Kategorien
Hardware & Software Internet & Medien

Netzwerke sicher machen: Schweizer Messer für Netzwerkadministratoren

Administratoren sind immer auf der Suche: Im Kampf gegen Sicherheitslücken und Angreifer fahnden sie stets nach Tools und Werkzeugen, um das Netzwerk schneller, sicherer und robuster zu machen. Auch die gängigen Angriffswerkzeuge der Hacker sind bei Administratoren begehrt – schließlich gilt es, als Netzwerkadministrator auch die Waffen seiner „Feinde“ in- und auswendig zu kennen.

Einen ausführlichen Überblick über die beliebtesten Netzwertools bietet die Webseite Insecure.org. Hier finden Sie u.a. die 75 beliebtesten Sicherheits-Werkzeuge für Windows, Unix und Linux, die nahezu 2.000 Netzwerkadministratoren zu ihren Favoriten gekürt haben. Dazu gehören vor allem Sniffer, Intrusion-Detection-Systeme, Portscanner oder Passwort-Cracker. Beliebte Hackerwerkzeuge zum Entschlüsseln von Wireless LAN WEP-Schlüsseln bieten Administratoren einen Einblick in die „Waffenkammer“ unerwünschter Eindringlinge.

http://www.insecure.org/tools.html

Kategorien
Hardware & Software

Netzwerkanalyse, Geschwindigkeit und Durchsatz testen: Wie viel Netzwerk darf’s denn sein?

Ob im Netzwerk bereits ein Flaschenhals bremsende Wirkung zeigt, lässt sich leicht ermitteln. Wer nur einige wenige Windows-Clients oder -Server im Verdacht hat, kann den Windows-eigenen Systemmonitor bemühen und dort der lokalen Netzwerkschnittstelle über die Schulter schauen.

Im Systemmonitor von Windows wählen Sie hierzu das Datenobjekt „Netzwerschnittstelle“ sowie den Leistungsindikator „Gesamtzahl Byte/s“, und schön erkennen Sie, wie oft z.B. die Netzwerkkarte des Dateiserver unter Volllast arbeiten muss. Sind die zu überwachenden Netzwerke größer, lohnt sich mitunter die Anschaffung professioneller Netzwerk-Analyse-Software. Beispielsweise vermitteln die Produkte EtherPeek (4) von WildPackets oder Internet Advisor (5) von Agilent einen Überblick über die Leistungsfähigkeit des gesamten Netzwerks. Die digitalen Detektive protokollieren, analysieren und überwachen den Datenverkehr im Netz und decken Engstellen und andere Probleme im Handumdrehen auf.

Wir müssen leider draußen bleiben

Netzwerk-Analyse-Software deckt zwar die physikalischen Schwachstellen eines Netzwerks auf – die verborgenen logischen Schwachpunkte bleiben ihnen aber verborgen. Besteht im Netzwerk eine Verbindung zum Internet oder die Möglichkeit zur Einwahl per ISDN oder Analog-Telefon gehören nicht nur die Leistungs-, sondern auch die Sicherheitslücken auf den Prüfstand. Wer sein Netzwerk oder auch nur einen einzelnen Rechner ungeschützt an das Internet anbindet, handelt grob fahrlässig. Die Standardeinstellungen von Windows, Linux oder Macintosh laden potenzielle Hacker geradezu ein, sich im ungeschützten privaten oder unternehmensweiten Netzwerk umzuschauen. Ob und wie weit das eigene „Scheunentor“ geöffnet ist, lässt sich leicht online überprüfen: Kostenlose Online-Security-Checks – zum Beispiel von Symantec  oder GRC – verraten bereits nach wenigen Mausklicks, welche Sicherheitslöcher es zu stopfen gilt.

