Bundesamt für Sicherheit in der Informationstechnik

G 2.147 Fehlende Zentralisierung durch Peer-to-Peer

In vielen IT -Umgebungen werden zentrale Server eingesetzt, um Informationen auszutauschen. E-Mails werden von Clients zu E-Mail-Servern übermittelt und den Clients zum Empfang bereitgestellt. Dateien werden zentral auf einem Dateiserver den berechtigten Benutzern bereitgestellt und Druckserver ermöglichen den Zugriff auf zentrale Drucker.

Für Peer-to-Peer-Dienste werden für den Datenaustausch keine separaten Server benötigt, sondern die Clients ("Peers") stellen sich vorher freigegebene Ressourcen gegenseitig zur Verfügung. Dabei müssen sich die Peers nicht innerhalb eines LAN s befinden, sondern können über öffentliche Netze, wie dem Internet, weltweit verteilt sein.

Durch die fehlende Zentralisierung können sich folgende Probleme ergeben:

Fehlende Kontrolle durch Sicherheitsgateway (Firewall) und lokale Paketfilter

Eine Peer-to-Peer-Kommunikation mit externen Kommunikationspartnern außerhalb des LANs setzt voraus, dass der interne Peer eine Verbindung zu den Externen oder dass der externe Peer eine Verbindung zu dem Peer im LAN aufbauen darf. Wenn dadurch aber jede Art von Kommunikationsverbindung aufgebaut werden darf, nimmt dies dem Paketfilter im Sicherheitsgateway die Möglichkeit, unerwünschte Pakete von vornherein abzuweisen. Da Port-Nummern oft dynamisch ausgehandelt werden, würde eine Begrenzung auf wenige offene Ports die Peer-to-Peer-Kommunikation behindern. Schutzmechanismen, wie beispielsweise, dass die Peers keine direkte Verbindung ins Internet aufbauen dürfen und einen Proxy nutzen müssen, wären wirkungslos. Wenn externe Kommunikationspartner direkt eine Verbindung zu IT-Systemen im LAN aufbauen dürfen, könnten sie zum Beispiel auch Denial-of-Service-Angriffe auf Clients durchführen oder nach Schwachstellen suchen, zum Beispiel mit Port-Scanning.

Fehlende Filterung von Schadsoftware

In einen Informationsaustausch mit anderen Benutzern muss bei Peer-to-Peer-Diensten eine direkte Datenverbindung zwischen den beteiligten Clients aufgebaut werden. Auf diese Weise können sich beispielsweise verschiedene Benutzer Dateien zusenden. Bei Verwendung eines Servers, beispielsweise für den Informationsaustausch über E-Mail, könnte dieser die empfangenen E-Mails auf Schadsoftware untersuchen, bevor er die E-Mail weiterleitet. Diese zusätzliche Instanz ist bei Peer-to-Peer-Diensten nicht vorhanden. Wird Schadsoftware über Peer-to-Peer-Dienste direkt von einem Peer im Internet zu einen Peer im LAN übertragen und ist der Virenschutz nicht ausreichend, kann auf diesen Weg Schadsoftware auf interne Clients gelangen und weitere IT-Systeme im LAN infizieren.

Unkontrollierter Informationsabfluss

Bei Peer-to-Peer-Diensten können Informationen ohne eine zentrale Filterung durch einen Server übertragen werden. Wurde beispielsweise ein E-Mail-Server so konfiguriert, dass E-Mails, die mit "Vertraulich" gekennzeichnet sind, nicht an Externe versendet werden, kann diese Hürde mit Peer-to-Peer-Diensten überwunden werden.

Um Peer-to-Peer-Dienste nutzen zu können, muss auf dem Client eine geeignete Peer-to-Peer-Applikation installiert werden. Solche Applikationen werden beispielsweise zum File-Sharing im Internet zur Verfügung gestellt. Dabei könnte eine Peer-to-Peer-Applikation mit einem Trojanischen Pferd infiziert sein, das beispielsweise alle Tastatureingaben des Benutzers protokolliert und diese direkt über den Peer-to-Peer-Dienst ins Internet überträgt. Wenn der Peer-to-Peer-Dienst zusätzlich SSL-verschlüsselt ist, würde ein solches Trojanisches Pferd nur schwer entdeckt werden können, da der Informationsfluss zwischen dem Angreifer und dem Peer nicht eingesehen werden kann.

Unzureichende Protokollierungsmöglichkeiten

Eine Protokollierung, mit wem kommuniziert und welche Informationen ausgetauscht wurden, kann bei Peer-to-Peer-Diensten nur mit erheblichen Aufwand auf dem Peer erfolgen. Die Protokolldaten könnten auch im Gegensatz zu einem zentralen Server einfacher an einem Peer manipuliert werden.

Verschlüsselung

Für einen verschlüsselten Informationsaustausch müssen mit jedem Benutzer, mit dem kommuniziert werden soll, zusätzliche Informationen ausgetauscht werden. Bei einer symmetrischen Verschlüsselung müssen beide Kommunikationspartner den gemeinsamen geheimen Schlüssel kennen. Auch bei einer asymmetrischer Verschlüsselung, bei der mit einem öffentlichen Schlüssel verschlüsselt und mit einem privaten Schlüssel entschlüsselt wird, kann der Sender sich nicht immer sicher sein, dass der öffentliche Schlüssel von dem Empfänger stammt.

Werden Zertifikate nicht überprüft, könnte ein Angreifer sie fälschen und sich direkt zwischen den Peers positionieren (Man-in-the-Middle-Angriff). Da bei Peer-to-Peer-Diensten oft keine zentrale Instanz vorhanden ist, die für die Verteilung der Schlüssel zuständig ist und deren Authentizität gewährleistet, werden die Zertifikate häufig nicht überprüft.

