1 / 95

Netzwerksicherheit

Netzwerksicherheit. Kryptographie Martin Heel. Grundfragen zur Datensicherheit. Gegen wen wollen wir uns schützen? Gegen was wollen wir uns schützen? Welche Objekte sollen insbesondere geschützt werden? Wie erreichen wir diese Ziele?. Datensicherheit 1.

limei
Download Presentation

Netzwerksicherheit

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Netzwerksicherheit Kryptographie Martin Heel Gruppe 8 - NWSA

  2. Grundfragen zur Datensicherheit • Gegen wen wollen wir uns schützen? • Gegen was wollen wir uns schützen? • Welche Objekte sollen insbesondere geschützt werden? • Wie erreichen wir diese Ziele? Gruppe 8 - NWSA

  3. Datensicherheit 1 Welche Objekte müssen im Besonderen geschützt werden? • Dateien mit persönlichen oder geschäftlichen Informationen (Aspekte der sicheren Speicherung) • E-Mails mit Dateianhängen (Aspekte des sicheren Transports) • Betriebsfähigkeit unserer Arbeits- und Kommunikationsmittel (Aspekt der Sabotage, Denial-of-Service) Gruppe 8 - NWSA

  4. Datensicherheit 2 „Jede Kette ist so schwach wie ihr schwächstes Glied“ • Verrat (beabsichtigt oder unbeabsichtigt) • Social Engineering (Ausnutzen von Vertrauen) • Physischer oder Software-Einbruch Gruppe 8 - NWSA

  5. Datensicherheit 3 Datensicherheit ist die Verhinderung von: • Datenverlust • Datendiebstahl • Datenverfälschung Vorbeugende Maßnahmen müssen die Vollständigkeit und die Korrektheit der Daten gewährleisten. Gruppe 8 - NWSA

  6. Informationstechnische Sicherheitsdienste Zurechenbarkeit Höhere Dienste Datenauthentizität Nicht-Abstreitbarkeit Zugriffskontrolle Vertraulichkeit Datenintegrität Authentifikation Verfügbarkeit Basisdienste Gruppe 8 - NWSA

  7. Basisdienste • Vertraulichkeit • Datenintegrität • Authentifikation • Verfügbarkeit Gruppe 8 - NWSA

  8. Basisdienst 1 Der Basisdienst Vertraulichkeit ist darauf bedacht, den Zugriff von unberechtigten Dritten auf Daten zu verhindern. Dies kann durch Verschlüsselung von Daten und durch Abschottung von Teilnetzen geschehen. Gruppe 8 - NWSA

  9. Basisdienst 1 Kann ich sicher sein, dass niemand außer B die Information „HALLO“ erhält? B A „HALLO“ Internet Gruppe 8 - NWSA

  10. Vertraulichkeitsverfahren 1 Kryptografie: Verschlüsselung von Information unter Einbeziehung eines Schlüssels. Einfache Geheimschrift: Jedem Zeichen eines Zeichenvorrats wird ein anderes Zeichen desselben Zeichenvorrats zugeordnet. Weiterentwicklung durch komplexe mathematische Methoden. Gruppe 8 - NWSA

  11. Vertraulichkeitsverfahren 2 Weiterentwicklung der einfachen Geheimschrift in symmetrische und asymmetrische Kryptografie. Symmetrisches Verschlüsselungsverfahren: Die Ver- und Entschlüsselung erfolgt mit demselben geheimen Schlüssel. Problem: beide Parteien müssen paarweise einen geheimen Schlüssel vereinbaren und zudem sicher übertragen. Gruppe 8 - NWSA

  12. Vertraulichkeitsverfahren 3 Asymmetrisches Verschlüsselungsverfahren: Hierbei kommen Schlüsselpaare zum Einsatz: • Privater Schlüssel:Die Verwendung des privaten Schlüssels gewährleistet eigene Authentizität. • Öffentlicher Schlüssel:Das Dokument kann nur mit dem passenden privaten Schlüssel entschlüsselt werden. Eine Meldung in einem Schlüssel kann nur vom jeweils anderen Schlüssel entschlüsselt werden. Gruppe 8 - NWSA

  13. Basisdienst 2 Datenintegrität soll garantieren, dass Daten im „Originalzustand“ vorliegen. Die Manipulation von Daten auf dem Übertragungsweg soll ausgeschlossen bzw. zuverlässig erkannt werden. Gruppe 8 - NWSA

  14. Basisdienst 2 Sagte A wirklich „HALLO“ ? A B „HALLO“ Internet Gruppe 8 - NWSA

  15. Integritätsverfahren Hash-Funktionen: • Für jede Zeichenfolge wird ein eindeutiger Hash-Wert errechnet. • Aus beliebig vielen Daten wird ein kurzer (128 oder 160 Bit) und eindeutiger Wert generiert. • Keine Rückschlüsse auf ursprüngliche Daten. • Meist sichere Hash-Funktionen: „digitaler Fingerabdruck“ • z.B. Secure Hash Algorithm (160 Bit) Gruppe 8 - NWSA

