ATM Security ATM Workshop TFH Wildau 23.September 1998 Dipl.-Ing. Frank Schönhoff

Einleitung zSicherheit ist im Zuge der zunehmenden Vernetzung und Komplexität der Netze eine zentrale Anforderung zSicherheit muß sich durch alle Protokoll- ebenen ziehen & den Nutzer einschließen, d.h. ganzheitliche Betrachtung zbreites Spektrum an Sicherheitsgesichts- punkten und Sichten (User, Betreiber,...)

Sicherheitsanforderungen zVertraulichkeit der übertragenen und gespeicherten Daten zDatenintegrität, Schutz der Daten zReproduzierbarkeit aller Dienstnutzungen, Feststellung der Verantwortlichkeiten zVerfügbarkeit der zugesicherten Dienste

Betrachtungsweisen zAnwender / Kunde yDienstaktivierung yVerfügbarkeit ykorrekte Funktionen ynachvollziehbares Billing yDatensicherheit und - integrität, Privacy yMöglichkeit der Anonymität z Betreiber / Operator ykorrekte Funktionen Netz und Management yVerhinderung der unberechtigten Dienst- nutzung, Zuordung der Dienstnutzung yNachvollziehbarkeit aller Aktivitäten

Gefahren zpotentielle Verletzungen von Sicherheitsnormativen zGefahrenquellen yunbeabsichtigte Angriffe, Fehlbedienungen yadministrative Mängel (z.B. fehlende Paßwörter, keine Beschränkungen) ygezielte Angriffe auf Systeme (Änderungen an Konfigurationen, Billing,...) und Daten

Gefahren (Generic Threats) zMasquerade (Spoofing) Versuch sich als jemand anderes auszugeben, als man tatsächlich ist (z.B. ATM Adresse) zEavesdropping Abhören der Kommunikation (relativ schwierig) zUnauthorized access Illegaler Zugang zu Systemen und Diensten (z.B. Systemzugang, ELAN-Mitgliedschaft)

Gefahren (Fortsetzung) zLoss or corruption of information Veränderung des Dateninhaltes zRepudiation Abstreiten eines Sachverhaltes (z.B. Teilnahme an einem bestimmten Datenaustausch) zForgery Vortäuschen einer anderen Datenquelle zDenial of Service Verweigerung der Diensterbringung

Einwirkungen der Gefahren

Problemstellung im ATM zATM bietet neben der Übertragungstechnologie eine Netzwerkprotokollumgebung mit den entsprechenden Angriffspunkten: yAdressierung ySignalisierung yRouting zderzeit Securityaspekte kaum standardisiert und nur zum Teil praktisch realisiert (herstellerabhängig)

Angriffspunkte zfolgende Beispiele sollen Angriffspunkte veranschaulichen yATM-Adressen ySignalisierung yLANE-Dienste

Problem ATM-Adressen zAdresse sollte weltweit eindeutig sein zAdresse ist aber manipulierbar zProblem: z.B. Vertraulichkeit eingeschränkt durch Spoofing zkeine eindeutige Identifikation eines Kommunikationspartners anhand seiner ATM NSAP Adresse

Problem Signalisierung zAuf- und Abbau von Verbindungen über Signalisierung züber manipulierte Setups lassen sich gezielt Verbindungen zu nicht autorisierten System herstellen oder fremde Verbindungen unterbrechen zProblem: z.B. Vertraulichkeit, Verfügbarkeit

Problem LANE-Dienste zLANE-Dienste stellen Möglichkeit der Bildung virtueller LANs unabhängig von der physischen Netzstruktur zur Verfügung zin den LANE-Spezifikationen ist keine Authentifikation der angeschlossenen Systeme vorgesehen, damit kann jeder Nutzer sich an das virtuelle Ethernet oder Token Ring anschließen zdie daraus resultierende Sicherheitslücke ist nicht mit der im Ethernet identisch

Praxisbeispiele, Lösungen zZugriffsschutz auf ATM-Systeme zEinschränkung der automatischen Registrierung zNSAP-Verbindungsfilter zVerschlüsselungstechniken zVerfügbarkeit / Sicherheit LANE-Dienste zLogging

Zugriffsschutz zBenutzerauthentifizierung yBenutzername / Paßwort yweitere Merkmale, z.B. SecureID-Karte zNMS Authentifikation yATM Adresse der NMS yIP-Adresse der NMS yELAN-Zugehörigkeit bei Inbandmanagement ySNMP Communities

Beschränkung der automatischen Registrierung zILMI ermöglicht u.a. komfortablen Adreßaustausch zwischen Switch und Endsystem zRisiken: yUmzug erschwert Identifikation eines Systems yPlug and Play für beliebige Endsysteme zdedizierte Abschaltung von ILMI für Risikoports (unkontrollierter Zugang)

NSAP Filter zATM arbeitet verbindungsorientiert und adressiert Calls mit NSAP Adressen zgezieltes Erlauben und Unterdrücken von Calls ermöglicht Einschränkung von Kommunikationsbeziehungen zwischen bestimmten Endsystemen

Verschlüsselung zder einzelne VC ist im ATM in der Regel schwer abhörbar (direkte Eingriff ins Netz erforderlich, hohe Geschwindigkeit, LWL) zzusätzlich ist aber eine Verschlüsselung bei Nutzung eines Providers sinnvoll und praktisch realisiert (derzeit bis 622 Mbps)

Verfügbarkeit der LANE-Dienste zLANE-Dienste stellen bis zur aktuell implementierten LANE 1.0 Single Point of Failure dar zverschiedene Hersteller bieten proprietäre Redundanzprotokolle sowohl auf Client- und/oder Serverseite zzum Teil auch Lastverteilung und damit höhere Skalierbarkeit der Dienste

Sicherheit der LANE-Dienste zlt. Standard keine Einschränkung des Join bei direktem Zugriff auf den LES zDefinition von geschlossenen ELANs anhand von NSAP-Adressen

Logging zdas Aufzeichnen und Melden von Aktivitäten am System ist elementare Funktion zum Aufdecken von Sicherheitsdefiziten und Angriffen zz.B. Eventlogging mittels Traps und Aufzeichnung im Syslogfile eines NMS zDefinition von Alarmen

Standardisierung zATM-Forum arbeitet in spezieller Arbeitsgruppe (AF-SEC) an Spezifikationen zur Sicherheit im ATM zderzeit aktuelles Dokument ATM Security Framework 1.0 zdarin wird versucht, das Problemfeld zusammenzufassen, nicht aber die konkrete technische Lösung vorzugeben

Standardisierung (Forts.) zDefinition verschiedener Dienste zUser Plane yAccess Control (definierter Zugriff auf Verbindungen) yAuthentifikation (überprüft Identität von Rufendem und Gerufenem, verhindert Spoofing, Benutzung symmetrischer {z.B. DES} oder unsymmetrischer Schlüssel {RSA}

Standardisierung (Forts.) zUser Plane yVertraulichkeit (Verschlüsselung) yIntegrität (Sicherung der AAL-SDU mit verschlüsselter Signature, dabei Fehlererkennung und / oder -behebung) zControl Plane yAuthentifizierung (Überprüfung der Quelle einer Signalisierungsmessage)

Vielen Dank für Ihre Aufmerksamkeit.