Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte.

Ähnliche Präsentationen


Präsentation zum Thema: "Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte."—  Präsentation transkript:

1 Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte

2 Warum ist Sicherheit überhaupt ein Thema? Verteilte Informatiksysteme sind kritische Ressourcen Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet!) Neue Formen der "grenzüberschreitenden" Kooperation: E- mail, Informationssysteme, Desktop-Conferencing Offene Systeme Daraus folgt: Erhöhung des Angriffs- und Schadenpotentials Physische Sicherheit kann nicht mehr gewährleistet werden. Wem vertraue ich, wem nicht? -> Vertrauen als wichtige Ressource, Ziel eines Sicherheitsdienstes

3 Typische Anwendungen / Anforderungen Elektronische Zahlungssysteme, Telebanking E-Commerce: Business-to-Client, Business-to-Business Datenbanken mit sensitivem Inhalt (personenbezogene medizin. Daten, Bonität von Kunden) Verwendung von verteilten Anwendungen zur Entscheidungsfindung (decision support systems) Elektronische Wahlen und Abstimmungen, e-Government Schutz von geistigem Eigentum (Software, digitale Publikationen) Sicheres Auditing (Aufzeichnung von Ereignissen)

4 Bedrohungen Bedrohungen zufälliger Art: –Stromausfall –Benutzerfehler –Systemfehler (Software, Hardware, Übertragungsfehler) gezielte Bedrohungen: –Hacker –kriminelle Insider –kriminelle Organisationen –Behörden

5 Was kann ein Angreifer tun? Mithören Nachrichten senden –Oft mit einem falschem Absender (IP-Adresse, - Adresse) Aufgefangene Nachrichten unverändert noch einmal senden Aufgefangene Nachrichten verändern und absenden Code mit speziellen Eigenschaften erzeugen –Viren: Modifizieren Funktion eines Wirtsprogramms –Würmer: Verwenden eine Sicherheitslücke und ein Transportmittel, um sich fortzupflanzen –Trojanische Pferde: Fremder Code wird eingeschleust und von unbedarften Benutzern oder Programmen ausgeführt Bewusstes Überlasten kritischer Systemkomponenten

6 Einige Beispiele – gemeinsamer Zugriff zu Dateien Filesystem muss den Benutzer authentisieren und autorisieren (Vergabe von Rechten) Übertragene Information muss vor Einsicht und Veränderung geschützt werden Filesystem muss sich beim Benutzer authentisieren

7 Nachrichten sollen vertraulich übermittelt werden können Absender soll nachprüfbar authentisch sein Nachrichteninhalt soll nachprüfbar authentisch sein Erhalt einer bestimmten Nachricht von einem bestimmten Absender soll gegenüber einem Dritten bewiesen werden können Manchmal möchte ich, dass ich für eine abgesendete Nachricht nicht behaftet werden kann. Nachrichten sollen (gelegentlich) anonym versandt werden können

8 E-Commerce Für Güter bezahlen, ohne meine Kreditkartennummer einem mithörenden Angreifer oder dem Verkäufer bekannt zu geben Anonyme Käufe Verkäufer will meine Bestellung gegenüber einem Dritten beweisen können Verkäufer will die Lieferung gegenüber einem Dritten beweisen können Ich will meine Zahlung gegenüber einem Dritten beweisen können

9 Aktive Inhalte Trojanische Pferde - Würmer – Viren Vielfältige Wirkungen –Löschen / verändern von Information –Angriff auf Vertraulichkeit –Denial of service Verschiedene Schutzmechanismen –Anständige Betriebssysteme –Sandboxes –Signierte Inhalte –Analyse des Inhalts (Virenscanner) –Einschränkung der Konnektivität (Firewall) –Ausbildung der Benutzer

10 Zielkonflikte Beweisbarkeit gegenüber Abstreitbarkeit Vertraulichkeit gegenüber den Interessen des Arbeitsgebers oder des Staates Sicherheit gegenüber Funktionalität / Komfort Vermeiden von Verlust gegenüber der Offenlegung von Daten (z.B. Kopien von Schlüsseln) Dienstverweigerung gegenüber Verhindern des Eindringens –Zulassen eines berechtigten Benutzers (true negative) –Blockieren eines unberechtigten Benutzers (true positive) –Zulassen eines unberechtigten Benutzers (false negative) –Blockieren eines berechtigten Benutzers (false positive) Unvollständige Sicherheit > keine Sicherheit > falsche Sicherheit! (> : ist besser als)

11 Fundamentale Anforderungen Verfügbarkeit Authentizität und Integrität von –Information –Benutzer –Hardware –Software Vertraulichkeit Beweisbarkeit von Vorgängen gegenüber Dritten Überwachung des Zugriffs zu Ressourcen

12 Klassifizierung nach Steve Kent Passive Attacke Vertraulichkeit Bekanntwerden des Inhalts Verkehrsanalyse Aktive Attacke DienstunterbruchModifikation Fabrikation VerfügbarkeitAuthentizität Replay

13 Sicherheitsmechanismen, -protokolle, Systeme Kryptographische Algorithmen Sichere Speicherung von Daten Authentische Funktionen eines Systems Sicheres Verteilen von Schlüsseln –Kerberos, Public Key Infrastructure (PKI) Sichere Sessionen –Secure Shell (SSH) –Secure Socket Layer (SSL) –IP Security (IPSEC) Sichere –Secure Multipurpose Internet Mail Extensions (S/MIME) –Pretty Good Privacy (PGP)

14 Modell I: Sichere Kommunikation über einen unsicheren Kanal Kanal Sicherheits- transfor- mation Nachricht Schlüssel 1 Nachricht Schlüssel 2 SenderEmpfänger Angreifer hat vollen Zugriff auf den Kanal kennt Mechanismen/Protokolle Sicherheits- transfor- mation -1

15 Modell II: Schutz durch Zugangskontrolle Informatiksystem (Speicher, Prozessor, Ein/Ausgabe) Netz Anwendung Software-Bibliothek Lokale Sicherheits- massnahmen Zugangs- kontrolle Angreifer Berechtigter Benutzer intrusion detection, event logging, access control

16 Linkchiffrierung R Ziel: Sichere Verbindung von zwei als sicher betrachteten Netzen

17 Sicherheit in der Netzwerkebene R SR unsicheres Netz R R R SR Router Router mit Sicherheitsfunktionen Ziel: Virtual Private Network

18 Sicherheit in der Workstation / Server R

19 Sicherheit in der Applikation R

20 Packet Filter / Firewall F Server R R

21 Literatur Kaufman / Perlman / Speciner, Network Security, Prentice Hall, 1995 Stallings, Network and Internetwork Security, Addison- Wesley, 1995 Cheswick / Bellovin, Firewalls and Internet Security, Addison-Wesley, 1994 Schneier, Applied Cryptography, 2nd ed., Wiley, 1996 Stallings, Network Security Essentials, Prentice-Hall, 2000


Herunterladen ppt "Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte."

Ähnliche Präsentationen


Google-Anzeigen