  16. Basisdienst 2 Die Verfügbarkeit liefert die Garantie des dauernden „Zur-Verfügung-Habens“ von bestimmten Diensten. Die Verfügbarkeit im Netzwerk ist unter anderem durch Denial-of-Service Angriffe bedroht, die die Kommunikations- und Rechner-Ressourcen aufbrauchen. Die Möglichkeit solcher Angriffe muss schon im Entwurf von zukünftigen Protokollen berücksichtigt werden. Gruppe 8 - NWSA

  17. Basisdienst 3 Schadet mir das Verhalten von C ? A B 1.000.000 mal „HALLO“ Internet C Gruppe 8 - NWSA

  18. Basisdienst 4 Der Basisdienst Authentifikation soll die nachweisliche Identifikation des Kommunikationspartners garantieren. Problem: Die Authentifikation erfolgt meist am Anfang eines Datentransfers, der Angreifer kann sich aber während der Übertragung „einklinken“! Gruppe 8 - NWSA

  19. Basisdienst 4 SENDER Authentifikation Start Übertragung Ende „Einklinken“ ANGREIFER Gruppe 8 - NWSA

  20. Authentifikationsverfahren Es gibt drei verschiedene Vorgehensweisen: • Kenntnis eines Geheimnisses z.B. Kennwort • Besitz eines bestimmten Gegenstandes oder Dokumentsz.B. Chipkarten bei Banken • Körperliche Merkmalenicht veränderliche und schwer nachzubildende körperliche Merkmalez.B. biometrische Authentifikationsverfahren wie Fingerabdruck- oder Netzhautscan Gruppe 8 - NWSA

  21. Höhere Dienste • Datenauthentizität • Nicht-Abstreitbarkeit • Zugriffskontrolle • Zurechenbarkeit Gruppe 8 - NWSA

  22. Datenauthentizität Datenauthentizität: • Nachweisliche Identifikation von Information • Beweis der Integrität und Beweis der Herkunft • (z.B. durch digitale Signaturen) Täuschungsversuche, die dem Kommunikationspartner eine falsche Identität vorspiegeln, müssen unterbunden werden. Gruppe 8 - NWSA

  23. Nicht-Abstreitbarkeit Nicht-Abstreitbarkeit: eindeutige Belegbarkeit des Empfangs bzw. des Erhalts einer Meldung. Einige Arten der Nicht-Abstreitbarkeit: • Nicht-Abstreitbarkeit des Senders(Schutz des Empfängers) • Nicht-Abstreitbarkeit des Empfangs(Schutz des Absenders) • Nicht-Abstreitbarkeit der Übermittlung(Schutz gegen Fehler im Übertragungssystem) Gruppe 8 - NWSA

  24. Zugriffskontrolle Die Zugriffskontrolle erteilt die Autorisierung von Zugriffen aufgrund der Legitimation des jeweiligen Benutzers. Leserechte, Schreibrechte oder Rechte der Löschung oder Beobachtung eines Datenobjekts können unterschieden werden, und aufgrund von vorher festgelegten Kriterien zugeteilt werden. Gruppe 8 - NWSA

  25. Zurechenbarkeit Die Zurechenbarkeit basiert auf einemProtokoll, das den Benutzer inklusive der in Anspruch genommenen Systemressourcen aufzeichnet. Voraussetzung ist eine funktionsfähige Zugriffskontrolle sowie Nicht-Abstreitbarkeit. Gruppe 8 - NWSA

  26. Netzwerksicherheit aktive & passive Angriffe Michael Layr Gruppe 8 - NWSA

  27. Bereiche der Netzwerksicherheit Systemsicherheit • Physische Sicherheit • Softwaretechnische Sicherheit Kommunikationssicherheit • Sicherheit der Daten während der Übertragung Gruppe 8 - NWSA

  28. Arten von Angriffen Passive Angriffe • Eavesdropping • Kryptoanalyse • Brute-Force-Angriff • Statische Verkehrsanalyse Gruppe 8 - NWSA

  29. Passive Angriffe Eavesdropping • Verbindungen werden belauscht und die dabei übertragenen Daten aufgezeichnet. • Hiervon sind sowohl kabelgebundene als auch drahtlose Kommunikationswege betroffen. • Glasfaserkabel erschweren das Abhören; möglich ist es aber auch hier Gruppe 8 - NWSA

  30. Passive Angriffe Kryptoanalyse • Schwächen des Verschlüsselungsverfahrens • Gegenmaßnahme: Test des Algorithmus durch Kryptographieexperten Brute-Force-Angriff • Alle möglichen Schlüssel werden nacheinander ausprobiert. Gruppe 8 - NWSA

