Network Layer Security Protocol
(NLSP, ISO 11577, ITU-T Rec X.273)

E. Elbrächter, Uni Kaiserslautern

1 Risiken in offenen Netzen

Bei der EDV mit sensiblen Daten treten Bedrohungen auf, die in Bild 1 skizziert sind. Wegen der grossen Unterschiede in der Art und Weise der Bedrohungen sind auch verschiedene Techniken für ihre Abwehr notwendig. In diesem Script werden nur die Risiken behandelt, die bei der Über tragung von Information über offene Netzen auftreten (rechte Spalte in Bild 1). Als Beispiel diene dazu das `File Transfer Protocol' (ftp).
Sachbearbeiter Endgerät Datenbank, Rechner Zugang zum Netz offenes Netz
Risiko unzulässige Weitergabe von Daten optisches oder elektronisches Ausspähen Verletzung der Zugriffsrechte, Viren, ... Einbrechen in ein System Abhören durch Netzteilnehmer
Abwehr Schulung, oganisatorische Maßnahmen bauliche Vorkehrungen Paßwortschutz, restriktive Rechnerkopplung, 'zuverlässige' Programme Abschotten, Authentikation Verschlüsseln usw.

Bild 1: Bedrohungen bei der Datenverarbeitung


Bei ftp wird nicht nur die zu übertragende Dateiinformation unverschlüsselt übertragen, sondern auch die Benutzerkennung und das Passwort. Folglich kann mit jedem Rechner, der an einem Netzsegment angeschlossen ist, das bei der Übertragung benutzt wird, diese Information mitge lesen und gespeichert und analysiert werden. Entsprechendes gilt für die übrigen Dienste der TCP-Gruppe, wie z.B. telnet.

Es reicht also nicht aus, sensible Daten vor der Übertragung mit ftp zu verschlüsseln. Der gesamte Datenverkehr muss bei ftp vor fremdem Zugriff geschützt werden (siehe Bild 2), um insbe sondere die wichtigen Grössen wie die Benutzerkennung und das Passwort geheim zu halten.

2 Dienste und Techniken zur Abwehr

Die Dienste zur Abwehr von Bedrohungen bei der Übertragung in offenen Netzen und die Techniken der Abwehr werden häufig in drei Gruppen eingeteilt und behandelt. Diese sind hier aufge führt und ergänzt durch die Techniken, mit denen diese Dienste realisiert werden.

Bild 2: Verschlüsselung bei ftp

2.1 Vertraulichkeit (confidentiality)

Es soll ein Schutz gegen erzielt werden. Alle drei Punkte verhindern, daß eine Angreifer unzulässigerweise Information er hält. Techniken zur Abwehr sind hier der Reihe nach Blendinformation kann zum einen innerhalb von Sätzen eingesetzt werden, zum anderen kön nen auch ganze Sätze ohne Nutzinformation sein. Hiermit soll verhindert werden, daß Aussenste hende den Vekehrsfluss analysieren, um so Informationen zu gewinnen.

Da nur der Anwender abwägen kann, ob ein solcher zusätzlicher Aufwand wie z.B. die Blendinformation notwendig ist und die zusätzlichen Kosten rechtfertigt, müssen die verschiedenen Dienste wahlweise angeboten werden.

2.2 Integrität (integrity)

Eine Störung der Kommunikation kann auch dadurch gegeben sein, daß Veränderte Satzinhalte werden nach der Entschlüsselung für die zu verarbeitenden Programme i.A. zu syntaktisch unzulässiger Information, die Störungen in ihrem Ablauf nach sich ziehen kön nen. Satzwiederholungen zu erkennen ist deshalb wichtig, da es sich z.B. um Authentikations information handeln kann.

Diese Art der Angriffe kann verhindert werden dadurch, daß

Auch hier entstehen zusätzliche Berechnungs- und Übertragungskosten, so daß es dem Anwen der überlassen bleiben muss, welchen Aufwand er für die Sicherheit seiner Daten akzeptiert.

2.3 Verfügbarkeit (reliability).

Es soll verhindert werden, daß die Verbindungen durch nicht zur Verfügung stehen.

Der Anwender kann diese Art der Angriffe oft nicht von technischen Störungen unterscheiden, die immer auftreten können. Folglich gibt es von der Seite der Software her, nur die Möglichkei ten

Eine Analyse muss dann klären, ob Angriffe vorliegen, oder ob es sich um Geräte- oder Leitungs störungen handelt.

3 NLSP (Network Layer Security Protocol)

Innerhalb des 7-Ebenen-Modells der ISO gibt es keine spezielle Schicht, die für den Daten schutz der zu übertragenden Information in offenen Netzen sorgt. Seit einigen Jahren sind aber Bestrebungen vorhanden, sog. `Sublayer' und entsprechende Protokolle zu entwerfen, die diese Aufgaben übernehmen sollen.

Eines dieser Protokolle ist das NLSP (ISO 11577, ITU-T Rec X.273), das 1994 zum Standard ge worden ist. Da das Protokoll als Teil der Netzwerkschicht entworfen wurde, kann es sowohl in Endsystemen als auch in Netzknoten (intermediate systems) eingebaut werden.

Dieses Protokoll schafft den Rahmen, um die in Kapitel 2 aufgeführten Dienste bzw. Techniken zu implementieren und bei der Übertragung zu nutzen.

Der Standard selbst gibt keine speziellen Verfahren zur Verschlüsselung oder Authentikation an, sondern er beschreibt Schnittstellen, um solche Verfahren anzubieten und beim Verbindungsauf bau das den Sicherheitsanforderungen entsprechende Verfahren auszuwählen.

Sollen mittels zweier NLSP-Systeme Daten übertragen werden, so gibt es quasi drei Verbindun gen zwischen diesen beiden Systemen, die in Bild 3 skizziert sind.

Die ersten beiden Verbindungen sind eher logischer Natur und geben die Voraussetzungen da für, daß über die dritte Verbindung die Kommunikation stattfinden kann.

Bild 3: 'Verbindungen' zwischen NLSP-System

4 Testimplementierung

Um das NLSP zu testen und einen Eindruck von dem Leistungsspektrum zu bekommen, wurde am RHRK in Kaiserslautern eine Implementierung vorgenommen. Dabei wurden einige Prämissen vorgegeben: Hierzu wurden die Quellen von ftp und ftpd so verändert, daß sie nicht den Verbindungsaufbau zum Zielrechner direkt initiieren (connect mit Internet-Adresse Zielrechner, Portnr. 21), sondern eine Verbindung zum zugehörigen NLSP-System aufbauen (connect mit Internetadresse NLSP Rechner, Portnr. 23154). Als erstes Paket zum NLSP-System wird ein Packet mit der eigentlichen Zieladresse und der Protokollart (ftp, telnet, usw.) abgesandt.

Das NLSP-System baut dann die Verbindung zum Zielrechner (Portnr. 11577) auf und das dorti ge NLSP-System startet den dortigen Server und sendet ein Rückmeldung.

Das restliche Protokoll wird analog abgehandelt, wobei keine weitere Analyse der übermittelten Information stattfindet. Es wird verschlüsselt und am Ziel wieder entschlüsselt.

Mit den am Anfang diesen Kapitels gemachten Einschränkungen, ist das NLSP-System und ein Paar ftp/ftpd auf IBM-RS6000 unter AIX lauffähig.