Netzwerksicherheit: Unterschied zwischen den Versionen

Aus Zebradem WIKI
Zur Navigation springenZur Suche springen
Die Seite wurde neu angelegt: „'''Netzwerksicherheit''' (auch '''Netzsicherheit''') ist kein einzelner feststehender Begriff, sondern umfasst alle Maßnahmen zur Planung, Ausführung und Üb…“
 
Keine Bearbeitungszusammenfassung
 
(12 dazwischenliegende Versionen derselben Benutzerin werden nicht angezeigt)
Zeile 1: Zeile 1:
<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>
----
<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
'''Netzwerksicherheit''' (auch '''Netzsicherheit''') ist kein einzelner feststehender Begriff, sondern umfasst alle Maßnahmen zur Planung, Ausführung und Überwachung der Sicherheit in Netzwerken. Diese Maßnahmen sind keinesfalls nur technischer Natur, sondern beziehen sich auch auf die Organisation (z. B. Richtlinien, in denen geregelt wird, was die Betreiber des Netzwerkes dürfen sollen), den Betrieb (Wie kann ich Sicherheit im Netzwerk in der Praxis anwenden, ohne gleichzeitig den Ablauf des Betriebs zu stören?) und schließlich auch auf das Recht (Welche Maßnahmen dürfen eingesetzt werden?).
'''Netzwerksicherheit''' (auch '''Netzsicherheit''') ist kein einzelner feststehender Begriff, sondern umfasst alle Maßnahmen zur Planung, Ausführung und Überwachung der Sicherheit in Netzwerken. Diese Maßnahmen sind keinesfalls nur technischer Natur, sondern beziehen sich auch auf die Organisation (z. B. Richtlinien, in denen geregelt wird, was die Betreiber des Netzwerkes dürfen sollen), den Betrieb (Wie kann ich Sicherheit im Netzwerk in der Praxis anwenden, ohne gleichzeitig den Ablauf des Betriebs zu stören?) und schließlich auch auf das Recht (Welche Maßnahmen dürfen eingesetzt werden?).


Zeile 4: Zeile 13:
Sicherheit an sich ist dabei immer nur relativ zu sehen und kein fester Zustand. Einerseits muss überlegt werden, wie wertvoll die Daten sind, die im Netzwerk kursieren und andererseits ist das Netzwerk durch Ausbau und technische Weiterentwicklung immer Veränderungen unterworfen, die sich auch in geänderter Sicherheitsarchitektur widerspiegeln müssen. Steigerungen im Bereich der Sicherheit sind oft mit größer werdenden Hürden bei der Benutzung einhergehend.
Sicherheit an sich ist dabei immer nur relativ zu sehen und kein fester Zustand. Einerseits muss überlegt werden, wie wertvoll die Daten sind, die im Netzwerk kursieren und andererseits ist das Netzwerk durch Ausbau und technische Weiterentwicklung immer Veränderungen unterworfen, die sich auch in geänderter Sicherheitsarchitektur widerspiegeln müssen. Steigerungen im Bereich der Sicherheit sind oft mit größer werdenden Hürden bei der Benutzung einhergehend.


