Vertrauen als wichtige Ressource, Ziel eines Sicherheitsdienstes ZISC"> Vertrauen als wichtige Ressource, Ziel eines Sicherheitsdienstes ZISC">

Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Motivation Bedrohungen Fundamentale Anforderungen Modelle

Veröffentlicht von:Ottokar Wemhoff Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Motivation Bedrohungen Fundamentale Anforderungen Modelle"—  Präsentation transkript:

1 Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte
Motivation Bedrohungen Fundamentale Anforderungen Modelle Schwachstellen in IT-Systemen Einige Fallbeispiele

2 Warum ist Sicherheit überhaupt ein Thema?
Verteilte Informatiksysteme sind kritische Ressourcen Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet!) Neue Formen der "grenzüberschreitenden" Kooperation: , Informationssysteme, Desktop-Conferencing Offene Systeme Daraus folgt: Erhöhung des Angriffs- und Schadenpotentials Physische Sicherheit kann nicht mehr gewährleistet werden. Wem vertraue ich, wem nicht? -> Vertrauen als wichtige Ressource, Ziel eines Sicherheitsdienstes ZISC

3 Bedrohungen Bedrohungen zufälliger Art: Stromausfall Benutzerfehler
Systemfehler (Software, Hardware, Übertragungsfehler) gezielte Bedrohungen: „Hacker“ Die Kreativen „script kiddies“ kriminelle Einzeltäter Elektr. Bankraub Insider kriminelle Organisationen Behörden Motivation der Angreifer: Neugierde, Kick Gesteigertes Selbstwertgefühl Mitläufertum, Protesthaltung Kriminielle Bereicherung Racheakte Unterstützung oder Vorbereitung von illegalen Geschäften Geheimdienstliche Tätigkeit Militärisch Wirtschaftlich Verdeckte Ermittlung

4 Was kann ein Angreifer tun?
Mithören Nachrichten senden Oft mit einem nicht authentischen Absender (IP-Adresse, -Adresse) Aufgefangene Nachrichten unverändert noch einmal senden Aufgefangene Nachrichten verändern und absenden Code mit speziellen Eigenschaften erzeugen Viren: Modifizieren Funktion eines „Wirtsprogramms“ Würmer: Verwenden eine Sicherheitslücke und ein Transportmittel, um sich fortzupflanzen Trojanische Pferde: Fremder Code wird eingeschleust und von unbedarften Benutzern oder Programmen ausgeführt

5 Gegenüber einem Kommunikationspartner (Mensch, IT-System, Prozess) eine falsche Identität annehmen
Zugangsrechte erwerben, auf die er keinen Anspruch hat Bewusst kritische Systemressourcen überbeanspruchen (Speicher, CPU, Kommunikationskanäle, Datenstrukturen, ...)

6 Fundamentale Anforderungen
Verfügbarkeit Authentizität und Integrität von Information Benutzer Hardware Software Vertraulichkeit Beweisbarkeit von Vorgängen gegenüber Dritten Überwachung des Zugriffs zu Ressourcen Feststellen des ordnungsgemässen Funktionieren eines Systems

7 Modell I: Sichere Kommunikation über einen unsicheren Kanal
Angreifer hat vollen Zugriff auf den Kanal kennt Mechanismen/Protokolle Nachricht Nachricht Sicherheits- transfor- mation Sicherheits- transfor- mation-1 Kanal Schlüssel 1 Schlüssel 2 Sender Empfänger

8 Modell II: Schutz durch Zugangskontrolle
Informatiksystem (Speicher, Prozessor, Ein/Ausgabe) Netz Anwendung Software-Bibliothek Berechtigter Benutzer Angreifer Zugangs- kontrolle Lokale Sicherheits- massnahmen intrusion detection, event logging, access control

9 Konkrete Beispiele von Sicherheitsproblemen („Incidents“)

10 IEEE b Wireless LAN IEEE b: Coole Wireless LAN-Loesung für Mobilitätsfreaks Problem: Wireless Link kann von jedermann mitgehört werden Bericht des Kassensturz (CH), ca. Frühjahr 2001 Lösungsansätze Verschlüsselungsfunktion von IEEE b verwenden („Wired Equivalent Privacy“, WEP) Praktikabilität? Sicherheit von WEP ist ungenügend, siehe  Ende-zu-Ende Verschlüsselung notwendig

11 Echelon Systematische Beobachtung internationaler elektronischer Kommunikation HF Radio Mikrowellenkommunikation Unterseekabel Satellitenkommunikation Analyse der aufgefangenen Signale Dekodierung nach Typ (Sprache, , Fax, Telex, etc.) Suche nach Schlüsselwörtern (Watch List) Sprechererkennung (Spracherkennung technisch noch schwierig) Verkehrsanalyse Verwendungszwecke: Militärisch, Strafverfolgung, Wirtschaftsspionage

12

13

14 USS Halibut, 1971 und 1972

15 Zwei recherchierte Fälle
Thomson CSF and Brazil, 1994: $1.3 billion surveillance system for the Amazon rain forest Raytheon gewinnt schliesslich gegen Thomson CSF Raytheon ist Dienstleister der NSA für Echelon‘s Satellitennetz "the Department of Commerce worked very hard in support of U.S.industry on this project". Airbus Industrie and Saudi Arabia „ ... from a commercial communications satellite,NSA lifted all the faxes and phone calls between the European consortium Airbus,the Saudi national airline and the Saudi government.“ Boeing gewinnt schliesslich den Auftrag über US$ 6 Mia

16 Distributed Denial of Service Attack (DDoS)
Mehrstufige Attacke Angriff auf einige 10 schwach geschützte Rechner Installation von DDos Software auf diesen Rechnern Konzertierte Denial of Service Attacke (TCP SYN, ICMP oder UDP Flooding) auf eigentliche Zielsysteme Beispiele: ETH Zürich, Univ. Zürich, Dezember 1999 Yahoo, e-Bay, Amazon, etc. Februar 2000 s. auch:  „Tribe Flood Network“ (TFN), Code Red, Nimda

17 Aufzeichnung auf meinem privaten PC
•Aufzeichnungen vom letzten Sonntag auf meinem privaten Rechner, der ständig am Internet angeschlossen ist (via Kabel-TV-Internet Service) •Mein Rechner hat keinen Web-Server, ist in keinem Verzeichnis oder einer Suchmaschine eingetragen, trotzdem scheint er für verschiedenste andere Rechner interessant zu sein. •Wie kommt das? •Tatsächlich handelt es sich bei diesen Vorgängen um Vorbereitungen für verteilte Angriffe auf Ressourcen im Internet, sog. Distributed Denial of Service (DDoS) Attacken.

18

Herunterladen ppt "Motivation Bedrohungen Fundamentale Anforderungen Modelle"

Ähnliche Präsentationen

E-Mail.

.
Was kann ich tun um mein System zu verbessern?

Was kann ich tun um mein System zu verbessern?
Sicherheit in Netzwerken

Sicherheit in Netzwerken
Surfen im Internet.

Surfen im Internet.
Perlen der Informatik III Anwendungen

Perlen der Informatik III Anwendungen
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen 22.-24.4.2004 TU Wien/Ausseninstitut.

- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen TU Wien/Ausseninstitut.
Firewalls.

Firewalls.
Eigenschaften und Pflichten vertrauenswürdiger digitaler Archive

Eigenschaften und Pflichten vertrauenswürdiger digitaler Archive
7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Gefährdung durch Viren

Gefährdung durch Viren
Computerkriminalität, Datenschutz, Datensicherheit

Computerkriminalität, Datenschutz, Datensicherheit
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
“Das ISO / OSI - Referenzmodell“

“Das ISO / OSI - Referenzmodell“
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
Virtual Private Networks

Virtual Private Networks
Sicherheit in drahtlosen Netzen

Sicherheit in drahtlosen Netzen
Copyright ©2004 by NetUSE AG Seite: 1 Autor: Martin Seeger NUBIT 2005 IT-Security in der Praxis Martin Seeger NetUSE AG

Copyright ©2004 by NetUSE AG Seite: 1 Autor: Martin Seeger NUBIT 2005 IT-Security in der Praxis Martin Seeger NetUSE AG

Ähnliche Präsentationen

Google-Anzeigen