierende Offenheit ist es möglich, eine horizontale Konvergenz zwischen den Business-Applikationen herbeizuführen. Über sogenannte Web-Services kann eine Service-oriented-Architecture (SOA) aufgebaut werden.

Es ist aber auch wichtig, für die vertikale Konvergenz der Sprache auf der IP-Infrastruktur ein sicheres und zuverlässiges Fundament aufzubauen. Eine derartige Verschmelzung von Business-Applikationen und Unternehmenskommunikation stellt herausragende Anforderungen an die Verfügbarkeit der Infrastruktur. Sowohl für die einzelnen Applikationen als auch an die Sicherheit der Infrastruktur selbst: Ohne eine sichere (Netzwerk-)Infrastruktur gibt es keine verfügbare Applikationsinfrastruktur.

Ein optimal gesichertes Netz sollte daher folgende Funktionen beinhalten, um diesen Anforderungen gewachsen zu sein:

• Einführung und Durchsetzung von Policies,
• Zugriffskontrolle und Authentifizierung,
• Erkennung und Lokalisierung,
• Reaktion und Beseitigung sowie
• präventive Maßnahmen wie Network-Access-Control (NAC).

Einführung und Durchsetzung von Policies

Über die Policies können sehr granular verschiedenste Dienste den einzelnen Nutzern nach einer Authentisierung zugewiesen werden. Damit ist eine präzise, sicherheitsrelevante Teilung der Nutzer beziehungsweise ein Zuweisen von entsprechenden Service-Qualitäten möglich. Die Policies pro Nutzer können aus VLAN Zuweisung, ACL (Access-Control-Lists), Prioritätszuweisung (Quality-of-Service) und Bandbreitenlimitierung (Rate-Limiting) bestehen.

Oft werden nur einfache VLAN-Policies unterstützt, innerhalb eines VLANs gibt es aber gar keine Kontrolle. Hier stellen sich einige Fragen:

• Was passiert nun, wenn jemand einen unautorisierten DHCP-Server an das VLAN anschließt und sich mit passenden Credentials anmeldet?
• Wie unterscheidet man hier bei einem Softphone auf dem PC zwischen VoIP und Datenverkehr?
• Wie kann man eine Wurmausbreitung innerhalb eines VLANs stoppen?

Die Lösung dieser Probleme liegt in den Port-Policies, die auch zwischen Ports im gleichen VLAN greifen und auch Informationen von Layer-2 (VLAN/MAC-Adresse) bis Layer-4 (Applikationen wie http, E-Mail oder VoIP) mit einbeziehen. Durch diese Möglichkeiten ergeben sich eine Reihe von Vorteilen. Zum Beispiel ACL und QoS auf Layer-2/3/4: Diese Funktion bietet die Möglichkeit, ohne VLANs Nutzergruppen voneinander im gleichen Subnetz zu trennen. Der Entfall einer VLAN-Struktur bietet einen geringeren Administrationsaufwand und wesentliche Verbesserungen in der Netzstruktur, da keine Layer-2/VLAN-Dienste über das gesamte Netz gebridged werden müssen.

Die Skalierbarkeit großer gebridger Layer-2-Netze ist begrenzt. Weiterhin ist man in der Lage, durch die dynamische Natur der ACLs die traditionellen, statischen Router-ACLs abzulösen. Hier entfällt dann die Administration dieser ACLs bei Umzügen: Es entstehen keine Change-Management-Kosten im Netz. Wie zuvor erwähnt sollte das Policy-Management in der Lage sein, dem Switch dynamisch die Prioritäts-Klassifizierungsregeln als auch die Rate-Limit-Einstellungen für den Verkehr auf Layer-2 bis -4 zuzuordnen. Eine reine Layer-2-Funktionalität im Switch ist nicht ausreichend, um eine konvergente Infrastruktur garantiert zu unterstützen. Beim Einsatz von Voice-over-IP und anderen Applikationen reicht die Priorisierung auf VLAN- oder IEEE-802.1p-Ebene nicht aus.

