Network Security www.pc24berlin.de/sicherheit.htm 1
W aru m ist dieses T h em a von In teresse? IT ist Bestandteil des täglichen Lebens für Behörden, Geldt ransfer, Geschäft sprozesse... Abhängigkeit von diesen Computersystemen bzw. Net zwerken. Ein Ausfall bewirkt weitreichenden Schaden 2
W aru m ist dieses T h em a von In teresse? Aus dieser Abhängigkeit heraus stellen sich folgende Fragen: I. Welche Möglichkeiten gibt es, sein Netzwerk zu schützen? II. Was sollte man beachten? 3
Passive und aktive Attacken Aus Data and Com puter Com m unications von William St allings m achen wir folgende Eint eilung: P assive A ttacken: I.Abhören: -einer einzelnen Verbindung, -eines ganzen Rechnernet zes. (t ools:kism ent,et hereal/wireshark) II.Analyse des Netzwerksverkehrs (Krypt o-analyse) 4
Passive/Aktive Attacken A ktive A ttacken -Manipulation des Datenstroms -Erzeugen ungült iger Verbindungen -Aufteilung in 4 Typen I.M asquerade: Verbergen der Identität:Manipulation des IP Headers II.R eplay: Erneut es Versenden aufgezeichnet er Dat en.(wep crack) III.M odifcation of m essages: Abändern von Nachricht en. IV.D enial of Service: Störung des Arbeitsprozesses durch Schwachstellen.(dienst, OS) 5
Einsatz von Kryptographie Kryptographie als Mittel gegen passive Attacken. I. Sym m et rische Verfahren. II. Asym m et rische Verfahren In dieser Präsentation nicht näher betrachtet 6
Einsatz von Kryptographie Sym m etrische V erfahren Testest Stallings:Data and Com puter Com m unication Seite 705 Sender und Empfänger teilen gemeinsame Schlüssel Anforderung 7
E insatz von K ryptograph ie A n w en du n g Stallings:Data and Com puter Com m unication Seite 710 nachem pfunden Erschwert passive Attacken und erhöht damit die Sicherheit im Netz. Traffic Padding unterstützt diese nochmal. 8
E in satz von K ryptograph ie A n w en du n g end-to-end encryption m it TLS/SSL Stallings:Data and Com puter Com m unication Seite 728 SSL ist im OSI/ISO Schicht enm odell über Transport schicht. Bietet höheren unsicheren Diensten wie ftp,im ap,www,pop,... Verschlüsselung und Authentisieren an. 9
E insatz von K ryptograph ie A n w en du n g TLS ist unterteilt in verschiedene Protokolle Stallings:Data and Com puter Com m unication Seite 728 1. SSL Record Prot okoll:sym m et risches Verschlüsseln 2. SSL Handshake Prot okoll: handelt den verwendet en Schlüssel aus. 3. Alert Protokoll: Austausch von SSL spezifischen Nachrichten 4. Cipher Spec :Dient zum Aufrechterhalten der verwendeten Verbindung 10
Firew alls Firewalls tragen immens zur Sicherheit von Netzen bei. Die Vorschläge und Einteilung ortientieren sich an: ht t p://cone.inform at ik.uni-freiburg.de/t eaching/vorlesung/syst em e-ii-s07/folien/syst em e-ii-11.ppt N etzw erk F irew alls: Trennung der Net ze. H ost Firew alls: -Überwachung des Systems(Traffic,Prozesse). -Schutz von außen wie von innen. 11
Firewalls IP (IPv4) Umsetzungen : P aketfilter: -Benutzen Information, die im Header stehen. In TCP/IP wären das dann = > Bekannte Paketfilter: -pf von openbsd -ipfw von freebsd -ipt ables für Linux 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Version IHL Type of Service Total Length Identification Flags Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Options Padding TCP 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Source Port Destination Port Sequence Number Acknowledgment Number Data U A P R S F Offset Reserved R C S S Y I Window G K H T N N Checksum Urgent Pointer Options Padding http://cone.informatik.unifreiburg.de/teaching/vorlesung/systeme -II- s07/folien/systeme -II-09.ppt 12
Firewalls B astion H ost -Spezielle Hochsicherheit ssyst em e. -Dienstangebot für externes Netz. -offenes Ziel http://www.aeria.phil.uni-erlangen.de/photo_html/asterix.jpg 13
Firewalls P roxy -Umleitung des Datenstroms auf speziellen Rechner -Antworten auf alle Anfragen gehen auf Proxy. -Proxy kann cachen -Sicherung durch Cont ent-filt er. -Sicherung durch IDS Syst em e http://www.freetagger.com/wpcontent/uploads/2007/10/proxyserver.png 14
Firew alls N A T :N etw ork A ddress T ranslation -bei NAT oft gemeint NAT/PAT -Zuweisung einer Adresse für ein ganzes Net z-segm ent -Oft anzutreffen in IP Netzen -Externe Rechner können keine Information über die innere Struktur des Netzes erhalten. -Alle Rechner im internen Rechnernetz wirken wie ein Rechner http://www.netzmafia.de/skripten/netze/netz8.html 15
Niemand ist sicher Bis jetzt nur Absicherung betrachtet! Gegenm aßnahm en bei erfolgreichem Angriff. Schadensbegrenzung? Isolat ion? 16
Screen ed Subnet Firewall Internet Bastion Host http://cone.informatik.unifreiburg.de/teaching/vorlesung/system e-ii-s07/folien/systeme-ii-11.ppt E xtern es N etz D M Z interes N etz N utzu n g verschieden er E lem ente erh öh en die Sich erheit 17
Ende Danke für die Aufmerksamkeit Gibt es noch Fragen? 18