Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Transkript

1 Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

2 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt ist die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgt. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände findet man auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Inhaltsverzeichnis 1 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet Management Summary Einführung und Überblick Anwendungsszenarien für internetfähige lokale Netze Grundlagen des sicheren Netzbetriebs Wesentliche Ergebnisse der Gefährdungsanalyse Wesentliche Empfehlungen Fazit Glossar Stichwort- und Abkürzungsverzeichnis Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe 1 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet Die Nutzung des Internets eröffnet Möglichkeiten, die heute in Verwaltung und Wirtschaft fast schon unentbehrlich geworden sind. Allerdings birgt das Internet für die angeschlossenen IT-Systeme und die davon abhängigen Informationsverarbeitungsprozesse auch erhebliche Gefahren. Das Modul ISi-LANA vermittelt die grundlegenden Sicherheitsempfehlungen zu den Basistechniken, die für den Betrieb eines internetfähigen lokalen Netzes benötigt werden. Der vorliegende ISi-L basiert vorrangig auf der erstellten BSI-Studie: Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA). 1.1 Management Summary Sollen in einem lokalen Netz (LAN) Web, oder andere Internet-Dienste nicht nur intern genutzt werden, so muss dieses lokale Netz an ein nicht vertrauenswürdiges Netz (z. B. Internet) angeschlossen werden. Mit diesem Schritt setzt der Betreiber eines LANs sein bislang geschlossenes Netz jedoch erheblichen zusätzlichen Gefährdungen aus, noch bevor er die erste Anwendung auch nur installiert hätte. Angreifer aus dem Internet können Schwachstellen der grundlegenden Internet- Protokolle, -Dienste und -Komponenten ausnutzen und so Datenverkehr abhören ( Sniffing ), Systeme mit gefälschten Absenderangaben zu unerwünschtem Verhalten bringen ( Spoofing ) oder einfach in das interne Netz eindringen ( Hacking ). Die vorliegende ISi-LANA-Studie gibt Empfehlungen, wie diesen Gefahren bei normalem Schutzbedarf durch eine robuste Grundarchitektur, eine geeignete Geräteauswahl, sichere Konfigurationseinstellungen und einen kontrollierten Betrieb zu begegnen ist. Es werden zudem Varianten für den hohen Schutzbedarf aufgezeigt. Sie bietet dem Anwender damit Unterstützung in der Konzeptionsphase des in [ISi-E] vorgeschlagenen Ablaufplans und hilft ihm, den Netzaufbau, die Komponenten-Beschaffung sowie die Realisierung und den Betrieb des Netzes zu konzipieren. Die Studie behandelt vornehmlich die drei unteren Schichten des TCP/IP-Referenzmodells: Netzzugangsschicht, Internet-Schicht und Transportschicht. Die spezifischen Aspekte der einzelnen Dienste und Anwendungen werden in anderen Teilen der ISi-Reihe behandelt. Im Mittelpunkt der Studie steht der Vorschlag einer Grundarchitektur für normalen Schutzbedarf, die sowohl das sichere Nutzen als auch das sichere Anbieten von Diensten im Internet berücksichtigt. Diese Grundarchitektur ist in vier Zonen untergliedert. Die erste Zone umfasst das interne Netz. Sie enthält alle Client-Systeme sowie alle Infrastrukturund Anwendungs-Server, die für den autonomen, lokalen LAN-Betrieb benötigt werden. In der zweiten Zone befindet sich das dreistufige Sicherheits-Gateway, das aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter besteht. Dieser Aufbau schützt das LAN vor Angriffen aus dem Internet. Des Weiteren sind hier die erforderlichen Server zum Anbieten von Diensten im Internet untergebracht, welche wiederum durch Paketfilter abgesichert werden, sich also in sogenannten Demilitarisierten Zonen befinden. Die dritte Zone umfasst die Komponenten zur Internet-Anbindung. Sie enthält im einfachsten Fall einen einzelnen Router, der mit dem Netz eines Internet-Diensteanbieters verbunden ist. Bei höheren Anforderungen an die Verfügbarkeit muss die Anbindung redundant ausgelegt werden. Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet In der Management-Zone werden alle Management-Daten zentral gesammelt und verarbeitet. Hier ist auch der zentrale Zeitserver untergebracht, mit dem sämtliche Systemuhren im Netz synchronisiert werden. Neben einer sicheren Konzeption ist die Beschaffung und Konfiguration der verwendeten Komponenten von besonderer Wichtigkeit. In der Studie (ISi-S) Sichere Anbindung von lokalen Netzen an das Internet werden dazu umfassende Empfehlungen gegeben. So sollten zum Beispiel alle Komponenten über separate Management-Schnittstellen verfügen oder zumindest über verschlüsselte Protokolle administrierbar sein. Wichtig ist auch, dass die Paketfilter komplexe Regelwerke anwenden können, um den möglichen Datenverkehr bestmöglich einzuschränken, sowie dass das Application-Level Gateway nur Daten passieren lässt, die es auch auf Anwendungsschicht untersuchen kann. Um den Bedürfnissen möglichst vielfältiger Einsatzszenarien gerecht zu werden, ist das Lösungskonzept flexibel anpassbar an die Größe und Komplexität der LAN-Infrastruktur, an die Anzahl und Art der zu unterstützenden Dienste sowie an den individuellen Schutzbedarf der Daten und Anwendungen in den unterschiedlichen Sicherheitszonen. Dazu enthält ISi-LANA neben der Grundarchitektur für normalen Schutzbedarf verschiedene Architektur- und Konfigurationsvarianten: einerseits Varianten für kleine, unkritische IT-Infrastrukturen, die sich mit reduziertem Aufwand realisieren lassen, und andererseits Varianten, die durch ergänzende Maßnahmen oder modulare Erweiterungen auch hohem Schutzbedarf gerecht werden. 1.2 Einführung und Überblick Das Internet hat seinen Ursprung in einem überschaubaren, weitgehend geschlossenen Netz, das anfangs nur einige wenige Forschungseinrichtungen miteinander verband. In seinen Anfängen konnten die angeschlossenen Teilnehmer einander im Wesentlichen vertrauen. Ziel der Entwicklung war ein ausfallsicheres Netz. Bei der Konzeption der Internet-Basistechniken spielten andere Sicherheitsaspekte, wie Vertraulichkeit und Integrität, hingegen nur eine untergeordnete Rolle. Durch die Öffnung des Netzes, seine erdumspannende geografische Ausweitung und seine enorm gestiegene wirtschaftliche Bedeutung hat sich die Bedrohungslage jedoch grundlegend geändert. Einerseits sind die Internet-Nutzer in zunehmendem Maße von der Verfügbarkeit der Internet-Nutzung abhängig, andererseits sehen sie sich durch den Anschluss an das Internet stetig wachsenden Bedrohungen ausgesetzt Anwendungsszenarien für internetfähige lokale Netze Angesichts der Bedrohung kann man mit Recht fragen, warum sich der Betreiber eines lokalen Netzes (Local Area Network, LAN) überhaupt auf eine Anbindung an das Internet einlassen sollte. Zu den wichtigsten Anwendungen, die das Internet ermöglicht, zählen: Bereitstellung eines ortsunabhängigen Zugangs für Außendienstmitarbeiter (Remote Access) Das Internet bietet ein engmaschiges Netz von Zugangspunkten, die es weltweit ermöglichen, mit geringem technischen Aufwand und zu moderaten Kosten eine leistungsfähige Daten- oder Sprachverbindung zu unterschiedlichsten Diensten am Heimatstandort aufzunehmen. Standort-übergreifende LAN-Kopplung (Virtuelles Privates Netz, VPN) Das Internet ermöglicht es, geografisch getrennte LAN-Segmente zu einem logischen Netz zusammenzuschließen, ohne dass dafür eigene Verbindungsleitungen geschaltet werden müssen. Durch die gemeinschaftliche Nutzung der paketvermittelnden IP-Infrastruktur sind solche Ver- 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe bindungen - verglichen mit klassischen, leitungsvermittelnden Netzen wie etwa dem ISDN - aufgrund der guten Auslastung des Netzes besonders preiswert realisierbar. Zugriff auf die globalen Datenbestände des Internets (World Wide Web, WWW) Das Internet ist im Begriff, herkömmliche Nachschlagewerke als bevorzugte Wissensquelle abzulösen. Die Suchmaschinen des WWW liefern einen schnellen und bequemen Zugriff auf unterschiedlichste Informationen und Dienste. Teilhabe an elektronischer Korrespondenz ( ) In Wirtschaft, Verwaltung und Forschung erweist sich gegenüber der Brief-Korrespondenz als bevorzugtes Kommunikationsmittel. ist schneller, weniger förmlich und in der Lage, multimediale Inhalte direkt von Rechner zu Rechner zu transferieren. Datenaustausch mit Geschäftspartnern und Behörden Das Internet ermöglicht die Schaffung von Ad-hoc-Verbindungen zwischen beliebigen Teilnehmern. Dabei bilden die Protokolle der TCP/IP-Familie die weltweite Grundlage der Computer- Netze. Sie ermöglichen einen universellen, medienbruchfreien Datenaustausch zwischen unterschiedlichsten Internet-Teilnehmern. All diese Anwendungsmöglichkeiten machen deutlich, wie sehr das Internet inzwischen die Geschäftsabläufe durchdrungen hat. Es ist daher in vielen Bereichen selbstverständlich geworden, die lokale IT-Infrastruktur zum Internet hin zu öffnen Grundlagen des sicheren Netzbetriebs Bis heute beruht der Datenaustausch im Internet ganz wesentlich auf den Kommunikationsprotokollen und Diensten der Anfangszeit. Deren Sicherheitseigenschaften sind jedoch für die heutige Bedrohungslage nicht mehr ausreichend: Der sichere Betrieb eines lokalen Netzes mit Anschluss an das Internet erfordert zwingend ergänzende technische und organisatorische Vorkehrungen. Grundlegende Netzprotokolle Praktisch alle Internet-Kommunikation baut auf dem Internet-Protokoll IP auf. Dieses stellt nur Mechanismen zur Adressierung (IP-Adressen) und grundlegende Mechanismen zur Steuerung der Paketvermittlung bereit. Auf IP bauen die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) auf, die ihrerseits Grundlage für die diversen Protokolle wie HTTP oder SMTP sind, die von den verschiedenen Anwendungen genutzt werden. Die Bedeutung der IP-Protokollfamilie reicht aber weit über die Übertragung von Dateien zwischen Rechnern hinaus: auch Sprache (z. B. Internet-Telefonie) und multimediale Inhalte (z. B. Internet-TV) werden in zunehmendem Maße über eine einheitliche IP-Infrastruktur übertragen. Ein weiteres grundlegendes Protokoll ist das Internet Control Message Protocol ICMP, das Funktionen zur Steuerung des Datenflusses zur Verfügung stellt. Beispielsweise kann mittels ICMP geprüft werden, ob ein anderer Rechner im Netz erreichbar ist (Ping) oder über welche Zwischenstationen die Pakete zu einem anderen Rechner weitergeleitet werden. Die erwähnten grundlegenden Protokolle bieten keine Funktionen, um die Vertraulichkeit und Integrität der übertragenen Daten zu gewährleisten. Solche Funktionen müssen deswegen von den jeweiligen Anwendungen in ihren eigenen Protokollen implementiert werden. Als Nachfolger der derzeit noch am verbreitetsten eingesetzten IP Version 4 ist bereits seit längerem die Protokollversion 6 (IPv6) verfügbar. IPv6 stellt im Gegensatz zur Vorgängerversion Mechanismen zur Authentisierung und Verschlüsselung bereit, mit denen die Sicherheit der Daten- Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet übertragung einheitlich auf der Netzschicht verbessert werden kann. Die Verbreitung von IPv6 wächst jedoch nur langsam. Grundlegende Dienste Neben den Protokollen gibt es fundamentale Dienste, die für den Betrieb von IP-Netzen unabdingbar sind. Einer der wichtigsten Dienste ist das Domain Name System (DNS). Er sorgt für die Umsetzung alphanumerischer Namen in die entsprechenden IP-Adressen. Der Dienst DNS bildet einen hierarchischen Namensraum, der von DNS-Servern verwaltet wird. Der Namensraum ist in Zonen aufgeteilt. Jede Zone bildet einen unabhängigen Administrationsbereich mit einem verantwortlichen Name Server (DNS Primary). Der verantwortliche DNS Primary gibt an nachgeordnete Server DNS-Informationen mit beschränkter Gültigkeitsdauer (Time to Live, TTL) weiter. Diese hierarchisch gestaffelten Server puffern DNS-Datensätze. Kann ein Server die Anfrage eines Clients nicht lokal auflösen, leitet er die Anfrage an übergeordnete DNS-Server weiter. Das DNS-Protokoll ist ungesichert. DNS-Informationen werden offen übertragen und können von daher genutzt werden, um z. B. den Kommunikationsaufbau zu stören. Es existieren bereits Vorschläge für eine kryptografische Sicherung der DNS-Kommunikation. Hier ist besonders DNS-Security Extensions (DNSSEC) zu erwähnen. Um den Datenaustausch zwischen verschiedenen Routern zu gewährleisten muss der Weg, den ein Datenpaket von der Quelle bis zum Ziel nehmen soll, festgelegt werden. Das bezeichnet man als Routing. Im Internet ist der de-facto-standard für das Routing zwischen verschiedenen IP-Netzen das BGP-Protokoll. Das Border Gateway Protocol Version 4 (BGPv4) dient dem Austausch von Informationen über die Erreichbarkeit von IP-Netzen und Autonomen Systemen. Dies ermöglicht unter anderem die Rekonstruktion der Verbindungstopologie der Autonomen Systeme, die Eliminierung zyklischer Routen, das Aggregieren von Routen sowie die Durchsetzung spezifischer Routing- Strategien für ein Autonomes System. Router und Switches müssen auch administriert und überwacht werden. Dafür gibt es verschiedene Protokolle wie Telnet und SNMP (Simple Network Management Protocol), die jedoch nur teilweise Mechanismen zur sicheren Authentisierung bereitstellen. Auch hier gibt es inzwischen Alternativen, die Verschlüsselung und eine bessere Authentisierung bieten, z. B. SNMPv3, SSH (Secure Shell), SFTP (SSH File Transfer Protocol). Ein weiterer grundlegender Dienst im Netz ist das Network Time Protocol (NTP). Dieses Protokoll dient der Synchronisation von Rechnern in IP-Netzen. Das Protokoll basiert auf einer Hierarchie von Zeitservern; die ranghöchsten Server nutzen in der Regel eine hochgenaue externe Zeitquelle (z. B. DCF77). NTP-Clients passen ihre lokale Uhr in Phase und Frequenz an die Synchronisationssignale des Servers an. Grundlegende LAN-Technologien Im Bereich der lokalen Netze ist Ethernet die vorherrschende Technologie, die konkurrierende Übertragungstechniken (z. B. FDDI, ATM, Token Ring) weitgehend verdrängt hat. Nach dem ursprünglichen Funktionsprinzip von Ethernet senden Teilnehmer ihre Datenpakete über ein gemeinsames Busmedium. Der Bus bildet eine sogenannte Kollisionsdomäne, denn gleichzeitiges Senden mehrerer Busteilnehmer verursacht Signalüberlagerungen ( Kollisionen ). Solche Kollisionen werden in Kauf genommen. Nachteil ist, dass alle Nachrichten innerhalb sogenannter Kollisionsdomänen von jedermann u. a. mitprotokolliert werden können. Durch den Einsatz moderner Netzkoppelelemente und einer geeigneten LAN-Architektur können diese Schwächen deutlich gemildert werden. Sogenannte Switched Ethernet ermöglichen gegenüber klassischen Bus-Netzen 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe eine wesentlich bessere Kontrolle der Netzzugänge und der logischen Netzsegmentierung. Dies bietet eine Grundlage für den sicheren Netzbetrieb, die sich auf der Ebene der Internet-Schicht durch physische Segmentierung des LANs in mehrere Teilnetze weiter ausbauen lässt. All diese Maßnahmen reduzieren die Angriffsfläche des Netzes, sie begrenzen zudem im Falle eines geglückten Angriffs zumindest das Ausmaß des eintretenden Schadens. Basis für sichere IT-Anwendungen Die Grundlage für den sichere Betrieb eines lokalen Netzes mit Anschluss an das Internet bildet eine zuverlässige Basistechnik. Da die grundlegenden Internet- und LAN-Technologien aber nicht von sich aus über ausreichende Sicherungsmechanismen verfügen, müssen lokale Netze von Grund auf speziell für einen sicheren Betrieb im Internet ausgelegt werden, was die Auswahl, Anordnung und Konfiguration ihrer IT-Komponenten betrifft. Erst durch Absicherung der unteren drei Schichten des TCP/IP-Referenzmodells können Schutzmechanismen auf Anwendungsebene nicht dadurch umgangen werden, indem der Angreifer Schwachstellen der tiefer liegenden Protokollschichten ausnutzt. 1.3 Wesentliche Ergebnisse der Gefährdungsanalyse Die im Internet gebräuchlichen Basistechniken sind für verschiedene grundlegende Bedrohungen empfänglich: Sniffing, Spoofing, Hacking und Denial of Service. Sniffing (Bedrohung der Vertraulichkeit) Sniffing (englisch für schnüffeln ) bezeichnet Techniken, um den Datenverkehr eines Computer- Netzes unautorisiert auszuspähen und sich unrechtmäßig Zugriff auf vertrauliche Informationen zu verschaffen. Sniffing bedroht die Vertraulichkeit der Informationsverarbeitung. Es kann auch der Informationsbeschaffung für weitergehende Angriffe dienen, etwa zum Ausspähen von Passwörtern. Ein typisches Beispiel für eine Sniffing-Attacke ist das sogenannte MAC Flooding. Bei diesem Angriff überhäuft der Angreifer einen Switch mit immer neuen MAC-Adressen, bis schließlich dessen Adresstabelle überläuft und der Switch in einen Notbetrieb-Modus (Failopen Mode) wechselt. In dieser Betriebsart sendet er alle eintreffenden Nachrichten an alle angeschlossenen Teilnehmer-Anschlüsse, da für eine genaue Zuordnung von Adresse zu Anschluss der Speicherplatz nicht ausreicht. Der Angreifer kann also an seinem Anschluss sämtlichen Datenverkehr mitlesen, der über diesen Switch läuft. Die elementare Schutzmaßnahme gegen alle Arten von Sniffing-Angriffen ist die Verschlüsselung aller sicherheitsrelevanten Protokolle und Anwendungsdaten. Die grundlegenden Internet-Protokolle (z. B. IPv4, UDP, TCP, ICMP) und Basisdienste (z. B. DNS, Telnet, FTP) senden die übertragenen Daten jedoch unverschlüsselt. Neue Protokollversionen, wie etwa IPv6 und SNMPv3, bieten inzwischen verschlüsselte Kommunikation. Sie setzen sich aber nur allmählich gegen etablierte, unsichere Protokoll-Varianten durch. Noch immer mangelt es auch an weithin verfügbaren Public-Key-Infrastrukturen, die es den Internet-Nutzern in bequemer Weise ermöglichen würden, verschlüsselte Verbindungen mit beliebigen Kommunikationspartnern aufzubauen. Daher bleibt Sniffing auf absehbare Zeit eine ernste Bedrohung für die Internet-Sicherheit. Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Spoofing (Bedrohung der Integrität/Authentizität) Spoofing (englisch für manipulieren, verschleiern, vortäuschen ) nennt man in der Informationstechnik verschiedene Täuschungsversuche zur Verschleierung der eigenen Identität und zum Fälschen übertragener Daten. Das Ziel besteht darin, die Integrität und Authentizität der Informationsverarbeitung zu untergraben. MAC Spoofing und ARP Spoofing sind typische Angriffsvarianten. Hierbei versucht der Angreifer, die Zuordnung zwischen Zugangs-Port am Switch und MAC-Adresse beziehungsweise zwischen IP-Adresse und MAC-Adresse so zu manipulieren, dass er mit seinem Rechner die Identität eines fremden Endgeräts im Netz annehmen kann. Die Folge ist, dass der eigentlich für ein fremdes Endgerät bestimmte Datenverkehr auf den Rechner des Angreifers umgeleitet wird. Ebenso ermöglicht ein solcher Angriff, beliebige Daten unter einer fremden Identität zu verbreiten. Ein ähnlicher Angriff ist auch auf Anwendungsebene möglich. Beim sogenannten DNS Spoofing manipuliert der Angreifer die Zuordnung zwischen Domain-Namen und IP-Adressen, zum Beispiel in dem Bestreben, seinen Angriffsrechner als ein Portal für Online-Banking auszugeben. Gelingt der Angriff, so kann der Angreifer Bank-Transaktionen entgegennehmen, die darin enthaltenen Zugangs-Passwörter, PINs und TANs ausspähen und versuchen, mit diesen Informationen fremde Konten zu plündern. Die grundlegende Maßnahme gegen Spoofing-Angriffe besteht in der Verwendung integritätsgesicherter Protokolle und in der Authentisierung von Benutzern, Diensten und Hardware-Komponenten. Derzeit identifizieren sich die Kommunikationspartner bei den grundlegenden Internet-Protokollen meist nur anhand ihrer Geräte- oder IP-Adressen. Diese Angaben sind jedoch leicht fälschbar und daher für eine sichere Authentisierung ungeeignet. Erst der Einsatz starker Kryptografie ermöglicht in einem offenen Netz den verlässlichen Nachweis der Urheberschaft und der Unversehrtheit empfangener Daten. Neuere Protokoll-Versionen verfügen zunehmend über kryptografische Prüfcodes. Allerdings verwenden viele Geräte in der Standardeinstellung noch die unsicheren älteren Protokoll-Versionen bei der ersten Inbetriebnahme. Hacking (Bedrohung durch Eindringen) Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhandene Sicherheitsmechanismen zu überwinden, um in ein IT-System einzudringen, seine Schwächen offen zu legen und es gegebenenfalls zu übernehmen. Hacking bedroht die Systemhoheit des Netzbetreibers. Die grundlegende Maßnahme gegen Hacking besteht darin, die Angriffsfläche zu minimieren. Was aber genau die Angriffsfläche eines IT-Systems ausmacht, ist im Einzelnen schwer vorhersehbar, da sich Angreifer jedwede Schwachstelle in oft überraschender Weise zunutze machen können. Als vorbeugende Maßnahme empfiehlt sich in jedem Fall eine physische Segmentierung der IT-Infrastruktur, die Filterung der Datenpakete an einem mehrstufigen Sicherheits-Gateway sowie eine strenge Zugriffskontrolle. Wichtig ist auch der Schutz des lokalen Netzes gegen Innentäter: Sollte es einem Angreifer tatsächlich gelingen, in das lokale Netz einzudringen und dort einen Rechner zu unterwandern, so begrenzt ein solcher Schutz den Aktionsradius des Angreifers. Sniffing und Spoofing (z. B. das Abhören oder Erschleichen von Passwörtern) sind häufig genutzte Techniken zur Vorbereitung und Durchführung komplexer Hacking-Angriffe. Da die geläufigen Protokolle und Dienste im Internet dem Ausspähen und Täuschen nur wenig Widerstand entgegensetzen, bieten sie ohne zusätzliche Sicherheitsvorkehrungen auch nur geringen Schutz vor einem Eindringling. 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Denial of Service (Bedrohung der Verfügbarkeit) Denial of Service (DoS) bezeichnet einen Zustand, in dem ein System den Dienst verweigert, also nicht mehr verfügbar ist. DoS-Angriff ist der Sammelbegriff für Angriffe, die darauf abzielen, die Verfügbarkeit von Systemen bewusst zu schädigen. Dies kann durch mutwillig erzeugte Rechen-, Speicher- oder Kommunikationslasten erreicht werden oder, indem Schwachstellen in Software oder Hardware genutzt werden, um einen Rechner gezielt zum Absturz zu bringen. Um entsprechende Lasten zu generieren, gehen solche Angriffe meist ferngesteuert und koordiniert von einer sehr großen Zahl von Angriffsrechnern aus; man spricht in diesem Falle von verteilten DoS-Angriffen (Distributed DoS, DDoS). Eine typische Angriffsstrategie besteht darin, mittels eines Broadcasts eine ganze Lawine von Antwort-Nachrichten auszulösen, die die Verarbeitungskapazitäten des Empfängers übersteigen. Beim sogenannten Smurf Attack sendet der Angreifer zum Beispiel eine ICMP-Anfrage unter der gefälschten Absender-Adresse seines Opfers als Broadcast an viele Rechner. Alle Empfänger erwidern den Broadcast mit einer ICMP-Antwort, und die geballte Menge der zeitgleichen Antworten zwingt den Opferrechner in die Knie. In ähnlicher Weise kann ein DNS-Server dazu gebracht werden, eine Kaskade rekursiver DNS-Anfragen auszulösen, um die Namensauflösung im Internet gezielt zu beeinträchtigen (DNS Amplification Attack). Die Funktionsweise des Internets begünstigt solche Überlastungsangriffe: Das Internet basiert auf der Paketvermittlung. Datenpakete verschiedener Kommunikationsverbindungen teilen sich die einzelnen Abschnitte der Übertragungsstrecken. Anders als in einem klassischen, leitungsvermittelnden Netz wie etwa dem Telefonnetz, bei dem für jede Verbindung dauerhaft ein exklusiv genutzter Kommunikationskanal mit fester Bandbreite reserviert wird, haben böswillige Sender es daher relativ leicht, Übertragungseinrichtungen oder Internet-Teilnehmer gezielt mit unerwünschten Datenpaketen zu überlasten. Ein Schutz gegen DoS-Angriffe ist im Internet nur bedingt möglich. Die grundlegende Maßnahme gegen mutwillige Systemabstürze besteht darin, das System in einer Minimalkonfiguration mit möglichst geringer Angriffsfläche zu betreiben und die aktuellen Korrekturen (Patches) der Systemhersteller unverzüglich einzuspielen, um bekannt gewordene Schwachstellen zu eliminieren. Den wichtigsten Schutz gegen Überlastungsversuche bieten ausreichende Leistungsreserven, um einer Attacke so lange zu widerstehen, bis die Quelle des Angriffs auf anderem Wege unschädlich gemacht werden kann. Durch gezieltes Bandbreiten-Management lassen sich die verfügbaren Übertragungskapazitäten so aufteilen, dass den wichtigsten Diensten immer eine definierte Mindestbandbreite zur Verfügung steht, die ihnen nicht von niedriger priorisierten Anwendungen streitig gemacht werden kann. 1.4 Wesentliche Empfehlungen Den Empfehlungen für den Aufbau, die Konfiguration und den Betrieb eines internetfähigen lokalen Netzes liegen folgende Grundprinzipien zugrunde: Funktionstrennung: Unabhängige Funktionen sollten getrennt voneinander realisiert werden ( Ein Server ein Dienst! ). Dies gilt insbesondere für sicherheitsrelevante Funktionen. Die Funktionstrennung reduziert die Komplexität der Gerätekonfiguration und minimiert so die Angriffsfläche und die Last der einzelnen Komponenten. Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Minimalität: Alle Systemkomponenten insbesondere die Komponenten des Sicherheits-Gateways sowie die über das Internet erreichbaren Server sollten minimal konfiguriert sein. Überflüssige Software sollte entfernt, nicht benötigte Gerätefunktionalität sollte deaktiviert werden. Need-to-Know-Prinzip: Systemkomponenten, Anwendungen und Dienste dürfen nur solche Informationen über das LAN und seine Benutzer preisgeben, die für den ordnungsgemäßen Betrieb und die Nutzung der IT-Infrastruktur unverzichtbar sind. Das zugängliche Informationsangebot sollte je nach Rolle und Zugriffsrechten des Benutzers individuell zugeschnitten werden. Whitelisting: Alle Filterregeln in Paketfiltern und Sicherheits-Proxys sollten so formuliert sein, dass Anfragen, die nicht ausdrücklich zugelassen sind, automatisch abgewiesen werden. Beschränkung des Verbindungsaufbaus: Verbindungen dürfen nicht aus dem Internet in das interne Netz aufgebaut werden, es sei denn, dass der Dienst sonst nicht funktioniert (z. B. ). Aktualität: Die eingesetzte Betriebssystem- und Anwendungs-Software sollte immer auf dem neuesten Stand gehalten werden. Verfügbare Patches sollten unverzüglich eingepflegt werden. Auf der Basis dieser Prinzipien ergibt sich die in Abbildung 1.1 dargestellte Grundarchitektur, bestehend aus einem internen Netz, einem vorgelagerten Sicherheits-Gateway, das jegliche Interaktion zwischen Internet und internem Netz auf das unverzichtbare Minimum beschränkt, und der eigentlichen Internet-Anbindung. Abbildung 1.1: Grundarchitektur für normalen Schutzbedarf Empfehlungen zum sicheren Aufbau des internen Netzes Die Basis für eine sichere Internet-Nutzung bildet ein lokales Netz, das auch gegenüber Innentätern widerstandsfähig ist. Ein sicheres lokales Netz begrenzt die Missbrauchsmöglichkeiten eines externen Angreifers, dem es tatsächlich gelungen ist, die äußere Schutzbarriere zu durchbrechen und eine interne Komponente zu unterwandern. Die Abwehr von Innentätern hilft auch zu verhindern, dass interne Nutzer das Netz als Plattform für Internet-Angriffe auf fremde IT-Systeme missbrauchen. Um dies zu erreichen, ist die Grundarchitektur für das interne Netz durch das Prinzip der strikten physischen Segmentierung geprägt: Interne Teilnetze mit unterschiedlichem, gegebenenfalls auch 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe gleich hohem Schutzbedarf (sogenannte Sicherheitszonen) sind durch ein Sicherheits-Gateway voneinander getrennt. Ein internes Sicherheits-Gateway besteht aus mindestens einem Paketfilter. Eine rein logische Segmentierung mittels VLAN-Technik ist für eine sichere Trennung von Sicherheitszonen nicht ausreichend. Jedes nicht-triviale interne Netz ist somit mindestens in zwei Sicherheitszonen untergliedert, ein Client-Segment für Arbeitsplatzrechner und ein Server-Segment für die grundlegenden Dienste zur Unterstützung des Netzbetriebs. Weitere Segmente können ergänzt werden, etwa um Daten und Anwendungen mit hohem Schutzbedarf (z. B. Personaldaten) von der übrigen IT-Infrastruktur abzuschotten. Daten und Anwendungen, die vom Internet aus zugänglich sein sollen, dürfen nicht auf Servern im internen Netz bereitgestellt werden. Sie müssen auf externe Server verlagert werden, die in einer sogenannten Demilitarisierten Zone (DMZ) des Sicherheits-Gateways untergebracht sind und dort sowohl vom Internet als auch vom lokalen Netz aus erreichbar sind. Empfehlungen zur sicheren Anbindung an das Internet Im Kern besteht das Lösungskonzept für eine sichere Anbindung eines lokalen Netzes an das Internet darin, den Datenaustausch zwischen Internet und lokalem Netz durch ein dreistufiges Sicherheits-Gateway zu kontrollieren. Dieses Sicherheits-Gateway besteht aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter (PAP-Struktur). Das PAP-Sicherheits-Gateway darf nicht umgangen werden, jeglicher Datenaustausch zwischen Internet und internem Netz muss das Gateway passieren. Dabei beschränkt das Sicherheits-Gateway eingehenden und ausgehenden Datenverkehr auf die ausdrücklich erwünschten Protokolle und Dienste. Um eine vollständige Kontrolle zu ermöglichen, dürfen verschlüsselte Verbindungen das Sicherheits-Gateway nicht ungeprüft durchtunneln. Die Prüfung erfordert eine Entschlüsselung und gegebenenfalls die Neuverschlüsselung solcher Verbindungen im Sicherheits-Gateway. Nur wenn eine Ende-zu-Ende-Verschlüsselung unabdingbar ist, darf verschlüsselte Kommunikation mit ausgewählten Kommunikationspartnern unkontrolliert durch das Sicherheits-Gateway geschleust werden. Solche Ausnahmen müssen jedoch im Sicherheitskonzept ausdrücklich dokumentiert und begründet werden. Zusätzliche Sicherheitsmaßnahmen müssen dann zudem auf dem internen Client umgesetzt werden. Bei der Internet-Anbindung ist zwischen zwei Kommunikationsrichtungen zu unterscheiden, zum einen dem Nutzen von Internet-Diensten, zum anderen dem Anbieten eigener Dienste im Internet. Während die Kommunikationsverbindung bei der Dienstenutzung auf geradem Weg über die drei Stufen des PAP-Gateways geführt wird, werden externe Zugriffe auf die angebotenen Internet- Dienste auf einem Server in einer DMZ des Sicherheits-Gateways terminiert, um das interne Netz vor direktem Zugriff zu schützen. Die vorgelagerten DMZ-Server können bei Bedarf ihrerseits auf Rechner in nachgelagerten Sicherheitszonen der DMZ zurückgreifen, um ihre Dienste bereitzustellen. Abbildung 1.1 zeigt die Grundarchitektur für normalen Schutzbedarf im Überblick. Beispielhaft für andere Internet-Dienste wird hier ein Web-Anwendungs-Server (WWW AS) in einer hierarchisch geschachtelten DMZ betrieben. Der Anwendungs-Server ist sowohl von innen (über den internen Webserver WWW int. ) als auch aus dem Internet (über den äußeren Webserver WWW in der DMZ) erreichbar. Die Daten der Webanwendung liegen auf einem Datenbank-Server ( WWW DB ), der in einer getrennten Sicherheitszone platziert ist und die Anwendungsdaten von externen wie internen Nutzern verwaltet. Innerer und äußerer Webserver fungieren gewissermaßen als dienst- und benutzergruppenspezifische Proxys für den Web-Anwendungs-Server. Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Ausgehend von der in Abbildung 1.1 dargestellten Grundarchitektur gibt es verschiedene Realisierungsvarianten, die zum Beispiel durch das Zusammenlegen von Servern oder Paketfiltern bei verringertem Hardware-Aufwand einen etwas schwächeren, aber unter Umständen ebenfalls akzeptablen Schutz bieten. Die damit einhergehenden Restrisiken müssen allerdings bewusst getragen werden. Für höheren Schutzbedarf müssen weitergehende Empfehlungen umgesetzt werden, wie zum Beispiel Redundanzmaßnahmen. Eine detaillierte Betrachtung findet sich im zugehörigen ISi-S. Ein wichtiges Sicherheitsmerkmal der Grundarchitektur ist die Verwendung privater Adressen. Im gesamten internen Netz einschließlich des Sicherheits-Gateways werden private IP-Adressen vergeben, die im Internet nicht geroutet werden können. Eine Adressumsetzung (NAT) der extern sichtbaren, öffentlichen IP-Adressen auf interne, private IP-Adressen verbirgt die interne Struktur des Netzes nach außen und verhindert so, dass interne Rechner direkt aus dem Internet angegriffen werden können. Empfehlungen für ein sicheres Netzmanagement Die relevanten Komponenten der Grundarchitektur - Router, Paketfilter, Sicherheits-Proxys und Server - müssen kontinuierlich überwacht und administriert werden. Aus Sicherheitsgründen sollten dazu nur verschlüsselte Netzmanagement-Protokolle verwendet werden. Da aber verschlüsselte Verbindungen das Sicherheits-Gateway aus Sicherheitsgründen nicht ungeprüft durchqueren dürfen, empfiehlt es sich, den gesamten Management-Datenverkehr in einer getrennten Sicherheitszone zu bündeln (Out-of-Band-Management). Abbildung 1.2 zeigt die empfohlene Grundarchitektur für das Netzmanagement. Alle Management- Protokolle (z. B. SNMP, SSH, syslog) werden über eigene Management-Schnittstellen der Komponenten abgewickelt, die über ein separates Netz mit einer zentralen Management-Station verbunden sind. Oft ermöglicht das Betriebssystem einer Komponente eine vollständige Entkopplung der Nutzdaten-Schnittstellen von den Management-Schnittstellen. Die Management-Station dient zugleich dazu, alle Systemkomponenten mittels Network Time Protocol (NTP) zu synchronisieren. Als IT-unabhängige Referenzzeitquelle dient ein DCF77-Empfangsmodul. Die Grundarchitektur sieht vor, die Management-Zone aus Sicherheitsgründen durch Paketfilter in getrennte Teilsegmente zu untergliedern. Auch hier sind vereinfachte Realisierungsvarianten mit reduziertem Hardware-Aufwand und erhöhtem Restrisiko denkbar. Für Anwendungsszenarien mit hohem Schutzbedarf kann es sinnvoll sein, auf eine Zusammenführung der Management-Segmente in einer zentralen Management-Station zu verzichten und statt dessen physisch getrennte Management-Stationen pro Teilsegment vorzusehen. Eine solche dezentrale Lösung hat spezifische Vorteile, bringt aber auch einige Sicherheitsnachteile mit sich, die genau abzuwägen sind. 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Abbildung 1.2: Grundarchitektur mit Management- und Überwachungsmodul 1.5 Fazit ISi-LANA behandelt die Grundlagen des sicheren LAN-Betriebs mit Internet-Anbindung, adressiert also vornehmlich die drei unteren Protokollschichten des TCP/IP-Referenzmodells: Netzzugangsschicht, Internet-Schicht und Transportschicht. Folgt der Anwender den Empfehlungen und wendet sie sinngemäß auch auf erweiterte Netzarchitekturen an, so hat er was die unteren drei Schichten des TCP/IP-Referenzmodells betrifft das nötige getan, um bei Bedarf selbst hohen Schutzanforderungen zu genügen. Sicherheitsaspekte der Anwendungsschicht erfordern naturgemäß eine anwendungsspezifische Betrachtung und gehen daher über die hier behandelten Grundlagen hinaus. Solch weitergehenden Betrachtungen sind die spezialisierten Module der ISi-Reihe gewidmet, die gezielt auf die anwendungsabhängigen Besonderheiten beim Einsatz bestimmter Sicherheitstechniken und häufig verwendeter Internet-Dienste eingehen. Schutzmaßnahmen auf der Anwendungsschicht können allerdings nur erfolgreich sein, wenn sie nicht durch Angriffe auf darunter liegenden Schichten unterlaufen werden können. Mit seinen Empfehlungen zum sicheren Einsatz der Basistechniken schafft das Modul ISi-LANA die notwendigen Grundlagen für ein durchgängiges Sicherheitskonzept. Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet 2 Glossar Angriff (engl. attack) Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angreifer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen. Anwendungsschicht (engl. application layer) Die Anwendungsschicht ist die oberste Schicht im TCP/IP-Referenzmodell. Sie umfasst alle Protokolle, die von Anwendungsprogrammen, z. B. Browser oder -Client, verarbeitet und für den Austausch anwendungsspezifischer Daten genutzt werden. Beispiele für Protokolle der Anwendungsschicht sind das Hypertext Transfer Protocol (HTTP) oder das Simple Mail Transfer Protocol (SMTP). Authentisierung (engl. authentication) Unter einer Authentisierung versteht man die Vorlage eines Nachweises eines Kommunikationspartners, dass er tatsächlich derjenige ist, der er vorgibt zu sein. Authentizität (engl. authenticity) Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen. Bedrohung (engl. threat) Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen bedrohen kann, wodurch dem Besitzer der Informationen ein Schaden entsteht. Betriebssystem (engl. operating system) Das Betriebssystem ist ein Steuerungsprogramm, das die Verwendung eines Computers ermöglicht. Der Benutzer kann somit seine Dateien verwalten, angeschlossene Geräte (z. B. Drucker, Festplatte) kontrollieren oder Programme starten. Weit verbreitet sind z. B. Windows, Linux oder MacOS. Client [engl.] Als Client wird Soft- oder Hardware bezeichnet, die bestimmte Dienste von einem Server in Anspruch nehmen kann. Häufig steht der Begriff Client für einen Arbeitsplatzrechner, der in einem Netz auf Daten und Programme eines Servers zugreift. 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe DDoS (Distributed Denial of Service [engl.]) Ein koordinierter DoS Angriff auf die Verfügbarkeit von IT mittels einer größeren Anzahl von angreifenden Systemen. Diensteanbieter (engl. provider) Anbieter von Tele- oder Mediendiensten. Die Gewerblichkeit des Angebots ist nicht Voraussetzung der Einordnung. DMZ (Demilitarisierte Zone) Eine DMZ ist ein Zwischennetz, das an Netzübergängen gebildet wird, aber weder zu dem einen, noch zu dem anderen Netz gehört. Sie stellt ein Netz dar, das weniger stark gesichert, aber vom äußeren Netz aus besser erreichbar ist als das eigentlich zu schützende interne Netz. Die DMZ dient der Schaffung eines zusätzlichen Sicherheitsbereichs für Dienste (z. B. , Web) oder Proxys, die von externen Netzen aus nutzbar sein sollen, aber aus Sicherheitsgründen nicht im internen Netz platziert werden dürfen. DNS (Domain Name System [engl.]) Das Domain Name System übersetzt alphanumerische Adressnamen (z. B. in numerische Adressen (z. B ). Auch eine Übersetzung in die umgekehrte Richtung ist mit dem DNS möglich. Alphanumerische Namen für Rechner sind für die Benutzer einfach zu behalten und einzugeben. Da allerdings IPv4 und IPv6 Adressen in numerischer Form verlangen, ist eine Adressumsetzung durch das DNS notwendig. DoS (Denial of Service [engl.]) Angriffe, mit dem Ziel, die Verfügbarkeit von IT zu schädigen. FTP (File Transfer Protocol [engl.]) Das File Transfer Protocol umfasst Funktionen, mit denen man Dateien auf einfache Weise zwischen zwei Rechnern austauschen kann. Gefährdung Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwender prinzipiell durch Computer-Viren im Internet bedroht sind. Der Anwender, der eine virenbefallene Datei herunterlädt, wird von dem Computer-Virus gefährdet, wenn sein Computer anfällig für diesen Typ Computer-Virus ist. Für Anwender mit einem wirksamen Schutzprogramm, einer Konfiguration, die das Funktionieren des Computer-Virus verhindert, oder einem Betriebssystem, das den Virencode nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Gefährdung. Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Hacking [engl.] Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhandene Sicherheitsmechanismen zu überwinden, um in ein System IT-System einzudringen, seine Schwächen offen zulegen und es gegebenenfalls - bei unethischem Hacking - zu übernehmen. HTTP (Hypertext Transfer Protocol [engl.]) Das Hypertext Transfer Protocol dient zur Übertragung von Daten - meist Webseiten - zwischen einem HTTP-Server und einem HTTP-Client, also z. B. einem Browser. Die Daten werden über Uniform Resource Locators (URL) eindeutig bezeichnet. URLs werden meist in der Form Protokoll://Rechner/Pfad/Datei angegeben. Protokoll steht dabei für Protokolle der Anwendungsschicht, Rechner für den Namen oder die Adresse des Servers und der Pfad der Datei gibt den genauen Ort der Datei auf dem Server an. Ein Beispiel für eine URL ist ICMP (Internet Control Message Protocol [engl.]) Das Internet Control Message Protocol transportiert Fehler- und Diagnoseinformationen für IPv4 und in der erneuerten Version auch für IPv6. Es wird intern von TCP, UDP und den beiden IP-Protokollen genutzt und kommt z. B. zum Einsatz, wenn Datenpakete nicht ausgeliefert werden können, ein Gateway Datenverkehr über eine kürzere Route leitet oder ein Gateway nicht genügend Pufferkapazität für die zu verarbeitenden Daten besitzt. Informationssicherheit (engl. information security) Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist umfassender und wird daher zunehmend verwendet. Integrität (engl. integrity) Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Integrität ist ein Grundwert der IT-Sicherheit. IP (Internet Protocol [engl.]) Verbindungsloses Protokoll der Internet-Schicht im TCP/IP-Referenzmodell. Ein IP-Header enthält in der Version IPv4 u. a. zwei 32-Bit-Nummern (IP-Adressen) für Ziel und Quelle der kommunizierenden Rechner. 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe IPv4 (Internet Protocol Version 4 [engl.]) Das Internet Protocol Version 4 ist ein verbindungsloses Protokoll der Vermittlungsschicht und erlaubt den Austausch von Daten zwischen zwei Rechnern ohne vorherigen Verbindungsaufbau. IPv4 setzt nicht voraus, dass das darunterliegende Netz Fehlererkennung ausführt. Ferner verfügt es über keine Verlässlichkeits- oder Flusssteuerungsmechanismen. Die meisten dieser Probleme gibt IPv4 an die nächsthöhere Schicht (die Transportschicht) weiter. IPv6 (Internet Protocol Version 6 [engl.]) Das Internet Protocol Version 6 ist die Nachfolgeversion von IPv4 und soll dieses ablösen, da es u. a. die Zahl der verfügbaren Rechneradressen stark erweitert und Maßnahmen zum Schutz der übertragenen Daten vor dem Verlust der Vertraulichkeit, der Integrität und der Authentizität umfasst. Die Sicherungsmaßnahmen sind unter dem Namen "IPSec" zusammengefasst. IPSec definiert Sicherungsdienste, die durch zwei zusätzliche Header, den "IP Authentication Header" (AH) und den Header "IP Encapsulating Security Payload" (ESP) realisiert werden. Mithilfe der Header können unterschiedliche kryptografische Algorithmen eingebunden werden. IPSec erlaubt die Integration der Header in Datagramme des IPv4 sowie des IPv6. AH- und ESP-Header können einzeln oder gemeinsam in einem IP-Datagramm auftreten. Die Sicherheitsmechanismen schützen IPv4/IPv6 und die darüberliegenden Protokolle. Kryptografie Mathematisches Fachgebiet, das sich mit Methoden zum Schutz von Informationen befasst (u. a. mit Vertraulichkeit, Integrität und Authentizität von Daten). NAT (Network Address Translation [engl.]) Network Address Translation (NAT) bezeichnet ein Verfahren zum automatischen und transparenten Ersetzen von Adressinformationen in Datenpaketen. NAT-Verfahren kommen meist auf Routern und Sicherheits-Gateways zum Einsatz, vor allem, um den beschränkten IPv4-Adressraum möglichst effizient zu nutzen und um lokale IP-Adressen gegenüber öffentlichen Netzen zu verbergen. Paketfilter (engl. packet filter) Paketfilter sind IT-Systeme mit spezieller Software, die den ein- und ausgehenden Datenverkehr anhand spezieller Regeln filtern. Ihre Aufgabe ist es, Datenpakete anhand der Informationen in den Header-Daten der IP- und Transportschicht (z. B. Quell- und Ziel-Adresse, -Portnummer, TCP- Flags) weiterzuleiten oder zu verwerfen. Der Inhalt des Pakets bleibt dabei unberücksichtigt. Passwort Geheimes Kennwort, das Daten, Rechner, Programme u. a. vor unerlaubtem Zugriff schützt. Patch [engl.] Ein Patch (vom englischen "patch", auf deutsch: Flicken) ist ein kleines Programm, das Software- Fehler wie z. B. Sicherheitslücken in Anwendungsprogrammen oder Betriebssystemen behebt. Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Protokoll (engl. protocol) Beschreibung (Spezifikation) des Datenformats für die Kommunikation zwischen elektronischen Geräten. Proxy [engl.] Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten. Restrisiko (engl. residual risk) Risiko, das grundsätzlich bleibt, auch wenn Maßnahmen zum Schutz des IT-Einsatzes ergriffen worden sind. Router [engl.] Ein (IP-)Router ist ein Vermittlungsrechner, der Netze auf IP-Ebene koppelt und Wegewahlentscheidungen anhand von IP-Protokollschicht-Informationen trifft. Router trennen Netze auf der Netzzugangsschicht und begrenzen daher die Broadcast-Domäne eines Ethernets. Schutzbedarf (engl. protection requirements) Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Schwachstelle (engl. vulnerability) Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen. Server [engl.] Als Server wird Soft- oder Hardware bezeichnet, die bestimmte Dienste anderen (Clients) anbietet. Typischerweise wird damit ein Rechner bezeichnet, der seine Hardware- und Software-Ressourcen in einem Netz anderen Rechnern zugänglich macht. Beispiele sind Applikations-, Daten-, Weboder server. Sicherheits-Gateway Ein Sicherheits-Gateway (oft auch Firewall genannt) gewährleistet die sichere Kopplung von IP- Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei im Wesentlichen, dass ausschließlich erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden. Ein Sicherheits-Gateway für normalen Schutzbedarf besteht im Allgemeinen aus mehreren, in Reihe geschalteten Filterkomponenten. Dabei ist zwischen Paketfilter und Application-Level Gateway (ALG) zu unterscheiden. 20 Bundesamt für Sicherheit in der Informationstechnik