Fraunhofer-Gesellschaft

Publica

Hier finden Sie wissenschaftliche Publikationen aus den Fraunhofer-Instituten.

CROCODILE Benutzerhandbuch

Der Cisco Router Configuration Diligent Evaluator
 
: Peine, H.; Schwenkler, T.; Schwarz, R.; Simon, K.

:
urn:nbn:de:0011-n-193073 (998 KByte PDF)
MD5 Fingerprint: 72ff2394aafe6a72eda3155cc4b47048
Erstellt am: 03.12.2003


Kaiserslautern, 2003, XII, 140 S. : Ill., Lit.
IESE-Report, 119.03/D
Reportnr.: 119.03/D
Deutsch
Bericht, Elektronische Publikation
Fraunhofer IESE ()
router; security; assessment; evaluation; tool; Perl programming language

Abstract
Wir beschreiben das Prüfwerkzeug CROCODILE. Das Werkzeug analysiert Routerkonfigurationen und identifiziert darin enthaltene potentielle Sicherheitsschwachstellen. Damit unterstützt CROCODILE den Anwender darin, Rechnernetze einer Sicherheitsrevision zu unterziehen.

Das vorliegende Handbuch richtet sich vornehmlich an den Anwender. Es gibt einen Überblick über die Handhabung des Werkzeugs und dessen Prüf- und Unterstützungsfunktionen. Darüber hinaus soll es den CROCODILE-Nutzer mit der Werkzeugstruktur und den grundlegenden Programmabläufen so weit vertraut machen, daß dieser kleinere Anwendungsprobleme selbständig meistern kann.

Das Handbuch richtet sich auch an die Noch-nicht-Anwender des Werkzeugs -- potentielle Interessenten also, die unschlüssig sind, ob CROCODILE ein geeigneter Baustein für ihre Sicherheitslösung sein könnte. Dem unentschlossenen Leser wollen wir hinreichende Informationen über die Möglichkeiten und Grenzen des Werkzeugs zur Hand geben, damit er sich guten Gewissens für oder gegen den CROCODILE-Ansatz entscheiden kann.

Unser Bestreben war es, ein Werkzeug zu konzipieren, das einfach installierbar, intuitiv bedienbar und möglichst kompatibel zu unterschiedlichsten Ausführungsplattformen ist. Computergrundkenntnisse sollten ausreichen, um das Werkzeug erfolgreich in Betrieb zu nehmen.

Das Werkzeug wird per Kommandozeile -- meist aus einer Benutzer-Shell, einem Konsolenfenster oder dergleichen -- gestartet. Der Anwender sollte daher mit der Kommandozeilen-Schnittstelle seines Betriebssystems vertraut sein. Unsererseits sind wir nicht auf eine bestimmte Plattform fixiert: Das Werkzeug wurde teils unter Unix-Dialekten (Solaris, Linux), teils unter Windows-Varianten entwickelt. Prüfergebnisse werden für die Darstellung in einem HTML-Browser aufbereitet.

CROCODILE analysiert Routerkonfigurationen, genauer: Konfigurationsbeschreibungen für Router, die unter dem Internet Operating System (IOS) der Firma Cisco Systems laufen. Es ist daher selbstverständlich, daß der Anwender mit Routing-Problemen und mit IOS vertraut sein muß, um von den Analysen des Werkzeugs zu profitieren. Die Durchführung geeigneter Maßnahmen in Reaktion auf das Prüfergebnis erfordert in jedem Falle Routing-Fachwissen.

Das Werkzeug verwendet teils feste, teils frei konfigurierbare Prüfkriterien. Um eigene Prüfkriterien zu formulieren, muß der Anwender über ausreichende Router- und Sicherheitskenntnisse verfügen. Da Sicherheitsanforderungen je nach dem Einsatzkontext sehr verschieden sind, kann CROCODILE keine universell sinnvolle Default-Konfiguration vorhalten: Die mitgelieferten Konfigurationseinstellungen dienen hauptsächlich der Illustration. Die benutzerdefinierbaren Prüfregeln bedürfen daher der Anpassung an die lokalen Gegebenheiten. Das Handbuch erläutert die notwendigen Schritte an passender Stelle.

CROCODILE wurde als erweiterbares Framework konzipiert. Das bedeutet, daß der Funktionsumfang des Werkzeugs nicht festgelegt ist, sondern leicht ergänzt oder verändert werden kann. Der Anwender kann bei Bedarf selbst als Entwickler tätig werden, indem er zusätzliche -- oder gänzlich andere -- Prüfmodule konzipiert und in das Framework einsetzt. Das Benutzerhandbuch liefert hierzu grundlegende Einsichten. Um eigene Werkzeugerweiterungen vorzunehmen, ist Programmiererfahrung in der Programmiersprache PERL unerläßlich. Die Grundzüge der Werkzeugarchitektur und das Konstruktionsprinzip von Prüfmodulen vermittelt das Benutzerhandbuch. Ausreichende Programmierkenntnisse vorausgesetzt, können die verfügbaren Prüfmodule als Vorlage für eigene Weiterentwicklungen dienen, sofern der Anwender eine Quelltext-Lizenz von CROCODILE erworben hat.

Gegenüber den Vorgängerversionen bietet die Version 3.0 des Werkzeugs vor allem die folgenden Verbesserungen:
- Stapelverarbeitungsmodus: Ein neues Frontend für Stapelverarbeitung ermöglicht die unbeaufsichtigte Reihenanalyse vieler Konfigurationsdateien in Serie. Die Einzelergebnisse werden in vergleichender Darstellung tabelliert.
- CSV-Ausgabeschnittstelle: Die Ergebnisse eines Stapelverarbeitungslaufs werden wahlweise auch im Comma-separated Vector (CSV) Format ausgegeben und können so leicht mit anderen Werkzeugen -- etwa MS Excel -- weiterverarbeitet werden..
- Ausdrucksstärkere Prüfregel-Beschreibungssprache: Zur Formulierung eigener Prüfregeln steht dem Anwender nun eine wesentlich erweiterte Regelsyntax zur Verfügung. Prüfkriterien für mehrere Konfigurationsklauseln lassen sich damit logisch verknüpfen, und auch die bedingte Anwendung von Prüfregeln ist spezifizierbar.
- RAT Emulation: CROCODILE ist in der Lage, Original-Prüfregelsätze für das Router Audit Tool (RAT), ein
em anderen IOS-Prüfwerkzeug, zu verarbeiten und RAT-konformePrüfberichte zu generieren. Dies ermöglicht RAT-Nutzern den einfachen Umstieg auf das wesentlich leistungsfähigere CROCODILE.
- Gesteigerte Rechenleistung: Obwohl die neue Version an Umfang und Leistungsvermögen erheblich gewachsen ist, konnte die Ausführungsgeschwindigkeit der Prüfläufe deutlich - in einigen Anwendungen um mehr als das Vierfache gesteigert werden. Die Beschleunigung kommt vor allem dem Stapelverarbeitungsbetrieb zugute. Im interaktiven Betrieb erhöht sie den Bedienkomfort, insbesondere auf leistungsschwachen Rechnersystemen.

: http://publica.fraunhofer.de/dokumente/N-19307.html