Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Größe: px
Ab Seite anzeigen:

Download "Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)"

Transkript

1 Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

2 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt ist die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgt. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände findet man auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Inhaltsverzeichnis 1 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet Management Summary Einführung und Überblick Anwendungsszenarien für internetfähige lokale Netze Grundlagen des sicheren Netzbetriebs Wesentliche Ergebnisse der Gefährdungsanalyse Wesentliche Empfehlungen Fazit Glossar Stichwort- und Abkürzungsverzeichnis Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe 1 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet Die Nutzung des Internets eröffnet Möglichkeiten, die heute in Verwaltung und Wirtschaft fast schon unentbehrlich geworden sind. Allerdings birgt das Internet für die angeschlossenen IT-Systeme und die davon abhängigen Informationsverarbeitungsprozesse auch erhebliche Gefahren. Das Modul ISi-LANA vermittelt die grundlegenden Sicherheitsempfehlungen zu den Basistechniken, die für den Betrieb eines internetfähigen lokalen Netzes benötigt werden. Der vorliegende ISi-L basiert vorrangig auf der erstellten BSI-Studie: Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA). 1.1 Management Summary Sollen in einem lokalen Netz (LAN) Web, oder andere Internet-Dienste nicht nur intern genutzt werden, so muss dieses lokale Netz an ein nicht vertrauenswürdiges Netz (z. B. Internet) angeschlossen werden. Mit diesem Schritt setzt der Betreiber eines LANs sein bislang geschlossenes Netz jedoch erheblichen zusätzlichen Gefährdungen aus, noch bevor er die erste Anwendung auch nur installiert hätte. Angreifer aus dem Internet können Schwachstellen der grundlegenden Internet- Protokolle, -Dienste und -Komponenten ausnutzen und so Datenverkehr abhören ( Sniffing ), Systeme mit gefälschten Absenderangaben zu unerwünschtem Verhalten bringen ( Spoofing ) oder einfach in das interne Netz eindringen ( Hacking ). Die vorliegende ISi-LANA-Studie gibt Empfehlungen, wie diesen Gefahren bei normalem Schutzbedarf durch eine robuste Grundarchitektur, eine geeignete Geräteauswahl, sichere Konfigurationseinstellungen und einen kontrollierten Betrieb zu begegnen ist. Es werden zudem Varianten für den hohen Schutzbedarf aufgezeigt. Sie bietet dem Anwender damit Unterstützung in der Konzeptionsphase des in [ISi-E] vorgeschlagenen Ablaufplans und hilft ihm, den Netzaufbau, die Komponenten-Beschaffung sowie die Realisierung und den Betrieb des Netzes zu konzipieren. Die Studie behandelt vornehmlich die drei unteren Schichten des TCP/IP-Referenzmodells: Netzzugangsschicht, Internet-Schicht und Transportschicht. Die spezifischen Aspekte der einzelnen Dienste und Anwendungen werden in anderen Teilen der ISi-Reihe behandelt. Im Mittelpunkt der Studie steht der Vorschlag einer Grundarchitektur für normalen Schutzbedarf, die sowohl das sichere Nutzen als auch das sichere Anbieten von Diensten im Internet berücksichtigt. Diese Grundarchitektur ist in vier Zonen untergliedert. Die erste Zone umfasst das interne Netz. Sie enthält alle Client-Systeme sowie alle Infrastrukturund Anwendungs-Server, die für den autonomen, lokalen LAN-Betrieb benötigt werden. In der zweiten Zone befindet sich das dreistufige Sicherheits-Gateway, das aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter besteht. Dieser Aufbau schützt das LAN vor Angriffen aus dem Internet. Des Weiteren sind hier die erforderlichen Server zum Anbieten von Diensten im Internet untergebracht, welche wiederum durch Paketfilter abgesichert werden, sich also in sogenannten Demilitarisierten Zonen befinden. Die dritte Zone umfasst die Komponenten zur Internet-Anbindung. Sie enthält im einfachsten Fall einen einzelnen Router, der mit dem Netz eines Internet-Diensteanbieters verbunden ist. Bei höheren Anforderungen an die Verfügbarkeit muss die Anbindung redundant ausgelegt werden. Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet In der Management-Zone werden alle Management-Daten zentral gesammelt und verarbeitet. Hier ist auch der zentrale Zeitserver untergebracht, mit dem sämtliche Systemuhren im Netz synchronisiert werden. Neben einer sicheren Konzeption ist die Beschaffung und Konfiguration der verwendeten Komponenten von besonderer Wichtigkeit. In der Studie (ISi-S) Sichere Anbindung von lokalen Netzen an das Internet werden dazu umfassende Empfehlungen gegeben. So sollten zum Beispiel alle Komponenten über separate Management-Schnittstellen verfügen oder zumindest über verschlüsselte Protokolle administrierbar sein. Wichtig ist auch, dass die Paketfilter komplexe Regelwerke anwenden können, um den möglichen Datenverkehr bestmöglich einzuschränken, sowie dass das Application-Level Gateway nur Daten passieren lässt, die es auch auf Anwendungsschicht untersuchen kann. Um den Bedürfnissen möglichst vielfältiger Einsatzszenarien gerecht zu werden, ist das Lösungskonzept flexibel anpassbar an die Größe und Komplexität der LAN-Infrastruktur, an die Anzahl und Art der zu unterstützenden Dienste sowie an den individuellen Schutzbedarf der Daten und Anwendungen in den unterschiedlichen Sicherheitszonen. Dazu enthält ISi-LANA neben der Grundarchitektur für normalen Schutzbedarf verschiedene Architektur- und Konfigurationsvarianten: einerseits Varianten für kleine, unkritische IT-Infrastrukturen, die sich mit reduziertem Aufwand realisieren lassen, und andererseits Varianten, die durch ergänzende Maßnahmen oder modulare Erweiterungen auch hohem Schutzbedarf gerecht werden. 1.2 Einführung und Überblick Das Internet hat seinen Ursprung in einem überschaubaren, weitgehend geschlossenen Netz, das anfangs nur einige wenige Forschungseinrichtungen miteinander verband. In seinen Anfängen konnten die angeschlossenen Teilnehmer einander im Wesentlichen vertrauen. Ziel der Entwicklung war ein ausfallsicheres Netz. Bei der Konzeption der Internet-Basistechniken spielten andere Sicherheitsaspekte, wie Vertraulichkeit und Integrität, hingegen nur eine untergeordnete Rolle. Durch die Öffnung des Netzes, seine erdumspannende geografische Ausweitung und seine enorm gestiegene wirtschaftliche Bedeutung hat sich die Bedrohungslage jedoch grundlegend geändert. Einerseits sind die Internet-Nutzer in zunehmendem Maße von der Verfügbarkeit der Internet-Nutzung abhängig, andererseits sehen sie sich durch den Anschluss an das Internet stetig wachsenden Bedrohungen ausgesetzt Anwendungsszenarien für internetfähige lokale Netze Angesichts der Bedrohung kann man mit Recht fragen, warum sich der Betreiber eines lokalen Netzes (Local Area Network, LAN) überhaupt auf eine Anbindung an das Internet einlassen sollte. Zu den wichtigsten Anwendungen, die das Internet ermöglicht, zählen: Bereitstellung eines ortsunabhängigen Zugangs für Außendienstmitarbeiter (Remote Access) Das Internet bietet ein engmaschiges Netz von Zugangspunkten, die es weltweit ermöglichen, mit geringem technischen Aufwand und zu moderaten Kosten eine leistungsfähige Daten- oder Sprachverbindung zu unterschiedlichsten Diensten am Heimatstandort aufzunehmen. Standort-übergreifende LAN-Kopplung (Virtuelles Privates Netz, VPN) Das Internet ermöglicht es, geografisch getrennte LAN-Segmente zu einem logischen Netz zusammenzuschließen, ohne dass dafür eigene Verbindungsleitungen geschaltet werden müssen. Durch die gemeinschaftliche Nutzung der paketvermittelnden IP-Infrastruktur sind solche Ver- 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe bindungen - verglichen mit klassischen, leitungsvermittelnden Netzen wie etwa dem ISDN - aufgrund der guten Auslastung des Netzes besonders preiswert realisierbar. Zugriff auf die globalen Datenbestände des Internets (World Wide Web, WWW) Das Internet ist im Begriff, herkömmliche Nachschlagewerke als bevorzugte Wissensquelle abzulösen. Die Suchmaschinen des WWW liefern einen schnellen und bequemen Zugriff auf unterschiedlichste Informationen und Dienste. Teilhabe an elektronischer Korrespondenz ( ) In Wirtschaft, Verwaltung und Forschung erweist sich gegenüber der Brief-Korrespondenz als bevorzugtes Kommunikationsmittel. ist schneller, weniger förmlich und in der Lage, multimediale Inhalte direkt von Rechner zu Rechner zu transferieren. Datenaustausch mit Geschäftspartnern und Behörden Das Internet ermöglicht die Schaffung von Ad-hoc-Verbindungen zwischen beliebigen Teilnehmern. Dabei bilden die Protokolle der TCP/IP-Familie die weltweite Grundlage der Computer- Netze. Sie ermöglichen einen universellen, medienbruchfreien Datenaustausch zwischen unterschiedlichsten Internet-Teilnehmern. All diese Anwendungsmöglichkeiten machen deutlich, wie sehr das Internet inzwischen die Geschäftsabläufe durchdrungen hat. Es ist daher in vielen Bereichen selbstverständlich geworden, die lokale IT-Infrastruktur zum Internet hin zu öffnen Grundlagen des sicheren Netzbetriebs Bis heute beruht der Datenaustausch im Internet ganz wesentlich auf den Kommunikationsprotokollen und Diensten der Anfangszeit. Deren Sicherheitseigenschaften sind jedoch für die heutige Bedrohungslage nicht mehr ausreichend: Der sichere Betrieb eines lokalen Netzes mit Anschluss an das Internet erfordert zwingend ergänzende technische und organisatorische Vorkehrungen. Grundlegende Netzprotokolle Praktisch alle Internet-Kommunikation baut auf dem Internet-Protokoll IP auf. Dieses stellt nur Mechanismen zur Adressierung (IP-Adressen) und grundlegende Mechanismen zur Steuerung der Paketvermittlung bereit. Auf IP bauen die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) auf, die ihrerseits Grundlage für die diversen Protokolle wie HTTP oder SMTP sind, die von den verschiedenen Anwendungen genutzt werden. Die Bedeutung der IP-Protokollfamilie reicht aber weit über die Übertragung von Dateien zwischen Rechnern hinaus: auch Sprache (z. B. Internet-Telefonie) und multimediale Inhalte (z. B. Internet-TV) werden in zunehmendem Maße über eine einheitliche IP-Infrastruktur übertragen. Ein weiteres grundlegendes Protokoll ist das Internet Control Message Protocol ICMP, das Funktionen zur Steuerung des Datenflusses zur Verfügung stellt. Beispielsweise kann mittels ICMP geprüft werden, ob ein anderer Rechner im Netz erreichbar ist (Ping) oder über welche Zwischenstationen die Pakete zu einem anderen Rechner weitergeleitet werden. Die erwähnten grundlegenden Protokolle bieten keine Funktionen, um die Vertraulichkeit und Integrität der übertragenen Daten zu gewährleisten. Solche Funktionen müssen deswegen von den jeweiligen Anwendungen in ihren eigenen Protokollen implementiert werden. Als Nachfolger der derzeit noch am verbreitetsten eingesetzten IP Version 4 ist bereits seit längerem die Protokollversion 6 (IPv6) verfügbar. IPv6 stellt im Gegensatz zur Vorgängerversion Mechanismen zur Authentisierung und Verschlüsselung bereit, mit denen die Sicherheit der Daten- Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet übertragung einheitlich auf der Netzschicht verbessert werden kann. Die Verbreitung von IPv6 wächst jedoch nur langsam. Grundlegende Dienste Neben den Protokollen gibt es fundamentale Dienste, die für den Betrieb von IP-Netzen unabdingbar sind. Einer der wichtigsten Dienste ist das Domain Name System (DNS). Er sorgt für die Umsetzung alphanumerischer Namen in die entsprechenden IP-Adressen. Der Dienst DNS bildet einen hierarchischen Namensraum, der von DNS-Servern verwaltet wird. Der Namensraum ist in Zonen aufgeteilt. Jede Zone bildet einen unabhängigen Administrationsbereich mit einem verantwortlichen Name Server (DNS Primary). Der verantwortliche DNS Primary gibt an nachgeordnete Server DNS-Informationen mit beschränkter Gültigkeitsdauer (Time to Live, TTL) weiter. Diese hierarchisch gestaffelten Server puffern DNS-Datensätze. Kann ein Server die Anfrage eines Clients nicht lokal auflösen, leitet er die Anfrage an übergeordnete DNS-Server weiter. Das DNS-Protokoll ist ungesichert. DNS-Informationen werden offen übertragen und können von daher genutzt werden, um z. B. den Kommunikationsaufbau zu stören. Es existieren bereits Vorschläge für eine kryptografische Sicherung der DNS-Kommunikation. Hier ist besonders DNS-Security Extensions (DNSSEC) zu erwähnen. Um den Datenaustausch zwischen verschiedenen Routern zu gewährleisten muss der Weg, den ein Datenpaket von der Quelle bis zum Ziel nehmen soll, festgelegt werden. Das bezeichnet man als Routing. Im Internet ist der de-facto-standard für das Routing zwischen verschiedenen IP-Netzen das BGP-Protokoll. Das Border Gateway Protocol Version 4 (BGPv4) dient dem Austausch von Informationen über die Erreichbarkeit von IP-Netzen und Autonomen Systemen. Dies ermöglicht unter anderem die Rekonstruktion der Verbindungstopologie der Autonomen Systeme, die Eliminierung zyklischer Routen, das Aggregieren von Routen sowie die Durchsetzung spezifischer Routing- Strategien für ein Autonomes System. Router und Switches müssen auch administriert und überwacht werden. Dafür gibt es verschiedene Protokolle wie Telnet und SNMP (Simple Network Management Protocol), die jedoch nur teilweise Mechanismen zur sicheren Authentisierung bereitstellen. Auch hier gibt es inzwischen Alternativen, die Verschlüsselung und eine bessere Authentisierung bieten, z. B. SNMPv3, SSH (Secure Shell), SFTP (SSH File Transfer Protocol). Ein weiterer grundlegender Dienst im Netz ist das Network Time Protocol (NTP). Dieses Protokoll dient der Synchronisation von Rechnern in IP-Netzen. Das Protokoll basiert auf einer Hierarchie von Zeitservern; die ranghöchsten Server nutzen in der Regel eine hochgenaue externe Zeitquelle (z. B. DCF77). NTP-Clients passen ihre lokale Uhr in Phase und Frequenz an die Synchronisationssignale des Servers an. Grundlegende LAN-Technologien Im Bereich der lokalen Netze ist Ethernet die vorherrschende Technologie, die konkurrierende Übertragungstechniken (z. B. FDDI, ATM, Token Ring) weitgehend verdrängt hat. Nach dem ursprünglichen Funktionsprinzip von Ethernet senden Teilnehmer ihre Datenpakete über ein gemeinsames Busmedium. Der Bus bildet eine sogenannte Kollisionsdomäne, denn gleichzeitiges Senden mehrerer Busteilnehmer verursacht Signalüberlagerungen ( Kollisionen ). Solche Kollisionen werden in Kauf genommen. Nachteil ist, dass alle Nachrichten innerhalb sogenannter Kollisionsdomänen von jedermann u. a. mitprotokolliert werden können. Durch den Einsatz moderner Netzkoppelelemente und einer geeigneten LAN-Architektur können diese Schwächen deutlich gemildert werden. Sogenannte Switched Ethernet ermöglichen gegenüber klassischen Bus-Netzen 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe eine wesentlich bessere Kontrolle der Netzzugänge und der logischen Netzsegmentierung. Dies bietet eine Grundlage für den sicheren Netzbetrieb, die sich auf der Ebene der Internet-Schicht durch physische Segmentierung des LANs in mehrere Teilnetze weiter ausbauen lässt. All diese Maßnahmen reduzieren die Angriffsfläche des Netzes, sie begrenzen zudem im Falle eines geglückten Angriffs zumindest das Ausmaß des eintretenden Schadens. Basis für sichere IT-Anwendungen Die Grundlage für den sichere Betrieb eines lokalen Netzes mit Anschluss an das Internet bildet eine zuverlässige Basistechnik. Da die grundlegenden Internet- und LAN-Technologien aber nicht von sich aus über ausreichende Sicherungsmechanismen verfügen, müssen lokale Netze von Grund auf speziell für einen sicheren Betrieb im Internet ausgelegt werden, was die Auswahl, Anordnung und Konfiguration ihrer IT-Komponenten betrifft. Erst durch Absicherung der unteren drei Schichten des TCP/IP-Referenzmodells können Schutzmechanismen auf Anwendungsebene nicht dadurch umgangen werden, indem der Angreifer Schwachstellen der tiefer liegenden Protokollschichten ausnutzt. 1.3 Wesentliche Ergebnisse der Gefährdungsanalyse Die im Internet gebräuchlichen Basistechniken sind für verschiedene grundlegende Bedrohungen empfänglich: Sniffing, Spoofing, Hacking und Denial of Service. Sniffing (Bedrohung der Vertraulichkeit) Sniffing (englisch für schnüffeln ) bezeichnet Techniken, um den Datenverkehr eines Computer- Netzes unautorisiert auszuspähen und sich unrechtmäßig Zugriff auf vertrauliche Informationen zu verschaffen. Sniffing bedroht die Vertraulichkeit der Informationsverarbeitung. Es kann auch der Informationsbeschaffung für weitergehende Angriffe dienen, etwa zum Ausspähen von Passwörtern. Ein typisches Beispiel für eine Sniffing-Attacke ist das sogenannte MAC Flooding. Bei diesem Angriff überhäuft der Angreifer einen Switch mit immer neuen MAC-Adressen, bis schließlich dessen Adresstabelle überläuft und der Switch in einen Notbetrieb-Modus (Failopen Mode) wechselt. In dieser Betriebsart sendet er alle eintreffenden Nachrichten an alle angeschlossenen Teilnehmer-Anschlüsse, da für eine genaue Zuordnung von Adresse zu Anschluss der Speicherplatz nicht ausreicht. Der Angreifer kann also an seinem Anschluss sämtlichen Datenverkehr mitlesen, der über diesen Switch läuft. Die elementare Schutzmaßnahme gegen alle Arten von Sniffing-Angriffen ist die Verschlüsselung aller sicherheitsrelevanten Protokolle und Anwendungsdaten. Die grundlegenden Internet-Protokolle (z. B. IPv4, UDP, TCP, ICMP) und Basisdienste (z. B. DNS, Telnet, FTP) senden die übertragenen Daten jedoch unverschlüsselt. Neue Protokollversionen, wie etwa IPv6 und SNMPv3, bieten inzwischen verschlüsselte Kommunikation. Sie setzen sich aber nur allmählich gegen etablierte, unsichere Protokoll-Varianten durch. Noch immer mangelt es auch an weithin verfügbaren Public-Key-Infrastrukturen, die es den Internet-Nutzern in bequemer Weise ermöglichen würden, verschlüsselte Verbindungen mit beliebigen Kommunikationspartnern aufzubauen. Daher bleibt Sniffing auf absehbare Zeit eine ernste Bedrohung für die Internet-Sicherheit. Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Spoofing (Bedrohung der Integrität/Authentizität) Spoofing (englisch für manipulieren, verschleiern, vortäuschen ) nennt man in der Informationstechnik verschiedene Täuschungsversuche zur Verschleierung der eigenen Identität und zum Fälschen übertragener Daten. Das Ziel besteht darin, die Integrität und Authentizität der Informationsverarbeitung zu untergraben. MAC Spoofing und ARP Spoofing sind typische Angriffsvarianten. Hierbei versucht der Angreifer, die Zuordnung zwischen Zugangs-Port am Switch und MAC-Adresse beziehungsweise zwischen IP-Adresse und MAC-Adresse so zu manipulieren, dass er mit seinem Rechner die Identität eines fremden Endgeräts im Netz annehmen kann. Die Folge ist, dass der eigentlich für ein fremdes Endgerät bestimmte Datenverkehr auf den Rechner des Angreifers umgeleitet wird. Ebenso ermöglicht ein solcher Angriff, beliebige Daten unter einer fremden Identität zu verbreiten. Ein ähnlicher Angriff ist auch auf Anwendungsebene möglich. Beim sogenannten DNS Spoofing manipuliert der Angreifer die Zuordnung zwischen Domain-Namen und IP-Adressen, zum Beispiel in dem Bestreben, seinen Angriffsrechner als ein Portal für Online-Banking auszugeben. Gelingt der Angriff, so kann der Angreifer Bank-Transaktionen entgegennehmen, die darin enthaltenen Zugangs-Passwörter, PINs und TANs ausspähen und versuchen, mit diesen Informationen fremde Konten zu plündern. Die grundlegende Maßnahme gegen Spoofing-Angriffe besteht in der Verwendung integritätsgesicherter Protokolle und in der Authentisierung von Benutzern, Diensten und Hardware-Komponenten. Derzeit identifizieren sich die Kommunikationspartner bei den grundlegenden Internet-Protokollen meist nur anhand ihrer Geräte- oder IP-Adressen. Diese Angaben sind jedoch leicht fälschbar und daher für eine sichere Authentisierung ungeeignet. Erst der Einsatz starker Kryptografie ermöglicht in einem offenen Netz den verlässlichen Nachweis der Urheberschaft und der Unversehrtheit empfangener Daten. Neuere Protokoll-Versionen verfügen zunehmend über kryptografische Prüfcodes. Allerdings verwenden viele Geräte in der Standardeinstellung noch die unsicheren älteren Protokoll-Versionen bei der ersten Inbetriebnahme. Hacking (Bedrohung durch Eindringen) Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhandene Sicherheitsmechanismen zu überwinden, um in ein IT-System einzudringen, seine Schwächen offen zu legen und es gegebenenfalls zu übernehmen. Hacking bedroht die Systemhoheit des Netzbetreibers. Die grundlegende Maßnahme gegen Hacking besteht darin, die Angriffsfläche zu minimieren. Was aber genau die Angriffsfläche eines IT-Systems ausmacht, ist im Einzelnen schwer vorhersehbar, da sich Angreifer jedwede Schwachstelle in oft überraschender Weise zunutze machen können. Als vorbeugende Maßnahme empfiehlt sich in jedem Fall eine physische Segmentierung der IT-Infrastruktur, die Filterung der Datenpakete an einem mehrstufigen Sicherheits-Gateway sowie eine strenge Zugriffskontrolle. Wichtig ist auch der Schutz des lokalen Netzes gegen Innentäter: Sollte es einem Angreifer tatsächlich gelingen, in das lokale Netz einzudringen und dort einen Rechner zu unterwandern, so begrenzt ein solcher Schutz den Aktionsradius des Angreifers. Sniffing und Spoofing (z. B. das Abhören oder Erschleichen von Passwörtern) sind häufig genutzte Techniken zur Vorbereitung und Durchführung komplexer Hacking-Angriffe. Da die geläufigen Protokolle und Dienste im Internet dem Ausspähen und Täuschen nur wenig Widerstand entgegensetzen, bieten sie ohne zusätzliche Sicherheitsvorkehrungen auch nur geringen Schutz vor einem Eindringling. 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Denial of Service (Bedrohung der Verfügbarkeit) Denial of Service (DoS) bezeichnet einen Zustand, in dem ein System den Dienst verweigert, also nicht mehr verfügbar ist. DoS-Angriff ist der Sammelbegriff für Angriffe, die darauf abzielen, die Verfügbarkeit von Systemen bewusst zu schädigen. Dies kann durch mutwillig erzeugte Rechen-, Speicher- oder Kommunikationslasten erreicht werden oder, indem Schwachstellen in Software oder Hardware genutzt werden, um einen Rechner gezielt zum Absturz zu bringen. Um entsprechende Lasten zu generieren, gehen solche Angriffe meist ferngesteuert und koordiniert von einer sehr großen Zahl von Angriffsrechnern aus; man spricht in diesem Falle von verteilten DoS-Angriffen (Distributed DoS, DDoS). Eine typische Angriffsstrategie besteht darin, mittels eines Broadcasts eine ganze Lawine von Antwort-Nachrichten auszulösen, die die Verarbeitungskapazitäten des Empfängers übersteigen. Beim sogenannten Smurf Attack sendet der Angreifer zum Beispiel eine ICMP-Anfrage unter der gefälschten Absender-Adresse seines Opfers als Broadcast an viele Rechner. Alle Empfänger erwidern den Broadcast mit einer ICMP-Antwort, und die geballte Menge der zeitgleichen Antworten zwingt den Opferrechner in die Knie. In ähnlicher Weise kann ein DNS-Server dazu gebracht werden, eine Kaskade rekursiver DNS-Anfragen auszulösen, um die Namensauflösung im Internet gezielt zu beeinträchtigen (DNS Amplification Attack). Die Funktionsweise des Internets begünstigt solche Überlastungsangriffe: Das Internet basiert auf der Paketvermittlung. Datenpakete verschiedener Kommunikationsverbindungen teilen sich die einzelnen Abschnitte der Übertragungsstrecken. Anders als in einem klassischen, leitungsvermittelnden Netz wie etwa dem Telefonnetz, bei dem für jede Verbindung dauerhaft ein exklusiv genutzter Kommunikationskanal mit fester Bandbreite reserviert wird, haben böswillige Sender es daher relativ leicht, Übertragungseinrichtungen oder Internet-Teilnehmer gezielt mit unerwünschten Datenpaketen zu überlasten. Ein Schutz gegen DoS-Angriffe ist im Internet nur bedingt möglich. Die grundlegende Maßnahme gegen mutwillige Systemabstürze besteht darin, das System in einer Minimalkonfiguration mit möglichst geringer Angriffsfläche zu betreiben und die aktuellen Korrekturen (Patches) der Systemhersteller unverzüglich einzuspielen, um bekannt gewordene Schwachstellen zu eliminieren. Den wichtigsten Schutz gegen Überlastungsversuche bieten ausreichende Leistungsreserven, um einer Attacke so lange zu widerstehen, bis die Quelle des Angriffs auf anderem Wege unschädlich gemacht werden kann. Durch gezieltes Bandbreiten-Management lassen sich die verfügbaren Übertragungskapazitäten so aufteilen, dass den wichtigsten Diensten immer eine definierte Mindestbandbreite zur Verfügung steht, die ihnen nicht von niedriger priorisierten Anwendungen streitig gemacht werden kann. 1.4 Wesentliche Empfehlungen Den Empfehlungen für den Aufbau, die Konfiguration und den Betrieb eines internetfähigen lokalen Netzes liegen folgende Grundprinzipien zugrunde: Funktionstrennung: Unabhängige Funktionen sollten getrennt voneinander realisiert werden ( Ein Server ein Dienst! ). Dies gilt insbesondere für sicherheitsrelevante Funktionen. Die Funktionstrennung reduziert die Komplexität der Gerätekonfiguration und minimiert so die Angriffsfläche und die Last der einzelnen Komponenten. Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Minimalität: Alle Systemkomponenten insbesondere die Komponenten des Sicherheits-Gateways sowie die über das Internet erreichbaren Server sollten minimal konfiguriert sein. Überflüssige Software sollte entfernt, nicht benötigte Gerätefunktionalität sollte deaktiviert werden. Need-to-Know-Prinzip: Systemkomponenten, Anwendungen und Dienste dürfen nur solche Informationen über das LAN und seine Benutzer preisgeben, die für den ordnungsgemäßen Betrieb und die Nutzung der IT-Infrastruktur unverzichtbar sind. Das zugängliche Informationsangebot sollte je nach Rolle und Zugriffsrechten des Benutzers individuell zugeschnitten werden. Whitelisting: Alle Filterregeln in Paketfiltern und Sicherheits-Proxys sollten so formuliert sein, dass Anfragen, die nicht ausdrücklich zugelassen sind, automatisch abgewiesen werden. Beschränkung des Verbindungsaufbaus: Verbindungen dürfen nicht aus dem Internet in das interne Netz aufgebaut werden, es sei denn, dass der Dienst sonst nicht funktioniert (z. B. ). Aktualität: Die eingesetzte Betriebssystem- und Anwendungs-Software sollte immer auf dem neuesten Stand gehalten werden. Verfügbare Patches sollten unverzüglich eingepflegt werden. Auf der Basis dieser Prinzipien ergibt sich die in Abbildung 1.1 dargestellte Grundarchitektur, bestehend aus einem internen Netz, einem vorgelagerten Sicherheits-Gateway, das jegliche Interaktion zwischen Internet und internem Netz auf das unverzichtbare Minimum beschränkt, und der eigentlichen Internet-Anbindung. Abbildung 1.1: Grundarchitektur für normalen Schutzbedarf Empfehlungen zum sicheren Aufbau des internen Netzes Die Basis für eine sichere Internet-Nutzung bildet ein lokales Netz, das auch gegenüber Innentätern widerstandsfähig ist. Ein sicheres lokales Netz begrenzt die Missbrauchsmöglichkeiten eines externen Angreifers, dem es tatsächlich gelungen ist, die äußere Schutzbarriere zu durchbrechen und eine interne Komponente zu unterwandern. Die Abwehr von Innentätern hilft auch zu verhindern, dass interne Nutzer das Netz als Plattform für Internet-Angriffe auf fremde IT-Systeme missbrauchen. Um dies zu erreichen, ist die Grundarchitektur für das interne Netz durch das Prinzip der strikten physischen Segmentierung geprägt: Interne Teilnetze mit unterschiedlichem, gegebenenfalls auch 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe gleich hohem Schutzbedarf (sogenannte Sicherheitszonen) sind durch ein Sicherheits-Gateway voneinander getrennt. Ein internes Sicherheits-Gateway besteht aus mindestens einem Paketfilter. Eine rein logische Segmentierung mittels VLAN-Technik ist für eine sichere Trennung von Sicherheitszonen nicht ausreichend. Jedes nicht-triviale interne Netz ist somit mindestens in zwei Sicherheitszonen untergliedert, ein Client-Segment für Arbeitsplatzrechner und ein Server-Segment für die grundlegenden Dienste zur Unterstützung des Netzbetriebs. Weitere Segmente können ergänzt werden, etwa um Daten und Anwendungen mit hohem Schutzbedarf (z. B. Personaldaten) von der übrigen IT-Infrastruktur abzuschotten. Daten und Anwendungen, die vom Internet aus zugänglich sein sollen, dürfen nicht auf Servern im internen Netz bereitgestellt werden. Sie müssen auf externe Server verlagert werden, die in einer sogenannten Demilitarisierten Zone (DMZ) des Sicherheits-Gateways untergebracht sind und dort sowohl vom Internet als auch vom lokalen Netz aus erreichbar sind. Empfehlungen zur sicheren Anbindung an das Internet Im Kern besteht das Lösungskonzept für eine sichere Anbindung eines lokalen Netzes an das Internet darin, den Datenaustausch zwischen Internet und lokalem Netz durch ein dreistufiges Sicherheits-Gateway zu kontrollieren. Dieses Sicherheits-Gateway besteht aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter (PAP-Struktur). Das PAP-Sicherheits-Gateway darf nicht umgangen werden, jeglicher Datenaustausch zwischen Internet und internem Netz muss das Gateway passieren. Dabei beschränkt das Sicherheits-Gateway eingehenden und ausgehenden Datenverkehr auf die ausdrücklich erwünschten Protokolle und Dienste. Um eine vollständige Kontrolle zu ermöglichen, dürfen verschlüsselte Verbindungen das Sicherheits-Gateway nicht ungeprüft durchtunneln. Die Prüfung erfordert eine Entschlüsselung und gegebenenfalls die Neuverschlüsselung solcher Verbindungen im Sicherheits-Gateway. Nur wenn eine Ende-zu-Ende-Verschlüsselung unabdingbar ist, darf verschlüsselte Kommunikation mit ausgewählten Kommunikationspartnern unkontrolliert durch das Sicherheits-Gateway geschleust werden. Solche Ausnahmen müssen jedoch im Sicherheitskonzept ausdrücklich dokumentiert und begründet werden. Zusätzliche Sicherheitsmaßnahmen müssen dann zudem auf dem internen Client umgesetzt werden. Bei der Internet-Anbindung ist zwischen zwei Kommunikationsrichtungen zu unterscheiden, zum einen dem Nutzen von Internet-Diensten, zum anderen dem Anbieten eigener Dienste im Internet. Während die Kommunikationsverbindung bei der Dienstenutzung auf geradem Weg über die drei Stufen des PAP-Gateways geführt wird, werden externe Zugriffe auf die angebotenen Internet- Dienste auf einem Server in einer DMZ des Sicherheits-Gateways terminiert, um das interne Netz vor direktem Zugriff zu schützen. Die vorgelagerten DMZ-Server können bei Bedarf ihrerseits auf Rechner in nachgelagerten Sicherheitszonen der DMZ zurückgreifen, um ihre Dienste bereitzustellen. Abbildung 1.1 zeigt die Grundarchitektur für normalen Schutzbedarf im Überblick. Beispielhaft für andere Internet-Dienste wird hier ein Web-Anwendungs-Server (WWW AS) in einer hierarchisch geschachtelten DMZ betrieben. Der Anwendungs-Server ist sowohl von innen (über den internen Webserver WWW int. ) als auch aus dem Internet (über den äußeren Webserver WWW in der DMZ) erreichbar. Die Daten der Webanwendung liegen auf einem Datenbank-Server ( WWW DB ), der in einer getrennten Sicherheitszone platziert ist und die Anwendungsdaten von externen wie internen Nutzern verwaltet. Innerer und äußerer Webserver fungieren gewissermaßen als dienst- und benutzergruppenspezifische Proxys für den Web-Anwendungs-Server. Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Ausgehend von der in Abbildung 1.1 dargestellten Grundarchitektur gibt es verschiedene Realisierungsvarianten, die zum Beispiel durch das Zusammenlegen von Servern oder Paketfiltern bei verringertem Hardware-Aufwand einen etwas schwächeren, aber unter Umständen ebenfalls akzeptablen Schutz bieten. Die damit einhergehenden Restrisiken müssen allerdings bewusst getragen werden. Für höheren Schutzbedarf müssen weitergehende Empfehlungen umgesetzt werden, wie zum Beispiel Redundanzmaßnahmen. Eine detaillierte Betrachtung findet sich im zugehörigen ISi-S. Ein wichtiges Sicherheitsmerkmal der Grundarchitektur ist die Verwendung privater Adressen. Im gesamten internen Netz einschließlich des Sicherheits-Gateways werden private IP-Adressen vergeben, die im Internet nicht geroutet werden können. Eine Adressumsetzung (NAT) der extern sichtbaren, öffentlichen IP-Adressen auf interne, private IP-Adressen verbirgt die interne Struktur des Netzes nach außen und verhindert so, dass interne Rechner direkt aus dem Internet angegriffen werden können. Empfehlungen für ein sicheres Netzmanagement Die relevanten Komponenten der Grundarchitektur - Router, Paketfilter, Sicherheits-Proxys und Server - müssen kontinuierlich überwacht und administriert werden. Aus Sicherheitsgründen sollten dazu nur verschlüsselte Netzmanagement-Protokolle verwendet werden. Da aber verschlüsselte Verbindungen das Sicherheits-Gateway aus Sicherheitsgründen nicht ungeprüft durchqueren dürfen, empfiehlt es sich, den gesamten Management-Datenverkehr in einer getrennten Sicherheitszone zu bündeln (Out-of-Band-Management). Abbildung 1.2 zeigt die empfohlene Grundarchitektur für das Netzmanagement. Alle Management- Protokolle (z. B. SNMP, SSH, syslog) werden über eigene Management-Schnittstellen der Komponenten abgewickelt, die über ein separates Netz mit einer zentralen Management-Station verbunden sind. Oft ermöglicht das Betriebssystem einer Komponente eine vollständige Entkopplung der Nutzdaten-Schnittstellen von den Management-Schnittstellen. Die Management-Station dient zugleich dazu, alle Systemkomponenten mittels Network Time Protocol (NTP) zu synchronisieren. Als IT-unabhängige Referenzzeitquelle dient ein DCF77-Empfangsmodul. Die Grundarchitektur sieht vor, die Management-Zone aus Sicherheitsgründen durch Paketfilter in getrennte Teilsegmente zu untergliedern. Auch hier sind vereinfachte Realisierungsvarianten mit reduziertem Hardware-Aufwand und erhöhtem Restrisiko denkbar. Für Anwendungsszenarien mit hohem Schutzbedarf kann es sinnvoll sein, auf eine Zusammenführung der Management-Segmente in einer zentralen Management-Station zu verzichten und statt dessen physisch getrennte Management-Stationen pro Teilsegment vorzusehen. Eine solche dezentrale Lösung hat spezifische Vorteile, bringt aber auch einige Sicherheitsnachteile mit sich, die genau abzuwägen sind. 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Abbildung 1.2: Grundarchitektur mit Management- und Überwachungsmodul 1.5 Fazit ISi-LANA behandelt die Grundlagen des sicheren LAN-Betriebs mit Internet-Anbindung, adressiert also vornehmlich die drei unteren Protokollschichten des TCP/IP-Referenzmodells: Netzzugangsschicht, Internet-Schicht und Transportschicht. Folgt der Anwender den Empfehlungen und wendet sie sinngemäß auch auf erweiterte Netzarchitekturen an, so hat er was die unteren drei Schichten des TCP/IP-Referenzmodells betrifft das nötige getan, um bei Bedarf selbst hohen Schutzanforderungen zu genügen. Sicherheitsaspekte der Anwendungsschicht erfordern naturgemäß eine anwendungsspezifische Betrachtung und gehen daher über die hier behandelten Grundlagen hinaus. Solch weitergehenden Betrachtungen sind die spezialisierten Module der ISi-Reihe gewidmet, die gezielt auf die anwendungsabhängigen Besonderheiten beim Einsatz bestimmter Sicherheitstechniken und häufig verwendeter Internet-Dienste eingehen. Schutzmaßnahmen auf der Anwendungsschicht können allerdings nur erfolgreich sein, wenn sie nicht durch Angriffe auf darunter liegenden Schichten unterlaufen werden können. Mit seinen Empfehlungen zum sicheren Einsatz der Basistechniken schafft das Modul ISi-LANA die notwendigen Grundlagen für ein durchgängiges Sicherheitskonzept. Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet 2 Glossar Angriff (engl. attack) Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angreifer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen. Anwendungsschicht (engl. application layer) Die Anwendungsschicht ist die oberste Schicht im TCP/IP-Referenzmodell. Sie umfasst alle Protokolle, die von Anwendungsprogrammen, z. B. Browser oder -Client, verarbeitet und für den Austausch anwendungsspezifischer Daten genutzt werden. Beispiele für Protokolle der Anwendungsschicht sind das Hypertext Transfer Protocol (HTTP) oder das Simple Mail Transfer Protocol (SMTP). Authentisierung (engl. authentication) Unter einer Authentisierung versteht man die Vorlage eines Nachweises eines Kommunikationspartners, dass er tatsächlich derjenige ist, der er vorgibt zu sein. Authentizität (engl. authenticity) Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen. Bedrohung (engl. threat) Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen bedrohen kann, wodurch dem Besitzer der Informationen ein Schaden entsteht. Betriebssystem (engl. operating system) Das Betriebssystem ist ein Steuerungsprogramm, das die Verwendung eines Computers ermöglicht. Der Benutzer kann somit seine Dateien verwalten, angeschlossene Geräte (z. B. Drucker, Festplatte) kontrollieren oder Programme starten. Weit verbreitet sind z. B. Windows, Linux oder MacOS. Client [engl.] Als Client wird Soft- oder Hardware bezeichnet, die bestimmte Dienste von einem Server in Anspruch nehmen kann. Häufig steht der Begriff Client für einen Arbeitsplatzrechner, der in einem Netz auf Daten und Programme eines Servers zugreift. 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe DDoS (Distributed Denial of Service [engl.]) Ein koordinierter DoS Angriff auf die Verfügbarkeit von IT mittels einer größeren Anzahl von angreifenden Systemen. Diensteanbieter (engl. provider) Anbieter von Tele- oder Mediendiensten. Die Gewerblichkeit des Angebots ist nicht Voraussetzung der Einordnung. DMZ (Demilitarisierte Zone) Eine DMZ ist ein Zwischennetz, das an Netzübergängen gebildet wird, aber weder zu dem einen, noch zu dem anderen Netz gehört. Sie stellt ein Netz dar, das weniger stark gesichert, aber vom äußeren Netz aus besser erreichbar ist als das eigentlich zu schützende interne Netz. Die DMZ dient der Schaffung eines zusätzlichen Sicherheitsbereichs für Dienste (z. B. , Web) oder Proxys, die von externen Netzen aus nutzbar sein sollen, aber aus Sicherheitsgründen nicht im internen Netz platziert werden dürfen. DNS (Domain Name System [engl.]) Das Domain Name System übersetzt alphanumerische Adressnamen (z. B. in numerische Adressen (z. B ). Auch eine Übersetzung in die umgekehrte Richtung ist mit dem DNS möglich. Alphanumerische Namen für Rechner sind für die Benutzer einfach zu behalten und einzugeben. Da allerdings IPv4 und IPv6 Adressen in numerischer Form verlangen, ist eine Adressumsetzung durch das DNS notwendig. DoS (Denial of Service [engl.]) Angriffe, mit dem Ziel, die Verfügbarkeit von IT zu schädigen. FTP (File Transfer Protocol [engl.]) Das File Transfer Protocol umfasst Funktionen, mit denen man Dateien auf einfache Weise zwischen zwei Rechnern austauschen kann. Gefährdung Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwender prinzipiell durch Computer-Viren im Internet bedroht sind. Der Anwender, der eine virenbefallene Datei herunterlädt, wird von dem Computer-Virus gefährdet, wenn sein Computer anfällig für diesen Typ Computer-Virus ist. Für Anwender mit einem wirksamen Schutzprogramm, einer Konfiguration, die das Funktionieren des Computer-Virus verhindert, oder einem Betriebssystem, das den Virencode nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Gefährdung. Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Hacking [engl.] Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhandene Sicherheitsmechanismen zu überwinden, um in ein System IT-System einzudringen, seine Schwächen offen zulegen und es gegebenenfalls - bei unethischem Hacking - zu übernehmen. HTTP (Hypertext Transfer Protocol [engl.]) Das Hypertext Transfer Protocol dient zur Übertragung von Daten - meist Webseiten - zwischen einem HTTP-Server und einem HTTP-Client, also z. B. einem Browser. Die Daten werden über Uniform Resource Locators (URL) eindeutig bezeichnet. URLs werden meist in der Form Protokoll://Rechner/Pfad/Datei angegeben. Protokoll steht dabei für Protokolle der Anwendungsschicht, Rechner für den Namen oder die Adresse des Servers und der Pfad der Datei gibt den genauen Ort der Datei auf dem Server an. Ein Beispiel für eine URL ist ICMP (Internet Control Message Protocol [engl.]) Das Internet Control Message Protocol transportiert Fehler- und Diagnoseinformationen für IPv4 und in der erneuerten Version auch für IPv6. Es wird intern von TCP, UDP und den beiden IP-Protokollen genutzt und kommt z. B. zum Einsatz, wenn Datenpakete nicht ausgeliefert werden können, ein Gateway Datenverkehr über eine kürzere Route leitet oder ein Gateway nicht genügend Pufferkapazität für die zu verarbeitenden Daten besitzt. Informationssicherheit (engl. information security) Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist umfassender und wird daher zunehmend verwendet. Integrität (engl. integrity) Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Integrität ist ein Grundwert der IT-Sicherheit. IP (Internet Protocol [engl.]) Verbindungsloses Protokoll der Internet-Schicht im TCP/IP-Referenzmodell. Ein IP-Header enthält in der Version IPv4 u. a. zwei 32-Bit-Nummern (IP-Adressen) für Ziel und Quelle der kommunizierenden Rechner. 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe IPv4 (Internet Protocol Version 4 [engl.]) Das Internet Protocol Version 4 ist ein verbindungsloses Protokoll der Vermittlungsschicht und erlaubt den Austausch von Daten zwischen zwei Rechnern ohne vorherigen Verbindungsaufbau. IPv4 setzt nicht voraus, dass das darunterliegende Netz Fehlererkennung ausführt. Ferner verfügt es über keine Verlässlichkeits- oder Flusssteuerungsmechanismen. Die meisten dieser Probleme gibt IPv4 an die nächsthöhere Schicht (die Transportschicht) weiter. IPv6 (Internet Protocol Version 6 [engl.]) Das Internet Protocol Version 6 ist die Nachfolgeversion von IPv4 und soll dieses ablösen, da es u. a. die Zahl der verfügbaren Rechneradressen stark erweitert und Maßnahmen zum Schutz der übertragenen Daten vor dem Verlust der Vertraulichkeit, der Integrität und der Authentizität umfasst. Die Sicherungsmaßnahmen sind unter dem Namen "IPSec" zusammengefasst. IPSec definiert Sicherungsdienste, die durch zwei zusätzliche Header, den "IP Authentication Header" (AH) und den Header "IP Encapsulating Security Payload" (ESP) realisiert werden. Mithilfe der Header können unterschiedliche kryptografische Algorithmen eingebunden werden. IPSec erlaubt die Integration der Header in Datagramme des IPv4 sowie des IPv6. AH- und ESP-Header können einzeln oder gemeinsam in einem IP-Datagramm auftreten. Die Sicherheitsmechanismen schützen IPv4/IPv6 und die darüberliegenden Protokolle. Kryptografie Mathematisches Fachgebiet, das sich mit Methoden zum Schutz von Informationen befasst (u. a. mit Vertraulichkeit, Integrität und Authentizität von Daten). NAT (Network Address Translation [engl.]) Network Address Translation (NAT) bezeichnet ein Verfahren zum automatischen und transparenten Ersetzen von Adressinformationen in Datenpaketen. NAT-Verfahren kommen meist auf Routern und Sicherheits-Gateways zum Einsatz, vor allem, um den beschränkten IPv4-Adressraum möglichst effizient zu nutzen und um lokale IP-Adressen gegenüber öffentlichen Netzen zu verbergen. Paketfilter (engl. packet filter) Paketfilter sind IT-Systeme mit spezieller Software, die den ein- und ausgehenden Datenverkehr anhand spezieller Regeln filtern. Ihre Aufgabe ist es, Datenpakete anhand der Informationen in den Header-Daten der IP- und Transportschicht (z. B. Quell- und Ziel-Adresse, -Portnummer, TCP- Flags) weiterzuleiten oder zu verwerfen. Der Inhalt des Pakets bleibt dabei unberücksichtigt. Passwort Geheimes Kennwort, das Daten, Rechner, Programme u. a. vor unerlaubtem Zugriff schützt. Patch [engl.] Ein Patch (vom englischen "patch", auf deutsch: Flicken) ist ein kleines Programm, das Software- Fehler wie z. B. Sicherheitslücken in Anwendungsprogrammen oder Betriebssystemen behebt. Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Protokoll (engl. protocol) Beschreibung (Spezifikation) des Datenformats für die Kommunikation zwischen elektronischen Geräten. Proxy [engl.] Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten. Restrisiko (engl. residual risk) Risiko, das grundsätzlich bleibt, auch wenn Maßnahmen zum Schutz des IT-Einsatzes ergriffen worden sind. Router [engl.] Ein (IP-)Router ist ein Vermittlungsrechner, der Netze auf IP-Ebene koppelt und Wegewahlentscheidungen anhand von IP-Protokollschicht-Informationen trifft. Router trennen Netze auf der Netzzugangsschicht und begrenzen daher die Broadcast-Domäne eines Ethernets. Schutzbedarf (engl. protection requirements) Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Schwachstelle (engl. vulnerability) Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen. Server [engl.] Als Server wird Soft- oder Hardware bezeichnet, die bestimmte Dienste anderen (Clients) anbietet. Typischerweise wird damit ein Rechner bezeichnet, der seine Hardware- und Software-Ressourcen in einem Netz anderen Rechnern zugänglich macht. Beispiele sind Applikations-, Daten-, Weboder server. Sicherheits-Gateway Ein Sicherheits-Gateway (oft auch Firewall genannt) gewährleistet die sichere Kopplung von IP- Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei im Wesentlichen, dass ausschließlich erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden. Ein Sicherheits-Gateway für normalen Schutzbedarf besteht im Allgemeinen aus mehreren, in Reihe geschalteten Filterkomponenten. Dabei ist zwischen Paketfilter und Application-Level Gateway (ALG) zu unterscheiden. 20 Bundesamt für Sicherheit in der Informationstechnik

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Sicherheitsmanagement in TCP/IP-Netzen

Sicherheitsmanagement in TCP/IP-Netzen Kai Martius Sicherheitsmanagement in TCP/IP-Netzen Aktuelle Protokolle, praktischer Einsatz, neue Entwicklungen vieweg Inhalt Einleitung 1 Was kann man aus diesem Buch erfahren 2 Wegweiser durch das Buch

Mehr

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Jens Döbler 2003 "Computer in der Chemie", WS 2003-04, Humboldt-Universität VL5 Folie 1 Dr. Jens Döbler Internet Grundlagen Zusammenschluß

Mehr

Sicherer Betrieb von E-Mail-Servern mit Postfix 2.5

Sicherer Betrieb von E-Mail-Servern mit Postfix 2.5 Sicherer Betrieb von E-Mail-Servern mit Postfix 2.5 BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sicherer Betrieb von E-Mail-Servern mit Postfix 2.5 Vervielfältigung

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

TCP/IP Protokollstapel

TCP/IP Protokollstapel TCP/IP Protokollstapel IP: Hauptaufgabe ist das Routing (Weglenkung) und Adressierung IP ist ein ungesichertes, verbindungsloses Protokoll Arbeitet auf Schicht 3 UDP: User Datagram Protocol UDP ist ein

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet Aufbau des Internets Nelson & Bruno Quellen: Netplanet Inhaltsverzeichnis Arten von Netzwerken Host-Architekturen Schichtenmodelle TCP/IP - Haussprache des Internet Übertragung im Netz Routing Topologie

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Daten Monitoring und VPN Fernwartung

Daten Monitoring und VPN Fernwartung Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Einführung in die Netzwerktechnik

Einführung in die Netzwerktechnik Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?

Mehr

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke NW: Firewall Vorlesung von Reto Burger by Reto Burger, dipl. Informatik. Ing. HTL 0 Übersicht Persönliche Kurzvorstellung Ihre Erwartungen Vorstellung des Fachs: Kapitel, Ziele, Prüfungen Allgemeines by

Mehr

Internet-Blocking: Was ist technisch möglich?

Internet-Blocking: Was ist technisch möglich? Fakultät Informatik, Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit Internet-Blocking: Was ist technisch möglich? Stefan Köpsell, sk13@inf.tu-dresden.de Das Internet eine historische

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Internetprotokoll TCP / IP

Internetprotokoll TCP / IP Internetprotokoll TCP / IP Inhaltsverzeichnis TCP / IP - ALLGEMEIN... 2 TRANSPORTPROTOKOLLE IM VERGLEICH... 2 TCP / IP EIGENSCHAFTEN... 2 DARPA MODELL... 3 DIE AUFGABEN DER EINZELNEN DIENSTE / PROTOKOLLE...

Mehr

Sicherheitskonzepte für das Internet

Sicherheitskonzepte für das Internet Martin Raepple Sicherheitskonzepte für das Internet Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung Technische Universität Darmstadt FACHBEREICH INFORMATIK B I B L 1 O T H E K

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server)

Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server) Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.0 ISi-Reihe ISi-L Sicherer Betrieb von E-Mail-Servern Vervielfältigung und Verbreitung Bitte

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009 DNS-Baustein, BSc Grundschutztag Bochum 19. November 2009 2 Zu meiner Person Thomas Ledermueller, BSc Masterstudium Sichere Informationssysteme (FHOOE/Campus Hagenberg) KPMG Financial Advisory Services

Mehr

Einführung. Internet vs. WWW

Einführung. Internet vs. WWW Einführung Bernhard Plattner 1-1 Internet vs. WWW "the Internet is the entirety of all computers which are interconnected (using various physical networking technologies) and employ the Internet protocol

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Das Internet. Das Internet. Das Internet. Was ist das Internet? Was ist das Internet? Was ist das Internet?

Das Internet. Das Internet. Das Internet. Was ist das Internet? Was ist das Internet? Was ist das Internet? Das Internet Was ist das Internet? Das Internet Was ist das Internet? Gesamtheit aller weltweit zusammengeschlossener Computer-Netzwerke Vorraussetzung für Datenaustausch ist Kommunikation über ein standardisiertes

Mehr

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Sparkasse Höxter Kundeninformation zu Secure E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie

Mehr

Kundeninformation zu Sichere E-Mail

Kundeninformation zu Sichere E-Mail Kundeninformation zu Sichere E-Mail Einleitung Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologien bieten

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Technologie Report: Sicherheitsmechanismen für VoIP Seite 6-138 6.2 Schutz für Quality of Service (QoS) Dieser Abschnitt befasst sich mit

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized 1.1.: MAC-Adressen für CSMA/CD und TokenRing bestehen jeweils aus 48 Bits (6 Bytes). Warum betrachtet man diese Adressräume als ausreichend? (im Gegensatz zu IP) - größer als IP-Adressen (48 Bits 32 Bits)

Mehr

Proxy-Server Christoph Taborsky

Proxy-Server Christoph Taborsky Proxy-Server Christoph Taborsky 30.04.2010 Inhaltsverzeichnis Was ist ein Proxy-Server?... 3 Unterschied zu NAT... 3 Sichtbarkeit der Proxys... 3 Konventioneller Proxy... 3 Transparenter Proxy... 3 Standort

Mehr

Schutz vor unbefugtem Zugriff

Schutz vor unbefugtem Zugriff Seite 1/7 Schutz vor unbefugtem Zugriff Speziell die zunehmende Vernetzung von Elektronikkomponenten erfordert immer weitreichendere Sicherheitskonzepte zum Schutz vor unbefugtem Zugriff. Zum Zeitpunkt

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail Sparkasse Aurich-Norden Ostfriesische Sparkasse Kundeninformation zu Secure E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail Kundeninformation zu Secure E-Mail Einleitung Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungs-dateien sowie das E-Mail Spoofing, das Erstellen einer E-Mail mit gefälschtem Absender,

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Client-Server-Prinzip

Client-Server-Prinzip Client-Server-Prinzip Kommunikation im Internet erfolgt nach dem Client-Server-Prinzip: Client sendet eine Anfrage (fordert eine Dienstleistung an) Server sendet die Antwort (bietet eine Dienstleistung

Mehr

VS3 Slide 1. Verteilte Systeme. Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel

VS3 Slide 1. Verteilte Systeme. Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel VS3 Slide 1 Verteilte Systeme Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel Inhaltsverzeichnis für die Vorlesung Zur Motivation: 4 Beispiele aus der Praxis Allgemeine Anforderungen an Verteilte

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Kontrollfragen: Internet

Kontrollfragen: Internet Kontrollfragen: Internet 1. Zählen Sie mindestens 5 Internet-Dienste auf. 2. Was ist eine virtuelle Verbindung? Vergleichen Sie eine virtuelle TCP/IP-Verbindung mit der Leitungsvermittlung (analoge Telefonverbindung).

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Fachbereich Medienproduktion

Fachbereich Medienproduktion Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2007: Einführung in die IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter)

Mehr

[DNS & DNS SECURITY] 1. DNS & DNS Security

[DNS & DNS SECURITY] 1. DNS & DNS Security [DNS & DNS SECURITY] 1 DNS & DNS Security Thomas Vogel & Johannes Ernst Funktionsweise von DNS und deren Security Eigenschaften. Was es für Angriffe gibt, welche Gegenmaßnahmen dafür erforderlich sind

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Stadtsparkasse Felsberg Kundeninformation zu Secure E-Mail Einleitung Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

Einrichtungsanleitung Router MX200

Einrichtungsanleitung Router MX200 Einrichtungsanleitung Router MX200 (Stand: 30. Januar 2015) Zur Inbetriebnahme des MX200 ist zusätzlich die beiliegende Einrichtungsanleitung LTE- Paket erforderlich. Diese steht alternativ auch auf der

Mehr

Arbeiten im Datennetz der Universität Regensburg

Arbeiten im Datennetz der Universität Regensburg Wiwi-Workshop Uni Regensburg April 2002 Arbeiten im Datennetz der Universität Regensburg - Einführung in HTML, Teil II Arbeiten mit AOLPress - Dr. Wirtschaftswissenschaftliche Fakultät Universität Regensburg

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail Kundeninformation zu Secure E-Mail Das sogenannte Sniffen, Ausspähen von E-Mail-Inhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer E-Mail mit gefälschtem Absender, sind

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Mobility Support by HIP

Mobility Support by HIP Mobile Systems Seminar Mobility Support by HIP Universität Zürich Institut für Informatik Professor Dr. Burkhard Stiller Betreuer Peter Racz 8 Mai 2008 Svetlana Gerster 01-728-880 1 Gliederung OSI und

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

Sicherheit im Internet

Sicherheit im Internet Sicherheit im Internet Empfehlungen zum Schutz von IP-Netzen und -Diensten SICHERHEIT IM INTERNET INHALT Inhaltsverzeichnis Unsere Gesellschaft auf dem Daten-Highway Das BSI im Dienst der Öffentlichkeit

Mehr

Betriebskonzept E-Mail Einrichtung

Betriebskonzept E-Mail Einrichtung Betriebskonzept E-Mail Einrichtung www.bolken.ch Klassifizierung öffentlich - wird an die E-Mail Benutzer abgegeben Versionenkontrolle Version Status Verantwortlich Datum 4.0 Genehmigt Gemeinderat 25.03.2015

Mehr

IP-Adressen und Ports

IP-Adressen und Ports IP-Adressen und Ports Eine Einführung Tina Umlandt Universität Hamburg 2. August 2011 Überblick Präsentationsablauf 1 IP = Internetwork protocol Schematische Darstellung über die Layer IP-Datenpaket (IPv4)

Mehr

IPv6: Fragen, Antworten & Diskussion

IPv6: Fragen, Antworten & Diskussion IPv6: Fragen, Antworten & Diskussion 40. DFN-Betriebstagung 09.-10. März 2003 IPv6-Forum Tina Strauf (JOIN) 1 Werden die IPv4-Adressen tatsächlich bald ausgehen? Prognosen reichen von 2005-2020 2,4 von

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.1 Internet Protocol - IP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,

Mehr

Damit zwischen den verschiedenen Rechnern überhaupt ein Austausch möglich ist, muss man sich über das was und wie verständigen.

Damit zwischen den verschiedenen Rechnern überhaupt ein Austausch möglich ist, muss man sich über das was und wie verständigen. Webanwendungen Protokolle Damit zwischen den verschiedenen Rechnern überhaupt ein Austausch möglich ist, muss man sich über das was und wie verständigen. So wurde eine Sammlung von Vereinbarungen zusammengestellt,

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

S Sparkasse. UnnaKamen. Secure Mail Notwendigkeit?

S Sparkasse. UnnaKamen. Secure Mail Notwendigkeit? S Sparkasse UnnaKamen Secure Mail Notwendigkeit? Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer E-Mail mit gefälschtem

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.6 Internet Domain Name Service - DNS Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph

Mehr

Absicherung von Grid Services Transparenter Application Level Gateway

Absicherung von Grid Services Transparenter Application Level Gateway Absicherung von Grid Services Transparenter Application Level Gateway Thijs Metsch (DLR Simulations- und Softwaretechnik) Göttingen, 27.03.2007, 2. D-Grid Security Workshop Folie 1 Überblick Gliederung

Mehr

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum Regelwerk für die Planung und Konzipierung sicherer Datennetze Dr. Herbert Blum 12. Deutscher IT-Sicherheitskongress Bonn, 7 Anwendung 6 Darstellung 5 Sitzung Anwendung Datensicherheit in Netzen 3 Vermittlung

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.2 Transmission Control Protocol - TCP 2.3 User Datagram Protocol - UDP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik,

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover IT - Sicherheit Maximilian Zubke zubke@iwi.uni-hannover.de Gäste - & Doktorandenkolloquium 17. Juli 2008 Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine

Mehr

Der TCP/IP- Administrator

Der TCP/IP- Administrator Detlef Knapp Praxishandbuch Der TCP/IP- Administrator Aufbau, Betrieb und Troubleshooting von TCP/l P-Netzen w _ Postfach rosnacn 12 n Ü 09 ua Fon 0 82 33/23-94 92 J^^INTEREST 86438 Kissing Fax 0 82 33/23-74

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

Exploration des Internets der systemorientierte Ansatz. Aktivierender Unterricht mit der Lernsoftware Filius

Exploration des Internets der systemorientierte Ansatz. Aktivierender Unterricht mit der Lernsoftware Filius Exploration des Internets der systemorientierte Ansatz Aktivierender Unterricht mit der Lernsoftware Filius Dr. Stefan Freischlad 26.03.2012 1 Agenda 1.Unterricht zu Internetworking 2.Einführung zur Konzeption

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Secure E-Mail S Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Einleitung Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend

Mehr

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v.

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v. 12. Kieler OpenSource und Linux Tage Wie funktioniert eigentlich? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v. Frank Agerholm Vorstellung Linux System Engineer RZ-Administration Konzeptionierung

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr