Betriebssysteme, Rechnernetze und verteilte Systeme II (BSRvS II)

Rechnernetze und verteilte Systeme (BSRvS II)
Prof. Dr. Heiko Krumm
FB Informatik, LS IV, AG RvS
Universität Dortmund
•
•
•
•
•
•
•
•
Sicherheitsziele
Kryptographie abstrakt
Authentifikation
Integrität
Schlüsselverteilung und Zertifikate
Firewalls
Angriffe und Gegenmaßnahmen
IPsec
H. Krumm, RvS, Informatik IV, Uni Dortmund
•
•
•
•
•
•
Computernetze und das Internet
Anwendung
Transport
Vermittlung
Verbindung
Multimedia
• Sicherheit
• Netzmanagement
• Middleware
• Verteilte Algorithmen
1
Kap. 7: Sicherheit im Netz
Lernziele:
 Prinzipien der Sicherheit
im Netz
Eigentümer
– Kryptographie und
Nutzungen, die über
Vertraulichkeitsschutz
hinausgehen
– Authentifikation
– Nachrichtenintegrität
– Schlüsselverteilung

Schutzmaßnahme
kann reduziert
werden durch
reduziert
u.U. behaftet mit
Schwachstelle
führt zu
Risiko
Bedrohung
Sicherheit in der Praxis
– Firewalls
– Sicherheitsfunktionen in
den
Kommunikationsschichten
hat Interesse an
will minimieren
weiß u.U. von
erwirkt
Angreifer
nutzt aus
erhöht
von
für
Wert
erzeugt
missbraucht / schädigt
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
2
Kap. 7: Übersicht
7.1 Sicherheitsziele
7.2 Kryptographie abstrakt
7.3 Authentifikation
7.4 Integrität
7.5 Schlüsselverteilung und Zertifikate
7.6 Firewalls
7.7 Angriffe und Gegenmaßnahmen
7.8 Sicherheit in den verschiedenen Kommunikationsschichten
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
3
Sicherheitsziele
Vertraulichkeit
Integrität
Verfügbarkeit
Die drei immer genannten Hauptziele
Anonymität
Es gibt weitere Ziele. Ziele können gegensätzlich sein
Nachvollziehbarkeit / Zurechenbarkeit
…
Authentifikation
Autorisierung
Die beiden grundlegenden Hilfsdienste
Im Netz:
Nachrichtenvertraulichkeit / Integrität
Nachrichten--Absenderauthentifikation,
Empfängerauthentifikation
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
4
Freunde und Feinde: Alice, Bob, Trudy



In der Welt der Netzsicherheit wohlbekannt
Bob und Alice (befreundet!) wollen sicher kommunizieren
Trudy (der Eindringling) kann Nachrichten abfangen, löschen, verändern,
einschleusen
Alice
data
Kanal
Sicherer
Sender
Daten und
Kontrollnachrichten
Sicherer
Empfänger
Bob
data
Trudy
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
5
Wer kann Bob und Alice sein?






… natürlich real-life Bobs und Alices!
Web-Browser und Server, die elektronische Transaktionen asusführen
(e.g., On-line-Shop Einkauf)
On-line Banking-Client und Server
DNS-Server
Router, die Routingtabellen aktualisieren
weitere Beispiele?
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
6
Es gibt aber überall auch bad Guys (und Girls)!
F: Was kann ein “bad Guy” tun?
A: Jede Menge!
– Abhören
– aktiv neue Nachirchten einfügen / unterschieben
– Maskerade: fälschen (spoof) der Quelladresse eines Pakets (oder anderer
Kontrollfelder)
– Sitzungsübernahme (Hijacking) / Verbindungsübernahme
– Verfügbarkeitsattacke (Denial of Service / DoS-Attacke)
darüber später mehr……
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
7
Kryptographie abstrakt
Alices
K VerschlüsselungsA
schlüssel
Klartext/Plaintextencryption
algorithm
ciphertext
K
Bobs
Entschlüsselungsschlüssel
B
decryption
algorithm
Klartext/
Plaintext
Symmetrische Verschlüsselung:
Beide Schlüssel sind identisch – Shared Secret
Asymmetrische Verschlüsselung:
Paar aus öffentlichem und privatem Schlüssel
(Public Key, Private Key), (Privater Schlüssel ist geheim)
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
8
Symmetrische Verschlüsselung
KA-B
KA-B
plaintext
message, m
encryption
algorithm
ciphertext
K
(m)
A-B
decryption
algorithm
plaintext
m=K
A-B
( KA-B(m) )
Symmetrische Verschlüsselung:
Bob and Alice kennen beide gemeinsam denselben Schlüssel: Shared Secret KA-B
 Problem
Das Shared Secret muss irgendwann vorher einmal auf sichere Weise kommuniziert
worden sein: Man kann nur dann sicher kommunizieren, wenn man vorher schon
einmal sicher kommunizieren konnte!
 Vorteil
Leistungsfähige Algorithmen und Implementierungen verfügbar.
 Beispiele: DES, TripleDES, AES
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
9
Public Key Kryptographie – Asymmetrische Verschlüsselung
+ Bob’s public
B key
K
K
plaintext
message, m
encryption
algorithm
ciphertext
+
B
K (m)
- Bob’s private
B key
decryption
algorithm
plaintext
message
+
m = K B(K (m))
B
Public Key Kryptographie [Diffie-Hellman76, RSA78]



Es gibt kein geteiltes Geheimnis
Alle kennen den öffentlichen Schlüssel
Nur der Empfänger kennt den privaten Entschlüsselungsschlüssel
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
10
Authentifikation
Bob und Alice kommunizieren per Nachrichtenaustausch.
Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist
Protokoll ap1.0: Alice teilt mit “Ich bin Alice”
“I am Alice”
Fehlermöglichkeiten??
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
11
Authentifikation
Bob und Alice kommunizieren per Nachrichtenaustausch.
Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist
Protokoll ap1.0: Alice teilt mit “Ich bin Alice”
“I am Alice”
Da Bob Alice nicht
sehen kann,
kann Trudy einfach
behaupten, selbst Alice
zu sein
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
12
Authentifikation
Protokoll ap2.0:
Alice teilt per IP-Paket mit ihrer IP-Adresse als
Absenderadresse mit “Ich bin Alice”
Alice’s
IP address
“I am Alice”
Fehlermöglichkeiten??
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
13
Authentifikation
Protokoll ap2.0:
Alice teilt per IP-Paket mit ihrer IP-Adresse als
Absenderadresse mit “Ich bin Alice”
Alice’s
IP address
“I am Alice”
Trudy can ein IP-Paket
mit gefälschter
Absenderadresse erzeugen
(IP-Spoofing)
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
14
Authentifikation
Protokoll ap3.0:
Alice teilt mit “Ich bin Alice” und sendet ihr geheimes
Passwort als Beweis mit
Alice’s
IP addr
Alice’s
“I’m Alice”
password
Alice’s
IP addr
OK
Schwachstellen??
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
15
Authentifikation
Protokoll ap3.0:
Alice teilt mit “Ich bin Alice” und sendet ihr geheimes
Passwort als Beweis mit
Alice’s
IP addr
Alice’s
“I’m Alice”
password
Alice’s
IP addr
OK
Alice’s
IP addr
Alice’s
“I’m Alice”
password
Wiedereinspiel-Attacke
(Playback): Trudy hört Alices Paket
mit, kopiert es und sendet es später
an Bob
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
16
Authentifikation
Protokoll ap3.1:
Alice teilt mit “Ich bin Alice” und sendet ihr geheimes
Passwort in verschlüsselter Form als Beweis mit
Alice’s encrypted
“I’m Alice”
IP addr password
Alice’s
IP addr
OK
Schwachstellen??
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
17
Authentifikation
Protokoll ap3.1:
Alice teilt mit “Ich bin Alice” und sendet ihr geheimes
Passwort in verschlüsselter Form als Beweis mit
Alice’s encrypted
“I’m Alice”
IP addr password
Alice’s
IP addr
OK
Alice’s encrypted
“I’m Alice”
IP addr password
Wiedereinspiel-Attacke
funktioniert immer noch
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
18
Authentifikation: Nächster Versuch
Ziel:
Verhindere erfolgreiche Playback-Attacken
Nonce: Zahl, die nicht vorhersagbar ist und nur einmal benutzt wird (Nonce)
ap4.0: Als Beweis dafür, dass Alices Antwort “frisch” ist, sendet Bob eine
Nonce R an Alice, Alice muss R in verschlüsselter Weise zurücksenden
(Challenge-Response-Authentifkation)
“I am Alice”
R
KA-B (R)
Schwachstellen??
Achtung Alice:
Bob hat sich nicht authentifiziert!
Die Antwort ist frisch,
und sie kommt von
Alice, da nur sie (außer
Bob) KA-B kennt und R
verschlüsseln konnte.
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
19
Authentifikation mit Public Key Kryptographie
ap4.0 benötigt ein Shared Secret KA-B , das initial beiden bekannt sein
muss
 Geht es auch mit Public-Key-Verschlüsselung?
ap5.0: Nonce und Signatur
“I am Alice”
R
Bob berechnet
+ -
-
K A (R)
“send me your public key”
+
KA
KA (KA (R)) = R
und weiß, dass nur Alice
ihren privaten Schlüssel
kennt, so dass nur sie die
Nachricht erzeugen konnte
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
20
ap5.0: Schwachstelle – “Man in the Middle” Angriff
Man (woman) in the middle attack:
Trudy gibt sich bei Bob als Alice und bei Alice als Bob aus
I am Alice
I am Alice
R
R
K (R)
T
Send me your public key
K (R)
A
+
K
T
Send me your public key
+
K
A
- +
m = K (K (m))
A A
+
K (m)
A
Trudy gets
- +
m = K (K (m))
sends Tm toT Alice
encrypted with
Alice’s public key
+
K (m)
T
Problem:
+ Zuordnung
Alice – KA
sollte für Bob prüfbar sein
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
21
Digitale Unterschrift (Digital Signature)
Kryptographische Technik, welche die Funktion
handschriftlicher Unterschriften erfüllen soll



Sender (Bob) signiert ein Dokument digital und bestätigt
damit, dass er das Dokument so erzeugt hat
verifizierbar, fälschungssicher:
Empfänger (Alice) kann Dritten gegenüber beweisen, dass
Bob, und niemand anders (auch Alice nicht), das
Doklument signiert haben muss
ABER:
– Kryptoalgorithmen sind nicht ewig sicher:
Digitale Unterschriften müssen alle paar Jahre aufgefrischt
werden
– Private Schlüssel können korrumpiert werden: Rückrufe
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
22
Digitale Signatur
Einfache digitale Signatur für eine Nachricht m:

Bob signiert m dadurch, dass er m mit seinem privaten Schlüssel KBverschlüsselt: KB-(m)
Bob’s message, m
Dear Alice
Oh, how I have missed
you. I think of you all the
time! …(blah blah blah)
Bob
- Bob’s private
KB
key
Public key
encryption
algorithm
-
K B(m)
Bob’s message, m,
signed (encrypted)
with his private key
Wenn Alice diese Nachricht empfängt, den öffentlichen Schlüssel von Bob kennt und
davon ausgehen kann, dass Bobs privater Schlüssel nur Bob bekannt ist:
• Bob und kein anderer hat diese Nachricht so signiert
• Bob kann nicht abstreiten, dass er die Nachricht signiert hat
Probleme:
• Asymmetrische Verschlüsselung ist rechenaufwendig
• Wie erfährt Alice den öffentlichen Schlüssel KB+ von Bob?
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
23
Message Digest – Kryptographische Hashfunktion
Das direkte Signieren langer Nachrichten
kostet viel Rechenzeit
large
message
m
Ziel: effizient berechenbarer Fingerabdruck
einer Nachricht m: Message Digest H(m)
 H ist kryptographische Hashfunktion
H: Hash
Function
H(m)

Beispiele
Eigenschaften kryptographischer
MD5 (RFC 1321)
Hashfunktionen:
– computes 128-bit message digest in 4-  Abbildung langer Bytefolgen auf kürzere
step process.
Folge
– arbitrary 128-bit string x, appears
 Nicht umkehrbar:
difficult to construct msg m whose
Gegeben x = H(m), so ist es allzu
aufwendig daraus m zu berechnen
MD5 hash is equal to x.
 Gegeben m und x=H(m), so ist es allzu
SHA-1 (NIST Standard)

aufwendig ein m’≠m zu finden, so dass
x=H(m’) gilt.
Es ist allzu aufwendig, überhaupt zwei m,
m‘ zu finden, so dass H(m)=H(m‘) gilt
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
24
Internet Checksum: Zu schwach um Kryptohashfunktion zu sein
Internet Checksum hat einige Hashfunktionseigenschaften:
 Abbildung auf kurze Bytefolge
 Streuung
Aber, es ist sehr leicht, zu einer Nachricht m eine andere Nachricht m’ zu finden,
welche denselben Funktionswert hat:
message
I O U 1
0 0 . 9
9 B O B
ASCII format
49 4F 55 31
30 30 2E 39
39 42 D2 42
message
I O U 9
0 0 . 1
9 B O B
ASCII format
49 4F 55 39
30 30 2E 31
39 42 D2 42
B2 C1 D2 AC
B2 C1 D2 AC
Verschiedene Nachrichten
aber gleiche Prüfsummen!
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
25
Digitale Signatur = Signierter Message Digest
Bob sendet digital signierte Nachricht
large
message
m
H: Hash
function
Bob’s
private
key
+
-
KB
Alice verifiziert die Signatur und die
Integrität der signierten Nachricht
encrypted
msg digest
H(m)
digital
signature
(encrypt)
encrypted
msg digest
KB(H(m))
large
message
m
H: Hash
function
KB(H(m))
Bob’s
public
key
+
KB
digital
signature
(decrypt)
H(m)
H(m)
equal
?
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
26
Vertrauenswürdige dritte Parteien
Verwaltung symmetrischer
Schlüssel:


Wie können 2 Parteien im Netz ein
Shared Secret etablieren?
Lösung:

Public Key Zertifizierung:
Key Distribution Center (KDC)
wirkt als Mittler zwischen den
Parteien
Wenn Alice den öffentlichen
Schlüssel von Bob erfährt, wie kann
sie sicher sein, dass das wirklich Bobs
öffentlicher Schlüssel ist
Lösung:

Zertifizierungsstelle (Certification
Authority CA)
– statt n2 Shared Secrets zwischen
allen Paaren sind initial nur n
Shared Secrets zwischen KDC und
den Parteien einzurichten
– KDC generiert bei Bedarf
Sitzungsschlüssel für 2 Parteien
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
27
Key Distribution Center (KDC)




Alice, Bob brauchen ein Shared Secret zur effizienten sicheren Kommunikation
KDC: Server verwaltet je Partei einen geheimen Schlüssel
Alice und Bob kennen jeweils ihre eigenen geheimen Schlüssel, KA-KDC KB-KDC , mit
deren Hilfe sie mit dem KDC authentifiziert kommunizieren können.
Wenn Alice eine Sitzung mit Bob durchführen will, lassen sie sich vom KDC einen
Sitzungsschlüssel als Shared Secret zwischen Alice und Bob erzeugen
KBauzi-
KA-KDC KDC
KBauzi-
KB-KDC
KX-KDC
KY-KDC
KDC
KA-KDC
KDC
KB-KDC
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
KZ-KDC
28
Key Distribution Center (KDC)
Wie erfährt Bob den Sitzungsschlüssel R1?
KDC erzeugt “Ticket”, das von Alice unveränderbar an Bob
weitergegeben wird
KDC
generates
R1
KA-KDC(A,B)
Alice
knows R1
KA-KDC(R1, KB-KDC(A,R1) )
KB-KDC(A,R1)
Bob knows to
use R1 to
communicate
with Alice
Alice und Bob kommunizieren effizient: Sie nutzen R1 als
Session Key für die symmetrische Verschlüsselung
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
29
Zertifizierungsstellen (Certification Authorities CAs)


Certification Authority (CA): Verwalte die Bindung eines öffentlichen Schlüssels
an Person / Partei E.
E registriert seinen öffentlichen Schlüssel bei CA.
– E weist sich bei CA aus (z.B. mit dem Personalausweis)
– CA erzeugt einen Datensatz, das Zertifikat, das die Bindung von KE+ an E
dokumentiert
– Zertifikat: “KE+ ist öffentlicher Schlüssel von E” digital signiert von CA
Bob’s
public
key
Bob’s
identifying
information
+
KB
digital
signature
(encrypt)
CA
private
key
K-
CA
+
KB
certificate for
Bob’s public key,
signed by CA
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
30
Inhalt eines Zertifikats


Seriennummer (eindeutig für alle Zertifikate derselben CA)
Information zur Partei: Name, Art
– auch (hier nicht sichtbar) öffentlicher Schlüssel sowie Angaben zu unterstützten
Kryptoalgorithmen
Info zu CA
Gültigkeitszeitdauer
Signatur der CA
Weitere Aufgaben einer CA
 Zeitstempel
 Rückruf-Listen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
31
Firewalls
Firewall
Verkehrskontrolleinrichtung an Grenze eines
Firmennetzes zum öffentlichen Netz hin (auch an
Innennetzgrenzen zu sensiblen Subnetzen): Lässt
manche Kommunikation zu, manche nicht.
public
Internet
administered
network
firewall
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
32
Firewalls: Motivation
Eigentlich sind Firewalls nicht nötig, weil alle Hosts und Router nur vorgesehene
Dienste an vorgesehene Nutzer erbringen sollen und dies durch die
Autorisierungs- und Authentifikationsdienste der Rechner kontrolliert wird.
Aber es gibt immer wieder unvorhergesehene Schwachstellen, die aus Programmierund Administrationsfehlern resultieren.
Deshalb sollen Firewalls zusätzlich unabhängig von den anderen Diensten
unerwünschten Verkehr abblocken und damit die Angriffsfläche verkleinern.
Ferner
 Abwehr von Verfügbarkeitsangriffen auf das Innennetz
 Abwehr von IP-Spoofing-Angriffen
 Oft in Verbindung mit NAT
 Oft in Verbindung mit VPN
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
33
Firewalls: Architektur
Drei Aspekte
 Netztopologie
– Innennetz – Außennetz,
Firewall an Verbindungswegen

Filterfunktion
3 Filtertypen
administered
network
public
Internet
– Applikationsfilter
– Verbindungsfilter
– Paketfilter (statisch / dynamisch)

Filteranordnung
– nur ein Router mit Paketfilter
– mehrere zusammenwirkende Filter und Knoten
» Dual homed Bastion Host
» Screened Subnet
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
34
Should arriving packet
be allowed in?
Departing packet let
out?
Paket-Filter



Router, der Innen- und
Außennetz verbindet, hat
Paketfilterfunktion
Liste aus Filterregeln
der Form
“Interface,
Bedingung über
Paket-Header,
Aktion”
Bedingung:
– source IP address, destination IP
address, TCP/UDP source and
destination port numbers
– ICMP message type, TCP SYN
and ACK bits


Aktion: Paket durchlassen,
verwerfen (mit / ohne Alarm)
Statische und dynamische Filter
Filterlisten – Aufbau
Vorne: Anti-Spoofing Regeln verbieten,
dass von außen Pakete mit
Innenadressen durchkommen
Mitte:
Nur positive Regeln für den
notwendigen Verkehr
Hinten: Negative Regeln, die den ganzen
Rest verbieten.
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
35
Verbindungsfilter


Realisierung durch einen Prozess
“Verbindungs-Gateway” auf einem
Firewall-Host
Es werden keine direkten
Transportverbindungen mehr zwischen
Außen- und Innennetz zugelassen:
TCP-Verbindung
Host -- Gateway
VerbindungsGateway
TCP-Verbindung
Gateway -- Server
– Stattdessen 2 Verbindungen:
Client – Gateway und Gateway – Server



Gateway packt die TCP-Nutzdaten aus und
verpackt sie selbst wieder
Prüfung der TCP-Adressen und Formate,
Erschweren von Formatfehler- und
Segmentierungsattacken
Die eigentlichen Anwendungsdaten können
nicht untersucht werden, weil das
Verbindungsgateway das
Anwendungsprotokoll nicht kennt
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
36
Applikationsfilter


Realisierung durch einen Prozess
“Applikationsgateway” auf einem
Firewall-Host, z.B. Telnet-Gateway
Es werden keine direkten
Anwendungsverbindungen mehr zwischen
Außen- und Innennetz zugelassen:
host-to-gateway
telnet session
gateway-to-remote
host telnet session
application
gateway
– Stattdessen 2 Verbindungen:
Client – Gateway und Gateway – Server


Gateway packt die Anwendungsnutzdaten
aus und verpackt sie selbst wieder
Gateway kann Anwendungsdaten
interpretieren, da speziell für bestimmten
Anwendungstyp erzeugt:
– Nutzerkennungen, Authentifikation und
Autorisierung
– Zusatzdaten (z.B. Mail-Anhänge, Active X,
Applets)
Ein Applikationsgateway wird
oft auch Applikations-Proxy
oder Applikationsfilter genannt
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
37
Firewall  Filteranordnung
Screening Router
Außennetz
Innennetz
Router mit Paketfilterfunktion
Bastion Host
Außennetz
Innennetz
Host mit Anwendungs- oder
Verbindungsfiltern
Dual Homed Bastion Host
Innennetz
Außennetz
Host mit Anwendungs- oder
Verbindungsfiltern und 2 Netzinterfaces
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
38
Firewall  Filteranordnung
Screened Subnet Firewall
Screened
Subnet
Innennetz
Interior
Screening
Router

Bastion
Hosts
Außennetz
Exterior
Screening
Router
Firewall besteht aus 2 Paketfiltern und einigen Bastion Hosts
– Paketfilter schützen die Bastion Hosts und erzwingen, dass Verkehr nur über die
Gateways der Bastion Hosts stattfindet
– Bastion Hosts tragen die Anwendungsgateways
z.B. auch E-Mail-Proxy mit Virenscanner
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
39
Firewall  Filteranordnung
Firewall
DMZ
Exterior
Screening
Router
Innennetz
Außennetz
BastionHosts

Server-Hosts
Demilitarisierte Zone (DMZ) “Niemandsland” enthält Server, die von außen
zugänglich sein sollen, z.B.:
– WWW-Server
– FTP-Server


DMZ ≠ Firewall: Separate Firewalls zum Schutz der DMZ und des Innennetzes
nötig
Wenn ein Angreifer einen Server-Host übernehmen konnte, versucht er von dort
aus, das Innennetz anzugreifen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
40
Typische Bedrohungen im Internet (Internet Security Threats)
Mapping und Scanning:
– Vor dem eigentlichen Angriff: Erkunde das Netz, finde heraus, welche
Hosts, Dienste, Betriebssysteme vorhanden sind
– ping kann zeigen, welche Host-Adressen vergeben sind
(auch Verzeichnisse sind nützlich)
– Port-Scanning: Versuch, zu jedem TCP Port eine Verbindung aufzubauen
bzw. jeden UDP-Port anzusprechen
Kommt eine Reaktion, welche?
Bekannte Schwachstellen und Angriffsmuster durchspielen.
» nmap (http://www.insecure.orig/nmap/) mapper: “network
exploration and security auditing”
– Ferner: Versuch, sich einzuloggen, Versuch FTP-Server-Account
anzusprechen. Nutzernamen und Passwörter raten.
Defaultmäßig eingerichete Accounts antesten.
Schutzmaßnahmen?
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
41
Internet Security Threats: Schutzmaßnahmen
Verkleinere Angriffsfläche
 Firewalls
 Auf Desktop-PC: Personal Firewall
 Gehärtete Konfiguration
Bemerke Besonderheiten
 Log-Erzeugung und Prüfung (Logging and Audit)
 Verkehrsstatistiken führen und überwachen
 Systemkonfiguration und Dateien überwachen (Tripwire)
 IDS – Automatische Angriffserkennunng (Intrusion Detection Systeme)
Entferne Schwachstellen
 Aktualisiere Systeme, wenn Patches verfügbar
 Scanne selbst, um Schwachstellen zu finden
Wehre bösartigen Code ab
 Virenscanner, Firewall, gehärtete Konfiguration, eingeschränkte Nutzeraccounts
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
42
Internet Security Threats
Auch das Innennetz ist nicht sicher: Packet Sniffing
– Ethernet hat Broadcast-Segmente
– Angreifer kann seinen NIC so einstellen, dass er jedes Paket mitliest
(promiscuous Mode)
– nicht-verschlüsselte Daten können gelesen werden (e.g. Passwörter)
– verschlüsselte Pakete können wieder eingespielt werden
– e.g.: C snifft Bs Pakete
C
A
src:B dest:A
payload
Schutzmaßnahmen?
• 1 Host per Segment (Switches)
B
• geschützte VPN-Verbindungen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
43
Internet Security Threats
IP-Spoofing:
– Der Sender eines IP-Pakets fälscht die Absender-Adresse
– Der Empfänger kann nie sicher sein, dass die Absender-Adresse stimmt
– e.g.: C pretends to be B
C
A
src:B dest:A
payload
B
Schutzmaßnahmen?
• Paketfilter enthalten Anti-Spoofing Regel
(Grober Schutz gegen Adressbereichs-übergreifendes Spoofing)
• authentifizierte VPN-Verbindungen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
44
Internet Security Threats
Verfügbarkeitsangriffe (Denial of Service Attacken  DoS):
– Flut böswillig generierter Pakete überlastet den Empfänger
– Distributed DoS (DDoS): koordinierte Angriffe vieler Sender (z.B. durch
von Trojanern verseuchten Internet-User-PCs aus)
– e.g., SYN-Angriff (führt zu halboffenen TCP-Verbindungen)
C
A
SYN
SYN
SYN
SYN
SYN
B
SYN
SYN
Schutzmaßnahmen?
• Herausfiltern (Firewall) - Problem: Wie trennt man Gute von Schlechten?
• Rückverfolgen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
45
Sichere E-Mail: Vertraulichkeit
 Alice will vertrauliche Mail m an Bob senden
 Bob hat zertifizierten öffentlichen Schlüssel
KS
m
K (.)
S
+
KS
Alice:
+
.
K B( )
+
KB
KS(m )
KS(m )
+
KB(KS )
.
KS( )
-
Internet
KS
-
.
K B( )
+
KB(KS )
m
-
KB
 Prüft Bobs Zertifikat: Gültig?
 Generiert per Zufallsgenerator symmetrischen Secret Key
KS
 Verschlüsellt Nachricht mit KS (Effizienz)
 verschlüsselt KS mit Bobs öffentlichem Schlüssel
 sendet beides, KS(m) und KB(KS), in E-Mail an Bob
H.
Krumm,
Informatik IV, Uni Dortmund
J.F KuroseKand
K.W. Ross (copyright 1996-2004)
BobRvS,
entschlüsselt
erstmitKMaterial
), dann
B(KSvon
S(m)
46
Sichere E-Mail: Integrität und Authentizität
Alice möchte, dass Bob von der Authentizität und
Integrität der Mail ausgehen kann
+
-
KA
m
.
H( )
-
.
KA( )
-
-
KA(H(m))
KA(H(m))
+
Internet
m
KA
+
.
H(m )
KA( )
m
compare
.
H( )
H(m )
• Alice signiert ihre Nachricht digital
• sie sendet Klartextnachricht, Signatur und Zertifikat
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
47
Sichere E-Mail: Vertraulichkeit, Integrität und Authentizität
Alice möchte Vertraulichkeit, Integrität und Authentizität
gewährleisten.
K
A
m
.
H( )
-
.
KA( )
-
KA(H(m))
+
KS
.
KS( )
+
m
KS
+
.
K B( )
+
Internet
+
KB(KS )
KB
Alice benutzt drei Schlüssel:
Ihren eigenen privaten Schlüssel, Bobs öffentlichen
Schlüssel und einen zufällig erzeugten symmetrischen
Schlüssel
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
48
Abstrakte Verfahrenstypen
49
Abstrakte Verfahrenstypen
Hashcode:
Pre-Image-Resistance (Urbildresistenz),
Collision-Resistance (Kollisionsresistenz)
50
Sichere E-Mail: Problem PKI
PKI: Public Key Infrastructure
1. anerkannte Certification Authorities (CAs)
2. Nutzer müssen dort auch ein Zertifikat haben
Kosten der Zertifikate
Interessant
„Billige“ Lösungen
z.B. PGP Web of Trust:
Nutzer zertifizieren sich gegenseitig
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
51
TLS / SSL: Transport Layer Security / Secure Socket Layer

“Aufsatz” auf TCP-Verbindungen:
–
–


(optionale) Authentifikation der
Partnerprozesse
Vertraulichkeit, Integrität und
Authentizität der Nachrichten per
Verschlüsselung
in Anwendungsprozessen zu
implementieren, z.B. im WebBrowser und im Web-Server (shttp)

– SSL-Enabled Browser enthält Zertifikate
vertrauenswürdiger CAs.
– Browser fordert von einem kontaktierten
Server dessen Zertifikat an, das von
einer dieser CAs ausgestellt sein muss
– Browser prüft mit dem CA-Zertifikat, ob
das Server-Zertifikat gültig ist
(Problem: Rückrufe)
Betrieb in 2 Phasen
1. Vorbereitung
–
Authentifikation,
Kryptoparameterabstimmung,
Sitzungsschlüsselaustausch
2. Kommunikation “Wie TCP” über
Sockets
Server Authentifikation:

Schauen Sie mal in die Einstellungen
Ihres Browsers um die CA-Liste
einzusehen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
52
IPsec
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
53
IPsec: Network Layer Security



IPsec ist im Protokoll IP V6
enthalten
Es kann auch in IP V4 eingesetzt
werden
IPsec sichert den IPPaketaustausch zwischen
Netzknoten
IPsec wird als “Aufsatz” auf IP im
Kern des Host-Betriebssystems
implementiert und durch
Administrationsparameter aktiviert
– Vorteil: Keine Änderungen oder
Ergänzungen der
Anwendungsprozesse nötig
– Nachteil: Knoten und nicht
individuelle Anwendungsprozesse
bilden die Endpunkte der
gesicherten Kommunikation




Problem:
– IP ist verbindungslos/sitzungslos
– Effiziente Kommunikation verlangt
Sitzungsschlüssel als Shared Secret
Lösung: Konzept der Security Association SA
– Je Paar aus Quelle und Ziel (also auch je
Richtung) wird SA definiert
– Alle passenden IP-Pakete gehören zur SA,
solange SA existiert
Betrieb ähnlich SSL: 2 Phasen
– SA Aufbau
– Paketaustausch
SA-Aufbau wird durch Knotenadministration
gesteuert:
Security Policy Definition (SPD) legt für “Quelle 
Ziel” fest, ob und mit welchen Parametern eine SA
einzurichten ist, so dass die IP-Pakete, die diesem
Muster folgen, nur innerhalb einer solchen SA
ausgetauscht werden.
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
54
IPsec - Implementierung
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
55
IPsec - Implementierung
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
56
Security Policy Definition
•
•
•
•
•
•
•
•
•
•
•
Quelladresse oder Quelladressbereich,
Quell-Portnummer oder Nummernmenge,
Zieladresse oder Zieladressbereich,
Ziel-Portnummer oder Nummernmenge,
UserID des lokalen Nutzers,
Datensensitivität (secret / unclassified),
Transportprotokollkennung oder Transportprotokoll-Kennungsmenge,
IP V6: Klasse und FluSSLabel / IP V4: Type of Service,
Action (IPsec anwenden / IPsec umgehen / Paket verwerfen),
IPsec-Schutz (AH, ESP, AH+ESP), Kryptoverfahren und Parameter,
Menge von Verweisen auf entsprechende, derzeit bestehende SAs.
Eintrag1
IP-Paket – Adress-, Protokoll-Bedingung
IKE-SA – Partner, Authentifikation
SA – IPsec Header, Modus, Verfahren, Lebensdauer
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
57
IPsec Internet Key Exchange und Authentifikation
 IKE Phase 1 –> IKE-SA
 IKE Phase 2 –> Nutz-SA
 Nutzdatenaustausch.
• Preshared Secrets
• Digitale Signatur
• Public Key Verschlüsselung
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
58
Transportmodus
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
59
Tunnelmodus
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
60
AH-Header
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
61
ESP-Header
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
62
IPsec: VPN-Bildung über Ipsec-Tunnel

Intranet
– Firmennetz besteht aus Filialnetzen
– Sie werden über das öffentliche Internet
verbunden
– Die Grenzrouter der Filialnetze richten
dazu zueinander IPsec Tunnel ein

Remote Access (abgesetzter Zugang)
– Heimarbeitsstationen
– Notebooks von Reisenden
– Ipsec-Tunnel zwischen Router des
Firmennetzes und abgesetztem Host
– z.B. allein mittels Ipsec-Policies
implementierbar
– Komfortlösung: VPN-Clientsoftware

Innennetz
1
Internet
IPPaket
Innennetz
2
IPPaket
IPPaket
IPPaket
Grenzrouter 1
Grenzrouter 2
Tunnel
Extranet
– Ausgewählte Subnetze oder Hosts von
Geschäftspartnern werden mittels Tunneln
verbunden
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
63
IEEE 802.11 Wireless LAN  Security

WLAN-Frames können leicht abgehört werden
– Funkwellen halten sich nicht an die Grundstücksgrenzen
– es gibt Richtantennen

Sicherheitsfunktionen
– Authentifikation und Verschlüsselung

Wired Equivalent Privacy (WEP): Ein schwacher Versuch
– Authentifikation a la ap4.0, Shared Secret und Challenge Response basiert
» Host sendet Request an Access Point, der antwortet mit 128-Bit Nonce
» Host sendet verschlüsselte Nonce zurück
– Keine dynamische Schlüsselverteilung
– Es gibt für Access Point und alle Hosts ein Gruppen-“Shared Secret“
Daraus werden alle benötigten Schlüssel abgeleitet.
– Verschlüsselung ist relativ leicht zu brechen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
64
WEP Verschlüsselung





Host/AP share 40 bit symmetric key
Host appends 24-bit initialization vector (IV) to create 64-bit key
64 bit key used to generate stream of keys, kiIV
kiIV used to encrypt ith byte, di, in frame: ci = di XOR kiIV
IV and encrypted bytes, ci sent in frame
IV
(per frame)
KS: 40-bit
secret
symmetric
key
plaintext
frame data
plus CRC
key sequence generator
( for given KS, IV)
k1IV k2IV k3IV … kNIV kN+1IV… kN+1IV
d1
d2
d3 …
dN
CRC1 … CRC4
c1
c2
c3 …
cN
cN+1 … cN+4
802.11
IV
header
WEP-encrypted data
plus CRC
Figure 7.8-new1: 802.11 WEP protocol
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
65
Brechen der 802.11 WEP Verschlüsselung
Schwachstelle:

24-bit IV, one IV per frame,  IV’s eventually reused
IV transmitted in plaintext  IV reuse detected

Angriff:

– Trudy causes Alice to encrypt known plaintext d1 d2 d3 d4 …
– Trudy sees: ci = di XOR kiIV
– Trudy knows ci di, so can compute kiIV
– Trudy knows encrypting key sequence k1IV k2IV k3IV …
– Next time IV is used, Trudy can decrypt!
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
66
802.11i: Verbesserte Sicherheit im WLAN



man kann deutlich stärker verschlüsseln
dynamische Schlüsselverteilung wird unterstützt
bindet einen separaten Authentifikationsserver ein, der nicht mit dem
Access Point zusammenfällt
(z.B. Kerberos, RADIUS)
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
67
802.11i: Vier Phasen des Betriebs
STA:
client station
AP: access point
AS:
Authentication
server
wired
network
1 Discovery of
security capabilities
2
STA and AS mutually authenticate, together
generate Master Key (MK). AP servers as “pass through”
3
STA derives
Pairwise Master
Key (PMK)
3
AS derives
same PMK,
sends to AP
4 STA, AP use PMK to derive
Temporal Key (TK) used for message
encryption, integrity
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
68
EAP: Extensible Authentication Protocol



EAP: Protokoll zwischen mobilem Client und dem
Authentifikationsserver
Ist erweiterbar, d.h. kann verschiedene Authentifikationsverfahren
einbetten, z.B. RADIUS
Authentifikation über verschiedene Teilstrecken abgewickelt
– mobiler Client – Access Point (EAP over LAN)
– Access Point – Authentifikationsserver (RADIUS over UDP)
wired
network
EAP TLS
EAP
EAP over LAN (EAPoL)
IEEE 802.11
RADIUS
UDP/IP
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
69
Grundregeln
Massendaten sind symmetrisch zu verschlüsseln.
Eine asymmetrische Verschlüsselung wäre zu ineffizient.
Massendaten sind nur mit kurzlebigen Schlüsseln zu verschlüsseln.
Man möchte verhindern, dass einem Angreifer viel Kryptotext und viel Zeit zur Verfügung stehen.
Man soll darauf achten, dass die Partneridentität authentifiziert ist.
Dies soll Angriffsszenarien wie z.B. Man-in-the-Middle-Angriffe verhindern.
Auf Frischheit achten.
Alte Identitätsnachweise können gefälscht sein. Alte verschlüsselte Nachrichten können entschlüsselt
worden sein.
Keine Festlegungen auf Dauer treffen.
Nur überschaubare Gültigkeitszeiträume verwenden, und die Möglichkeit des vorzeitigen Rückrufs
vorsehen. Keine ewig gültigen Ausweise und Schlüssel einführen. Dies soll es ermöglichen auf
unvorhergesehene Besonderheiten konservativ zu reagieren (z.B. EC-Karten-Verlust → EC-Karte
sperren).
No Security through Obscurity.
Man soll sich darauf konzentrieren können, die geheimen Schlüssel zu schützen. Dort geben die
Schlüssellänge und die Art der Generierung genaue Auskunft zur Stärke des Schlüssels. Das Verbergen
von Verfahrensdetails kann dagegen kaum genauer in seinem Beitrag zur Sicherheit bewertet werden.
Auguste Kerckhoff von Nieuwenhof:„Die Sicherheit eines Kryptosystems darf nicht von der
Geheimhaltung des Algorithmus’ abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des
Schlüssels.“, 1883.
70
Kap. 7: Sicherheit im Netz
Lernziele:
 Prinzipien der Sicherheit
im Netz:
Eigentümer
Schutzmaßnahme
– Kryptographie und Nutzungen,
die über Vertraulichkeitsschutz
hinausgehen
– Authentifikation
– Nachrichtenintegrität
– Schlüsselverteilung

Sicherheit in der Praxis:
hat Interesse an
will minimieren
weiß u.U. von
erwirkt
kann reduziert
werden durch
reduziert
u.U. behaftet mit
Schwachstelle
führt zu
Risiko
Bedrohung
Angreifer
nutzt aus
erhöht
von
für
Wert
erzeugt
missbraucht / schädigt
– Firewalls
– Sicherheitsfunktionen in den
Kommunikationsschichten
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004)
71