Verteilte Systeme Kapitel 11: Sicherheit

Transkript

1 Verteilte Systeme Kapitel 11: Sicherheit Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck

2 Inhaltsüberblick der Vorlesung 1. Einführung und Motivation 2. Protokolle und Schichtenmodelle 3. Nachrichtenrepräsentation 4. Realisierung von Netzwerkdiensten 5. Kommunikationsmechanismen 6. Adressen, Namen und Verzeichnisdienste 7. Synchronisation 8. Replikation und Konsistenz 9. Fehlertoleranz 10.Verteilte Transaktionen 11.Sicherheit 1-2

3 Sicherheit in verteilten Systemen 3

4 Grundbegriffe Angriffe (Attacks) Handlung, die die Sicherheit von Daten gefährdet Sicherheitsdienste (Security Services) Dienst, der die Sicherheit eines DV-Systems und des Informationsaustauschs einer Organisation erhöht Dienst wirkt Sicherheitsangriffen entgegen und verwendet einen oder mehrere Sicherheitsmechanismen Sicherheitsmechanismen (Security Mechanisms) Mechanismus zur Entdeckung, Verhinderung oder Beseitigung eines Sicherheitsangriffs (Konkrete Technik) 4

5 Security Services (Sicherheitsdienste) Confidentiality Authenticity Integrity Non-Repudiation Access Control Availability Vertraulichkeit Authentizität Integrität Nicht-Anfechtbarkeit Zugriffskontrolle Verfügbarkeit 5

6 Confidentiality Protection of saved and/or transmitted data against attacks Unauthorized access to data Analysis of the availability of data Analysis of data flow Applicable on two different layers Single data unit or message Complete data storage or data flow between two parties 1-6

7 Authenticity Verification of a message s genuineness Was it really sent by the reputed sender? Applicable on two different layers Messages: Authentication of single messages Long-lasting connections: Guarantee that the identity of an authorized communication participant is not hijacked by someone else 1-7

8 Integrity Protection against undetected modification Applicable on two different layers Protection against modification of messages modification Protection of an entire connection against modification, permutation, replay, fabrication, and omission of individual messages? 1-8

9 Non-Repudiation Precludes the sender and recipient of a message to repudiate its transmission Recipient can prove that the message was sent by the stated sender Sender can prove that the intended recipient actually received the message 1-9

10 Access Control Controls and restricts the access to hosts and applications First, identify and authenticate the entity, which wants to get access Second, authorize the entity E.g. by using custom tailored access rights for individuals and groups of entities 1-10

11 Availability A system is utilizable whenever required Multitude of attacks which try to compromise this safety objective Software-driven countermeasures available which can be launched automatically However, quite often only physical counteractive measures are effective 1-11

12 Communication Model Communication between (two) principals Trusted third party Messages and secret information Alice (Principal 1) e.g. Internet, Wi-Fi, UMTS, optical fiber Information channel Bob (Principal 2) Messages and secret information Eve (Attacker) 1-12

13 Data Flow Deviations Interruption Message is destroyed or corrupted Attacks availability Interception Resource is accessed by an unauthorized third Attacks confidentiality Modification A resource is (a) accessed and (b) modified by an unauthorized third Attacks integrity and confidentiality Fabrication A forged resource is smuggled into the system Attacks authenticity 1-13

14 Attacker Model: Dolev-Yao Model Used as the Internet s security model Formal model proposed by Danny Dolev and Andrew Yao to characterize interactive protocols Attacker: valid member of a network that can send messages to other network participants, receive messages from other network participants, intercept, modify, delete, duplicate and fabricate messages, forward messages to inaccurate recipients and fake his/her identity But he can t break cryptographic methods 1-14

15 Classification Passive Attacks Active Attacks Publication of message content Analysis of data traffic Spoofing Replay Denial of Service Message Modification 1-15

16 Passive Attacks Goal Eavesdropping (information retrieval) Attacks the confidentiality of data Type 1: Publication of message contents Particularly harmful if the data is confidential Example: WikiLeaks Type 2: Traffic analysis Who communicates with whom Example: Heavy traffic is detected between the management of two companies 1-16

