-
Die
Erfindung betrifft einen Sicherheitsanalysator eines Kommunikationsnetzes
nach dem Oberbegriff des Anspruches 1.
-
In
paketorientierten Kommunikationsnetzen (z.B. Ethernet-Netzen oder IP-Netzen),
die mit weiteren Netzen verbunden sind, müssen Schutzmechanismen eingesetzt
werden, um
- – die Endkunden der Netze vor
Angriffen (z.B. Viren, Würmer,
Eindringversuche in Rechner, (D)DoS) über das Netz zu schützen,
- – die
Netzelemente vor Angriffen zu schützen.
-
Dazu
werden an ausgewählten
Stellen des Netzes sogenannte Firewalls eingesetzt, aber auch Paketfilter
in Routern, Dienste-Servern (z.B. „Surpass Softswitch") oder Ethernet Switches
(auch unter DSLAM bekannt) konfiguriert. Die Konfigurationen all dieser
Filter müssen
sinnvoll aufeinander abgestimmt sein, damit
- – kein Netzelement
ungeschützt
bleibt, d.h. ein Schutzziel wirklich erreicht wird,
- – keine
Fehlkonfiguration eines Netzelementes zur Umgehung der Filter anderer
Netzelemente genutzt werden kann,
- – Filter
in einem heterogenen Netz auf denjenigen Netzelementen konfiguriert
werden, die dort die entsprechenden Funktionen unterstützen können.
-
Bei
diesem Prozess entstehen komplexe Konfigurationen, die oft nicht
mehr direkt durch Anschauen zu verstehen sind.
-
Eine
Abstimmung der Konfigurationen, eine Erstellung der jeweiligen Konfigurationsdateien
und eine Durchführung
der Konfiguration werden heute von Hand durchgeführt. Es gibt Management-Systeme,
die für
eine Klasse von Netzelementen (z.B. für die Firewalls eines Herstellers
in einem Netz) eine koor dinierte Konfiguration anbieten, aber eine
Lösung
gegen eine abstrakte Formulierung von Sicherheitsrichtlinien für die im
Netz vorhandene Konfiguration bleibt noch unbekannt.
-
Der
Erfindung liegt die Aufgabe zugrunde, sicherzustellen, dass ein
Schutzziel durch eine im Netz vorhandene Konfiguration effizient
erreicht wird.
-
Erfindungsgemäß wird die
Aufgabe durch die Merkmale des Anspruches 1 gelöst.
-
Dabei
wird ein Sicherheitsanalysator eines Kommunikationsnetzes vorgeschlagen,
welcher automatisch gegen eine abstrakte Formulierung von Sicherheitsrichtlinien
spiegelt und einen Grad zur Einhaltung von Sicherheitsvorgaben bewertet.
-
Genauer
wird prinzipiell ein Sicherheitsanalysator für ein Kommunikationsnetz mit
Netzelementen beschrieben, von welchen eine Mehrzahl mit Hardware
oder/und Software basierten Sicherheitsmitteln konfiguriert sind.
-
Im
Allgemeinen kann der Sicherheitsanalysator im Kommunikationsnetz
als Softwarekomponente in einem Netzmanagementsystem, oder als eine
separate Sicherheitsanalysevorrichtung realisiert werden.
-
Dabei
ist der Sicherheitsanalysator mit einem für das Kommunikationsnetz geeigneten
Netzanalysator verbunden, welcher Topologieeigenschaften des Kommunikationsnetzes
mit Netzelementen sowie eine Konfiguration der im Kommunikationsnetz verwendeten
Sicherheitsmittel (PROTECT_CONF) (zum Sicherheitsanalysator) abliefert.
Es wird auch vorausgesetzt, dass mindestens die Konfiguration der
Sicherheitsmittel erweiterbar ist, da in der Praxis neue zu schützende (software-
oder hardwaremäßige) Komponenten
im Kommunikationsnetz aktualisiert oder hinzugefügt werden. Diese erweiterten
Sicherheitsmittel sind oft je nach den neuen Komponenten von unter schiedlichen
Herstellern hergestellt. Jedoch werden sie in der Erfindung anhand
einer neuen erweiterbaren, „abstrakten" Beschreibungsebene
zusammen beschrieben/konfiguriert. Hier und im Weiteren kann der
Begriff „abstrakt" als „in unabhängiger Weise
erweitert" (z.B.
von einem Hersteller) interpretiert werden.