Aufwändige Benutzerverwaltung

Sowohl bei internen als auch öffentlichen Peer-to-Peer-Diensten müssen die Peers Ressourcen, auf die andere Peers zugreifen dürfen, freischalten. Um diese Informationen vor Unberechtigten zu schützen, können Freigaben beispielsweise mit Passwörtern und Benutzernamen geschützt werden.

Sollen zahlreiche Informationen an verschiedene Benutzer freigegeben werden, wird die Zuordnung, wer auf was zugreifen darf, schnell unübersichtlich. Oft kann auch nicht auf zentrale Authentisierungsdienste ("Single-Sign-On") zurückgegriffen werden, wenn sie zum Beispiel von zusätzlich installierten Peer-to-Peer-Applikationen nicht unterstützt werden.

Suche und Versionspflege

Im Gegensatz zu einem servergestützten Netz sind bei Peer-to-Peer-Netzen die Ressourcen auf zahlreiche IT-Systeme verteilt. Die Suche nach einer bestimmten Information, beispielsweise einer Datei, kann sehr aufwändig werden, wenn nicht bekannt ist, auf welchem IT-System sie sich befindet.

Oft sind von einer Datei auch mehrere Versionen vorhanden. Typischerweise kopiert sich ein Anwender die Datei, die er bearbeiten möchte, auf sein lokales IT-System und stellt die geänderte Datei auf einer seiner Freigaben wieder zur Verfügung. Auf dieser Weise pflegt jeder Benutzer höchstens auf seinem IT-System die Versionsstände, aber im gesamten Netz ist nicht unmittelbar ersichtlich, welche Version aktuell ist.

Fehlende Bandbreite der Peers

In einem servergestützten Netz wird in der Regel die Netzanbindung zu den Servern so dimensioniert, dass sie die Anfragen der Clients bewältigen kann. Unter Berücksichtigung der benötigten Dienste, die die Clients nutzen können, kann bei einem servergestützten Netz die benötigte Bandbreite geplant und das Netz entsprechend dimensioniert werden.

Bei Peer-to-Peer kann die benötigte Bandbreite nur sehr schwer geplant werden. In der Regel wird auf die Peers, die zur Zeit die meisten und umfangreichsten Informationen bereitstellen, am häufigsten zugegriffen. Die Anbindung dieser Systeme wird überlastet und für essentielle Dienste reicht die vorhandene Bandbreite nicht mehr aus. Stellt ein anderer Peer aktuellere oder öfter benötigte Informationen zur Verfügung, wird innerhalb kürzester Zeit der vorige Peer entlastet und bei dem beliebteren Peer ist die Anbindung an das LAN nicht mehr ausreichend. Im Gegensatz zu einem Server, bei dem die benötigte Bandbreite schon im Voraus errechnet werden kann, ist dies bei den regelmäßig wechselnden, stark beanspruchten Peers nicht möglich.

Fehlende Spezialisierung der IT-Systeme

Die Anforderungen an einen Server werden vorher festgelegt, er wird hiernach beschafft und in der Regel nur für die vorgesehene Aufgabe eingesetzt. Server werden außerdem typischerweise in klimatisierten Serverräumen aufgestellt, im Unterschied zu Standard-IT-Systemen, die in einer Büroumgebung betrieben werden. Nur durch den hohen Spezialisierungsgrad der Server können diese die vorgesehenen Aufgaben effizient erfüllen.

Peers, an denen parallel mehrere Benutzer arbeiten können, sind in der Regel nicht für höhere Belastungen ausgelegt. Werden beispielsweise die Informationen statt auf speziellen Serverfestplatten auf Standard-Festplatten abgelegt, kann durch die hohe Belastung die Lebenszeit der Festplatten stark verkürzt werden.

In der Regel werden auf Servern zusätzliche Maßnahmen ergriffen und eine sicherheitskritische Konfiguration steht oft besonders im Vordergrund. Beispielsweise werden erhöhte Anforderungen bezüglich der Verfügbarkeit durch redundante Festplatten erfüllt. Diese Sicherheitsaspekte sind in der Regel an Standard-IT-Systemen nicht vorzufinden.

Anonymität

Bei externen Peer-to-Peer-Diensten ist nicht immer sofort auf den ersten Blick ersichtlich, mit wem Informationen ausgetauscht werden. Ein Peer, der am vorigen Tag über eine bestimmte IP -Adresse erreichbar war, kann am nächsten Tag über eine andere IP-Adresse adressiert werden.

Daher ist es nicht auszuschließen, dass hinter einer IP-Adresse von einem Peer, mit dem vor kurzem Textnachrichten ("Messaging") und Informationen ("Filesharing") ausgetauscht wurden, nun ein anderer Peer steht.

Sendet nun ein Benutzer Informationen an einem vermeintlich bekannten Benutzer, könnten diese auch unberechtigte Personen erhalten.

Rechtliche Aspekte

Öffentliche Peer-to-Peer-Dienste wurden entwickelt, um Dokumente effizient anderen Benutzern für Diskussionen zur Verfügung zu stellen. Peer-to-Peer-Dienste werden aber auch oft genutzt, um urheberrechtlich geschützte Inhalte in Tauschbörsen zu verteilen. Werden illegale oder urheberrechtlich geschützte Informationen aus einem LAN einer Behörde oder eines Unternehmens über Peer-to-Peer-Dienste bezogen, kann dies neben juristischen Folgen auch dem Ansehen der Institution in der Öffentlichkeit schaden.

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK