Rechnernetze I SS Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B Stand: 10.

Transkript

1 Rechnernetze I SS 2014 Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404 Stand: 10. August 2015 Betriebssysteme / verteilte Systeme Rechnernetze I (1/13) i

2 Rechnernetze I SS Netzwerksicherheit Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 266

3 10 Netzwerksicherheit... OSI: 1-7 Inhalt Sicherheitsanforderungen Sicherheitsprobleme der Internet-Protokolle Kryptographische Grundlagen Sicherheitsmechanismen für Protokolle Beispiele sicherer Protokolle Firewalls Peterson, Kap. 8.1, 8.2, 8.3.1, 8.3.3, 8.4 CCNA, Kap Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 267

4 10.1 Sicherheitsanforderungen In Netzwerken wird persönliche / wertvolle / vertrauliche Information übermittelt Information sollte nur Berechtigen bekannt werden! Authentizität der Information? Wachsende Bedeutung der Netzwerksicherheit wegen steigender Vernetzung höheres Angriffspotential neuer Einsatzgebiete z.b. e-business: elektronische Zahlung / Verträge Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 268

5 10.1 Sicherheitsanforderungen... Allgemeine Sicherheitsanforderungen (Informations-)Vertraulichkeit (confidentiality) Schutz vor unautorisierter Informationsgewinnung (Daten-)Integrität (integrity) Schutz vor unautorisierter Veränderung von Daten (Nachrichten-)Authentizität (message authenticity) Urheber der Daten kann korrekt identifiziert werden Verbindlichkeit (nonrepudiation) Handlungen können nicht abgestritten werden Verfügbarkeit (availability) von Diensten Anonymität der Kommunikationspartner Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 269

6 10.1 Sicherheitsanforderungen... Angriffe auf die Netzwerksicherheit Modifikation (Integrität) Normaler Informationsfluß Man in the Middle Quelle(Alice) Ziel (Bob) Erzeugung (Authentizität) Unterbrechung (Verfügbarkeit) Denial of Service Abhören (Vertraulichkeit) Spoofing Wiedereinspielen abgehörter Daten Sniffing (Eve) Replay Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 270

7 10.1 Sicherheitsanforderungen... Konkret: Alice sendet eine Nachricht an Bob Vertraulichkeit: niemand außer Alice und Bob erfahren den Inhalt der Nachricht Integrität: Bob kann sich (nach entsprechender Prüfung!) sicher sein, daß die Nachricht während der Übertragung nicht (absichtlich) verfälscht wurde Authentizität: Bob kann sich (nach entsprechender Prüfung!) sicher sein, daß die Nachricht von Alice gesendet wurde Verbindlichkeit: Alice kann nicht bestreiten, die Nachricht verfaßt zu haben D.h. Bob kann Dritten gegenüber beweisen, daß die Nachricht von Alice gesendet wurde Im Folgenden: Beschränkung auf diese vier Anforderungen Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 271

8 10.2 Sicherheitsprobleme des Internets Heutiger Stand im Internet: Die Standard-Internet-Protokolle (u.a. IP, TCP, DNS, ARP, NFS, HTTP, SMTP) erfüllen keine der in 10.1 genannten Sicherheitsanforderungen Hauptprobleme: öffentliche Netze prinzipiell abhörbar fehlende / unzureichende Authentifizierung Abhilfe: sichere Protokolle in der Anwendungsschicht: SSL/TLS (HTTPS, SFTP), S/MIME, PGP, SSH,... sicheres IP-Protokoll (IPsec, siehe Rechnernetze II) Basis: kryptographische Verfahren Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 272

9 10.2 Sicherheitsprobleme des Internets... Ein Problem des IP-Protokolls: IP-Spoofing Viele IP-basierte Protokolle vertrau(t)en der Absenderadresse z.b. UNIX-Dienste rsh, rcp, rlogin: ( ) Festlegung von Trusted Hosts Zugriff von Trusted Host aus auch ohne Paßwort Aber: Angreifer kann IP-Pakete mit beliebiger (falscher) Absenderadresse versenden z.b. um vorzutäuschen, ein Trusted Host zu sein Problem: fehlende Authentifizierung der Pakete in IPv4 ( ) Inzwischen nicht mehr in Verwendung! Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 273

10 10.2 Sicherheitsprobleme des Internets... Ein Problem des IP-Protokolls: IP-Spoofing... IP-Spoofing ist Basis vieler anderer Angriffe Gegenmaßnahmen: nicht auf Senderadresse vertrauen Router-Konfiguration: Source Address Verification Prüfen, ob Paket mit angegebener Senderadresse aus dem jeweiligen Subnetz kommen kann IPsec (neuer Internet-Standard): sichere Authentifizierung des Senders Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 274

11 10.2 Sicherheitsprobleme des Internets... Ein Problem durch Programmierfehler: Ping of death Fehler in der Implementierung des ping-kommandos unter Windows 95: ping -l my.computer.de sendet ein fragmentiertes IP-Paket der Länge Fehler in (alten Versionen) fast aller Betriebssysteme: Pufferüberlauf im Betriebssystemkern beim Zusammenbau des Pakets Absturz des Systems, Reboot,... Problem: fehlende Validierung der Eingabe Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 275

12 10.2 Sicherheitsprobleme des Internets... Ein Problem des DNS: DNS-Spoofing Angreifer kann falsche Zuordnung zwischen Hostnamen und IP-Adresse in DNS-Servern installieren Zugriffe auf diesen Host werden z.b. auf Rechner des Angreifers umgeleitet (= Man-in-the-Middle Attacke) z.b. gefälschte Web-Sites, Ausspionieren von Kreditkarteninfo, Paßworten,... Problem: keine Authentizierung Schadensbegrenzung: keine recursive queries zulassen nur DNS-Cache eines Rechners kann infiziert werden Lösungen: TSIG, DNSSEC (IETF Standards) Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 276

13 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing Alice ns.alice.at ns.bob.at ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

14 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 1. Ausspionieren der nächsten DNS Query ID (qid) Alice ns.alice.at ns.bob.at ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

15 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 1. Ausspionieren der nächsten DNS Query ID (qid) Alice ns.alice.at? ns.bob.at ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

16 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 1. Ausspionieren der nächsten DNS Query ID (qid) Alice ns.alice.at? qid ns.bob.at ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

17 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 1. Ausspionieren der nächsten DNS Query ID (qid) Alice ns.alice.at!... qid ns.bob.at ns.eve.at Eve qid Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

18 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 2. Falschen Eintrag im erzeugen Alice ns.alice.at ns.bob.at ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

19 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 2. Falschen Eintrag im erzeugen Alice ns.alice.at? ns.bob.at ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

20 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 2. Falschen Eintrag im erzeugen Alice ns.alice.at? qid+n ns.bob.at ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

21 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 2. Falschen Eintrag im erzeugen Alice ns.alice.at = ns.eve.at! qid+n Eve ns.bob.at Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

22 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 2. Falschen Eintrag im erzeugen Alice ns.alice.at Zu spät! Antwort wird verworfen!... qid+n ns.bob.at = ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

23 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 3. Alice kontaktiert Eve und glaubt es wäre Bob! Alice ns.alice.at ns.bob.at = ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

24 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 3. Alice kontaktiert Eve und glaubt es wäre Bob! Alice ns.alice.at ns.bob.at = ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

25 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 3. Alice kontaktiert Eve und glaubt es wäre Bob! Alice ns.alice.at ns.bob.at = ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

26 10.2 Sicherheitsprobleme des Internets... Angriff auf DNS: DNS-Spoofing 3. Alice kontaktiert Eve und glaubt es wäre Bob! Alice ns.alice.at... ns.bob.at = ns.eve.at Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 277

27 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking Feindliche Übernahme einer offenen TCP-Verbindung z.b. nach erfolgter Authentifizierung von Alice! Angriff: 1. Senden eines gefälschten RST-Pakets (Verbindungsabbruch) an Alice 2. Senden gefälschter Pakete an Bob, mit geschätzten oder abgehörten Sequenznummern Setzt i.d.r. Abhörmöglichkeit (z.b. Zugang zu lokalem Ethernet) voraus Sequenznummern zählen die übertragenen Bytes Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 278

28 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking... Alice Bob Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 279

29 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking... Alice Sender=Alice SeqNr=10, ACK=50, Flags=ACK, Len=5 Bob Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 279

30 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking... Alice Sender=Alice SeqNr=10, ACK=50, Flags=ACK, Len=5 Bob Eve SeqNr(Alice)=15 SeqNr(Bob)=50 Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 279

31 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking... Alice Bob Sender=Bob Flags=RST Eve SeqNr(Alice)=15 SeqNr(Bob)=50 Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 279

32 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking... Alice unerwartetes Paket wird verworfen Sender=Bob SeqNr=50, ACK=15, Flags=ACK, Len=10 Bob Eve SeqNr(Alice)=15 SeqNr(Bob)=60 SeqNr(Bob)=50 Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 279

33 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking... Alice Bob Sender=Alice SeqNr=15, ACK=60, Flags=ACK, Len=8 Eve SeqNr(Alice)=23 SeqNr(Bob)=60 Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 279

34 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking... Alice unerwartetes Paket wird verworfen Sender=Bob SeqNr=60, ACK=23, Flags=ACK, Len=20 Bob Eve SeqNr(Alice)=23 SeqNr(Bob)=80 Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 279

35 10.2 Sicherheitsprobleme des Internets... Ein Problem des TCP: Hijacking... Alice Typisch: Fluten des Ports von Alice Bob ==> Warteschlange voll ==> Pakete von Bob nicht empfangen ==> kein RST Paket von Alice an Bob Eve Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 279

36 10.2 Sicherheitsprobleme des Internets... Weitere problematische Protokolle UDP Problem: fehlende Authentifizierung Fälschen von UDP-Paketen viel einfacher als bei TCP Einige wichtige Dienste (DNS, NFS) basieren auf UDP ICMP Problem: fehlende Authentifizierung erlaubt Abbrechen, Behindern und Umleiten von Verbindungen ARP Problem: keine Authentizierung ARP ist zustandslos, akzeptiert Antwort von beliebigem Sender Angreifer im lokalen Netz kann durch falsche ARP-Antwort Pakete zu sich umleiten (ARP Spoofing) Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 280

37 10.2 Sicherheitsprobleme des Internets... Weitere problematische Protokolle... NFS (Network File System) Problem: Authentifizierung nur über Host-/Username Problem: ungeschützte Übertragung von Dateiinhalten und -handles NIS (Network Information System) Zentrale Paßwortdatei für Rechner eines Netzes Problem: keine Authentifizierung des Servers Problem: Zugriffskontrolle nur durch Domänen-Namen Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 281

38 10.2 Sicherheitsprobleme des Internets... Weitere problematische Protokolle... rsh, rcp, rlogin, telnet, FTP (File Transfer Protocol) Problem: Authentifizierung z.t. nur über Host-/Username Problem: ungeschützte Übertragung (incl. Paßworte!) HTTP (HyperText Transport Protocol) Problem: keine Authentifizierung des Servers Problem: ungeschützte Übertragung (auch Paßworte!) SMTP (Simple Mail Transport Protocol) Problem: keine Authentifizierung des Absenders Problem: Übertragung / Zwischenspeicherung im Klartext Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 282

39 10.3 Kryptographische Grundlagen Grundprinzip der Verschlüsselung: M C=E(M,K ) C M=D(C,K ) M E D Klartext ver schlüsseln Chiffretext ent schlüsseln Klartext Schlüssel K E Schlüssel K D Symmetrische Verschlüsselungsverfahren K E = K D = K = gemeinsamer geheimer Schlüssel Asymmetrische Verschlüsselungsverfahren K E = öffentlicher, K D = privater Schlüssel Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 283

40 10.3 Kryptographische Grundlagen... Anforderungen an Verschlüsselungsverfahren: Nur der Besitzer des geheimen bzw. privaten Schlüssels kann den Chiffretext entschlüsseln Sicherheit basiert nicht auf Geheimhaltung der Algorithmen Mögliche Angriffe: Klartext-Angriff: Klartext + Chiffretext Schlüssel Im Idealfall: alle Schlüssel müssen durchprobiert werden Schlüssel müssen lang genug sein! Bei asymmetrischen Verfahren auch effizientere Angriffe Berechnung von K D aus K E ( längere Schlüssel nötig) Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 284

41 10.3 Kryptographische Grundlagen... Symmetrische Verschlüsselung: Alice Eve Bob M Nachricht E(M,K) K öffentlicher Kanal D(M,K) K M Nachricht geheimer Schlüssel sicherer Kanal geheimer Schlüssel Symmetrische Verschlüsselung ist sehr effizient realisierbar Schlüssel sind relativ kurz (heute typisch Bit) Problem: Austausch des Schlüssels K Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 285

42 10.3 Kryptographische Grundlagen... Asymmetrische Verschlüsselung: Alice Eve Bob M E(M,K ) E Nachricht öffentlicher Kanal D(M,K ) D M Nachricht K E K D öffentlicher Schlüssel privater Schlüssel Bob berechnet K E aus K D und veröffentlicht K E Problem: Authentizität von K E Weniger effizient als symmetrische Verfahren Längere Schlüssel nötig (heute typisch Bit) Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 286

43 10.3 Kryptographische Grundlagen... Beispiele symmetrischer Verschlüsselungsverfahren: DES: veraltet, Schlüssel nur 56 Bit lang Triple-DES: dreifache Anwendung von DES (auch veraltet) AES: Nachfolger von DES, Bit Schlüssel IDEA: z.b. in PGP benutzt, 128 Bit Schlüssel Beispiel für asymmetrische Verschlüsselungsverfahren: RSA: Standardverfahren, Sicherheit basiert auf der Schwierigkeit der Primfaktorzerlegung großer Zahlen Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 287

44 10.3 Kryptographische Grundlagen... Kryptographische Hashes (Message Digest) Analog einer normalen Hashfunktion: Nachricht wird auf einen Wert fester Größe abgebildet Zusätzliche Eigenschaft: Kollisionsresistenz zu Nachricht x kann (in vernünftiger Zeit) keine andere Nachricht y mit gleichem Hashwert gefunden werden Einsatz zur Sicherung der Integrität kryptographische Prüfsumme Beispiele MD5 (Message Digest, Version 5), 128 Bit Hashwert, unsicher SHA-1 (Secure Hash Algorithm 1), 160 Bit Hashwert Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 288

45 10.3 Kryptographische Grundlagen... Begriffe Sicherheit Kryptographische Algorithmen Sicherheits dienste Symmetri sche Chiffren (z.b. AES) Asymmetri sche Chiffren (z.b. RSA) Message Digest (z.b. SHA 1) Vertrau lichkeit Authenti zität Integri tät Verbind lichkeit Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 289

46 10.3 Kryptographische Grundlagen... Was leistet die reine Verschlüsselung von Nachrichten? Vertraulichkeit: ja Integrität: bedingt nur, wenn Klartext genügend Redundanz aufweist Verwendung von Message Digests Nachrichtenauthentizität: nein bei asymmetrischen Verfahren: K E öffentlich! bedingt bei symmetrischer Verschlüsselung nur mit gesicherter Integrität und Schutz vor Replay Verbindlichkeit: nein Schutz vor Replay: nein Transaktionszähler im Klartext + Integrität sichern Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 290

47 10.4 Sicherheitsmechanismen Kryptographische Algorithmen sind nur Bausteine für die Netzwerksicherheit Zusätzlich benötigt: Mechanismen und Protokolle Einige Sicherheitsaufgaben: Authentifizierung von Kommunikationspartnern wer ist mein Gegenüber? von Nachrichten stammt die Nachricht wirklich vom Absender? Sicherung der Integrität von Nachrichten Verbindlichkeit Verteilung öffentlicher Schlüssel Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 291

48 10.4 Sicherheitsmechanismen... Partner-Authentifizierung Kommunikationspartner identifizieren sich gegenseitig Beispiel: File-Server Server verlangt ID des Clients zur Prüfung der Schreib-/Leserechte Client verlangt ID des Servers zum Lesen/Schreiben sensibler Daten Manchmal auch nur einseitige Authentifizierung Beispiel: WWW-Server Client verlangt ID des Servers zur Übertragung wichtiger / vertraulicher Daten Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 292

49 10.4 Sicherheitsmechanismen... Partner-Authentifizierung mit Drei-Wege-Handshake Server kennt Schlüssel des Clients (z.b. Paßwort bei login) 1. Client sendet ClientID und verschlüsselte Zufallszahl x (CHK: Client Handshake Key) 2. Server sucht den zu ClientID gehörigen Schlüssel SHK, sendet x+1 und Zufallszahl y 3. Server ist authentifiziert (x+1) 4. Client ist authentifiziert (y+1), Server sendet Session Key SK für weitere Kommunikation Client 1 3 ClientID, E(x, CHK) E(x+1,SHK), E(y,SHK) E(y+1, CHK) E(SK, SHK) Server 2 4 Betriebssysteme / verteilte Systeme Rechnernetze I (11/13) 293

50 Rechnernetze I SS Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404 Stand: 10. August 2015 Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) xii

51 10.4 Sicherheitsmechanismen... Partner-Authentifizierung über asymmetrische Chiffre A B E(x, Public B) x Einseitige Authentifizierung von B ggf. authentifiziert sich A ebenso ( 3-Wege-Handshake) Public B nicht zum Verschlüsseln verwenden! Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 294

52 10.4 Sicherheitsmechanismen... Sicherung der Nachrichtenintegrität und -authentizität Integrität: Kein Dritter soll Nachricht verfälschen können setzt sinnvollerweise Nachrichten-Authentizität voraus Bei Übertragung mit symmetrischer Verschlüsselung: kryptographischen Hashwert H(M) an Klartext M anfügen und verschlüsseln bei Modifikation des Chiffretexts paßt die Nachricht nicht mehr zum Hashwert kein Angreifer kann neuen Hashwert berechnen / verschlüsseln Nachrichten-Authentizität (bis auf Replay) durch symmetrische Chiffre sichergestellt Replay-Schutz: Transaktionszähler / Zeitstempel in M Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 295

53 10.4 Sicherheitsmechanismen... Sicherung der Nachrichtenintegrität und -authentizität... Bei asymmetrischer Verschlüsselung: Hash-Wert allein nützt nichts, da Nachrichten-Authentizität nicht sichergestellt ist Bei unverschlüsselter Übertragung (oft sind Daten nicht vertraulich, aber ihre Integrität wichtig): Hash-Wert stellt Integrität nicht sicher, da jeder nach einer Modifikation der Nachricht den neuen Hash-Wert berechnen kann Lösungen: kryptographischer Hashwert mit geheimem Schlüssel digitale Signatur Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 296

54 10.4 Sicherheitsmechanismen... Hashwert mit geheimem Schlüssel Einbeziehen eines (gemeinsamen) geheimen Schlüssels K in den Hashwert: füge H(M + K) an Nachricht M an (+ = Konkatenation) Sichert auch Nachrichten-Authentizität (bis auf Replay) kein Dritter kann H(M + K) korrekt berechnen Replay-Schutz: Transaktionszähler / Zeitstempel in M Sichert nicht Verbindlichkeit Empfänger kann H(M + K) berechnen Beispiel: HMAC-SHA1 Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 297

55 10.4 Sicherheitsmechanismen... Digitale Signatur mit asymmetrischer Chiffre Sender A sendet M und E(M, Private A ) an Empfänger B B entschlüsselt mit Public A und prüft, ob Ergebnis gleich M ist Problem: asymmetrische Verschlüsselung ist langsam Daher: Kombination mit kryptographisher Hashfunktion digitale Signatur von A auf M dann: E(H(M), Private A ) Digitale Signatur sichert Integrität, Nachrichten-Authentizität (bis auf Replay) und Verbindlichkeit nur A besitzt Private A Replay-Schutz: Transaktionszähler in M Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 298

56 10.4 Sicherheitsmechanismen... Verteilung öffentlicher Schlüssel Problem: Übertragung des öffentlichen Schlüssels Public A von A zu B Woher weiß B, daß Public A authentisch ist? zur Authentifizierung bräuchte B den Schlüssel von A... Lösungen: Übertragung über andere Medien (persönlich, Post,...) Zertifikate (Certificates) Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 299

57 10.4 Sicherheitsmechanismen... Zertifikat Ich bestätige, daß der in diesem Dokument stehende öffentliche Schlüssel dem angegebenen Eigentümer gehört. Gezeichnet: CA Die Zertifizierungsstelle (CA, Certification Authority) beglaubigt die Zuordnung zwischen einem öffentlichem Schlüssel und seinem Besitzer durch digitale Signatur Nur noch der öffentliche Schlüssel der CA muß separat veröffentlicht werden Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 300

58 10.4 Sicherheitsmechanismen... Zertifizierungshierarchie (z.b. bei HTTPS) Vertrauenskette: X zertifiziert, daß Schlüssel von Y authentisch ist, Y zertifiziert Schlüssel von Z,... X IPRA Internet Policy Registration Authority (Wurzel CA) Y PCA1 PCA2 PCA3 Policy Cert. Authority Z CA CA CA CA CA CA User User CA User User User CA User User User Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 301

59 10.4 Sicherheitsmechanismen... X.509 Zertifikate X.509: wichtiger Standard für Zertifikate Komponenten des Zertifikats: Name der Person/Institution oder eines Rechners ggf. auch -Adresse oder Domain-Name öffentlicher Schlüssel der Person/Institution bzw. des Rechners Name der CA Ablaufdatum des Zertifikats (optional) digitale Signatur der CA über alle obigen Felder Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 302

60 10.4 Sicherheitsmechanismen... Invalidierung von Zertifikaten Zertifikate können beliebig kopiert und verbreitet werden Identität wird durch ein Zertifikat nur in Verbindung mit dem Besitz des privaten Schlüssels belegt Falls privater Schlüssel ausgespäht wurde: Widerruf des Zertifikats nötig Einfache Möglichkeit: Certificate Revocation List (CRL) Liste widerrufener Zertifikate, signiert von CA Ablaufdatum begrenzt Länge der Liste Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 303

61 10.5 Beispiele sicherer Protokolle PGP (Pretty Good Privacy) Realisiert Vertraulichkeit, Integrität, Authentifizierung und Verbindlichkeit für Mechanismen: Verschlüsselung und digitale Signatur einzeln oder kombiniert verwendbar Keine Zertifizierungsstellen bzw. hierarchie PGP-Benutzer zertifizieren die öffentlichen Schlüssel gegenseitig mehrere Zertifikate möglich (höheres Vertrauen) Vertrauensstufe des Schlüssels wird bei -Empfang angezeigt Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 304

62 10.5 Beispiele sicherer Protokolle... PGP: Verschlüsselte Übertragung von s Erzeuge zufälligen geheimen Schlüssel k Symm. Verschlüsselung der Nachricht mit k Verschlüssle k mit öffent lichem Schlüssel des Empfängers: E(k) Wandle Chiffretext und E(k) in ASCII um Entschlüssle Chiffretext mit geheimem Schlüssel k Entschlüssle E(k) mit privatem Schlüssel Extrahiere Chiffretext und E(k) aus ASCII Nachricht Übertragene Nachricht Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 305

63 10.5 Beispiele sicherer Protokolle... PGP: Signierung von s Berechne MD5 Hash des Nachrichteninhalts Signiere Hashwert via RSA mit privatem Schlüssel des Senders Integrität und Authentizität der Nachricht bestätigt, falls Werte gleich Berechne MD5 Hash der Nachricht, vergleiche mit empfangenem Wert Entschlüssle Hashwert mit öffentlichem Schlüssel des Senders Übertragene Nachricht Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 306

64 10.5 Beispiele sicherer Protokolle... TLS (Transport Layer Security) Motivation: Sicherheit im WWW, z.b. für Kreditkartenzahlung Vertraulichkeit (der Kreditkarteninformation) Authentizität (des WWW-Servers) Integrität (der Bestelldaten) (Verbindlichkeit wird von TLS nicht gewährleistet) TLS ist ein Internet-Standard der IETF Basis: ältere Realisierung SSL (Secure Socket Layer) TLS ist die Grundlage vieler sicherer Protokolle im WWW: z.b. HTTPS, SFTP,... realisiert durch eine zusätzliche Schicht Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 307

65 10.5 Beispiele sicherer Protokolle... TLS: sichere Transportschicht Anwendung (z.b. HTTP) Sichere Transportschicht (TLS) TCP IP Netzwerk Vorteil: unveränderte Anwendungsprotokolle Spezielle Ports, z.b. 433 für HTTPS TLS gibt Daten von TCP an HTTP-Protokoll weiter (bzw. umgekehrt) Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 308

66 10.5 Beispiele sicherer Protokolle... Wichtige TLS Teil-Protokolle: Handshake-Protokoll beim Verbindungsaufbau Aushandeln der kryptographischen Parameter: Verfahren, Schlüssellänge, Sitzungsschlüssel, Zertifikate, Kompression Record-Protokoll für die eigentlichen Daten Fragmentierung, Kompression, Message Digests, Verschlüsselung, Transport (TCP) Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 309

67 10.5 Beispiele sicherer Protokolle... TLS Handshake-Protokoll Client Server Bis zu 12 Nachrichten Aushandeln der kryptographischen Parameter notwendigerweise unverschlüsselt Man-in-the-Middle kann schwache Verschlüsselung aushandeln Anwendungen müssen auf Mindestanforderungen bestehen, ggf. Verbindungsabbruch Hello Hello [Zertifikat, Schlüsselaus tausch, Zertif.anfrage], HelloDone [Zertifikat], Schlüsselaus tausch, [Zert.verifik.], Fertig Fertig Daten Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 310

68 10.5 Beispiele sicherer Protokolle... IPsec (IP Security, Secure IP) (Mehr in Rechnernetze II) Sicherheit auf der Ebene von IP (Teil von IPv6) Zwei Dienste Authentifizierung und Integrität (AH-Protokoll) gesamtes IP-Paket (incl. IP-Header) zusätzliche Sequenznummer als Replay-Schutz Vertraulichkeit (ESP-Protokoll) i.d.r. nur Datenteil des IP-Pakets spezieller Tunnel-Modus (für VPNs): auch ursprünglicher IP-Header wird verschlüsselt Zur Zeit i.w. für Tunnel (VPNs) eingesetzt Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 311

69 10.6 Firewalls Übriges Internet Firewall Lokales Netz Firewall: Router mit Filterfunktion kann bestimmte Pakete ausfiltern (verwerfen) und somit Zugriff auf bestimmte Hosts / Dienste unterbinden wäre i.w. überflüssig, wenn alle Dienste sicher wären! Zwei Typen: Filter-basierte Firewalls Proxy-basierte Firewalls Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 312

70 10.6 Firewalls... Filter-basierte Firewalls Filtern nur aufgrund von Quell- und Ziel-IP-Adressen, Quell- und Ziel-Ports, sowie übertragenem Protokoll Filterregeln z.b. deny tcp /16 host eq 80 permit tcp any host eq 25 Frage: alles erlaubt, was nicht verboten ist, oder umgekehrt? Statische oder dynamische Regeln z.b. FTP: neue Ports für jede übertragene Datei Level-4-Switch : Firewall kennt Transport-Protokolle Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 313

71 10.6 Firewalls... Proxy-basierte Firewalls Proxy: Mittler zwischen Client und Server für Client: Proxy ist Server, für Server: Proxy ist Client Externer Client externe HTTP/TCP Verbindung Firewall Proxy Proxy arbeitet auf Anwendungsschicht interne HTTP/TCP Verbindung kann auf der Basis des Nachrichteninhalts filtern Lokaler Server z.b. HTTP-Anfragen nach bestimmten Seiten nur von speziellen Hosts akzeptieren Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 314

72 10.6 Firewalls... Grenzen von Firewalls Kein Schutz interner Benutzer untereinander Nur begrenzter Schutz gegen mobilen Code (z.b. Wurm) Schutz von Teilen eines Netzes schwierig Angreifer kann sich in privilegiertes Netz einschleichen z.b. bei drahtlosen Netzen Filterung über Sender-IP-Adresse/Port ist unsicher Vorteil von Firewalls Umsetzung einer Sicherheitsstrategie an zentraler Stelle Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 315

73 10.7 Zusammenfassung Sicherheitsanforderungen: Vertraulichkeit, Integrität, Authentizität,Verbindlichkeit Verfügbarkeit, Anonymität,... IP, TCP, UDP erfüllen keine Sicherheitsanforderungen Vertraulichkeit, Integrität, Authentizität Kryptographische Verfahren: symmetrische und asymmetrische Chiffren Kryptographische Hashes (Message Digest) Sicherheitsmechanismen Authentifizierung (Kommunikationspartner, Nachrichten) Integrität: Hashwerte mit Schlüssel, digitale Signatur Verteilung öffentlicher Schlüssel: Zertifikate Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 316

74 10.7 Zusammenfassung... Sichere Protokolle, z.b. PGP, TLS (HTTPS), IPsec Firewalls Fortsetzung: Rechnernetze-Praktikum (WS, B.Sc., Vertiefungspraktikum, 5 LP) Aufbau von Netzen, Routing und Switching Rechnernetze II (SS, M.Sc./B.Sc., 5 LP) weitere Netzwerktechnologien (Fast Ethernet, WLAN,...) Vertiefung (Routing, QoS, IPsec,...) Betriebssysteme / verteilte Systeme Rechnernetze I (12/13) 317