Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS<br />
Bild 2. Prinzip eines digitalen Zertifikats<br />
Zertifikate, <strong>für</strong> das Erstellen der Sicherheits-Policy<br />
in Bezug auf die Zertifikate,<br />
<strong>für</strong> das sichere Verteilen des eigenen öffentlichen<br />
Schlüssels (Public-Key) an andere<br />
<strong>und</strong> <strong>für</strong> das Bereitstellen von Zertifikats-Revokationslisten<br />
(CRLs). Eine<br />
CA signiert die von ihr ausgestellten Zertifikate<br />
mit ihrem eigenen privaten<br />
Schlüssel. Personen, Anwendungen <strong>und</strong><br />
Systeme, die Zertifikate nutzen, bestätigen<br />
deren Gültigkeit, in dem sie die Signatur<br />
des Zertifikats mit dem öffentlichen<br />
Schlüssel der CA verifizieren. CAs sind<br />
hierarchisch organisiert, das heißt, der<br />
Root-CA an der Spitze vertrauen alle. Sie<br />
zertifiziert dann die CAs unter sich <strong>und</strong><br />
schafft somit <strong>für</strong> diese die Vertrauensgr<strong>und</strong>lage.<br />
Bild 3 zeigt das Generieren<br />
der Schlüssel <strong>und</strong> Zertifikate. Nach dem<br />
Erzeugen der Schlüssel wird in diesem<br />
Beispiel der private Schlüssel sicher an<br />
den Anwender “Bob” übertragen. Es<br />
wäre auch möglich, dass Bob die<br />
Schlüssel selbst generiert, das hängt<br />
letztlich von der Security-Policy der CA<br />
ab. Diese Policy legt ebenfalls fest, wie<br />
Bobs Identität überprüft wird, wenn er<br />
ein Zertifikat anfordert. Bobs Public<br />
Key landet sowohl in seinem Zertifikat,<br />
als auch in einem <strong>für</strong> jedermann öffentlich<br />
zugänglichen Directory. Wenn nun<br />
Anwenderin “Alice” oder die von ihr<br />
eingesetzte Applikation Bobs Zertifikat<br />
nutzen will, kann sie dieses von dem öffentlichen<br />
Verzeichnis herunterladen.<br />
198 LANline 12/2000<br />
Sie hat dabei allerdings zu prüfen, ob<br />
das Zertifikat noch gültig ist. Um sicherzustellen,<br />
dass Bob <strong>und</strong> Alice mit<br />
der CA kommunizieren können, müssen<br />
sie Zugriff auf das Zertifikat der CA erhalten,<br />
welches den Public-Key der CA<br />
enthält.<br />
Als CA kommen beispielsweise Abteilungen<br />
innerhalb einer Organisation,<br />
Behörden oder “Trusted Third Parties”<br />
zum Einsatz. Zu den weltweit operierenden<br />
Third Party CAs gehören Verisign,<br />
Entrust, D-TRUST <strong>und</strong> TC-Trust-Center.<br />
Für Anwendungen, bei denen die<br />
User Mitglieder einer fest eingrenzbaren<br />
Gruppe sind, bringt der Aufbau einer<br />
internen PKI mit CA-Diensten wegen<br />
des geringeren Verwaltungsaufwands<br />
Vorteile. Zum Authentisieren vieler Anwender,<br />
die unter Umständen keine Beziehung<br />
mit dem Unternehmen haben,<br />
bietet im Gegensatz dazu eine öffentliche<br />
PKI den größeren Nutzen. Ein solches<br />
Szenario kommt beispielsweise zustande,<br />
wenn K<strong>und</strong>en oder Subunternehmer<br />
in der Lage sind, auf Teile eines<br />
Unternehmensnetzes zuzugreifen.<br />
Der größte “Feind” der Systemsicherheit<br />
ist die Komplexität. Je komplexer<br />
das System wird, desto schwieriger lässt<br />
es sich absichern <strong>und</strong> verwalten. In komplexen<br />
Systemen mit umfassenden Konfigurationsmöglichkeiten<br />
besteht große<br />
Gefahr <strong>für</strong> menschliche Fehler <strong>und</strong> Pro-<br />
Bild 3. Der Umgang mit den Diensten einer CA<br />
grammfehler, was letztendlich zu erheblichen<br />
Sicherheitsrisiken führt. Integriert<br />
ein Hersteller, wie zum Beispiel bei Windows<br />
2000, Sicherheitskomponenten in<br />
Betriebssysteme, so wächst mit dem<br />
Grad der Komplexität <strong>und</strong> der Quantität<br />
des Programmcodes das Risikopotenzial,<br />
das aus Bugs <strong>und</strong> <strong>und</strong>okumentierten Features<br />
herrührt. Gleiches gilt, wenn Sicherheitslösungen<br />
in Anwendungen integriert<br />
werden, da die Sicherheit ein hohes<br />
Maß an Kompetenz erfordert. Deshalb<br />
lässt sich ein hoher Sicherheitsgrad besser<br />
erreichen, wenn die Systeme einfach<br />
aufgebaut, gut dokumentiert <strong>und</strong> unabhängig<br />
von den Anwendungen entworfen<br />
<strong>und</strong> implementiert sind.<br />
Den gleichen Anspruch sollte die Security<br />
Policy erfüllen. So gilt die Gr<strong>und</strong>regel,<br />
dass kein Sicherheitssystem zum<br />
Einsatz kommen darf, wenn die Mitarbeiter<br />
die Sicherheits-Policy nicht<br />
verstehen oder die eingesetzten Lösungen<br />
zu komplex sind.<br />
VPN-Lösungen umfassen in der Regel<br />
die Nutzung unsicherer <strong>Netze</strong> <strong>für</strong> eine sichere<br />
Kommunikation. Um die damit verb<strong>und</strong>enen<br />
Risiken abzufedern, sind folgende<br />
Sicherheitsanforderungen zu erfüllen:<br />
Die “Authentisierung” vermeidet, dass<br />
jemand vorgibt ein anderer zu sein als er<br />
ist.<br />
Authentisierung ist ein wichtiger Bestandteil<br />
der IT-Sicherheit, die benötigt<br />
www.lanline.de