-
Damit
kann die Konfiguration der Sicherheitsmittel aufgrund von unterschiedlichen
Tatsachen erweiterbar sein:
- – aufgrund
von Einstellungsänderungen
eines Netzelements,
- – aufgrund
von aktualisierbaren Schwachstellen eines Netzelements, etc.
-
Bzw.
lässt sich
die Konfiguration der Sicherheitsmittel anhand einer herstellerunabhängigen Beschreibungsebene
aller Netzelemente und deren Einstellungen erweitern.
-
Weiterhin
weist der Sicherheitsanalysator eine Kontrolleinheit auf, bei welcher
gemäss
den Topologieeigenschaften und der Konfiguration der Sicherheitsmittel
Prozesse zur Überprüfung von
(z.B. manuell) vorgegebenen Schutzzielen stattfinden. Am Ausgang
der Kontrolleinheit kann beispielsweise ein Grad der Einhaltung
von Sicherheitsvorgaben bzw. erfolgreichen Schutzzielen gemäss der „abstrakten" Beschreibungsebene
abgegeben werden.
-
Ferner
weist der erfindungsgemäße Sicherheitsanalysator
einen Szenariengenerator auf, bei welchem parametrisierbare Szenarien
erzeugt werden, an denen mittels der Kontrolleinheit die Schutzziele
geprüft
werden. Dabei können
z.B. gemäß Vorgaben
eines Nutzers des Szenariengenerators beliebige mögliche Szenarien
ausführbar
werden. In anderen Worten ist der Szenariengenerator ein „Was-Wäre-Wenn"-Werkzeug. D.h. in
generierten Szenarien können
dadurch u. U. die Konfigurationen der Sicherheitsmittel anders oder
in einer veränderten
Topologie nicht normal/richtig wirken.
-
Neben
der Konfiguration der Sicherheitsmittel können ferner weitere aktualisierbare
Informationen über
Schwachstellen eines Netzelements berücksichtigt werden. Weiterhin
ist die Konfiguration der Sicherheitsmittel aufgrund von Einstellungsänderungen
eines Netzelements einfacher und effizienter erweiterbar.
-
Vom
großen
Vorteil ist weiterhin die Abbildung der Konfiguration der Sicherheitsmittel
auf eine herstellerunabhängige
Beschreibungsebene aller Netzelemente und deren Einstellungen, derart
dass vorzugsweise Konfigurationen unterschiedlicher Plattformen
und Betriebssysteme miteinander vergleichbar werden und von der
Kontrolleinheit einheitlich geprüft
werden können.
-
Bei Änderung
der Topologie im/am Kommunikationsnetz sieht die Erfindung vor,
dass ebenfalls eine Einhaltung der Schutzziele im Sicherheitsanalysator überprüft wird.
-
Die
Kontrolleinheit kann beispielsweise eine Schnittstelle zu Verkehrsgeneratoren
und Verkehrssensoren in- und außerhalb
des Kommunikationsnetzes aufweisen, mittels derer ein Einsatz der
konfigurierten Sicherheitsmittel und eine Einhaltung der Schutzziele überprüft wird.
-
Eine
mögliche
Darstellung des Grads der Einhaltung der Schutzziele kann mittels
eines binären
Ausgangssignals des Sicherheitsanalysators bzw. der Kontrolleinheit
realisiert werden, welches eine oder keine Erreichung eines Schutzzieles
bestätigt.
Anstelle vom Ausgangssignal oder in Verbindung mit dem Ausgangssignal
kann der Sicherheitsanalysator eine Bewertungsfunktion aufweisen,
welche vorzugsweise eine parametrisierbare Risikobewertungsfunktion
wie eine lineare Risikofunktion ist. Damit kann der Grad der Einhaltung
der Schutzziele feiner oder zielorientierter ermittelt werden.
-
Dieses
System analysiert also die Konfigurationen der Netzelemente in einem
Netz, bildet die konfigurierten Sicherheitsmittel (Filter, Switch,
etc) und Einstellungen auf eine herstellerunabhängige Beschreibungsebene ab
und überprüft dann
anhand einer abstrakten Beschreibung der vorgegebenen Schutzziele
gemäss
definierbaren Szenarien, ob bzw. zu welchem Grad die Schutzziele
erreicht werden.
-
Dazu
kann das System systematisch alle möglichen Wege berücksichtigen,
auf denen Sicherungsmechanismen umgangen werden könnten.