Applikationen können typischerweise nur auf Grund von Layer-4-Informationen unterschieden werden – der Switch muss dies entsprechend unterstützen. Ansonsten ist keine differenzierte Servicezuweisung möglich. Bei VoIP (H.323 und SIP) und anderen Protokollen auf UDP/RTP-Basis ist dies noch etwas komplizierter – die Layer-4-Ports, über die die Sprache übertragen wird, werden dynamisch ausgehandelt. Damit kann hier nur die Layer-3-Information (IETF-Standard Diffserv – DSCP-Diffserv-Code-Point, alt TOS-Byte) ausgewertet werden.

Layer-2-Protokolle wie IEEE 802.1p hingegen sind nicht durchgängig nutzbar – Softphones auf dem PC zum Beispiel unterstützen dies über die Adapterkarte des PCs typischerweise nicht. Damit ist man hier auf DSCP festgelegt. Der DSCP-Wert wird jedoch vom Endsystem gesetzt. Es stellt sich die Frage, wie man garantieren kann, dass auch nur VoIP mit hoher Priorität übertragen wird. Eigentlich gar nicht mit einem Ethernet-Switch. Nur Proxies oder Application-Level-Gateways könnten dies – diese stehen aber nicht an jedem Switch-Port. Deswegen kommt hier direkt Rate-Limiting ins Spiel. Damit werden dann zwar geringe Latency und Jitter für die Service-Klasse EF garantiert, aber auch nur eine limitierte Bandbreite bereitgestellt. Damit hat eine absichtliche oder unabsichtliche »Fehlkonfiguration« auf dem Endsystem, die versucht, einen Datentransfer über EF abzuwickeln, keinen Einfluss auf die Service-Qualität anderer VoIP-Verbindungen.

Zugriffskontrolle und Authentisierung

Wenn man Authentisierung einführen möchte, stellt sich zunächst die Frage nach der Art und Weise der Verfahrens. Es gibt mehrere Möglichkeiten, dies zu tun. Hier ist man sehr abhängig vom verwendeten Endsystem:
802.1x für eigene PCs und Laptops, in Zukunft teilweise auch IP-Phones,
MAC-Adresse für Drucker, IP-Phones und andere Maschinen im Netz, wie Sicherheitskameras, Produktionssteuerungen oder Sensoren,
Web-Portale für Gäste, Consultants oder Service-Techniker,
Convergence-Endpoint-Detection (CEP) für die automatische Erkennung und
Default-Eigenschaften, beispielsweise für TFTP/Bootp, damit Diskless-Stationen booten.

Ein Switch muss optimalerweise alle Verfahren gleichzeitig pro Port unterstützen, damit man nicht den Administrationsaufwand unnötig erhöht, sonst muss bei jedem Umzug das Authentisierungsverfahren angepasst werden. Bei der Authentisierung verschiedener Benutzer/Geräte gleichzeitig an einem Port ist natürlich davon auszugehen, dass an diesen Port dann auch unterschiedliche Gruppen-Regeln je nach Benutzer und Gerät spezifisch und gleichzeitig vorhanden sein müssen. Der PC soll beispielsweise andere Regeln bekommen wie das IP-Phone am selben Port. Für einen Gast sollen andere Regeln gelten als für einen eigenen Mitarbeiter. Das heißt nach erfolgreicher Authentisierung muss eine Policy-Vergabe pro Benutzer/Gerät erfolgen. Ansonsten ist die Authentisierung fast wertlos.

Die Sammlung der Nutzer und Gerätedaten – beispielsweise auch Zertifikate der VoIP-Phones – sollte typischerweise in einem (Meta)-Directory erfolgen, wie es Siemens mit »DirX« bereitstellt: Dieser kann dann zu einem echten Single-Sign-On über alle Applikationen und die Netzwerkinfrastruktur ausgebaut werden.

Erkennung und Lokalisierung

Die Lokalisierung von Nutzern und Geräten im Netz inklusive Username, IP-Adresse, MAC-Adresse, Switch (IP) und Port ist wichtiger denn je:
Um im Betrieb ein effektives Troubleshooting zu gewährleisten.
Um bei Sicherheitsvorfällen – beispielsweise durch Viren oder Würmer – schnell das Endsystem aus dem Netz zu entfernen (ergänzend auch zu IPS).
Um bei Notruf in einer VoIP-Umgebung schnell das Gerät zu lokalisieren.

Ein wichtiger Aspekt ist die Zeit zur Suche und Auffindung des Angreifers. Je effizienter die Suche, desto geringer ist die Wahrscheinlichkeit eines größeren Schadens. Ein Beispiel dazu findet man bei Enterasys: Die Funktion »Node&Alias Discovery« dient dazu, die Nutzung von Layer-2- und Layer-3-Adressen angeschlossener Endsysteme zu ermitteln, ohne dass Routing involviert sein muss. Das heißt ein Enterays-Switch erkennt automatisch alle IP/MAC-Kombinationen angeschlossener Endsysteme (nebenbei auch IPX/MAC oder Netbios/MAC) und speichert diese Informationen in einer indexierten MIB ab. Die hat den Vorteil, dass danach mit nur einer Anfrage pro Switch direkt die zugehörige MAC/IP-Kombination und der Switch-Port ermittelt werden kann.

Eine Optimierung ist durch die Verwendung des Enterasys-«Trusted Access Gateway« TAG in der Radius-Authentisierungskette zu erreichen: Hier sinkt die Suchzeit auf wenige Millisekunden, nämlich die Zeit einer SQL-Datenbanktransaktion. Der TAG speichert jede Lokationsinformation direkt dort ab und es kann hier lokal abgeriffen werden, beispielsweise von einem VoIP-Gateway, das den Ort eines eingegangenen Notrufs bestimmen muss. Eigentlich als Network-Access-Control-Lösung (NAC) konzipiert, bietet der TAG damit noch Mehrwerte, die sonst oft separate Infrastrukturen voraussetzen würden.

Eine Erkennung von Sicherheitsvorfällen kann durch IDS/IPS-Systeme, durch Analyse von Applikations-Firewall und Routerlogdaten oder durch integrierte Funktionen im Switch selbst erfolgen.

Insbesondere für das SIP-Protokoll als Basis für zukünftige konvergente Netze sollte hier spezifischer Support seitens der eingesetzten Sicherheitssysteme vorhanden sein, beispielsweise sollte ein IDS/IPS nicht nur rudimentär Signaturen unterstützen, sondern auch Angriffe auf Protokollebene erfassen und verhindern. So sollte beispielsweise eine Verifizierung des SIP-Headers gemäß RFC 3261 erfolgen, die SIP-Requests und -Responses sollten je nach Typ auf das korrekte Vorhandensein der jeweiligen Pflichtfelder überprüft werden.

Mehr und mehr werden auch rudimentäre Angriffserkennungen auf Switch-Ebene möglich: beispielsweise die Analyse von Layer-3- und -4-Flows, um Wurmausbreitungen frühzeitig zu erkennen und entsprechende Reaktionen einzuleiten oder auch eine Packet-Per-Second-Rate-Limit-Funktion für bestimmten Verkehr (wie ICMP, TCP-Sessions mit TCP-SYN oder -ACK gesetzt). Zukünftig wird dieser Bereich mehr ausgebaut und entsprechende tiefergehende Analysemöglichkeiten und Intrusion-Prevention-Möglichkeiten tun sich auf.

Reaktion und Beseitigung

Ein Beispiel für Reaktion und Beseitigung ist »Dynamic Intrusion Response«. »DIRS« hat insbesondere das Ziel, in der Fläche direkt an jedem Access-Port zur Verfügung zu stehen und damit Viren- und Wurmausbreitungen direkt dort zu stoppen und universell einsetzbar zu sein. – Unabhängig von der Art der Endsystems und der Nutzerkategorie. Der agentenlose Ansatz macht es auch in Anschaffung und Betrieb kostengünstig. Auf der anderen Seite ist eine gewisse Verzögerung durch die Alarmierung und Suche zu verzeichnen, so dass nicht 100 Prozent aller Angriffe auch wirklich verhindert werden können. Es ist damit als Ergänzung eines Gesamtkonzeptes zu verstehen.

