Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit im Netzwerk

Veröffentlicht von:Senta Landmesser Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sicherheit im Netzwerk"—  Präsentation transkript:

1 Sicherheit im Netzwerk
1

2 Potentielle Bedrohungen in Netzwerken
Angriffe auf Softwareschwächen Fehler in Softwareimplementierungen (häufig sog. Pufferüberlauf) können genutzt werden um Schadroutinen einzuschleusen und auszuführen Gegenmaßnahmen: Installation aktueller Upgrades, Verwendung von Open-Source-Software (schnellere Updateverfügbarkeit). Angriffe auf konzeptionelle Schwächen der Netzwerkprotokolle Z.B. Man-in-the-middle-Angriff: Durch Umleiten des Datenverkehrs zwischen zwei Rechnern (ARP-Spoofing, DNS-Spoofing, DNS-Cache Poisoning, …) über den Rechner des Angreifers kann der Datenverkehr mittels Sniffer-Software mitgehört und ausspioniert werden. Besonders gefährdet sind unverschlüsselte Protokolle wie POP3, SMTP, IMAP, Telnet, HTTP Gegenmaßnahmen: Verschlüsselung der Datenpakete, Paketfilter (Firewalls) die von außen kommende Pakete mit Quelladressen von innenliegenden Rechnern und ausgehende Datenpakte mit im Intranet nicht verwendeten Quelladressen verwerfen. Angriffe auf Dienste Denial of Service (DoS) und Distributed-DoS (DDoS) -Attacken mit dem Ziel einen Dienst auf einem Server arbeitsunfähig zu machen. Gegenmaßnahmen: Intrusion Detection Systeme (IDS) die frühzeitig anhand typischer Anfragemuster Attacken erkennen, Verantwortliche informieren und im Idealfall auch Gegenmaßnahmen vorschlagen oder sogar einleiten. Weitere Angriffsarten Malware: Computerviren und Würmer, Trojanische Pferde, Dialer, Spyware Phishing: Umleiten auf gefälschte WEB-Seiten zur Erschleichung von Zugangsdaten Brute-Force-Attacke: Computergestütztes Durchprobieren von Paßwörtern Sozial Engineering: Herauslocken/-finden von Zugangsdaten durch Überreden, unter Druck setzen, Datenrecherche im Internet Gegenmaßnahmen: Antiviren-Software, Application-Layer-Firewall, verantwortungsvolle Internetnutzung University of Innsbruck / Information Systems 2

3 Auswirkungen von Sicherheitslücken
Datenverlust: Wichtige Daten werden absichtlich gelöscht Datenmanipulation: Absichtliche Verfälschung von Daten z.B. in Bilanzen oder auch in Softwarecodes Unbefugter Zugriff: Unternehmensgeheimnisse gelangen in die Hände Dritter Mißbrauch von Ressourcen: Hard- und Software des Unternehmens werden für fremde Zwecke mißbraucht, z.B. Versenden von SPAM-Mails … Ausfallzeit: Ständig benötigte Infrastrukturdienste sind nicht erreichbar, wodurch finanzieller (Produktionsausfall od. –Verzögerung) und auch Imageschaden entstehen kann (z.B. Nichterreichbarkeit einer Webseite) University of Innsbruck / Information Systems 3

4 Anforderungsprofil „Sichere Kommunikation“
Vertraulichkeit Nachricht ist vor dem Zugriff durch Dritte geschützt Authentizität Der Sender einer Nachricht ist eindeutig identifizierbar Integrität Die Nachricht blieb auf dem Weg vom Sender zum Empfänger unverändert Verbindlichkeit Der Sender kann die Urheberschaft der Nachricht nicht leugnen, Der Empfänger kann den Erhalt der Nachricht nicht abstreiten University of Innsbruck / Information Systems 4

5 Maßnahmen zur Erreichung von Sicherheit - Überblick
Technische Maßnahmen Filterung des Datenverkehrs mittels Firewalltechnologien Überwachung des Datenverkehrs mittels IDS/IPS- Technologien (Intrusion Detection/Prevention Systems)‏ Verschlüsselung des Datenverkehrs (Kryptographie)‏ Public Key Infrastructure (Zertifikate)‏ Authentifizierung (z.B. Kerberos-Protokoll)‏ Proxy (Stellvertreter), NAT und PAT (Network Adress/Port and Adress Translation)‏ Virtual Private Network (VPN)‏ Organisatorische Maßnahmen Benutzersensibilisierung Unternehmensrichtlinien (z.B. Regelm. Passwortänderung, …)‏ Benutzerschulung University of Innsbruck / Information Systems 5

6 Personal- oder Desktop/Software-Firewalls
Firewalltypen Personal- oder Desktop/Software-Firewalls Softwareprogramme, die lokal auf dem zu schützenden Rechner installiert werden um den Datenverkehr zwischen ihm und dem Netzwerk zu dem er gehört zu kontrollieren. Beispiele: Windows Firewall (ab XP SP2), ZoneAlarm, Norton Personal Firewall, AtGuard, … Netzwerk- oder Enterprise Firewalls Ein Gerät das den Datenverkehr zwischen mindestens zwei Netzwerken (oft auch deutlich mehr) kontrolliert. Kann als Software auf Rechnern implementiert werden (z.B. Check-Point-Firewall 1, Microsoft ISA Server, IPCop, Endian Firewall, Shorewall, Astaro Security Linux, …), oder in Form eigenständiger Hardware („Firewall-Appliance“) die eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software umfasst (z.B. Cisco ASA (früher PIX), WatchGuard FireBox X, Astaro Security Gateway, Qtrust, …)‏ University of Innsbruck / Information Systems 6

7 Firewalltechnologien
Packet-Layer-Firewall (Paketfilterung)‏ Inspiziert nur Header bis OSI Schicht 4 (Transport-Schicht)‏ Pakete werden durchgelassen (route) oder verworfen (drop)‏ Regeln, die über route oder drop entscheiden werden vom Administrator definiert und basieren auf Quelle (IP-Adresse und Port des Senders)‏ Ziel (IP-Adresse und Port des Empfängers)‏ Verwendetem Protokoll (TCP und/oder UDP, sowie ICMP)‏ Richtung des Datenstroms (Inbound oder Outbound)‏ Stateful Inspection (Zustandsgesteuerte Filterung)‏ Weiterentwicklung der Packet-Layer-Firewall Entscheidet auch anhand der Stati aktuell geöffneter Verbindungen, ob ein Paket verworfen wird. Sinnvoll z.B. für ftp (Port 21 zum Verbindungsaufbau, Port 20 für den Datentransfer)‏ Application-Layer-Firewall (Inhaltsfilterung)‏ Kontrollieret den Datenverkehr bis auf die Anwendungsebene Content-Filter: Blockierung von z.B. ActiveX und/oder JavaScripts, Sperren unerwünschter Webseiten über Schlüsselwörter, Sperren von Anwendungsprotokollen (etwa FileSharing)‏ Proxy: Baut stellvertretend für die LAN-Clients Verbindungen auf, nach außen ist nur die IP-Adresse des Proxys sichtbar Web Application Firewall (WAF): Prüft Daten die via WEB-Browser an Anwendungen geschickt werden. Schutz gegen die Einschleusung gefährlichen Codes durch Techniken wie SQL-Injection, Cross Site Scripting, CommandExe, Parameter Tampering, … University of Innsbruck / Information Systems 7

8 Intrusion Detection (and Prevention) Systeme
Ergänzen die Leistungen von Firewalls zur Erhöhung der Sicherheit von Netzwerken. Es gibt die Typen Host-basierte IDS (HIDS), Netzwerk-basierte IDS (NIDS) und Hybride IDS. Technisch gesehen verwenden IDS sogenannte Sensoren die Host-Logdaten (HIDS) oder Daten aus dem Netzwerkverkehr (NIDS) sammeln und mit Mustern bekannter Angriffe, sog. Signaturen, vergleichen, die in Datenbanken gespeichert werden. Nachteil: Nur bereits bekannte Angriffstypen werden erkannt oder durch heuristische Methoden versuchen, auch bisher unbekannte Angriffe zu erkennen Nachteil: Häufigere Fehlalarmierungen Bei Erkennung eines potentiell gefährlichen Musters erfolgt die Verständigung eines Verantwortlich (IDS), die Einleitung von Gegenmaßnahmen, etwa Sperrung oder Isolierung des vermeintlichen Eindringlings z.B. durch Aktivierung von IPS- Regeln auf einer Firewall (IPS - Intrusion Prevention System)‏ Absolute Sicherheit ist durch keine Technologie gewährleistet! University of Innsbruck / Information Systems 8

9 Unternehmensteile (Filiale)‏
Abgrenzung Internet und Intranet DMZ = DeMilitarized Zone Intranet DMZ/ Extranet Internet Web-Server Unternehmensteile (Filiale)‏ Web-Browser Arbeitsplatz Partner- Unternehmen Firewall Firewall/IPS Web-Server Mail-Server Appl.-Server Proprietäres Netzwerk (HOST, Datenbanken)‏ Kunden RAS/VPN-Server University of Innsbruck / Information Systems 9

10 Verschlüsselung Symmetrische Verschlüsselungssysteme (wenig rechenintensiv)‏ Für die Verschlüsselung und die Entschlüsselung der Daten wird derselbe Schlüssel verwendet Beispiele: DES, 3DES (Tripple DES), AES-Rijndael, Twofish, … Problem: Da alle Kommunikationspartner denselben Schlüssel verwenden, muß dieser irgendwie übertragen werden! Typische Schlüssellängen: 56 oder 128 Bit Asymmetrische Verfahren (rechenintensiv)‏ Es gibt ein Schlüsselpaar: Public Key und Private Key Zur Verschlüsselung kann nur der Public Key des Empfängers, zur Entschlüsselung kann nur der Private Key des Empfängers eingesetzt werden Zur digitalen Signierung kann nur der private Key des Senders, zur Prüfung der digitalen Signatur nur der Public Key des Senders verwendet werden Der Private Key muß geheim bleiben, der Public Key ist öffentlich zugänglich => Notwendigkeit einer Public-Key-Infrastruktur Beispiel: RSA (Rivest, Shamir und Adelman)‏ Typische Schlüssellängen: 512, 1024, 2048 Bit Hybride Verfahren Setzen Asymmetrische Verfahren zur Übertragung eines gemeinsamen Schlüssels für eine symmetrische Verschlüsselung ein. Der gemeinsame Schlüssel wird nur für eine Verbindung zur Ver- /Entschlüsselung der Daten verwendet („Session Key“). Der Aufwand für Ver- und Entschlüsselung sowie zum Knacken eines Schlüssels ist abhängig vom Verschlüsselungsverfahren und der Schlüssellänge University of Innsbruck / Information Systems 10

11 Nachrichten- und Kanalverschlüsselung
Beim Versenden von Nachrichten kann entweder die Nachricht oder der Übertragungsweg verschlüsselt werden Nachrichtenverschlüsselung am Beispiel Pretty Good Privacy: PGP dient dem Verschlüsseln von -Nachrichten mit asymmetrischen Verschlüsselungstechniken Da s ohne direkte Verbindung vom Sender zum Empfänger verschickt werden, sondern über mehrere Zwischenstationen weitergeleitet werden ist keine Kanalverschlüsselung möglich Kanalverschlüsselung am Beispiel TLS/SSL: TLS: Transport Layer Security, SSL: Secure Sockets Layer. TLS/SSL wird als Protokoll zwischen Transportschicht (TCP) und Anwendungsschicht eingefügt um ungesicherten Anwendungsprotokollen wie HTTP, POP3, SMTP, FTP mehr Sicherheit zu ermöglichen HTTP + TLS/SSL = HTTPS Im Internet weit verbreitet zur Absicherung von Transaktionen im Online Banking und Online Shopping Details siehe: University of Innsbruck / Information Systems 11

12 Public Key Infrastruktur (PKI)‏
In asymmetrischen Verschlüsselungsverfahren werden digitale Zertifikate verwendet um die Authentizität eines öffentlichen Schlüssels und seinen zulässigen Anwendungs- und Geltungsbereich zu bestätigen. Eine Zertifizierungsstelle (Certificate Authority, CA) stellt digitale Zertifikate aus, die bescheinigen, daß der öffentliche Schlüssel der angegebenen Person od. Institution gehört (entspricht einem Personalausweis)‏ Bekannte CA‘s: Entrust, CyberTrust, RSA Security, Verisign Dadurch, daß man der Glaubwürdigkeit der CA vertraut, vertraut man auch der Echtheit des Zertifikats Zertifikatssperrlisten (Certificate Revocation Lists) enthalten Zertifikate die vor Ablauf der Gültigkeit zurückgezogen wurden Eine CA kann auch andere CA‘s autorisieren Zertifikate auszustellen Alternativer Ansatz Web of Trust: Glaubt ein Benutzer an die Authentizität eines öffentlichen Schlüssels, kann er selber ein Zertifikat erstellen, indem er diesen Schlüssel signiert. Andere Benutzer können entscheiden ob sie diesem Zertifikat vertrauen oder nicht. Wird z.B. in der Software PGP („Pretty Good Privacy“) verwendet Details: University of Innsbruck / Information Systems 12

13 Nachricht ist unverändert und von Alice
Praktische Anwendung von Verschlüsselungstechnik Alice (Absender)‏ Bob (Empfänger)‏ Nachricht ist unverändert und von Alice Nachricht Nachricht private key Alice Signatur Vergleich public key Alice Nachricht Nachricht public key Bob Verschlüsselung Entschlüsselung private key Bob Übermittlung ungesicherter Übertragungskanal 0&§(1§/=1 0&§(1§/=1 Übertragung einer signierten und verschlüsselten University of Innsbruck / Information Systems 13

14 Zertifizierungsstelle
Aufgaben einer Zertifizierungsstelle (CA)‏ Zertifizierungsstelle Revocation List - …………. 1 Zertifikat beantragen 8 Zertifikat überprüfen 2 Zertifikat ausstellen Alice (Absender)‏ Bob (Empfänger)‏ Zertifikat ist gültig und nicht widerrufen 3a private key sicher verwahren 3b Zertifikat mit public key veröffentlichen HP 6 Zertifikat downloaden Nachricht ist unverändert und von Alice 7 Signatur überprüfen 4 Nachricht schreiben und signieren 5 Nachricht versenden University of Innsbruck / Information Systems 14

15 Remote Access und Virtual Private Network (VPN)‏
Ziel beider Verfahren: Vertraulicher Datenaustausch über ein öffentliches Netzwerk (z.B. das Internet)‏ Remote Access System (RAS): Zugang zum Firmennetz per Direkteinwahl Z.B. Mobile Mitarbeiter via Modem/Telefonleitung Ein VPN ist ein virtuelles Kommunikationsnetzwerk das sogenannte Tunnel (=verschlüsselte Übertragungskanäle) verwendet. Dazu werden die ursprünglichen Datenpakete (meist verschlüsselt) in ein VPN- Protokoll verpackt, separat adressiert und übertragen (entsprechend dem verwendeten Übertragungsnetz), am Endpunkt wieder entpackt (entschlüsselt) und unter Nutzung der privaten Netzwerkinfrastruktur zum Ziel weitergeleitet. Mit VPN können über VPN-Gateways permanent entfernte LANs verbunden werden (Site-to-Site)‏ über VPN-Client-Software beim Endbenutzer und VPN-Gateway-Software im Firmen- LAN einzelne entfernte Mitarbeiter temporär an das LAN angebunden werden (End-to- Site)‏ Häufig eingesetzte Tunneling Protokolle sind: IPSec (IP Security Protocol)‏ PPTP (Point To Point Tunneling Protocoll)‏ L2F (Layer 2 Forwarding)‏ L2TP (Layer 2 Tunneling Protocoll)‏ Neuerdings auch TLS/SSL University of Innsbruck / Information Systems 15

16 Funktionsweise von VPN
Quelle: University of Innsbruck / Information Systems 16

17 Funktionalität wichtiger VPN-Tunnelingprotokolle
IPSec PPTP L2F L2TP Protokoll-Ebene 3 2 Standardisiert Ja Nein Benutzerauthentifizierung Paketauthentifizierung Datenverschlüsselung Schlüsselmanagement Ja (IKE)‏ n/a QoS Andere Protokolle (neben IP) tunnelbar End-To-End-Security PPTP: IPSec: Quelle: University of Innsbruck / Information Systems 17

18 Sicherheit im (privaten) Wireless-LAN
Gefahrenpotentiale für ungesicherte Wireless-Netze: Da die per Funk übertragenen Datenpakete jeder mithören kann ist ein illegales Mitverwenden des Internetzugangs mit den Möglichkeiten Massenversand von Spam, Ausführen von z.B. DoS Attacken, sowie ein Ausspähen persönlicher Daten (Login-Informationen, Passwörter) mit allen Konsequenzen der (illegalen) Verwendung dieser Daten möglich. Vorbeugungsmaßnahmen Im Verwaltungstool des AccessPoint/WLAN-Routers sollten die Administrations- Standardpasswörter geändert und die Fernkonfiguration deaktiviert werden. Firmware und Software der Gerätes sollten regelmäßig aktualisiert werden. Service Set Identifier (SSID) sollte sinnvoll geändert werden (sollte keine Rückschlüsse auf Hardware, Einsatzzweck oder –Ort zulassen). Ev. sollte das Broadcast der SSID deaktiviert werden Geringer Schutz, kann mittels Sniffer beim Anmelden trotzdem ausgelesen werden MAC-Filter setzen und DHCP-Adressvergabe nur für registrierte MAC-Adressen Geringer Schutz MAC-Adressen können ausgelesen und leicht geändert werden Die bestmögliche Verschlüsselungstechnik in Verbindung mit möglichst sicheren Pre-Shared-Keys („pass phrase“) einsetzen Schlecht: WEP (Wired Equivalent Privacy), arbeitet mit RC4 Stromchiffre – durch Analyse von einigen Datenpaketen innerhalb von Minuten entschlüsselbar Besser: WPA (Wi-Fi Protected Access) welches zusätzlichen Schutz durch dynamische Schlüssel (Temporal Key Integrity Protocol TKIP) und Benutzerauthentifizierung durch PreShared Keys (PSK) oder Extensible Authentication Protocol (EAP) bietet Am besten: WPA2 (Wi-Fi Protected Access 2) welches den Advanced Encryption Standard (AES) anstelle von RC4 verwendet und alle Vorteile von WPA enthält University of Innsbruck / Information Systems 18

19 Sicherheit im (privaten) DSL- oder Kabelrouter
Neuere Geräte enthalten die Funktion IP-Masquerading, manchmal auch Port-Adress-Translation (PAT) oder 1-to-n-NAT bezeichnet: Verwenden nur eine registrierte IP-Adresse am WAN-Port und bilden die privaten IP-Adressen an den LAN-Ports über eine interne Zuordnungstabelle auf diese eine IP-Adresse ab: Vorteile: Nur eine registrierte IP-Adresse zur Anbindung mehrerer Endgeräte nötig Die Rechner im LAN können nicht aus dem Internet direkt adressiert werden (vergl. Proxy-Funktion)‏ Häufig enthalten die Geräte auch einfache Firewall-Funktionalität (Paketfilter, Contentfilter)‏ Nachteil: Um Rechner im LAN von außen zugänglich zu machen, muß der Serviceport dieses Rechners (z.B. Port 80 für einen WEB-Server) im Gerät statisch einer bestimmten IP-Adresse des LAN zugeordnet werden. Registrierte Adresse am WAN-Port Interne Port-Nummer LAN-IP-Adresse z.B 50001 50002 50003 University of Innsbruck / Information Systems 19

20 Zum Nachlesen Literatur: Links:
Eckert, C.: IT-Sicherheit : Konzept - Verfahren – Protokolle, München - Wien, Oldenburg 2005  Maier, R.; Hädrich, T.; Peinl, R.: Enterprise Knowledge Infrastructures, Springer, Berlin 2005 Links: University of Innsbruck / Information Systems 20

Herunterladen ppt "Sicherheit im Netzwerk"

Ähnliche Präsentationen

Was kann ich tun um mein System zu verbessern?

Was kann ich tun um mein System zu verbessern?
Sicherheit in Netzwerken

Sicherheit in Netzwerken
Surfen im Internet.

Surfen im Internet.
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Firewall und Tunneling

Firewall und Tunneling
Firewalls.

Firewalls.
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009

Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
Secure Socket Layer SSL For a secure E-Business Thomas Muskalla

Secure Socket Layer SSL For a secure E-Business Thomas Muskalla
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
IKS – Informations und Kommunikations-systeme

IKS – Informations und Kommunikations-systeme
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Virtual Private Networks

Virtual Private Networks
Sicherheit in drahtlosen Netzen

Sicherheit in drahtlosen Netzen
Einführung in die Technik des Internets

Einführung in die Technik des Internets

Ähnliche Präsentationen

Google-Anzeigen