CROCODILE - Ein Werkzeug zur sichtenbasierten Sicherheitsprüfung von Router-Konfigurationen

Router stellen eine kritische Komponente in IP-Netzen dar, für die bisher kaum Werkzeuge zur Sicherheitsüberprüfung existieren. Mit CROCODILE haben wir ein solches Werkzeug entwickelt, das die Sicherheit einer Router-Konfiguration unter verschiedenen, modular gegliederten Aspekten prüft und seine Ergebnisse in einer sichtenbasierten Darstellung präsentiert. Dadurch kann der Benutzer sich auf einzelne Aspekte konzentrieren und schrittweise in immer speziellere Details hinein navigieren. CROCODILE erfasst die Sicherheitsimplikationen verschiedener, potentiell weit verstreuter, aber aufeinander wirkender Konfigurationsklauseln, statt wie bisherige Werkzeuge nur einzelne Klauseln isoliert zu betrachten. 1 Sicherheitsüberprüfung von Router-Konfigurationen 1.1 Router und Routing Alle größeren Unternehmen sind heute an das Internet angeschlossen und setzen die Internet-Technik auch intern als Intranet ein. Wesentlichen Einfluss auf die Sicherheit solcher IP-Netze haben die Router, mit deren Hilfe IP-Pakete zwischen Ursprungsund Ziel-Rechnern vermittelt werden. Moderne Router übernehmen nicht nur Vermittlungsfunktionen, sondern dienen zugleich auch der Filterung, Separierung, Verschlüsselung und Überwachung von Datenströmen. Zur Erfüllung ihrer Kernaufgaben benötigen Router etliche Zusatzfunktionen. Sie tauschen zum Beispiel mit anderen Netzwerkkomponenten dynamische Wegewahlund Zeitinformationen aus. Außerdem stellen sie diverse Management-Schnittstellen für Konfiguration, (Fern-)Wartung und Überwachung bereit. Die hier skizzierten Aufgaben eines Routers sind allesamt sicherheitskritisch, denn sie beeinflussen die Verfügbarkeit, Integrität und Vertraulichkeit von Datenverbindungen. Das Verhalten eines Routers wird durch seine Konfiguration bestimmt. Die Erstellung einer Routerkonfiguration ist jedoch eine schwierige Aufgabe. Hier kann Werkzeugunterstützung erheblich dazu beitragen, verborgene Konfigurationsschwächen aufzuspüren, und Sicherheitsanalysen vollständiger, schneller, und objektiver zu gestalten.