Kryptographie Martin Heel Netzwerksicherheit Kryptographie Martin Heel 11.06.2002 Gruppe 8 - NWSA
Grundfragen zur Datensicherheit Gegen wen wollen wir uns schützen? Gegen was wollen wir uns schützen? Welche Objekte sollen insbesondere geschützt werden? Wie erreichen wir diese Ziele? 11.06.2002 Gruppe 8 - NWSA
Datensicherheit 1 Welche Objekte müssen im Besonderen geschützt werden? Dateien mit persönlichen oder geschäftlichen Informationen (Aspekte der sicheren Speicherung) E-Mails mit Dateianhängen (Aspekte des sicheren Transports) Betriebsfähigkeit unserer Arbeits- und Kommunikationsmittel (Aspekt der Sabotage, Denial-of-Service) 11.06.2002 Gruppe 8 - NWSA
„Jede Kette ist so schwach wie ihr schwächstes Glied“ Datensicherheit 2 „Jede Kette ist so schwach wie ihr schwächstes Glied“ Verrat (beabsichtigt oder unbeabsichtigt) Social Engineering (Ausnutzen von Vertrauen) Physischer oder Software-Einbruch 11.06.2002 Gruppe 8 - NWSA
Datensicherheit 3 Datensicherheit ist die Verhinderung von: Datenverlust Datendiebstahl Datenverfälschung Vorbeugende Maßnahmen müssen die Vollständigkeit und die Korrektheit der Daten gewährleisten. 11.06.2002 Gruppe 8 - NWSA
Informationstechnische Sicherheitsdienste Zurechenbarkeit Höhere Dienste Datenauthentizität Nicht-Abstreitbarkeit Zugriffskontrolle Vertraulichkeit Datenintegrität Authentifikation Verfügbarkeit Basisdienste 11.06.2002 Gruppe 8 - NWSA
Basisdienste Vertraulichkeit Datenintegrität Authentifikation Verfügbarkeit 11.06.2002 Gruppe 8 - NWSA
Basisdienst 1 Der Basisdienst Vertraulichkeit ist darauf bedacht, den Zugriff von unberechtigten Dritten auf Daten zu verhindern. Dies kann durch Verschlüsselung von Daten und durch Abschottung von Teilnetzen geschehen. 11.06.2002 Gruppe 8 - NWSA
Basisdienst 1 Kann ich sicher sein, dass niemand außer B die Information „HALLO“ erhält? B A „HALLO“ Internet 11.06.2002 Gruppe 8 - NWSA
Vertraulichkeitsverfahren 1 Kryptografie: Verschlüsselung von Information unter Einbeziehung eines Schlüssels. Einfache Geheimschrift: Jedem Zeichen eines Zeichenvorrats wird ein anderes Zeichen desselben Zeichenvorrats zugeordnet. Weiterentwicklung durch komplexe mathematische Methoden. 11.06.2002 Gruppe 8 - NWSA
Vertraulichkeitsverfahren 2 Weiterentwicklung der einfachen Geheimschrift in symmetrische und asymmetrische Kryptografie. Symmetrisches Verschlüsselungsverfahren: Die Ver- und Entschlüsselung erfolgt mit demselben geheimen Schlüssel. Problem: beide Parteien müssen paarweise einen geheimen Schlüssel vereinbaren und zudem sicher übertragen. 11.06.2002 Gruppe 8 - NWSA
Vertraulichkeitsverfahren 3 Asymmetrisches Verschlüsselungsverfahren: Hierbei kommen Schlüsselpaare zum Einsatz: Privater Schlüssel: Die Verwendung des privaten Schlüssels gewährleistet eigene Authentizität. Öffentlicher Schlüssel: Das Dokument kann nur mit dem passenden privaten Schlüssel entschlüsselt werden. Eine Meldung in einem Schlüssel kann nur vom jeweils anderen Schlüssel entschlüsselt werden. 11.06.2002 Gruppe 8 - NWSA
Basisdienst 2 Datenintegrität soll garantieren, dass Daten im „Originalzustand“ vorliegen. Die Manipulation von Daten auf dem Übertragungsweg soll ausgeschlossen bzw. zuverlässig erkannt werden. 11.06.2002 Gruppe 8 - NWSA
Sagte A wirklich „HALLO“ ? Basisdienst 2 Sagte A wirklich „HALLO“ ? A B „HALLO“ Internet 11.06.2002 Gruppe 8 - NWSA
Integritätsverfahren Hash-Funktionen: Für jede Zeichenfolge wird ein eindeutiger Hash-Wert errechnet. Aus beliebig vielen Daten wird ein kurzer (128 oder 160 Bit) und eindeutiger Wert generiert. Keine Rückschlüsse auf ursprüngliche Daten. Meist sichere Hash-Funktionen: „digitaler Fingerabdruck“ z.B. Secure Hash Algorithm (160 Bit) 11.06.2002 Gruppe 8 - NWSA
Basisdienst 2 Die Verfügbarkeit liefert die Garantie des dauernden „Zur-Verfügung-Habens“ von bestimmten Diensten. Die Verfügbarkeit im Netzwerk ist unter anderem durch Denial-of-Service Angriffe bedroht, die die Kommunikations- und Rechner-Ressourcen aufbrauchen. Die Möglichkeit solcher Angriffe muss schon im Entwurf von zukünftigen Protokollen berücksichtigt werden. 11.06.2002 Gruppe 8 - NWSA
Schadet mir das Verhalten von C ? Basisdienst 3 Schadet mir das Verhalten von C ? A B 1.000.000 mal „HALLO“ Internet C 11.06.2002 Gruppe 8 - NWSA
Basisdienst 4 Der Basisdienst Authentifikation soll die nachweisliche Identifikation des Kommunikationspartners garantieren. Problem: Die Authentifikation erfolgt meist am Anfang eines Datentransfers, der Angreifer kann sich aber während der Übertragung „einklinken“! 11.06.2002 Gruppe 8 - NWSA
Basisdienst 4 SENDER Authentifikation Start Übertragung Ende „Einklinken“ ANGREIFER 11.06.2002 Gruppe 8 - NWSA
Authentifikationsverfahren Es gibt drei verschiedene Vorgehensweisen: Kenntnis eines Geheimnisses z.B. Kennwort Besitz eines bestimmten Gegenstandes oder Dokuments z.B. Chipkarten bei Banken Körperliche Merkmale nicht veränderliche und schwer nachzubildende körperliche Merkmale z.B. biometrische Authentifikationsverfahren wie Fingerabdruck- oder Netzhautscan 11.06.2002 Gruppe 8 - NWSA
Höhere Dienste Datenauthentizität Nicht-Abstreitbarkeit Zugriffskontrolle Zurechenbarkeit 11.06.2002 Gruppe 8 - NWSA
Datenauthentizität Datenauthentizität: Nachweisliche Identifikation von Information Beweis der Integrität und Beweis der Herkunft (z.B. durch digitale Signaturen) Täuschungsversuche, die dem Kommunikationspartner eine falsche Identität vorspiegeln, müssen unterbunden werden. 11.06.2002 Gruppe 8 - NWSA
Nicht-Abstreitbarkeit Nicht-Abstreitbarkeit: eindeutige Belegbarkeit des Empfangs bzw. des Erhalts einer Meldung. Einige Arten der Nicht-Abstreitbarkeit: Nicht-Abstreitbarkeit des Senders (Schutz des Empfängers) Nicht-Abstreitbarkeit des Empfangs (Schutz des Absenders) Nicht-Abstreitbarkeit der Übermittlung (Schutz gegen Fehler im Übertragungssystem) 11.06.2002 Gruppe 8 - NWSA
Zugriffskontrolle Die Zugriffskontrolle erteilt die Autorisierung von Zugriffen aufgrund der Legitimation des jeweiligen Benutzers. Leserechte, Schreibrechte oder Rechte der Löschung oder Beobachtung eines Datenobjekts können unterschieden werden, und aufgrund von vorher festgelegten Kriterien zugeteilt werden. 11.06.2002 Gruppe 8 - NWSA
Zurechenbarkeit Die Zurechenbarkeit basiert auf einem Protokoll, das den Benutzer inklusive der in Anspruch genommenen Systemressourcen aufzeichnet. Voraussetzung ist eine funktionsfähige Zugriffskontrolle sowie Nicht-Abstreitbarkeit. 11.06.2002 Gruppe 8 - NWSA
aktive & passive Angriffe Michael Layr Netzwerksicherheit aktive & passive Angriffe Michael Layr 11.06.2002 Gruppe 8 - NWSA
Bereiche der Netzwerksicherheit Systemsicherheit Physische Sicherheit Softwaretechnische Sicherheit Kommunikationssicherheit Sicherheit der Daten während der Übertragung 11.06.2002 Gruppe 8 - NWSA
Arten von Angriffen Passive Angriffe Eavesdropping Kryptoanalyse Brute-Force-Angriff Statische Verkehrsanalyse 11.06.2002 Gruppe 8 - NWSA
Passive Angriffe Eavesdropping Verbindungen werden belauscht und die dabei übertragenen Daten aufgezeichnet. Hiervon sind sowohl kabelgebundene als auch drahtlose Kommunikationswege betroffen. Glasfaserkabel erschweren das Abhören; möglich ist es aber auch hier 11.06.2002 Gruppe 8 - NWSA
Passive Angriffe Kryptoanalyse Schwächen des Verschlüsselungsverfahrens Gegenmaßnahme: Test des Algorithmus durch Kryptographieexperten Brute-Force-Angriff Alle möglichen Schlüssel werden nacheinander ausprobiert. 11.06.2002 Gruppe 8 - NWSA
Passive Angriffe Statische Verkehrsanalyse Bereits das Zustandekommen des Kommunikationsvorganges stellt eine vertrauliche Information dar. Rückschlüsse auf Inhalt aus Art, Menge und Häufigkeit der Datenübertragung 11.06.2002 Gruppe 8 - NWSA
Arten von Angriffen Aktive Angriffe Manipulation/Zerstörung der Hardware Denial-of-Service (DoS) Distributed Denial-of-Service (DDoS) Replay Attack Erraten von Kennwörtern Social-Engineering 11.06.2002 Gruppe 8 - NWSA
Aktive Angriffe Zerstörung von Hardwarekomponenten Durchtrennen von Kabeln Denial-of-Service Angreifer überlastet durch etliche gültige oder ungültige Anfragen den Server und bringt das Softwaresystem zum Absturz. 11.06.2002 Gruppe 8 - NWSA
Aktive Angriffe DDoS 11.06.2002 Gruppe 8 - NWSA
Aktive Angriffe Replay Attack Nachricht wird wiederholt versendet. Angreifer verändert die Nachricht auf dem Weg zum Empfänger Inhalt wird verfälscht. Angreifer kommuniziert im Namen des Absenders und kann somit großen Schaden anrichten. 11.06.2002 Gruppe 8 - NWSA
Aktive Angriffe Hacker/Cracker Hacker: versuchen auf vorhandene Sicherheitsprobleme aufmerksam zu machen. Cracker: versuchen unberechtigt Informationen zu entwenden oder zu zerstören. 11.06.2002 Gruppe 8 - NWSA
Aktive Angriffe Möglichkeiten wie Hacker/Cracker Zugang zu Rechnersystemen erlangen: Erraten von Kennwörtern - Manuelles - Automatisches Social-Engineering - Verbale Interaktion 11.06.2002 Gruppe 8 - NWSA
Malware Computerviren Definition: Programme, die vom Fachmann als „malicious software“ bezeichnet werden. Arten: - Virus - Wurm - Trojanisches Pferd - Logische Bombe - Hoax 11.06.2002 Gruppe 8 - NWSA
Malware Viren Boot-Sektor-Viren werden aktiv, wenn von Diskette oder Festplatte gestartet wird Dateiviren befallen ausführbare Dateien Makroviren legen Informationen in Makros ab und sind besonders gefährlich, da sie leicht zu programmieren sind 11.06.2002 Gruppe 8 - NWSA
kann sich selbst fortpflanzen Malware Wurm kann sich selbst fortpflanzen mögliche Sicherheitslücken Buffer Overflow Bug im finger-Daemon DEBUG-Loch im sendmail Brute Force-Angriff auf schlechte Paßwörter 11.06.2002 Gruppe 8 - NWSA
Malware Trojanisches Pferd Äußerlich harmloses, attraktiv erscheinendes Programm, das beim Starten Unheil anrichtet. Benutzer muss aktiv eingreifen um Trojaner zu starten. 11.06.2002 Gruppe 8 - NWSA
Malware Logische Bombe Dem Trojaner sehr ähnlich Werden in umfangreichen Software-Paketen versteckt und treten erst nach langer Zeit durch Zusammenspiel bestimmter Begleitumstände auf. 11.06.2002 Gruppe 8 - NWSA
Malware Hoax falsche Meldung über MALWARE Kein Virus im eigentlichen Sinn. Das Beseitigen kann genauso viel Arbeit kosten wie bei echter MALWARE. Wird als E-Mail in der Art eines Kettenbriefes verschickt. 11.06.2002 Gruppe 8 - NWSA
Firewalls, Monitoring, Virtual Private Networks Mario Wiletial Netzwerksicherheit Firewalls, Monitoring, Virtual Private Networks Mario Wiletial 11.06.2002 Gruppe 8 - NWSA
Unternehmensnetz gehackt ... „ Alle acht Sekunden wird ein Unternehmensnetz gehackt ... “ 23.04.2002 newsticker | www.checkpoint.de 11.06.2002 Gruppe 8 - NWSA
Ökonomische Aspekte Es entstehen Kosten für: Einrichten der Hard- und Software Wartung Schulung der Netzwerkadministratoren 11.06.2002 Gruppe 8 - NWSA
Ökonomische Aspekte Finanzieller Schaden durch verfälschte Daten Industriespionage Systemausfälle durch eingeschleuste Viren Kosten der Bekämpfung einer Attacke Juristische Konsequenzen Vertrauensverlust des Kunden 11.06.2002 Gruppe 8 - NWSA
Finanzieller und organisatorischer Aufwand Kosten - Nutzen Finanzieller und organisatorischer Aufwand vs. Möglicher Schaden 11.06.2002 Gruppe 8 - NWSA
Arten der Netzwerksicherung Firewalls Intrusion Detection (IDS) / Monitoring Virtual Private Networks (VPN) 11.06.2002 Gruppe 8 - NWSA
Firewalls Packet Filtering (Paketfilter) Proxy-based (Applikationsgateway) Stateful Inspection Personal Firewalls 11.06.2002 Gruppe 8 - NWSA
Paketfilter Vorteile Gute Performance Einfach konfigurierbar Nachteile Missbrauch von Protokollen nicht erkennbar Ausnutzung von Schwachstellen möglich Nur bei wenig komplexen Problemstellungen anwendbar 11.06.2002 Gruppe 8 - NWSA
Firewalls Packet Filtering (Paketfilter) Proxy Based (Applikationsgateway) Stateful Inspection Personal Firewalls 11.06.2002 Gruppe 8 - NWSA
Applikationsgateway Vorteile Gesamtes Netz bleibt verborgen Gute Protokollfunktion Nachteile Langsamer als der Paketfilter Wartungsintensiv Fehlfunktion führt zu Ausfall 11.06.2002 Gruppe 8 - NWSA
Firewalls Packet Filtering (Paketfilter) Proxy Based (Applikationsgateway) Stateful Inspection Personal Firewalls 11.06.2002 Gruppe 8 - NWSA
Stateful Inspection Vorteile: Nachteile: Komplexe Problemstellungen lösbar Flexibel Schnell Nachteile: Hoher Arbeitsaufwand für das IT-Personal Keine Benutzerauthentisierung 11.06.2002 Gruppe 8 - NWSA
Firewalls Packet Filtering (Paketfilter) Proxy Based (Applikationsgateway) Stateful Inspection Personal Firewalls 11.06.2002 Gruppe 8 - NWSA
Personal Firewalls Für Rechner mit direktem Internetzugang Erhöhte Sicherheit vor Trojanern Für mittlere/große Unternehmen nicht geeignet 11.06.2002 Gruppe 8 - NWSA
Screenshot: Filterregeln 11.06.2002 Gruppe 8 - NWSA
Aufbau: Firewall-System 11.06.2002 Gruppe 8 - NWSA
Aufbau: Firewall-System Bei hohen Anforderungen: Einrichtung einer sog. demilitarisierten Zone (DMZ), wobei der Zugriff für eine eingeschränkte Gruppe möglich und sinnvoll ist. 11.06.2002 Gruppe 8 - NWSA
Intrusion Detection (Monitoring) Schutz vor Attacken „berechtigter“ Personen Suche nach bekannten „Angriffsmustern“ Dynamische Änderung der Firewall-Regeln 11.06.2002 Gruppe 8 - NWSA
Intrusion Detection – Arten NIDS – Network Intrusion Detection System HIDS – Host-based Intrusion Detection System 11.06.2002 Gruppe 8 - NWSA
NIDS – Eines für alles... Vorteile Ein System für das ganze Netz Beweise schwer zu vernichten Betriebssystemunabhängig Nachteile Ausfall bei hohem Datentransfer Neue Verschlüsselungen für das NIDS „unbekannt“ Arbeitsintensive Tätigkeit für das IT-Personal 11.06.2002 Gruppe 8 - NWSA
HIDS – Die Alternative Wird auf jedem Rechner installiert Noch mehr Aufwand für das IT-Personal Ist dafür imstande viel tiefer zu analysieren 11.06.2002 Gruppe 8 - NWSA
Virtual Private Networks (VPN) Internet wird als Trägermedium eingesetzt Billiger als Standleitungen Daten werden kryptographisch verschlüsselt („tunneling“) 11.06.2002 Gruppe 8 - NWSA
VPN – Arten LAN-2-LAN Koppelung zweier Unternehmensstandorte Client-2-LAN Einwählen eines Telearbeiters ins Intranet 11.06.2002 Gruppe 8 - NWSA
VPN – Aufbau 11.06.2002 Gruppe 8 - NWSA
SSL/TLS, WEP Leila Saleh Netzwerksicherheit SSL/TLS, WEP Leila Saleh 11.06.2002 Gruppe 8 - NWSA
Secure Socket Layer (SSL) • SSL-Protokoll ursprünglich von der Firma Netscape entwickelt • Zweck: vertrauliche Daten sicher über öffentliche Netze übertragen • Einsatz von symmetrischen und asymmetrischen Kryptographie-Verfahren • Bestandteil von gängigen Web-Browsern 11.06.2002 Gruppe 8 - NWSA
SSL (2) Das SSL-Protokoll beinhaltet 2 Sub-Protokolle: • das SSL Handshake Protokoll • das SSL Record Protokoll 11.06.2002 Gruppe 8 - NWSA
SSL (3) • Die zwei SSL Protokolle liegen funktional zwischen dem Aufgabenbereich von TCP/IP und den Anwendungen. • Für die angrenzenden Schichten sind diese beiden Schichten transparent. • optisches Merkmal: - URL: https://www.netbanking.at - 11.06.2002 Gruppe 8 - NWSA
SSL Handshake Protokoll Das Handshake Protokoll ist verantwortlich für: • Aushandeln der Verbindungsmodalitäten • Austausch von Zertifikaten (Public-Key Austausch) • Schlüsselaustausch • Überprüfung der Verbindung 11.06.2002 Gruppe 8 - NWSA
SSL Record Protokoll • Zuständig für das Ver- und Entschlüsseln von Daten • Die Daten werden in einzelne Datenpakete unterteilt und komprimiert • Jeder Block erhält eine Nummer und es wird mittels Hashverfahren eine Prüfsumme gebildet. • Die Daten werden mit einem symmetrischen Verschlüsselungsverfahren verschlüsselt. 11.06.2002 Gruppe 8 - NWSA
Transport Layer Security (TLS) • Weiterentwicklung des SSL Protokolls 3.0 von der IETF (Internet Engineering Task Force) • TLS 1.0 hat nur geringe Unterschiede zu SSL 3.0 • TLS Programme können durch „back down“ Modus auch SSL 3.0 verwenden (Abwärtskompatibel) 11.06.2002 Gruppe 8 - NWSA
Vorteile von SSL/TLS • Es wird keine zusätzliche Software benötigt (im Browser eingebaut, keine Benutzerinteraktion nötig) • Bei der Verbindung gibt es keine signifikanten Performanceeinbußen. 11.06.2002 Gruppe 8 - NWSA
Nachteile von SSL/TLS • Eine Firewall kann den Verkehr nicht beobachten, da die versendeten Daten verschlüsselt sind. • Die Funktion von SSL kann „missbraucht“ werden, um Viren verschlüsselt zu versenden. (gilt für jede Verschlüsselung) 11.06.2002 Gruppe 8 - NWSA
Kreditkartenbasierte Zahlungsabwicklung • Anwendungsform: Kreditkartendaten werden verschlüsselt zum Händler übertragen • Problem: Ein völlig unbekannter Händler erhält die Kreditkartennummer, ohne dass der Kunde die Möglichkeit hat, die Seriosität des Händlers zu überprüfen. • SET-Standard bietet eine mögliche Lösung an 11.06.2002 Gruppe 8 - NWSA
Secure Electronic Transaction (SET) Das SET Protokoll wurde von den beiden Kreditkartenfirmen MasterCard und Visa unter Mitwirkung von Netscape, RSA, IBM, Microsoft und anderen Firmen entwickelt Ziel: Anonyme Zahlung bei Internetgeschäften Damit das SET Protokoll zum Einsatz kommen kann, müssen Händler und Kunde eine SET fähige Software installiert haben. 11.06.2002 Gruppe 8 - NWSA
Three Domain Model (3D SET) Issuer Domain: Kunden eindeutig identifizieren (neue Lösung Server-Wallet) Acquirer Domain: angeschlossene Händler eindeutig identifizieren und diese möglichst an SET anzubinden Interoperability/Interchange Domain: bezeichnet den Bereich zwischen den Beteiligten Institutionen 11.06.2002 Gruppe 8 - NWSA
Funktionsweise von SET 11.06.2002 Gruppe 8 - NWSA
Funktionsweise von SET (2) • Händler: - Zahlungsinformation nur verschlüsselt (nicht lesbar) - Bestellinformation kann er entschlüsseln • Bank: - Zahlungsinformation kann die Bank entschlüsseln - Bestellinformation nur verschlüsselt 11.06.2002 Gruppe 8 - NWSA
Duale Signatur 11.06.2002 Gruppe 8 - NWSA
Vorteile von SET • Hohes Sicherheitsniveau durch Verwendung starker Kryptographie • Weltweite Verbreitung und Akzeptanz der Kreditkarten • Vorhandene Infrastruktur: die Verwendung eines neuen Zahlungssystems würde weitere Kosten verursachen • SET-Anwendungen sind an keine besondere Rechnerarchitektur oder Betriebssystem gebunden (Plattformunabhängig) 11.06.2002 Gruppe 8 - NWSA
Nachteile von SET • Komplexität des Protokolls • Zusätzliche Software notwendig • Unter Umständen mangelnde Performance („Prüfung bei Banken“) 11.06.2002 Gruppe 8 - NWSA
3D Secure Nachfolge von SET wurde von VISA entwickelt 3D Secure benötigt auf Kundenseite keine zusätzliche Software Die Bestätigung der Transaktion wird über einen Server vom Kartenherausgeber gesteuert Der Händler muss sein Shop-System für 3D Secure anpassen und ein Merchant Plugin installieren 11.06.2002 Gruppe 8 - NWSA
Verified by Visa Ist ein Authentifizierungsprogramm, das Visa seit Oktober 2001 in den USA einsetzt Verified by Visa basiert auf der 3D Secure Technologie und authentifiziert Karteninhaber sowie Online Händler. Bei Online Transaktionen weist sich der Kartenbesitzer durch Eingabe seines personalisierten Passworts aus. PlugIn 11.06.2002 Gruppe 8 - NWSA
SPA/UCAF SPA = Secure Payment Application UCAF = Universal Cardholder Authentication Field Auf Händlerseite so gut wie keine Anpassung, im Bezahlformular muss lediglich eine Anzahl von Feldern mit UCAF Werten belegt werden, die bei der Transaktion durchgereicht werden Karteninhaber muss ein Wallet in Form eines Plugins in seinem Browser installieren, das die sichere Authentifizierung der Transaktion (SPA) übernimmt. 11.06.2002 Gruppe 8 - NWSA
IPv6 • Ist eine Alternative zu aktuellen IPv4 • Sicherheitsmechanismen für die Authentisierung und Verschlüsselung werden in IPv6 auf IP Ebene spezifiziert. • Für die Verschlüsselungsfunktion gibt es zwei verschiedene Varianten 11.06.2002 Gruppe 8 - NWSA
1. Variante Authentication Header (AH): • Verschlüsselung der Nutzdaten, die in einem IP Paket übertragen werden und der im Transit konstanten IP-Steuerdaten (mit Hilfe von digitaler Signatur) • gewährleistet Integrität und Authentizität 11.06.2002 Gruppe 8 - NWSA
2. Variante Encapsulating Security Payload (ESP): • Verschlüsselung der Nutzdaten von IP-Paketen • Vertraulichkeit, Integrität und Authentizität der Daten ist innerhalb der IP-Pakete gesichert • Protokollköpfe der IP-Pakete werden hierbei jedoch nicht verschlüsselt 11.06.2002 Gruppe 8 - NWSA
Wireless Equivalent Privacy (WEP) • WEP Protokoll ist Bestandteil von IEEE 802.11 Standard • Primäre Funktion von WEP ist, die Funkverbindung vor dem Abhören zu schützen • Sekundäre Funktion ist, ein unbefugtes benutzen des Funknetzwerks zu verhindern 11.06.2002 Gruppe 8 - NWSA
Probleme von WEP • Es sind mehrere Arten von Angriffen gegen das WEP Protokoll bekannt • Ursache ist, dass ein drahtloses Netz im Gegensatz zu einem kabelgebundenen Netz einfacher belauscht werden kann. 11.06.2002 Gruppe 8 - NWSA
Angriffe auf das WEP Protokoll • Passive Angriffe zur Entschlüsselung des Netzwerk-verkehrs, die auf statistischen Analysen beruhen • Aktive Angriffe zum Wiedereinspielen von Nachrichten, ausgehend von nicht autorisierten Rechnern • Aktive Angriffe zur Entschlüsselung des Netzwerkverkehrs, basierend auf einer Täuschung des Zugangspunkts • „Dictionary-building“ – Angriffe 11.06.2002 Gruppe 8 - NWSA
Mögliche Lösungen Verschlüsselung der übertragenen Daten z.B. durch: • Verwendung des TLS Protokolls • Verwendung von VPN Techniken • andere Verfahren 11.06.2002 Gruppe 8 - NWSA
Zusammenfassung Um Authentizität, Integrität und Vertraulichkeit von Daten zu gewährleisten, können unterschiedlich sichere Verschlüsselungsverfahren eingesetzt werden. Die Entscheidung zu Gunsten eines Verfahrens erfolgt in Relation zur Vertraulichkeitsstufe der zu übertragenden Daten. 11.06.2002 Gruppe 8 - NWSA