17 Active Attacks Denial-of-Service (DoS) Suppresses intended use of resources Attacks a resource s availability Example: Prohibit access to the online store of a competitor Tom Dunne Spoofing Faking one s identity Often combined with other types of active attacks Attacks a message s authenticity Example: Log in as existing super user and add an additional super user account 1-17

18 Active Attacks Replay Interception of a message and subsequent re-transmission to achieve an mischievous affect Attacks a message s authenticity Example Intercept an encrypted message with log-in credentials Re-send it later to gain invalid access to a resource Message modification Modification of a message s content Re-order and/or delay messages Attacks a message s integrity Example: Change bank account number of intercepted bank transfers 1-18

19 Grundlagen der Kryptologie Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck

20 Grundbegriffe Kryptologie umfasst zwei Gebiete Kryptographie: Datenschutz durch Verschlüsselung Kryptanalyse: Kunst an geheime Daten zu kommen Kryptologie ist seit Jahrtausenden Gegenstand von Untersuchungen Trotzdem ist diese Wissenschaft immer noch sehr geheimnisumwittert warum? Schwierig (komplizierte Mathematik) Domäne der Geheimdienste und des Militärs Nicht-öffentliche Forschung schon früher viel weiter als öffentliche Gesellschaftliche Aspekte Behindern Verbreitung sicherer Algorithmen (Exportverbote) 20

21 Einordnung der Kryptographie Geheime Kommunikation Steganographie (Verstecken) Kryptographie (Verschlüsseln) Substitution (Zeichen ersetzen) Transposition (Zeichen vertauschen) 21

22 Begriffe Klartext: Die zu verschlüsselnde Botschaft Verschlüsselung, Codierung, Chiffrierung: Überführung des Klartexts in den Geheimtext Entschlüsselung, Decodierung, Dechiffrierung: Überführung des Geheimtexts in Den Klartext Geheimtext: Der verschlüsselte Text 22

23 Prinzip der Verschlüsselung Schlüssel des Senders Schlüssel des Empfängers Geheimtext Algorithmus Algorithmus Klartext Klartext 23

24 Kryptographische Algorithmen Zwei wesentliche Basistechnologien Substitution Ersetze ein Zeichen durch ein anderen Transposition Tausche Position von Zeichen im Text 24

25 Substitution Caesar-Verschlüsselung Verschiebe jedes Zeichen um 3 Nur 25 mögliche Schlüssel Einfache Substitution Jeder Buchstabe des Alphabets durch einen beliebigen anderen ersetzt (26! Schlüssel) Gegenmaßnahme: Häufigkeitsanalyse Homophone Substitution Einigen Klartextzeichen mehrere Geheimtextzeichen zuordnen 25

26 Transposition Einfaches Verfahren Schreibe Text zeilenweise in Fünfergruppen auf und lies ihn spaltenweise wieder aus Bigramm-Substitution Nicht mehr einzelne Zeichen, sondern Zeichenpaare ersetzen Angriff mittels verfeinerter Häufigkeitsanalyse Polyalphabetische Substitution Substitutionsvorschrift abhängig von Position im Text Beispiel: Enigma Beispiel Vigenère-Verschlüsselung: 26

27 Modernere Verschlüsselungsverfahren Grundlagen Mitte der 1970er Jahre entwickelt Bit- statt zeichenweiser Verschlüsselung Nutzung von Konfusion und Diffusion Bis heute gibt es außer Brute-Force keinen bekannten Angriff gegen diese Verfahren Beispiele Data Encryption Standard (DES) RSA (Rivest, Shamir, Adleman) 27

28 Bitweise Verschlüsselung Bisherige Verfahren sind zeichenorientiert Mit Computern: bitweise Verschlüsselung möglich Häufigkeitsanalysen werden schwierig Wie sieht die Verteilung des 3. Bits aller Bytes eines Textes aus? Typischerweise wird die bitweise XOR-Operation verwendet, um Schlüssel und Klartext zu verknüpfen Einfach in Hardware implementierbar Leicht umkehrbar (erneute Anwendung)