Das Thema Sicherheit beginnt oft mit der Frage, wie ein Netz gegen den Zugriff von außen geschützt werden kann ([[Firewall]]/[[Demilitarized Zone|DMZ]]). Anwender können die Ressourcen des Netzwerks erst nach einer [[Identifizierung]] und einer anschließenden [[Authentifizierung]] und [[Autorisierung]] nutzen. Damit eine [[Kompromittierung]] eines Rechners im Netzwerk erkannt werden kann, werden Rechner oft überwacht. Dies kann intern (Sind die Daten noch konsistent? Sind Veränderungen aufgetreten?) oder auch extern (Sind die Dienste des Rechners noch erreichbar und funktional?) geschehen. Potentieller Datenverlust durch fehlerhafte Software, Fehlbedienung, Fahrlässigkeit oder Altersverschleiß der [[Hardware]] wird durch eine [[Datensicherung]] verhindert, die dann separat gelagert wird. Sicherheitslücken in Software kann durch das rechtzeitige Einspielen von Software-[[Aktualisierung]]en entgegengewirkt werden. Zusätzliche Sicherheit kann noch durch den Einsatz bestimmter Software erhöht werden, die als sicher gilt, weil sie z. B. einer [[Open Source|Open-Source]]-Lizenz unterliegt. Auch der entgegengesetzte Fall kann vorkommen: Software, die als unsicher gilt, kann verboten werden. Durch Schulung der Anwender kann ein Sicherheitsbedürfnis oder Problembewusstsein entstehen, indem man vermittelt, dass die Daten eines Netzwerkes sehr wertvoll sind. Dadurch soll der Anwender Verständnis für die Maßnahmen aufbringen und sie nicht unterlaufen, indem er komplizierte Passwörter auf Zettelchen schreibt und diese an seinen Monitor klebt. Schließlich kann der physische Zugang zum Netzwerk selbst noch mit Hilfe von Zugangskontrollen beschränkt werden.
Das Thema Sicherheit beginnt oft mit der Frage, wie ein Netz gegen den Zugriff von außen geschützt werden kann (Firewall/DMZ). Anwender können die Ressourcen des Netzwerks erst nach einer Identifizierung und einer anschließenden Authentifizierung und Autorisierung nutzen. Damit eine Kompromittierung eines Rechners im Netzwerk erkannt werden kann, werden Rechner oft überwacht. Dies kann intern (Sind die Daten noch konsistent? Sind Veränderungen aufgetreten?) oder auch extern (Sind die Dienste des Rechners noch erreichbar und funktional?) geschehen. Potentieller Datenverlust durch fehlerhafte Software, Fehlbedienung, Fahrlässigkeit oder Altersverschleiß der Hardware wird durch eine Datensicherung verhindert, die dann separat gelagert wird. Sicherheitslücken in Software kann durch das rechtzeitige Einspielen von Software-Aktualisierungen entgegengewirkt werden. Zusätzliche Sicherheit kann noch durch den Einsatz bestimmter Software erhöht werden, die als sicher gilt, weil sie z. B. einer Open-Source-Lizenz unterliegt. Auch der entgegengesetzte Fall kann vorkommen: Software, die als unsicher gilt, kann verboten werden. Durch Schulung der Anwender kann ein Sicherheitsbedürfnis oder Problembewusstsein entstehen, indem man vermittelt, dass die Daten eines Netzwerkes sehr wertvoll sind. Dadurch soll der Anwender Verständnis für die Maßnahmen aufbringen und sie nicht unterlaufen, indem er komplizierte Passwörter auf Zettelchen schreibt und diese an seinen Monitor klebt. Schließlich kann der physische Zugang zum Netzwerk selbst noch mit Hilfe von Zugangskontrollen beschränkt werden.


Weil die [[Vernetzung]] des [[Internet]]s immer mehr zunimmt, spielt das Thema Netzwerksicherheit auch eine immer größere Rolle. Die Infrastrukturen von Firmen werden komplizierter, immer mehr Informationen müssen [[online]] verfügbar sein und/oder verwaltet werden …
Weil die Vernetzung des Internets immer mehr zunimmt, spielt das Thema Netzwerksicherheit auch eine immer größere Rolle. Die Infrastrukturen von Firmen werden komplizierter, immer mehr Informationen müssen online verfügbar sein und/oder verwaltet werden …


== Mögliche Angriffe ==
== Mögliche Angriffe ==
Zeile 13: Zeile 22:
=== Angriffe auf Software(-implementierungen) ===
=== Angriffe auf Software(-implementierungen) ===
Da Kommunikationsnetze immer aus einer (großen) Menge von Systemen bestehen, werden sehr oft genau diese Systeme über das Kommunikationsnetz angegriffen. Hierbei zielen viele Angriffe auf Schwächen in Software(-implementierungen):
Da Kommunikationsnetze immer aus einer (großen) Menge von Systemen bestehen, werden sehr oft genau diese Systeme über das Kommunikationsnetz angegriffen. Hierbei zielen viele Angriffe auf Schwächen in Software(-implementierungen):
* [[Pufferüberlauf]] – vor allem in Programmen in der Programmiersprache C findet man häufig den Fehler, dass über einen Puffer hinausgeschrieben wird und hierbei andere Daten oder Kontrollinformationen überschrieben werden
*Pufferüberlauf – vor allem in Programmen in der Programmiersprache C findet man häufig den Fehler, dass über einen Puffer hinausgeschrieben wird und hierbei andere Daten oder Kontrollinformationen überschrieben werden
* [[Stack Smashing]] – hierbei überschreibt z.&nbsp;B. ein [[Pufferüberlauf]] den Stack eines Programmes, hierdurch können Schadroutinen eingeschleust und ausgeführt werden ([[Exploit]])
*Stack Smashing – hierbei überschreibt z.&nbsp;B. ein Pufferüberlauf den Stack eines Programmes, hierdurch können Schadroutinen eingeschleust und ausgeführt werden (Exploit)
* [[Formatstring-Angriff]]e – Ausgaberoutinen, wie printf, nutzen einen Format-String um eine Ausgabe zu modifizieren. Durch die Nutzung sehr spezieller Formatierungsanweisung können hierbei Speicherbereiche überschrieben werden.
*Formatstring-Angriffe – Ausgaberoutinen, wie printf, nutzen einen Format-String um eine Ausgabe zu modifizieren. Durch die Nutzung sehr spezieller Formatierungsanweisung können hierbei Speicherbereiche überschrieben werden.
* und anderen Exploit
* und anderen Exploit


=== Angriffe auf Netzwerkprotokolle ===
=== Angriffe auf Netzwerkprotokolle ===
* [[Man-In-The-Middle-Angriff]] – falls keine gegenseitige Authentifizierung durchgeführt wird, täuscht ein Angreifer den Kommunikationspartnern jeweils den anderen vor (z.&nbsp;B. [[telnet]], [[rlogin]], [[Secure Shell|SSH]], [[Global System for Mobile Communications|GSM]], Ciscos XAUTH)
*Man-In-The-Middle-Angriff – falls keine gegenseitige Authentifizierung durchgeführt wird, täuscht ein Angreifer den Kommunikationspartnern jeweils den anderen vor (z.&nbsp;B. telnet, rlogin, SSH, GSM, Ciscos XAUTH)
* Unerlaubte Ressourcennutzung – falls keine sichere Authentifizierung bzw. sichere Autorisierung vorhanden (z.&nbsp;B. rlogin)
*Unerlaubte Ressourcennutzung – falls keine sichere Authentifizierung bzw. sichere Autorisierung vorhanden (z.&nbsp;B. rlogin)
* Mitlesen von Daten und Kontrollinformationen – alle unverschlüsselten Protokolle, wie [[POP3]], [[Internet Message Access Protocol|IMAP]], [[Simple Mail Transfer Protocol|SMTP]], [[Telnet]], [[rlogin]], [[Hypertext Transfer Protocol|http]]
*Mitlesen von Daten und Kontrollinformationen – alle unverschlüsselten Protokolle, wie POP3, IMAP, SMTP, Telnet, rlogin, http
* Einschleusen von Daten oder Informationen – alle Protokolle ohne ausreichende Nachrichtenauthentifizierung, wie [[POP3]], [[Simple Mail Transfer Protocol|SMTP]], [[Telnet]], [[rlogin]], [[Hypertext Transfer Protocol|http]]
*Einschleusen von Daten oder Informationen – alle Protokolle ohne ausreichende Nachrichtenauthentifizierung, wie POP3, SMTP, Telnet, rlogin, http
*[[Tunnel (Rechnernetz)|Tunnel]] können verwendet werden, um Datenverkehr in zugelassene Protokolle (z. B. Http) einzubetten. Dadurch können Firewallregeln unterlaufen werden. Eine genauere Beschreibung findet sich unter [http://www.heise.de/security/artikel/43716/1].
*Tunnel können verwendet werden, um Datenverkehr in zugelassene Protokolle (z. B. Http) einzubetten. Dadurch können Firewallregeln unterlaufen werden. Eine genauere Beschreibung findet sich unter [http://www.heise.de/security/artikel/43716/1].
**''Beispiel:'' Der SSH-Client baut über Https und den Proxy eine Verbindung zu einem Server außerhalb des internen Netzes auf. Dadurch umgeht er die Regeln, die den SSH-Verkehr nach außen kontrollieren. Diese Verbindung kann auch umgedreht werden, wodurch eine Verbindung von außen in das interne Netz geschaltet wird.
**''Beispiel:'' Der SSH-Client baut über Https und den Proxy eine Verbindung zu einem Server außerhalb des internen Netzes auf. Dadurch umgeht er die Regeln, die den SSH-Verkehr nach außen kontrollieren. Diese Verbindung kann auch umgedreht werden, wodurch eine Verbindung von außen in das interne Netz geschaltet wird.
**Die ''Bekämpfung'' erfordert entsprechende Regeln im Proxy, die eine Einschränkung der Methoden CONNECT bzw. POST bewirken. Der Url-Filter [[UfdbGuard]] ermöglicht es, Https-Tunnel zu erkennen und zu blockieren.
**Die ''Bekämpfung'' erfordert entsprechende Regeln im Proxy, die eine Einschränkung der Methoden CONNECT bzw. POST bewirken. Der Url-Filter UfdbGuard ermöglicht es, Https-Tunnel zu erkennen und zu blockieren.


