Sicherheitswerkzeug CROCODILE entlastet Systemadministratoren

Ein „Reptil“ sorgt für wasserdichte IP-Netzwerke

Unternehmen und Organisationen, die über das Internet Daten mit Dritten austauschen, können mithilfe des Sicherheitswerkzeugs CROCODILE bestimmte Schutzmechanismen ihrer IP-Netzwerke automatisch kontrollieren. Das am Fraunhofer-Institut für Experimentelles Software Engineering IESE entwickelte Programm ist ein mächtiges Analyse-Tool, mit dem man Sicherheitsmängel in CISCO Router-Konfigurationen automatisch aufspüren kann. Selbst Schwachpunkte, die ein menschlicher Prüfer übersieht, werden zuverlässig aufgedeckt. Das Werkzeug markiert fragwürdige Konfigurationsklauseln und gibt dem Prüfer Hinweise zur interaktiven Behebung der Mängel. Prüfkriterien sind teils vorgegeben, teils frei konfigurierbar. Befunde werden als Hypertextdokumente aufbereitet. Reihenuntersuchungen können im Batch-Modus durchgeführt werden. Auf der diesjährigen CeBIT demonstrieren die Sicherheitsexperten des Fraunhofer IESE, wie CROCODILE den Netzwerkbetreuer von Routineaufgaben entlasten und Aufwand und Kosten von Sicherheitsprüfungen senken kann.

CROCODILE sucht von selbst nach fehlerhaften oder inkonsistenten Einstellungen, die den Datenverkehr in CISCO-Routern steuern. Das Werkzeug identifiziert verborgene Wechselbeziehungen zwischen Konfigurationswerten und lenkt die Aufmerksamkeit des menschlichen Prüfers auf kritische Aspekte von komplexen und unübersichtlichen Konfigurationsklauseln.

CROCODILE wird mit mehreren vordefinierten Prüfmodulen geliefert. Eines vergleicht „schwarze“ oder „weiße“ Listen, die festlegen, welche Datenpakete zugelassen und welche zurückgewiesen werden sollen, mit den Filtereinstellungen des Routers. Widersprüche und Unvollständigkeiten werden automatisch erkannt – unabhängig von der genauen Formulierung der Filterspezifikationen: ein Feature, das von keinem anderen vergleichbaren Tool geboten wird! Andere Module prüfen zum Beispiel die Einstellungen zum Simple Network Management Protocol (SNMP) oder zum Network Time Prototcol (NTP), oder rekonstruieren aus den Konfigurationsdaten die Netzwerkumgebung des Routers.

Eine Besonderheit ist auch ein Universalmodul, das Routerkonfigurationen nach frei konfigurierbare Prüfregeln analysiert, wobei zur Formulierung von Prüfvorgaben auch logische Verknüpfungen von Regeln mittels UND, ODER, IF … THEN … ELSE … und dergleichen in einer einfachen, flexiblen Regelbeschreibungssprache zulässig sind. Neben den mächtigen Prüfmodulen sprechen weitere Vorteile für den Einsatz von CROCODILE. So ist das Tool ohne großen Aufwand erweiterbar. Der Anwender kann eigene Prüfmodule leicht hinzufügen, einerseits, weil CROCODILE mit einer objektorientierten Schnittstelle ausgestattet ist, andererseits, weil benötigte Basisfunktionen zum Lieferumfang dazu gehören.

Obwohl CROCODILE zunächst für die Prüfung von CISCO-Routern entwickelt wurde, ist es nicht darauf beschränkt. Es kann prinzipiell bei allen Komponenten eingesetzt werden, die textuell konfiguriert werden. Hinzu kommt, dass die Prüfberichte als HTML-Seiten ausgegeben und flexibel gestaltet werden können. Die Prüfprotokolle enthalten ferner automatisch generierte Links, die den Nutzer zu den entsprechenden Informationsquellen im Internet führen.

Da CROCODILE in PERL programmiert wurde ist dafür gesorgt, dass es auf allen gebräuchlichen Plattformen eingesetzt werden kann. Zudem wird das Programm wahlweise als Open-Source-Software geliefert, wodurch dem Nutzer die Möglichkeit geboten wird, den Code an seine eigenen Bedürfnisse anzupassen.

CROCODILE wird auf der diesjährigen CeBIT auf dem Gemeinschaftsstand der Fraunhofer-Gesellschaft in Halle 11, Stand A24 vorgeführt.