Vier Augen für ein Halleluja - Autorisierung und Revision von SSH-Verbindungen
Regularien wie der Sarbanes-Oxley-Act verlangen von Unternehmen unter anderem einen Nachweis der Integrität ihrer Finanzdaten. Doch fällt es ihnen schwer, dies in der Praxis umzusetzen, wenn neben der Finanzanwendung selbst auch Administratoren mit Superuser-Rechten Zugriff auf die sensiblen Systeme haben. SSH-Proxys können hier die Interessen der Unternehmen schützen und Administratoren bei ihrer Arbeit unterstützen.
Seit dem Zeitpunkt, als Computer miteinander vernetzt wurden, setzen deren Benutzer Programme ein, um auf entfernten Rechnern so zu arbeiten wie auf dem lokalen System. Dies ermöglicht es ihnen, auf leistungsstärkeren Maschinen komplexe Berechnungen anzustoßen, auf entfernte Daten zuzugreifen oder andere Rechner zu administrieren – vom Raum nebenan aus oder vom anderen Ende der Welt. Zum Einsatz kamen hier Terminalanwendungen wie Telnet, bei denen die Sicherheit der Kommunikation jedoch noch nicht im Vordergrund stand. Denn damals war die IT-Welt klein und gut, und alle Daten einschließlich Benutzernamen und Superuser-Passwörter liefen unverschlüsselt über die Drähte. Doch auch in dieser heilen Welt ließ der Sündenfall nicht auf sich warten und die offenherzige Art der Kommunikation machte es Angreifern leicht, Passwörter durch die Überwachung des Netzverkehrs (Sniffing) auszuspähen.
Um dies zu verhindern entwickelte 1995 der Finne Tatu Ylönen die erste Version des SSH-Protokolls (Secure Shell, SSH-1) und ein dazu passendes gleichnamiges Programm. SSH ermöglichte es Administratoren fortan, einen verschlüsselten Kanal zwischen zwei Rechnern aufzubauen und darüber Dateien zu übertragen, Systeme zu administrieren oder Befehle auf entfernten Systemen auszuführen. Da Ylönen seine SSH-Implementation als Freeware verteilte, erfreute sie sich schnell großer Beliebtheit und Verbreitung. 1996 folgte die zweite Version des Protokolls (SSH-2), die zahlreiche Schwachstellen der ersten Implementation beseitigte. Heute ist SSH de facto das Standardwerkzeug für Systemadministratoren, um über ihre Netze entfernte Systeme wie Server, Switches, Router oder auch Firewalls zu verwalten.
Problemfall Compliance
Während SSH-2 bis heute als sicher gilt, stellt sich jedoch insbesondere dem Management börsennotierter Unternehmen seit der Zeit des Sarbanes-Oxley-Acts (SOX) ein neues Problem: Denn die Verantwortlichen müssen entsprechend den Vorgaben von SOX attestieren, dass alle Finanzdaten ihres Konzerns akkurat sind und nicht modifiziert wurden. Bisher gab man sich hier gerne damit zufrieden, dass die Finanzanwendung alle Änderungen und Vorgänge detailliert protokolliert und dadurch Manipulationen der Daten durch die Benutzer aufgedeckt würden. Das ist soweit auch richtig und wird auch weiterhin so gehandhabt. Doch wie sieht es mit denjenigen Benutzern aus, die mit allumfassenden Rechten ausgestattet auch an der Finanzanwendung vorbei Zugriff auf alle Systeme und deren Daten haben – und für ihren Job auch haben müssen? Denn die Administratoren sind theoretisch in der Lage – und haben normalerweise auch das notwendige Wissen – direkt Daten zu modifizieren und sogar sämtliche Spuren diese Aktionen zu verwischen.
Natürlich ist es weder praktikabel noch hilfreich, gleich alle Systemadministratoren unter Generalverdacht zu stellen. Dennoch schweben die Vorgaben von SOX wie ein Damoklesschwert über den Köpfen der Vorstände börsennotierter Unternehmen. Daher stellt sich die Frage, wie die praktische Arbeit der Administratoren mit dem berechtigten Bedürfnis des Managements nach Transparenz zu vereinbaren ist. Hier bietet sich – wie auch bei der Finanzanwendung selbst – die Protokollierung aller Aktionen der Administratoren an den sensiblen Systemen an. Doch während die Protokollierung von unverschlüsselten Daten wie beispielsweise HTTP-Verkehr recht einfach zu bewerkstelligen ist, stellt die Kontrolle von per SSL oder SSH verschlüsselten Daten eine Herausforderung dar.
Protokollierung von SSH
Um verschlüsselten Datenverkehr entschlüsselt aufzuzeichnen und zu kontrollieren, kommen heute moderne Proxys wie beispielsweise das Application Level Gateway "Zorp" von Balabit IT Security zum Einsatz. Ein Proxy für SSH geht dabei selbst wie ein Angreifer vor, der eine Man-in-the-Middle-Attacke durchführt. Er sitzt im Netzwerk und terminiert SSH-Verbindungen von einer Arbeitsstation zu einem geschützten System, statt sie zum Ziel durchzulassen. Die Verbindung zwischen Client und Proxy läuft dabei verschlüsselt ab, der Proxy entschlüsselt jedoch alle Informationen, die bei ihm ankommen. Im nächsten Schritt baut der SSH-Proxy nun selbst eine zweite – ebenfalls verschlüsselte – Verbindung zum ursprünglichen Zielsystem auf. Sämtlicher Verkehr zwischen Arbeitsstation und Server erfolgt nun weiterhin verschlüsselt, während der SSH-Proxy in der Mitte unbemerkt von den anderen Teilnehmern alle Daten entschlüsselt, inspiziert und auf Wunsch kontrolliert, protokolliert und archiviert.
Da solche Proxys "full-duplex" arbeiten, können sie nicht nur die Anweisungen eines Administrators an das Zielsystem, sondern auch die kompletten Antworten des Systems mitlesen. Ein weiterer Vorteil ist, dass weder auf dem überwachten System noch auf dem Client irgendwelche Änderungen notwenig sind. Auch arbeitet ein transparenter Proxy auch dann weiter, wenn eines der Systeme bereits durch einen Angreifer kompromittiert wurde. Denn da er quasi unsichtbar ist, ist ein SSH-Proxy als Kontrolleur vollständig von der zu kontrollierenden Infrastruktur entkoppelt, was auch eine leichte Implementierung in bestehende Umgebunden ermöglicht. Haben nun alle Administratoren weiterhin vollen Zugriff auf ihre Systeme mit Ausnahme des SSH-Proxys, so steht einem lückenlosen Nachweis aller administrativen Tätigkeiten nichts mehr im Weg. Erhalten Administratoren Leserechte auf die SSH-Protokolle, können diese sogar eine wertvolle Unterstützung ihrer Arbeit darstellen. Gleichzeitig sind die Systemverwalter ab dann vor falschen Anschuldigungen geschützt, da sie alle ihre Aktionen transparent nachweisen können.
Vier Augen sehen mehr
Es gibt in der Praxis immer besonders sicherheitskritische Situationen, in denen man eine Entscheidung nicht einer Person allein überlassen möchte. In diesen Fällen hat es sich bewährt, bestimmte Aktionen nur dann zu ermöglichen, wenn mindestens zwei autorisierte Personen sichergestellt haben, dass alles seine Richtigkeit hat. Beispiele aus der Praxis sind der Zugriff auf den Tresor in Banken, militärische Entscheidungssysteme oder auch ganz einfach die Veröffentlichung von Informationen auf Webseiten, die ein Benutzer schreibt und ein weiterer freigeben muss, bevor sie online gehen. Mit Hilfe eines SSH-Proxys lässt sich dieser Prozess nun auch auf die Administration sensibler Systeme per SSH ausdehnen. Bisher war dies in der täglichen Administration nur mit erheblichem Aufwand möglich, da Administratoren immer komplette Superuser-Rechte auf die zu schützenden Systeme hatten, um sie effektiv verwalten zu können.
In der Praxis sieht das Vier-Augen-Prinzip in der Systemadministration so aus: Ein Administrator möchte sich per SSH mit einem Server verbinden. Der SSH-Proxy terminiert nun diese Verbindung, baut aber noch keine zweite zu dem Server auf sondern wartet, bis sich ein zweiter Administrator auf dem Server anmelden möchte. Auch diese Verbindung terminiert der SSH-Proxy zunächst. Nachdem der Proxy auf Grund der hinterlegten Regeln verifiziert hat, dass beide Administratoren gemeinsam Zugriff auf das System haben dürfen, baut der Proxy nun eine Verbindung zum Zielsystem auf und gibt dem ersten Administrator Zugriff darauf während der zweite Admin die komplette Kommunikation zwischen Server und Kollegen auf seinem Bildschirm sieht. Meldet sich der überwachende Administrator ab, trennt der SSH-Proxy sofort die Verbindung zum Zielsystem. Auch hierbei kann der SSH-Proxy die komplette Kommunikation für spätere Audits protokollieren.
Je nach Regelwerk auf dem SSH-Proxy sind noch weitere Szenarien möglich. So könnte der erste Administrator aus dem Beispiel auch weiterarbeiten, wenn sich der zweite Admin abmeldet – ein erneutes Anmelden wäre jedoch nicht möglich. Auch könnten nach dem erfolgreichen Login weitere Aktionen auf dem Zielsystem eine erneute explizite Autorisierung des überwachenden Systemverwalters verlangen.
Fazit
Erst die effektive Kontrolle von SSH-Verbindungen macht es Unternehmen möglich, einen lückenlosen Nachweis der Integrität ihrer sensiblen Daten zu erbringen und damit die Anforderungen beispielsweise des Sarbanes-Oxley-Acts zu erfüllen. Administratoren erhalten gleichzeitig ein Protokoll ihrer Tätigkeiten, was insbesondere bei der Fehlersuche hilfreich ist. Ob in Form einer eigenständigen Appliance oder als Softwaremodul auf einem Application Level Gateway sorgen SSH-Proxys für Transparenz in der Administration sensibler Systeme.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER