Grundlagen der Netzwerksicherheit

Grundlagen der Netzwerk-Sicherheit
Die globale, wie auch lokale, weltweite Vernetzung hat zu einer großen Bedeutung für die
Computer- und Netzwerksicherheit geführt. Wo früher vereinzelt kleine Netze ohne
Verbindungen nach außen für sich alleine standen, ist heute jedes noch so kleine Netzwerk
mit dem Internet verbunden. So ist es möglich, dass aus allen Teilen der Welt unbekannte
Personen, ob mit guter oder böser Absicht, eine Verbindung zu jedem Netzwerk herstellen
können.
Das paketorientierte Übertragungsverfahren TCP/IP und die dezentrale Struktur des Internets
erlaubt kaum eine Kontrolle über den Weg und an welchen Stationen die Datenpakete auf
dieser Reise vorbeikommen. Diese an sich vorteilhafte Eigenschaft, z. B. bei Ausfällen oder
Überlastungen von Übertragungsstrecken, macht sich bei sicherheitsrelevanten Daten und
Anwendungen negativ bemerkbar.
Grundsätzlich kann man sagen, dass alle persönliche Daten, die über das unsichere Internet
übertragen werden, immer mit einem gesicherten Übertragungsprotokoll geschützt sein
sollten. Dazu gehören auch Verbindungen zwischen Mensch und Maschine.
Integrität und Vertraulichkeit
Netzwerksicherheit umfasst zwei wesentliche Merkmale. Das eine ist die Integrität. Dahinter
verbergen sich Mechanismen, die die Echtheit von Daten prüfen und sicherstellen können.
Dazu zählen auch Mechanismen und Verfahren, die Daten vor Manipulation schützen.
Das zweite ist die Vertraulichkeit der Kommunikation. Hier geht es darum dafür zu sorgen,
dass niemand Einblick in die Daten und Kommunikation erhält. Hier steht die
Authentifizierung der Kommunikationspartner und die Verschlüsselung der Kommunikation
im Vordergrund.
Authentifizierung und Autorisierung
Authentifizierung ist der Vorgang um festzustellen wer die Person oder Maschine ist.
Autorisierung ist der Vorgang, bei dem ermittelt wird, was die Person oder Maschine machen
darf (Berechtigung).
Im echten Leben weisen wir uns durch Unterschriften, Pässe und Karten aus. Im Internet fällt
dies durch die räumliche Trennung weg. Auf Sicherheit zu achten bedeutet auch, niemals die
Authentifizierung und Autorisierung zu vernachlässigen.
Verschlüsselung
Übertragungen von Informationen in Klartext, womöglich Benutzername und Passwort, sind
immer ein Problem. Werden die Datenpakete auf ihrer Reise zum Empfänger von einem
Angreifer gesammelt, kann er die Informationen lesen. Ganz so wie der Empfänger es auch
tut. Sind die Datenpakete verschlüsselt hat es der Angreifer schwerer Rückschlüsse auf die
Original-Informationen zu ziehen.
Neben dem reinen Abhören, also einfaches Duplizieren von Informationen, besteht die
Möglichkeit Datenpakete abzufangen, ihre Weiterleitung zu verhindern oder fehlerhafte
Datenpakete zu versenden.
Besondere Gefahren
Eine besondere Gefahr geht von virtuellen Gewaltakten aus. Den Brute-Force-Attacken (z. B.
DoS), die durch Überfluten der Zielstation mit Anfragen und so am Erledigen der eigentlichen
Aufgaben zu hindern. Ein Ausfall von Software und Hardware wird auf diese Weise
provoziert. Viele Anwendungen sind für solche Ereignisse nicht ausgelegt und in der Regel
nicht geschützt.
Maßnahmen für die Netzwerk-Sicherheit
Ein Netzwerk auf Basis von TCP/IP teilt sich grob gesehen in die Anwendungsschicht, die
Netzwerkschicht und Übertragungsschicht. Auf allen Schichten lassen sich Maßnahmen zur
Verbesserung der Sicherheit einsetzen.
Sicherheitsverfahren auf den niederen Schichten sind flexibler einsetzbar, aber unsicherer.
Sicherheitsverfahren auf den höheren Schichten sind an die Anwendung gebunden, aber
sicherer und schneller umsetzbar.
Schicht
Beispiele
Application Layer
Anwendungsschicht
SHTTP
SSH
SSL
Network Layer
Netzwerkschicht
IPsec
7
6
5
4
3
2
Data Link Layer
Übertragungsschicht
1
PPTP
L2TP
Maßnahmen auf der Übertragungsschicht
In der Übertragungsschicht kommen meist Tunneling-Protokolle zum Einsatz, die beliebige
Netzwerk-Protokolle übertragen können. Auch für die Anwendung, die eine solche
Verbindung nutzt, spielt das Protokoll auf der Übertragungsschicht keine Rolle. Die hohe
Flexibilität wird mit einem großen Verarbeitungsaufwand wegen mehrfacher Header erkauft.
Maßnahmen auf der Netzwerkschicht
Auf der Netzwerkschicht werden häufig Paketfilter (Firewall) und Masquerading (NAT)
verwendet. Das eine Verfahren um den Datenverkehr einzuschränken oder zu verhindern und
das andere um Stationen gezielt zu verstecken. Diese Sicherheitsverfahren sind eng mit der
Netzwerkschicht verwoben und funktionieren in diesem Fall nur mit TCP/IP. Auf der
Netzwerkschicht arbeitet man auch gerne mit einer Firewall.
Welche Protokolle oder Verfahren hier verwendet werden sind für die Anwendungsschicht
und die Übertragungsschicht unerheblich.
Maßnahmen auf der Anwendungsschicht
Sicherheitsmechanismen auf der Anwendungsschicht sind direkt mit dem Dienst, einer
Anwendung oder einer Sitzung gekoppelt. Sie können also nicht einfach so anderweitig
genutzt werden. Das ist jedoch kein Nachteil, sondern mit einer hohen Sicherheit verbunden.
Sofern Anwendungen Sicherheitsprotokolle unterstützen, sind sie bei kurzzeitigen
Verbindungen das sicherste Verfahren. Meist ist eine komplizierte Konfiguration der
Anwendungen nicht erforderlich. Die Gegenstellen auf beiden Seiten einigen sich
vollautomatisch ohne Eingriff des Anwenders.