Einf

1
Sicherheit im Netzwerk
2
Potentielle Bedrohungen in Netzwerken

• Angriffe auf Softwareschwächen
• Fehler in Softwareimplementierungen (häufig sog.
  Pufferüberlauf) können genutzt werden um
  Schadroutinen einzuschleusen und auszuführen
• Gegenmaßnahmen Installation aktueller Upgrades,
  Verwendung von Open-Source-Software (schnellere
  Updateverfügbarkeit).
• Angriffe auf konzeptionelle Schwächen der
  Netzwerkprotokolle
• Z.B. Man-in-the-middle-Angriff Durch Umleiten
  des Datenverkehrs zwischen zwei Rechnern
  (ARP-Spoofing, DNS-Spoofing, DNS-Cache Poisoning,
  ) über den Rechner des Angreifers kann der
  Datenverkehr mittels Sniffer-Software mitgehört
  und ausspioniert werden.
• Besonders gefährdet sind unverschlüsselte
  Protokolle wie POP3, SMTP, IMAP, Telnet, HTTP
• Gegenmaßnahmen Verschlüsselung der Datenpakete,
  Paketfilter (Firewalls) die von außen kommende
  Pakete mit Quelladressen von innenliegenden
  Rechnern und ausgehende Datenpakte mit im
  Intranet nicht verwendeten Quelladressen
  verwerfen.
• Angriffe auf Dienste
• Denial of Service (DoS) und Distributed-DoS
  (DDoS) -Attacken mit dem Ziel einen Dienst auf
  einem Server arbeitsunfähig zu machen.
• Gegenmaßnahmen Intrusion Detection Systeme (IDS)
  die frühzeitig anhand typischer Anfragemuster
  Attacken erkennen, Verantwortliche informieren
  und im Idealfall auch Gegenmaßnahmen vorschlagen
  oder sogar einleiten.
• Weitere Angriffsarten
• Malware Computerviren und Würmer, Trojanische
  Pferde, Dialer, Spyware
• Phishing Umleiten auf gefälschte WEB-Seiten zur
  Erschleichung von Zugangsdaten
• Brute-Force-Attacke Computergestütztes
  Durchprobieren von Paßwörtern
• Sozial Engineering Herauslocken/-finden von
  Zugangsdaten durch Überreden, unter Druck setzen,
  Datenrecherche im Internet
• Gegenmaßnahmen Antiviren-Software,
  Application-Layer-Firewall, verantwortungsvolle
  Internetnutzung

University of Innsbruck / Information Systems
2
3
Auswirkungen von Sicherheitslücken

• Datenverlust
• Wichtige Daten werden absichtlich gelöscht
• Datenmanipulation
• Absichtliche Verfälschung von Daten z.B. in
  Bilanzen oder auch in Softwarecodes
• Unbefugter Zugriff
• Unternehmensgeheimnisse gelangen in die Hände
  Dritter
• Mißbrauch von Ressourcen
• Hard- und Software des Unternehmens werden für
  fremde Zwecke mißbraucht, z.B. Versenden von
  SPAM-Mails
• Ausfallzeit
• Ständig benötigte Infrastrukturdienste sind nicht
  erreichbar, wodurch finanzieller
  (Produktionsausfall od. Verzögerung) und auch
  Imageschaden entstehen kann (z.B.
  Nichterreichbarkeit einer Webseite)

University of Innsbruck / Information Systems
3
4
Anforderungsprofil Sichere Kommunikation

• Vertraulichkeit
• Nachricht ist vor dem Zugriff durch Dritte
  geschützt
• Authentizität
• Der Sender einer Nachricht ist eindeutig
  identifizierbar
• Integrität
• Die Nachricht blieb auf dem Weg vom Sender zum
  Empfänger unverändert
• Verbindlichkeit
• Der Sender kann die Urheberschaft der Nachricht
  nicht leugnen,
• Der Empfänger kann den Erhalt der Nachricht nicht
  abstreiten

University of Innsbruck / Information Systems
4
5
Maßnahmen zur Erreichung von Sicherheit -
Überblick

• Technische Maßnahmen
• Filterung des Datenverkehrs mittels
  Firewalltechnologien
• Überwachung des Datenverkehrs mittels
  IDS/IPS-Technologien (Intrusion
  Detection/Prevention Systems)?
• Verschlüsselung des Datenverkehrs
  (Kryptographie)?
• Public Key Infrastructure (Zertifikate)?
• Authentifizierung (z.B. Kerberos-Protokoll)?
• Proxy (Stellvertreter), NAT und PAT (Network
  Adress/Port and Adress Translation)?
• Virtual Private Network (VPN)?
• Organisatorische Maßnahmen
• Benutzersensibilisierung
• Unternehmensrichtlinien (z.B. Regelm.
  Passwortänderung, )?
• Benutzerschulung

University of Innsbruck / Information Systems
5
6
Firewalltypen

• Personal- oder Desktop/Software-Firewalls
• Softwareprogramme, die lokal auf dem zu
  schützenden Rechner installiert werden um den
  Datenverkehr zwischen ihm und dem Netzwerk zu dem
  er gehört zu kontrollieren.
• Beispiele Windows Firewall (ab XP SP2),
  ZoneAlarm, Norton Personal Firewall, AtGuard,
• Netzwerk- oder Enterprise Firewalls
• Ein Gerät das den Datenverkehr zwischen
  mindestens zwei Netzwerken (oft auch deutlich
  mehr) kontrolliert.
• Kann als Software auf Rechnern implementiert
  werden (z.B. Check-Point-Firewall 1, Microsoft
  ISA Server, IPCop, Endian Firewall, Shorewall,
  Astaro Security Linux, ),
• oder in Form eigenständiger Hardware
  (Firewall-Appliance) die eine aufeinander
  abgestimmte Kombination aus Hardware, gehärtetem
  Betriebssystem und Firewall-Software umfasst
  (z.B. Cisco ASA (früher PIX), WatchGuard FireBox
  X, Astaro Security Gateway, Qtrust, )?

University of Innsbruck / Information Systems
6
7
Firewalltechnologien

• Packet-Layer-Firewall (Paketfilterung)?
• Inspiziert nur Header bis OSI Schicht 4
  (Transport-Schicht)?
• Pakete werden durchgelassen (route) oder
  verworfen (drop)?
• Regeln, die über route oder drop entscheiden
  werden vom Administrator definiert und basieren
  auf
• Quelle (IP-Adresse und Port des Senders)?
• Ziel (IP-Adresse und Port des Empfängers)?
• Verwendetem Protokoll (TCP und/oder UDP, sowie
  ICMP)?
• Richtung des Datenstroms (Inbound oder Outbound)?
• Stateful Inspection (Zustandsgesteuerte
  Filterung)?
• Weiterentwicklung der Packet-Layer-Firewall
• Entscheidet auch anhand der Stati aktuell
  geöffneter Verbindungen, ob ein Paket verworfen
  wird. Sinnvoll z.B. für ftp (Port 21 zum
  Verbindungsaufbau, Port 20 für den
  Datentransfer)?
• Application-Layer-Firewall (Inhaltsfilterung)?
• Kontrollieret den Datenverkehr bis auf die
  Anwendungsebene
• Content-Filter Blockierung von z.B. ActiveX
  und/oder JavaScripts, Sperren unerwünschter
  Webseiten über Schlüsselwörter, Sperren von
  Anwendungsprotokollen (etwa FileSharing)?
• Proxy Baut stellvertretend für die LAN-Clients
  Verbindungen auf, nach außen ist nur die
  IP-Adresse des Proxys sichtbar
• Web Application Firewall (WAF) Prüft Daten die
  via WEB-Browser an Anwendungen geschickt werden.
  Schutz gegen die Einschleusung gefährlichen Codes
  durch Techniken wie SQL-Injection, Cross Site
  Scripting, CommandExe, Parameter Tampering,

University of Innsbruck / Information Systems
7
8
Intrusion Detection (and Prevention) Systeme

• Ergänzen die Leistungen von Firewalls zur
  Erhöhung der Sicherheit von Netzwerken.
• Es gibt die Typen Host-basierte IDS (HIDS),
  Netzwerk-basierte IDS (NIDS) und Hybride IDS.
• Technisch gesehen verwenden IDS sogenannte
  Sensoren die Host-Logdaten (HIDS) oder Daten aus
  dem Netzwerkverkehr (NIDS) sammeln
• und mit Mustern bekannter Angriffe, sog.
  Signaturen, vergleichen, die in Datenbanken
  gespeichert werden.
• Nachteil Nur bereits bekannte Angriffstypen
  werden erkannt
• oder durch heuristische Methoden versuchen, auch
  bisher unbekannte Angriffe zu erkennen
• Nachteil Häufigere Fehlalarmierungen
• Bei Erkennung eines potentiell gefährlichen
  Musters erfolgt
• die Verständigung eines Verantwortlich (IDS),
• die Einleitung von Gegenmaßnahmen, etwa Sperrung
  oder Isolierung des vermeintlichen Eindringlings
  z.B. durch Aktivierung von IPS-Regeln auf einer
  Firewall (IPS - Intrusion Prevention System)?
• Absolute Sicherheit ist durch keine Technologie
  gewährleistet!

