Netzwerk- und Datensicherheit

Transkript

1 Martin Kappes Netzwerk- und Datensicherheit Eine praktische Einführung m Teubner

2 mm ' S ^ ^ ^ ^ ^ ^ ^ B ^ ^ ^ ^ ^ ^ S ^ ^ Ä f c ^ S s ^ f c ^ -iy^i i -- _J Kappes I! l_einführung I _J 2_Kryptographische Prii _J 3_Authentifikation ] 4_Betriebssysteme und I 5_Anwendungen ' C3 6_Malware I I 7_Netzwerke und Netzv Ol 8 _Srcherhevt in Netewer te> n I 1 Einführung Warum IT-Sicherheit Ziele von IT-Sicherheit Angriffe auf IT-Sicherheit Angriffsarten Schwachstellen Ziele eines Angriffs Risiken und Unsicherheit IT-Sicherheit in der Praxis Organisatorische Grundlagen der IT-Sicherheit Rahmenbedingungen IT-Sicherheit als Prozess Rechtliche Grundlagen und Rahmenbedingungen in Deutschland Bundesdatenschutzgesetz Telekommunikationsgesetz Telemediengesetz Handelsgesetzbuch Bundesamt für Sicherheit in der Informationstechnik Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben 16 2 Kryptographische Prinzipien und Methoden Grundlagen Definition Modell Verschlüsselungsverfahren Vom Klartext zum Chiffretext Sicherheit von Verschlüsselungsverfahren Kryptanalysis Ein absolut sicheres Verfahren Symmetrische Verfahren und Public-Key-Verfahren Grundlagen Symmetrische Verfahren Public-Key-Verfahren Hybride Verfahren 29

3 VIII Inhaltsverzeichnis 2.4 Betriebsarten Electronic Code Book Cipher Block Chaining Cipher Feedback Mode und Output Feedback Mode CounterMode Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben 37 3 Authentifikation Grundlagen Mögliche Faktoren zur Authentifikation Passwörter Größe des Passwortraums Sicherheit der Passwortspeicherang beim Anwender und im System Sicherheit der Passworteingabe und Übertragung Passwörter - Eine Sicherheitslücke? Tokens und Smart-Cards Biometrie Kryptographische Methoden Authentifikation von Benutzern und Maschinen Digitale Signatur Infrastrukturen zur Authentifikation Zertifikate und Certificate Authorities Zertifikate in der Praxis: X Beispiel: X.509 Zertifikate mit OpenSSL selbst erstellen Web of Trust Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben 67 4 Betriebssysteme und ihre Sicherheitsaufgaben Aufgaben und Aufbau von Betriebssystemen Systemadministratoren Rechtevergabe und Zugriffskontrolle am Beispiel Dateisystem Trusted Computing Monitoring und Logging Absichern des Systems gegen Angriffe Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben 80

4 Inhaltsverzeichnis IX 5 Anwendungen Einführung Buffer Overflows Das Problem Schutzmaßnahmen Race Conditions Software aus dem Internet Downloads Aktive Inhalte Einführung Java und Java-Applets JavaScript ActiveX Control Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben 92 6 Malware Einführung Schaden Verbreitung und Funktionsweise Verbreitung Funktionsweise Viren Würmer Backdoors und Root Kits Zombies Schutzmaßnahmen und Entfernung von Malware Schutzmaßnahmen Virenscanner Systemkonfiguration, Dienste und Einstellungen Patches und Updates Heterogenität Firewalls und Filtermechanismen Vorsichtige Benutzer Entfernung Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben Netzwerke und Netzwerkprotokolle Grundlagen 105

5 X Inhaltsverzeichnis 7.2 Das Schichtenmodell Die wichtigsten Netzwerkprotokolle im Überblick Datenverbindungsschicht: LAN-Technologien IEEE / Ethernet IEEE802.il Wireless Local Area Networks Bridges und Switches Datenverbindungsschicht: Das Point-to-Point Protocol (PPP) Netzwerkschicht: Internet Protocol (IP) IP-Header IPv4undIPv Das ICMP-Protokoll Routing unter IP Automatische Konfiguration von Rechnern An der Schnittstelle von IP und Datenverbindungsschicht: Address Resolution Protocol Transportschicht: TCP und UDP TCP User Datagram Protocol (UDP) Vergleich Applikationsschicht Ein kleiner Spaziergang durch den Zoo der Applikationsprotokolle Domain Name Service (DNS) Netzwerke in der Praxis Referenznetzwerk Konfiguration der Rechner und Router Unser Test Sniffer und Protokollanalysierer Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben Sicherheit in Netzwerken Bedrohungen Bedrohungssituation Struktur des Internet Mithören in der Praxis Manipulieren von Nachrichten Schutzmechanismen Anonymität Beispiele für Schwachstellen und Risiken in Netzwerken und Netzwerkprotokollen Manipulationen beim Routing MAC-Address-Spoofing 143

6 Inhaltsverzeichnis XI ARP-Spoofing IP-Spoofing TCP Sequence Number Attack DNS-Spoofing Sicherheitsprotokolle im Internet - Ein Überblick Sicherheit auf der Applikationsschicht Sicherheit auf der Transportschicht Sicherheit auf der Netzwerkschicht Sicherheit auf der Datenverbindungsschicht Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben Firewalls Der Grundgedanke von Firewalls Komponenten von Firewalls Paketfilter-Firewalls Einführung Typische Konfigurationen von Paketfiltern Statische vs. dynamische Paketfilter Probleme und Grenzen von Paketfiltern Network Address Translation Paketfilter unter Linux Applikation-Level-Gateways Einführung Application-Level-Gateways und Paketfilter in der Praxis Firewall-Architekturen Einfache Firewall Demilitarized Zone (DMZ) Schwachstellen im Konzept von Firewalls Einführung Mobile Rechner Tunnel und Verschlüsselung Personal Firewalls Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben Virtual Private Networks (VPN) Einführung Technische Realisierung eines Remote-Access-VPNs VPNs als Ersatz dezidierter Datenleitungen 197

7 XII Inhaltsverzeichnis 10.4 IPsec Einführung Das AH-Protokoll Das ESP-Protokoll Aufbau und Verwaltung von SAs und Schlüsselmanagement Praktisches Beispiel VPN-Technologien und Klassifikation Risiken bei der Verwendung von VPNs Split Tunneling Öffentliche Zugangsnetze für Endsysteme Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben Netzwerküberwachung Grundlagen Intrusion Detection Einführung Architektur und Komponenten eines netzwerkbasierten IDS Netzwerkbasierte IDS und Paketfilter Beispiel für die Verwendung eines IDS Scannen Einführung Finden von Geräten im Netz Ping-Sweep Address Resolution Protocol Domain Name Service Portscanning Prinzipielle Vorgehensweise TCP-Connect-Scan 230, TCP-SYN-Scan Weitere TCP-Scans OS-Fingerprinting Schutz vor Scanning Scanning zum Schutz des Netzes Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben Verfügbarkeit Einleitung Denial-of-Service (DoS) 239

8 Inhaltsverzeichnis XIII Klassifikation Ausnutzen von Schwachstellen: Ping of Death Ausnutzen von Schwachstellen und Überlastung SYN-Flood Distributed-Denial-of-Service (DDos) Herbeiführen einer Überlastung Überlastsituationen TCP Überlastkontrolle Smurf-Angriff Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben Netzwerkanwendungen Grundlegende Funktionsweise und Architektur von SMTP und POP - Eine kurze Darstellung aus Sicherheitsperspektive POP SMTP als Ende-zu-Ende-Anwendung Einführung S/MIME GPG SSH Einführung SSH Port Forwarding Praktisches Beispiel: Zugriff auf einen Server durch eine Firewall Das World Wide Web (WWW) Einführung HTTPS SSLundTLS Client-Authentifikation Server-Authentifikation Phishing und Pharming Weitere Bedrohungen der Sicherheit durch das WWW Client Server Anonymität, Privatsphäre und das WWW Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben 280

9 XIV Inhaltsverzeichnis 14 Realzeitkommunikation Anforderungen, Prinzipien, Protokolle Einführung Medientransport Realtime Transport Protocol (RTP) Signalisierung Session Initiation Protocol Sicherheit von Realzeitkommunikationsanwendungen Bedrohungen Gegenwärtige Einsatzformen im institutionellen Umfeld Gegenwärtige Einsatzformen im privaten Umfeld Protokolle für sichere Realzeitkommunikation Sicherer Medientransport: SRTP Sicherheitsaspekte bei der Signalisierung SIP-Sicherheitsfunktionen Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben Sicherheit auf der Datenverbindungsschicht und in lokalen Netzen Das Extensible Authentication Protocol (EAP) Einführung Nachrichtenformat Architektur Einige EAP-Typen im Detail EAP-TLS EAP-TTLS und PEAP EAP-FAST Zugangskontrolle in LANs Einführung Ungesicherte lokale Netze IEEE 802.1XPort-based Access Control Funktionsweise Authentifikation Sicherheit in WLANs Eine kurze Einführung in IEEE Sicherheit drahtloser LANs Schwachstellen im ursprünglichen IEEE Standard IEEE 802.1H VPN-basierter Zugriff auf drahtlose LANs Zusammenfassung Übungsaufgaben Wiederholungsaufgaben 317

10 Inhaltsverzeichnis XV Weiterführende Aufgaben Richtlinien für die Praxis Einleitung IT-Sicherheit im institutionellen Umfeld Organisation und Administration Leitlinien zur Erstellung und Beibehaltung sicherer IT-Strukturen Minimalanforderungen IT Sicherheit im privaten Umfeld Ausblick Zusammenfassung Übungsaufgaben Wiederholungsaufgaben Weiterführende Aufgaben 326 Anhang 327 A Weiterführende Literatur 329 Literaturverzeichnis 331 Sachverzeichnis 339