Die notwendige Sicherheit gegen unbefungte Angriffe gewährleisten nur geeignete Gegenmaßnahmen, die Hacker und andere Eindringlinge in die Schranken weisen. In kleinen Netzwerken unterbinden die in den meisten DSL- oder ISDN-Routern integrierten Firewall-Mechanismen – sofern eingeschaltet – bereits einen Großteil der Angriffsversuche. Wer im privaten Bereich auf Nummer Sicher gehen möchte, installiert zusätzlich auf jedem angeschlossenen Computer eine Software-Firewall, beispielsweise Symantec Personal Firewall oder ZoneAlarm.

Wachsen die zu schützenden Netzwerke, sollten auch die geeigneten Sicherheitsmechanismen mitwachsen. Während für Privatpersonen und kleine Büros die in Routern integrierten Firewalls noch ausreichen, kommen diese bereits bei mittleren und großen Unternehmen schnell an ihre Grenzen. Sowohl die eingeschränkte Konfigurierbarkeit als auch die Leistung der Firewalls im Volllastbetrieb machen die kleinen Home-Office-Lösungen für den Unternehmenseinsatz unattraktiv. Bereits ab 10 Mitarbeitern empfiehlt sich der Einsatz einer professionellen Firewall, die auch im Volllastbetrieb den Verkehr auf der Datenautobahn nicht verlangsamt. Ein weiterer Vorteil professioneller Firewalls: Lösungen von Firewall-Spezialisten wie NetScreen oder CheckPoint  lassen sich individuell auf die Sicherheitsbedürfnisse eines Unternehmens anpassen und erlauben beispielsweise unterschiedliche Rechte und Richtlinien für einzelne Mitarbeitern oder Abteilungen. Dabei sollte stets die goldene Firewall-Regel gelten: Auf der Firewall zunächst alles verbieten und nur Stück für Stück den Netzwerkverkehr zulassen, der für die tägliche Arbeit notwendig ist. In den meisten Fällen genügt beispielsweise lediglich die Freigabe der Ports 80 und 8080 für HTTP (Web) sowie der Ports 25 und 110 für Mail-Verkehr. (Stand: 2003)

Kategorien
Hardware & Software

Netzwerke planen: Auf die Last kommt’s an

Ob Windows, Apple oder Linux: Bereits bei der Planung eines Netzwerks sollte die Netzwerklast berücksichtigt werden, damit sich nicht später eine der Netzwerkkomponenten als wahrer Flaschenhals für die Daten entpuppt. Moderne Netzwerke arbeiten mindestens mit einer Geschwindigkeit von 100 MBit pro Sekunde. Für die meisten Netzwerke mit bis zu 100 angeschlossenen Clients reicht diese Geschwindigkeit auch vollkommen aus. Nur wenn regelmäßig bandbreiten-hungrige Videodaten durch das Netz wandern oder mehr als 100 Clients miteinander kommunizieren sollen, ist die Anschaffung eines Gigabit-Netzwerks mit 1.000 MBit pro Sekunde überlegenswert.

Wichtig bei der Verkabelung: Zum Verteilen der Netzwerkdaten sollten an den Knotenpunkten statt Hubs optimalerweise ausschließlich Switches zum Einsatz kommen. Hubs – egal welcher Größe – haben einen entscheidenden Nachteil: alle angeschlossenen Endgeräte teilen sich die zur Verfügung stehende Bandbreite, da alle ankommenden Daten im Broadcast-Verfahren an alle anderen Endgeräte weitergeleitet werden. Kommunizieren beispielsweise 16 Computer über einen Hub, stehen jedem Computer im ungünstigsten Fall nur 6,25 Mbit/s (100 geteilt durch 16) statt 100 MBit/s zur Verfügung.

Anders ein Switch: Hier sorgt die integrierte, intelligente Technik dafür, dass die am Switch ankommenden Daten zweier kommunizierender Rechner nicht einfach an alle Endgeräte rundgesendet werden. Stattdessen erkennt der Switch, für welchen Computer die Daten bestimmt sind und schaltet (switched) die beiden kommunizierenden Rechner logisch zusammen, so dass beiden die komplette Bandbreite von 100 MBit/s zur Verfügung steht – als wären sie ohne Netzwerkverteiler direkt miteinander verbunden. Wer aus Kostengründen dennoch nicht auf den Einsatz von Hubs verzichten möchte, sollte diese in der Netzwerkhierarchie möglichst „weit unten“ an den Knotenpunkten einsetzen, an denen die wenigsten Computer versorgt werden müssen. In großen Büros beispielsweise in einzelnen 2-Platz-Räumen statt im Großraumbüro.

Kategorien
Hardware & Software

Windows, Mac und Linux vernetzen

Nicht nur in Firmen und Behörden, auch im privaten Bereich erfreuen sich Netzwerke großer Beliebtheit. Kein Wunder, schließlich bietet ein Netzwerk – egal ob mit 2 oder 2.000 Computern – enorme Vorteile bei der täglichen Arbeit. Dabei spielt es keine Rolle, ob es sich dabei um Windows-, Linux- oder Apple-Computer handelt – im Netz sind alle gleich.

Wer mit modernen Windows-Versionen 2000, XP oder Windows 2003 Server ein Netzwerk aufbauen möchte, ist bereits nach wenigen Mausklicks am Ziel. Zahlreiche Assistenten unterstützen den Windows-Benutzer bei der Kontaktaufnahme per Ethernet-Kabel oder Wireless LAN. Als Netzwerkprotokoll ist das Internet-Protokoll TCP/IP erste Wahl – es ist schnell, robust und findet in fast allen Firmen- oder privaten Netzwerken Anwendung.

Fenster, Äpfel und Pinguine in einem Boot

Auch die Linux-Gemeinde ist schnell in das lokale Windows-Netzwerk eingebunden. Unter Linux ist es recht einfach, die Dateifreigabe oder die unter Windows bekannte „Netzwerkumgebung“ zu nutzen. Windows verwendet für die Datei- und Druckerfreigabe ein Protokoll, das Mitte der 1980er Jahre von Microsoft unter dem Namen SMB (Server Message Block) eingeführt wurde und in der Zwischenzeit auch als CIFS (Common Internet File System) bekannt ist. In der Linux- und Unix-Welt hat sich vor allem das Software-Paket Samba (1) etabliert, das auf Basis des SMB-Protokolls die Linux-Computer in der Windows-Netzwerkumgebung erscheinen lässt.

Apple-Anwender erhalten ebenfalls auf der Basis des SMB-Protokolls Eintritt in die Windows-Netzwerkumgebung. Da das neueste Apple-Betriebssystem Mac OS X ein Unix-Derivat darstellt, führt der Weg ins Netz beim Apple ebenfalls über Samba. Ab Mac OS X 10.1 ist die Samba-Unterstützung bereits von Hause aus an Bord. Wer allerdings mit früheren Mac-OS-Versionen – z.B. Mac OS 8 oder 9 – ins Windows-Netz möchte, muss mehr Aufwand betreiben. Da die SMB-Unterstützung in diesen Mac-OS-Versionen kein Bestandteil des Betriebssystem ist, müssen Mac-Besitzer hier auf Zusatzsoftware von Drittherstellern wie Thursby (2) zurückgreifen, um Macintosh-Computern das SMB-Protokoll beizubringen. (Stand: 2003).

Kategorien
Hardware & Software

WLAN bombensicher: Rund-um-Sorglos-Paket VPN

Netzwerkadministratoren mit hohem Siherheitsbewußtsein haben neben WPA aber noch ein weiteres As im Ärmel. Das Zauberwort lautet VPN – Virtual Private Network. Solange der 802.11i-Standard noch nicht freigegeben ist, empfiehlt sich die Absicherung des WLANs per VPN und sicherem IPSec-Protokoll.

Dank VPN können Administratoren die Authentifizierung und die Verschlüsselung der übertragenen Daten so einrichten, dass sich selbst hartnäckige Hacker die Zähne daran ausbeißen. Der Clou: Virtual Private Networks setzen auf eine bestehende, unsichere Netzwerkverbindung auf. Hierüber muss sich der Client bei der Gegenstelle zunächst eindeutig identifizieren, erst danach erfolgt die verschlüsselte Datenübertragung. Auch wenn der Angreifer Zugang zum WLAN hat, kann er die Daten nicht mitlesen oder unbemerkt verändern. Ein VPN zwischen WLAN-Clients und dem Firmennetz stellt somit die optimalste Absicherung vor unerlaubtem Eindringen in das firmeninterne Netzwerk dar – erfordert allerdings auch wesentlich mehr Aufwand bei der Ersteinrichtung des VPN-Servers (12) und der VPN-Clients.

Das WLAN-VPN besteht aus einem Gateway, das den Zugang zum lokalen Netz vermittelt und den WLAN-Clients. Besonders wichtig: Der Access Point übernimmt dabei lediglich die Rolle der Übertragungsstation und gehört nicht direkt zum VPN (siehe Abbildung). Der Access Point darf also keinesfalls direkt mit dem lokalen Netz verbunden sein, sondern wird an eine separate Netzwerkkarte des VPN-Gateways angeschlossen. Das Gateway ist idealerweise gleichzeitig auch die Firewall, die nur den VPN-gesicherten Verkehr passieren lässt. Die VPN-Lösung hat sich im Praxiseinsatz bereits bestens bewährt: Zahlreiche Universitäten verwenden die VPN-Lösung bereits erfolgreich für einen sicheren WLAN-Zugang der Studenten auf das Uni-Netzwerk. (Stand: 2003)

Kategorien
Hardware & Software

Warum WLANs unsicher sind

Bequem, schnell – aber unsicher. So werden WLANs oft charakterisiert. Und es stimmt tatsächlich: Die WLAN-Standards 802.11a/b/g bieten den Endkunden zwar einen bequemen Einstieg in die Welt der kabellosen Netze – doch um die Sicherheit ist es wahrlich schlecht bestellt. Insbesondere wenn es um unternehmenskritische Daten wie Finanzen, Geschäftspläne oder Patente geht, sollten die Sicherheitslücken im WLAN gestopft oder zumindest verkleinert werden.

Schuld am Image des unsicheren WLAN-Netzwerks haben eklatante Sicherheitslücken des im 802.11-Standard implementierten WEP-Algorithmus (Wired Equivalent Privacy). Das Fiasko der WLAN-Verschlüsselung WEP konnte trotz der über 12-jährigen Entwicklung des IEEE-Standards 802.11 nicht verhindert werden. Zum Leidwesen aller WLAN-Nutzer hat es das IEEE-Gremium nicht geschafft, praxistaugliche Sicherheitsmechanismen im WLAN-Standard zu verankern. Das kryptografische WEP-Verfahren hat sich in der Praxis als mangelhaft und unbrauchbar erwiesen. Zwar muss der private Gelegenheitssurfer nicht gleich befürchten, dass sein Datenverkehr mitgehört wird, wenn er WEP einsetzt und den Schlüssel in regelmäßigen Abständen erneuert. Unternehmen mit sensiblen Daten sollten jedoch nicht blind auf die WEP-Verschlüsselung vertrauen. Engagierte Hacker brauchen weniger als 30 Minuten, um die Schlüssel zu knacken und den WLAN-Verkehr dann ungehindert abhören zu können. Gewappnet mit einfachen Werkzeugen wie einem WLAN-Notebook, Range-Extender-Antenne und entsprechender Software hat sich der Einbruch in bestehende WLAN-Netze – auch War-Driving genannt – regelrecht zum Volkssport entwickelt. Über das geknackte Funknetz steht einem Angreifer eine gefährliche Hintertür offen, die an der Firewall vorbei auf direktem Weg zu den Firmenservern führt.