=== Angriffe auf die Netzstruktur ===
=== Angriffe auf die Netzstruktur ===
* Die Überlastung von Diensten wird als [[Denial of Service|DoS]]-Angriff bezeichnet. Besonders verteilte DoS-Angriffe werden auch als [[DDoS]]-Angriffe bezeichnet. Sehr effektiv sind Angriffe, die mit nur einem Paket auskommen, wie z.&nbsp;B. der TCP-SYN-Angriff, da hierbei die Absenderadresse und somit die Herkunft gefälscht werden kann.
* Die Überlastung von Diensten wird als DoS-Angriff bezeichnet. Besonders verteilte DoS-Angriffe werden auch als DDoS-Angriffe bezeichnet. Sehr effektiv sind Angriffe, die mit nur einem Paket auskommen, wie z.&nbsp;B. der TCP-SYN-Angriff, da hierbei die Absenderadresse und somit die Herkunft gefälscht werden kann.


=== Tarnung von Angriffen ===
=== Tarnung von Angriffen ===
* Fragmentierung von Paketen, vor allem bei überlappenden Fragmenten, kann genutzt werden um Angriffe vor Angriffserkennern zu verstecken
* Fragmentierung von Paketen, vor allem bei überlappenden Fragmenten, kann genutzt werden um Angriffe vor Angriffserkennern zu verstecken
* [[Spoofing]] – das Fälschen von meist Absendeadressen zum Verschleiern der Herkunft von Paketen (siehe auch [[Firewall]])
* Spoofing – das Fälschen von meist Absendeadressen zum Verschleiern der Herkunft von Paketen (siehe auch Firewall)


=== Verwandte Angriffe (werden durch die verteilte Struktur eher begünstigt) ===
=== Verwandte Angriffe (werden durch die verteilte Struktur eher begünstigt) ===
* [[Social Engineering (Sicherheit)|Social Engineering]] wird die Vorgehensweise genannt, eine Person dazu zu bringen, ein Passwort oder einen Schlüssel zu verraten.
*Social Engineering wird die Vorgehensweise genannt, eine Person dazu zu bringen, ein Passwort oder einen Schlüssel zu verraten.
* Passwörter können erlangt werden, um Zugang zu Diensten zu erlangen. Geschieht dies durch Ausprobieren aller Möglichkeiten spricht man von einer [[Brute-Force-Methode|Brute-Force]]-Attacke.
*Passwörter können erlangt werden, um Zugang zu Diensten zu erlangen. Geschieht dies durch Ausprobieren aller Möglichkeiten spricht man von einer Brute-Force-Attacke.
* Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern erfolgreich machen.
* Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern erfolgreich machen.
* Aus der Außenwelt kommende Daten werden nicht auf ihre Validät überprüft, sondern als „korrekt“ hingenommen ([[Tainted Data]] oder [[Cross-Site Scripting]] und [[SQL Injection]]).
* Aus der Außenwelt kommende Daten werden nicht auf ihre Validät überprüft, sondern als „korrekt“ hingenommen (Tainted Data oder Cross-Site Scripting und SQL Injection).
* Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als [[UBE]] („unsolicited bulk e-mail“) und insbesondere wenn es sich um Werbung handelt als [[UCE]] („unsolicited commercial e-mail“) bezeichnet.
* Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als UBE („unsolicited bulk e-mail“) und insbesondere wenn es sich um Werbung handelt als UCE („unsolicited commercial e-mail“) bezeichnet.
* [[Computerwurm|Würmer]], [[Trojanisches Pferd (Computerprogramm)|Trojanische Pferde]], [[Dialer]] oder [[Computervirus|Viren]] darstellen.
*Würmer, Trojanische Pferde, Dialer oder Viren darstellen.
* Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln falscher Webseiten können durch [[Phishing]] ausgenutzt werden.
* Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln falscher Webseiten können durch Phishing ausgenutzt werden.
* Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen, die per Mail versandt wurden.
* Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen, die per Mail versandt wurden.