  31. Passive Angriffe Statische Verkehrsanalyse • Bereits das Zustandekommen des Kommunikationsvorganges stellt eine vertrauliche Information dar. • Rückschlüsse auf Inhalt aus Art, Menge und Häufigkeit der Datenübertragung Gruppe 8 - NWSA

  32. Arten von Angriffen Aktive Angriffe • Manipulation/Zerstörung der Hardware • Denial-of-Service (DoS) • Distributed Denial-of-Service (DDoS) • Replay Attack • Erraten von Kennwörtern • Social-Engineering Gruppe 8 - NWSA

  33. Aktive Angriffe Zerstörung von Hardwarekomponenten • Durchtrennen von Kabeln Denial-of-Service • Angreifer überlastet durch etliche gültige oder ungültige Anfragen den Server und bringt das Softwaresystem zum Absturz. Gruppe 8 - NWSA

  34. Aktive Angriffe DDoS Gruppe 8 - NWSA

  35. Aktive Angriffe Replay Attack • Nachricht wird wiederholt versendet. • Angreifer verändert die Nachricht auf dem Weg zum Empfänger  Inhalt wird verfälscht. • Angreifer kommuniziert im Namen des Absenders und kann somit großen Schaden anrichten. Gruppe 8 - NWSA

  36. Aktive Angriffe Hacker/Cracker • Hacker: versuchen auf vorhandene Sicherheitsprobleme aufmerksam zu machen. • Cracker: versuchen unberechtigt Informationen zu entwenden oder zu zerstören. Gruppe 8 - NWSA

  37. Aktive Angriffe Möglichkeiten wie Hacker/Cracker Zugang zu Rechnersystemen erlangen: • Erraten von Kennwörtern - Manuelles - Automatisches • Social-Engineering - Verbale Interaktion Gruppe 8 - NWSA

  38. Malware Computerviren • Definition: Programme, die vom Fachmann als „malicious software“ bezeichnet werden. • Arten: - Virus - Wurm - Trojanisches Pferd - Logische Bombe - Hoax Gruppe 8 - NWSA

  39. Malware Viren • Boot-Sektor-Viren werden aktiv, wenn von Diskette oder Festplatte gestartet wird • Dateiviren befallen ausführbare Dateien • Makroviren legen Informationen in Makros ab und sind besonders gefährlich, da sie leicht zu programmieren sind Gruppe 8 - NWSA

  40. Malware Wurm kann sich selbst fortpflanzen • mögliche Sicherheitslücken • Buffer Overflow Bug im finger-Daemon • DEBUG-Loch im sendmail • Brute Force-Angriff auf schlechte Paßwörter Gruppe 8 - NWSA

  41. Malware Trojanisches Pferd • Äußerlich harmloses, attraktiv erscheinendes Programm, das beim Starten Unheil anrichtet. • Benutzer muss aktiv eingreifen um Trojaner zu starten. Gruppe 8 - NWSA

  42. Malware Logische Bombe • Dem Trojaner sehr ähnlich • Werden in umfangreichen Software-Paketen versteckt und treten erst nach langer Zeit durch Zusammenspiel bestimmter Begleitumstände auf. Gruppe 8 - NWSA

  43. Malware Hoax falsche Meldung über MALWARE • Kein Virus im eigentlichen Sinn. • Das Beseitigen kann genauso viel Arbeit kosten wie bei echter MALWARE. • Wird als E-Mail in der Art eines Kettenbriefes verschickt. Gruppe 8 - NWSA

  44. Netzwerksicherheit Firewalls, Monitoring, Virtual Private Networks Mario Wiletial Gruppe 8 - NWSA

  45. Alle achtSekunden wird ein Unternehmensnetz gehackt ... “ 23.04.2002 newsticker | www.checkpoint.de Gruppe 8 - NWSA

  46. Ökonomische Aspekte Es entstehen Kosten für: • Einrichten der Hard- und Software • Wartung • Schulung der Netzwerkadministratoren Gruppe 8 - NWSA

  47. Ökonomische Aspekte • Finanzieller Schaden durch verfälschte Daten • Industriespionage • Systemausfälle durch eingeschleuste Viren • Kosten der Bekämpfung einer Attacke • Juristische Konsequenzen • Vertrauensverlust des Kunden Gruppe 8 - NWSA

  48. Kosten - Nutzen Finanzieller und organisatorischer Aufwand vs. Möglicher Schaden Gruppe 8 - NWSA

  49. Arten der Netzwerksicherung • Firewalls • Intrusion Detection (IDS) / Monitoring • Virtual Private Networks (VPN) Gruppe 8 - NWSA

  50. Firewalls • Packet Filtering (Paketfilter) • Proxy-based (Applikationsgateway) • Stateful Inspection • Personal Firewalls Gruppe 8 - NWSA

More Related