Einf - PowerPoint PPT Presentation

About This Presentation
Title:

Einf

Description:

Title: Einf hrung in die Wirtschaftsinformatik Author: Wirtschaftsinformatik Last modified by: Frank.Feser Document presentation format: Bildschirmpr sentation – PowerPoint PPT presentation

Number of Views:75
Avg rating:3.0/5.0
Slides: 21
Provided by: Wirtsc
Category:
Tags: einf | watchguard

less

Transcript and Presenter's Notes

Title: Einf


1
Sicherheit im Netzwerk
2
Potentielle Bedrohungen in Netzwerken
  • Angriffe auf Softwareschwächen
  • Fehler in Softwareimplementierungen (häufig sog.
    Pufferüberlauf) können genutzt werden um
    Schadroutinen einzuschleusen und auszuführen
  • Gegenmaßnahmen Installation aktueller Upgrades,
    Verwendung von Open-Source-Software (schnellere
    Updateverfügbarkeit).
  • Angriffe auf konzeptionelle Schwächen der
    Netzwerkprotokolle
  • Z.B. Man-in-the-middle-Angriff Durch Umleiten
    des Datenverkehrs zwischen zwei Rechnern
    (ARP-Spoofing, DNS-Spoofing, DNS-Cache Poisoning,
    ) über den Rechner des Angreifers kann der
    Datenverkehr mittels Sniffer-Software mitgehört
    und ausspioniert werden.
  • Besonders gefährdet sind unverschlüsselte
    Protokolle wie POP3, SMTP, IMAP, Telnet, HTTP
  • Gegenmaßnahmen Verschlüsselung der Datenpakete,
    Paketfilter (Firewalls) die von außen kommende
    Pakete mit Quelladressen von innenliegenden
    Rechnern und ausgehende Datenpakte mit im
    Intranet nicht verwendeten Quelladressen
    verwerfen.
  • Angriffe auf Dienste
  • Denial of Service (DoS) und Distributed-DoS
    (DDoS) -Attacken mit dem Ziel einen Dienst auf
    einem Server arbeitsunfähig zu machen.
  • Gegenmaßnahmen Intrusion Detection Systeme (IDS)
    die frühzeitig anhand typischer Anfragemuster
    Attacken erkennen, Verantwortliche informieren
    und im Idealfall auch Gegenmaßnahmen vorschlagen
    oder sogar einleiten.
  • Weitere Angriffsarten
  • Malware Computerviren und Würmer, Trojanische
    Pferde, Dialer, Spyware
  • Phishing Umleiten auf gefälschte WEB-Seiten zur
    Erschleichung von Zugangsdaten
  • Brute-Force-Attacke Computergestütztes
    Durchprobieren von Paßwörtern
  • Sozial Engineering Herauslocken/-finden von
    Zugangsdaten durch Überreden, unter Druck setzen,
    Datenrecherche im Internet
  • Gegenmaßnahmen Antiviren-Software,
    Application-Layer-Firewall, verantwortungsvolle
    Internetnutzung

University of Innsbruck / Information Systems
2
3
Auswirkungen von Sicherheitslücken
  • Datenverlust
  • Wichtige Daten werden absichtlich gelöscht
  • Datenmanipulation
  • Absichtliche Verfälschung von Daten z.B. in
    Bilanzen oder auch in Softwarecodes
  • Unbefugter Zugriff
  • Unternehmensgeheimnisse gelangen in die Hände
    Dritter
  • Mißbrauch von Ressourcen
  • Hard- und Software des Unternehmens werden für
    fremde Zwecke mißbraucht, z.B. Versenden von
    SPAM-Mails
  • Ausfallzeit
  • Ständig benötigte Infrastrukturdienste sind nicht
    erreichbar, wodurch finanzieller
    (Produktionsausfall od. Verzögerung) und auch
    Imageschaden entstehen kann (z.B.
    Nichterreichbarkeit einer Webseite)

University of Innsbruck / Information Systems
3
4
Anforderungsprofil Sichere Kommunikation
  • Vertraulichkeit
  • Nachricht ist vor dem Zugriff durch Dritte
    geschützt
  • Authentizität
  • Der Sender einer Nachricht ist eindeutig
    identifizierbar
  • Integrität
  • Die Nachricht blieb auf dem Weg vom Sender zum
    Empfänger unverändert
  • Verbindlichkeit
  • Der Sender kann die Urheberschaft der Nachricht
    nicht leugnen,
  • Der Empfänger kann den Erhalt der Nachricht nicht
    abstreiten

University of Innsbruck / Information Systems
4
5
Maßnahmen zur Erreichung von Sicherheit -
Überblick
  • Technische Maßnahmen
  • Filterung des Datenverkehrs mittels
    Firewalltechnologien
  • Überwachung des Datenverkehrs mittels
    IDS/IPS-Technologien (Intrusion
    Detection/Prevention Systems)?
  • Verschlüsselung des Datenverkehrs
    (Kryptographie)?
  • Public Key Infrastructure (Zertifikate)?
  • Authentifizierung (z.B. Kerberos-Protokoll)?
  • Proxy (Stellvertreter), NAT und PAT (Network
    Adress/Port and Adress Translation)?
  • Virtual Private Network (VPN)?
  • Organisatorische Maßnahmen
  • Benutzersensibilisierung
  • Unternehmensrichtlinien (z.B. Regelm.
    Passwortänderung, )?
  • Benutzerschulung

University of Innsbruck / Information Systems
5
6
Firewalltypen
  • Personal- oder Desktop/Software-Firewalls
  • Softwareprogramme, die lokal auf dem zu
    schützenden Rechner installiert werden um den
    Datenverkehr zwischen ihm und dem Netzwerk zu dem
    er gehört zu kontrollieren.
  • Beispiele Windows Firewall (ab XP SP2),
    ZoneAlarm, Norton Personal Firewall, AtGuard,
  • Netzwerk- oder Enterprise Firewalls
  • Ein Gerät das den Datenverkehr zwischen
    mindestens zwei Netzwerken (oft auch deutlich
    mehr) kontrolliert.
  • Kann als Software auf Rechnern implementiert
    werden (z.B. Check-Point-Firewall 1, Microsoft
    ISA Server, IPCop, Endian Firewall, Shorewall,
    Astaro Security Linux, ),
  • oder in Form eigenständiger Hardware
    (Firewall-Appliance) die eine aufeinander
    abgestimmte Kombination aus Hardware, gehärtetem
    Betriebssystem und Firewall-Software umfasst
    (z.B. Cisco ASA (früher PIX), WatchGuard FireBox
    X, Astaro Security Gateway, Qtrust, )?

University of Innsbruck / Information Systems
6
7
Firewalltechnologien
  • Packet-Layer-Firewall (Paketfilterung)?
  • Inspiziert nur Header bis OSI Schicht 4
    (Transport-Schicht)?
  • Pakete werden durchgelassen (route) oder
    verworfen (drop)?
  • Regeln, die über route oder drop entscheiden
    werden vom Administrator definiert und basieren
    auf
  • Quelle (IP-Adresse und Port des Senders)?
  • Ziel (IP-Adresse und Port des Empfängers)?
  • Verwendetem Protokoll (TCP und/oder UDP, sowie
    ICMP)?
  • Richtung des Datenstroms (Inbound oder Outbound)?
  • Stateful Inspection (Zustandsgesteuerte
    Filterung)?
  • Weiterentwicklung der Packet-Layer-Firewall
  • Entscheidet auch anhand der Stati aktuell
    geöffneter Verbindungen, ob ein Paket verworfen
    wird. Sinnvoll z.B. für ftp (Port 21 zum
    Verbindungsaufbau, Port 20 für den
    Datentransfer)?
  • Application-Layer-Firewall (Inhaltsfilterung)?
  • Kontrollieret den Datenverkehr bis auf die
    Anwendungsebene
  • Content-Filter Blockierung von z.B. ActiveX
    und/oder JavaScripts, Sperren unerwünschter
    Webseiten über Schlüsselwörter, Sperren von
    Anwendungsprotokollen (etwa FileSharing)?
  • Proxy Baut stellvertretend für die LAN-Clients
    Verbindungen auf, nach außen ist nur die
    IP-Adresse des Proxys sichtbar
  • Web Application Firewall (WAF) Prüft Daten die
    via WEB-Browser an Anwendungen geschickt werden.
    Schutz gegen die Einschleusung gefährlichen Codes
    durch Techniken wie SQL-Injection, Cross Site
    Scripting, CommandExe, Parameter Tampering,

University of Innsbruck / Information Systems
7
8
Intrusion Detection (and Prevention) Systeme
  • Ergänzen die Leistungen von Firewalls zur
    Erhöhung der Sicherheit von Netzwerken.
  • Es gibt die Typen Host-basierte IDS (HIDS),
    Netzwerk-basierte IDS (NIDS) und Hybride IDS.
  • Technisch gesehen verwenden IDS sogenannte
    Sensoren die Host-Logdaten (HIDS) oder Daten aus
    dem Netzwerkverkehr (NIDS) sammeln
  • und mit Mustern bekannter Angriffe, sog.
    Signaturen, vergleichen, die in Datenbanken
    gespeichert werden.
  • Nachteil Nur bereits bekannte Angriffstypen
    werden erkannt
  • oder durch heuristische Methoden versuchen, auch
    bisher unbekannte Angriffe zu erkennen
  • Nachteil Häufigere Fehlalarmierungen
  • Bei Erkennung eines potentiell gefährlichen
    Musters erfolgt
  • die Verständigung eines Verantwortlich (IDS),
  • die Einleitung von Gegenmaßnahmen, etwa Sperrung
    oder Isolierung des vermeintlichen Eindringlings
    z.B. durch Aktivierung von IPS-Regeln auf einer
    Firewall (IPS - Intrusion Prevention System)?
  • Absolute Sicherheit ist durch keine Technologie
    gewährleistet!

University of Innsbruck / Information Systems
8
9
Abgrenzung Internet und Intranet
DMZ DeMilitarized Zone
DMZ/Extranet
Intranet
Internet
Web-Server
Unternehmensteile (Filiale)?
Arbeitsplatz
Web-Browser
Partner- Unternehmen
Firewall
Firewall/IPS
Mail-Server
Web-Server
Appl.-Server
Proprietäres Netzwerk (HOST, Datenbanken)?
Kunden
RAS/VPN-Server
University of Innsbruck / Information Systems
9
10
Verschlüsselung
  • Symmetrische Verschlüsselungssysteme (wenig
    rechenintensiv)?
  • Für die Verschlüsselung und die Entschlüsselung
    der Daten wird derselbe Schlüssel verwendet
  • Beispiele DES, 3DES (Tripple DES), AES-Rijndael,
    Twofish,
  • Problem Da alle Kommunikationspartner denselben
    Schlüssel verwenden, muß dieser irgendwie
    übertragen werden!
  • Typische Schlüssellängen 56 oder 128 Bit
  • Asymmetrische Verfahren (rechenintensiv)?
  • Es gibt ein Schlüsselpaar Public Key und Private
    Key
  • Zur Verschlüsselung kann nur der Public Key des
    Empfängers, zur Entschlüsselung kann nur der
    Private Key des Empfängers eingesetzt werden
  • Zur digitalen Signierung kann nur der private Key
    des Senders, zur Prüfung der digitalen Signatur
    nur der Public Key des Senders verwendet werden
  • Der Private Key muß geheim bleiben, der Public
    Key ist öffentlich zugänglich gt Notwendigkeit
    einer Public-Key-Infrastruktur
  • Beispiel RSA (Rivest, Shamir und Adelman)?
  • Typische Schlüssellängen 512, 1024, 2048 Bit
  • Hybride Verfahren
  • Setzen Asymmetrische Verfahren zur Übertragung
    eines gemeinsamen Schlüssels für eine
    symmetrische Verschlüsselung ein.
  • Der gemeinsame Schlüssel wird nur für eine
    Verbindung zur Ver-/Entschlüsselung der Daten
    verwendet (Session Key).
  • Der Aufwand für Ver- und Entschlüsselung sowie
    zum Knacken eines Schlüssels ist abhängig vom
    Verschlüsselungsverfahren und der Schlüssellänge

University of Innsbruck / Information Systems
10
11
Nachrichten- und Kanalverschlüsselung
  • Beim Versenden von Nachrichten kann entweder die
    Nachricht oder der Übertragungsweg verschlüsselt
    werden
  • Nachrichtenverschlüsselung am Beispiel Pretty
    Good Privacy
  • PGP dient dem Verschlüsseln von Email-Nachrichten
    mit asymmetrischen Verschlüsselungstechniken
  • Da Emails ohne direkte Verbindung vom Sender zum
    Empfänger verschickt werden, sondern über mehrere
    Zwischenstationen weitergeleitet werden ist keine
    Kanalverschlüsselung möglich
  • Kanalverschlüsselung am Beispiel TLS/SSL
  • TLS Transport Layer Security, SSL Secure
    Sockets Layer.
  • TLS/SSL wird als Protokoll zwischen
    Transportschicht (TCP) und Anwendungsschicht
    eingefügt um ungesicherten Anwendungsprotokollen
    wie HTTP, POP3, SMTP, FTP mehr Sicherheit zu
    ermöglichen
  • HTTP TLS/SSL HTTPS
  • Im Internet weit verbreitet zur Absicherung von
    Transaktionen im Online Banking und Online
    Shopping
  • Details siehe http//de.wikipedia.org/w/index.php
    ?titleTransport_Layer_Security

University of Innsbruck / Information Systems
11
12
Public Key Infrastruktur (PKI)?
  • In asymmetrischen Verschlüsselungsverfahren
    werden digitale Zertifikate verwendet um die
    Authentizität eines öffentlichen Schlüssels und
    seinen zulässigen Anwendungs- und Geltungsbereich
    zu bestätigen.
  • Eine Zertifizierungsstelle (Certificate
    Authority, CA) stellt digitale Zertifikate aus,
    die bescheinigen, daß der öffentliche Schlüssel
    der angegebenen Person od. Institution gehört
    (entspricht einem Personalausweis)?
  • Bekannte CAs Entrust, CyberTrust, RSA Security,
    Verisign
  • Dadurch, daß man der Glaubwürdigkeit der CA
    vertraut, vertraut man auch der Echtheit des
    Zertifikats
  • Zertifikatssperrlisten (Certificate Revocation
    Lists) enthalten Zertifikate die vor Ablauf der
    Gültigkeit zurückgezogen wurden
  • Eine CA kann auch andere CAs autorisieren
    Zertifikate auszustellen
  • Alternativer Ansatz Web of Trust Glaubt ein
    Benutzer an die Authentizität eines öffentlichen
    Schlüssels, kann er selber ein Zertifikat
    erstellen, indem er diesen Schlüssel signiert.
    Andere Benutzer können entscheiden ob sie diesem
    Zertifikat vertrauen oder nicht.
  • Wird z.B. in der Software PGP (Pretty Good
    Privacy) verwendet
  • Details http//www.pki-page.org

University of Innsbruck / Information Systems
12
13
Praktische Anwendung von Verschlüsselungstechnik
Alice (Absender)?
Bob (Empfänger)?
Nachricht ist unverändert und von Alice
Nachricht
Nachricht
Signatur
private key Alice
Vergleich
public key Alice
Nachricht
Nachricht
Entschlüsselung
Verschlüsselung
private key Bob
public key Bob
Übermittlung
ungesicherter Übertragungskanal
0(1/1
0(1/1
Übertragung einer signierten und verschlüsselten
E-Mail
University of Innsbruck / Information Systems
13
14
Aufgaben einer Zertifizierungsstelle (CA)?
Zertifizierungsstelle
Revocation List - . - .
1 Zertifikat beantragen
8 Zertifikat überprüfen
2 Zertifikat ausstellen
Bob (Empfänger)?
Alice (Absender)?
Zertifikat ist gültig und nicht widerrufen
3a private key sicher verwahren
3b Zertifikat mit public key veröffentlichen
6 Zertifikat downloaden
HP
Nachricht ist unverändert und von Alice
7 Signatur überprüfen
4 Nachricht schreiben und signieren
5 Nachricht versenden
University of Innsbruck / Information Systems
14
15
Remote Access und Virtual Private Network (VPN)?
  • Ziel beider Verfahren
  • Vertraulicher Datenaustausch über ein
    öffentliches Netzwerk (z.B. das Internet)?
  • Remote Access System (RAS)
  • Zugang zum Firmennetz per Direkteinwahl
  • Z.B. Mobile Mitarbeiter via Modem/Telefonleitung
  • Ein VPN ist ein virtuelles Kommunikationsnetzwerk
    das sogenannte Tunnel (verschlüsselte
    Übertragungskanäle) verwendet.
  • Dazu werden die ursprünglichen Datenpakete (meist
    verschlüsselt) in ein VPN-Protokoll verpackt,
    separat adressiert und übertragen (entsprechend
    dem verwendeten Übertragungsnetz), am Endpunkt
    wieder entpackt (entschlüsselt) und unter Nutzung
    der privaten Netzwerkinfrastruktur zum Ziel
    weitergeleitet.
  • Mit VPN können
  • über VPN-Gateways permanent entfernte LANs
    verbunden werden (Site-to-Site)?
  • über VPN-Client-Software beim Endbenutzer und
    VPN-Gateway-Software im Firmen-LAN einzelne
    entfernte Mitarbeiter temporär an das LAN
    angebunden werden (End-to-Site)?
  • Häufig eingesetzte Tunneling Protokolle sind
  • IPSec (IP Security Protocol)?
  • PPTP (Point To Point Tunneling Protocoll)?
  • L2F (Layer 2 Forwarding)?
  • L2TP (Layer 2 Tunneling Protocoll)?
  • Neuerdings auch TLS/SSL

University of Innsbruck / Information Systems
15
16
Funktionsweise von VPN
Quelle http//www.tcp-ip-info.de/tcp_ip_und_inter
net/vpn.htm
University of Innsbruck / Information Systems
16
17
Funktionalität wichtiger VPN-Tunnelingprotokolle
PPTP
IPSec
Quelle http//www.tcp-ip-info.de/tcp_ip_und_inter
net/vpn.htm
University of Innsbruck / Information Systems
17
18
Sicherheit im (privaten) Wireless-LAN
  • Gefahrenpotentiale für ungesicherte
    Wireless-Netze
  • Da die per Funk übertragenen Datenpakete jeder
    mithören kann ist ein illegales Mitverwenden des
    Internetzugangs mit den Möglichkeiten
  • Massenversand von Spam, Ausführen von z.B. DoS
    Attacken,
  • sowie ein Ausspähen persönlicher Daten
    (Login-Informationen, Passwörter) mit allen
    Konsequenzen der (illegalen) Verwendung dieser
    Daten möglich.
  • Vorbeugungsmaßnahmen
  • Im Verwaltungstool des AccessPoint/WLAN-Routers
    sollten die Administrations-Standardpasswörter
    geändert und die Fernkonfiguration deaktiviert
    werden.
  • Firmware und Software der Gerätes sollten
    regelmäßig aktualisiert werden.
  • Service Set Identifier (SSID) sollte sinnvoll
    geändert werden (sollte keine Rückschlüsse auf
    Hardware, Einsatzzweck oder Ort zulassen).
  • Ev. sollte das Broadcast der SSID deaktiviert
    werden
  • Geringer Schutz, kann mittels Sniffer beim
    Anmelden trotzdem ausgelesen werden
  • MAC-Filter setzen und DHCP-Adressvergabe nur für
    registrierte MAC-Adressen
  • Geringer Schutz MAC-Adressen können ausgelesen
    und leicht geändert werden
  • Die bestmögliche Verschlüsselungstechnik in
    Verbindung mit möglichst sicheren Pre-Shared-Keys
    (pass phrase) einsetzen
  • Schlecht WEP (Wired Equivalent Privacy),
    arbeitet mit RC4 Stromchiffre durch Analyse von
    einigen 10.000 Datenpaketen innerhalb von Minuten
    entschlüsselbar
  • Besser WPA (Wi-Fi Protected Access) welches
    zusätzlichen Schutz durch dynamische Schlüssel
    (Temporal Key Integrity Protocol TKIP) und
    Benutzerauthentifizierung durch PreShared Keys
    (PSK) oder Extensible Authentication Protocol
    (EAP) bietet
  • Am besten WPA2 (Wi-Fi Protected Access 2)
    welches den Advanced Encryption Standard (AES)
    anstelle von RC4 verwendet und alle Vorteile von
    WPA enthält

University of Innsbruck / Information Systems
18
19
Sicherheit im (privaten) DSL- oder Kabelrouter
  • Neuere Geräte enthalten die Funktion
    IP-Masquerading, manchmal auch Port-Adress-Transla
    tion (PAT) oder 1-to-n-NAT bezeichnet
  • Verwenden nur eine registrierte IP-Adresse am
    WAN-Port und bilden die privaten IP-Adressen an
    den LAN-Ports über eine interne Zuordnungstabelle
    auf diese eine IP-Adresse ab
  • Vorteile
  • Nur eine registrierte IP-Adresse zur Anbindung
    mehrerer Endgeräte nötig
  • Die Rechner im LAN können nicht aus dem Internet
    direkt adressiert werden (vergl. Proxy-Funktion)?
  • Häufig enthalten die Geräte auch einfache
    Firewall-Funktionalität (Paketfilter,
    Contentfilter)?
  • Nachteil
  • Um Rechner im LAN von außen zugänglich zu machen,
    muß der Serviceport dieses Rechners (z.B. Port 80
    für einen WEB-Server) im Gerät statisch einer
    bestimmten IP-Adresse des LAN zugeordnet werden.

University of Innsbruck / Information Systems
19
20
Zum Nachlesen
  • Literatur
  • Eckert, C. IT-Sicherheit  Konzept - Verfahren
    Protokolle, München - Wien, Oldenburg 2005 
  • Maier, R. Hädrich, T. Peinl, R. Enterprise
    Knowledge Infrastructures, Springer, Berlin 2005
  • Links
  • http//analyze.privacy.net
  • http//webscan.security-check.ch/test
  • http//www.tcp-ip-info.de/

University of Innsbruck / Information Systems
20
Write a Comment
User Comments (0)
About PowerShow.com