Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 6. Übungsblattes Netzwerk-Sicherheit

Transkript

1 und der IT-Sicherheit Lösungen des 6. Übungsblattes Netzwerk-Sicherheit

2 6.1 Vergleich: Risk Map 2

3 6.1 Vergleich: Risikomatrix (1) Risiko Schlüssel a b c d e f g h i j k l m Vergleich: Rang anfallende Verbindungskosten a Vergessen des Login-Passwords b Viren c Datenlager für Tauschbörse d fremde Zugangsnutzung e Identitätenklau f SPAM-Mails g Zugriff von außen auf eigene Festplatte h Dialer i Datenlager für illegale Daten j Missbrauch durch Kinder k Ausspähen von Passworddaten l keine Verbindung zum Server m

4 6.1 Vergleich: Risikomatrix (2a) Rang Risiko Auswirkung Auftreten Risiko 1 Ausspähen von Passworddaten 13 75% 9,75 7 Viren 7 100% 7,00 9 anfallende Verbindungskosten 5 100% 5,00 8 Vergessen des Login-Passwords 6 75% 4,50 2 Zugriff von außen auf eigene Festplatte 12 30% 3,60 5 fremde Zugangsnutzung 9 20% 1,80 6 Datenlager für Tauschbörse 8 20% 1,60 4 Identitätenklau 10 15% 1,50 10 Dialer 4 30% 1,20 12 Missbrauch durch Kinder 2 50% 1,00 13 SPAM-Mails 1 100% 1,00 2 Datenlager für illegale Daten 12 8% 0,96 10 keine Verbindung zum Server 4 5% 0,20 4

5 6.1 Vergleich: Risikomatrix (2b) Rang Risiko Auswirkung Auftreten Risiko 9 anfallende Verbindungskosten 7 100% 7,00 7 Viren 7 100% 7,00 1 Ausspähen von Passworddaten 7 75% 5,25 13 SPAM-Mails 3 100% 3,00 2 Zugriff von außen auf eigene Festplatte 10 30% 3,00 12 Missbrauch durch Kinder 6 50% 3,00 10 Dialer 9 30% 2,70 5 fremde Zugangsnutzung 10 20% 2,00 6 Datenlager für Tauschbörse 8 20% 1,60 8 Vergessen des Login-Passwords 2 75% 1,50 4 Identitätenklau 9 15% 1,35 2 Datenlager für illegale Daten 10 8% 0,80 10 keine Verbindung zum Server 2 5% 0,10 5

6 6.1 Vergleich: FMEA Risiko Auswirkung Auftreten Entdeckung Risikopriorität Ausspähen von Passworddaten 7 7, Zugriff von außen auf eigene Festplatte Viren fremde Zugangsnutzung Missbrauch durch Kinder Datenlager für Tauschbörse Identitätenklau 9 1, Dialer SPAM-Mails Datenlager für illegale Daten 10 0, anfallende Verbindungskosten Vergessen des Login-Passwords 2 7, keine Verbindung zum Server 2 0,5 1 1 Anm.: Entdeckung mit inversen Daten, also 10 = nur schwer, 1 = leicht 6

7 6.1 Vergleich: Ergebnis Risiken schwer zu fassen (in der Beispielssammlung der Vorlesung, die die Grundlage für diese Lösung war, fehlten z.b. Ausspähen eigener Daten, Lahmlegen des eigenen Rechners, Protokollierung der Internet-Aktionen, Erstellung von Nutzungsprofilen, Lost in Cyberspace, Ausfall des Access-Providers...) Risiken nur schwer zu bewerten unterschiedliche Blickwinkel der einzelnen Methoden führen zu unterschiedlichen Ergebnissen für Maßnahmenaktivierung bei Risk Map: Akzeptanzbereich schwierig festzulegen bei Risikomatrix: Ermittlung Rangfolge teilweise schwierig bei FMEA: (inverse) Entdeckungswahrscheinlichkeit schwer abzuschätzen 7

8 6.2 DMZ 8

9 6.3 Vergleich TCP & UDP TCP: RFC 793, 1122, 1323, 2001 (= Transmission Control Protocol) Transportschicht Verbindungsaufbau via Three- Way-Handshake Priorisierung beim Datentransport möglich Quittierung abgesandter Pakete Prüfung auf Korrektheit und Vollständigkeit eingehender Pakete verlorene oder beschädigte Pakete werden erneut angefordert UDP: RFC 768 (= User Datagram Protocol) Transportschicht kein Verbindungsaufbau via Three-Way-Handshake Quell-Port muss nicht angegeben sein keine Quittierung abgesandter Pakete keine Prüfung auf Korrektheit und Vollständigkeit eingehender Pakete große Datenmengen in kurzer Zeit übermittelbar 9

10 6.3 IP = Internet Protocol (RFC 791, 1883) Vermittlungsschicht weitere Hinweise (nicht aufgabenrelevant): keine Datensicherung versendete Datagramme müssen nicht bestätigt werden keine Fehlerkorrektur freie Wegewahl zwischen zwei kommunizierenden Stationen Datagramme mit Time-to-Live versehen, die pro Passage durch Verbindungsstation reduziert wird verhindert endlose Reise IPSec in IPv6 integriert 10

11 6.3 Informationen aus Protokolldaten IP-Protokoll verrät einem potentiellen Angreifer Quell- und Zieladressen, TCP außerdem Quell- und Zielport, UDP u.u. nur den Zielport Verkehrsflussanalyse kann gezielt vorgenommen werden bei IP keine vorgegebenen Wege Angreifer kann sich zwischenschalten und Datagramme sniffen bzw. manipulieren bei IP sind höhere Protokolle angegeben gezieltere Angriffe planbar 11

12 6.4 well-known-ports: Hinweise Port = 16-Bit-Adresse zur Identifikation eines eindeutigen Zugangspunktes well-known-ports werden von der Internet Assigned Numbers Authority (IANA) vergeben finden sich im Bereich von 0 bis 1023 registrierte Ports dagegen im Bereich von restliche Ports ( ) sind dynamic/private Ports 12

13 6.4 well-known-ports: Auswahl 7: echo 21: ftp 22: ssh 23: telnet 25: smtp 53: dns 79: finger 80: http 110: pop3 137: netbios-ns 194: irc 220: imap3 514: shell 515: printer 13

14 6.5 Sicherheitsprobleme bei der drahtlosen Kommunikation WLAN: Auslieferungskonfiguration nur mit schwacher Sicherheit Netzwerkname (SSID) leicht zu ermitteln Media-Access-Control-Adresse leicht abhör- und manipulierbar Verschlüsselung von Hand Wired Equivalent Privacy (WEP): Schlüssel zu kurz, Initialisierung leicht zu berechnen, CRC gewährleistet nicht Integrität, Authentisierung auch mittels sniffen möglich unkontrollierte Funkwellen Störung durch andere elektromagnetische Funkwellen Bewegungsprofile erstellbar Bluetooth: Auslieferungskonfiguration nur mit schwacher Sicherheit Verschlüsselung nicht vorgeschrieben anwendbare Verschlüsselung schwach Authentisierung nur durch Gerät, nicht durch Benutzer CRC gewährleistet nicht Integrität unkontrollierte Funkwellen Störung durch andere elektromagnetische Funkwellen Bewegungsprofile erstellbar Aufzeichnung von Raumgesprächen möglich 14

15 Ergebnisse: 4. Übungsblatt Schnitt: 2,00 2,46 3,42 1,75 4,58 [20..25] [15..20) [10..15) [05..10) [00..05) Verteilung:

16 Ergebnisse: 5. Übungsblatt Schnitt: 4,68 4,71 4,86 3,55 3,50 [20..25] [15..20) [10..15) [05..10) [00..05) Verteilung: