FACHRICHTUNG

 W I R T S C H A F T S I N F O R M A T I K

DIPLOMARBEIT

Authentifizierungsverfahren als Sicherheitsaspekt 
für Virtuelle Private Netzwerke

Autor:

 Dirk Umlauf

Ausbildungsbetrieb: Sparkassen Versicherung Baden Württemberg
Informatikdienste GmbH (SVI) in Verbindung mit der
Gesellschaft für angewandte Versicherungs-Informatik (GaVI)

Abstract

Bis vor einigen Jahren war die Kommunikation zwischen verteilten Firmennetzwerken noch die Ausnahme, da es aufgrund teurer Standleitungen oder hoher Telefongebühren durch Fern-Wählverbindungen für viele Firmen finanziell nicht tragbar war. Durch die rasante Entwicklung automatisierter Prozessabläufe kann ein Unternehmen in der heutigen Zeit allerdings nur durch eine standortübergreifende Kommunikation wettbewerbsfähig bleiben, was somit zum grundlegenden Gerüst der Wirtschaftlichkeit eines Unternehmens wird. Die Anbindung von entfernten Zweigstellen oder mobilen Mitarbeitern an das zentrale Hauptnetz wird durch die Nutzung öffentlicher Netzinfrastrukturen ermöglicht. Da diese nicht exklusiv, sondern gemeinsam mit vielen unterschiedlichen Verbindungen genutzt werden, befasst sich diese Arbeit mit dem sicheren Aufbau von standortübergreifenden privaten (Firmen-)Netzwerken mittels sog. Virtual Private Networks (VPN’s). Die Spezialisierung dieser Arbeit liegt dabei auf der Benutzerauthentifizierung.

Der erste Abschnitt befasst sich mit dem Begriff VPN und beschreibt anschließend die Funktionsweise dieser Lösung, bevor im nächsten Teil auf die Technologien Frame Relay, ATM, ISDN und Internet eingegangen wird, auf Basis derer ein VPN implementiert werden kann.

Der folgende Punkt sensibilisiert den Leser mit der Sicherheitsproblematik, die eine Verwendung öffentlicher Netze mit sich bringt. Hier werden die Konzepte angesprochen, welche bei der Implementierung eines VPN zum Einsatz kommen, um den Anforderungen der Datenauthentizität, -integrität, -vertraulichkeit sowie Verfügbarkeit und Geschwindigkeit der Datenübermittlung gerecht zu werden. Dabei handelt es sich um Firewalls, Tunneling-Verfahren, Verschlüsselung und Authentifizierung.

Der letzte Punkt stellt das Thema des längsten Abschnitts dar, in welchem die unterschiedlichen Authentifizierungswerkzeuge der Merkmale Wissen, Besitz und Eigenschaft ausgiebig bearbeitet werden. Dabei gehe ich neben der Funktionsweise und Vor- bzw. Nachteilen der jeweiligen Werkzeuge auf die Faktoren Zuverlässigkeit, Kosten, Schnelligkeit, Benutzerfreundlichkeit bzw. -akzeptanz und die Eignung für den (mobilen) Einsatz in VPN’s ein. 
Als Abschluss werden in einem Fazit nochmals die Vor- und Nachteile der möglichen Authentifizierungsmerkmale Wissen, Besitz und Eigenschaft aufgegriffen, um anhand von Beispielen auf die Notwendigkeit der Zwei-Faktor- Authentifizierung hinzuweisen.

Inhaltsverzeichnis

1. EINLEITUNG ... 1

2. BEGRIFFSERKLÄRUNG UND FUNKTIONSWEISE VON VPN’S  ... 2

3. TECHNOLOGIEN ... 6
3.1. LAYER-2-VPN’S  ... 6
3.1.1. Frame Relay ... 7
3.1.2. ATM (Asynchronous Transfer Mode)  ... 9
3.1.3. ISDN (Integrated Service Digital Network)  ... 10
3.2. INTERNET  ... 11

4. SICHERHEIT ... 11
4.1. SICHERHEITSRISIKEN  ... 11
4.2. SICHERHEITSKONZEPTE  ... 14
4.2.1. Firewalls  ... 14
4.2.2. Tunneling  ... 14
4.2.2.1. Tunneling-Protokolle ... 16
4.2.3. Verschlüsselung ... 18
4.2.3.1. Schlüsselmanagement  ... 21
4.2.4. Authentifizierung  ... 22

5. AUTHENTIFIZIERUNGSWERKZEUGE  ... 23
5.1. WISSEN (WAS WEIßT DU?)  ... 24
5.1.1. Passwörter  ... 24
5.1.2. Einmal-Passwörter  ... 26
5.1.2.1. Einmal-Verschlüsselung  ... 26
5.1.3. Zeitabhängige Passwörter  ... 27
5.2. BESITZ (WAS HAST DU?)  ... 28
5.2.1. Rufnummernprüfung und Callback  ... 28
5.2.2. Magnetkarten  ... 29
5.2.2.1. Sicherheitsrisiken  ... 30
5.2.3. Chipkarten ... 32
5.2.3.1. Speicherchipkarten ... 33
5.2.3.2. Intelligente Speicherchipkarten  ... 33
5.2.3.3. Prozessorchipkarten (Smart-Cards)  ... 33
5.2.3.4. Superchipkarten  ... 35
5.2.4. Digitale Unterschriften ... 36
5.2.5. Digitale Briefumschläge  ... 40
5.2.6. Digitale Zertifikate  ... 40
5.2.7. Tokens  ... 44
5.3. EIGENSCHAFTEN (WER BIST DU?)  ... 48
5.3.1. Fingerabdruck-Erkennung ... 50
5.3.2. Hand-Erkennung ... 53
5.3.3. Iris-/Regenbogenhaut-Erkennung  ... 55
5.3.4. Retina-/Netzhaut-Erkennung ... 56
5.3.5. Gesicht-Erkennung  ... 57
5.3.6. Haut-Erkennung ... 61
5.3.7. Handschrift-/Unterschrift-Erkennung ... 61
5.3.8. Sprach-Erkennung  ... 62
5.3.9. Vor- und Nachteile biometrischer Verfahren:  ... 

6. SCHLUSSBETRACHTUNG ... 65

7. GLOSSAR ... 68

8. LITERATURVERZEICHNIS ... 71

9. ANHANG ... 

• Anbieter von Authentifizierungswerkzeugen
• notwendige Daten für die Online-Beantragung von digitalen Zertifikaten bei der Firma TeleSec
• Artikel über Fingerabdruck-Sensoren auf mobilen Geräten der Fa. ALPS
• Datenblatt des Handerkennungssystems Vascular VP-II® der Fa. Identica
• Algorithmus des Gesichterkennungssystems FaceVACS der Fa. Cognitec Systems
• Datenblatt des dreidimensionalen Gesichterkennungssystems Tridentity der Fa. Neurodynamics
• Datenblatt des auf der CeBIT 2004 vorgestellten dreidimensionalen Gesichterkennungssystems Fiore der Fa. NEC

Abbildungsverzeichnis
Abbildung 1: Grundsätzlicher Aufbau einer VPN-Anbindung  ... 3
Abbildung 2: Frame-Relay-VPN mit permanenten virtuellen Verbindungen  ... 8
Abbildung 3: Übertragung verschiedener Arten des Datenverkehrs auf Basis von ATM  ... 9
Abbildung 4: Kapselung und Transport von Netzwerkpaketen  ... 15
Abbildung 5: symmetrische Datenübertragung mit gleichen Schlüsseln  ... 18
Abbildung 6: asymmetrische Datenübertragung mit unterschiedlichen Schlüsseln  ... 19
Abbildung 7: Abmessungen für Identifikationskarten aus Kunststoff nach ISO 7810  ... 30
Abbildung 8: CVC2- bzw. CVV2-Nummer auf Kreditkarten  ... 31
Abbildung 9: Kontaktflächenbelegung der externen Ein-/Ausgabeschnittstelle eines Karten-Chips nach ISO 7816-2  ... 33
Abbildung 10: Chipkarten-Authentifizierung mit symm. Verschlüsselungsverfahren  ... 34
Abbildung 11: Beispiel für den inneren Aufbau einer Superchipkarte  ... 35
Abbildung 12: Übermittlung einer signierten Nachricht  ... 37
Abbildung 13: Digitale Signatur mit Anwendung einer Hash-Funktion  ... 39
Abbildung 14: Zertifizierungsablauf mit digitalen Zertifikaten einer CA  ... 41
Abbildung 15: Standard-Format für digitale Zertifikate nach ITU-X.509  ... 43
Abbildung 16: Authentifizierungsablauf mit einer Token-Karte  ... 45
Abbildung 17: zeitabhängige hardwarebasierende Tokens der Firma RSA Security  ... 46
Abbildung 18: Charakteristische Merkmale (Minutien) eines Fingerabdruckes  ... 51
Abbildung 19: Smart-Card und ID-Mouse mit integriertem Fingertipp-Sensor der Firma Siemens  ... 52
Abbildung 20: USB-Stick mit Fingertipp-Sensor der Firma Navi  ... 52
Abbildung 21: Hand-Erkennungs-Gerät HandPunch der Firma IR Recognition Systems  ... 54
Abbildung 22: Personenidentifizierung durch FaceFINDER®  ... 58
Abbildung 23: dreidimensionale Gesicht-Erkennung  ... 60

1. Einleitung

Sichere Netzwerke waren bis vor einigen Jahren nur für große Unternehmen erschwinglich, da Verbindungen über mehrere Standorte hinweg immer auf teuren Standleitungen beruhten. Bei bundesweit verteilten Filialen führte dies aufgrund der zu hohen Gebühren oftmals zur Unwirtschaftlichkeit. Weiterhin war für mobile Mitarbeiter der Zugang zu privaten Firmennetzen problematisch, da diese mittels Modem über das Telefonnetz mit dem Unternehmen kommunizieren mussten und dafür meist teure Ferngespräche erforderlich waren. Vor allem kleineren Organisationen blieb deshalb die standortübergreifende Verbindung meist vorbehalten. Alternativ konnte man sich nur auf das unsichere öffentliche Internet stützen.

Aus diesen Gründen betrieben Unternehmen anfangs ihre Netzwerke oftmals völlig unabhängig voneinander mit individuellen Eigenschaften und Anwendungen, so dass für jede Filiale ein eigenes Netz existierte, das mit anderen Filial-Netzen nicht unbedingt kompatibel war und somit keine netzübergreifende Kommunikation ermöglicht wurde. In der heutigen Zeit ist dies durch die zunehmende Umstellung der Prozesse auf die elektronische Datenverarbeitung allerdings wirtschaftlich nicht mehr tragbar. Immer öfter sind deshalb Unternehmen gezwungen, auf Verbindungen außerhalb ihres privaten lokalen Firmennetzes (LAN) zuzugreifen, um etwa mit externen Firmennetzen, Kooperationspartnern oder mobilen Mitarbeitern kommunizieren zu können. So ziehen Unternehmensnetze mittlerweile immer größere Kreise durch Integration kleinerer Außenbüros, mobiler Mitarbeiter, Telearbeiter, usw. Der Einschluss in die Firmen-Kommunikation von “außerhalb“ verfolgt das Ziel, alle Anwender oder auch Kunden mittels Remote Access an den Ressourcen und Kommunikationsmöglichkeiten des Unternehmens teilhaben zu lassen. Dies ermöglicht einem Unternehmen neben der Steigerung ihrer Flexibilität auch die Erhöhung der Effizienz und macht moderne Netzwerke somit zur entscheidenden Infrastruktur für Wettbewerbsfähigkeit und Produktivität. Denn um nur einen von vielen Gründen zu nennen, ist es durchaus wirtschaftlich notwendig, dass ein Lagerverwalter seinen Produktionsbestand nicht nur ständig aktualisieren kann, sondern dies auch von der Vertriebsabteilung ersichtlich ist, um die verfügbare Menge bei Geschäftsprozessen berücksichtigen zu können.
Es stellt sich nun die Frage, mit welchen Technologien und Mitteln sich eine Anbindung über das interne Firmennetz hinaus sicher und zugleich preisgünstig realisieren lässt.
Die Lösung steckt in Virtual Private Networks (VPN’s), durch deren Technologien sichere Verbindungen über öffentliche Netze mittels sog. “Tunneln“ gewährleistet werden.

Die bisherige Definition von Netzwerken unterschied allerdings nur zwischen öffentlichen und privaten Netzen. Während öffentliche Netze wie das Telefonnetz oder das Internet durch zahlreiche Teilnehmer geprägt sind, welche in keiner festen Beziehung zueinander stehen und mehr oder weniger ungehindert Informationen austauschen, besteht ein privates Netz dagegen nur aus Computern einer bestimmten Organisation, die in erster Linie untereinander kommunizieren. Bei einem privaten Netz können die Beteiligten sicher sein, dass ausschließlich sie das Netz benutzen und die ausgetauschten Informationen nur berechtigten Personen zugänglich sind. Im Gegensatz dazu besitzen Personen mit Zugang zu einem öffentlichen Netz nicht unbedingt gemeinsame Merkmale oder Interessen und die Kommunikation betrifft meist nur einen Bruchteil der Benutzer eines solchen Netzes. Ohne entsprechende Sicherheitsmaßnahmen können dabei jedoch auch unerwünschte Kommunikationsbeziehungen entstehen, wodurch sensible Daten in falsche Hände geraten können. 
Um diese Lücke zu schließen und die Grenze zwischen öffentlichem und privatem (Firmen-)Netz zu verwischen, beschreibt diese Arbeit die Funktionsweise von Virtuellen Privaten Netzwerken (VPN’s) sowie die dafür notwendigen Authentifizierungsverfahren, die einen grundlegenden Aspekt zur sicheren Anbindung von außerhalb an ein privates Netz darstellen. 

2. Begriffserklärung und Funktionsweise von VPN’s 

Unter einem Virtuellen Privaten Netzwerk versteht man ein Verfahren, bei dem innerhalb eines öffentlichen Netzes wie dem Internet ein privates Netz simuliert wird.¹ Somit kann sich beispielsweise der Außendienstmitarbeiter durch eine VPN-Anbindung über das Internet oder andere öffentliche Netze mit dem privaten internen Netz seiner Firma verbinden.
Der Begriff VPN enthält die wesentlichen Komponenten privat und virtuell, die ein solches Netzwerk charakterisieren und im entsprechenden Zusammenhang erläutert werden:
Mit privat wird die Abschottung eines Netzwerkes (gegen andere) mit geeigneten technischen Maßnahmen assoziiert. Aus diesem Grund können Kommunikationsverbindungen auf Basis von VPN’s gleichermaßen wie (eigene) exklusiv verwendete physikalische Leitungen bzw. Netzwerke genutzt werden. Auch in solchen virtuellen Netzwerken kann eine völlig unabhängige Netzwerk- Administration erfolgen.

Da die zugrunde liegende physikalische Infrastruktur in Wirklichkeit nicht exklusiv, sondern gemeinsam von vielen unterschiedlichen Verbindungen genutzt wird, sind die privaten Netzwerke somit nur virtuell vorhanden. Genauer gesagt handelt es sich um temporäre Verbindungen, die physikalisch nicht vorhanden sind und aus Paketen bestehen, die über verschiedene Rechner und Router in einem öffentlichen Netz ohne vorgegebene Route übertragen werden. Virtuelle Verbindungen können zwischen zwei Rechnern, einem Rechner und einem Netzwerk sowie zwischen zwei Netzwerken hergestellt werden. Zur Sicherung dieser Verbindungen bedarf es allerdings Komponenten der Verschlüsselung, Authentifizierung, des Paket-Tunnelings und Firewalls.² Diese Techniken werden im Abschnitt Sicherheit noch genauer erklärt.

[....]

1 vgl. Erwin Mike / Scott Charlie (Hrsg.) / Wolfe Paul: Virtuelle Private Netzwerke [Übersetzung und dt. Bearbeitung: Karsunke Katja / Merz Thomas], Köln 1999, S. 2

2 vgl. Erwin u. a., a. a. o., S. 2 und Meder Andreas / Zarenko Alexander, ComConsult Technologie Information GmbH: sichere und kostenoptimale Netzwerklösungen mit VPN-Technologien, Aachen 2002, S. 1f