Kapitel 2: Grundlagen



Ähnliche Dokumente
IT-Sicherheit - Sicherheit vernetzter Systeme -

Kapitel 2: Grundlagen

IT-Sicherheit - Sicherheit vernetzter Systeme -

Netzwerktechnologie 2 Sommersemester 2004

2. Architektur von Kommunikationssystemen

TCP/IP-Protokollfamilie

Sicherheit / Sicherung - unterschiedliche Begriffsbestimmung, gemeinsame Fachaspekte

TeleTrusT-Informationstag "IT-Sicherheit im Smart Grid"

VPN: Virtual-Private-Networks

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

All People Seem To Need Data Processing: Application Presentation - Session Transport Network Data-Link - Physical

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

Grundkurs Routing im Internet mit Übungen

Exploiting und Trojanisieren

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security

Das ISO/OSI Referenzmodell Internet (TCP/IP) Referenzmodell. Standard Elemente Schichten im ISO/OSI Referenzmodell.

Standards und Standardisierungsgremien

Einführung in die Netzwerktechnik

IT-Sicherheit - Sicherheit vernetzter Systeme -

Überblick. Systemarchitekturen. Netzarchitekturen. Stichworte: Standards, Client-Server usw. Stichworte: Netzwerke, ISO-OSI, TCP/IP usw.

Multicast Security Group Key Management Architecture (MSEC GKMArch)

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

IT-Sicherheit 05INM 1. : OSI, TCP/IP, Sicherheitsdienste nach X.800

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April,

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

Verbindungslose Netzwerk-Protokolle

Blitzlicht: MES Produktionsplanung und Unternehmensmodelle IEC Integration von Unternehmensführungs und Leitsystemen

VIRTUAL PRIVATE NETWORKS

Alle Informationen zu Windows Server 2003 Übersicht der Produkte

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Frankfurt,

Modul 2: Grundlegende Managementkonzepte

Vertrauliche Videokonferenzen im Internet

IT-Sicherheit Kapitel 11 SSL/TLS

Virtual Private Networks Hohe Sicherheit wird bezahlbar

KIP Druckerstatus Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch

Sicherheitstage SS 2007

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

OSEK-OS. Oliver Botschkowski. PG AutoLab Seminarwochenende Oktober AutoLab

XEROX SICHERHEITSBULLETIN XRX Eine Schwachstelle im Xerox MicroServer-Webserver könnte zu einem Denial of Service (DoS) führen.

Artenkataster. Hinweise zur Datenbereitstellung. Freie und Hansestadt Hamburg. IT Solutions GmbH. V e r s i o n

LogApp - Security Information und Event Management leicht gemacht!

Kontrollfragen: Internet

Prüfungsnummer: Prüfungsname: Advanced Solutions. Version: Demo. of Microsoft Exchange Server

Workflow, Business Process Management, 4.Teil

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

am Beispiel - SQL Injection

IT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007

AIRWATCH. Mobile Device MGMT

Cnlab / CSI Herbsttagung 2014 WAS IST CLOUD UND WAS NICHT?

TomTom WEBFLEET Tachograph Manager Installation

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Lizenzierung von SharePoint Server 2013

Universal Mobile Gateway V4

Informatik für Ökonomen II HS 09

WINDOWS 8 WINDOWS SERVER 2012

Grundlagen der Rechnernetze. Internetworking

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Lawful Interception (LI) für IP basierte Dienste. Standardisierung bei ETSI

IT Security Investments 2003

Man liest sich: POP3/IMAP

Sicherheitsdienste. Schutz von Rechnern und Speichermedien vor

Praktikum IT-Sicherheit

Identity Management Service-Orientierung Martin Kuppinger, KCP

BGP-Alarmsystem. Gunnar Bornemann Diplomarbeit Lehrstuhl für Netzwerkarchitekturen Technische Universität München

Zugangsschutz: Packet Filter und Firewalls

VS3 Slide 1. Verteilte Systeme. Vorlesung 3 vom Dr. Sebastian Iwanowski FH Wedel

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Intrusion Detection and Prevention

am Beispiel - SQL Injection

netzwerke TECHNISCHE KAUFLEUTE UND HWD

SNMP und der MIB- Browser von MG-Soft

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

Python Programmierung. Dipl.-Ing.(FH) Volker Schepper

IBM SPSS Statistics Version 23. Einführung in Installation und Lizenzierung

Vorlesung 11: Netze. Sommersemester Peter B. Ladkin

Systembeschreibung. Masterplan Kommunikationsinterface. ASEKO GmbH. Version 1.0 Status: Final

Gefahren aus dem Internet 1 Grundwissen April 2010

Information Security Management System. Klausur Wintersemester 2009/10 Hochschule Albstadt-Sigmaringen

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil C3:

Informationen zu den regionalen Startseiten

Fachbereich Medienproduktion

Sichere für Rechtsanwälte & Notare

IPv6. Autor Valentin Lätt Datum Thema IPv6 Version V 1.0

Internet Protokolle für Multimedia - Anwendungen

Was ist SASL? Simple Authentication and Security Layer

Windows 98 / Windows NT mit NCP WAN Miniport-Treiber 23. Oktober 1998

Bes 10 Für ios und Android

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet

Administering Microsoft Exchange Server 2016 MOC

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Transkript:

IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen 1 Kapitel 2: Inhalt 1. Überblick über die OSI- 2. ISO/OSI Referenzmodell 3. OSI 1. Sicherheitsdienste 2. Sicherheitsmechanismen 4. OSI Sicherheitsmanagement 5. Unterscheidung Security versus Safety 2 Grundlagen 2 1

Einschub: US-CERT Alert TA05-102A Technical Cyber Security Alert (TCSA) vom 12.04.05 Multiple Vulnerabilities in Microsoft Windows Components Systems affected: refer to Microsofts Security Bulletins Description: Internet Explorers DHTML objects contain a race condition IE URL Validation Routine contains a buffer overflow IE Content Advisor contains a buffer overflow Exchange Server contains unchecked buffer in SMTP extended verb handling Vulnerability in MSN Messenger could lead to remote code execution (MSN Messenger GIF processing buffer overflow) Vulnerability in TCP/IP could allow remote execution and denial of service (Windows does not adequately validate IP packets) 3 Einschub: US-CERT Alert TA05-102A Impact: Vulnerability may permit a remote attacker to execute arbitrary code or cause a denial of service condition. Solution: Apply a patch Microsoft has provided the patches for these vulnerabilities in the Security Bulletins and on Windows Update. 4 2

OSI Security Architecture: Überblick Standardisiert von der International Standardization Organization (ISO) 1988 und der International Telecommunication Union (ITU) 1991 Dokumente: ISO: ISO-7498-2; IS0-10181-1 bis 7 (Security Framework); ISO-11586-1 bis 6 (Upper Security) ITU: ITU-T X.800 X.830 Fokus liegt auf verteilten / vernetzten Systemen Beschreibung von Sicherheitsdiensten (Security Services), Sicherheitsmechanismen,... Baut auf dem Open System Interconnection Reference Model (ISO/OSI-RM) auf 2.1 Überblick OSI-Sicherheitsarch Sicherheitsarch. 5 Schicht N+1 Prinzip des OSI-Referenzmodell SAP Funktionale Gliederung impliziert Schichtenbildung SAP N+1 Schicht N Schicht N-1 Schicht N Protokoll Übertragen werden Schicht N PDUs (Protocol Data Units) N N-1 SAP = Service Access Point (Dienstzugangsschnittstelle) Logischer Datenfluss Physischer Datenfluss 2.2 OSI-RM 6 3

7 6 5 4 3 2 1 Transportschicht OSI Referenzmodell: Schichten Transitsystem Network Data Link Physical Application Presentation Session Transport Network Data Link Physical 2.2 OSI-RM 7 7 6 5 4 3 2 1 Transportschicht OSI Refenzmodell: : Schnittbildung Systemschnitt Bitübertragungsschicht Sicherungsschicht Vermittlungsschicht Kommunikationssteuerungss. Darstellungsschicht Anwendungsschicht Bitübertragungsschicht Sicherungsschicht Vermittlungsschicht Kommunikationssteuerungss. Darstellungsschicht Anwendungsschicht Anwendungsschicht- Protokoll Protokollschnitt Network Data Link Physical SAP Application Dienstschnitt 2.2 OSI-RM 8 4

OSI Security Architecture: Überblick Beschreibung von Sicherheitsdiensten (Security Services) und Sicherheitsmechanismen Beziehungen zwischen Services, Mechanismen und den Schichten Platzierung von Services und Mechanismen Security Management Hintergrundinformation Bedrohungen und Angriffe Security Policy Grundlegende Mechanismen Fokus der Sicherheitsbedürfnisse von verteilten / vernetzten Systemen Betrachtet keine Host- oder Betriebssystem-Sicherheit 2.3 OSI- 9 OSI Security Architecture: Dienste Authentisierung (Authentication): Jede Entität kann zweifelsfrei identifiziert werden Peer Entity Authentication: Gegenseitige Authentisierung von zwei oder mehr Kommunikationspartnern Data Origin Authentication: Identifikation des Senders bzw. des Autors einer Nachricht Zugriffskontrolle (Access Control): Schutz vor unberechtigter Nutzung von Ressourcen Vertraulichkeit (Data Confidentiality): Schutz der Daten vor unberechtigter Offenlegung Connection confidentiality: Alle (N-) User Daten einer (N-) Verbindung Connectionless confidentiality: Alle (N-) User Daten einer einzelnen (N-) SDU (Service Data Unit) Selective field confidentiality: Bestimmte Felder der User Daten Traffic flow confidentiality: Schutz vor Verkehrsflussanalyse. (Wer kommuniziert mit wem in welchem Umfang und zu welcher Zeit?) 2.3 OSI- 10 5

OSI Security Architecture: Dienste (Forts.) Datenintegrität (Data Integrity): Erkennung von Modifikationen, Einfügungen, Löschungen, Umordnung, Duplikaten oder Wiedereinspielung von Daten Connection Integrity with/without Recovery Selective Field Connection Integrity Connectionless Integrity Selective Field Connectionless Integrity Verbindlichkeit (Non-repudiation): Niemand kann das Senden oder Empfangen der Daten leugnen With proof of origin: Sender kann das Senden nicht leugnen; Empfänger kann beweisen welchen Ursprung die Daten haben With proof of delivery: Empfänger kann Empfang nicht leugnen; Sender kann die Auslieferung beweisen 2.3 OSI- 11 Authentication Access Control Data Confidentiality Data Integrity Non-Repudiation Fokus der Sicherheitsdienste Peer Entity Data Origin Connection Connectionless Selective field Traffic flow Connection Connectionless Selective field Recovery Proof of origin Proof of delivery Betrachtet werden keine Hostoder Betriebssystem-Sicherheit Fehlende bzw. nicht explizit spezifizierte Security Services: Identifikation (Identification); Personalisierung: Zweifelsfreie Verbindung zwischen digitaler ID und Real World Entity (Person oder Organization) Autorisierung (Authorization): Erteilung von Rechten an Entities Zurechenbarkeit (Accountability) Anonymität (Anonymity) (außer bei Traffic Flow Confidentiality) (Verfügbarkeit (Availability)) Ressourcenbeschränkung (Ressource constraints) 2.3 OSI- 12 6

OSI Security Architecture: Mechanismen Unterscheidung in: spezifische (specific) durchgängige (pervasive) Sicherheitsmechanismen Specific Security Mechanisms Verschlüsselung (Vertraulichkeit) Symmetrisch Asymmetrisch Digitale Signatur (Verbindlichkeit) Zugriffskontrolle Zugriffskontrolllisten, -matrizen Wissen und/oder Besitz Capabilities, Tickets Prüfsummenverfahren (Integrität) Notatiatsfunktionen Austausch von Authentisierungsinformationen; nutzt ggf. Verschlüsselung und Digitale Signatur Traffic Padding, Anonymisierung (zur Verhinderung von Verkehrsflussanalysen) Kontrolle des Routing-Verfahrens Pervasive Security Mechanisms Vertrauenswürdige Funktionen Security Labels zur (Sensitivitäts-) Klassifikation der Daten Eventmechanismen Auditing und Logging Recovery Mechanismen Unmittelbar, kurz- und langfristig 2.3 OSI- 13 Beziehung zwischen Service und Mechanismus TABLE 1/X.800 Illustration of relationship of security services and mechanisms Service Mechanism Encipherment Digital signature Acces control Data integrity Authentication exchange Traffic padding Routing control Notarization Peer entity authentication Y Y Y Data origin authentication Y Y Access control service Y Connection confidentiality Y. Y Connectionless confidentiality Y Y Selective field confidentiality Y Traffic flow confidentiality Y Y Y Connection Integrity with recovery Y Y Connection integrity without recovery Y Y Selective field connection integrity Y Y Connectionless integrity Y Y Y Selective field connectionless integrity Y Y Y Non-repudiation. Origin Y Y Y Non-repudiation. Delivery Y Y Y 14 7

Mechanismen auf unterschiedlichen Schichten Was ist die zu authentisiernde/sichernde Entität? Wie weit reicht der Sicherheitsmechanismus? Bsp. Verschlüsselung auf Schicht 2 (Sicherungsschicht) d.h. jedes Transitsystem muss entschlüsseln Transportschicht Transitsystem Transportschicht Vermittlungsschicht Network Vermittlungsschicht Sicherungs -schicht Data Link Sicherungs -schicht Bitübertragungsschicht Physical Bitübertragungsschicht 2.3 OSI- 15 Vorschlag einer Zuordnung der Services auf Service TABLE 2/X.800 Illustration of the relationship of security services and layers 16 1 2 3 4 5 6 7* Peer entity authentication Y Y Y Data origen authentication Y Y Y Access control service Y Y Y Connection confidentiality Y Y Y Y Y Y Connectionless confidentiality Y Y Y Y Y Selective field confidentiality Y Y Traffic flow confidentiality Y Y Y Connection Integrity with recovery Y Y Connection integrity without recovery Y Y Y Selective field connection integrity Y Connectionless integrity Y Y Y Selective field connectionless integrity Y Non-repudiation Origin Y Non-repudiation. Delivery Y Y Yes, service should be incorporated in the standards for the layer as a provider option. Not provided. * It should be noted, with respect to layer 7, that the application process may, itself, provide security services. 8

OSI Security Management OSI unterscheidet drei (Sicherheits-)Management-Kategorien: 1. System Security Management: Management des gesamten verteilten (OSI-) Systems Nicht das System im Sinne von oder Betriebssystem 2. Security Service Management: Management von dedizierten Sicherheitsdiensten 3. Security Mechanism Management: Management von spezifischen Sicherheitsmechanismen 2.4 OSI-Sicherheitsmanagement Sicherheitsmanagement 17 1. System Security Management Functions Policy Management Aktualisierung Konsistenzprüfung und Überwachung Wartung Interaktion mit anderen OSI-Mgmt. Funktionen Event Handling Reporting Planung und Fortschreibung Analyse Audit Management Auswahl von zu loggenden Events Aktivierung, Deaktivierung (entfernter) Logs Sammlung und Auswertung Recovery Management Erkennung und Report von Angriffen und Angriffsversuchen (Reaktions-) Regeln für Administratoren 2.4 OSI-Sicherheitsmanagement Sicherheitsmanagement 18 9

2. Security Service Management Functions Auswahl von Sicherheitsdiensten für jedes Ziel (Target) (Anforderungsanalyse) Auswahl, Wartung und Aktualisierung von Regeln / Policies für die gewählten Dienste Installation / Aktivierung entsprechender Mechanismen zur Realisierung der Dienste Aufruf der entsprechenden Funktionalität durch das Sicherheitsmanagement (-system) Interaktion mit anderen Management Funktionen 2.4 OSI-Sicherheitsmanagement Sicherheitsmanagement 19 3. Security Mechanism Management Functions Schlüsselmanagement Personalisierung Schlüsselerzeugung Schlüsselverteilung Widerruf von Schlüsseln Kryptographie-Management Mgmt. der digitalen Signatur Zugriffskontrollmanagment Integritätsmanagement Authentisierungsmanagment Interaktion mit dem Schlüsselmanagment Einrichtung und Intialisierung der Verfahren Auswahl und Nutzung geeigneter Protokolle zwischen den Kommunikationspartnern (u. ggf. einer Trutsted Third Party (TTP) = Notar) Verteilung der Sicherheitsattribute und Informationen Wartung und Betrieb 2.4 OSI-Sicherheitsmanagement Sicherheitsmanagement 20 10

3. Security Mechanism Mgmt. Functions (Forts.) Mgmt. der Notariatsfunktion Verteilung von Information über Notare Protokoll zur Kommunikation mit Notar Traffic Padding Management Vorspezifizierte Datenraten Zufällige Datenraten Spezifikation der Nachrichtencharakteristika (z.b. Länge) Variation der Spezifikation, z.b. in Abhängigkeit der Zeit Routing Control Management Klassifikation der Links oder Subnetze nach Vertrauens-Level Festlegung der Routing Verfahren entsprechend dieser Klassifikation 2.4 OSI-Sicherheitsmanagement Sicherheitsmanagement 21 Unterscheidung von Security und Safety Beide Begriffe werden mit Sicherheit übersetzt Security (Sicherheit) Security Engineering Security Policies Sicherheitsanforderungen: Identifikation, Authentisierung, Autorisierung, Zugriffskontrolle,... Sicherheitsmechanismen realisieren Sicherheitsanforderungen Auditing und Logging Verfügbarkeit (Availability) von Software und Hardware Safety (Betriebs-Sicherheit) Verfügbarkeit (Availability) / Ausfallsicherheit (Reliability) Betriebssicherheit für sicherheitskritische Programme, z.b., Steuerung und Überwachung von Flugzeugen oder (Atom-)Kraftwerken Gesundheitliche Sicherheit / Ergonomie 2.5 Security vers. Safety 22 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback