Forschungsmafia: Titelhandel · Forschungsbetrug · Wissenschaftskorruption · Hochschulkriminalität

Der Lock Keeper – ein Fake Product?

Wieder mal Snake Oil in der IT-Sicherheit, heiße Luft aus dem Hochschulbereich. Und vielleicht wieder mal ein Forschungs-Fake. Diesmal geht es um das Hasso-Plattner-Institut in Potsdam.

Im Zusammenhang mit der Pressemeldung des Direktors des Hasso-Plattner-Instituts, Christoph Meinel, der sich in der Kinderpornographiedebatte mehr Sachlichkeit wünscht, dabei aber die Seiten verwechselt und seine Forderung an die falsche Seite addressiert.

Dabei ist mir etwas aufgefallen, nämlich deren Produkt “Lock Keeper” (siehe hier und die PDF-Broschüre).

Das Prinzip dessen ist, angebliche Hoch-Sicherheit dadurch zu erreichen, daß man das LAN (oder ein abzusicherndes Netzwerk) zunächst mal völlig von der Außenwelt (Internet) trennt und dann eine Art Gateway mit zwei Netzwerkkarten wie eine Firewall oder einen Proxy dazwischenschaltet, die aber über einen physikalischen Wechselschalter immer nur mit einem der beiden Netze verbunden ist. Angeblich wollen sie das 1998 patentiert haben, hergestellt wird es von Siemens Schweiz und verkauft von der Actisis GmbH in Trier.

Sowas taugt nicht viel, und “Hochsicherheit”, wie die das nennen, bekommt man damit ganz sicher nicht. Ich halte das für Schwindel. Dazu unten mehr.

Was ich aber für noch bemerkenswerter halte: Die Idee ist nicht neu. Wir haben damals im E.I.S.S. Firewallstrukturen entwickelt, bevor es den Begriff Firewall überhaupt gab. Dazu gehörten schon solche Überlegungen, die wir aber schon bei der damaligen Technologie als unsinnig verworfen haben.

Etwa um 1996/1997 kontaktierte mich am E.I.S.S. eine Firma aus Belgien oder Luxemburg und schickte mir einen Werbeprospekt zu einem Produkt, was genau dasselbe tat, und wollte eine Meinung des E.I.S.S. dazu haben. Ich habe damals den Prospekt leider am E.I.S.S. gelassen und nicht mitgenommen, und die werden es sicherlich weggeworfen haben.

Irgendwann in letzter Zeit ist mir so ein Produkt schon zum zweiten Mal untergekommen, ich kann mich erinnern, daß ich kürzlich schon mal meine gesamten Bestände umgegraben habe, ob ich diesen Prospekt nicht doch noch finde. Wo habe ich das gesehen? War das das SIT in Darmstadt, das sowas erfunden haben wollte? Muß ich nochmal suchen. (Wer sowas kennt, bitte Link an mich.)

Es ist das mindestens dritte Produkt, das nach diesem Verfahren arbeitet.

Das Verfahren taugt aber nicht viel, schon gar nicht leistet es “Hochsicherheit”. Das ist mehr so eine naive Sichtweise auf das böse, böse Internet, die man bekommt, wenn man Angriffstechniken nur so vom Hörensagen kennt.

Zunächst ist dazu zu sagen, daß das Internet ein paketvermittelter Dienst ist, und daher prinzipiell auf dem Prinzip Store-and-Forward und nicht auf der Leitungsvermittlung beruht, wie etwa das Telefonnetz. Grundsätzlich muß ein Router gar nicht mit zwei Netzwerken gleichzeitig verbunden sein, um Pakete weiterzuleiten. Wenn da ein physikalisch schaltendes Relais dazwischen ist, dann ändert das nur etwas an der subjektiv-naiven Sichtweise, weil es eben zu keinem Zeitpunkt eine durchgehende Verbindung gibt. Es ändert aber überhaupt nichts an der Natur des Internet-Protokolls als Store-and-Forward-System, bei dem eine durchgehende Verbindung nicht nötig ist. In der ganzen Relais-Denkweise liegt nur eine “gefühlte” Sicherheit – typischer Fall von Snake Oil. Im Prinzip muß der Rechner in der Mitte die IP-Pakete nur lang genug zwischenpuffern, und man merkt nichts mehr von der Sperre. Im Prinzip könnte ein Hacker das Gate kompromittieren und die Relais-Schaltfrequenz auf >5 Hz stellen, und schon wäre quasi Durchzug. Man kann diese Problematik auch durch ein Analogon aus der Netzwerktechnik erklären: Man kann durchaus auch eine Firewall mit nur einer Netzwerkkarte bauen und diese durch VLANs mit den verschiedenen Netzwerksegmenten verbinden. Weil die Netzwerkkarte zu einem Zeitpunkt immer nur ein IP-Paket gleichzeitig aussenden kann (schalten wir mal Duplex ab…), ist sie quasi auch immer nur mit einem der Netzwerksegmente verbunden. Und unterliegt trotzdem keinerlei Netzwerkeinschränkungen. Hin- und Herschalten bringt nicht per se irgendeinen Sicherheitsvorteil.

