Netzwerk- und Datensicherheit

Martin Kappes

Netzwerk- und Datensicherheit Eine praktische Einführung 2., überarbeitete und erweiterte Auflage

Prof. Dr. Martin Kappes FH Frankfurt am Main Deutschland

ISBN 978-3-8348-0636-9 DOI 10.1007/978-3-8348-8612-5

ISBN 978-3-8348-8612-5 (eBook)

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Vieweg © Springer Fachmedien Wiesbaden 2007, 2013 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Springer Vieweg ist eine Marke von Springer DE. Springer DE ist Teil der Fachverlagsgruppe Springer Science+Business Media. www.springer-vieweg.de

Vorwort zur zweiten Auflage Seit dem Erscheinen der ersten Auflage dieses Buchs ist einige Zeit vergangen. An unserer Hochschule ist die Forschungsgruppe für Netzwerksicherheit, Informationssicherheit und Datenschutz stetig gewachsen. Unsere Wissenschaftler entwickeln Sicherheitstechnologien der nächsten und übernächsten Generation und werden dabei durch zahlreiche Studierende der Hochschule unterstützt. Gemeinsam mit Kooperationspartnern aus Industrie, öffentlichen Einrichtungen und Verbänden führen wir Projekte in den Bereichen Netzwerk- und Systemsicherheit, Sicherheitsorganisation, -bewertung und -management, Zuverlässigkeit und Verfügbarkeit komplexer Systeme, Netzwerkmanagement und technischen Datenschutz durch. Trotz der Komplexität unserer Forschungsvorhaben: Auch die zweite Auflage dieses Buchs folgt dem Vorsatz, nur eine Auswahl von Inhalten aus dem Bereich Netzwerk- und Datensicherheit zu präsentieren und Sachverhalte möglichst einfach darzustellen, um den Leserinnen und Lesern eine fundierte Basis zum Thema IT-Sicherheit an die Hand zu geben. Das war nicht ganz so einfach, denn es hat im Bereich IT-Sicherheit natürlich Neuerungen und Änderungen gegeben, die berücksichtigt werden mussten, aber oftmals die Materie nicht unbedingt vereinfacht haben. Bei den Tests in der Praxis, mit denen wir an der Hochschule in Übungen und Praktika hervorragende Erfahrungen gemacht haben, konnte ich nicht ganz der Versuchung widerstehen, sie ein wenig auszubauen. Neue Experimente zu den Bereichen OpenVPN und TLS mit Java sind das Ergebnis. Für weitere interessante Varianten, von denen leider nicht alle hier aufgenommen werden konnten, darf ich Sie wieder auf meine Webseite www.martin-kappes.de und auf die Webseiten zum Buch www.springer.com/978-3-8348-0636-9 verweisen. Dort finden sich mittlerweile auch einige Videos zu den Experimenten, zu weiterführenden Themen und natürlich auch zu unseren Forschungsprojekten. Frankfurt am Main, im März 2013

Martin Kappes

Vorwort zur ersten Auflage IT-Sicherheit ist ein sehr komplexes und umfangreiches Thema, das letztlich jeden Teilbereich der Informatik mehr oder weniger direkt betrifft. Entsprechend umfangreich ist das Material, aus dem die Inhalte für dieses Buch ausgewählt werden mussten. Ich habe mich entschlossen, keinen kühnen Parforceritt durch das Feld der IT-Sicherheit zu unternehmen und dabei zu versuchen, möglichst viele Themen möglichst detailliert abzudecken, sondern ganz bewusst eine Auswahl von Inhalten aus dem Bereich Netzwerk- und Datensicherheit getroffen. Bei deren Behandlung wird ebenfalls gezielt auf viele Details verzichtet, die eigentlich erwähnenswert wären oder vielleicht sogar behandelt werden sollten. Oft werden Sachverhalte vereinfacht dargestellt. An einigen Stellen schrammen diese Vereinfachungen knapp an einer Trivialisierung komplexer Fragen und Probleme vorbei. Trotzdem sind diese Vereinfachungen aus meiner Sicht notwendig und sinnvoll. Sie sind notwendig, da jedes einzelne Kapitel des Buchs ein Thema abdeckt, das für sich alleine genommen schon genügend Stoff für ein Buch bietet, und solche Bücher sind ja auch geschrieben worden. Die Vereinfachungen sind aber vor allem sinnvoll, denn im Vordergrund dieses Buches steht nicht das Ziel, möglichst umfassendes Detailwissen zu vermitteln, sondern den Leserinnen und Lesern in erster Linie eine fundierte Basis zum Thema IT-Sicherheit an die Hand zu geben. Hierzu zählt ein grundlegendes Verständnis für die Wichtigkeit und die prinzipiellen Probleme genauso wie die Skizzierung möglicher Lösungen. Das Buch erhebt dabei keinen Anspruch auf Vollständigkeit, wohl aber darauf, dass die wichtigsten Methoden und Prinzipien der Netzwerkund Datensicherheit auch exemplarisch an Beispielen vorgestellt wurden. Soviel Mühe sich ein Autor auch gibt, Lehrbücher werden oft nicht von der ersten bis zur letzten Seite gelesen. Ich habe versucht, dem Rechnung zu tragen, indem die einzelnen Kapitel, soweit als möglich, auch eigenständig gelesen werden können: Das erste Kapitel bietet eine Einführung in die Thematik. Es werden grundlegende Begriffe eingeführt sowie Ziele von IT-Sicherheit und mögliche Angriffe auf sie dargestellt. Neben einigen organisatorischen Grundlagen werden auch die rechtlichen Rahmenbedingungen in Deutschland skizziert. In Kapitel 2 werden fundamentale kryptographische Prinzipien und Methoden vorgestellt. Kapitel 3 diskutiert die wichtigsten Authentifikationsmechanismen. Diese Kapitel sind grundlegend für nahezu alle weiteren Kapitel des Buchs und sollten deshalb von Ihnen speziell dann gelesen werden, wenn Sie hinsichtlich IT-Sicherheit, Kryptographie und Authentifikation keine Vorkenntnisse besitzen. Hieran schließen sich drei Kapitel an, die eine logische Einheit bilden und sich mit Systemsicherheit beschäftigen. Kapitel 4 befasst sich mit Sicherheit auf der Betriebssystemebene. Kapitel 5 betrachtet die Sicherheit von Anwendungen. Hieran schließt sich in Kapitel 6 eine Darstellung von Malware, also Viren, Würmern und anderem Ungeziefer, an. Danach wenden wir uns der Netzwerksicherheit zu. In Kapitel 7 wird eine knappe Darstellung der wichtigsten Grundlagen und Protokolle präsentiert, die sich speziell an Leser ohne Vorkennt-

VIII

nisse im Bereich Netzwerke richtet, oder an Leserinnen und Leser, die ihre Kenntnisse auffrischen möchten. Hieran schließt sich in Kapitel 8 eine erste Betrachtung von Sicherheitsaspekten in Netzwerken an, in der wir speziell auf Schwachstellen in den im Internet verwendeten Protokollen eingehen. Die darauffolgenden Kapitel 9 bis 15 beschäftigen sich mit Firewalls, Virtual Private Networks, Netzwerküberwachung, Verfügbarkeit, Netzwerkanwendungen, Realzeitkommunikation und lokalen Netzen. Diese Kapitel gehören logisch zusammen, können jedoch auch einzeln oder in anderer Reihenfolge gelesen werden. Am Ende betrachten wir in Kapitel 16 praktische Richtlinien für die IT-Sicherheit in Institutionen. Übrigens: Zusatzmaterialien zum Buch wie aktuelle Hinweise, Links und weitere Aufgaben und Beispiele finden Sie im Internet unter http://www.springer.com/978-3-8348-0636-9. Abschließend möchte ich mich ganz herzlich bei denen bedanken, die mit ihrem Einsatz zum Gelingen dieses Buches beigetragen haben. An erster Stelle bei Herrn Ulrich Sandten, dem Cheflektor des Teubner-Verlags, der mit seinen vielen Hinweisen und Vorschlägen ganz entscheidend zum Gelingen des Werks beigetragen hat, und seinem Team, insbesondere Cornelia Agel, Ivonne Domnick, Kerstin Hoffmann und Ulrike Klein. Carsten Biemann, Frederik Happel, meiner Frau Sabine Kappes, Christian Kopp, Boban Krsic, Dr. Jens Liebehenschel, Andreas Renner und Prof. Dr. Peter Wedde gebührt ebenfalls ein großes „Danke“. Sie alle haben Vorversionen dieses Buches gelesen, wofür ihnen schon alleine wegen des relativ unfertigen Zustands der Vorversionen Respekt gezollt werden muss, und mir ausführliches Feedback gegeben, das für die Endversion unverzichtbar war, und von inhaltlichen Anmerkungen und Verbesserungsvorschlägen bis hin zu Tippfehlern ging. Ganz am Ende möchte ich mich an Sie, liebe Leserinnen und Leser, wenden und Sie ermutigen, mir ebenfalls Ihr Feedback zu diesem Buch zukommen zu lassen. Ich bin gespannt darauf, wie Ihnen das Buch gefällt, und welche Anmerkungen Sie haben. Frankfurt am Main, im August 2007

