Institut für Wirtschaftsinformatik, Produktionswirtschaft und Logistik Tätigkeitsbereich Wirtschaftsinformatik [email protected]

Institut für Wirtschaftsinformatik,Produktionswirtschaft und Logistik

Tätigkeitsbereich Wirtschaftsinformatik

[email protected]

University of Innsbruck

Information SystemsInformation Systems

Sicherheit im NetzwerkSicherheit im Netzwerk

• Angriffe auf Softwareschwächen– Fehler in Softwareimplementierungen (häufig sog. Pufferüberlauf) können genutzt werden

um Schadroutinen einzuschleusen und auszuführen– Gegenmaßnahmen: Installation aktueller Upgrades, Verwendung von Open-Source-Software

(schnellere Updateverfügbarkeit).

• Angriffe auf konzeptionelle Schwächen der Netzwerkprotokolle– Z.B. Man-in-the-middle-Angriff: Durch Umleiten des Datenverkehrs zwischen zwei Rechnern

(ARP-Spoofing, DNS-Spoofing, DNS-Cache Poisoning, …) über den Rechner des Angreifers kann der Datenverkehr mittels Sniffer-Software mitgehört und ausspioniert werden.

– Besonders gefährdet sind unverschlüsselte Protokolle wie POP3, SMTP, IMAP, Telnet, HTTP– Gegenmaßnahmen: Verschlüsselung der Datenpakete, Paketfilter (Firewalls) die von außen

kommende Pakete mit Quelladressen von innenliegenden Rechnern und ausgehende Datenpakte mit im Intranet nicht verwendeten Quelladressen verwerfen.

• Angriffe auf Dienste– Denial of Service (DoS) und Distributed-DoS (DDoS) -Attacken mit dem Ziel einen Dienst auf

einem Server arbeitsunfähig zu machen.– Gegenmaßnahmen: Intrusion Detection Systeme (IDS) die frühzeitig anhand typischer

Anfragemuster Attacken erkennen, Verantwortliche informieren und im Idealfall auch Gegenmaßnahmen vorschlagen oder sogar einleiten.

• Weitere Angriffsarten– Malware: Computerviren und Würmer, Trojanische Pferde, Dialer, Spyware– Phishing: Umleiten auf gefälschte WEB-Seiten zur Erschleichung von Zugangsdaten– Brute-Force-Attacke: Computergestütztes Durchprobieren von Paßwörtern – Sozial Engineering: Herauslocken/-finden von Zugangsdaten durch Überreden, unter Druck

setzen, Datenrecherche im Internet– Gegenmaßnahmen: Antiviren-Software, Application-Layer-Firewall,

verantwortungsvolle Internetnutzung

University of Innsbruck / Information Systems 2

Potentielle Bedrohungen in Netzwerken Potentielle Bedrohungen in Netzwerken

• Datenverlust:– Wichtige Daten werden absichtlich gelöscht

• Datenmanipulation:– Absichtliche Verfälschung von Daten z.B. in Bilanzen oder

auch in Softwarecodes

• Unbefugter Zugriff:– Unternehmensgeheimnisse gelangen in die Hände Dritter

• Mißbrauch von Ressourcen:– Hard- und Software des Unternehmens werden für fremde

Zwecke mißbraucht, z.B. Versenden von SPAM-Mails …

• Ausfallzeit:– Ständig benötigte Infrastrukturdienste sind nicht erreichbar,

wodurch finanzieller (Produktionsausfall od. –Verzögerung) und auch Imageschaden entstehen kann (z.B. Nichterreichbarkeit einer Webseite)


Auswirkungen von SicherheitslückenAuswirkungen von Sicherheitslücken

• Vertraulichkeit– Nachricht ist vor dem Zugriff durch Dritte geschützt

• Authentizität– Der Sender einer Nachricht ist eindeutig identifizierbar

• Integrität– Die Nachricht blieb auf dem Weg vom Sender zum Empfänger

unverändert

• Verbindlichkeit– Der Sender kann die Urheberschaft der Nachricht nicht leugnen,– Der Empfänger kann den Erhalt der Nachricht nicht abstreiten


Anforderungsprofil „Sichere Kommunikation“Anforderungsprofil „Sichere Kommunikation“

• Technische Maßnahmen– Filterung des Datenverkehrs mittels Firewalltechnologien– Überwachung des Datenverkehrs mittels IDS/IPS-

Technologien (Intrusion Detection/Prevention Systems)– Verschlüsselung des Datenverkehrs (Kryptographie)– Public Key Infrastructure (Zertifikate)– Authentifizierung (z.B. Kerberos-Protokoll)– Proxy (Stellvertreter), NAT und PAT (Network Adress/Port

and Adress Translation)– Virtual Private Network (VPN)

• Organisatorische Maßnahmen– Benutzersensibilisierung– Unternehmensrichtlinien (z.B. Regelm. Passwortänderung, …)– Benutzerschulung


Maßnahmen zur Erreichung von Sicherheit - Maßnahmen zur Erreichung von Sicherheit - ÜberblickÜberblick

• Personal- oder Desktop/Software-Firewalls– Softwareprogramme, die lokal auf dem zu schützenden

Rechner installiert werden um den Datenverkehr zwischen ihm und dem Netzwerk zu dem er gehört zu kontrollieren.

– Beispiele: Windows Firewall (ab XP SP2), ZoneAlarm, Norton Personal Firewall, AtGuard, …

• Netzwerk- oder Enterprise Firewalls– Ein Gerät das den Datenverkehr zwischen mindestens zwei

Netzwerken (oft auch deutlich mehr) kontrolliert.• Kann als Software auf Rechnern implementiert werden (z.B.

Check-Point-Firewall 1, Microsoft ISA Server, IPCop, Endian Firewall, Shorewall, Astaro Security Linux, …),

• oder in Form eigenständiger Hardware („Firewall-Appliance“) die eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software umfasst (z.B. Cisco ASA (früher PIX), WatchGuard FireBox X, Astaro Security Gateway, Qtrust, …)


FirewalltypenFirewalltypen

• Packet-Layer-Firewall (Paketfilterung)– Inspiziert nur Header bis OSI Schicht 4 (Transport-Schicht)– Pakete werden durchgelassen (route) oder verworfen (drop)– Regeln, die über route oder drop entscheiden werden vom Administrator

definiert und basieren auf• Quelle (IP-Adresse und Port des Senders)• Ziel (IP-Adresse und Port des Empfängers)• Verwendetem Protokoll (TCP und/oder UDP, sowie ICMP)• Richtung des Datenstroms (Inbound oder Outbound)

• Stateful Inspection (Zustandsgesteuerte Filterung)– Weiterentwicklung der Packet-Layer-Firewall– Entscheidet auch anhand der Stati aktuell geöffneter Verbindungen, ob ein

Paket verworfen wird. Sinnvoll z.B. für ftp (Port 21 zum Verbindungsaufbau, Port 20 für den Datentransfer)

• Application-Layer-Firewall (Inhaltsfilterung)– Kontrollieret den Datenverkehr bis auf die Anwendungsebene– Content-Filter: Blockierung von z.B. ActiveX und/oder JavaScripts, Sperren

unerwünschter Webseiten über Schlüsselwörter, Sperren von Anwendungsprotokollen (etwa FileSharing)

– Proxy: Baut stellvertretend für die LAN-Clients Verbindungen auf, nach außen ist nur die IP-Adresse des Proxys sichtbar

– Web Application Firewall (WAF): Prüft Daten die via WEB-Browser an Anwendungen geschickt werden. Schutz gegen die Einschleusung gefährlichen Codes durch Techniken wie SQL-Injection, Cross Site Scripting, CommandExe, Parameter Tampering, …


FirewalltechnologienFirewalltechnologien

• Ergänzen die Leistungen von Firewalls zur Erhöhung der Sicherheit von Netzwerken.

• Es gibt die Typen Host-basierte IDS (HIDS), Netzwerk-basierte IDS (NIDS) und Hybride IDS.

• Technisch gesehen verwenden IDS sogenannte Sensoren die Host-Logdaten (HIDS) oder Daten aus dem Netzwerkverkehr (NIDS) sammeln – und mit Mustern bekannter Angriffe, sog. Signaturen, vergleichen, die

in Datenbanken gespeichert werden.• Nachteil: Nur bereits bekannte Angriffstypen werden erkannt

– oder durch heuristische Methoden versuchen, auch bisher unbekannte Angriffe zu erkennen

• Nachteil: Häufigere Fehlalarmierungen

• Bei Erkennung eines potentiell gefährlichen Musters erfolgt – die Verständigung eines Verantwortlich (IDS),– die Einleitung von Gegenmaßnahmen, etwa Sperrung oder Isolierung

des vermeintlichen Eindringlings z.B. durch Aktivierung von IPS-Regeln auf einer Firewall (IPS - Intrusion Prevention System)

• Absolute Sicherheit ist durch keine Technologie gewährleistet!


Intrusion Detection (and Prevention) SystemeIntrusion Detection (and Prevention) Systeme


Abgrenzung Internet und IntranetAbgrenzung Internet und Intranet

Web-Server Appl.-Server Proprietäres Netzwerk

(HOST, Datenbanken)

Firewall

Unternehmensteile (Filiale)

Partner-Unternehmen

Kunden

Intranet

Firewall/IPS

Web-Server

InternetDMZ/Extranet

DMZ = DeMilitarized Zone

Web-Browser Arbeitsplatz

Mail-Server

RAS/VPN-Server

• Symmetrische Verschlüsselungssysteme (wenig rechenintensiv)

– Für die Verschlüsselung und die Entschlüsselung der Daten wird derselbe Schlüssel verwendet

– Beispiele: DES, 3DES (Tripple DES), AES-Rijndael, Twofish, …– Problem: Da alle Kommunikationspartner denselben Schlüssel verwenden, muß

dieser irgendwie übertragen werden!– Typische Schlüssellängen: 56 oder 128 Bit

• Asymmetrische Verfahren (rechenintensiv)

– Es gibt ein Schlüsselpaar: Public Key und Private Key• Zur Verschlüsselung kann nur der Public Key des Empfängers, zur Entschlüsselung kann

nur der Private Key des Empfängers eingesetzt werden• Zur digitalen Signierung kann nur der private Key des Senders, zur Prüfung der

digitalen Signatur nur der Public Key des Senders verwendet werden• Der Private Key muß geheim bleiben, der Public Key ist öffentlich zugänglich

=> Notwendigkeit einer Public-Key-Infrastruktur

– Beispiel: RSA (Rivest, Shamir und Adelman)– Typische Schlüssellängen: 512, 1024, 2048 Bit

• Hybride Verfahren– Setzen Asymmetrische Verfahren zur Übertragung eines gemeinsamen

Schlüssels für eine symmetrische Verschlüsselung ein. – Der gemeinsame Schlüssel wird nur für eine Verbindung zur

Ver-/Entschlüsselung der Daten verwendet („Session Key“).– Der Aufwand für Ver- und Entschlüsselung sowie zum Knacken eines Schlüssels

ist abhängig vom Verschlüsselungsverfahren und der Schlüssellänge


VerschlüsselungVerschlüsselung

• Beim Versenden von Nachrichten kann entweder die Nachricht oder der Übertragungsweg verschlüsselt werden

• Nachrichtenverschlüsselung am Beispiel Pretty Good Privacy:– PGP dient dem Verschlüsseln von Email-Nachrichten mit

asymmetrischen Verschlüsselungstechniken– Da Emails ohne direkte Verbindung vom Sender zum Empfänger

verschickt werden, sondern über mehrere Zwischenstationen weitergeleitet werden ist keine Kanalverschlüsselung möglich

• Kanalverschlüsselung am Beispiel TLS/SSL:– TLS: Transport Layer Security, SSL: Secure Sockets Layer. – TLS/SSL wird als Protokoll zwischen Transportschicht (TCP) und

Anwendungsschicht eingefügt um ungesicherten Anwendungsprotokollen wie HTTP, POP3, SMTP, FTP mehr Sicherheit zu ermöglichen

• HTTP + TLS/SSL = HTTPS

– Im Internet weit verbreitet zur Absicherung von Transaktionen im Online Banking und Online Shopping

– Details siehe: http://de.wikipedia.org/w/index.php?title=Transport_Layer_Security


Nachrichten- und KanalverschlüsselungNachrichten- und Kanalverschlüsselung

• In asymmetrischen Verschlüsselungsverfahren werden digitale Zertifikate verwendet um die Authentizität eines öffentlichen Schlüssels und seinen zulässigen Anwendungs- und Geltungsbereich zu bestätigen.

• Eine Zertifizierungsstelle (Certificate Authority, CA) stellt digitale Zertifikate aus, die bescheinigen, daß der öffentliche Schlüssel der angegebenen Person od. Institution gehört (entspricht einem Personalausweis)– Bekannte CA‘s: Entrust, CyberTrust, RSA Security, Verisign

• Dadurch, daß man der Glaubwürdigkeit der CA vertraut, vertraut man auch der Echtheit des Zertifikats

• Zertifikatssperrlisten (Certificate Revocation Lists) enthalten Zertifikate die vor Ablauf der Gültigkeit zurückgezogen wurden

• Eine CA kann auch andere CA‘s autorisieren Zertifikate auszustellen

• Alternativer Ansatz Web of Trust: Glaubt ein Benutzer an die Authentizität eines öffentlichen Schlüssels, kann er selber ein Zertifikat erstellen, indem er diesen Schlüssel signiert. Andere Benutzer können entscheiden ob sie diesem Zertifikat vertrauen oder nicht.

– Wird z.B. in der Software PGP („Pretty Good Privacy“) verwendet

Details: http://www.pki-page.org


Public Key Infrastruktur (PKI)Public Key Infrastruktur (PKI)


Übertragung einer signierten und verschlüsselten E-MailÜbertragung einer signierten und verschlüsselten E-Mail

Nachricht

public keyBob

private keyAlice

private keyBob

public keyAlice

Verschlüsselung

Nachricht

Signatur

ÜbermittlungungesicherterÜbertragungskanal

0&§(1§/=1 0&§(1§/=1

Nachricht

Vergleich

Nachricht

Entschlüsselung

Alice(Absender)

Bob(Empfänger)

Nachricht ist unverändert

und von Alice

Praktische Anwendung von VerschlüsselungstechnikPraktische Anwendung von Verschlüsselungstechnik


Aufgaben einer Zertifizierungsstelle (CA)Aufgaben einer Zertifizierungsstelle (CA)

5 Nachricht versenden

HPHP

Alice(Absender)

Bob(Empfänger)

1 Zertifikat beantragen

2 Zertifikat ausstellen

4 Nachricht schreibenund signieren

7 Signatur überprüfen

8 Zertifikat überprüfen

6 Zertifikat downloaden

RevocationList

- ………….- ………….

3b Zertifikat mit public key veröffentlichen

3a private keysicher verwahren

Zertifizierungsstelle

Nachricht ist unverändert

und von Alice

Zertifikat ist gültig und nicht

widerrufen

• Ziel beider Verfahren: – Vertraulicher Datenaustausch über ein öffentliches Netzwerk (z.B. das Internet)

• Remote Access System (RAS):– Zugang zum Firmennetz per Direkteinwahl– Z.B. Mobile Mitarbeiter via Modem/Telefonleitung

• Ein VPN ist ein virtuelles Kommunikationsnetzwerk das sogenannte Tunnel (=verschlüsselte Übertragungskanäle) verwendet.

– Dazu werden die ursprünglichen Datenpakete (meist verschlüsselt) in ein VPN-Protokoll verpackt, separat adressiert und übertragen (entsprechend dem verwendeten Übertragungsnetz), am Endpunkt wieder entpackt (entschlüsselt) und unter Nutzung der privaten Netzwerkinfrastruktur zum Ziel weitergeleitet.

– Mit VPN können• über VPN-Gateways permanent entfernte LANs verbunden werden (Site-to-Site)• über VPN-Client-Software beim Endbenutzer und VPN-Gateway-Software im Firmen-LAN

einzelne entfernte Mitarbeiter temporär an das LAN angebunden werden (End-to-Site)

– Häufig eingesetzte Tunneling Protokolle sind:• IPSec (IP Security Protocol)• PPTP (Point To Point Tunneling Protocoll)• L2F (Layer 2 Forwarding)• L2TP (Layer 2 Tunneling Protocoll)• Neuerdings auch TLS/SSL


Remote Access und Virtual Private Network (VPN)Remote Access und Virtual Private Network (VPN)


Funktionsweise von VPNFunktionsweise von VPN

Quelle: http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm


IPSec PPTP L2F L2TP

Protokoll-Ebene 3 2 2 2

Standardisiert Ja Nein Nein Ja

Benutzerauthentifizierung Ja Ja Ja Ja

Paketauthentifizierung Ja Nein Nein Nein

Datenverschlüsselung Ja Ja Nein Nein

Schlüsselmanagement Ja (IKE) Nein n/a n/a

QoS Ja Nein Nein Nein

Andere Protokolle (neben IP) tunnelbar Nein Ja Ja Ja

End-To-End-Security Ja Ja Nein Nein

Funktionalität wichtiger VPN-TunnelingprotokolleFunktionalität wichtiger VPN-Tunnelingprotokolle

Quelle: http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm

authenticated

encrypted

IP Payload

IP Payload

PPTP Payload

TCP/IP Packets of the Internet

IP Header

VPN IP Header IP Payload

Encapsulating Security Payload

IP Payload

ESP Header

IP Header

HMAC

VPN IP Header

TCP Header

TCP Payload

PPTP Header

TCP/IP Packets of the Internet

IPsecVPN TCP Header TCP Payload

emulated IP

TCP Header

TCP Payload

PPTP: IPSec:

• Gefahrenpotentiale für ungesicherte Wireless-Netze:– Da die per Funk übertragenen Datenpakete jeder mithören kann ist ein illegales

Mitverwenden des Internetzugangs mit den Möglichkeiten• Massenversand von Spam, Ausführen von z.B. DoS Attacken,• sowie ein Ausspähen persönlicher Daten (Login-Informationen, Passwörter) mit allen

Konsequenzen der (illegalen) Verwendung dieser Daten möglich.

• Vorbeugungsmaßnahmen– Im Verwaltungstool des AccessPoint/WLAN-Routers sollten die Administrations-

Standardpasswörter geändert und die Fernkonfiguration deaktiviert werden.– Firmware und Software der Gerätes sollten regelmäßig aktualisiert werden.– Service Set Identifier (SSID) sollte sinnvoll geändert werden (sollte keine

Rückschlüsse auf Hardware, Einsatzzweck oder –Ort zulassen).– Ev. sollte das Broadcast der SSID deaktiviert werden

• Geringer Schutz, kann mittels Sniffer beim Anmelden trotzdem ausgelesen werden

– MAC-Filter setzen und DHCP-Adressvergabe nur für registrierte MAC-Adressen• Geringer Schutz MAC-Adressen können ausgelesen und leicht geändert werden

– Die bestmögliche Verschlüsselungstechnik in Verbindung mit möglichst sicheren Pre-Shared-Keys („pass phrase“) einsetzen

• Schlecht: WEP (Wired Equivalent Privacy), arbeitet mit RC4 Stromchiffre – durch Analyse von einigen 10.000 Datenpaketen innerhalb von Minuten entschlüsselbar

• Besser: WPA (Wi-Fi Protected Access) welches zusätzlichen Schutz durch dynamische Schlüssel (Temporal Key Integrity Protocol TKIP) und Benutzerauthentifizierung durch PreShared Keys (PSK) oder Extensible Authentication Protocol (EAP) bietet

• Am besten: WPA2 (Wi-Fi Protected Access 2) welches den Advanced Encryption Standard (AES) anstelle von RC4 verwendet und alle Vorteile von WPA enthält


Sicherheit im (privaten) Wireless-LANSicherheit im (privaten) Wireless-LAN

• Neuere Geräte enthalten die Funktion IP-Masquerading, manchmal auch Port-Adress-Translation (PAT) oder 1-to-n-NAT bezeichnet:

– Verwenden nur eine registrierte IP-Adresse am WAN-Port und bilden die privaten IP-Adressen an den LAN-Ports über eine interne Zuordnungstabelle auf diese eine IP-Adresse ab:

• Vorteile:– Nur eine registrierte IP-Adresse zur Anbindung mehrerer Endgeräte nötig– Die Rechner im LAN können nicht aus dem Internet direkt adressiert werden

(vergl. Proxy-Funktion)– Häufig enthalten die Geräte auch einfache Firewall-Funktionalität (Paketfilter,

Contentfilter)

• Nachteil:– Um Rechner im LAN von außen zugänglich zu machen, muß der Serviceport

dieses Rechners (z.B. Port 80 für einen WEB-Server) im Gerät statisch einer bestimmten IP-Adresse des LAN zugeordnet werden.


Sicherheit im (privaten) DSL- oder KabelrouterSicherheit im (privaten) DSL- oder Kabelrouter

Registrierte Adresseam WAN-Port

Interne Port-Nummer

LAN-IP-Adresse

z.B. 147.20.12.30

50001 192.168.0.10

50002 192.168.0.11

50003 192.168.0.12

… …

• Literatur:– Eckert, C.: IT-Sicherheit : Konzept - Verfahren –

Protokolle, München - Wien, Oldenburg 2005 – Maier, R.; Hädrich, T.; Peinl, R.: Enterprise Knowledge

Infrastructures, Springer, Berlin 2005

• Links:– http://analyze.privacy.net– http://webscan.security-check.ch/test– http://www.tcp-ip-info.de/


Zum NachlesenZum Nachlesen

Documents

Institut für Wirtschaftsinformatik, Produktionswirtschaft und Logistik Tätigkeitsbereich Wirtschaftsinformatik [email protected]