Die genannten Probleme kann man mit einem zweistufigen Konzept in den Griff bekommen:

• Strukturierung des Netzes durch geeignete Kopplungssysteme und
• Zugangskontrolle zum Netz.

Strukturierung des Netzwerks

Um zu verhindern, daß sich sicherheitskritische Informationen über das gesamte Netz ausbreiten, muß dieses mittels Brücken strukturiert werden. Hierzu werden die Rechner, die untereinander zu schützende Informationen austauschen, in einem vom restlichen Netz abgesonderten Netzsegment betrieben. Dieses Netzsegment wird über eine Brücke an das übrige Netz angekoppelt (Bild 1). Die Filterwirkung der Brücke sorgt dafür, daß die vertraulichen Informationen im Netzsegment verbleiben und sich nicht über das Gesamtnetz ausbreiten. Trotzdem erlaubt die Brücke eine uneingeschränkte Kommunikation zwischen den Rechnern im Netzsegment mit den restlichen Rechnern im Netz. Somit wird erreicht, daß zwar weiterhin alle Rechner miteinander kommunizieren können, aber nicht mehr alle Informationen an jedem Punkt des Netzes zur Verfügung stehen.

Bild 1: Die Filterwirkung der Brücke sorgt dafür, daß vertrauliche Informationen im Netzsegment verbleiben und sich nicht über das Gesamtnetz ausbreiten.

Brücken mit flexiblem Filtermodell erlauben sogar die Erstellung einer Kommunikationsmatrix. Mit Hilfe dieser Matrix kann der Netzverantwortliche exakt definieren, welche Rechner des Netzes mit welchen Partnerrechnern im abgetrennten Netzsegment kommunizieren dürfen. Damit wird nicht nur sichergestellt, daß vertrauliche Informationen im Netzsegment verbleiben, man sorgt auch dafür, daß unbefugte Benutzer auf die Datenbestände bestimmter Rechner nicht zugreifen können.

Da Brücken nur korrekte Datenpakete, nicht aber Störsignale übertragen, verhindert ein derartiger Netzaufbau auch weitgehend, daß sich Benutzerfehler über das gesamte Netz ausbreiten oder mutwilliges Stören das Gesamtnetz lahmlegt. Fällt beispielsweise ein Netzsegment aufgrund eines versehentlich abgezogenen Abschlußwiderstandes aus, so wird die Funktionalität des übrigen Netzes hiervon nicht beeinträchtigt.

Strukturierung mittels Brücken ist der erste Schritt auf dem Weg zu einem sicheren Netzwerk. Das Gesamtnetz wird überschaubarer und besser beherrschbar. Innerhalb der einzelnen Netzsegmente bleibt die oben genannte Problematik jedoch bestehen.

Zugangskontrolle zum Netzwerk

Damit auch innerhalb der Netzsegmente Informationen nicht in falsche Hände gelangen, wird eine intelligente Zugangskontrolle zum Netz (NEAG - NEtwork Access Guard) gefordert. Erst wenn jedem Rechner genaue Kommunikations- und Zugriffsrechte zugeordnet werden können und die Einhaltung dieser Bestimmungen zuverlässig überwacht werden kann, wird eine umfassende Datensicherheit erreicht. Die Rechner dürfen nicht mehr direkt, sondern nur noch über Access Guards an ein Netzsegment gekoppelt werden. Diese Forderung wird in der Praxis dadurch erfüllt, daß sowohl das Netzsegment als auch die Fileserver in abgeschlossenen Räumen untergebracht werden. Nur autorisiertem Personal wird Zutritt zu diesen Räumen gestattet. Rechner, die von außen Zugriff auf das Netz und die Server haben sollen, werden über Access Guards sternförmig mittels Twisted-Pair-Verbindungen an das Netzsegment angeschlossen (Bild 2).

Bild 2: Der Zugang zum Netz wird über Access Guards geregelt

Die Access Guards regeln den Zugriff auf das Netz. Der gesamte Datenverkehr zwischen den angeschlossenen Rechnern und dem Netz wird hierzu über zwei gegenläufige Pipes transportiert, die die Daten analysieren und nicht gewünschten Datenverkehr ausfiltern. Über weitere Pipes werden Statistikdaten und Informationen über die Kommunikationsstruktur gesammelt (Bild 3).

Bild 3: Struktureller Aufbau eines Access Guards

Durch den Einsatz von Access Guards werden folgende Sicherheitsvorkehrungen getroffen:

• Identifizierung der angeschlossenen Rechner
• Schutz vor Spionage / Benutzungskontrolle
• Schutz vor Sabotage
• Accounting und Leistungskontrolle
• Verbessertes Netzwerkmanagement

Identifizierung der angeschlossenen Rechner

Der Netzverantwortliche trägt in eine Adresstabelle die Rechner ein, denen Zugriff auf das Netz gewährt werden soll. So kann der Access Guard jeden autorisiert angeschlossenen Rechner eindeutig identifizieren. Wird ein Rechner angeschlossen, der nicht in der Adresstabelle steht, wird vom Access Guard der Zugriff auf das Netzwerk verweigert. Außerdem wird die Adresse des Rechners protokolliert, von welchem der unberechtigte Zugriffsversuch ausging. Somit wird das Netzwerk wirksam vor Einbrüchen geschützt und gleichzeitig die Identität eines Eindringlings festgehalten (Bild 4).

Bild 4: Nicht autorisierte Rechner werden vom Access Guard abgewiesen

Schutz vor Spionage / Benutzungskontrolle

Ein Rechner, der an einen Access Guard angeschlossen ist, kann nur die Datenpakete erhalten, die an ihn selbst adressiert sind. Alle Datenpakete mit fremder Zieladresse, werden vom Access Guard nicht an den angeschlossenen Rechner weitergereicht. Unkontrollierter Einsatz von Netzwerkmonitoren wird damit verhindert.

Außerdem kann man jedem Rechner bestimmte Kommunikationspartner fest zuordnen. Der Access Guard sorgt dafür, daß jeder Netzteilnehmer nur von den Rechnern Daten abrufen kann, auf die sein Rechner eine Zugriffsberechtigung hat. Beispielsweise kann man mittels dieser Funktion den Zugriff auf die Rechner anderer Abteilungen unterbinden. Man verhindert somit, daß ein unbefugter Benutzer, der Zugang zu einem unbeaufsichtigten Rechner erlangt, mit beliebigen Partnern kommunizieren kann (Bild 5).

Ein Versuch, die erlaubte Kommunikationsstruktur zu umgehen wird auch in diesem Fall abgewiesen und protokolliert.

Bild 5: Die erlaubten Kommunikationspartner können exakt definiert werden

Sabotage

Der Access Guard überprüft, wieviele Daten eines bestimmten Typs pro Zeiteinheit von einem Rechner auf das Netz gesendet werden und verhindert, daß vom Netzwerk-Administrator gesetzte Schwellwerte überschritten werden. Sabotage durch Generierung einer sehr hohen Netzlast (z.B. mutwillig initiierte Broadcast-Stürme) mit dem Ziel, das Netz lahmzulegen, ist deshalb nicht möglich (Bild 6).

Bild 6: Der Access Guard verhindert, daß das Netzwerk überlastet wird

Accounting und Leistungskontrolle

Die Access Guards stellen alle Informationen bereit, die für Abrechungszwecke benötigt werden. Sind alle Rechner mittels Access Guards an das Netz angeschlossen, liefern die Access Guards Informationen über die Standorte der einzelnen Rechner und die Menge der von jedem Rechner gesendeten Daten. Diese Daten werden von einem zentralen Managementsystem gesammelt, können dort ausgewertet und als Grundlage für eine Kostenverteilung herangezogen werden.

Außerdem kann man aufgrund der benutzerdefinierbaren Schwellwerte die maximale Datenlast auf dem Netzwerk begrenzen. Man verhindert somit, daß das Netz überlastet wird und die Antwortzeiten zu groß werden. Weiterhin besitzt man hiermit ein Instrument, die Zugriffszeiten des indeterministischen Zugriffsverfahrens CSMA/CD (Carrier Sense Multiple Access / Collision Detection) berechenbar zu machen.

Netzwerkmanagement

Ein Network Access Guard kann in ein zentrales Netzwerkmanagementsystem eingebunden werden. Mittels vorgefertigter, benutzereditierbarer Kommandodateien wird vom Managementsystem aus die Administration der Access Guards vorgenommen. Die Access Guards werden auf der Benutzeroberfläche zusammen mit den angeschlossenen Rechnern und den erlaubten Kommunikationsbeziehungen dargestellt (Bild 7).

Bild 7: Einbindung der Access Guards in ein Netzwerkmanagementsystem

Außerdem werden Statistikdaten tabellarisch oder grafisch angezeigt. Eine Ausnahmebehandlung sorgt dafür, daß Störungen und Ausfälle erkannt werden. Die Ausnahmebehandlung kann abhängig vom aufgetretenen Fehler verschiedene Aktionen anstoßen, wie Protokollierung eines Ereignisses oder Alarmierung über Europiepser. Nach einem Stromausfall werden alle Netzzugänge der betroffenen Access Guards automatisch geschlossen. Sie bleiben so lange blockiert, bis sie durch das Managementsystem explizit wieder geöffnet werden (Bild 8).