Vorlesung SS 2001: Sicherheit in offenen Netzen

Transkript

1 Vorlesung SS 2001: Sicherheit in offenen Netzen 2.11 Elektronische Post - Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel, Bahnhofstraße 30-32, D Trier 1

2 2. Architektur von Internet und Intranet 2.1 Internet Protocol - IP 2.2 Transmission Control Protocol - TCP 2.3 User Data Protocol - UDP 2.4 Internetprotokolle für serielle Leitungen 2.5 Adressierung in IP-Netzwerken 2.6 Internet Domain-Name Service - DSN 2.7 Internet Protocol Next Generation - IPv6 2.8 Absicherung auf der Vermittlungsschicht - IPSec 2.9 Netze mit mehreren Standorten 2.10 World Wide Web - WWW 2.11 Elektronische Post Internet News 2.13 File Transport Protocol - FTP 2.14 Terminalemulation - Telnet 2.15 Verzeichnisdienst - LDAP 2.16 Multimedia Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 2

3 2.11 Elektronische Post - (1 von...) Erinnerung: Die Internet-Protokollfamilie: Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 3

4 2.11 Elektronische Post - (2 von...) (1) Einführung (1 von...) -Dienst ist einer der ältesten und wichtigsten Internet-Dienste. Îbasiert auf Client-Server-Prinzip ÎNachrichtenserver - Message Transfer Agents MTA sind für Speicherung, Administration und Transport der Nachrichten verantwortlich ÎMail-Clients - User Agents UA - tauschen ein- und abgehende Nachrichten mit dem nächstgelegenen Nachrichtenserver ÎÜbertragung zwischen ÎNachrichtenserver und Mail-Client erfolgt mit unterschiedlichen Protokollen ÎNachrichtenservern untereinander erfolgt meist mit klassischem Simple Mail Transfer Protocol - SMTP Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 4

5 2.11 Elektronische Post - (3 von...) (1) Einführung (2 von...) ÎSMTP wurde 1982 festgeschrieben (RFC 821) Îwurde lediglich zur Übertragung von Textnachrichten entwickelt und kann bis heute nur 7 Bit US-ASCII-Text-Formate übertragen Îauch Zusammenspiel mit X.400 Nachrichtensystem, das auch nichttextbasierte Inhalte ermöglicht, war sehr problematisch Îmit MIME-Erweiterung - Multipurpose Internet Mail Extension - von SMTP wurde diese Einschränkung 1993 überwunden Î1996 machte S-MIME-Erweiterung auch die verschlüsselte Übermittlung von MIM -Nachrichten möglich Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 5

6 2.11 Elektronische Post - (4 von...) (1) Einführung (3 von...) Für Übertragung der Nachrichten zwischen Mail-Client und Mail-Server kommen verschiedene Protokolle zum Einsatz (meist nicht SMTP): Îim Remote-Betrieb - Client wählt sich am Server ein, überträgt Nachricht und schließt Verbindung - wird am häufigsten Post Office Protocol - POP3 eingesetzt Îim Online-Betrieb - Client steht während gesamter Mailsession mitmailserver in Verbindung, Nachrichten bleiben auf Speicher des Servers - wird POP3 zunehmend durch Internet Message Access Protocol IMAP4 abgelöst Îin LAN-Verbindungen kommen oft Filesystemprotokolle wie NFS (Unix) oder propreitäre Protokolle SMF (Novell) mit darauf aufsetzenden Programmschnittstellen (MAPI, VIM, AOCE) oder das WWW-Protokoll (bzw. S- HTTP, SSL) zum Einsatz Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 6

7 2.11 Elektronische Post - (5 von...) (1) Einführung (4 von...) Mail-Server müssen permanent erreichbar sein. Typische Einsatzszenarien: ÎSMTP-Server muß permanent am Netz sein und über ein leistungsfähiges Betriebssystem mit Mehrbenutzerbetrieb verfügen ÎBenutzer in lokalem Netz hat eine Mailbox auf einem zentalen SMTP- Server, in der die an ihn gerichteten s abgelegt werden. Zum gewünschten Zeitpunkt holt Benutzer seine Mail mit Hilfe eines Mailprogramms unter Einsatz des POP3 oder IMAP4-Protokolls ÎInternet Service Provider betreiben Mailserver für ihre Kunden und richten für diese Mailbox ein. Nach Aufbau einer Wählverbindung über ISDN oder Modem können diese mittels POP3 oderimap4 über ihre Mail Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 7 verfügen.

8 Die Transportprotokolle des -Dienstes Serverfunktionen Verzeichnisdienste X.500, LDAP Nachrichtenspeicherung Management Administratio n Nachrichtentransport SMTP, X.400 Sicherheitsdienste SSL, S-HTTP S.MIME Client-Server- Transportschnittstelle POP, IMAP; MAPI, VIM, AOCE, HTTP, S-HTTP, SSL Clientfunktionen Mail Clients Workgroup Applikationen Workflow Applikationen Private Mail Clients Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 8

9 2.11 Elektronische Post - (7 von...) (2) Simple Mail Transfer Protocol - SMTP (1 von...) SMTP beinhaltet Direktiven um Î Sender, Empfänger und Inhalt einer Nachricht festzulegen Î Adressat aus Gruppe von Benutzern bilden zu können Funktionsweise von SMTP: Î Aufbau einer TCP-Verbindung zum Zielrechner Î Übermittlung der Nachricht. Wird gewünschter Rechner nicht erreicht, wird Zustellungsversuch in regelmäßigen Intervallen wiederholt und Nachricht evtl. nach Tagen als unzustellbar an Absender zurückgesendet. Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 9

10 2.11 Elektronische Post - (8 von...) (2) Simple Mail Transfer Protocol - SMTP (2 von...) Funktionsweise des SMTP im Detail (1 von...): Î(1) Sender überträgt MAIL-Befehl, der eigene Sendeadresse enthält: MAIL FROM:Name@Rechnername.Netz Empfänger bestätigt Emfangsbereitschaft 250 <SP> OK <CRLF> Î(2) Sender übermittelt Adresse des Recipienten RCPT <SP> TO:Name@Rechnername.Netz Empfänger bestätigt mit 220 OK falls Recipient bekannt oder 550 Failure reply falls Recipient auf Server nicht registriert - Schritt 2 ist mehrfach auszuführen, wenn Mail für mehrere Empfänger bestimmt - Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 10

11 2.11 Elektronische Post - (9 von...) (2) Simple Mail Transfer Protocol - SMTP (3 von...) Funktionsweise des SMTP (2 von...): Î(3) Sender überträgt DATA-Befehl DATA <CRLF> Empfänger antwortet 354 Intermediate reply und interpretiert alle nachfolgend übertragenen Zeichen als Nachricht. Sender überträgt Nachrichteninhalt -besteht aus Kopf und eigentliche Nachricht - und schließt Datenstrom wird mit einer Zeile ab, die lediglich einen Punkt enthält <CRLF>. <CRLF> Empfänger quittiert Abschluß der Nachrichtenübertragung mit HELO<SP><Domainname><CLRF> und Prof. QUIT Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 11

12 Die SMTP-Befehle nach RFC 821 HELO <SP> <domain> <CRLF> MAIL <SP> FROM:<reverse-path> <CRLF> RCPT <SP> TO:<forward-path> <CRLF> DATA <CRLF> RSET <CRLF> SEND <SP> FROM:<reverse-path> <CRLF> SOML <SP> FROM:<reverse-path> <CRLF> SAML <SP> FROM:<reverse-path> <CRLF> VRFY <SP> <string> <CRLF> EXPN <SP> <string> <CRLF> HELP [<SP> <string>]<crlf> NOOP<CRLF> QUIT<CRLF> TURN<CRLF> Eröffnung des Übertragungspfades Initialisierung und Übertagung der Senderadresse Übertragung der Empfängeradresse Übertragung der Daten Abbruch der laufenden Übertragung Übertragung mit direkter Zustellung an einen Online-user (Terminal) Übertragung an Mailbox oder Online-User (Terminal) Übertragung an Mailbox und Online-User (Terminal) Verifikation einer Adresse Auflistung eines Mailverteilers Hilfe zu Mail-Befehlen Leerkommando, um die Gegenstelle zur Versendung eines OK zu veranlassen Schließung des Übertragungskanals Rollentausch zwischen Sender und Empfänger Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 12

13 Die SMTP-Antwortcodes nach RFC Command not implemented 211 System status, or system help reply 503 Bad sequence of commands 214 Help message 504 Command parameter not implemented 220 <domain> Service ready 550 Repested action not taken: mailbox 221 <domain> Service closing transmission channel unavailabe 250 Requested mail action okay, completed 551 User not local; please try <forward-path> 251 User not local; will forward to <forward-path> 552 Requested mail action aborted: exceeded 354 Start mail input: end with <CRLF>.<CRLF> storage allocation 421 <domain> Service not availabe, closing transmission channel 553 Repuested action not taken: mailbox name 450 Requ3ested mailaction not taken: mailbox unavailabe not allowed 451 Repqested abtin abortet: local error in processing 554 Transaction failed 452 Requested action not taken: insufficient system storage 500 Syntax error, command unrecognized 501 Syntax error in parameters or arguments Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 13

14 2.11 Elektronische Post - (12 von...) (2) Simple Mail Transfer Protocol - SMTP (6 von...) Sicherheitsprobleme: Îgesamte SMTP-Kommunikation erfolgt im Klartext (7-Bit-ASCII) ÎAngaben über Absender können nicht überprüft werden, Fälschungen sind deshalb leicht möglich: Hacker-Geschäftsidee: Angebot von Dienste, mit denen jeder Nachrichten mit beliebigen Absendern erzeugen kann (Anonymail, Kaboom,...) Îzuverlässige Identifikation von s nur durch Einsatz von Verschlüsselungsmethoden und digitale Signaturen möglich, z.b. PGP, S-MIME Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 14

15 2.11 Elektronische Post - (13 von...) (3) Multipurpose Internet Mail Extensions MIME (1 von...) MIME-Erweiterung von SMTP beseitigt Beschränkung von SMTP auf Übertragung von reinen US-ASCII-Textnachrichten durch Einführung zusätzlicher Header - MIME-Header - Îz.B. Content-Type-Header zur Anzeige des Typ der übertragenen Daten: Text - Texte in verschiedenen Zeichensätzen, Multipart - Kombination verschiedener Datentypen Application - beliebige binäre Daten Massage Content - gekapselte Mailnachrichten Audio - Audio und Sprachnachrichten Video - Videonachrichte Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 15

16 2.11 Elektronische Post - (14 von...) (3) Multipurpose Internet Mail Extensions MIME (2 von...) Kodierung nicht 7-Bit-US-ASCII konformer Daten: ÎSMTP legt Datensatz und maximale Zeilenlänge (1000 Zeichen) fest ÎMIME spezifiert angewandte Kodierung im Header Content Transfer Encoding : z quoted-printable z base64 z 8 Bit z 7 Bit z binary Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 16

17 2.11 Elektronische Post - (15 von...) (4) Privacy Enhanced Mail - PEM PEM (RFC ) ist Internet-Standard für Verschlüsselung von SMTP-Nachrichten. ÎPEM-Verschlüsselungsmechanismen: ÎRSA - Public Key-Verschlüsselungsverfahren ÎDES - symmetrisches Verschlüsselungsverfahren ÎPEM-Methode: ÎNachricht wird mit zufälligem Schlüssel mit DES verschlüsselt ÎDES-Schlüssel wird mit RSA-Verfahren verschlüsselt Îdie beiden verschlüsselten Nachrichten werden übertragen (im 7-Bit-US-ASCII Format) Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 17

18 2.11 Elektronische Post - (16 von...) (5) S/MIME (1 von...) S/MIME ist Erweiterung von MIME um neue Content Typen, die Anwendung von Verschlüsselung und digitalen Signaturen ermöglichen. Îangewandter Standard: PKCS#7 - Cryptographic Message Syntax (CMS) ÎContent Type Application / pkcs-7-mime zeigt CMS-Kompatibilität an Îenveloped-data - verschlüsselt aber nicht signiert Îsigned-data - Signatur ohne Verschlüsselung Îenvoloped-data, signed-data - signiert und verschlüsselt ÎAttribut certs-only zeigt Übertragung eines selbstverifizierenden X.509- Zertifikat (Root Zertifikat) ÎRecipient muß S/MIME fähigen Client besitzen Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 18

19 2.11 Elektronische Post - (17 von...) (5) S/MIME (2 von...) ÎRecipient muß S/MIME fähigen Client besitzen ÎNachrichten können auch signiert, aber im Klartext übertragen werden: Verwendung des S/MIME-Content Types multipart / signed: Nachricht wird in die Teile Text und Signatur zerlegt. - Text wird als text/plain, - Signatur als CMS-kompatible application/pkcs7-signatur übertragen. Text kann nun von jedem Mail-Client angezeigt werden, Überprüfung der Unterschrift erfordert S/MIME-fähiges Programm Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 19

20 2.11 Elektronische Post - (18 von...) (6) Pretty Good Privacy - PGP (1 von...) PGP ist eines der ältesten Verfahren zur Verschlüsselung und zum Signieren von s ÎMitte der 80er Jahre von P. Zimmermann entwickelt, häufiger Gegenstand von Rechtsstreit (Lizenz, Export,...) ÎFreeware-Version erhältlich und kommerzielle Version mit flexibler Schlüsselverwaltung ÎPGP benutzt ähnliche Algorithmen wie S/MIME: ÎIDEA, Triple-DES, CAST zur symmetrischen Datenverschlüsselung ÎRSA, Diffie-Hellman zur asyymetrischen Verschlüsselung des symm. Schlüssels ÎSHA-1, MD5 für Signatur Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 20

21 2.11 Elektronische Post - (19 von...) (6) Pretty Good Privacy - PGP (2 von...) Vertrauensmodell und Schlüsselverwaltung bei der PGP-Freeware- Version: Îjeder PGP-Benutzer erstellt für möglichst viele ihm bekannt Benutzer ein Zertifikat, das den Zusammenhang zwischen den Benutzern und ihren öffentlichen Schlüssel mit seiner digitalen Signatur bestätigt ÎPGP-Keyserver machen die öffentlichen Schlüssel - eingeteilt in unterschiedliche Kategorien der Vertrauenswürdigkeit - der Benutzer zugänglich Wirkungsweise: Îwollen zwei Benutzer erstmalig, so versuchen die vermitteln PGP-Server einen möglichst vertrauenswürdige Weg Vertrauenskette für Übermittlung der Nachricht zu finden Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 21

22 Das FTP-Protokoll: Steuer- und Datenverbindungen Universität Trier Port x FTP Steuermodul Port y FTP Datenüberragungsmodul Steuerverbindung,3 7&3 FTP-Client Port 20 FTP Datenübertragunsmodul Datenverbindung,3 7&3 Port 21 FTP Steuer-modul FTP-Server Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 22