Um die Verschlüsselung wieder sicher zu machen, arbeitet das IEEE-Gremium derzeit an einer Ergänzung des WLAN-Standards namens 802.11i. Doch der neue Standard wird voraussichtlich erst 2004 verabschiedet. Um bis dahin die Lücke zu schließen, hat die Herstellervereinigung „Wi-Fi Alliance“ eine Interimslösung namens WPA (Wi-Fi Protected Access) entwickelt, die bereits Teile des geplanten IEEE-Standards vorwegnimmt. Sicherheitsbewusste Administratoren sollten daher bei der Anschaffung der WLAN-Hardware darauf achten, dass die Geräte zumindest WPA unterstützen. Ganz unproblematisch ist WPA allerdings auch nicht: So ist der WPA-Algorithmus anfällig für Denial-of-Service-Attacken (DoS), da er den WLAN-Adapter für 60 Sekunden deaktiviert, sobald innerhalb von einer Sekunde mehr als ein potenzielles Angriffspaket entdeckt wird. Damit wird das Firmennetz zwar vor Eindringlingen geschützt – allerdings zum Preis eines komplett lahmgelegten WLAN-Adapters. (Stand: 2003)

Kategorien
Hardware & Software

WLANs verstärken, die Sendeleistung erhöhen, mehr Reichweite

Hohe Entfernungen, dicke Wände, viele Etagen: Das sind die typischen Hürden, die ein WLAN bereits in kleinen Unternehmen überbrücken muss. Während ein einzelner Access-Point in kleinen Büros und Agenturen noch ausreicht, um alle Clients ausreichend zu versorgen, stoßen kleine WLANs bereits bei größeren Bürogemeinschaften an ihre Grenzen.

 Doch das WLAN endet keineswegs mit der maximalen Reichweite des ersten Access Points. Für das einfache Verstärken des Signals eines Access Points eignen sich sogenannte Wireless Repeater. Hierbei handelt es sich um einen Access Point mit einem speziellen Betriebsmodus, der die von anderen Access Points und Wireless-Stationen empfangenen Daten über den gleichen Funkkanal weiterleitet und praktisch verstärkt. Der Wireless Repeater eignet sich somit ideal, um dicke Wände oder Etagen zu überbrücken und entlegene Bürobereiche zu erreichen, die nicht bereits über eine CAT5-Verkabelung zum Firmennetz verfügen. Soll es nach draußen gehen – etwa auf Messegelände, weitläufige Firmengelände, in Cafés oder Biergärten – empfiehlt sich der Einsatz einer outdoor-tauglichen WLAN-Bridge. Die in einem wasserdichten Aluminiumgehäuse steckende WLAN-Bridge ALL0199BR (11) von Allnet mit integriertem Blitzschutz kann beispielsweise als WLAN-Bridge zwei Gebäude vernetzen (Point-to-Point) oder als außen installierter Access Point für WLAN-Hotspots mobile Rechner im Freien versorgen. Der Clou: Die Stromversorgung kann mit dem beiliegenden DC-Injektor über den Ethernet-Anschluss erfolgen und erspart somit die Stromverkabelung

Ist bereits eine LAN-Verkabelung zum Firmennetz vorhanden, empfiehlt sich zur Steigerung der WLAN-Reichweite der Einsatz mehrerer Access Points. Gilt es beispielsweise, die Funkdaten optimal über eine ungünstig geschnittene Büroetage zu verteilen, lassen sich theoretisch beliebig viele WLAN-Access-Points an das kabelgebundene Firmennetz anschließen, um möglichst in allen Bereichen der Büroetage über WLAN zu verfügen. Dank der WLAN-Standardisierung ist es erfreulicherweise nicht erforderlich, dabei stets die gleichen Marken und Modelle zu benutzen – die Access Points der unterschiedlichsten Hersteller harmonieren in der Regel problemlos miteinander. Sobald die Access Points per Ethernet-Kabel mit dem Firmennetz verbunden sind, fehlt nur noch die Konfiguration für den gemeinsamen Betrieb. Hierbei sollte folgendes beachtet werden: Auch wenn Windows XP automatisch zwischen Netzen unterschiedlicher SSID wechseln kann, sollten für alle Access Points die gleichen SSID konfiguriert werden. Die angrenzenden Access Points sollten zudem auf nicht überlappende Kanäle eingestellt sein – für 802.11b-Access-Points (11 Mbit/s) sind dies üblicherweise die Kanäle 1, 6 und 11.

