Sicherheitskonzepte für das Internet

Transkript

1 Martin Raepple Sicherheitskonzepte für das Internet Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung Technische Universität Darmstadt FACHBEREICH INFORMATIK B I B L 1 O T H E K Inventar-Nr.: Sachgebiete: Standort: flj dpunkt.verlag

2 1 Sicherheit im Internet - Grundlagen und Methoden Einführung Sicherheit Sicherheitsdienste Begriffsdefinition und Abgrenzung Effizienz und Kosten Risikoanalyse Grundschutzansatz Detaillierte Risikoanalyse Sicherheitskonzept erstellen Sicherheitsprozeß Das Internet Architektur Internetadressen Sockets Das Client/Server-Modell Protokolle der Datensicherungsschicht Serial Line Internet Protocol Point-to-Point Protocol Protokolle der Netzwerkschicht Internet Protocol Internet Control Message Protocol Address Resolution Protocol Protokolle der Transportschicht Transmission Control Protocol User Datagram Protocol Protokolle der Anwendungsschicht Telnet File Transfer Protocol Simple Mail Transfer Protocol Remote-Kommandos (r-kommandos) Domain Name System Network File System 47

3 1.12 Das World Wide Web Hypertext Markup Language Hypertext Transfer Protocol Common Gateway Interface Programmobjekte im Internet Schwachstellen der Internet-Architektur Schwachstellen in TCP/IP Angriffe durch Anwendungsprotokolle WWW-Sicherheitsrisiken Weitere Gefahrenquellen Zusammenfassung Angriffssimulatoren und Auditwerkzeuge SATAN Ballista Internet Scanner SAFEsuite COPS Einbrucherkennungssysteme CRACK Juggernaut Zusammenfassung 96 2 Sicherheitsmaßnahmen im Internet Entwurf und Einführung einer Internet-Sicherheitspolitik Einordnung der technischen Schutzmaßnahmen Grundlagen der Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Hybride Verschlüsselungsverfahren Sichere Einwegfunktionen Digitale Signaturen Schlüsselzertifikate Management von asymmetrischen Schlüsseln Zertifizierungsmodelle im Internet Signaturgesetz Kryptographische Protokolle Secure Sockets Layer (SSL) Secure Hypertext Transfer Protocol (S-HTTP) Secure Electronic Transaction (SET) Internet Protocol Security (IPSEC) Homebanking Computer Interface (HBCI) Protokolle für digitales Bargeld 157

4 2.6 Zugangssicherung durch Firewalls Paketfilter Proxy Gateways Virtuelle Private Netzwerke (VPN) Absicherung der Firewall Auswahl einer Firewall Absicherung von Einwahlzugängen Password Authentication Protocol (PAP) Challenge Handshake Authentication Protocol (CHAP) PPP Encryption Control Protocol (ECP) Remote Authentication Dial In User Service (RADIUS) Chipkarten ZKA GeldKarte Mondex Sichere Elektronische Post Pretty Good Privacy (PGP) Secure Multi Purpose Mail Extension (S/MIME) Zugriffssteuerung auf Web-Dokumente Absicherung des Web-Servers Basic Authentication Digest Access Authentication Sicherheitskonzepte gegen Viren Sicherstellung der Verfügbarkeit Kapazitätsmanagement Datensicherung Redundanz Programmierschnittstellen Java Security API BSAFE (RSA Data Security) SecureWeb Toolkit (Terisa Systems) Zusammenfassung Anwendungsszenarien Online-Marketing Internetanbindung im Unternehmensnetz Sicherheitsanforderungen Sicherheitskonzept Datenbankanbindung im Internet Sicherheitsanforderungen Sicherheitskonzept Electronic Commerce Sicherheitsanforderungen Sicherheitskonzept Ausblick 256

5 Anhang A - Details zu den TCP/IP-Protokollen 259 A.l Einordnung von TCP/IP in das OSI-Referenzmodell 259 A.2 Das IP-Datagramm 262 A.3 Fragmentierung 264 A.4 User Datagram Protocol (UDP) 266 A.5 Transmission Control Protocol (TCP) 267 A.6 Internet Control Message Protocol (ICMP) 268 Anhang B - Beispiele für Internet-Sicherheitsrichtlinien 271 B. 1 Generelle Regeln für die Nutzung des Internet (Netiquette) 271 B.2 Spezielle Regeln für die Nutzung von Internet-Diensten =» B.2.1 (Elektronische Post) 272 B.2.2 FTP (Dateitransfer) 273 B.2.3 World Wide Web (WWW) 273 B.2.4 Telnet 273 B.3 Firewall Policy 273 B.4 Web Server Policy 275 B.5 DNS Server Policy 276 B.6 Mail Server Policy 276 B.7 Verschlüsselungsmechanismen 276 B.8 Externe Verbindungen zum Firmennetz (Remote Access) B.9 Regeln zum Schutz gegen Computerviren 278 B.10 Maßnahmen zur Entdeckung von Sicherheitsverstößen Anhang C - Bekanntgewordene Vorfälle 281 Literaturverzeichnis 283 Index 291