== Vorsorge ==
== Vorsorge ==
Die Vorsorge-Maßnahmen sind ebenso vielfältig, wie die Angriffsmöglichkeiten. Mit Hilfe einer [[Authentifizierung]] wird der Benutzer erkannt und es werden die ihm zustehenden Rechte zugewiesen ([[Autorisierung]]). Man spricht von einem [[Single Sign On|Single-Sign-On]], hierbei sollte nur eine einmalige Anmeldung notwendig sein, um alle erlaubten Ressourcen zu nutzen. Sehr verbreitet ist hierbei [[Kerberos (Informatik)|Kerberos]], welches mittlerweile die Basis für die Windows-Netze bildet. Ursprünglich wurde es vom [[Massachusetts Institute of Technology|MIT]] entwickelt.
Die Vorsorge-Maßnahmen sind ebenso vielfältig, wie die Angriffsmöglichkeiten. Mit Hilfe einer Authentifizierung wird der Benutzer erkannt und es werden die ihm zustehenden Rechte zugewiesen (Autorisierung). Man spricht von einem Single-Sign-On, hierbei sollte nur eine einmalige Anmeldung notwendig sein, um alle erlaubten Ressourcen zu nutzen. Sehr verbreitet ist hierbei Kerberos, welches mittlerweile die Basis für die Windows-Netze bildet. Ursprünglich wurde es vom MIT entwickelt.


Die Sicherheit von Computernetzen ist Gegenstand internationaler [[Qualitätssicherungsnorm|Normen]] zur [[Qualitätssicherung]]. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanische [[TCSEC]] und die europäische [[ITSEC]]-Standards sowie der neuere ''[[Common Criteria]]'' Standard. Die [[Zertifizierung]] der Sicherheit erfolgt in Deutschland in der Regel durch das [[Bundesamt für Sicherheit in der Informationstechnik]].
Die Sicherheit von Computernetzen ist Gegenstand internationaler Normen zur Qualitätssicherung. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanische TCSEC und die europäische ITSEC-Standards sowie der neuere ''Common Criteria'' Standard. Die Zertifizierung der Sicherheit erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.


== Protokolle, Architekturen und Komponenten ==
== Protokolle, Architekturen und Komponenten ==
* [[Kerberos (Informatik)|Kerberos]] – für Authentifizierung, Autorisierung und Abrechnung
*Kerberos – für Authentifizierung, Autorisierung und Abrechnung
* [[X.509]] – Standard für Zertifikate und deren Infrastruktur
*X.509 – Standard für Zertifikate und deren Infrastruktur
* [[IPsec]] – mächtigstes (und komplexes) Protokoll zum Schutz von Verbindungen
*IPsec – mächtigstes (und komplexes) Protokoll zum Schutz von Verbindungen
* [[Transport Layer Security|SSL/TLS]] – das am meisten verbreitete Sicherheitsprotokoll. Schützt beispielsweise [[http]], welches dann mit https bezeichnet wird.
*SSL/TLS – das am meisten verbreitete Sicherheitsprotokoll. Schützt beispielsweise http, welches dann mit https bezeichnet wird.
* [[S/MIME]], [[Pretty Good Privacy|PGP]] – Standards für den Schutz von [[E-Mail]]s
*S/MIME, PGP – Standards für den Schutz von E-Mails
* [[Extensible Authentication Protocol|EAP]] – eine modulares Protokoll zur Authentifizierung in z.&nbsp;B. [[Wi-Fi Protected Access|WPA]], [[Transport Layer Security|TLS]] und [[IPsec]].
*EAP – eine modulares Protokoll zur Authentifizierung in z.&nbsp;B. WPA, TLS und IPsec.
* [[Firewall]]s – zum Filtern von Paketen. Hierbei können gezielt gefälschte Pakete verworfen werden.
*Firewalls – zum Filtern von Paketen. Hierbei können gezielt gefälschte Pakete verworfen werden.
* [[Intrusion Detection System|IDS]]e erkennen Angriffe.
*IDSe erkennen Angriffe.
* [[Honeypot]]s – zur schnellen Auffindung von bekannten Sicherheitslücken und Angriffsvektoren.
*Honeypots – zur schnellen Auffindung von bekannten Sicherheitslücken und Angriffsvektoren.
 
== Siehe auch ==
* [[Datensicherheit]]
* [[K-Fall]]
* [[Spionage]]
* [[Verschlüsselung]]
* [[X.800]]
 
== Literatur ==
* Roland Bless u. a.: ''Sichere Netzwerkkommunikation. Grundlagen, Protokolle und Architekturen.'' Springer Verlag, Berlin u. a. 2005, ISBN 3-540-21845-9 (''X.systems.press'').
* ''Hacker's Guide. Sicherheit im Internet und im lokalen Netz.'' Limitierte Sonderausgabe. Markt-und-Technik-Verlag, München 2001, ISBN 3-8272-6136-8 (''New technology'').
* [[Günter Schäfer]]: ''Netzsicherheit. Algorithmische Grundlagen und Protokolle.'' dpunkt-Verlag,Heidelberg  2003, ISBN 3-89864-212-7 (''dpunkt.lehrbuch'').
* [[Markus Schumacher]], Utz Rödig, Marie-Luise Moschgath: ''Hacker Contest. Sicherheitsprobleme, Lösungen, Beispiele.'' Springer, Berlin u. a. 2003, ISBN 3-540-41164-X (''Xpert.press'').
* [[Clifford Stoll]]: ''Kuckucksei. Die Jagd auf die deutschen Hacker, die das Pentagon knackten.'' Aktualisierte Neuausgabe. Fischer-Taschenbuch-Verlag, Frankfurt am Main 1998, ISBN 3-596-13984-8 (''Fischer'' 13984).
* [[Steffen Wendzel]], [[Johannes Plötner]]: ''Risikoanalyse, Methoden und Umsetzung. (Optimale Netzwerk- und Serverabsicherung, für Unix, Linux- und Windows-Systeme. VPN, OpenVPN, IT-Grundschutz, Penetration Testing, Viren, Würmer und Trojaner).'' 2. aktualisierte und erweiterte Auflage. Galileo Press, Bonn 2007, ISBN 978-3-89842-828-6 (''Galileo Computing'').


== Weblinks ==
== Weblinks ==
Zeile 85: Zeile 79:
* [http://www.tu-ilmenau.de/fakia/Netzsicherheit.netzsicherheitbuch.0.html Vorlesung Netzsicherheit an der TU Illmenau]
* [http://www.tu-ilmenau.de/fakia/Netzsicherheit.netzsicherheitbuch.0.html Vorlesung Netzsicherheit an der TU Illmenau]
* [http://telematics.tm.kit.edu/teaching.php Vorlesung Netzsicherheit an dem Karlsruher institut für Technologie (KIT)]
* [http://telematics.tm.kit.edu/teaching.php Vorlesung Netzsicherheit an dem Karlsruher institut für Technologie (KIT)]
== Quellenangaben ==
http://de.wikipedia.org
[[#top|<span style="color:#4876FF;">[ nach Oben ]</span>]]<br>
[[Hauptseite|<span style="color:#4876FF;">[Zurück zu Hauptseite]</span>]]</div> </div>
[[Category:Sitemap]] [[Category:Netzwerk]]

Aktuelle Version vom 13. Oktober 2011, 21:24 Uhr


Das Board mit Freiheiten




Netzwerksicherheit (auch Netzsicherheit) ist kein einzelner feststehender Begriff, sondern umfasst alle Maßnahmen zur Planung, Ausführung und Überwachung der Sicherheit in Netzwerken. Diese Maßnahmen sind keinesfalls nur technischer Natur, sondern beziehen sich auch auf die Organisation (z. B. Richtlinien, in denen geregelt wird, was die Betreiber des Netzwerkes dürfen sollen), den Betrieb (Wie kann ich Sicherheit im Netzwerk in der Praxis anwenden, ohne gleichzeitig den Ablauf des Betriebs zu stören?) und schließlich auch auf das Recht (Welche Maßnahmen dürfen eingesetzt werden?).

Vertiefung

Sicherheit an sich ist dabei immer nur relativ zu sehen und kein fester Zustand. Einerseits muss überlegt werden, wie wertvoll die Daten sind, die im Netzwerk kursieren und andererseits ist das Netzwerk durch Ausbau und technische Weiterentwicklung immer Veränderungen unterworfen, die sich auch in geänderter Sicherheitsarchitektur widerspiegeln müssen. Steigerungen im Bereich der Sicherheit sind oft mit größer werdenden Hürden bei der Benutzung einhergehend.

Das Thema Sicherheit beginnt oft mit der Frage, wie ein Netz gegen den Zugriff von außen geschützt werden kann (Firewall/DMZ). Anwender können die Ressourcen des Netzwerks erst nach einer Identifizierung und einer anschließenden Authentifizierung und Autorisierung nutzen. Damit eine Kompromittierung eines Rechners im Netzwerk erkannt werden kann, werden Rechner oft überwacht. Dies kann intern (Sind die Daten noch konsistent? Sind Veränderungen aufgetreten?) oder auch extern (Sind die Dienste des Rechners noch erreichbar und funktional?) geschehen. Potentieller Datenverlust durch fehlerhafte Software, Fehlbedienung, Fahrlässigkeit oder Altersverschleiß der Hardware wird durch eine Datensicherung verhindert, die dann separat gelagert wird. Sicherheitslücken in Software kann durch das rechtzeitige Einspielen von Software-Aktualisierungen entgegengewirkt werden. Zusätzliche Sicherheit kann noch durch den Einsatz bestimmter Software erhöht werden, die als sicher gilt, weil sie z. B. einer Open-Source-Lizenz unterliegt. Auch der entgegengesetzte Fall kann vorkommen: Software, die als unsicher gilt, kann verboten werden. Durch Schulung der Anwender kann ein Sicherheitsbedürfnis oder Problembewusstsein entstehen, indem man vermittelt, dass die Daten eines Netzwerkes sehr wertvoll sind. Dadurch soll der Anwender Verständnis für die Maßnahmen aufbringen und sie nicht unterlaufen, indem er komplizierte Passwörter auf Zettelchen schreibt und diese an seinen Monitor klebt. Schließlich kann der physische Zugang zum Netzwerk selbst noch mit Hilfe von Zugangskontrollen beschränkt werden.

Weil die Vernetzung des Internets immer mehr zunimmt, spielt das Thema Netzwerksicherheit auch eine immer größere Rolle. Die Infrastrukturen von Firmen werden komplizierter, immer mehr Informationen müssen online verfügbar sein und/oder verwaltet werden …

Mögliche Angriffe

So vielfältig wie Netze sind, so vielfältig sind auch die Angriffsmöglichkeiten auf ein Netz. In vielen Fällen werden mehrere Angriffe kombiniert, um ein Ziel zu erreichen.

Angriffe auf Software(-implementierungen)

Da Kommunikationsnetze immer aus einer (großen) Menge von Systemen bestehen, werden sehr oft genau diese Systeme über das Kommunikationsnetz angegriffen. Hierbei zielen viele Angriffe auf Schwächen in Software(-implementierungen):

  • Pufferüberlauf – vor allem in Programmen in der Programmiersprache C findet man häufig den Fehler, dass über einen Puffer hinausgeschrieben wird und hierbei andere Daten oder Kontrollinformationen überschrieben werden
  • Stack Smashing – hierbei überschreibt z. B. ein Pufferüberlauf den Stack eines Programmes, hierdurch können Schadroutinen eingeschleust und ausgeführt werden (Exploit)
  • Formatstring-Angriffe – Ausgaberoutinen, wie printf, nutzen einen Format-String um eine Ausgabe zu modifizieren. Durch die Nutzung sehr spezieller Formatierungsanweisung können hierbei Speicherbereiche überschrieben werden.
  • und anderen Exploit

Angriffe auf Netzwerkprotokolle

  • Man-In-The-Middle-Angriff – falls keine gegenseitige Authentifizierung durchgeführt wird, täuscht ein Angreifer den Kommunikationspartnern jeweils den anderen vor (z. B. telnet, rlogin, SSH, GSM, Ciscos XAUTH)
  • Unerlaubte Ressourcennutzung – falls keine sichere Authentifizierung bzw. sichere Autorisierung vorhanden (z. B. rlogin)
  • Mitlesen von Daten und Kontrollinformationen – alle unverschlüsselten Protokolle, wie POP3, IMAP, SMTP, Telnet, rlogin, http
  • Einschleusen von Daten oder Informationen – alle Protokolle ohne ausreichende Nachrichtenauthentifizierung, wie POP3, SMTP, Telnet, rlogin, http
  • Tunnel können verwendet werden, um Datenverkehr in zugelassene Protokolle (z. B. Http) einzubetten. Dadurch können Firewallregeln unterlaufen werden. Eine genauere Beschreibung findet sich unter [1].
    • Beispiel: Der SSH-Client baut über Https und den Proxy eine Verbindung zu einem Server außerhalb des internen Netzes auf. Dadurch umgeht er die Regeln, die den SSH-Verkehr nach außen kontrollieren. Diese Verbindung kann auch umgedreht werden, wodurch eine Verbindung von außen in das interne Netz geschaltet wird.
    • Die Bekämpfung erfordert entsprechende Regeln im Proxy, die eine Einschränkung der Methoden CONNECT bzw. POST bewirken. Der Url-Filter UfdbGuard ermöglicht es, Https-Tunnel zu erkennen und zu blockieren.

