ISi-L Sichere Anbindung von lokalen Netzen an das Internet

Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)

BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

ISi-Reihe ISi-L ─ Sichere Anbindung von lokalen Netzen an das Internet

2 Bundesamt für Sicherheit in der Informationstechnik

Vervielfältigung und Verbreitung

Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist.

Erlaubt ist die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgt.

Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände findet man auf den Internet-Seiten des BSI.

http://www.bsi.bund.de oder http://www.isi-reihe.de

Bundesamt für Sicherheit in der InformationstechnikISi-ProjektgruppePostfach 20 03 6353133 BonnTel. +49 (0) 228 99 9582-0E-Mail: [email protected]: http://www.bsi.bund.de© Bundesamt für Sicherheit in der Informationstechnik 2007

http://www.bsi.bund.de/

mailto:[email protected]

http://www.isi-reihe.de/



ISi-L ─ Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe

.............................................

..........................................................................................................................

.........................................................................................................................................................................................................

.............................................................................................................

..................................................................................

.................................................................................................................

.....................................................................................................................................................

.............................................................................................................................................

..........................................................................................

Bundesamt für Sicherheit in der Informationstechnik 3

Inhaltsverzeichnis

1 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet 5

1.1 Management Summary 5

1.2 Einführung und Überblick 61.2.1 Anwendungsszenarien für internetfähige lokale Netze 61.2.2 Grundlagen des sicheren Netzbetriebs 7

1.3 Wesentliche Ergebnisse der Gefährdungsanalyse 9

1.4 Wesentliche Empfehlungen 11

1.5 Fazit 15

2 Glossar 16

3 Stichwort- und Abkürzungsverzeichnis 23





1 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet

Die Nutzung des Internets eröffnet Möglichkeiten, die heute in Verwaltung und Wirtschaft fast schon unentbehrlich geworden sind. Allerdings birgt das Internet für die angeschlossenen IT-Syste-me und die davon abhängigen Informationsverarbeitungsprozesse auch erhebliche Gefahren. Das Modul ISi-LANA vermittelt die grundlegenden Sicherheitsempfehlungen zu den Basistechniken, die für den Betrieb eines internetfähigen lokalen Netzes benötigt werden.

Der vorliegende ISi-L basiert vorrangig auf der erstellten BSI-Studie: „Sichere Anbindung von lo-kalen Netzen an das Internet (ISi-LANA)“.

1.1 Management Summary

Sollen in einem lokalen Netz (LAN) Web, E-Mail oder andere Internet-Dienste nicht nur intern ge-nutzt werden, so muss dieses lokale Netz an ein nicht vertrauenswürdiges Netz (z. B. Internet) ange-schlossen werden. Mit diesem Schritt setzt der Betreiber eines LANs sein bislang geschlossenes Netz jedoch erheblichen zusätzlichen Gefährdungen aus, noch bevor er die erste Anwendung auch nur installiert hätte. Angreifer aus dem Internet können Schwachstellen der grundlegenden Internet-Protokolle, -Dienste und -Komponenten ausnutzen und so Datenverkehr abhören („Sniffing“), Sys-teme mit gefälschten Absenderangaben zu unerwünschtem Verhalten bringen („Spoofing“) oder einfach in das interne Netz eindringen („Hacking“).

Die vorliegende ISi-LANA-Studie gibt Empfehlungen, wie diesen Gefahren bei normalem Schutz-bedarf durch eine robuste Grundarchitektur, eine geeignete Geräteauswahl, sichere Konfigurations-einstellungen und einen kontrollierten Betrieb zu begegnen ist. Es werden zudem Varianten für den hohen Schutzbedarf aufgezeigt. Sie bietet dem Anwender damit Unterstützung in der Konzeptions-phase des in [ISi-E] vorgeschlagenen Ablaufplans und hilft ihm, den Netzaufbau, die Komponen-ten-Beschaffung sowie die Realisierung und den Betrieb des Netzes zu konzipieren. Die Studie be-handelt vornehmlich die drei unteren Schichten des TCP/IP-Referenzmodells: Netzzugangsschicht, Internet-Schicht und Transportschicht. Die spezifischen Aspekte der einzelnen Dienste und Anwen-dungen werden in anderen Teilen der ISi-Reihe behandelt.

Im Mittelpunkt der Studie steht der Vorschlag einer Grundarchitektur für normalen Schutzbedarf, die sowohl das sichere Nutzen als auch das sichere Anbieten von Diensten im Internet berücksich-tigt. Diese Grundarchitektur ist in vier Zonen untergliedert.

– Die erste Zone umfasst das interne Netz. Sie enthält alle Client-Systeme sowie alle Infrastruktur- und Anwendungs-Server, die für den autonomen, lokalen LAN-Betrieb benötigt werden.

– In der zweiten Zone befindet sich das dreistufige Sicherheits-Gateway, das aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter besteht. Dieser Aufbau schützt das LAN vor Angriffen aus dem Internet. Des Weiteren sind hier die er-forderlichen Server zum Anbieten von Diensten im Internet untergebracht, welche wiederum durch Paketfilter abgesichert werden, sich also in sogenannten Demilitarisierten Zonen befinden.

– Die dritte Zone umfasst die Komponenten zur Internet-Anbindung. Sie enthält im einfachsten Fall einen einzelnen Router, der mit dem Netz eines Internet-Diensteanbieters verbunden ist. Bei höheren Anforderungen an die Verfügbarkeit muss die Anbindung redundant ausgelegt werden.



– In der Management-Zone werden alle Management-Daten zentral gesammelt und verarbeitet. Hier ist auch der zentrale Zeitserver untergebracht, mit dem sämtliche Systemuhren im Netz syn-chronisiert werden.

Neben einer sicheren Konzeption ist die Beschaffung und Konfiguration der verwendeten Kompo-nenten von besonderer Wichtigkeit. In der Studie (ISi-S) „Sichere Anbindung von lokalen Netzen an das Internet“ werden dazu umfassende Empfehlungen gegeben. So sollten zum Beispiel alle Komponenten über separate Management-Schnittstellen verfügen oder zumindest über verschlüssel-te Protokolle administrierbar sein. Wichtig ist auch, dass die Paketfilter komplexe Regelwerke an-wenden können, um den möglichen Datenverkehr bestmöglich einzuschränken, sowie dass das Ap-plication-Level Gateway nur Daten passieren lässt, die es auch auf Anwendungsschicht untersuchen kann.

Um den Bedürfnissen möglichst vielfältiger Einsatzszenarien gerecht zu werden, ist das Lösungs-konzept flexibel anpassbar an die Größe und Komplexität der LAN-Infrastruktur, an die Anzahl und Art der zu unterstützenden Dienste sowie an den individuellen Schutzbedarf der Daten und Anwen-dungen in den unterschiedlichen Sicherheitszonen. Dazu enthält ISi-LANA neben der Grundarchi-tektur für normalen Schutzbedarf verschiedene Architektur- und Konfigurationsvarianten: einerseits Varianten für kleine, unkritische IT-Infrastrukturen, die sich mit reduziertem Aufwand realisieren lassen, und andererseits Varianten, die durch ergänzende Maßnahmen oder modulare Erweiterungen auch hohem Schutzbedarf gerecht werden.

1.2 Einführung und Überblick

Das Internet hat seinen Ursprung in einem überschaubaren, weitgehend geschlossenen Netz, das an-fangs nur einige wenige Forschungseinrichtungen miteinander verband. In seinen Anfängen konn-ten die angeschlossenen Teilnehmer einander im Wesentlichen vertrauen. Ziel der Entwicklung war ein ausfallsicheres Netz. Bei der Konzeption der Internet-Basistechniken spielten andere Sicher-heitsaspekte, wie Vertraulichkeit und Integrität, hingegen nur eine untergeordnete Rolle.

Durch die Öffnung des Netzes, seine erdumspannende geografische Ausweitung und seine enorm gestiegene wirtschaftliche Bedeutung hat sich die Bedrohungslage jedoch grundlegend geändert. Ei-nerseits sind die Internet-Nutzer in zunehmendem Maße von der Verfügbarkeit der Internet-Nut-zung abhängig, andererseits sehen sie sich durch den Anschluss an das Internet stetig wachsenden Bedrohungen ausgesetzt.

1.2.1 Anwendungsszenarien für internetfähige lokale Netze

Angesichts der Bedrohung kann man mit Recht fragen, warum sich der Betreiber eines lokalen Net-zes (Local Area Network, LAN) überhaupt auf eine Anbindung an das Internet einlassen sollte. Zu den wichtigsten Anwendungen, die das Internet ermöglicht, zählen:

– Bereitstellung eines ortsunabhängigen Zugangs für Außendienstmitarbeiter (Remote Access)Das Internet bietet ein engmaschiges Netz von Zugangspunkten, die es weltweit ermöglichen, mit geringem technischen Aufwand und zu moderaten Kosten eine leistungsfähige Daten- oder Sprachverbindung zu unterschiedlichsten Diensten am Heimatstandort aufzunehmen.

– Standort-übergreifende LAN-Kopplung (Virtuelles Privates Netz, VPN)Das Internet ermöglicht es, geografisch getrennte LAN-Segmente zu einem logischen Netz zu-sammenzuschließen, ohne dass dafür eigene Verbindungsleitungen geschaltet werden müssen. Durch die gemeinschaftliche Nutzung der paketvermittelnden IP-Infrastruktur sind solche Ver-



bindungen - verglichen mit klassischen, leitungsvermittelnden Netzen wie etwa dem ISDN - auf-grund der guten Auslastung des Netzes besonders preiswert realisierbar.

– Zugriff auf die globalen Datenbestände des Internets (World Wide Web, WWW)Das Internet ist im Begriff, herkömmliche Nachschlagewerke als bevorzugte Wissensquelle ab-zulösen. Die Suchmaschinen des WWW liefern einen schnellen und bequemen Zugriff auf unter-schiedlichste Informationen und Dienste.

– Teilhabe an elektronischer Korrespondenz (E-Mail)In Wirtschaft, Verwaltung und Forschung erweist sich E-Mail gegenüber der Brief-Korrespon-denz als bevorzugtes Kommunikationsmittel. E-Mail ist schneller, weniger förmlich und in der Lage, multimediale Inhalte direkt von Rechner zu Rechner zu transferieren.

– Datenaustausch mit Geschäftspartnern und BehördenDas Internet ermöglicht die Schaffung von Ad-hoc-Verbindungen zwischen beliebigen Teilneh-mern. Dabei bilden die Protokolle der TCP/IP-Familie die weltweite Grundlage der Computer-Netze. Sie ermöglichen einen universellen, medienbruchfreien Datenaustausch zwischen unter-schiedlichsten Internet-Teilnehmern.

All diese Anwendungsmöglichkeiten machen deutlich, wie sehr das Internet inzwischen die Ge-schäftsabläufe durchdrungen hat. Es ist daher in vielen Bereichen selbstverständlich geworden, die lokale IT-Infrastruktur zum Internet hin zu öffnen.

1.2.2 Grundlagen des sicheren Netzbetriebs

Bis heute beruht der Datenaustausch im Internet ganz wesentlich auf den Kommunikationsprotokol-len und Diensten der Anfangszeit. Deren Sicherheitseigenschaften sind jedoch für die heutige Be-drohungslage nicht mehr ausreichend: Der sichere Betrieb eines lokalen Netzes mit Anschluss an das Internet erfordert zwingend ergänzende technische und organisatorische Vorkehrungen.

Grundlegende Netzprotokolle

Praktisch alle Internet-Kommunikation baut auf dem Internet-Protokoll IP auf. Dieses stellt nur Me-chanismen zur Adressierung (IP-Adressen) und grundlegende Mechanismen zur Steuerung der Pa-ketvermittlung bereit. Auf IP bauen die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) auf, die ihrerseits Grundlage für die diversen Protokolle wie HTTP oder SMTP sind, die von den verschiedenen Anwendungen genutzt werden. Die Bedeutung der IP-Pro-tokollfamilie reicht aber weit über die Übertragung von Dateien zwischen Rechnern hinaus: auch Sprache (z. B. Internet-Telefonie) und multimediale Inhalte (z. B. Internet-TV) werden in zuneh-mendem Maße über eine einheitliche IP-Infrastruktur übertragen.

Ein weiteres grundlegendes Protokoll ist das Internet Control Message Protocol ICMP, das Funktio-nen zur Steuerung des Datenflusses zur Verfügung stellt. Beispielsweise kann mittels ICMP geprüft werden, ob ein anderer Rechner im Netz erreichbar ist (Ping) oder über welche Zwischenstationen die Pakete zu einem anderen Rechner weitergeleitet werden.

Die erwähnten grundlegenden Protokolle bieten keine Funktionen, um die Vertraulichkeit und Inte-grität der übertragenen Daten zu gewährleisten. Solche Funktionen müssen deswegen von den je-weiligen Anwendungen in ihren eigenen Protokollen implementiert werden.

Als Nachfolger der derzeit noch am verbreitetsten eingesetzten IP Version 4 ist bereits seit länge-rem die Protokollversion 6 (IPv6) verfügbar. IPv6 stellt im Gegensatz zur Vorgängerversion Me-chanismen zur Authentisierung und Verschlüsselung bereit, mit denen die Sicherheit der Daten-



übertragung einheitlich auf der Netzschicht verbessert werden kann. Die Verbreitung von IPv6 wächst jedoch nur langsam.

Grundlegende Dienste

Neben den Protokollen gibt es fundamentale Dienste, die für den Betrieb von IP-Netzen unabding-bar sind. Einer der wichtigsten Dienste ist das Domain Name System (DNS). Er sorgt für die Um-setzung alphanumerischer Namen in die entsprechenden IP-Adressen. Der Dienst DNS bildet einen hierarchischen Namensraum, der von DNS-Servern verwaltet wird. Der Namensraum ist in Zonen aufgeteilt. Jede Zone bildet einen unabhängigen Administrationsbereich mit einem verantwortlichen Name Server (DNS Primary). Der verantwortliche DNS Primary gibt an nachgeordnete Server DNS-Informationen mit beschränkter Gültigkeitsdauer (Time to Live, TTL) weiter. Diese hierar-chisch gestaffelten Server puffern DNS-Datensätze. Kann ein Server die Anfrage eines Clients nicht lokal auflösen, leitet er die Anfrage an übergeordnete DNS-Server weiter.

Das DNS-Protokoll ist ungesichert. DNS-Informationen werden offen übertragen und können von daher genutzt werden, um z. B. den Kommunikationsaufbau zu stören. Es existieren bereits Vor-schläge für eine kryptografische Sicherung der DNS-Kommunikation. Hier ist besonders DNS-Se-curity Extensions (DNSSEC) zu erwähnen.

Um den Datenaustausch zwischen verschiedenen Routern zu gewährleisten muss der Weg, den ein Datenpaket von der Quelle bis zum Ziel nehmen soll, festgelegt werden. Das bezeichnet man als „Routing“. Im Internet ist der de-facto-Standard für das Routing zwischen verschiedenen IP-Netzen das BGP-Protokoll. Das Border Gateway Protocol Version 4 (BGPv4) dient dem Austausch von In-formationen über die Erreichbarkeit von IP-Netzen und Autonomen Systemen. Dies ermöglicht un-ter anderem die Rekonstruktion der Verbindungstopologie der Autonomen Systeme, die Eliminie-rung zyklischer Routen, das Aggregieren von Routen sowie die Durchsetzung spezifischer Routing-Strategien für ein Autonomes System.

Router und Switches müssen auch administriert und überwacht werden. Dafür gibt es verschiedene Protokolle wie Telnet und SNMP (Simple Network Management Protocol), die jedoch nur teilweise Mechanismen zur sicheren Authentisierung bereitstellen. Auch hier gibt es inzwischen Alternativen, die Verschlüsselung und eine bessere Authentisierung bieten, z. B. SNMPv3, SSH (Secure Shell), SFTP (SSH File Transfer Protocol).

Ein weiterer grundlegender Dienst im Netz ist das Network Time Protocol (NTP). Dieses Protokoll dient der Synchronisation von Rechnern in IP-Netzen. Das Protokoll basiert auf einer Hierarchie von Zeitservern; die ranghöchsten Server nutzen in der Regel eine hochgenaue externe Zeitquelle (z. B. DCF77). NTP-Clients passen ihre lokale Uhr in Phase und Frequenz an die Synchronisations-signale des Servers an.

Grundlegende LAN-Technologien

Im Bereich der lokalen Netze ist Ethernet die vorherrschende Technologie, die konkurrierende Übertragungstechniken (z. B. FDDI, ATM, Token Ring) weitgehend verdrängt hat.

Nach dem ursprünglichen Funktionsprinzip von Ethernet senden Teilnehmer ihre Datenpakete über ein gemeinsames Busmedium. Der Bus bildet eine sogenannte Kollisionsdomäne, denn gleichzeiti-ges Senden mehrerer Busteilnehmer verursacht Signalüberlagerungen („Kollisionen“). Solche Kol-lisionen werden in Kauf genommen. Nachteil ist, dass alle Nachrichten innerhalb sogenannter Kol-lisionsdomänen von jedermann u. a. mitprotokolliert werden können. Durch den Einsatz moderner Netzkoppelelemente und einer geeigneten LAN-Architektur können diese Schwächen deutlich ge-mildert werden. Sogenannte Switched Ethernet ermöglichen gegenüber klassischen Bus-Netzen



eine wesentlich bessere Kontrolle der Netzzugänge und der logischen Netzsegmentierung. Dies bie-tet eine Grundlage für den sicheren Netzbetrieb, die sich auf der Ebene der Internet-Schicht durch physische Segmentierung des LANs in mehrere Teilnetze weiter ausbauen lässt. All diese Maßnah-men reduzieren die Angriffsfläche des Netzes, sie begrenzen zudem im Falle eines geglückten An-griffs zumindest das Ausmaß des eintretenden Schadens.

Basis für sichere IT-Anwendungen

Die Grundlage für den sichere Betrieb eines lokalen Netzes mit Anschluss an das Internet bildet eine zuverlässige Basistechnik. Da die grundlegenden Internet- und LAN-Technologien aber nicht von sich aus über ausreichende Sicherungsmechanismen verfügen, müssen lokale Netze von Grund auf speziell für einen sicheren Betrieb im Internet ausgelegt werden, was die Auswahl, Anordnung und Konfiguration ihrer IT-Komponenten betrifft. Erst durch Absicherung der unteren drei Schich-ten des TCP/IP-Referenzmodells können Schutzmechanismen auf Anwendungsebene nicht dadurch umgangen werden, indem der Angreifer Schwachstellen der tiefer liegenden Protokollschichten ausnutzt.

1.3 Wesentliche Ergebnisse der Gefährdungsanalyse

Die im Internet gebräuchlichen Basistechniken sind für verschiedene grundlegende Bedrohungen empfänglich: Sniffing, Spoofing, Hacking und Denial of Service.

Sniffing (Bedrohung der Vertraulichkeit)

Sniffing (englisch für „schnüffeln“) bezeichnet Techniken, um den Datenverkehr eines Computer-Netzes unautorisiert auszuspähen und sich unrechtmäßig Zugriff auf vertrauliche Informationen zu verschaffen. Sniffing bedroht die Vertraulichkeit der Informationsverarbeitung. Es kann auch der Informationsbeschaffung für weitergehende Angriffe dienen, etwa zum Ausspähen von Passwör-tern.

Ein typisches Beispiel für eine Sniffing-Attacke ist das sogenannte MAC Flooding. Bei diesem An-griff überhäuft der Angreifer einen Switch mit immer neuen MAC-Adressen, bis schließlich dessen Adresstabelle überläuft und der Switch in einen Notbetrieb-Modus (Failopen Mode) wechselt. In dieser Betriebsart sendet er alle eintreffenden Nachrichten an alle angeschlossenen Teilnehmer-An-schlüsse, da für eine genaue Zuordnung von Adresse zu Anschluss der Speicherplatz nicht aus-reicht. Der Angreifer kann also an seinem Anschluss sämtlichen Datenverkehr mitlesen, der über diesen Switch läuft.

Die elementare Schutzmaßnahme gegen alle Arten von Sniffing-Angriffen ist die Verschlüsselung aller sicherheitsrelevanten Protokolle und Anwendungsdaten.

Die grundlegenden Internet-Protokolle (z. B. IPv4, UDP, TCP, ICMP) und Basisdienste (z. B. DNS, Telnet, FTP) senden die übertragenen Daten jedoch unverschlüsselt. Neue Protokollversionen, wie etwa IPv6 und SNMPv3, bieten inzwischen verschlüsselte Kommunikation. Sie setzen sich aber nur allmählich gegen etablierte, unsichere Protokoll-Varianten durch. Noch immer mangelt es auch an weithin verfügbaren Public-Key-Infrastrukturen, die es den Internet-Nutzern in bequemer Weise er-möglichen würden, verschlüsselte Verbindungen mit beliebigen Kommunikationspartnern aufzu-bauen. Daher bleibt Sniffing auf absehbare Zeit eine ernste Bedrohung für die Internet-Sicherheit.



Spoofing (Bedrohung der Integrität/Authentizität)

Spoofing (englisch für „manipulieren”, „verschleiern”, „vortäuschen”) nennt man in der Informati-onstechnik verschiedene Täuschungsversuche zur Verschleierung der eigenen Identität und zum Fälschen übertragener Daten. Das Ziel besteht darin, die Integrität und Authentizität der Informati-onsverarbeitung zu untergraben.

MAC Spoofing und ARP Spoofing sind typische Angriffsvarianten. Hierbei versucht der Angreifer, die Zuordnung zwischen Zugangs-Port am Switch und MAC-Adresse beziehungsweise zwischen IP-Adresse und MAC-Adresse so zu manipulieren, dass er mit seinem Rechner die Identität eines fremden Endgeräts im Netz annehmen kann. Die Folge ist, dass der eigentlich für ein fremdes End-gerät bestimmte Datenverkehr auf den Rechner des Angreifers umgeleitet wird. Ebenso ermöglicht ein solcher Angriff, beliebige Daten unter einer fremden Identität zu verbreiten.

Ein ähnlicher Angriff ist auch auf Anwendungsebene möglich. Beim sogenannten DNS Spoofing manipuliert der Angreifer die Zuordnung zwischen Domain-Namen und IP-Adressen, zum Beispiel in dem Bestreben, seinen Angriffsrechner als ein Portal für Online-Banking auszugeben. Gelingt der Angriff, so kann der Angreifer Bank-Transaktionen entgegennehmen, die darin enthaltenen Zu-gangs-Passwörter, PINs und TANs ausspähen und versuchen, mit diesen Informationen fremde Konten zu plündern.

Die grundlegende Maßnahme gegen Spoofing-Angriffe besteht in der Verwendung integritätsgesi-cherter Protokolle und in der Authentisierung von Benutzern, Diensten und Hardware-Komponen-ten.

Derzeit identifizieren sich die Kommunikationspartner bei den grundlegenden Internet-Protokollen meist nur anhand ihrer Geräte- oder IP-Adressen. Diese Angaben sind jedoch leicht fälschbar und daher für eine sichere Authentisierung ungeeignet. Erst der Einsatz starker Kryptografie ermöglicht in einem offenen Netz den verlässlichen Nachweis der Urheberschaft und der Unversehrtheit emp-fangener Daten. Neuere Protokoll-Versionen verfügen zunehmend über kryptografische Prüfcodes. Allerdings verwenden viele Geräte in der Standardeinstellung noch die unsicheren älteren Proto-koll-Versionen bei der ersten Inbetriebnahme.

Hacking (Bedrohung durch Eindringen)

Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhande-ne Sicherheitsmechanismen zu überwinden, um in ein IT-System einzudringen, seine Schwächen offen zu legen und es gegebenenfalls zu übernehmen. Hacking bedroht die Systemhoheit des Netz-betreibers.

Die grundlegende Maßnahme gegen Hacking besteht darin, die Angriffsfläche zu minimieren. Was aber genau die „Angriffsfläche“ eines IT-Systems ausmacht, ist im Einzelnen schwer vorhersehbar, da sich Angreifer jedwede Schwachstelle in oft überraschender Weise zunutze machen können. Als vorbeugende Maßnahme empfiehlt sich in jedem Fall eine physische Segmentierung der IT-Infra-struktur, die Filterung der Datenpakete an einem mehrstufigen Sicherheits-Gateway sowie eine strenge Zugriffskontrolle. Wichtig ist auch der Schutz des lokalen Netzes gegen Innentäter: Sollte es einem Angreifer tatsächlich gelingen, in das lokale Netz einzudringen und dort einen Rechner zu unterwandern, so begrenzt ein solcher Schutz den Aktionsradius des Angreifers.

Sniffing und Spoofing (z. B. das Abhören oder Erschleichen von Passwörtern) sind häufig genutzte Techniken zur Vorbereitung und Durchführung komplexer Hacking-Angriffe. Da die geläufigen Protokolle und Dienste im Internet dem Ausspähen und Täuschen nur wenig Widerstand entgegen-setzen, bieten sie ohne zusätzliche Sicherheitsvorkehrungen auch nur geringen Schutz vor einem Eindringling.



Denial of Service (Bedrohung der Verfügbarkeit)

Denial of Service (DoS) bezeichnet einen Zustand, in dem ein System den Dienst verweigert, also nicht mehr verfügbar ist. DoS-Angriff ist der Sammelbegriff für Angriffe, die darauf abzielen, die Verfügbarkeit von Systemen bewusst zu schädigen. Dies kann durch mutwillig erzeugte Rechen-, Speicher- oder Kommunikationslasten erreicht werden oder, indem Schwachstellen in Software oder Hardware genutzt werden, um einen Rechner gezielt zum Absturz zu bringen.

Um entsprechende Lasten zu generieren, gehen solche Angriffe meist ferngesteuert und koordiniert von einer sehr großen Zahl von Angriffsrechnern aus; man spricht in diesem Falle von verteilten DoS-Angriffen (Distributed DoS, DDoS).

Eine typische Angriffsstrategie besteht darin, mittels eines Broadcasts eine ganze Lawine von Ant-wort-Nachrichten auszulösen, die die Verarbeitungskapazitäten des Empfängers übersteigen. Beim sogenannten Smurf Attack sendet der Angreifer zum Beispiel eine ICMP-Anfrage unter der ge-fälschten Absender-Adresse seines Opfers als Broadcast an viele Rechner. Alle Empfänger erwi-dern den Broadcast mit einer ICMP-Antwort, und die geballte Menge der zeitgleichen Antworten zwingt den Opferrechner in die Knie. In ähnlicher Weise kann ein DNS-Server dazu gebracht wer-den, eine Kaskade rekursiver DNS-Anfragen auszulösen, um die Namensauflösung im Internet ge-zielt zu beeinträchtigen (DNS Amplification Attack).

Die Funktionsweise des Internets begünstigt solche Überlastungsangriffe: Das Internet basiert auf der Paketvermittlung. Datenpakete verschiedener Kommunikationsverbindungen teilen sich die ein-zelnen Abschnitte der Übertragungsstrecken. Anders als in einem klassischen, leitungsvermitteln-den Netz wie etwa dem Telefonnetz, bei dem für jede Verbindung dauerhaft ein exklusiv genutzter Kommunikationskanal mit fester Bandbreite reserviert wird, haben böswillige Sender es daher rela-tiv leicht, Übertragungseinrichtungen oder Internet-Teilnehmer gezielt mit unerwünschten Datenpa-keten zu überlasten.

Ein Schutz gegen DoS-Angriffe ist im Internet nur bedingt möglich. Die grundlegende Maßnahme gegen mutwillige Systemabstürze besteht darin, das System in einer Minimalkonfiguration mit möglichst geringer Angriffsfläche zu betreiben und die aktuellen Korrekturen (Patches) der System-hersteller unverzüglich einzuspielen, um bekannt gewordene Schwachstellen zu eliminieren.

Den wichtigsten Schutz gegen Überlastungsversuche bieten ausreichende Leistungsreserven, um ei-ner Attacke so lange zu widerstehen, bis die Quelle des Angriffs auf anderem Wege unschädlich ge-macht werden kann. Durch gezieltes Bandbreiten-Management lassen sich die verfügbaren Übertra-gungskapazitäten so aufteilen, dass den wichtigsten Diensten immer eine definierte Mindestband-breite zur Verfügung steht, die ihnen nicht von niedriger priorisierten Anwendungen streitig ge-macht werden kann.

1.4 Wesentliche Empfehlungen

Den Empfehlungen für den Aufbau, die Konfiguration und den Betrieb eines internetfähigen loka-len Netzes liegen folgende Grundprinzipien zugrunde:

– Funktionstrennung: Unabhängige Funktionen sollten getrennt voneinander realisiert werden („Ein Server ─ ein Dienst!“). Dies gilt insbesondere für sicherheitsrelevante Funktionen. Die Funktionstrennung reduziert die Komplexität der Gerätekonfiguration und minimiert so die An-griffsfläche und die Last der einzelnen Komponenten.



– Minimalität: Alle Systemkomponenten ─ insbesondere die Komponenten des Sicherheits-Gate-ways sowie die über das Internet erreichbaren Server ─ sollten minimal konfiguriert sein. Über-flüssige Software sollte entfernt, nicht benötigte Gerätefunktionalität sollte deaktiviert werden.

– Need-to-Know-Prinzip: Systemkomponenten, Anwendungen und Dienste dürfen nur solche In-formationen über das LAN und seine Benutzer preisgeben, die für den ordnungsgemäßen Betrieb und die Nutzung der IT-Infrastruktur unverzichtbar sind. Das zugängliche Informationsangebot sollte je nach Rolle und Zugriffsrechten des Benutzers individuell zugeschnitten werden.

– Whitelisting: Alle Filterregeln in Paketfiltern und Sicherheits-Proxys sollten so formuliert sein, dass Anfragen, die nicht ausdrücklich zugelassen sind, automatisch abgewiesen werden.

– Beschränkung des Verbindungsaufbaus: Verbindungen dürfen nicht aus dem Internet in das in-terne Netz aufgebaut werden, es sei denn, dass der Dienst sonst nicht funktioniert (z. B. E-Mail).

– Aktualität: Die eingesetzte Betriebssystem- und Anwendungs-Software sollte immer auf dem neuesten Stand gehalten werden. Verfügbare Patches sollten unverzüglich eingepflegt werden.

Auf der Basis dieser Prinzipien ergibt sich die in Abbildung 1.1 dargestellte Grundarchitektur, be-stehend aus einem internen Netz, einem vorgelagerten Sicherheits-Gateway, das jegliche Interaktion zwischen Internet und internem Netz auf das unverzichtbare Minimum beschränkt, und der eigentli-chen Internet-Anbindung.

Empfehlungen zum sicheren Aufbau des internen Netzes

Die Basis für eine sichere Internet-Nutzung bildet ein lokales Netz, das auch gegenüber Innentätern widerstandsfähig ist. Ein sicheres lokales Netz begrenzt die Missbrauchsmöglichkeiten eines exter-nen Angreifers, dem es tatsächlich gelungen ist, die äußere Schutzbarriere zu durchbrechen und eine interne Komponente zu unterwandern. Die Abwehr von Innentätern hilft auch zu verhindern, dass interne Nutzer das Netz als Plattform für Internet-Angriffe auf fremde IT-Systeme missbrau-chen.

Um dies zu erreichen, ist die Grundarchitektur für das interne Netz durch das Prinzip der strikten physischen Segmentierung geprägt: Interne Teilnetze mit unterschiedlichem, gegebenenfalls auch

Abbildung 1.1: Grundarchitektur für normalen Schutzbedarf



gleich hohem Schutzbedarf (sogenannte Sicherheitszonen) sind durch ein Sicherheits-Gateway von-einander getrennt. Ein internes Sicherheits-Gateway besteht aus mindestens einem Paketfilter. Eine rein logische Segmentierung mittels VLAN-Technik ist für eine sichere Trennung von Sicherheits-zonen nicht ausreichend.

Jedes nicht-triviale interne Netz ist somit mindestens in zwei Sicherheitszonen untergliedert, ein Client-Segment für Arbeitsplatzrechner und ein Server-Segment für die grundlegenden Dienste zur Unterstützung des Netzbetriebs. Weitere Segmente können ergänzt werden, etwa um Daten und An-wendungen mit hohem Schutzbedarf (z. B. Personaldaten) von der übrigen IT-Infrastruktur abzu-schotten.

Daten und Anwendungen, die vom Internet aus zugänglich sein sollen, dürfen nicht auf Servern im internen Netz bereitgestellt werden. Sie müssen auf externe Server verlagert werden, die in einer so-genannten Demilitarisierten Zone (DMZ) des Sicherheits-Gateways untergebracht sind und dort so-wohl vom Internet als auch vom lokalen Netz aus erreichbar sind.

Empfehlungen zur sicheren Anbindung an das Internet

Im Kern besteht das Lösungskonzept für eine sichere Anbindung eines lokalen Netzes an das Inter-net darin, den Datenaustausch zwischen Internet und lokalem Netz durch ein dreistufiges Sicher-heits-Gateway zu kontrollieren. Dieses Sicherheits-Gateway besteht aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter (PAP-Struktur).

Das PAP-Sicherheits-Gateway darf nicht umgangen werden, jeglicher Datenaustausch zwischen In-ternet und internem Netz muss das Gateway passieren. Dabei beschränkt das Sicherheits-Gateway eingehenden und ausgehenden Datenverkehr auf die ausdrücklich erwünschten Protokolle und Dienste.

Um eine vollständige Kontrolle zu ermöglichen, dürfen verschlüsselte Verbindungen das Sicher-heits-Gateway nicht ungeprüft durchtunneln. Die Prüfung erfordert eine Entschlüsselung und gege-benenfalls die Neuverschlüsselung solcher Verbindungen im Sicherheits-Gateway. Nur wenn eine Ende-zu-Ende-Verschlüsselung unabdingbar ist, darf verschlüsselte Kommunikation mit ausge-wählten Kommunikationspartnern unkontrolliert durch das Sicherheits-Gateway geschleust werden. Solche Ausnahmen müssen jedoch im Sicherheitskonzept ausdrücklich dokumentiert und begründet werden. Zusätzliche Sicherheitsmaßnahmen müssen dann zudem auf dem internen Client umgesetzt werden.

Bei der Internet-Anbindung ist zwischen zwei Kommunikationsrichtungen zu unterscheiden, zum einen dem Nutzen von Internet-Diensten, zum anderen dem Anbieten eigener Dienste im Internet. Während die Kommunikationsverbindung bei der Dienstenutzung auf geradem Weg über die drei Stufen des PAP-Gateways geführt wird, werden externe Zugriffe auf die angebotenen Internet-Dienste auf einem Server in einer DMZ des Sicherheits-Gateways terminiert, um das interne Netz vor direktem Zugriff zu schützen. Die vorgelagerten DMZ-Server können bei Bedarf ihrerseits auf Rechner in nachgelagerten Sicherheitszonen der DMZ zurückgreifen, um ihre Dienste bereitzustel-len.

Abbildung 1.1 zeigt die Grundarchitektur für normalen Schutzbedarf im Überblick. Beispielhaft für andere Internet-Dienste wird hier ein Web-Anwendungs-Server (WWW AS) in einer hierarchisch geschachtelten DMZ betrieben. Der Anwendungs-Server ist sowohl von innen (über den internen Webserver „WWW int.“) als auch aus dem Internet (über den äußeren Webserver „WWW“ in der DMZ) erreichbar. Die Daten der Webanwendung liegen auf einem Datenbank-Server („WWW DB“), der in einer getrennten Sicherheitszone platziert ist und die Anwendungsdaten von externen wie internen Nutzern verwaltet. Innerer und äußerer Webserver fungieren gewissermaßen als dienst- und benutzergruppenspezifische Proxys für den Web-Anwendungs-Server.



Ausgehend von der in Abbildung 1.1 dargestellten Grundarchitektur gibt es verschiedene Realisie-rungsvarianten, die zum Beispiel durch das Zusammenlegen von Servern oder Paketfiltern bei ver-ringertem Hardware-Aufwand einen etwas schwächeren, aber unter Umständen ebenfalls akzeptab-len Schutz bieten. Die damit einhergehenden Restrisiken müssen allerdings bewusst getragen wer-den. Für höheren Schutzbedarf müssen weitergehende Empfehlungen umgesetzt werden, wie zum Beispiel Redundanzmaßnahmen. Eine detaillierte Betrachtung findet sich im zugehörigen ISi-S.

Ein wichtiges Sicherheitsmerkmal der Grundarchitektur ist die Verwendung privater Adressen. Im gesamten internen Netz einschließlich des Sicherheits-Gateways werden private IP-Adressen verge-ben, die im Internet nicht geroutet werden können. Eine Adressumsetzung (NAT) der extern sicht-baren, öffentlichen IP-Adressen auf interne, private IP-Adressen verbirgt die interne Struktur des Netzes nach außen und verhindert so, dass interne Rechner direkt aus dem Internet angegriffen wer-den können.

Empfehlungen für ein sicheres Netzmanagement

Die relevanten Komponenten der Grundarchitektur - Router, Paketfilter, Sicherheits-Proxys und Server - müssen kontinuierlich überwacht und administriert werden. Aus Sicherheitsgründen sollten dazu nur verschlüsselte Netzmanagement-Protokolle verwendet werden. Da aber verschlüsselte Verbindungen das Sicherheits-Gateway aus Sicherheitsgründen nicht ungeprüft durchqueren dür-fen, empfiehlt es sich, den gesamten Management-Datenverkehr in einer getrennten Sicherheitszone zu bündeln (Out-of-Band-Management).

Abbildung 1.2 zeigt die empfohlene Grundarchitektur für das Netzmanagement. Alle Management-Protokolle (z. B. SNMP, SSH, syslog) werden über eigene Management-Schnittstellen der Kompo-nenten abgewickelt, die über ein separates Netz mit einer zentralen Management-Station verbunden sind. Oft ermöglicht das Betriebssystem einer Komponente eine vollständige Entkopplung der Nutzdaten-Schnittstellen von den Management-Schnittstellen.

Die Management-Station dient zugleich dazu, alle Systemkomponenten mittels Network Time Pro-tocol (NTP) zu synchronisieren. Als IT-unabhängige Referenzzeitquelle dient ein DCF77-Emp-fangsmodul.

Die Grundarchitektur sieht vor, die Management-Zone aus Sicherheitsgründen durch Paketfilter in getrennte Teilsegmente zu untergliedern. Auch hier sind vereinfachte Realisierungsvarianten mit re-duziertem Hardware-Aufwand und erhöhtem Restrisiko denkbar. Für Anwendungsszenarien mit hohem Schutzbedarf kann es sinnvoll sein, auf eine Zusammenführung der Management-Segmente in einer zentralen Management-Station zu verzichten und statt dessen physisch getrennte Manage-ment-Stationen pro Teilsegment vorzusehen. Eine solche dezentrale Lösung hat spezifische Vortei-le, bringt aber auch einige Sicherheitsnachteile mit sich, die genau abzuwägen sind.



1.5 Fazit

ISi-LANA behandelt die Grundlagen des sicheren LAN-Betriebs mit Internet-Anbindung, adressiert also vornehmlich die drei unteren Protokollschichten des TCP/IP-Referenzmodells: Netzzugangs-schicht, Internet-Schicht und Transportschicht. Folgt der Anwender den Empfehlungen und wendet sie sinngemäß auch auf erweiterte Netzarchitekturen an, so hat er ─ was die unteren drei Schichten des TCP/IP-Referenzmodells betrifft ─ das nötige getan, um bei Bedarf selbst hohen Schutzanfor-derungen zu genügen.

Sicherheitsaspekte der Anwendungsschicht erfordern naturgemäß eine anwendungsspezifische Be-trachtung und gehen daher über die hier behandelten Grundlagen hinaus. Solch weitergehenden Be-trachtungen sind die spezialisierten Module der ISi-Reihe gewidmet, die gezielt auf die anwen-dungsabhängigen Besonderheiten beim Einsatz bestimmter Sicherheitstechniken und häufig ver-wendeter Internet-Dienste eingehen. Schutzmaßnahmen auf der Anwendungsschicht können aller-dings nur erfolgreich sein, wenn sie nicht durch Angriffe auf darunter liegenden Schichten unterlau-fen werden können. Mit seinen Empfehlungen zum sicheren Einsatz der Basistechniken schafft das Modul ISi-LANA die notwendigen Grundlagen für ein durchgängiges Sicherheitskonzept.

Abbildung 1.2: Grundarchitektur mit Management- und Überwachungsmodul



2 Glossar

Angriff (engl. attack)

Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberech-tigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angrei-fer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen.

Anwendungsschicht (engl. application layer)

Die Anwendungsschicht ist die oberste Schicht im TCP/IP-Referenzmodell. Sie umfasst alle Proto-kolle, die von Anwendungsprogrammen, z. B. Browser oder E-Mail-Client, verarbeitet und für den Austausch anwendungsspezifischer Daten genutzt werden. Beispiele für Protokolle der Anwen-dungsschicht sind das Hypertext Transfer Protocol (HTTP) oder das Simple Mail Transfer Protocol (SMTP).

Authentisierung (engl. authentication)

Unter einer Authentisierung versteht man die Vorlage eines Nachweises eines Kommunikations-partners, dass er tatsächlich derjenige ist, der er vorgibt zu sein.

Authentizität (engl. authenticity)

Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommu-nikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur ver-wendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder An-wendungen.

Bedrohung (engl. threat)

Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstän-de oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Um-stand oder Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen bedro-hen kann, wodurch dem Besitzer der Informationen ein Schaden entsteht.

Betriebssystem (engl. operating system)

Das Betriebssystem ist ein Steuerungsprogramm, das die Verwendung eines Computers ermöglicht. Der Benutzer kann somit seine Dateien verwalten, angeschlossene Geräte (z. B. Drucker, Festplatte) kontrollieren oder Programme starten. Weit verbreitet sind z. B. Windows, Linux oder MacOS.

Client [engl.]

Als Client wird Soft- oder Hardware bezeichnet, die bestimmte Dienste von einem Server in An-spruch nehmen kann. Häufig steht der Begriff Client für einen Arbeitsplatzrechner, der in einem Netz auf Daten und Programme eines Servers zugreift.



DDoS (Distributed Denial of Service [engl.])

Ein koordinierter DoS Angriff auf die Verfügbarkeit von IT mittels einer größeren Anzahl von an-greifenden Systemen.

Diensteanbieter (engl. provider)

Anbieter von Tele- oder Mediendiensten. Die Gewerblichkeit des Angebots ist nicht Voraussetzung der Einordnung.

DMZ (Demilitarisierte Zone)

Eine DMZ ist ein Zwischennetz, das an Netzübergängen gebildet wird, aber weder zu dem einen, noch zu dem anderen Netz gehört. Sie stellt ein Netz dar, das weniger stark gesichert, aber vom äu-ßeren Netz aus besser erreichbar ist als das eigentlich zu schützende interne Netz. Die DMZ dient der Schaffung eines zusätzlichen Sicherheitsbereichs für Dienste (z. B. E-Mail, Web) oder Proxys, die von externen Netzen aus nutzbar sein sollen, aber aus Sicherheitsgründen nicht im internen Netz platziert werden dürfen.

DNS (Domain Name System [engl.])

Das Domain Name System übersetzt alphanumerische Adressnamen (z. B. www.bsi.bund.de) in nu-merische Adressen (z. B. 194.95.177.86). Auch eine Übersetzung in die umgekehrte Richtung ist mit dem DNS möglich. Alphanumerische Namen für Rechner sind für die Benutzer einfach zu be-halten und einzugeben. Da allerdings IPv4 und IPv6 Adressen in numerischer Form verlangen, ist eine Adressumsetzung durch das DNS notwendig.

DoS (Denial of Service [engl.])

Angriffe, mit dem Ziel, die Verfügbarkeit von IT zu schädigen.

FTP (File Transfer Protocol [engl.])

Das File Transfer Protocol umfasst Funktionen, mit denen man Dateien auf einfache Weise zwi-schen zwei Rechnern austauschen kann.

Gefährdung

Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Ob-jekt. Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwender prinzipiell durch Computer-Viren im Internet bedroht sind. Der Anwender, der eine virenbefallene Datei herunter-lädt, wird von dem Computer-Virus gefährdet, wenn sein Computer anfällig für diesen Typ Compu-ter-Virus ist. Für Anwender mit einem wirksamen Schutzprogramm, einer Konfiguration, die das Funktionieren des Computer-Virus verhindert, oder einem Betriebssystem, das den Virencode nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Gefährdung.



Hacking [engl.]

Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhande-ne Sicherheitsmechanismen zu überwinden, um in ein System IT-System einzudringen, seine Schwächen offen zulegen und es gegebenenfalls - bei unethischem Hacking - zu übernehmen.

HTTP (Hypertext Transfer Protocol [engl.])

Das Hypertext Transfer Protocol dient zur Übertragung von Daten - meist Webseiten - zwischen ei-nem HTTP-Server und einem HTTP-Client, also z. B. einem Browser. Die Daten werden über Uni-form Resource Locators (URL) eindeutig bezeichnet. URLs werden meist in der Form Protokoll://Rechner/Pfad/Datei angegeben. Protokoll steht dabei für Protokolle der Anwendungs-schicht, Rechner für den Namen oder die Adresse des Servers und der Pfad der Datei gibt den ge-nauen Ort der Datei auf dem Server an. Ein Beispiel für eine URL ist http://www.bsi.bund.de/facht-hem/sinet/index.htm.

ICMP (Internet Control Message Protocol [engl.])

Das Internet Control Message Protocol transportiert Fehler- und Diagnoseinformationen für IPv4 und in der erneuerten Version auch für IPv6. Es wird intern von TCP, UDP und den beiden IP-Pro-tokollen genutzt und kommt z. B. zum Einsatz, wenn Datenpakete nicht ausgeliefert werden kön-nen, ein Gateway Datenverkehr über eine kürzere Route leitet oder ein Gateway nicht genügend Pufferkapazität für die zu verarbeitenden Daten besitzt.

Informationssicherheit (engl. information security)

Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen so-wohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist umfassender und wird daher zunehmend verwendet.

Integrität (engl. integrity)

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrek-ten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Au-tor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Infor-mationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Integrität ist ein Grundwert der IT-Sicherheit.

IP (Internet Protocol [engl.])

Verbindungsloses Protokoll der Internet-Schicht im TCP/IP-Referenzmodell. Ein IP-Header enthält in der Version IPv4 u. a. zwei 32-Bit-Nummern (IP-Adressen) für Ziel und Quelle der kommunizie-renden Rechner.



IPv4 (Internet Protocol Version 4 [engl.])

Das Internet Protocol Version 4 ist ein verbindungsloses Protokoll der Vermittlungsschicht und er-laubt den Austausch von Daten zwischen zwei Rechnern ohne vorherigen Verbindungsaufbau. IPv4 setzt nicht voraus, dass das darunterliegende Netz Fehlererkennung ausführt. Ferner verfügt es über keine Verlässlichkeits- oder Flusssteuerungsmechanismen. Die meisten dieser Probleme gibt IPv4 an die nächsthöhere Schicht (die Transportschicht) weiter.

IPv6 (Internet Protocol Version 6 [engl.])

Das Internet Protocol Version 6 ist die Nachfolgeversion von IPv4 und soll dieses ablösen, da es u. a. die Zahl der verfügbaren Rechneradressen stark erweitert und Maßnahmen zum Schutz der über-tragenen Daten vor dem Verlust der Vertraulichkeit, der Integrität und der Authentizität umfasst. Die Sicherungsmaßnahmen sind unter dem Namen "IPSec" zusammengefasst. IPSec definiert Si-cherungsdienste, die durch zwei zusätzliche Header, den "IP Authentication Header" (AH) und den Header "IP Encapsulating Security Payload" (ESP) realisiert werden. Mithilfe der Header können unterschiedliche kryptografische Algorithmen eingebunden werden. IPSec erlaubt die Integration der Header in Datagramme des IPv4 sowie des IPv6. AH- und ESP-Header können einzeln oder ge-meinsam in einem IP-Datagramm auftreten. Die Sicherheitsmechanismen schützen IPv4/IPv6 und die darüberliegenden Protokolle.

Kryptografie

Mathematisches Fachgebiet, das sich mit Methoden zum Schutz von Informationen befasst (u. a. mit Vertraulichkeit, Integrität und Authentizität von Daten).

NAT (Network Address Translation [engl.])

Network Address Translation (NAT) bezeichnet ein Verfahren zum automatischen und transparen-ten Ersetzen von Adressinformationen in Datenpaketen. NAT-Verfahren kommen meist auf Rou-tern und Sicherheits-Gateways zum Einsatz, vor allem, um den beschränkten IPv4-Adressraum möglichst effizient zu nutzen und um lokale IP-Adressen gegenüber öffentlichen Netzen zu verber-gen.

Paketfilter (engl. packet filter)

Paketfilter sind IT-Systeme mit spezieller Software, die den ein- und ausgehenden Datenverkehr an-hand spezieller Regeln filtern. Ihre Aufgabe ist es, Datenpakete anhand der Informationen in den Header-Daten der IP- und Transportschicht (z. B. Quell- und Ziel-Adresse, -Portnummer, TCP-Flags) weiterzuleiten oder zu verwerfen. Der Inhalt des Pakets bleibt dabei unberücksichtigt.

Passwort

Geheimes Kennwort, das Daten, Rechner, Programme u. a. vor unerlaubtem Zugriff schützt.

Patch [engl.]

Ein Patch (vom englischen "patch", auf deutsch: Flicken) ist ein kleines Programm, das Software-Fehler wie z. B. Sicherheitslücken in Anwendungsprogrammen oder Betriebssystemen behebt.



Protokoll (engl. protocol)

Beschreibung (Spezifikation) des Datenformats für die Kommunikation zwischen elektronischen Geräten.

Proxy [engl.]

Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten.

Restrisiko (engl. residual risk)

Risiko, das grundsätzlich bleibt, auch wenn Maßnahmen zum Schutz des IT-Einsatzes ergriffen worden sind.

Router [engl.]

Ein (IP-)Router ist ein Vermittlungsrechner, der Netze auf IP-Ebene koppelt und Wegewahlent-scheidungen anhand von IP-Protokollschicht-Informationen trifft. Router trennen Netze auf der Netzzugangsschicht und begrenzen daher die Broadcast-Domäne eines Ethernets.

Schutzbedarf (engl. protection requirements)

Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten In-formationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.

Schwachstelle (engl. vulnerability)

Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ur-sachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfigu-ration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen.

Server [engl.]

Als Server wird Soft- oder Hardware bezeichnet, die bestimmte Dienste anderen (Clients) anbietet. Typischerweise wird damit ein Rechner bezeichnet, der seine Hardware- und Software-Ressourcen in einem Netz anderen Rechnern zugänglich macht. Beispiele sind Applikations-, Daten-, Web- oder E-Mailserver.

Sicherheits-Gateway

Ein Sicherheits-Gateway (oft auch Firewall genannt) gewährleistet die sichere Kopplung von IP-Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei im Wesentlichen, dass ausschließlich erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden. Ein Sicherheits-Gateway für normalen Schutzbedarf besteht im Allgemeinen aus mehreren, in Reihe geschalteten Filterkompo-nenten. Dabei ist zwischen Paketfilter und Application-Level Gateway (ALG) zu unterscheiden.



Sicherheitskonzept (engl. security concept)

In einem Sicherheitskonzept werden die konzeptionellen Sicherheitsanforderungen systematisch festgelegt und das Vorgehen zu ihrer Umsetzung in Maßnahmen beschrieben.

Sicherheitsmaßnahme (engl. saveguard control)

Mit Sicherheitsmaßnahme werden alle Aktionen bezeichnet, die dazu dienen, Sicherheitsrisiken zu steuern und entgegenzuwirken. Dies schließt organisatorische, personelle, technische und infra-strukturelle Sicherheitsmaßnahmen ein. Synonym werden auch die Begriffe Sicherheitsvorkehrung oder Schutzmaßnahme benutzt.

SMTP (Simple Mail Transfer Protocol [engl.])

Das Simple Mail Transfer Protocol legt fest, wie E-Mails zwischen Servern zu übertragen sind. Auch für den Transport von E-Mails vom Mail-Client zum Server kann SMTP genutzt werden.

Sniffing [engl.]

Sniffing (von to sniff, zu deutsch: schnüffeln) bezeichnet Techniken, mit denen der Datenverkehr eines Datennetzes unautorisiert mitgelesen werden kann, um sich unrechtmäßig Zugriff auf vertrau-liche Informationen zu verschaffen.

Spoofing [engl.]

Spoofing (von to spoof, zu deutsch: manipulieren, verschleiern oder vortäuschen) nennt man in der Informationstechnik verschiedene Täuschungsversuche zur Verschleierung der eigenen Identität und zum Fälschen übertragener Daten. Das Ziel besteht darin, die Integrität und Authentizität der Informationsverarbeitung zu untergraben.

Switch

Ein Switch ist eine Netz-Komponente zur Verbindung mehrerer Netz-Segmente in einem lokalen Netz.

TAN (Transaktionsnummer)

Geheimzahl, die die Freigabe für einen einzelnen Vorgang erteilt. Die Geheimzahl verliert hiernach ihre Gültigkeit. Wird insbesondere beim Internet-Banking in Kombination mit einer PIN eingesetzt.

TCP (Transmission Control Protocol [engl.])

Verbindungsorientiertes Protokoll der Transportschicht im TCP/IP-Referenzmodell, welches auf IP aufsetzt.

Transportschicht (engl. transport layer)

Die Transportschicht setzt im TCP/IP-Referenzmodell auf der Internetschicht auf und hat die Auf-gabe, Daten zuverlässig und unabhängig vom verwendeten physischen Netz vom Ursprung zum Ziel zu transportieren. Zu den Protokollen der Transportschicht zählen im Wesentlichen TCP und UDP.



UDP (User Datagram Protocol [engl.])

Das User Datagram Protocol ist ein verbindungsloses Protokoll der Transportschicht im TCP/IP-Referenzmodell. Es sieht (anders als TCP) keine Transportquittungen oder andere Sicherheitsme-chanismen für die Korrektheit der Übertragung vor. Der Header enthält wie bei TCP zwei Portnum-mern, die eine Zuordnung zu Diensten der Anwendungsschicht erlauben, aber unabhängig von den bei TCP benutzten Portnummern sind. Der Aufwand zur Verarbeitung eines Datenpakets ist bei UDP geringer als bei TCP. Der geringere Aufwand wird jedoch durch mehrere Nachteile, wie die höhere Wahrscheinlichkeit für Paketverluste, erkauft.

Verfügbarkeit (engl. availability)

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese den Benutzern stets wie gewünscht zur Verfügung stehen. Verfügbarkeit ist ein Grundwert der IT-Sicherheit.

Verschlüsselung (engl. encryption)

Verschlüsselung (Chiffrieren) transformiert einen Klartext in Abhängigkeit von einer Zusatzinfor-mation, die Schlüssel genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll. Die Umkehrtransformation - die Zu-rückgewinnung des Klartexts aus dem Geheimtext - wird Entschlüsselung genannt.

Vertraulichkeit (engl. confidentiality)

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. Vertraulich-keit ist ein Grundwert der IT-Sicherheit.

VLAN (Virtual Local Area Network [engl.])

Virtuelle lokale Netze (Virtual LANs, VLANs) werden zur logischen Strukturierung von Netzen verwendet. Dabei wird innerhalb eines physikalischen Netzes eine logische Netzstruktur abgebildet, indem funktionell zusammengehörende Arbeitsstationen und Server zu einem virtuellen Netz ver-bunden werden.

VPN (Virtual Private Network [engl.])

Ein Virtuelles Privates Netz (VPN) ist ein Netz, das physisch innerhalb eines anderen Netzes (oft dem Internet) betrieben wird, jedoch logisch von diesem Netz getrennt wird. In VPNs können unter Zuhilfenahme kryptografischer Verfahren die Integrität und Vertraulichkeit von Daten geschützt und die Kommunikationspartner sicher authentisiert werden, auch dann, wenn mehrere Netze oder Rechner über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind. Der Begriff VPN wird oft als Bezeichnung für verschlüsselte Verbindungen verwendet, zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden, beispielsweise spezielle Funktionen des genutzten Transportprotokolls.


....................................................................................................................................................................................................

.........................................................................................................................................................................................................

....................................................................................................................................................................................................................................

......................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

......................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

...................................................................................................................................................................................................................................................................................

.....................................................................................................................................................................................................................................

.........................................................................................................................................................................................................................................................................................................................................

.............................................................................................................................................................................................................................................................................................

...........................................................................................................................................................................................................................................

....................................................................................................................................................................................................

....................................................................................................................................................................................................................

..........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

........................................................................................................................................................................................................................................

.....................................................................................................................................................................................................................................................

.............................................................................................................................................................................................................................

...........................................................................................................................................................................................

...........................................................................................................................................................................................................................

..................................................................................................................................................................................................................................................................................................


3 Stichwort- und AbkürzungsverzeichnisAH (Authentication Header) 19ALG (Application-Level Gateway) 5, 6, 13, 20Anwendungsschicht 6, 15, 16, 18, 22ARP (Address Resolution Protocol) 10AS (Anwendungs-Server) 5, 13AS (Autonomes System) 8ATM (Asynchronous Transfer Mode) 8Authentisierung 7, 8, 10, 16Authentizität 10, 16, 19, 21Bedrohung 6, 7, 9-11, 16, 17, 20Betriebssystem 12, 14, 16, 17, 19BGP (Border Gateway Protocol) 8Bit (Binary Digit) 18Broadcast-Domäne 20Chiffrat 22DB (Database) 13DCF77 8, 14DDoS (Distributed Denial of Service) 11, 17Diensteanbieter 5, 17DMZ (Demilitarisierte Zone) 13, 17DNS (Domain Name System) 8-11, 17DNSSEC (DNS Security Extensions) 8DoS (Denial of Service) 9, 11, 17E-Mail (Electronic Mail) 2, 5, 7, 12, 16, 17, 20, 21ESP (IP Encapsulating Security Payload) 19Ethernet 8FDDI (Fiber Distributed Data Interface) 8FTP (File Transfer Protocol) 8, 9, 17Gefährdung 5, 16, 17

DDoS (Distributed Denial of Service) 11, 17DoS (Denial of Service) 9, 11, 17Hacking 5, 9, 10, 18Sniffing 5, 9, 10, 21Spoofing 5, 9, 10, 21

Gefährdungsanalyse 3, 9Grundarchitektur 2, 5, 6, 12-14Hacking 5, 9, 10, 18Hardware 10, 11, 14, 16, 20HTTP (Hypertext Transfer Protocol) 7, 16, 18Hypertext 16, 18ICMP (Internet Control Message Protocol) 7, 9, 11, 18Informationssicherheit 10, 18Integrität 6, 7, 10, 16, 18, 19, 21, 22Internet-Schicht 5, 9, 15, 18IP (Internet Protocol) 5-10, 14-16, 18-22IPSec (Internet Protocol Security) 19IPv4 (Internet Protocol Version 4) 9, 17-19


................................................................................................................................................................................

..................................................................................................................................................................................................................................................

................................................................................................................................................................................................................

...............................................................................................................................................................................................................................................................................................................................................

......................................................................................................................................................................................................

......................................................................................................................................................................................................

............................................................................................................................................................................................................................................................................................................................................

.........................................................................................................................................................................................................................

.................................................................................................................................................................................................

...........................................................................................................................................................................................................................

...............................................................................................................................................................................................................................................

.......................................................................................................................................................................................................

........................................................................................................................................................

........................................................................................................................................................................................................................................................................................................................................................................................................................................................................

....................................................................................................................................................

....................................................................................................

............................................................................................................................................................................................

.......................................................................................................................................................................................................................................................................

................................................................................................................................................................................................................................................................................................................................................................................................................................

.................................................................................................................................................................................................................................................................................

.........................................................................................................................................................................................................................................................................................................................................................

......................................................................................................


IPv6 (Internet Protocol Version 6) 7-9, 17-19ISDN (Integrated Services Digital Network) 7IT-Sicherheit 18, 22

Authentizität 10, 16, 19, 21Informationssicherheit 10, 18Integrität 6, 7, 10, 16, 18, 19, 21, 22Verfügbarkeit 5, 6, 11, 16, 17, 22Vertraulichkeit 6, 7, 9, 16, 19, 22

Kollisionsdomäne 8Kryptografie 8, 10, 19, 22LAN (Local Area Network) 2, 5, 6, 8, 9, 12, 15, 22MAC (Media Access Control) 9, 10MacOS (Macintosh Operating System) 16NAT (Network Address Translation) 14, 19Netzkoppelelement 8Netzzugangsschicht 5, 15, 20NTP (Network Time Protocol) 8, 14Paketfilter 5, 6, 12-14, 19, 20PAP (Paketfilter - Application-Level Gateway - Paketfilter) 13Passwort 9, 10, 19Patch 11, 12, 19PIN (Persönliche Identifikationsnummer) 10, 21Protokoll

ARP (Address Resolution Protocol) 10BGP (Border Gateway Protocol) 8FTP (File Transfer Protocol) 8, 9, 17HTTP (Hypertext Transfer Protocol) 7, 16, 18ICMP (Internet Control Message Protocol) 7, 9, 11, 18IP (Internet Protocol) 5-10, 14-16, 18-22IPSec (Internet Protocol Security) 19IPv4 (Internet Protocol Version 4) 9, 17-19IPv6 (Internet Protocol Version 6) 7-9, 17-19SFTP (SSH File Transfer Protocol) 8SMTP (Simple Mail Transfer Protocol) 7, 16, 21SNMP (Simple Network Management Protocol) 8, 14SNMPv3 (Simple Network Management Protocol Version 3) 8, 9TCP (Transmission Control Protocol) 5, 7, 9, 15, 16, 18, 19, 21, 22Telnet (Teletype Network) 8, 9UDP (User Datagram Protocol) 7, 9, 18, 21, 22

Proxy 12-14, 17, 20Restrisiko 14, 20Risiko 20Router 5, 8, 14, 19, 20Routing 8Schadprogramm 17

Virus 17Schutzbedarf 5, 6, 13, 14, 20Schwachstelle 5, 9-11, 17, 20Segmentierung 9, 10, 12, 13SFTP (SSH File Transfer Protocol) 8


............................................................................................................................................................................

.....................................................................................................................................................................

................................................................................................................................................................................................................................................

................................................................................................................................................................................................................................................

....................................................................................................................................................................................................................

...................................................................................................................................

........................................................................................................................................................................................................................................................

................................................................................................................................................................................................................................................

...............................................................................................................................................................................

.................................................................................................................................................................................................................

....................................................................................................................................................................................................................

..........................................................................................................................................................................................................................

....................................................................................................................................................................................................................................................................

...........................................................................................................................................................................................

........................................................................................................................................................................................................................................

.................................................................................................................................................................................................................................................................................

...............................................................................................................................................................................................................................................................

................................................................................................................................................................................................

........................................................................................................................................................................................................................................................


Sicherheits-Gateway 2, 5, 10, 12-14, 19, 20ALG (Application-Level Gateway) 5, 6, 13, 20Paketfilter 5, 6, 12-14, 19, 20PAP (Paketfilter - Application-Level Gateway - Paketfilter) 13

Sicherheitskonzept 13, 15, 21Sicherheitsleitlinie 20Sicherheitsmaßnahme 13, 21Sicherheitszone 13, 14SMTP (Simple Mail Transfer Protocol) 7, 16, 21Sniffing 5, 9, 10, 21SNMP (Simple Network Management Protocol) 8, 14SNMPv3 (Simple Network Management Protocol Version 3) 8, 9Spoofing 5, 9, 10, 21SSH (Secure Shell) 8, 14Switch 8-10, 21TAN (Transaktionsnummer) 10, 21TCP (Transmission Control Protocol) 5, 7, 9, 15, 16, 18, 19, 21, 22TCP/IP-Referenzmodell

Anwendungsschicht 6, 15, 16, 18, 22Internet-Schicht 5, 9, 15, 18Netzzugangsschicht 5, 15, 20Transportschicht 5, 15, 19, 21, 22

Telnet (Teletype Network) 8, 9Transportschicht 5, 15, 19, 21, 22TTL (Time to live) 8TV (Television) 7UDP (User Datagram Protocol) 7, 9, 18, 21, 22URL (Uniform Resource Locator) 18Verfügbarkeit 5, 6, 11, 16, 17, 22Vermittlungsschicht 19Verschlüsselung

Chiffrat 22Vertraulichkeit 6, 7, 9, 16, 19, 22Virus 17VLAN (Virtual Local Area Network) 13, 22VPN (Virtual Private Network) 6, 22Webserver 13WWW (World Wide Web) 7, 13

Documents

ISi-L Sichere Anbindung von lokalen Netzen an das Internet