Martin Kappes

Inhaltsverzeichnis 1

2

Einführung 1.1 Warum IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . 1.2 Ziele von IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . 1.3 Angriffe auf IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . 1.3.1 Angriffsarten . . . . . . . . . . . . . . . . . . . . . . . 1.3.2 Schwachstellen . . . . . . . . . . . . . . . . . . . . . . 1.3.3 Ziele eines Angriffs . . . . . . . . . . . . . . . . . . . . 1.4 Risiken und Unsicherheit . . . . . . . . . . . . . . . . . . . . . 1.5 IT-Sicherheit in der Praxis . . . . . . . . . . . . . . . . . . . . 1.6 Organisatorische Grundlagen der IT-Sicherheit . . . . . . . . . 1.6.1 Rahmenbedingungen . . . . . . . . . . . . . . . . . . . 1.6.2 IT-Sicherheit als Prozess . . . . . . . . . . . . . . . . . 1.7 Rechtliche Grundlagen und Rahmenbedingungen in Deutschland 1.7.1 Bundesdatenschutzgesetz . . . . . . . . . . . . . . . . . 1.7.2 Telekommunikationsgesetz . . . . . . . . . . . . . . . . 1.7.3 Telemediengesetz . . . . . . . . . . . . . . . . . . . . . 1.7.4 Handelsgesetzbuch . . . . . . . . . . . . . . . . . . . . 1.7.5 Bundesamt für Sicherheit in der Informationstechnik . . 1.7.6 Das leidige Thema Vorratsdatenspeicherung . . . . . . . 1.8 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . 1.9 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 1.9.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . 1.9.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

1 1 2 5 5 6 7 7 9 10 10 10 11 12 12 13 13 13 16 17 17 17 18

Kryptographische Prinzipien und Methoden 2.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . 2.1.1 Definition . . . . . . . . . . . . . . . . . . 2.1.2 Modell . . . . . . . . . . . . . . . . . . . 2.2 Verschlüsselungsverfahren . . . . . . . . . . . . . 2.2.1 Vom Klartext zum Chiffretext . . . . . . . 2.2.2 Sicherheit von Verschlüsselungsverfahren . 2.2.2.1 Kryptanalysis . . . . . . . . . . 2.2.2.2 Ein absolut sicheres Verfahren . 2.3 Symmetrische Verfahren und Public-Key-Verfahren 2.3.1 Grundlagen . . . . . . . . . . . . . . . . . 2.3.2 Symmetrische Verfahren . . . . . . . . . . 2.3.3 Public-Key-Verfahren . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

19 19 19 20 22 22 23 23 25 27 27 27 29

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

X

Inhaltsverzeichnis

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

31 33 33 34 35 37 38 39 39 40

Authentifikation 3.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Mögliche Faktoren zur Authentifikation . . . . . . . . . . . . . . . . . . . . 3.3 Passwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Größe des Passwortraums . . . . . . . . . . . . . . . . . . . . . . . 3.3.2 Sicherheit der Passwortspeicherung beim Anwender und im System . 3.3.3 Sicherheit der Passworteingabe und Übertragung . . . . . . . . . . . 3.3.4 Passwörter – Eine Sicherheitslücke? . . . . . . . . . . . . . . . . . . 3.4 Tokens und Smart-Cards . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Biometrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6 Kryptographische Methoden . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6.1 Authentifikation von Benutzern und Maschinen . . . . . . . . . . . . 3.6.2 Digitale Signatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6.3 Infrastrukturen zur Authentifikation . . . . . . . . . . . . . . . . . . 3.6.3.1 Zertifikate und Certificate Authorities . . . . . . . . . . . . 3.6.3.2 Zertifikate in der Praxis: X.509 . . . . . . . . . . . . . . . 3.6.3.3 Beispiel: X.509 Zertifikate mit OpenSSL selbst erstellen . . 3.6.3.4 Online Certificate Status Protocol und Extended Validation 3.6.3.5 Web of Trust . . . . . . . . . . . . . . . . . . . . . . . . . 3.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . 3.8.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

41 41 42 43 43 45 47 48 49 50 52 52 54 56 56 59 61 66 67 68 68 68 70

Betriebssysteme und ihre Sicherheitsaufgaben 4.1 Aufgaben und Aufbau von Betriebssystemen . . . . . . . . . 4.2 Systemadministratoren . . . . . . . . . . . . . . . . . . . . . 4.3 Rechtevergabe und Zugriffskontrolle am Beispiel Dateisystem 4.4 Trusted Computing . . . . . . . . . . . . . . . . . . . . . . . 4.5 Monitoring und Logging . . . . . . . . . . . . . . . . . . . . 4.6 Absichern des Systems gegen Angriffe . . . . . . . . . . . . . 4.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . 4.8 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . .

71 71 73 74 79 80 80 81 82

2.4

2.5 2.6

3

4

2.3.4 Hybride Verfahren . . . . . . . . . . . . . . . . . . Betriebsarten . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Electronic Code Book . . . . . . . . . . . . . . . . 2.4.2 Cipher Block Chaining . . . . . . . . . . . . . . . . 2.4.3 Cipher Feedback Mode und Output Feedback Mode 2.4.4 Counter Mode . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . 2.6.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . 2.6.2 Weiterführende Aufgaben . . . . . . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . .

. . . . . . . . . .

. . . . . . . .

. . . . . . . . . .

. . . . . . . .

. . . . . . . . . .

. . . . . . . .

. . . . . . . . . .

. . . . . . . .

. . . . . . . . . .

. . . . . . . .

. . . . . . . . . .

. . . . . . . .

. . . . . . . .

Inhaltsverzeichnis

4.8.1 4.8.2 5

6

XI

Wiederholungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Weiterführende Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 82

Anwendungen 5.1 Einführung . . . . . . . . . . . . . . . 5.2 Buffer Overflows . . . . . . . . . . . . 5.2.1 Das Problem . . . . . . . . . . 5.2.2 Schutzmaßnahmen . . . . . . . 5.3 Race Conditions . . . . . . . . . . . . . 5.4 Software aus dem Internet . . . . . . . 5.4.1 Downloads . . . . . . . . . . . 5.4.2 Aktive Inhalte . . . . . . . . . . 5.4.2.1 Einführung . . . . . . 5.4.2.2 Java und Java-Applets 5.4.2.3 JavaScript . . . . . . 5.4.2.4 ActiveX Control . . . 5.5 Zusammenfassung . . . . . . . . . . . 5.6 Übungsaufgaben . . . . . . . . . . . . 5.6.1 Wiederholungsaufgaben . . . . 5.6.2 Weiterführende Aufgaben . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

85 85 86 86 88 88 90 90 90 90 91 93 93 93 94 94 94

Malware 6.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Schaden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 Verbreitung und Funktionsweise . . . . . . . . . . . . . . . . . . 6.3.1 Verbreitung . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.2 Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . 6.3.2.1 Viren . . . . . . . . . . . . . . . . . . . . . . . 6.3.2.2 Würmer . . . . . . . . . . . . . . . . . . . . . 6.3.2.3 Backdoors und Root Kits . . . . . . . . . . . . 6.3.2.4 Zombies . . . . . . . . . . . . . . . . . . . . . 6.4 Schutzmaßnahmen und Entfernung von Malware . . . . . . . . . 6.4.1 Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . 6.4.1.1 Virenscanner . . . . . . . . . . . . . . . . . . . 6.4.1.2 Systemkonfiguration, Dienste und Einstellungen 6.4.1.3 Patches und Updates . . . . . . . . . . . . . . . 6.4.1.4 Heterogenität . . . . . . . . . . . . . . . . . . 6.4.1.5 Firewalls und Filtermechanismen . . . . . . . . 6.4.1.6 Vorsichtige Benutzer . . . . . . . . . . . . . . . 6.4.2 Entfernung . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . 6.6 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . . 6.6.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

95 95 96 97 97 98 98 99 100 100 101 101 101 101 102 102 102 103 103 104 104 104 105

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

XII

7

8

Inhaltsverzeichnis

Netzwerke und Netzwerkprotokolle 7.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Das Schichtenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3 Die wichtigsten Netzwerkprotokolle im Überblick . . . . . . . . . . . . . . . . 7.3.1 Datenverbindungsschicht: LAN-Technologien . . . . . . . . . . . . . . 7.3.1.1 IEEE 802.3 / Ethernet . . . . . . . . . . . . . . . . . . . . . 7.3.1.2 IEEE 802.11 Wireless Local Area Networks . . . . . . . . . 7.3.1.3 Bridges und Switches . . . . . . . . . . . . . . . . . . . . . 7.3.2 Datenverbindungsschicht: Das Point-to-Point Protocol (PPP) . . . . . . 7.3.3 Netzwerkschicht: Internet Protocol (IP) . . . . . . . . . . . . . . . . . 7.3.3.1 IP-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.3.2 IPv4 und IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.3.3 Das ICMP-Protokoll . . . . . . . . . . . . . . . . . . . . . . 7.3.3.4 Routing unter IP . . . . . . . . . . . . . . . . . . . . . . . . 7.3.3.5 Automatische Konfiguration von Rechnern . . . . . . . . . . 7.3.3.6 An der Schnittstelle von IP und Datenverbindungsschicht: Address Resolution Protocol . . . . . . . . . . . . . . . . . . . 7.3.4 Transportschicht: TCP und UDP . . . . . . . . . . . . . . . . . . . . . 7.3.4.1 TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.4.2 User Datagram Protocol (UDP) . . . . . . . . . . . . . . . . 7.3.4.3 Vergleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.5 Applikationsschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.5.1 Ein kleiner Spaziergang durch den Zoo der Applikationsprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.5.2 Domain Name Service (DNS) . . . . . . . . . . . . . . . . . 7.4 Netzwerke in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4.1 Referenznetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4.2 Konfiguration der Rechner und Router . . . . . . . . . . . . . . . . . . 7.4.3 Unser Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4.4 Sniffer und Protokollanalysierer . . . . . . . . . . . . . . . . . . . . . 7.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.6 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.6.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 7.6.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . .

107 107 108 112 112 112 113 113 114 114 115 116 117 117 119

. . . . . .

119 120 120 125 125 127

. . . . . . . . . . .

127 127 128 128 130 134 137 138 138 138 139

Sicherheit in Netzwerken 141 8.1 Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 8.1.1 Bedrohungssituation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 8.1.2 Struktur des Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 8.1.3 Mithören in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 8.1.4 Manipulieren von Nachrichten . . . . . . . . . . . . . . . . . . . . . . . 144 8.1.5 Schutzmechanismen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 8.1.6 Anonymität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 8.2 Beispiele für Schwachstellen und Risiken in Netzwerken und Netzwerkprotokollen146

Inhaltsverzeichnis

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

146 147 147 148 149 151 152 153 155 156 158 159 160 160 160

Firewalls 9.1 Der Grundgedanke von Firewalls . . . . . . . . . . . . . . . . . 9.2 Komponenten von Firewalls . . . . . . . . . . . . . . . . . . . 9.2.1 Paketfilter-Firewalls . . . . . . . . . . . . . . . . . . . 9.2.1.1 Einführung . . . . . . . . . . . . . . . . . . . 9.2.1.2 Typische Konfigurationen von Paketfiltern . . 9.2.1.3 Statische vs. dynamische Paketfilter . . . . . . 9.2.1.4 Probleme und Grenzen von Paketfiltern . . . . 9.2.1.5 Network Address Translation . . . . . . . . . 9.2.1.6 Paketfilter unter Linux . . . . . . . . . . . . . 9.2.2 Applikation-Level-Gateways . . . . . . . . . . . . . . . 9.2.2.1 Einführung . . . . . . . . . . . . . . . . . . . 9.2.3 Application-Level-Gateways und Paketfilter in der Praxis 9.3 Firewall-Architekturen . . . . . . . . . . . . . . . . . . . . . . 9.3.1 Einfache Firewall . . . . . . . . . . . . . . . . . . . . . 9.3.2 Demilitarized Zone (DMZ) . . . . . . . . . . . . . . . . 9.4 Schwachstellen im Konzept von Firewalls . . . . . . . . . . . . 9.4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . 9.4.2 Mobile Rechner . . . . . . . . . . . . . . . . . . . . . . 9.4.3 Tunnel und Verschlüsselung . . . . . . . . . . . . . . . 9.5 Personal Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . 9.6 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . 9.7 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . 9.7.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

161 161 163 163 163 164 165 169 171 175 183 183 186 186 186 187 190 190 190 191 194 194 195 195 196

8.3

8.4 8.5

9

8.2.1 Manipulationen beim Routing . . . . . . . 8.2.2 MAC-Address-Spoofing . . . . . . . . . . 8.2.3 ARP-Spoofing . . . . . . . . . . . . . . . 8.2.4 IP-Spoofing . . . . . . . . . . . . . . . . . 8.2.5 TCP Sequence Number Attack . . . . . . . 8.2.6 DNS-Spoofing . . . . . . . . . . . . . . . Sicherheitsprotokolle im Internet – Ein Überblick . 8.3.1 Sicherheit auf der Applikationsschicht . . . 8.3.2 Sicherheit auf der Transportschicht . . . . 8.3.3 Sicherheit auf der Netzwerkschicht . . . . 8.3.4 Sicherheit auf der Datenverbindungsschicht Zusammenfassung . . . . . . . . . . . . . . . . . Übungsaufgaben . . . . . . . . . . . . . . . . . . 8.5.1 Wiederholungsaufgaben . . . . . . . . . . 8.5.2 Weiterführende Aufgaben . . . . . . . . .

XIII

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

10 Virtual Private Networks (VPN) 197 10.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

XIV

Inhaltsverzeichnis

10.2 Technische Realisierung eines Remote-Access-VPNs . . . . . . . . 10.3 VPNs als Ersatz dedizierter Datenleitungen . . . . . . . . . . . . . 10.4 IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . 10.4.2 Das AH-Protokoll . . . . . . . . . . . . . . . . . . . . . . 10.4.3 Das ESP-Protokoll . . . . . . . . . . . . . . . . . . . . . . 10.4.4 Aufbau und Verwaltung von SAs und Schlüsselmanagement 10.4.5 Praktisches Beispiel . . . . . . . . . . . . . . . . . . . . . 10.5 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.5.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . 10.5.2 Praktisches Beispiel . . . . . . . . . . . . . . . . . . . . . 10.6 VPN-Technologien und Klassifikation . . . . . . . . . . . . . . . . 10.7 Risiken bei der Verwendung von VPNs . . . . . . . . . . . . . . . 10.7.1 Split Tunneling . . . . . . . . . . . . . . . . . . . . . . . . 10.7.2 Öffentliche Zugangsnetze für Endsysteme . . . . . . . . . . 10.8 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . 10.9 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.9.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . . . 10.9.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

199 201 202 202 204 206 209 212 215 215 217 221 223 223 224 226 227 227 227

11 Netzwerküberwachung 11.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.2 Architektur und Komponenten eines netzwerkbasierten IDS 11.2.3 Netzwerkbasierte IDS und Paketfilter . . . . . . . . . . . . 11.2.4 Beispiel für die Verwendung eines IDS . . . . . . . . . . . 11.3 Scannen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.2 Finden von Geräten im Netz . . . . . . . . . . . . . . . . . 11.3.2.1 Ping-Sweep . . . . . . . . . . . . . . . . . . . . 11.3.2.2 Address Resolution Protocol . . . . . . . . . . . 11.3.2.3 Domain Name Service . . . . . . . . . . . . . . . 11.3.3 Portscanning . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.3.1 Prinzipielle Vorgehensweise . . . . . . . . . . . . 11.3.3.2 TCP-Connect-Scan . . . . . . . . . . . . . . . . 11.3.3.3 TCP-SYN-Scan . . . . . . . . . . . . . . . . . . 11.3.3.4 Weitere TCP-Scans . . . . . . . . . . . . . . . . 11.3.3.5 OS-Fingerprinting . . . . . . . . . . . . . . . . . 11.3.4 Schutz vor Scanning . . . . . . . . . . . . . . . . . . . . . 11.3.5 Scanning zum Schutz des Netzes . . . . . . . . . . . . . . . 11.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . 11.5 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.5.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

229 229 230 230 232 234 235 237 237 238 238 239 240 240 240 240 241 242 243 243 244 245 246 246

Inhaltsverzeichnis

XV

11.5.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 246 12 Verfügbarkeit 12.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . 12.2 Denial-of-Service (DoS) . . . . . . . . . . . . . . . . . 12.2.1 Klassifikation . . . . . . . . . . . . . . . . . . . 12.2.2 Ausnutzen von Schwachstellen: Ping of Death . 12.2.3 Ausnutzen von Schwachstellen und Überlastung 12.2.3.1 SYN-Flood . . . . . . . . . . . . . . 12.2.3.2 Distributed-Denial-of-Service (DDos) 12.2.4 Herbeiführen einer Überlastung . . . . . . . . . 12.2.4.1 Überlastsituationen . . . . . . . . . . 12.2.4.2 TCP Überlastkontrolle . . . . . . . . . 12.2.4.3 Smurf-Angriff . . . . . . . . . . . . . 12.3 Zusammenfassung . . . . . . . . . . . . . . . . . . . . 12.4 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . 12.4.1 Wiederholungsaufgaben . . . . . . . . . . . . . 12.4.2 Weiterführende Aufgaben . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

247 247 249 249 250 250 250 253 254 254 254 255 256 256 256 257

13 Netzwerkanwendungen 13.1 Email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1.1 Grundlegende Funktionsweise und Architektur von Email . . . . . . 13.1.2 SMTP und POP – Eine kurze Darstellung aus Sicherheitsperspektive 13.1.2.1 POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1.2.2 SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1.3 Email als Ende-zu-Ende-Anwendung . . . . . . . . . . . . . . . . . 13.1.3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1.3.2 S/MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1.3.3 OpenPGP . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2.2 SSH Port Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2.3 Praktisches Beispiel: Zugriff auf einen Server durch eine Firewall . . 13.3 Das World Wide Web (WWW) . . . . . . . . . . . . . . . . . . . . . . . . . 13.3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3.2 HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3.3 SSL und TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3.3.1 Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3.3.2 SSL/TLS Handshake Protocol . . . . . . . . . . . . . . . . 13.3.4 Client-Authentifikation . . . . . . . . . . . . . . . . . . . . . . . . . 13.3.5 Server-Authentifikation . . . . . . . . . . . . . . . . . . . . . . . . . 13.3.6 Praktischer Test von SSL/TLS mit Java . . . . . . . . . . . . . . . . 13.3.7 Phishing und Pharming . . . . . . . . . . . . . . . . . . . . . . . . . 13.3.8 Weitere Bedrohungen der Sicherheit durch das WWW . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

259 259 259 261 261 262 263 263 265 266 266 266 267 269 272 272 275 276 276 278 280 281 282 286 288

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

XVI

13.3.8.1 Client . . . . . . . . . . . . . 13.3.8.2 Server . . . . . . . . . . . . . 13.3.9 Anonymität, Privatsphäre und das WWW 13.4 Zusammenfassung . . . . . . . . . . . . . . . . 13.5 Übungsaufgaben . . . . . . . . . . . . . . . . . 13.5.1 Wiederholungsaufgaben . . . . . . . . . 13.5.2 Weiterführende Aufgaben . . . . . . . .

Inhaltsverzeichnis

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

288 289 290 294 295 295 296

14 Realzeitkommunikation 14.1 Anforderungen, Prinzipien, Protokolle . . . . . . . . . . . . . . 14.1.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . 14.1.2 Medientransport . . . . . . . . . . . . . . . . . . . . . 14.1.3 Realtime Transport Protocol (RTP) . . . . . . . . . . . 14.1.4 Signalisierung . . . . . . . . . . . . . . . . . . . . . . 14.1.5 Session Initiation Protocol . . . . . . . . . . . . . . . . 14.2 Sicherheit von Realzeitkommunikationsanwendungen . . . . . . 14.2.1 Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . 14.2.2 Gegenwärtige Einsatzformen im institutionellen Umfeld 14.2.3 Gegenwärtige Einsatzformen im privaten Umfeld . . . . 14.3 Protokolle für sichere Realzeitkommunikation . . . . . . . . . . 14.3.1 Sicherer Medientransport: SRTP . . . . . . . . . . . . . 14.3.2 Sicherheitsaspekte bei der Signalisierung . . . . . . . . 14.3.3 SIP-Sicherheitsfunktionen . . . . . . . . . . . . . . . . 14.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . 14.5 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 14.5.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . 14.5.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

297 297 297 298 299 300 300 302 302 304 306 308 308 310 311 312 312 312 313

15 Sicherheit auf der Datenverbindungsschicht und in lokalen Netzen 15.1 Das Extensible Authentication Protocol (EAP) . . . . . . . . . . 15.1.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . 15.1.2 Nachrichtenformat . . . . . . . . . . . . . . . . . . . . 15.1.3 Architektur . . . . . . . . . . . . . . . . . . . . . . . . 15.1.4 Einige EAP-Typen im Detail . . . . . . . . . . . . . . . 15.1.4.1 EAP-TLS . . . . . . . . . . . . . . . . . . . 15.1.4.2 EAP-TTLS und PEAP . . . . . . . . . . . . . 15.1.4.3 EAP-FAST . . . . . . . . . . . . . . . . . . . 15.2 Zugangskontrolle in LANs . . . . . . . . . . . . . . . . . . . . 15.2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . 15.2.2 Ungesicherte lokale Netze . . . . . . . . . . . . . . . . 15.2.3 IEEE 802.1X Port-based Access Control . . . . . . . . 15.2.3.1 Funktionsweise . . . . . . . . . . . . . . . . 15.2.3.2 Authentifikation . . . . . . . . . . . . . . . . 15.3 Sicherheit in WLANs . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

315 315 315 316 318 319 319 320 320 321 321 321 322 322 324 325

Inhaltsverzeichnis

15.3.1 Eine kurze Einführung in IEEE 802.11 . . . . . . . . . . 15.3.2 Sicherheit drahtloser LANs . . . . . . . . . . . . . . . . . 15.3.3 Schwachstellen im ursprünglichen IEEE 802.11-Standard 15.3.4 Der aktuelle IEEE 802.11-Standard . . . . . . . . . . . . 15.3.5 VPN-basierter Zugriff auf drahtlose LANs . . . . . . . . 15.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . 15.5 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . 15.5.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . . 15.5.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . . .

XVII

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

325 326 328 329 331 332 333 333 333

16 Richtlinien für die Praxis 16.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.2 IT-Sicherheit im institutionellen Umfeld . . . . . . . . . . . . . . . . . . 16.2.1 Organisation und Administration . . . . . . . . . . . . . . . . . . 16.2.2 Leitlinien zur Erstellung und Beibehaltung sicherer IT-Strukturen 16.2.3 Minimalanforderungen . . . . . . . . . . . . . . . . . . . . . . . 16.3 IT Sicherheit im privaten Umfeld . . . . . . . . . . . . . . . . . . . . . . 16.4 Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.6 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.6.1 Wiederholungsaufgaben . . . . . . . . . . . . . . . . . . . . . . 16.6.2 Weiterführende Aufgaben . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

335 335 335 335 337 338 340 340 341 342 342 342

Literaturverzeichnis Klassische Referenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Online-Referenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

343 343 350 351

Sachverzeichnis

353