Angriffe auf die Netzstruktur

  • Die Überlastung von Diensten wird als DoS-Angriff bezeichnet. Besonders verteilte DoS-Angriffe werden auch als DDoS-Angriffe bezeichnet. Sehr effektiv sind Angriffe, die mit nur einem Paket auskommen, wie z. B. der TCP-SYN-Angriff, da hierbei die Absenderadresse und somit die Herkunft gefälscht werden kann.

Tarnung von Angriffen

  • Fragmentierung von Paketen, vor allem bei überlappenden Fragmenten, kann genutzt werden um Angriffe vor Angriffserkennern zu verstecken
  • Spoofing – das Fälschen von meist Absendeadressen zum Verschleiern der Herkunft von Paketen (siehe auch Firewall)

Verwandte Angriffe (werden durch die verteilte Struktur eher begünstigt)

  • Social Engineering wird die Vorgehensweise genannt, eine Person dazu zu bringen, ein Passwort oder einen Schlüssel zu verraten.
  • Passwörter können erlangt werden, um Zugang zu Diensten zu erlangen. Geschieht dies durch Ausprobieren aller Möglichkeiten spricht man von einer Brute-Force-Attacke.
  • Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern erfolgreich machen.
  • Aus der Außenwelt kommende Daten werden nicht auf ihre Validät überprüft, sondern als „korrekt“ hingenommen (Tainted Data oder Cross-Site Scripting und SQL Injection).
  • Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als UBE („unsolicited bulk e-mail“) und insbesondere wenn es sich um Werbung handelt als UCE („unsolicited commercial e-mail“) bezeichnet.
  • Würmer, Trojanische Pferde, Dialer oder Viren darstellen.
  • Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln falscher Webseiten können durch Phishing ausgenutzt werden.
  • Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen, die per Mail versandt wurden.

Vorsorge

Die Vorsorge-Maßnahmen sind ebenso vielfältig, wie die Angriffsmöglichkeiten. Mit Hilfe einer Authentifizierung wird der Benutzer erkannt und es werden die ihm zustehenden Rechte zugewiesen (Autorisierung). Man spricht von einem Single-Sign-On, hierbei sollte nur eine einmalige Anmeldung notwendig sein, um alle erlaubten Ressourcen zu nutzen. Sehr verbreitet ist hierbei Kerberos, welches mittlerweile die Basis für die Windows-Netze bildet. Ursprünglich wurde es vom MIT entwickelt.

Die Sicherheit von Computernetzen ist Gegenstand internationaler Normen zur Qualitätssicherung. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanische TCSEC und die europäische ITSEC-Standards sowie der neuere Common Criteria Standard. Die Zertifizierung der Sicherheit erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.

Protokolle, Architekturen und Komponenten

  • Kerberos – für Authentifizierung, Autorisierung und Abrechnung
  • X.509 – Standard für Zertifikate und deren Infrastruktur
  • IPsec – mächtigstes (und komplexes) Protokoll zum Schutz von Verbindungen
  • SSL/TLS – das am meisten verbreitete Sicherheitsprotokoll. Schützt beispielsweise http, welches dann mit https bezeichnet wird.
  • S/MIME, PGP – Standards für den Schutz von E-Mails
  • EAP – eine modulares Protokoll zur Authentifizierung in z. B. WPA, TLS und IPsec.
  • Firewalls – zum Filtern von Paketen. Hierbei können gezielt gefälschte Pakete verworfen werden.
  • IDSe erkennen Angriffe.
  • Honeypots – zur schnellen Auffindung von bekannten Sicherheitslücken und Angriffsvektoren.

Weblinks


Quellenangaben

http://de.wikipedia.org

[ nach Oben ]

[Zurück zu Hauptseite]