Es ist somit ein schwerer fachlicher Fehler anzunehmen, daß durch solche Schaltungen zwangsläufig der Internet-Verkehr unterbrochen wäre. Die Aussage aus dem Prospekt

The principle of physical separation cannot be weakened or circumvented in any way.

ist einfach falsch. Denn das gilt erst dann, wenn man die Trennung auch über die Zeit durchhält und es auch über die Zeit hinweg keinen Kommunikationsweg gibt. Auf Deutsch gesagt, wenn man die Netze überhaupt nie verbindet und damit auf einen Lock-Keeper ganz verzichtet. Typischer Fall einer Marketing-Aussage, die der fachlichen Grundlage entbehrt. Pseudo-plausibles Geschwafel.

Übrigens: Als Diplomarbeit habe ich 1992 einen Parallelrechner aus 13 Transputern gebaut. Jeder Transputerknoten hatte vier Netzwerkschnittstellen. An Stelle der üblichen Transputervernetzung waren alle Links mit einem zentralen Rotor nach dem Prinzip der kombinatorischen Designs als 13,4-Design gebaut. Das heißt, alle Transputer waren nur mit dem zentralen physikalischen (!) Schalter verbunden und wurden zyklisch in drei Zeitscheiben mit jeweils vier anderen der insgesamt 12 anderen Transputer verbunden. Daran wurde experimentell untersucht, ob und ab welcher Größe eines solchen Netzwerkes ein solches Hin- und Herschalten der Netzwerkverbindungen gegenüber einer herkömmlichen Verschaltung Vorteile bringt. Ergebnis: Es funktioniert ziemlich gut, aber erst bei einer größeren Zahl als 13 Transputer. Da diese Maschine, die ich als Diplomarbeit gebaut habe, damals aber schon rund 25.000 Mark gekostet hatte, war ein größeres Experiment nicht drin. Das Ergebnis war aber eindeutig: Wenn man keine dauerhafte Netzwerkverbindung hat, sondern sich über einen physikalischen Schalter abwechselnd mal hier- und mal dorthin verbinden läßt, kann das Netzwerk sogar besser und performanter werden. Die Annahme, daß allein durch Unterbrechen und physikalisches wechselseitiges Schalten schon per se eine hohe Sicherheit eintritt, weil Netzwerkverkehr sicher ausgeschlossen würde, ist nicht haltbar, denn meine Diplomarbeit beruhte auf demselben Prinzip des Unterbrechens und wechselseitigen physikalischen Schaltens.

Der zweite Fehler besteht in der Unterstellung, daß ein Angreifer überhaupt auf einen durchgehenden Internet-Verkehr angewiesen ist, Sicherheit also durch dessen Unterbrechung eintritt. Die meisten Angriffe erfolgen nämlich nicht auf diese Weise, sondern durch E-Mail oder Webseiten. Und die leitet dieses Produkt auch durch. Zwar werden die Webseiten und E-Mails für den Umschaltvorgang zwischengepuffert, aber was ändert das daran, wenn eine Mail oder eine Webseite Schadcode enthält? Nichts. Und wenn ein Schadcode aktiv wurde und Daten ausleitet, etwa per E-Mail oder durch Webseitenzugriffe, dann hält ihn dieses Produkt auch nicht davon ab. Nur den normalen Benutzer hält es davon ab, interaktive Webseiten usw. anzuschauen. Würde mich mal interessieren wie sich das Relais anhört, wenn man mit dem Ding Videostreaming betreibt. Das Ding beruht auf der gemächlichen Sichtweise des Internet der neunziger Jahre.