-
Ein
Netzbetreiber kann also mit hohem Vorteil die Konfiguration seines
Netzes, beispielsweise nach Erweiterungen oder nach Wartungsarbeiten, überprüfen. Auch
bei Einsatz eines bereits bekannten Sicherheitskonfigurationssystems
bietet u. a. der hier beschriebene Sicherheitsanalysator zwei wesentliche
Vorteile:
- – Erkennung
eventueller manuell vorgenommener Konfigurationsänderungen. Diese können beispielsweise
nach temporären
Umkonfigurationen, nach Netzerweiterungen oder durch Eindringen eines
Hackers ins Netz auftreten.
- – Erkennung
von Fehlern im Sicherheitskonfigurationssystem, insbesondere wenn
zwei Systeme von unterschiedlichen Herstellern stammen und auf einer
unterschiedlichen Codebasis entwickelt wurden.
-
Ferner
sind u. a. zwei sehr vorteilhafte Verwendungen des Sicherheitsanalysators
möglich,
bei welchen:
- – der Sicherheitsanalysator
einfach in ein Netzmanagement-System
für Sicherheit-Management oder
lokal in einem Element des Kommunikationsnetzes oder in einem an
dem Kommunikationsnetz verbundenen Endgerät integrierbar ist.
- – der
Sicherheitsanalysator als separates Werkzeug zur Sicherheitsanalyse
an einem Kommunikationsnetz angeschlossen werden kann.
-
Bei
beiden Varianten kann der Sicherheitsanalysator auf Software- oder/und
Hardware-Basis realisiert werden.
-
Vorteilhafte
Ausgestaltungen der Erfindung sind in den Unteransprüchen dargelegt.
-
Anschließend wird
die Erfindung in einem Ausführungsbeispiel
anhand der Zeichnungen erläutert.
-
Dabei
zeigen
-
1 ein
Schaltdiagramm des Sicherheitsanalysators für ein Kommunikationsnetz,
-
2 ein
internes Schaltdiagramm des Sicherheitsanalysators,
-
3 eine
erweiterte Gestaltung des Sicherheitsanalysators für das Kommunikationsnetz.
-
In 1 ist
ein Schaltdiagramm (bzw. ein dementsprechender Datenfluss) des Sicherheitsanalysators
SA mit dem Kommunikationsnetz NET über ein Netzanalysator NA (ein
Netzwerkmanagement NMS ist auch möglich) dargestellt. Aus dem
Netzanalysator NA bzw. NMS wird eine Topologie TOPO_CONF des Kommunikationsnetzes
mit Netzelementen sowie eine Konfiguration der Sicherheitsmittel
PROTECT_CONF an den Sicherheitsanalysator SA abgegeben. Es werden
in externen Weise Schutzziele SZ definiert und dem Sicherheitsanalysator
SA als Vorgabe übermittelt.
Weitere bisher erwähnte
Schwachstellen ST können
optional und ebenfalls genauso wie für die Schutzziele an den Sicherheitsanalysator
SA als Vorgabe übermittelt
werden.
-
Der
Netzanalysator NA liest die konfigurierten Einstellungen aus den
Netzelementen des Kommunikationsnetzes NET heraus und reicht sie
zusammen mit einer (extern vorgegebenen oder auch aus dem Netz ausgelesenen)
Topologiebeschreibung (siehe TOPO_CONF) an den Sicherheitsanalysator
SA weiter. Der Si cherheitsanalysator SA prüft mittels einer Kontrolleinheit
KE, ob die vorgegebenen Schutzziele SZ mit den konfigurierten Einstellungen erreichbar
sind und gibt einen Bericht RESULT über den Grad der Einhaltung
dieser Schutzziele SZ aus. Optional kann er mit Hilfe einer abstrakten
Beschreibung der Schwachstellen ST in den Netzelementen (z.B. gemäss der Tatsache „Filter
auf Gerät
A können durch
Angreifer deaktiviert werden")
zusätzlich
analysieren, welche Schutzziele SZ dadurch in Gefahr geraten. Diese
Option ist insbesondere für
eine schnelle Abschätzung
der Dringlichkeit der Reaktion auf frisch bekannt gewordene Sicherheitslücken von
Netzelementen oder Betriebssystemen von Vorteil.
