Institut für Wirtschaftsinformatik,Produktionswirtschaft und Logistik
Tätigkeitsbereich Wirtschaftsinformatik
University of Innsbruck
Information SystemsInformation Systems
Sicherheit im NetzwerkSicherheit im Netzwerk
• Angriffe auf Softwareschwächen– Fehler in Softwareimplementierungen (häufig sog. Pufferüberlauf) können genutzt werden
um Schadroutinen einzuschleusen und auszuführen– Gegenmaßnahmen: Installation aktueller Upgrades, Verwendung von Open-Source-Software
(schnellere Updateverfügbarkeit).
• Angriffe auf konzeptionelle Schwächen der Netzwerkprotokolle– Z.B. Man-in-the-middle-Angriff: Durch Umleiten des Datenverkehrs zwischen zwei Rechnern
(ARP-Spoofing, DNS-Spoofing, DNS-Cache Poisoning, …) über den Rechner des Angreifers kann der Datenverkehr mittels Sniffer-Software mitgehört und ausspioniert werden.
– Besonders gefährdet sind unverschlüsselte Protokolle wie POP3, SMTP, IMAP, Telnet, HTTP– Gegenmaßnahmen: Verschlüsselung der Datenpakete, Paketfilter (Firewalls) die von außen
kommende Pakete mit Quelladressen von innenliegenden Rechnern und ausgehende Datenpakte mit im Intranet nicht verwendeten Quelladressen verwerfen.
• Angriffe auf Dienste– Denial of Service (DoS) und Distributed-DoS (DDoS) -Attacken mit dem Ziel einen Dienst auf
einem Server arbeitsunfähig zu machen.– Gegenmaßnahmen: Intrusion Detection Systeme (IDS) die frühzeitig anhand typischer
Anfragemuster Attacken erkennen, Verantwortliche informieren und im Idealfall auch Gegenmaßnahmen vorschlagen oder sogar einleiten.
• Weitere Angriffsarten– Malware: Computerviren und Würmer, Trojanische Pferde, Dialer, Spyware– Phishing: Umleiten auf gefälschte WEB-Seiten zur Erschleichung von Zugangsdaten– Brute-Force-Attacke: Computergestütztes Durchprobieren von Paßwörtern – Sozial Engineering: Herauslocken/-finden von Zugangsdaten durch Überreden, unter Druck
setzen, Datenrecherche im Internet– Gegenmaßnahmen: Antiviren-Software, Application-Layer-Firewall,
verantwortungsvolle Internetnutzung
University of Innsbruck / Information Systems 2
Potentielle Bedrohungen in Netzwerken Potentielle Bedrohungen in Netzwerken
• Datenverlust:– Wichtige Daten werden absichtlich gelöscht
• Datenmanipulation:– Absichtliche Verfälschung von Daten z.B. in Bilanzen oder
auch in Softwarecodes
• Unbefugter Zugriff:– Unternehmensgeheimnisse gelangen in die Hände Dritter
• Mißbrauch von Ressourcen:– Hard- und Software des Unternehmens werden für fremde
Zwecke mißbraucht, z.B. Versenden von SPAM-Mails …
• Ausfallzeit:– Ständig benötigte Infrastrukturdienste sind nicht erreichbar,
wodurch finanzieller (Produktionsausfall od. –Verzögerung) und auch Imageschaden entstehen kann (z.B. Nichterreichbarkeit einer Webseite)
University of Innsbruck / Information Systems 3
Auswirkungen von SicherheitslückenAuswirkungen von Sicherheitslücken
• Vertraulichkeit– Nachricht ist vor dem Zugriff durch Dritte geschützt
• Authentizität– Der Sender einer Nachricht ist eindeutig identifizierbar
• Integrität– Die Nachricht blieb auf dem Weg vom Sender zum Empfänger
unverändert
• Verbindlichkeit– Der Sender kann die Urheberschaft der Nachricht nicht leugnen,– Der Empfänger kann den Erhalt der Nachricht nicht abstreiten
University of Innsbruck / Information Systems 4
Anforderungsprofil „Sichere Kommunikation“Anforderungsprofil „Sichere Kommunikation“
• Technische Maßnahmen– Filterung des Datenverkehrs mittels Firewalltechnologien– Überwachung des Datenverkehrs mittels IDS/IPS-
Technologien (Intrusion Detection/Prevention Systems)– Verschlüsselung des Datenverkehrs (Kryptographie)– Public Key Infrastructure (Zertifikate)– Authentifizierung (z.B. Kerberos-Protokoll)– Proxy (Stellvertreter), NAT und PAT (Network Adress/Port
and Adress Translation)– Virtual Private Network (VPN)
• Organisatorische Maßnahmen– Benutzersensibilisierung– Unternehmensrichtlinien (z.B. Regelm. Passwortänderung, …)– Benutzerschulung
University of Innsbruck / Information Systems 5
Maßnahmen zur Erreichung von Sicherheit - Maßnahmen zur Erreichung von Sicherheit - ÜberblickÜberblick
• Personal- oder Desktop/Software-Firewalls– Softwareprogramme, die lokal auf dem zu schützenden
Rechner installiert werden um den Datenverkehr zwischen ihm und dem Netzwerk zu dem er gehört zu kontrollieren.