University of Innsbruck / Information Systems
8
9
Abgrenzung Internet und Intranet
DMZ DeMilitarized Zone
DMZ/Extranet
Intranet
Internet
Web-Server
Unternehmensteile (Filiale)?
Arbeitsplatz
Web-Browser
Partner- Unternehmen
Firewall
Firewall/IPS
Mail-Server
Web-Server
Appl.-Server
Proprietäres Netzwerk (HOST, Datenbanken)?
Kunden
RAS/VPN-Server
University of Innsbruck / Information Systems
9
10
Verschlüsselung

• Symmetrische Verschlüsselungssysteme (wenig
  rechenintensiv)?
• Für die Verschlüsselung und die Entschlüsselung
  der Daten wird derselbe Schlüssel verwendet
• Beispiele DES, 3DES (Tripple DES), AES-Rijndael,
  Twofish,
• Problem Da alle Kommunikationspartner denselben
  Schlüssel verwenden, muß dieser irgendwie
  übertragen werden!
• Typische Schlüssellängen 56 oder 128 Bit
• Asymmetrische Verfahren (rechenintensiv)?
• Es gibt ein Schlüsselpaar Public Key und Private
  Key
• Zur Verschlüsselung kann nur der Public Key des
  Empfängers, zur Entschlüsselung kann nur der
  Private Key des Empfängers eingesetzt werden
• Zur digitalen Signierung kann nur der private Key
  des Senders, zur Prüfung der digitalen Signatur
  nur der Public Key des Senders verwendet werden
• Der Private Key muß geheim bleiben, der Public
  Key ist öffentlich zugänglich gt Notwendigkeit
  einer Public-Key-Infrastruktur
• Beispiel RSA (Rivest, Shamir und Adelman)?
• Typische Schlüssellängen 512, 1024, 2048 Bit
• Hybride Verfahren
• Setzen Asymmetrische Verfahren zur Übertragung
  eines gemeinsamen Schlüssels für eine
  symmetrische Verschlüsselung ein.
• Der gemeinsame Schlüssel wird nur für eine
  Verbindung zur Ver-/Entschlüsselung der Daten
  verwendet (Session Key).
• Der Aufwand für Ver- und Entschlüsselung sowie
  zum Knacken eines Schlüssels ist abhängig vom
  Verschlüsselungsverfahren und der Schlüssellänge

University of Innsbruck / Information Systems
10
11
Nachrichten- und Kanalverschlüsselung

• Beim Versenden von Nachrichten kann entweder die
  Nachricht oder der Übertragungsweg verschlüsselt
  werden
• Nachrichtenverschlüsselung am Beispiel Pretty
  Good Privacy
• PGP dient dem Verschlüsseln von Email-Nachrichten
  mit asymmetrischen Verschlüsselungstechniken
• Da Emails ohne direkte Verbindung vom Sender zum
  Empfänger verschickt werden, sondern über mehrere
  Zwischenstationen weitergeleitet werden ist keine
  Kanalverschlüsselung möglich
• Kanalverschlüsselung am Beispiel TLS/SSL
• TLS Transport Layer Security, SSL Secure
  Sockets Layer.
• TLS/SSL wird als Protokoll zwischen
  Transportschicht (TCP) und Anwendungsschicht
  eingefügt um ungesicherten Anwendungsprotokollen
  wie HTTP, POP3, SMTP, FTP mehr Sicherheit zu
  ermöglichen
• HTTP TLS/SSL HTTPS
• Im Internet weit verbreitet zur Absicherung von
  Transaktionen im Online Banking und Online
  Shopping
• Details siehe http//de.wikipedia.org/w/index.php
  ?titleTransport_Layer_Security

University of Innsbruck / Information Systems
11
12
Public Key Infrastruktur (PKI)?

• In asymmetrischen Verschlüsselungsverfahren
  werden digitale Zertifikate verwendet um die
  Authentizität eines öffentlichen Schlüssels und
  seinen zulässigen Anwendungs- und Geltungsbereich
  zu bestätigen.
• Eine Zertifizierungsstelle (Certificate
  Authority, CA) stellt digitale Zertifikate aus,
  die bescheinigen, daß der öffentliche Schlüssel
  der angegebenen Person od. Institution gehört
  (entspricht einem Personalausweis)?
• Bekannte CAs Entrust, CyberTrust, RSA Security,
  Verisign
• Dadurch, daß man der Glaubwürdigkeit der CA
  vertraut, vertraut man auch der Echtheit des
  Zertifikats
• Zertifikatssperrlisten (Certificate Revocation
  Lists) enthalten Zertifikate die vor Ablauf der
  Gültigkeit zurückgezogen wurden
• Eine CA kann auch andere CAs autorisieren
  Zertifikate auszustellen
• Alternativer Ansatz Web of Trust Glaubt ein
  Benutzer an die Authentizität eines öffentlichen
  Schlüssels, kann er selber ein Zertifikat
  erstellen, indem er diesen Schlüssel signiert.
  Andere Benutzer können entscheiden ob sie diesem
  Zertifikat vertrauen oder nicht.
• Wird z.B. in der Software PGP (Pretty Good
  Privacy) verwendet
• Details http//www.pki-page.org

University of Innsbruck / Information Systems
12
13
Praktische Anwendung von Verschlüsselungstechnik
Alice (Absender)?
Bob (Empfänger)?
Nachricht ist unverändert und von Alice
Nachricht
Nachricht
Signatur
private key Alice
Vergleich
public key Alice
Nachricht
Nachricht
Entschlüsselung
Verschlüsselung
private key Bob
public key Bob
Übermittlung
ungesicherter Übertragungskanal
0(1/1
0(1/1
Übertragung einer signierten und verschlüsselten
E-Mail
University of Innsbruck / Information Systems
13
14
Aufgaben einer Zertifizierungsstelle (CA)?
Zertifizierungsstelle
Revocation List - . - .
1 Zertifikat beantragen
8 Zertifikat überprüfen
2 Zertifikat ausstellen
Bob (Empfänger)?
Alice (Absender)?
Zertifikat ist gültig und nicht widerrufen
3a private key sicher verwahren
3b Zertifikat mit public key veröffentlichen
6 Zertifikat downloaden
HP
Nachricht ist unverändert und von Alice
7 Signatur überprüfen
4 Nachricht schreiben und signieren
5 Nachricht versenden
University of Innsbruck / Information Systems
14
15
Remote Access und Virtual Private Network (VPN)?

• Ziel beider Verfahren
• Vertraulicher Datenaustausch über ein
  öffentliches Netzwerk (z.B. das Internet)?
• Remote Access System (RAS)
• Zugang zum Firmennetz per Direkteinwahl
• Z.B. Mobile Mitarbeiter via Modem/Telefonleitung
• Ein VPN ist ein virtuelles Kommunikationsnetzwerk
  das sogenannte Tunnel (verschlüsselte
  Übertragungskanäle) verwendet.
• Dazu werden die ursprünglichen Datenpakete (meist
  verschlüsselt) in ein VPN-Protokoll verpackt,
  separat adressiert und übertragen (entsprechend
  dem verwendeten Übertragungsnetz), am Endpunkt
  wieder entpackt (entschlüsselt) und unter Nutzung
  der privaten Netzwerkinfrastruktur zum Ziel
  weitergeleitet.
• Mit VPN können
• über VPN-Gateways permanent entfernte LANs
  verbunden werden (Site-to-Site)?
• über VPN-Client-Software beim Endbenutzer und
  VPN-Gateway-Software im Firmen-LAN einzelne
  entfernte Mitarbeiter temporär an das LAN
  angebunden werden (End-to-Site)?
• Häufig eingesetzte Tunneling Protokolle sind
• IPSec (IP Security Protocol)?
• PPTP (Point To Point Tunneling Protocoll)?
• L2F (Layer 2 Forwarding)?
• L2TP (Layer 2 Tunneling Protocoll)?
• Neuerdings auch TLS/SSL

University of Innsbruck / Information Systems
15
16
Funktionsweise von VPN
Quelle http//www.tcp-ip-info.de/tcp_ip_und_inter
net/vpn.htm
University of Innsbruck / Information Systems
16
17
Funktionalität wichtiger VPN-Tunnelingprotokolle
PPTP
IPSec
Quelle http//www.tcp-ip-info.de/tcp_ip_und_inter
net/vpn.htm
University of Innsbruck / Information Systems
17
18
Sicherheit im (privaten) Wireless-LAN

• Gefahrenpotentiale für ungesicherte
  Wireless-Netze
• Da die per Funk übertragenen Datenpakete jeder
  mithören kann ist ein illegales Mitverwenden des
  Internetzugangs mit den Möglichkeiten
• Massenversand von Spam, Ausführen von z.B. DoS
  Attacken,
• sowie ein Ausspähen persönlicher Daten
  (Login-Informationen, Passwörter) mit allen
  Konsequenzen der (illegalen) Verwendung dieser
  Daten möglich.
• Vorbeugungsmaßnahmen
• Im Verwaltungstool des AccessPoint/WLAN-Routers
  sollten die Administrations-Standardpasswörter
  geändert und die Fernkonfiguration deaktiviert
  werden.
• Firmware und Software der Gerätes sollten
  regelmäßig aktualisiert werden.
• Service Set Identifier (SSID) sollte sinnvoll
  geändert werden (sollte keine Rückschlüsse auf
  Hardware, Einsatzzweck oder Ort zulassen).
• Ev. sollte das Broadcast der SSID deaktiviert
  werden
• Geringer Schutz, kann mittels Sniffer beim
  Anmelden trotzdem ausgelesen werden
• MAC-Filter setzen und DHCP-Adressvergabe nur für
  registrierte MAC-Adressen
• Geringer Schutz MAC-Adressen können ausgelesen
  und leicht geändert werden
• Die bestmögliche Verschlüsselungstechnik in
  Verbindung mit möglichst sicheren Pre-Shared-Keys
  (pass phrase) einsetzen
• Schlecht WEP (Wired Equivalent Privacy),
  arbeitet mit RC4 Stromchiffre durch Analyse von
  einigen 10.000 Datenpaketen innerhalb von Minuten
  entschlüsselbar
• Besser WPA (Wi-Fi Protected Access) welches
  zusätzlichen Schutz durch dynamische Schlüssel
  (Temporal Key Integrity Protocol TKIP) und
  Benutzerauthentifizierung durch PreShared Keys
  (PSK) oder Extensible Authentication Protocol
  (EAP) bietet
• Am besten WPA2 (Wi-Fi Protected Access 2)
  welches den Advanced Encryption Standard (AES)
  anstelle von RC4 verwendet und alle Vorteile von
  WPA enthält

University of Innsbruck / Information Systems
18
19
Sicherheit im (privaten) DSL- oder Kabelrouter

• Neuere Geräte enthalten die Funktion
  IP-Masquerading, manchmal auch Port-Adress-Transla
  tion (PAT) oder 1-to-n-NAT bezeichnet
• Verwenden nur eine registrierte IP-Adresse am
  WAN-Port und bilden die privaten IP-Adressen an
  den LAN-Ports über eine interne Zuordnungstabelle
  auf diese eine IP-Adresse ab
• Vorteile
• Nur eine registrierte IP-Adresse zur Anbindung
  mehrerer Endgeräte nötig
• Die Rechner im LAN können nicht aus dem Internet
  direkt adressiert werden (vergl. Proxy-Funktion)?
• Häufig enthalten die Geräte auch einfache
  Firewall-Funktionalität (Paketfilter,
  Contentfilter)?
• Nachteil
• Um Rechner im LAN von außen zugänglich zu machen,
  muß der Serviceport dieses Rechners (z.B. Port 80
  für einen WEB-Server) im Gerät statisch einer
  bestimmten IP-Adresse des LAN zugeordnet werden.

University of Innsbruck / Information Systems
19
20
Zum Nachlesen

• Literatur
• Eckert, C. IT-Sicherheit  Konzept - Verfahren
  Protokolle, München - Wien, Oldenburg 2005 
• Maier, R. Hädrich, T. Peinl, R. Enterprise
  Knowledge Infrastructures, Springer, Berlin 2005
• Links
• http//analyze.privacy.net
• http//webscan.security-check.ch/test
• http//www.tcp-ip-info.de/

University of Innsbruck / Information Systems
20