Vertrauen als wichtige Ressource, Ziel eines Sicherheitsdienstes">

Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Warum ist Sicherheit überhaupt ein Thema?

Ähnliche Präsentationen


Präsentation zum Thema: "Warum ist Sicherheit überhaupt ein Thema?"—  Präsentation transkript:

1 Informations- und Netzwerksicherheit: Anforderungen, Ziele und Konzepte

2 Warum ist Sicherheit überhaupt ein Thema?
Verteilte Informatiksysteme sind kritische Ressourcen Globalisierung der Kommunikationsbedürfnisse und -infrastruktur (Internet!) Neue Formen der "grenzüberschreitenden" Kooperation: , Informationssysteme, Desktop-Conferencing Offene Systeme Daraus folgt: Erhöhung des Angriffs- und Schadenpotentials Physische Sicherheit kann nicht mehr gewährleistet werden. Wem vertraue ich, wem nicht? -> Vertrauen als wichtige Ressource, Ziel eines Sicherheitsdienstes

3 Typische Anwendungen / Anforderungen
Elektronische Zahlungssysteme, Telebanking E-Commerce: Business-to-Client, Business-to-Business Datenbanken mit sensitivem Inhalt (personenbezogene medizin. Daten, Bonität von Kunden) Verwendung von verteilten Anwendungen zur Entscheidungsfindung (decision support systems) Elektronische Wahlen und Abstimmungen, e-Government Schutz von geistigem Eigentum (Software, digitale Publikationen) Sicheres Auditing (Aufzeichnung von Ereignissen)

4 Bedrohungen Bedrohungen zufälliger Art: gezielte Bedrohungen:
Stromausfall Benutzerfehler Systemfehler (Software, Hardware, Übertragungsfehler) gezielte Bedrohungen: Hacker kriminelle Insider kriminelle Organisationen Behörden

5 Was kann ein Angreifer tun?
Mithören Nachrichten senden Oft mit einem falschem Absender (IP-Adresse, -Adresse) Aufgefangene Nachrichten unverändert noch einmal senden Aufgefangene Nachrichten verändern und absenden Code mit speziellen Eigenschaften erzeugen Viren: Modifizieren Funktion eines „Wirtsprogramms“ Würmer: Verwenden eine Sicherheitslücke und ein Transportmittel, um sich fortzupflanzen Trojanische Pferde: Fremder Code wird eingeschleust und von unbedarften Benutzern oder Programmen ausgeführt Bewusstes Überlasten kritischer Systemkomponenten

6 Einige Beispiele – gemeinsamer Zugriff zu Dateien
Filesystem muss den Benutzer authentisieren und autorisieren (Vergabe von Rechten) Übertragene Information muss vor Einsicht und Veränderung geschützt werden Filesystem muss sich beim Benutzer authentisieren

7 E-Mail Nachrichten sollen vertraulich übermittelt werden können
Absender soll nachprüfbar authentisch sein Nachrichteninhalt soll nachprüfbar authentisch sein Erhalt einer bestimmten Nachricht von einem bestimmten Absender soll gegenüber einem Dritten bewiesen werden können Manchmal möchte ich, dass ich für eine abgesendete Nachricht nicht behaftet werden kann. Nachrichten sollen (gelegentlich) anonym versandt werden können

8 E-Commerce Für Güter bezahlen, ohne meine Kreditkartennummer einem mithörenden Angreifer oder dem Verkäufer bekannt zu geben Anonyme Käufe Verkäufer will meine Bestellung gegenüber einem Dritten beweisen können Verkäufer will die Lieferung gegenüber einem Dritten beweisen können Ich will meine Zahlung gegenüber einem Dritten beweisen können

9 „Aktive Inhalte“ Trojanische Pferde - Würmer – Viren
Vielfältige Wirkungen Löschen / verändern von Information Angriff auf Vertraulichkeit Denial of service Verschiedene Schutzmechanismen Anständige Betriebssysteme Sandboxes Signierte Inhalte Analyse des Inhalts (Virenscanner) Einschränkung der Konnektivität (Firewall) Ausbildung der Benutzer

10 Zielkonflikte Beweisbarkeit gegenüber Abstreitbarkeit
Vertraulichkeit gegenüber den Interessen des Arbeitsgebers oder des Staates Sicherheit gegenüber Funktionalität / Komfort Vermeiden von Verlust gegenüber der Offenlegung von Daten (z.B. Kopien von Schlüsseln) Dienstverweigerung gegenüber Verhindern des Eindringens Zulassen eines berechtigten Benutzers (true negative) Blockieren eines unberechtigten Benutzers (true positive) Zulassen eines unberechtigten Benutzers (false negative) Blockieren eines berechtigten Benutzers (false positive) Unvollständige Sicherheit > keine Sicherheit > falsche Sicherheit! (> : ist besser als)

11 Fundamentale Anforderungen
Verfügbarkeit Authentizität und Integrität von Information Benutzer Hardware Software Vertraulichkeit Beweisbarkeit von Vorgängen gegenüber Dritten Überwachung des Zugriffs zu Ressourcen

12 Klassifizierung nach Steve Kent
Passive Attacke Aktive Attacke Vertraulichkeit Verfügbarkeit Authentizität Bekanntwerden des Inhalts Verkehrsanalyse Erwähnen: Replay von Nachrichten – als Modifikation / Fabrikation Dienstunterbruch Modifikation Replay Fabrikation

13 Sicherheitsmechanismen, -protokolle, Systeme
Kryptographische Algorithmen Sichere Speicherung von Daten Authentische Funktionen eines Systems Sicheres Verteilen von Schlüsseln Kerberos, Public Key Infrastructure (PKI) Sichere Sessionen Secure Shell (SSH) Secure Socket Layer (SSL) IP Security (IPSEC) Sichere Secure Multipurpose Internet Mail Extensions (S/MIME) Pretty Good Privacy (PGP)

14 Modell I: Sichere Kommunikation über einen unsicheren Kanal
Angreifer hat vollen Zugriff auf den Kanal kennt Mechanismen/Protokolle Nachricht Nachricht Sicherheits- transfor- mation Sicherheits- transfor- mation-1 Kanal Schlüssel 1 Schlüssel 2 Sender Empfänger

15 Modell II: Schutz durch Zugangskontrolle
Informatiksystem (Speicher, Prozessor, Ein/Ausgabe) Netz Anwendung Software-Bibliothek Berechtigter Benutzer Angreifer Zugangs- kontrolle Lokale Sicherheits- massnahmen intrusion detection, event logging, access control

16 Linkchiffrierung R Ziel: Sichere Verbindung von zwei als sicher betrachteten Netzen

17 Sicherheit in der Netzwerkebene
Ziel: Virtual Private Network SR R R R unsicheres Netz SR R Router SR Router mit Sicherheitsfunktionen

18 Sicherheit in der Workstation / Server

19 Sicherheit in der Applikation

20 Packet Filter / Firewall
Server F R R

21 Literatur Kaufman / Perlman / Speciner, Network Security, Prentice Hall, 1995 Stallings, Network and Internetwork Security, Addison-Wesley, 1995 Cheswick / Bellovin, Firewalls and Internet Security, Addison-Wesley, 1994 Schneier, Applied Cryptography, 2nd ed., Wiley, 1996 Stallings, Network Security Essentials, Prentice-Hall, 2000


Herunterladen ppt "Warum ist Sicherheit überhaupt ein Thema?"

Ähnliche Präsentationen


Google-Anzeigen