– Beispiele: Windows Firewall (ab XP SP2), ZoneAlarm, Norton Personal Firewall, AtGuard, …
• Netzwerk- oder Enterprise Firewalls– Ein Gerät das den Datenverkehr zwischen mindestens zwei
Netzwerken (oft auch deutlich mehr) kontrolliert.• Kann als Software auf Rechnern implementiert werden (z.B.
Check-Point-Firewall 1, Microsoft ISA Server, IPCop, Endian Firewall, Shorewall, Astaro Security Linux, …),
• oder in Form eigenständiger Hardware („Firewall-Appliance“) die eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software umfasst (z.B. Cisco ASA (früher PIX), WatchGuard FireBox X, Astaro Security Gateway, Qtrust, …)
University of Innsbruck / Information Systems 6
FirewalltypenFirewalltypen
• Packet-Layer-Firewall (Paketfilterung)– Inspiziert nur Header bis OSI Schicht 4 (Transport-Schicht)– Pakete werden durchgelassen (route) oder verworfen (drop)– Regeln, die über route oder drop entscheiden werden vom Administrator
definiert und basieren auf• Quelle (IP-Adresse und Port des Senders)• Ziel (IP-Adresse und Port des Empfängers)• Verwendetem Protokoll (TCP und/oder UDP, sowie ICMP)• Richtung des Datenstroms (Inbound oder Outbound)
• Stateful Inspection (Zustandsgesteuerte Filterung)– Weiterentwicklung der Packet-Layer-Firewall– Entscheidet auch anhand der Stati aktuell geöffneter Verbindungen, ob ein
Paket verworfen wird. Sinnvoll z.B. für ftp (Port 21 zum Verbindungsaufbau, Port 20 für den Datentransfer)
• Application-Layer-Firewall (Inhaltsfilterung)– Kontrollieret den Datenverkehr bis auf die Anwendungsebene– Content-Filter: Blockierung von z.B. ActiveX und/oder JavaScripts, Sperren
unerwünschter Webseiten über Schlüsselwörter, Sperren von Anwendungsprotokollen (etwa FileSharing)
– Proxy: Baut stellvertretend für die LAN-Clients Verbindungen auf, nach außen ist nur die IP-Adresse des Proxys sichtbar
– Web Application Firewall (WAF): Prüft Daten die via WEB-Browser an Anwendungen geschickt werden. Schutz gegen die Einschleusung gefährlichen Codes durch Techniken wie SQL-Injection, Cross Site Scripting, CommandExe, Parameter Tampering, …
University of Innsbruck / Information Systems 7
FirewalltechnologienFirewalltechnologien
• Ergänzen die Leistungen von Firewalls zur Erhöhung der Sicherheit von Netzwerken.
• Es gibt die Typen Host-basierte IDS (HIDS), Netzwerk-basierte IDS (NIDS) und Hybride IDS.
• Technisch gesehen verwenden IDS sogenannte Sensoren die Host-Logdaten (HIDS) oder Daten aus dem Netzwerkverkehr (NIDS) sammeln – und mit Mustern bekannter Angriffe, sog. Signaturen, vergleichen, die
in Datenbanken gespeichert werden.• Nachteil: Nur bereits bekannte Angriffstypen werden erkannt
– oder durch heuristische Methoden versuchen, auch bisher unbekannte Angriffe zu erkennen
• Nachteil: Häufigere Fehlalarmierungen
• Bei Erkennung eines potentiell gefährlichen Musters erfolgt – die Verständigung eines Verantwortlich (IDS),– die Einleitung von Gegenmaßnahmen, etwa Sperrung oder Isolierung
des vermeintlichen Eindringlings z.B. durch Aktivierung von IPS-Regeln auf einer Firewall (IPS - Intrusion Prevention System)
• Absolute Sicherheit ist durch keine Technologie gewährleistet!
University of Innsbruck / Information Systems 8
Intrusion Detection (and Prevention) SystemeIntrusion Detection (and Prevention) Systeme
University of Innsbruck / Information Systems 9
Abgrenzung Internet und IntranetAbgrenzung Internet und Intranet
Web-Server Appl.-Server Proprietäres Netzwerk
(HOST, Datenbanken)
Firewall
Unternehmensteile (Filiale)
Partner-Unternehmen
Kunden
Intranet
Firewall/IPS
Web-Server
InternetDMZ/Extranet
DMZ = DeMilitarized Zone
Web-Browser Arbeitsplatz
Mail-Server
RAS/VPN-Server
• Symmetrische Verschlüsselungssysteme (wenig rechenintensiv)
– Für die Verschlüsselung und die Entschlüsselung der Daten wird derselbe Schlüssel verwendet
– Beispiele: DES, 3DES (Tripple DES), AES-Rijndael, Twofish, …– Problem: Da alle Kommunikationspartner denselben Schlüssel verwenden, muß
dieser irgendwie übertragen werden!– Typische Schlüssellängen: 56 oder 128 Bit
• Asymmetrische Verfahren (rechenintensiv)
– Es gibt ein Schlüsselpaar: Public Key und Private Key• Zur Verschlüsselung kann nur der Public Key des Empfängers, zur Entschlüsselung kann
nur der Private Key des Empfängers eingesetzt werden• Zur digitalen Signierung kann nur der private Key des Senders, zur Prüfung der
digitalen Signatur nur der Public Key des Senders verwendet werden• Der Private Key muß geheim bleiben, der Public Key ist öffentlich zugänglich
=> Notwendigkeit einer Public-Key-Infrastruktur
– Beispiel: RSA (Rivest, Shamir und Adelman)– Typische Schlüssellängen: 512, 1024, 2048 Bit
• Hybride Verfahren– Setzen Asymmetrische Verfahren zur Übertragung eines gemeinsamen
Schlüssels für eine symmetrische Verschlüsselung ein. – Der gemeinsame Schlüssel wird nur für eine Verbindung zur
Ver-/Entschlüsselung der Daten verwendet („Session Key“).– Der Aufwand für Ver- und Entschlüsselung sowie zum Knacken eines Schlüssels
ist abhängig vom Verschlüsselungsverfahren und der Schlüssellänge
University of Innsbruck / Information Systems 10
VerschlüsselungVerschlüsselung
• Beim Versenden von Nachrichten kann entweder die Nachricht oder der Übertragungsweg verschlüsselt werden
• Nachrichtenverschlüsselung am Beispiel Pretty Good Privacy:– PGP dient dem Verschlüsseln von Email-Nachrichten mit
asymmetrischen Verschlüsselungstechniken– Da Emails ohne direkte Verbindung vom Sender zum Empfänger
verschickt werden, sondern über mehrere Zwischenstationen weitergeleitet werden ist keine Kanalverschlüsselung möglich
• Kanalverschlüsselung am Beispiel TLS/SSL:– TLS: Transport Layer Security, SSL: Secure Sockets Layer. – TLS/SSL wird als Protokoll zwischen Transportschicht (TCP) und
Anwendungsschicht eingefügt um ungesicherten Anwendungsprotokollen wie HTTP, POP3, SMTP, FTP mehr Sicherheit zu ermöglichen
• HTTP + TLS/SSL = HTTPS
– Im Internet weit verbreitet zur Absicherung von Transaktionen im Online Banking und Online Shopping
– Details siehe: http://de.wikipedia.org/w/index.php?title=Transport_Layer_Security
University of Innsbruck / Information Systems 11
Nachrichten- und KanalverschlüsselungNachrichten- und Kanalverschlüsselung
• In asymmetrischen Verschlüsselungsverfahren werden digitale Zertifikate verwendet um die Authentizität eines öffentlichen Schlüssels und seinen zulässigen Anwendungs- und Geltungsbereich zu bestätigen.
• Eine Zertifizierungsstelle (Certificate Authority, CA) stellt digitale Zertifikate aus, die bescheinigen, daß der öffentliche Schlüssel der angegebenen Person od. Institution gehört (entspricht einem Personalausweis)– Bekannte CA‘s: Entrust, CyberTrust, RSA Security, Verisign
• Dadurch, daß man der Glaubwürdigkeit der CA vertraut, vertraut man auch der Echtheit des Zertifikats
• Zertifikatssperrlisten (Certificate Revocation Lists) enthalten Zertifikate die vor Ablauf der Gültigkeit zurückgezogen wurden
• Eine CA kann auch andere CA‘s autorisieren Zertifikate auszustellen
• Alternativer Ansatz Web of Trust: Glaubt ein Benutzer an die Authentizität eines öffentlichen Schlüssels, kann er selber ein Zertifikat erstellen, indem er diesen Schlüssel signiert. Andere Benutzer können entscheiden ob sie diesem Zertifikat vertrauen oder nicht.
– Wird z.B. in der Software PGP („Pretty Good Privacy“) verwendet
Details: http://www.pki-page.org
University of Innsbruck / Information Systems 12
Public Key Infrastruktur (PKI)Public Key Infrastruktur (PKI)
University of Innsbruck / Information Systems 13
Übertragung einer signierten und verschlüsselten E-MailÜbertragung einer signierten und verschlüsselten E-Mail
Nachricht
public keyBob
private keyAlice
private keyBob
public keyAlice
Verschlüsselung
Nachricht
Signatur
ÜbermittlungungesicherterÜbertragungskanal
0&§(1§/=1 0&§(1§/=1
Nachricht
Vergleich
Nachricht
Entschlüsselung
Alice(Absender)
Bob(Empfänger)
Nachricht ist unverändert
und von Alice
Praktische Anwendung von VerschlüsselungstechnikPraktische Anwendung von Verschlüsselungstechnik
University of Innsbruck / Information Systems 14
Aufgaben einer Zertifizierungsstelle (CA)Aufgaben einer Zertifizierungsstelle (CA)
5 Nachricht versenden
HPHP
Alice(Absender)
Bob(Empfänger)
1 Zertifikat beantragen
2 Zertifikat ausstellen
4 Nachricht schreibenund signieren
7 Signatur überprüfen
8 Zertifikat überprüfen
6 Zertifikat downloaden
RevocationList
- ………….- ………….
3b Zertifikat mit public key veröffentlichen
3a private keysicher verwahren
Zertifizierungsstelle
Nachricht ist unverändert
und von Alice
Zertifikat ist gültig und nicht
widerrufen
• Ziel beider Verfahren: – Vertraulicher Datenaustausch über ein öffentliches Netzwerk (z.B. das Internet)
• Remote Access System (RAS):– Zugang zum Firmennetz per Direkteinwahl– Z.B. Mobile Mitarbeiter via Modem/Telefonleitung
• Ein VPN ist ein virtuelles Kommunikationsnetzwerk das sogenannte Tunnel (=verschlüsselte Übertragungskanäle) verwendet.
– Dazu werden die ursprünglichen Datenpakete (meist verschlüsselt) in ein VPN-Protokoll verpackt, separat adressiert und übertragen (entsprechend dem verwendeten Übertragungsnetz), am Endpunkt wieder entpackt (entschlüsselt) und unter Nutzung der privaten Netzwerkinfrastruktur zum Ziel weitergeleitet.
– Mit VPN können• über VPN-Gateways permanent entfernte LANs verbunden werden (Site-to-Site)• über VPN-Client-Software beim Endbenutzer und VPN-Gateway-Software im Firmen-LAN
einzelne entfernte Mitarbeiter temporär an das LAN angebunden werden (End-to-Site)
– Häufig eingesetzte Tunneling Protokolle sind:• IPSec (IP Security Protocol)• PPTP (Point To Point Tunneling Protocoll)• L2F (Layer 2 Forwarding)• L2TP (Layer 2 Tunneling Protocoll)• Neuerdings auch TLS/SSL
University of Innsbruck / Information Systems 15
Remote Access und Virtual Private Network (VPN)Remote Access und Virtual Private Network (VPN)
University of Innsbruck / Information Systems 16
Funktionsweise von VPNFunktionsweise von VPN
Quelle: http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm
University of Innsbruck / Information Systems 17
IPSec PPTP L2F L2TP
Protokoll-Ebene 3 2 2 2
Standardisiert Ja Nein Nein Ja
Benutzerauthentifizierung Ja Ja Ja Ja
Paketauthentifizierung Ja Nein Nein Nein
Datenverschlüsselung Ja Ja Nein Nein
Schlüsselmanagement Ja (IKE) Nein n/a n/a
QoS Ja Nein Nein Nein
Andere Protokolle (neben IP) tunnelbar Nein Ja Ja Ja
End-To-End-Security Ja Ja Nein Nein
Funktionalität wichtiger VPN-TunnelingprotokolleFunktionalität wichtiger VPN-Tunnelingprotokolle
Quelle: http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm
authenticated
encrypted
IP Payload
IP Payload
PPTP Payload
TCP/IP Packets of the Internet
IP Header
VPN IP Header IP Payload
Encapsulating Security Payload
IP Payload
ESP Header
IP Header
HMAC
VPN IP Header
TCP Header
TCP Payload
PPTP Header
TCP/IP Packets of the Internet
IPsecVPN TCP Header TCP Payload
emulated IP
TCP Header
TCP Payload
PPTP: IPSec:
• Gefahrenpotentiale für ungesicherte Wireless-Netze:– Da die per Funk übertragenen Datenpakete jeder mithören kann ist ein illegales
Mitverwenden des Internetzugangs mit den Möglichkeiten• Massenversand von Spam, Ausführen von z.B. DoS Attacken,• sowie ein Ausspähen persönlicher Daten (Login-Informationen, Passwörter) mit allen
Konsequenzen der (illegalen) Verwendung dieser Daten möglich.
• Vorbeugungsmaßnahmen– Im Verwaltungstool des AccessPoint/WLAN-Routers sollten die Administrations-
Standardpasswörter geändert und die Fernkonfiguration deaktiviert werden.– Firmware und Software der Gerätes sollten regelmäßig aktualisiert werden.– Service Set Identifier (SSID) sollte sinnvoll geändert werden (sollte keine
Rückschlüsse auf Hardware, Einsatzzweck oder –Ort zulassen).– Ev. sollte das Broadcast der SSID deaktiviert werden
• Geringer Schutz, kann mittels Sniffer beim Anmelden trotzdem ausgelesen werden
– MAC-Filter setzen und DHCP-Adressvergabe nur für registrierte MAC-Adressen• Geringer Schutz MAC-Adressen können ausgelesen und leicht geändert werden
– Die bestmögliche Verschlüsselungstechnik in Verbindung mit möglichst sicheren Pre-Shared-Keys („pass phrase“) einsetzen
• Schlecht: WEP (Wired Equivalent Privacy), arbeitet mit RC4 Stromchiffre – durch Analyse von einigen 10.000 Datenpaketen innerhalb von Minuten entschlüsselbar
• Besser: WPA (Wi-Fi Protected Access) welches zusätzlichen Schutz durch dynamische Schlüssel (Temporal Key Integrity Protocol TKIP) und Benutzerauthentifizierung durch PreShared Keys (PSK) oder Extensible Authentication Protocol (EAP) bietet
• Am besten: WPA2 (Wi-Fi Protected Access 2) welches den Advanced Encryption Standard (AES) anstelle von RC4 verwendet und alle Vorteile von WPA enthält
University of Innsbruck / Information Systems 18
Sicherheit im (privaten) Wireless-LANSicherheit im (privaten) Wireless-LAN
• Neuere Geräte enthalten die Funktion IP-Masquerading, manchmal auch Port-Adress-Translation (PAT) oder 1-to-n-NAT bezeichnet:
– Verwenden nur eine registrierte IP-Adresse am WAN-Port und bilden die privaten IP-Adressen an den LAN-Ports über eine interne Zuordnungstabelle auf diese eine IP-Adresse ab:
• Vorteile:– Nur eine registrierte IP-Adresse zur Anbindung mehrerer Endgeräte nötig– Die Rechner im LAN können nicht aus dem Internet direkt adressiert werden
(vergl. Proxy-Funktion)– Häufig enthalten die Geräte auch einfache Firewall-Funktionalität (Paketfilter,
Contentfilter)
• Nachteil:– Um Rechner im LAN von außen zugänglich zu machen, muß der Serviceport
dieses Rechners (z.B. Port 80 für einen WEB-Server) im Gerät statisch einer bestimmten IP-Adresse des LAN zugeordnet werden.
University of Innsbruck / Information Systems 19
Sicherheit im (privaten) DSL- oder KabelrouterSicherheit im (privaten) DSL- oder Kabelrouter
Registrierte Adresseam WAN-Port
Interne Port-Nummer
LAN-IP-Adresse
z.B. 147.20.12.30
50001 192.168.0.10
50002 192.168.0.11
50003 192.168.0.12
… …
• Literatur:– Eckert, C.: IT-Sicherheit : Konzept - Verfahren –
Protokolle, München - Wien, Oldenburg 2005 – Maier, R.; Hädrich, T.; Peinl, R.: Enterprise Knowledge
Infrastructures, Springer, Berlin 2005
• Links:– http://analyze.privacy.net– http://webscan.security-check.ch/test– http://www.tcp-ip-info.de/
University of Innsbruck / Information Systems 20
Zum NachlesenZum Nachlesen