-
2 zeigt
gemäß 1 ein
internes Schaltdiagramm des Sicherheitsanalysators SA in Verbindung
mit den auch noch dargestellten Komponenten TOPO_CONF, PROTECT_CONF,
SZ, ST.
-
Beschreibungsinformationen
der Topologie TOPO_CONF und der Konfigurationen PROTECT_CONF der
Sicherheitsmittel werden in eine neue „abstrakte„ Analyseebene LG_ANALYS übermittelt,
bei welcher aus elementspezifischen Konfigurationsdaten eine abstrakte
Konfiguration erzeugt/abgebildet wird. Dazu wird für jedes
Netzelement entsprechend eines Eintrages gemäss der Topologiebeschreibung
eine richtige Konfigurationssprache LG_SPEC eingebunden und analysiert. Falls
dabei Inkonsistenzen der Einträge
bei einem Netzelement oder der Einträge in unterschiedlichen Netzelementen
erkannt werden, werden diese dokumentiert und als Liste INSCONST
von Inkonsistenzen aus der Analyseebene LG_ANALYS ausgegeben. Weitere
Einträge
werden gemäss
einer weiteren „abstrakten" Konfigurationsebene
CONFIG1 übermittelt.
Ferner können
optionale „abstrakt" beschriebene Schwachstellen
ST ebenfalls eingegeben werden. Falls Schwachstellen ST einzubeziehen
sind, wird die abstrakte Beschreibung der Konfigurationen anhand
einer Schwachstellenbeschreibung MASK_ST szenarienspezifisch modifiziert,
wobei beispielsweise die aufgrund der Schwachstellen nicht verlässlichen
Fähigkeiten
aus der Liste der Konfigurationen aus geblendet werden. An dieser
Stelle (Schwachstellenbeschreibung MASK_ST) werden auch „abstrakt" beschriebene Schutzziele
SZ über
einen Szenariengenerator SZ einbezogen. Der Szenariengenerator SZ
generiert für
eine Topologiebeschreibung TOPO_CONF und für vorgegebene Schutzziele SZ
parametrisierbare Szenarien, in denen eine experimentelle Überprüfung oder
mittels formaler Methoden eine Verifikation FORM_CTRL von letztkonfigurierten
Schutzfunktion CONFIG2 durchgeführt
wird. Prinzipiell werden die Szenarien im Szenariengenerator SG
erzeugt, an denen mittels der Kontrolleinheit KE gemäss 1 die
Schutzziele SZ geprüft
werden. Die Ergebnisse dieser Überprüfung werden
in einem Bericht PROCESS_RES zur Ermittlung des Grads RESULT der
Einhaltung der Schutzziele zusammengefasst.
-
3 zeigt
eine erweiterte Gestaltung des Sicherheitsanalysators SA für das Kommunikationsnetz
NET gemäß 1.
Das Schaltdiagramm gemäß 1 stellte
eine passive Analyse der Schutzziele (bzw. auch der Schwachstellen)
mittels des Sicherheitsanalysators SA dar. Hier wird eine zusätzliche
aktive Analyse durchgeführt,
welche als weitere vorteilhafte Ausprägung des beschriebenen Systems in
Form einer Anbindung an ein automatisches Scanning-System PROTECT_SCAN
bildet. Aus der Sicherheitsanalysator SA wird eine Testbeschreibung TEST
abgegeben, die an das Scanning-System PROTECT_SCAN übermittelt
wird and anhand welcher ein System von Verkehrsgeneratoren, die
an das Kommunikationsnetz NET angeschlossen werden, Verkehr (Testdaten)
in das Netz einspeisen. Sonden PROBE (=Verkehrsensoren) sind im
Kommunikationsnetz NET verteilt und analysieren, ob der Verkehr
kritische Netzelemente erreicht, oder ob er schutzzielgemäß verworfen
wurde. Die Ausgangsignale der Sonden PROBE werden an den Sicherheitsanalysator
SA zurückgeführt, welcher
zusammenfasste Ergebnisse RES_SUMMARY ausgibt.
-
Optional
können
folgende Erweiterungen realisiert werden:
- a.
Kopplung des erfindungsgemässen
Systems mit einem anderen bestehenden Sicherheitskonfigurationssystem,
- b. Einsatz des Systems in einem Netz, das nur aus Ethernet-Switches oder nur
aus IP-Routern besteht,
- c. grafische Darstellung von gefundenen Fehlern aus dem Sicherheitsanalysator.