Ganz besonders wichtig beim Einsatz mehrerer Access Points: Der Einsatz statischer statt dynamischer IP-Adressen für die einzelnen Access Points. Die üblicherweise in den Access Points aktivieren DHCP-Server sollten deaktiviert werden, so dass im gesamten LAN nur ein einziger DHCP-Server seinen Dienst verrichtet. Eine Idealkonfiguration sieht beispielsweise folgendermaßen aus: Der Haupt-Access-Point verfügt über die IP-Adresse 192.168.1.1 (Subnet Mask 255.255.255.0) sowie einen aktivierten DHCP-Server, der 100 Adressen ab 192.168.1.100 verteilt. Der erste Erweiterungs-Access-Point arbeitet ohne DHCP-Server und erhält die statische Adresse 192.168.1.254, der zweite die statische Adresse 192.168.1.253, der dritte die statische Adresse 192.168.1.252 usw. (Stand: 2003).

Kategorien
Hardware & Software

Flaschenhals W-LAN

Video- und Bilddaten gehen nicht gerade sparsam mit der Bandbreite des Netzwerks um. Müssen Videos, Datenbanken oder ähnlich großvolumige Daten über das Funknetz wandern, sollten Sie bei der Planung den Datendurchsatz des WLAN-Netzes nicht überschätzen. Zwischen der theoretischen Geschwindigkeit und den tatsächlich erzielten Werten liegen mitunter Welten.

Während bei kabelgebundenen Netzwerken der Netto-Datendurchsatz nur geringfügig unter dem Brutto-Durchsatz liegt, ist bei WLAN-Netzen mit größeren Geschwindigkeitseinbußen zu rechnen. Von der Bruttodatenrate der WLAN-Komponenten müssen – je nach Technik – noch einige zehn Prozent bis zur Hälfte abgezogen werden. Der Grund: Die Übertragung verläuft teilweise mit zusätzlich eingefügten redundanten Informationen, um Übertragungsfehler und das erneute Senden verloren gegangener Pakete möglichst schon von vornherein zu vermeiden. Während zum Beispiel Bluetooth netto typischerweise auf etwa 723 kBit/s und somit etwa über 70 Prozent der Bruttorate kommt, reicht es etwa bei WLANs nach IEEE 802.11b nur für 5 bis 6 MBit/s und somit nur etwa 45 bis 55 Prozent der nominellen 11 MBit/s.

Damit das Funknetz nicht vollends zum Daten-Flaschenhals des Unternehmens wird, gibt es zwei zentrale Ansatzpunkte zur Leistungssteigerung: Erhöhung des Datendurchsatzes sowie Steigerung der Antennenreichweite. Eine möglichst hohe Reichweite der Funkantennen verringert die Notwendigkeit, Daten mehrfach und wiederholt über den Äther zu schicken. Im Notebook sorgen PC-Cards mit ausklappbarer Antenne – beispielsweise die AL1511 AeroLAN XWing Wireless PC-Card (10) von Asante – für mehr Reichweite. Auch USB-Adapter mit ausklappbaren Antennen haben sich in der Praxis den PC-Cards mit starrer Mini-Antenne als überlegen erwiesen. Die größtmögliche Reichweite erzielen Notebooks mit bereits integrierten WLAN-Adaptern – hier ist die Antenne üblicherweise im Laptop-Bildschirm eingebaut und somit optimalerweise vertikal ausgerichtet. Bei Desktop-Clients haben sich weitere Tricks als hilfreich erwiesen: Verzichten sollten Sie hier auf Adapter in Form einer PC-Karte für Laptops, die in eine PCI-Karte eingesteckt wird. Hier befindet sich die Antenne in Bodennähe und hinter einem Metallobjekt und somit in der denkbar ungünstigsten Position. Idealerweise sollte sich die Antenne eines Desktop-Adapters an einem langen Kabel befinden, um sie flexibel an der optimalsten Position platzieren zu können. (Stand: 2003)