1.2 Die Sicherheitsproblematik anhand eines Beispiels

Abbildung 1.2: Skizze des Einführungsbeispiels

Um die Sicherheitsprobleme aufzeigen zu können, die mit einem System mobiler Agenten im Managementeinsatz einhergehen, wird das Beispiel einer Managementanwendung nach [HaRe 99] in Abb. 1.2 betrachtet.

Ein Automobilhersteller arbeitet mit einer (großen) Zahl weitverstreuter, unabhängiger Händler zusammen. Der Hersteller möchte nun seinen Händlern Dienste, die durch sein Firmennetz realisiert sind, zur Verfügung stellen, z.B. die Möglichkeit zur Online-Bestellung in seinem Bestell-Center.

Die Realisierung der hierfür notwendigen Vernetzung übernimmt ein Provider. Über das Netz des Providers, zu dem die Händler über Wählleitungen angeschlossen werden, wird die Verbindung zum Firmennetz des Herstellers realisiert. Im Netz des Providers, das gleichzeitig auch von anderen seiner Kunden genutzt wird, bilden Hersteller und Händler dann ein Virtual Private Network (VPNVPN!Virtual Private Network).

Mit dem Provider werden Vereinbarungen getroffen, welche die Güte der Netzverbindungen betreffen. Hierzu werden in einem sog. Service Level Agreement (SLASLA!Service Level Agreement) dezidierte Quality of Service (QoSQoS!Quality of Service) Parameter festgelegt, z.B. der Netzdurchsatz vom Händler zum Bestell-Center des Herstellers.

Um die Einhaltung der geforderten QoS-Parameter gewährleisten zu können, muß das Management-Center des Providers die Möglichkeit haben, die relevanten QoS-Parameter zu messen. Häufig ist das nur vom Händler aus sinnvoll möglich. So kann auch für das angegebene Beispiel der Durchsatz für die komplette Strecke vom Händler zum Bestell-Center am einfachsten direkt vom Händler aus gemessen werden. Weiterhin muß das Management Center flexibel auf Veränderungen reagieren können, wenn beispielsweise neue QoS-Parameter in die Vereinbarung aufgenommen werden.

Klassische Managementplattformen sind, wegen ihres statischen Ansatzes, zu unflexibel um völlig neue QoS-Parameter schnell und einfach handhaben zu können. Sie scheiden somit für die Realisierung aus. Mobile Agenten dagegen bieten genau die geforderten Möglichkeiten. Für die Durchsatzermittlung beispielsweise, kann das Management-Center des Providers einen mobilen Agenten aussenden, der händlerseitig die gewünschten Messungen durchführt. Sollen neue QoS-Parameter gemessen werden, wird einfach ein passender Agent zusätzlich zum Händler geschickt.

Anhand des geschilderten Szenarios lassen sich charakteristische Sicherheitsprobleme aufzeigen. Hierzu ist zunächst festzustellen, daß die Beteiligten für unterschiedliche Bereiche verantwortlich sind:

• Der Automobil-Hersteller für sein Firmennetz und die Anwendung ``Online-Bestellung'' im Bestell-Center.

• Der Provider für die Netzverbindung von den Händlern zum Hersteller und die Einhaltung der im zugehörigen SLA festgelegten QoS-Parameter.

• Der Händler für seine internes LAN.

Korrespondierend zu diesen Veranwortlichkeiten gibt es entsprechende Personen:

• Der Anwendungs-Administrator für die Anwendung ``Online-Bestellung'' beim Hersteller.

• Der Management-Administrator beim Provider.

• Der Anwender (z.B. ein Verkäufer) beim Händler.

Abbildung 1.3: Einführungsbeispiel mit Verantwortungsbereichen

Wird nun der Agent zur Durchsatzmessung durch einen Management-Administrator zu einem Händler geschickt (Abb. 1.3), so ``betritt'' damit eine Komponente den Verantwortungsbereich eines ``Fremden'': Der Durchsatz-Meß-Agent, der zum Provider gehört, betritt ein Endsystem des Händlers.

Hieraus resultieren potentielle Sicherheitskonflikte:

• Der Händler möchte nicht, daß der Agent interne Daten ausspähen kann und die Arbeit an seinen Endsystemen behindert.

• Der Management-Administrator möchte, daß der Agent ungestört seine Messungen durchführen und mit den ermittelten Daten zum Management-Center zurückkehren kann.

• Der Management-Administrator will sich auf die gelieferten Daten verlassen können. Denn falls die Daten fälschlicherweise eine Verletzung des einzuhaltenden Schwellwerts anzeigen, könnte das z.B. bedeuten, daß der Händler einen (unberechtigten) Preisnachlaß bekommt.

Zur Lösung dieser Konflikte müssen folgende typische Fragen beantwortet werden können:

• Aus der Sicht des Händlers:
  • Wurde der Agent wirklich von einem Management-Administrator des Providers ausgesandt, und kann ihm deshalb die Messung erlaubt werden, oder ist es ein Agent eines anderen Kunden des Providers?

  • Handelt es sich tatsächlich um einen Agenten zur Durchsatzermittlung oder um einen Virus?

  • Kann der Agent tatsächlich nur den Durchsatz messen und hat er ansonsten keinen Zugriff auf interne Firmendaten?

• Aus der Sicht des Providers:
  • Ist der benutzte Agent tatsächlich vom angegebenen Hersteller implementiert worden und erfüllt er prinzipiell nur seine angegebene Aufgabe?

  • Wird die Messung auch tatsächlich vom Endsystem des richtigen Händlers aus durchgeführt und nicht etwa von einem anderen Endsystem aus?

  • Sind die Meßdaten, die der Agent zurückbringt, auch tatsächlich die am Endsystem gemessenen, oder wurden sie beim Händler oder auf dem Weg zurück zum Management-Center verändert?

Die grundsätzliche Ursache für alle genannten Fragen liegt in der Tatsache, daß die beteiligten Komponenten (Firmen, Personen, Agenten, Endsysteme) sich nicht bedingungslos vertrauen können. Um aber ein, zumindest partiell gültiges, Vertrauensverhältnis zwischen den beteiligten Komponenten herzustellen und somit die Fragen beantworten zu können, sind im wesentlichen die im Titel dieser Arbeit genannten Mechanismen notwendig:

• Authentisierung: Die Identität beteiligter Komponenten muß nachgewiesen werden können.
  • Der Agent muß belegen können, daß er im Auftrag des Management-Administrators des Providers tätig ist.

  • Der Agent muß seinen Hersteller, der ihn implementiert hat, belegen können.

  • Das Endsystem beim Händler muß dem Agenten seine Identität belegen können.

  • Die gemessenen Daten müssen nachweislich vom Agenten erhoben worden und unverändert geblieben sein.

• Autorisierung: Die Nutzung bestimmter Funktionalitäten muß gestattet und überwacht werden.
  • Der Agent darf nur Durchsatzmessungen ausführen, ansonsten sind keine anderen Aktionen zu gestatten.

Für das Management der Agenten selbst wiederum bedeutet diese Struktur, daß die durch Netztopologien bzw. die örtliche Anordnung der Komponenten (wie Endsystem beim Händler oder Host im Management-Center) gegebenen Domänen im Hinblick auf die Sicherheit unbrauchbar sind: Der Agent zur Durchsatzmessung befindet sich zwar zeitweise im LAN des Händlers und zeitweise im Firmennetz des Providers, dennoch gehört der Agent aus sicherheitstechnischer Sicht immer zum Provider. Somit ist ein Sicherheitsdomänenbegriff zu definieren, der sich an den Organisationsstrukturen der beteiligten Komponenten orientiert.

Mit der Entwicklung eines Sicherheitsmodells soll in dieser Arbeit für und durch das Agentensystem MASA eine sichere ``Umgebung'' geschaffen werden, in der die oben aufgeworfenen Fragen zuverlässig beantwortet werden können.