29 Konfusion und Diffusion Konfusion Verschleierung des Zusammenhangs zwischen Klartext und Geheimtext Also Ersetzen eines Zeichens durch ein anderes (Substitution) Diffusion Verteilung der im Klartext enthaltenen Information über den Geheimtext Das Prinzip der Transposition, die Positionen der Zeichen werden vertauscht K O N F U S I O N D I F F U S I O N F G H T F T I K G I U O D F F N S I 29

30 Verschärfung: Lawineneffekt Lawineneffekt Jedes Bit des Geheimtextes soll von jedem Bit des Klartextes und des Schlüssels abhängen Ziel Änderung eines Schlüssel- bzw. Klartextbits: Führt bei jedem Geheimtextbit mit 50% Wahrscheinlichkeit zu einer Änderung Sonst können statistische Verfahren angewandt werden 30

31 Strom- vs. Blockchiffrierung Stromchiffrierung Es wird eine Bitfolge erzeugt, mit der der Nachrichtenstrom verschlüsselt wird Optimalerweise genauso lang wie der Strom Blockchiffrierung Es werden Gruppen von Bits zusammengefasst und gemeinsam verschlüsselt, oft jede Gruppe mit demselben Schlüssel Einfaches Beispiel: einfache Substitution wie bei Caesar Heute nutzen praktisch alle sehr guten Verfahren die Blockchiffrierung 31

32 Feistel-Netzwerke Heute die zentrale Komponente gängiger Kryptoverfahren Entworfen von Horst Feistel (IBM) Anfang der 70er Jahre Verschlüsselung besteht aus mehreren Runden L i Klartextblock R i f Rundenschlüssel Durch umgekehrte Anwendung der Schlüssel auf den Chiffretext wird dieser dechiffriert L i+1 Geheimtextblock R i+1 32

33 Anwendung: Data Encryption Standard (DES) Ergebnis einer Ausschreibung des amerikanischen National Bureau of Standards (NBS) Mitte der 70er Ziel: Entwurf eines einheitlichen, sicheren Verschlüsselungsalgorithmus Bester Vorschlag von IBM (Feistel, Coppersmith et al.) Modifiziert von 128 auf 56 Bit Schlüssellänge unter Mitarbeit der berühmten NSA (National Security Agency) Deswegen immer wieder Bedenken wegen möglicher Unsicherheit, die nur die NSA kannte Bis heute kein Angriff außer Brute-Force bekannt 33

34 Der DES-Algorithmus DES kodiert Datenblöcke 64 Bits werden in einem Schritt verschlüsselt Schlüssellänge ist ebenfalls 64 Bit Jedes 8. Bit ein Kontrollbit ist 56 Bit effektive Schlüssellänge DES führt 16 Verschlüsselungsschritte aus Eine Runde ist ein Feistelnetzwerk bestehend aus Bit- Permutationen und Verteilungen 34

35 DES-Algorithmus 35

36 DES: Ein Zyklus Ein Zyklus: Eine S-Box: 36

37 Sicherheit von DES DES ist wegen seiner Schlüssellänge in kurzer Zeit mittels Brute-Force zu brechen EFF baute 1998 Deep Crack ( $) mit 1536 speziellen Krypto-Chips Juli 1998: DES-Code in 56 Stunden geknackt Neuere Analyseverfahren wie differenzielle und lineare Analyse werden ebenfalls ständig weiterentwickelt und stellen eine Gefährdung dar Deswegen wird DES ersetzt durch neuere Verfahren mit längeren Schlüsseln wie z.b. Triple-DES, 3DES #37

38 Asymmetrische Verfahren Bisher: Symmetrische Verfahren Verschlüsselung/Entschlüsselung verwenden gleichen Schlüssel Asymmetrische Verfahren (z.b. RSA) Verwenden Schlüsselpaar Privater (private) und öffentlicher (public) Schlüssel Kann zum Verschlüsseln und Signieren verwendet werden Verschlüsseln Sender: verschlüsselt mit public Key des Empfängers Empfänger: entschlüsselt mit privatem Key Signieren Sender: verschlüsselt mit private Key Empfänger: entschlüsselt mit public Key des Senders #38

39 Unterschied Symmetrisch-Asymmetrisch Symmetrisch Derselbe Algorithmus mit demselben Schlüssel wird für Ver- und Entschlüsselung verwendet. Sender und Empfänger besitzen jeweils denselben Schlüssel. Der Schlüssel muss geheim gehalten werden. Es muss unmöglich oder zumindest sehr schwer sein, eine Nachricht ohne weitere Infos zu entschlüsseln. Kenntnis des Algorithmus plus mitgelesene Nachrichten dürfen nicht ausreichen, um den Schlüssel zu bestimmen. Asymmetrisch Je ein Algorithmus und Schlüssel für Ver- und Entschlüsselung. Sender und Empfänger müssen je jeweils einen der zusammengehörigen Schlüssel besitzen. Einer der beiden Schlüssel muss geheim gehalten werden. Es muss unmöglich oder zumindest sehr schwer sein, eine Nachricht ohne weitere Infos zu entschlüsseln. Kenntnis des Algorithmus plus mitgelesene Nachrichten plus Kenntnis des einen Schlüssels dürfen nicht ausreichen, um den anderen Schlüssel zu bestimmen. 39

40 RSA in Kürze Schlüsselerzeugung: Wähle p, q Berechne n = p q Berechne φ(n) = (p-1)(q-1) Wähle eine Ganzzahl e Berechne d Öffentlicher Schlüssel: Privater Schlüssel: p und q sind Primzahlen, p q Anzahl teilerfremder Zahlen ggt(φ(n), e) = 1; 1 < e < φ(n) d e -1 mod φ(n) KU = {e,n} KR = {d,n} Verschlüsselung: Entschlüsselung: Klartext: Geheimtext: M < n C = M e mod n Geheimtext: Klartext: C M = C d mod n 40

41 Sicherheit von RSA Der vielversprechendste Angriff auf RSA (außer Brute Force) besteht in der Faktorisierung von n Wenn es gelingt, aus n p und q abzuleiten, dann kann man φ(n) berechnen und damit d Allerdings ist Faktorisierung ein hartes Problem, das mit zwei Stoßrichtungen angegangen wird Einsatz von immer mehr Computer-Power Immer verfeinerte Algorithmen 41

42 Sichere Verfahren Annahmen bei der Kryptanalyse Verfahren ist bekannt Realistische Annahme in fast allen Situationen Bei einer endlichen Zahl möglicher Schlüssel ist immer ein Brute-Force-Angriff möglich Kernproblem: Erkennung der richtigen Dechiffrierung Gibt es denn ein sicheres Verfahren? 42

43 One-Time Pad One-Time Pad ist die einzige sichere Verschlüsselungsmethode Polyalphabetisch, unendliche Periode (keine Wiederholung des Schlüssels) Schlüssel werden nicht erneut verwendet Schlüssel ist so lang wie der Geheimtext Beispiel: Verschlüsseln einer Festplatte Benötigt eine zweite Platte, die man wegschließen müsste Da könnte man gleich die Originalplatte wegschließen Der lange Schlüssel ist nicht praktikabel (nicht praxistauglich) Konsequenz Es gibt kein 100% sicheres und praktikables Verfahren Kryptanalyse hat immer Aussicht auf Erfolg 43

44 Verteilung geheimer Schlüssel Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck

45 Verteilung geheimer Schlüssel Wie tauschen die beiden Kommunikationspartner ihre(n) Schlüssel aus, bevor sie kommunizieren können? Über dieselbe Leitung geht es offensichtlich nicht extreme Unsicherheit! Andere Verfahren Telefon Brief Kurier Persönliches Treffen Frage nach Sicherheit und Anwendbarkeit? 45

46 Verteilung geheimer Schlüssel (II) Traut man zum Schlüsseltausch einem Kanal nicht, wählt man eine Kombination aus mehreren Beispiel 64-Bit-Schlüssel in 4 Teile teilen, je einen Teil über jeden Kanal Frage: wie teilt man den Schlüssel? Warum ist eine Aufteilung in vier 16-Bitblöcke nicht gut? Besser: Schlüssel = Summe von vier 64-Bit-Zahlen, von denen drei zufällig sind 46

47 Alternative: Diffie-Hellman Verfahren Ermöglicht zwei Parteien (Alice/Bob) über einen unsicheren Kanal einen Schlüssel zu generieren Beide senden sich je eine Nachricht Angreifer können diese abfangen Nur Alice und Bob können gemeinsamen Schlüssel errechnen Erster Public-Key-Algorithmus zum Generieren eines gemeinsamen geheimen Schlüssels Funktionsweise beruht auf der Schwierigkeit der Berechnung diskreter Logarithmen Hier: keine mathematischen Hintergründe 47

48 Der Diffie-Hellman-Algorithmus Schlüsselgenerierung bei A: Wähle Primzahl q Errechne α (mit α<q) als primitive Wurzel von q Wähle privates X A mit X A < q Berechne öffentliches Y A mit Y A = α X A mod q Sende q, α, Y A Sende Y B Schlüsselgenerierung bei B: Wähle privates X B mit X B < q Berechne öffentliches Y B mit Y B = α X B mod q Generierung des geheimen Schlüssels bei A: K = (Y B ) X A mod q Generierung des geheimen Schlüssels bei B: K = (Y A ) X B mod q 48

49 Beispiel Gewählt wurden q = 353 und α = 3 A wählt X A = 97 A berechnet Y A = 3 97 mod 353 = 40 Austausch der öffentlichen Schlüssel A berechnet K = mod 353 = 160 B wählt X B = 233 B berechnet Y B = mod 353 = 248 Austausch der öffentlichen Schlüssel B berechnet K = mod 353 = 160 Ein Angreifer könnte nun mit Hilfe von den bekannten q, α, Y A und Y B versuchen, mittels des diskreten Logarithmus z.b. X B zu berechnen. Das ist hier einfach, bei großen Zahlen aber unmöglich. 49

50 Sicherheit von Diffie-Hellman Woher kennt man die Identität des Gegenübers? Diffie-Hellman (wie auch viele andere Verfahren) ist anfällig gegen Man-in-the-Middle-Angriffe Meistgenutzte Lösung im Internet: Zertifikate 50

51 Zertifikate

52 Zertifikate Bilden die Grundlage für Authentifizierung in vielen Protokollen z.b. IPsec, SSL/TLS, S/MIME, SET Zertifikat beglaubigt, dass der öffentliche Schlüssel zum angegebenen Namen gehört Werden von einer Certificate Authority (CA) ausgestellt (Signatur) Jeder, der den öffentlichen Schlüssel der CA kennt, kann alle von ihr ausgestellten Zertifikate verifizieren Etablierter Standard: X von der ITU-T empfohlen (Revisionen 1993, 1995, 2000) 52

53 Erstellung von Zertifikaten Benutzer (Owner) Zertifizierungstelle (Certificate Authority) Zertifikatrequest Benutzer ID + Öffentlicher Schlüssel Zertifikat Benutzer ID + Öffentlicher Schlüssel Signatur Hash des Requests E Signatur Trusted Third Party 53

54 X.509 Zertifikate Version (1, 2, or 3) Serial number (unique within CA) identifying certificate Signature algorithm identifier Issuer X.500 name (CA) Period of validity (dates) Subject X.500 name (name of owner) Subject public-key info (algorithm, parameters, key) Issuer unique identifier (v2+) Subject unique identifier (v2+) Extension fields (v3) Signature (of hash of all fields in certificate) X.509 Certificate Version Certificate Serial Number Signature Algorithm Identifier {algorithms, parameters} Issuer Name Period of Validity {not before, not after} Subject Name Subject s Public Key Info {algorithms, parameters, key} Issuer Unique Identifier Extensions Signature {algorithms, parameters, encrypted} v1 v2 v3 All versions Security - 06 XXX 6-54

55 Anwendung: S/MIME und PGP Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck

56 S/MIME Das industrielle Gegenstück zu PGP Basiert auf dem MIME- - Austauschformat Nutzt X.509-Zertifikate... SET PGP S/MIME Kerberos HTTP SMTP IP / IPSec MIME Multipurpose Internet Mail Extensions Eingeführt, um auch binäre Daten flexibel übertragen zu können Zu diesem Zweck wurden zahlreiche MIME Content Types definiert z.b. text/plain image/jpeg video/mpeg application/postscript Für jeden Typ ist eine Kodierung definiert. Empfänger sagen, wie ein bestimmter empfangener MIME-Typ behandelt werden soll Security - 07b Application Layer #56

57 S/MIME Definition neuer MIME-Typen (signed, enveloped) Enveloped Data: Verschlüsselter Inhalt beliebigen Typs Signed Data: Hash der MIME-Nachricht mit privatem Schlüssel signiert Signed-and-Enveloped Data: Kombination der beiden Eingesetzte Verfahren SHA-1, MD5 DSS, RSA, Diffie-Hellman Triple-DES, RC2/40 Security - 07b Application Layer #57

58 S/MIME Entity - enveloped data Security - 07b Application Layer #58

59 S/MIME Entity - enveloped data Beispielnachricht (aus RFC 2633) Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m Content-Transfer-Encoding: base64 Content-Disposition:attachment;filename=smime.p7m rfvbnj756tbbghyhhhuujhjhjh77n8hhgt9hg4vqpfyf467gi 7n8HHGghyHhHUujhJh4VQpfyF467GhIGfHfYGTrfvbnjT6jHd f8hhgtrfvhjhjh776tbb9hg4vqbnj7567ghigfhfyt6ghyhh6 Security - 07b Application Layer #59

60 S/MIME Entity - signed data Sender A KR A Certs S/MIME Header MIME entity H E Sig MIME entity b64 S/MIME body S/MIME signed-data S/MIME entity Security - 07b Application Layer #60

61 S/MIME Entity - signed data Beispielnachricht aus RFC 2633 Content-Type: application/pkcs7-mime; smime-type=signed-data; name=smime.p7m Content-Transfer-Encoding: base64 Content-Disposition:attachment;filename=smime.p7m 567GhIGfHfYT6ghyHhHUujpfyF4f8HHGTrfvhJhjH776tbB97 7n8HHGT9HG4VQpfyF467GhIGfHfYT6rfvbnj756tbBghyHhHU HUujhJh4VQpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H7n8 Security - 07b Application Layer #61

62 Pretty Good Privacy... SET PGP S/MIME Pretty Good Privacy (PGP) Programm zum praktikablen und breiten Einsatz von Kryptographie zur vertraulichen und authentifizierten -Kommunikation Kerberos HTTP SMTP IP / IPSec Später auch Sicherung von Dateisystemen und anderer Netzwerkkommunikation Ursprünglicher Autor: Phil Zimmermann Anfangs Exportverbot unter US-Waffenexportsbestimmungen Daher wurde der gedruckte Programmcode als Buch publiziert und von internationalen Freiwilligen wieder eingescannt PGPi Seit 1998 IETF-Spezifikation als OpenPGP Open Source Implementierung von OpenPGP: GnuPG 62

63 Schlüsselringe Jeder Kommunikationspartner besitzt zwei Schlüsselringe Einen für eigene private Schlüssel; den anderen für die öffentlichen Schlüssel der Partner Eigener privater Schlüssel wird verschlüsselt gespeichert Passphrase 160-Bit-Hashwert Sym. Verschl. Des privaten Schlüssels 63

64 Authentizität und Vertraulichkeit Authentifizierung Hash-Code der zu sendenden Nachricht wird mit privatem Schlüssel des Senders verschlüsselt und angehängt Vertraulichkeit Für jede Nachricht wird ein neuer symmetrischer Schlüssel (session key) generiert Dieser wird mit dem öffentlichen Schlüssel jedes Empfängers verschlüsselt und der Nachricht angehängt Nachricht wird mit session key symmetrisch verschlüsselt Empfänger entschlüsselt erst session key, dann damit die Nachricht 64

65 PGP Nachrichtenformat Date: Wed, 31 Mar :11: Message-Id: To: Subject: Your order will be processed! FROM: Online Shop Header -----BEGIN PGP MESSAGE----- Version: PGP qanqr1dbwu4den/u1sqi5ryqb/9mzgft265zwdgj/r1+nv2peupa9i9kbl piyrfi p/+gvob8eopiicvanlazvmuynrtc5jjbpxp4vvtxwadwdzpy+rjiiqcu9wnd m3fv sci+ktswpuorb9iier3fugafuhbwomuyxigzpygdxk1zm8rj5hzmhvrd7 9Pdkt10 LhniPZE3/6FNXLL47C6UrO6HnVVVJNW99WGPsFDxUc/oPpPjam041/Bzia Y= =mot END PGP MESSAGE----- Body 65

66 Public-Key Management Wie verteilt man PGP-Schlüssel sicher? Physikalisch auf sicherem Weg, z.b. Austausch einer CD Unsicherer Austausch; nachgelagerte Verifikation über telefonischen Kontakt durch Vergleich der Key-Fingerprints Key Signing Party : Austausch der Publik-Keys bei persönlichem Treffen und anschließende Signatur Vertrauensnetzwerk spielt in PGP eine große Rolle Signieren sicher erhaltener Public-Keys ( Zertifikate) Signatur kann mit Vertrauensstufe versehen werden A traut B, B traut C A kann den von C ausgestellten Zertifikaten trauen 66

67 Non Sequitur by Wiley Accept the security breach or clean a litter box. Take your pick. Zugangskontrolle Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck

68 Überblick Sicherheitsdienste: Zugriffskontrolle & Verfügbarkeit 68

69 Firewall Vergleich mit Burgtor/Burggraben im Mittelalter Erlaubt Eintritt nur an bestimmter Stelle Verhindert, dass Angreifer an weitere Verteidigungsanlagen herankommt Sorgt dafür, dass System nur an einem bewachten Punkt verlassen werden kann Grenze zwischen unsicherem und vertrauenswürdigem Netz Meist: zwischen Internet und Intranet 69

70 Firewall: Aufgaben Durchlass von akzeptablem Netzverkehr Akzeptabel, wenn er der Sicherheitspolitik des Betreibers genügt Sicherheitspolitik ist eine Menge von Filterregeln Nicht akzeptablen Datenverkehr verwerfen Datenverkehr analysieren, z.b. Filterregeln basierend auf IP-Adresse und/oder Portnummer Filterregeln basierend auf den Inhalten der Pakete (also Auswertung höherer Schichten) Datenverkehr protokollieren 70

71 Was eine Firewall nicht kann... Kein Schutz gegen bösartige Insider Kein Schutz gegen Verkehr, der gar nicht durch Firewall geht (z.b. über UMTS, WLAN, ) Zusätzliche Netzzugänge sollten vermieden oder ebenfalls über die Firewall geroutet werden Speichermedien (CD-ROM, USB Sticks,...) sind wahrscheinliche Mittel, um relevante Informationen an der Firewall vorbei zu transportieren Kein Schutz gegen unbekannte Bedrohungen Kein Schutz gegen Viren/Würmer/Trojanische Pferde Denn diese stellen reguläre Daten dar, die übertragen werden 71

72 Architektur einer Firewall Eine Firewall kann aus verschiedenen logischen Komponenten bestehen: Paketfilter Application Level Gateway (Proxy Server) Realisierung in Routern Bastion Hosts Die einzelnen Komponenten müssen jedoch nicht unbedingt physikalisch auf verschiedenen Rechnern laufen 72

73 Paketfilter Analysieren Datenverkehr auf der Transport- und Netzwerkschicht Filterung anhand IP-Adresse, Portnummer und Protokoll Als Paketfilter werden meist Router verwendet Paketfilter Vorteile: Paketfilter arbeiten sehr schnell Paketfilter sind transparent für den Benutzer #73

74 Vor- / Nachteile von Paketfiltern Vorteile Zugriff auf Netzdienste geschieht völlig transparent Die meisten Router unterstützen die Angabe von Filterregeln, sodass keine teure Zusatzhardware nötig ist Nachteile Konfiguration sehr schwierig Nachweis, ob das System wirklich nur gewünschten Verkehr durchlässt, ist oft schwer zu erbringen 74

75 Application Level Gateway (Proxy) Erlauben Zugriff auf Dienste im Internet Zugriffe nicht direkt sondern nutzen Proxy als Mittelsmann Kontrolle auf Anwendungsebene Syntax und Semantik der Anwendung bekannt Bsp.: Verbieten einzelner Anwendungskommandos (HTTP POST) Externer Rechner Telnet FTP SMTP HTTP Interner Rechner Application Level Gateway #75

76 Vor- / Nachteile von Proxy Servern Vorteile Transparenter Zugriff auf viele Dienste Erlauben/Verbieten bestimmter Aktionen auf Anwendungsebene Protokollierung wird einfacher Nachteile Für viele Dienste ist keine Proxy-Funktionalität vorhanden Z.T. müssen die Anwendungen Proxy-Funktionalität besitzen, um überhaupt einen Proxy-Dienst zu nutzen (nicht alle Dienste sind transparent) Proxy Server können ebenfalls nicht (oder nur teilweise) feststellen, ob die übertragenen Nutzdaten böse sind (also bspw. Viren, Würmer oder trojanische Pferde beinhalten) 76

77 Bastion Host Bastion Host repräsentiert das Intranet nach außen Bastion Host ist den Angriffen aus dem Internet ausgesetzt Sicherheit äußerst wichtig Konfiguration sollte möglichst einfach und übersichtlich sein Jeder unnötige Dienst sollte entfernt werden Es muss mit Angriffen gerechnet werden Regelmäßiger Test auf Sicherheitslöcher mit entspr. Werkzeugen (etwa Nessus, u.a.) Entfernung aller Entwicklungs- und Installationswerkzeuge (Compiler, Make-Tools, etc.) 77

78 Firewall-Konfigurationen Oftmals bestehen Firewalls aus Kombinationen dieser Komponenten, die auf verschiedene Art und Weise angeordnet werden Bekannte Konfigurationen Dual-Homed Firewall Screened-Host Firewall Screened-Subnet Firewall 78

79 Dual-Homed Host Firewall Dual-Homed Host Rechner, der mit zwei Netzwerken verbunden ist Hier: Internet und Intranet Keine direkte Verbindung zw. Inter- und Intranet Kommunikation nur von / zu Bastion Host möglich Oft in einem Rechner vereint Proxy-Funktionalität Aber: Single Point of Failure Paketfilter Intranet Internet Bastion Host #79

80 Screened Host Firewall Bastion Host hat nur noch Verbindung zum Intranet Ist also kein Dual-Homed Host mehr Internet Paketfilter Zusätzlicher Paketfilter am Übergang Internet / Intranet Intranet Wird der Paketfilter überlistet, ist der Angreifer im Intranet Single Point of Failure Bastion Host #80

81 Screened Subnet Firewall Zwei Paketfilter/Router Dazwischen liegt die DeMilitarisierte Zone (DMZ) Perimeter Network Bastion Host liegt in der DMZ Internet Exterior Router Bastion Host Angreifer müssen nun also mind. zwei Systeme überwinden, um Zugriff auf das Intranet zu bekommen Perimeter Network Intranet Interior Router Lösung des Single Point of Failure -Problems #81