Das System kann durch einen standardisierten Alarm beispielsweise von einem Intrusion-Detection-System, einem unternehmensweiten Security-Management oder einem Event-Korrelationssystem getriggert werden und sucht die Quelle eines Angriffs auf. DIRS ist eine interessante Ergänzung zu traditionellen IDS/IPS-Systemen und kann diese sinnvoll im Unternehmensintranet ergänzen. Insbesondere die Tatsache, nicht direkt im Datenstrom zu stehen und damit kein Verfügbarkeits- und Performanceproblem zu haben, sowie direkt am Access-Port zu wirken und damit eine Viren/Wurmausbreitung direkt stoppen zu können, sind Vorteile, die nicht von der Hand zu weisen sind. Um wirkungsvoll zu sein, müssen natürlich ein entsprechender Prozess und Sicherheits-Management-Tools zur Speicherung und Aufbereitung von sicherheitsrelevanten Ereignissen in der jeweiligen Organisation vorhanden sein.

Präventive Maßnahmen

Es ist nicht nur interessant, wer auf das Unternehmensnetz zugreift, sondern auch, welches Sicherheitsniveau die verwendete Hardware dieses Users hat. Hieraus sollten dann entsprechende Zugriffs- oder Quarantäne-Eigenschaften abgeleitet werden. Es stellen sich aber auch neue Fragen:
Wie überwache oder patche ich IP-Phones mit Embedded-Linux, Symbian, Windows oder proprietären Betriebssystemen?
Wie überwache oder patche ich beispielsweise ein Röntgengerät, eine Industriesteueranlage, Überwachungskamera oder Drucker?
Wie überwache ich Geräte wie Laptops von externen Gästen, Service-Technikern und anderen Besuchern?

Einen Agenten zu installieren, der »alle Probleme« löst, wie von einigen propagiert, ist bei keinem dieser Fragestellungen entweder aus technischen oder aus organisatorischen Gründen möglich. Daher sollte eine Quarantäne-Lösung agentenlose und agentenbasierte Optionen haben, ohne dass die Gesamtarchitektur geändert werden muss.

Bei den agentenbasierten Lösungen konkurrieren offene Lösungen wie die von Zonelabs (Checkpoint) und Sygate (Symantec) und die Trusted Computing Group (TCG) mit ihrer Trusted Network Connect Sub-Group als Teil der TCG Infrastructure Work Group mit geschlossenen Lösungen von Cisco (CNAC) oder Microsoft (NAP). Diese Lösungen sind in die Kategorie »Fat Agent-based« einzuordnen. Diese agentenbasierten Lösungen haben den Vorteil, dass sie sehr präzise und funktionsreich aber auch unflexibel sind.

Aber auch agentenlose Lösungen sind verfügbar und können ein wichtiges Entscheidungskriterium darstellen. Kern der Lösung ist typischerweise ein Radius-Proxy, der die normalen Authentisierungsanfragen abfängt, die reine Nutzerauthentisierung durchleitet, danach aber auf der Basis beliebiger Parameter eine Modifikation der Radius-Antwort und der dort vorhandenen Policy vornimmt.

Das heißt je nachdem, ob ein »Nutzer« oder ein neu angeschlossenes Endsystem bestimmten Vorgaben genügt, werden die Zugriffsrechte des Systems/Nutzers auf das Netz modifiziert. Das Ganze geschieht von »außen«, das heißt es ist keine Modifikation des Endsystems notwendig und passiert vor allem bevor das System vollen Netzwerkzugriff hat. Agentenlose Lösungen hingegen sind sehr flexibel, können aber nicht alle Sicherheitsprobleme im Vorfeld erkennen, oft werden diese mit einem »Thin Agent based«-Client kombiniert.

Fazit

Die einschlägigen Hersteller, darunter Enterasys und die Siemens Communication Enterprise als Technologiepartner, arbeiten sehr eng zusammen, um die nächste Generation der Konvergenz zu ermöglichen. Zum einen wird eine sichere und zuverlässige IP-Infrastruktur bereitgestellt und zum anderen werden im Rahmen von Konzepten wie der Secure-Intelligent-Enterprise-Networking-Architecture über Standard-Schnittstellen neue, innovative Dienste im Bereich Location-Service und Identity-Management gefördert.

Markus Nispel, Office of the CTO, Enterasys,
Andreas Seum, ESY CTO IP, Siemens Communications