Cheswick, William R.; Gosling, James; Ford, Warwick: Mauern, Täuschen, Bremsen, in: Spektrum der Wissenschaft 1999.

THEMES: Cheswick, William R. | Gosling, James | Ford, Warwick
YEAR: 1999
 
Mauern, Täuschen, Bremsen

Experten schildern die drei wichtigsten
Sicherheitsmechanismen gegen Angriffe aus dem Internet.

1. Die Firewall

Unternehmen, die das Internet nutzen, werden immer in gewissem Grade verwundbar sein. Denn solange sie Dateien und E-Mails über das Netz senden und umgekehrt, besteht die Gefahr, daß ein Unbefugter von außen in das System eindringt. Man kann Netzwerke aber gegen solche Angriffe schützen. In der ersten Verteidigungslinie steht dabei die sogenannte Firewall (Brandmauer): die Summe aller Software und Einstellungen, die wie ein Torwächter die Schnittstellen von Internet und Intranet kontrolliert.

Mit am weitesten verbreitet sind Paketfilter (Paket filters) und auf Anwendungsebene arbeitende Programme (application-level firewails).

Paketfilter laufen gewöhnlich auf einem Router - einem Rechner, der den betriebsinternen Datenverkehr wie den mit der Außenwelt verwaltet (insbesondere übernimmt er das Zustellen der Datenpakete, das rauting).Ein solcher Filter begutachtet die Adressen von Absender und Empfänger jedes einzelnen durchkommenden Datenpaketes. Nichtautorisierten, die von außen kommen, wird er den Weg in das Firmennetz sperren, andere hindert er am Verlassen desselben.

Die auf Anwendungsebene arbeitenden application-level firewallsuntersuchen überdies den Inhalt der Pakete, sind dementsprechend langsamer, lassen sich aber zielgerichteter und detaillierter einsetzen.

In der nebenstehenden Abbildung repräsentiert das Labyrinth aus Büros und Postraum ein durch eine umlaufende Firewall (orange) geschütztes Computernetzwerk. Grüne Figuren symbolisieren autorisierte Datenpakete, die roten dagegen sind potentiell gefährlich und sollten nicht eindringen.

William Cheswick, Bell-Laboratorien, Abteilung Lucent Technologies, und Steven M. Bellovin, AT&T-Forschung




BildKap1 copy.JPG

2. Der Java-Sandkasten

Mit der Programmiersprache Java lassen sich kleinere Anwendungen, sogenannte Applets, entwickeln und über das Internet allgemein zugänglich machen. Das beschwört freilich das Risiko herauf, daß böswillige Programmierer Applets schreiben, die Daten löschen oder stehlen oder Computerviren tragen. Das Design von Java verhindert aber solche Mißbräuche.

Denn an der Abarbeitung jedes einzelnen Java-Applets ist ein Softwarepaket namens Java Virtual Machine beteiligt. Lädt man ein Applet vom Internet, verweigert dies ihm zunächst jeden Zugriff auf die Festplatte, auf Netzwerkschnittstellen und andere wichtige Systemkomponenten.

Es ist, als säße das Applet wie ein Kind in einem Sandkasten, wo es sich ungestört austoben, dabei aber keinen Schaden anrichten kann. Erst wenn sich die Virtual Machine überzeugt hat, daß es von einer verläßlichen Quelle stammt, darf das Applet heraus.

James Gosling, Sun Microsystems



BildKap2 copy.JPG

3. Digitale Zertifikate

Digitale Zertifikate spielen eine wesentliche Rolle in der Public-Key-Kryptographie, einer weitverbreiteten Methode zur Übertragung vertraulicher Informationen über das Internet. Man benötigt ein Paar kurze, 500 bis 1000 Bit lange "Schlüssel", die "persönlich" und "offen" genannt werden. Der Nutzer hält den persönlichen Schlüssel geheim und bewahrt ihn an einem sicheren Ort auf, zum Beispiel in chiffrierter Form auf seiner Festplatte. Der offene Schlüssel aber wird jedem zur Kenntnis gebracht, mit dem er oder sie Daten austauschen möchte.

Ein Beispiel: Alice möchte eine Nachricht an Bob senden und benutzt ihren persönlichen Schlüssel, um die Nachricht mit einer digitalen Signatur zu "unterzeichnen" . Sie sendet ihm außerdem den öffentlichen Schlüssel, um diese Signatur auf Authentizität zu prüfen. Daß dieser wirklich von ihr stammt, belegt ein digitales Zertifikat, das von einer vertrauenswürdigen Institution wie VeriSign, GTE CyberTrust oder einer anderen, von Alices Firma beauftragten Organisation erstellt wird.

Ein digitales Zertifikat kann man sich als das Computeräquivalent eines Personalausweises vorstellen. Es bestätigt, daß ein bestimmter offener Schlüssel zu einer bestimmten Person oder Institution gehört.

Warwick Ford, VeriSign



BildKap3 copy.JPG