Der dritte Fehler liegt in der fehlenden Sicherheitsanalyse. Um in einem solchen System einen Nutzen zu sehen müßte man annehmen, daß eine normale Firewall nicht sicher genug ist, daß also eine Firewall selbst dann, wenn man sie auf komplettes Sperren stellt und eine solche Struktur, wie sie der “Lock-Keeper” darstellt, durch logische statt physikalische Sperren erreicht. Könnte man ja bauen und wird eigentlich auch gebaut. Wenn der einzige Unterschied aber in der physikalischen statt einer logischen Trennung besteht, ergibt sich ein Sicherheitsgewinn doch erst dann, wenn man annimmt, daß die logische Trennung nicht sicher genug ist. Das ist durchaus vertretbar, denn Firewalls sind eben nicht immer wirklich wasserdicht, obwohl in den meisten Fällen doch einigermaßen verlässlich. Die Firewall ist aber ein System, in das man eindringen kann und das man dadurch umkonfigurieren und damit kompromittieren kann. Das ist ein ernstzunehmendes Problem. Aber “Lock Keeper” ist keine Lösung für das Problem. Denn wenn man annimmt, daß die Firewall selbst zu kompromittieren ist, dann muß man genauso annehmen, daß das Gateway in der Mitte von “Lock Keeper” kompromittiert werden kann, denn das ist nicht besser und nicht anders gebaut. Wenn der Angreifer aber dieses Gateway während der Phase kompromittieren kann, wenn es gerade mit dem Internet verbunden ist, kann er einen klassischen Bot oder anderen Schadcode installieren, der selbständig weiterarbeitet, wenn das System mit dem Innennetz verbunden ist. Letztlich ist “Lock Keeper” damit mehr oder weniger gegen dieselben Angriffe empfindlich, die es eigentlich verhindern soll.

Der vierte Fehler liegt in der Strategie “Viel hilft viel”. Die Erfahrung lehrt, daß es die Sicherheit eines Systems nicht wesentlich erhöht, sondern im Gegenteil eher sogar beeinträchtigt, wenn man viel zusätzliche Komplexität einführt. Man macht etwas nicht dadurch sicherer, daß man noch etwas dazustellt, was auch noch angegriffen werden kann und administriert werden muß.

Der fünfte Fehler ist, daß in der Struktur notwendigerweise eine Verdopplung von Diensten liegt, die das System unsicher macht. Ich halte es für kritisch und für irreführend, wenn man hier Hochsicherheit verspricht und dann von “Online Datebase Replication” spricht. Letztlich kann es dazu nämlich in den meisten Fällen genügen, wenn der Angreifer die äußere Datenbank angreift und Daten abzieht oder modifiziert. Sollte in diesem zweistufigen Datenbankmodell wirklich ein Sicherheitsvorteil zu finden sein, etwa in dem in der äußeren Datenbank nur das Notwendige redundant ist, dann liegt die Sicherheit nicht darin, daß man eine physikalische Trennung vornimmt, sondern darin, daß man gezwungenermaßen die Datenbankanbindung entkoppelt und auf das nötige reduziert. Das hat aber mit der physikalischen Trennung nichts zu tun, das kann man auch so tun. Der Sicherheitsvorteil kann zwar dadurch tatsächlich da und sogar sehr gut sein. Aber er kommt aus dem Umbau der Applikation, nicht aus dem “Lock Keeper”-Produkt.

Der sechste Fehler liegt darin, daß die Struktur nur zwei Netzwerke verbinden kann, eine DMZ ist nicht mehr möglich. Gerade darin kann aber ein weitaus größerer Verlust an Sicherheit liegen, als auf den ersten Blick erkennbar ist.

Und dann sehe ich eben erhebliche funktionelle Probleme. Das System setzt FTP-Server ein, wobei nicht ganz klar wird, ob das nur zum Simulieren der FTP-Zugriffe oder auch für andere Datenübertragungen genutzt wird. Ein System, das auf FTP beruht, halte ich generell für fragwürdig, denn ein so anfälliges und umständliches Protokoll wie FTP hat im Sicherheitsbereich keine Daseinsberechtigung mehr. Aber selbst wenn es nur um FTP-Proxies geht: Nun logge ich mich auf dem FTP-Proxy innen ein und gebe eine ls-Befehl ein. Und dann?

Soweit also der Lock-Keeper überhaupt einen Sicherheitsvorteil bringt, dann nur aufgrund der strukturellen Änderungen am Netzwerk, die man durchführen muß um ihn überhaupt einsetzen zu können. Eigentlich kann man ihn sich dann aber sparen, denn was zu gewinnen ist, hat man damit gewonnen. Die Frage ist eher, ob der Lock Keeper nicht überhaupt überflüssig ist. Denn wer heute noch eine solche weitgehende Einschränkung, wie sie der Lock Keeper mit sich bringt, hinnehmen kann, der muß sich überlegen, ob er überhaupt einen Internet-Zugang braucht. Und wer dann immer noch übrig bleibt, sollte es lieber bei einer normalen, bewährten Firewall belassen und das gesparte Geld in andere Sicherheitsmaßnahmen innerhalb des Netzes stecken.

Ich kann mich trotz über 10 Jahren als Security-Consultant im Bereich Firewall und Sicherheitsüberprüfung nicht erinnern, irgendwo schon einmal ein solches System im Einsatz gesehen zu haben. Noch nie hat mich jemand nach so etwas gefragt. Und nicht einmal in Hochsicherheitsbereichen wäre ein solches Produkt einsetzbar (oder gar hinreichend sicher) gewesen.

Fraglich ist aber, ob es dieses Produkt überhaupt gibt.

Denn es fällt auf, daß der Prospekt nur aus Allerwelts-Fotos besteht wie sie in jeder Werbeagentur oder in den Bildarchiven massenweise zu finden sind. Als Produkt-Foto des Lock-Keepers dient ein gewöhnliches 3HE-Rackmount-PC-Gehäuse, wie sie so zwischen 1998 und 2004 üblich waren.

Ich habe so den Eindruck, daß das Produkt ein Fake ist. So wie wir ja gerade auch von eingekauften Pseudo-Journalen gelesen haben, könnte es sich hier auch um einen Produkt-Fake handeln, damit ein Hochschulinstitut vorgeben kann, konkrete Produkte zu erzeugen, was ja heutzutage ganz wichtig ist, um wichtig zu sein und wichtig zu werden.

Und es verstärkt meinen bisher schon ziemlich schlechten Eindruck vom Hasso-Plattner-Institut. Große Klappe, wenig dahinter. Wie so oft in der deutschen Informatik laienhaft.

3 Kommentare (RSS-Feed)

yasar
11.5.2009 9:35
Kommentarlink

Hallo Hadmut,

die Idee ist sogar noch älter (um nicht zu sagen uralt). Damals als ich noch HiWi/Diplomand am E.I.S.S. war (irgendwo zwischen 1988 und 1991, eher 1991), habe ich so ein Produkt auf der CeBiT gesehen (zumindest eine Kiste, die so tat als ob sie das täte). Frag mich aber nicht, wer das gemacht hat. Ich hatte damals auch schon die Diskussion, warum ein paketvermittelnder Dienst druch diese Konstruktion sicherer werden soll und was das Ganze außer einer zusätzlichen Latenz bringt. Die Antwort war damals auch schon ziemlich abstrus. Wie man sieht, hat sich das hochsichere Produkt anscheinend nicht gegen die Konkurrenz durchsetzen können (warum wohl?).

Es müßte jedem der die RFCs RFC 1149 und 2549 kennt und weiß, daß die Referenzimplementation funktioniert, wissen, daß der Knackpunkt nicht die Leitung ist, sonder die Päckchen die Transportiert werden.

Und das email kein SMTP braucht sondern z.B. auch mit UUCP, daß zu keinem Zeitpunkt eine dauerhafte Verbindung zwischen dem Absender(netz) und dem Empfänger(netz) benötigt, sehr gut funktioniert sollte auch jedem, der sich ernsthaft mit Internet-Protokollen beschäftigt klar sein.

PS: Das Beispiel UUCP habe ich angeführt, weil das besser als SMTP verdeutlicht, daß Email ein “Store-and-forward-Dienst ist).

PPS: Ach ja, meine Frage damals war z.B. auch, was das Ding wesentlich anders macht als eine Bridge, (Switches waren damals kaum im Einsatz, als noch 10Base2/10base5 Stand der Technik war).

PPPS: Ein Detail noch: (Beim schreiben kommt so langsam einiges wieder) Ein paar Jahre später habe ich auf der CeBiT ein ähnliches Produkt gesehen, das genauso funktionieren sollte und im Gehäuse waren 2 Rechner aufgebaut, von denen einer ins Internet und einer ins LAN kommuniziert hat und die, wenn sie miteinander redeten, die jeweils andere Verbindung kappten. War im Endeffekt ein Application Level Firewall/Proxy, allerdings mit einer eingeschränkten Anzahl von unterstützen Applikationsprotokollen. Es wurde laut dem Techniker zumindest kein IP zwischen den Rechnern benutzt, was aber im Endefekt an der logischen Verbindung oberhalb der Netzwerkschicht nichts ändert.


yasar
11.5.2009 9:39
Kommentarlink

Ach ja, die erste “Firewall” am E.I.S.S. war eine konfigurierbare bridge. heute würde man sagen, das war ein einfacher Paketfilter.


jacko
12.5.2009 14:54
Kommentarlink

Der Lockkeeper existiert offenbar wirklich, 4 Kisten stehen hier herum, hinten mehrere Netzwerkkarten drinne. Sind Riesig.