IT-Sicherheit
(WS 2016/17)Kapitel 4:Sicherheit in Netzwerken
Stefan Edelkamp edelkamp@tzi.de
(Based on slides provided by Andreas Heinemann)
IT-Sicherheit – Sicherheit in Netzwerken
Agenda
Grundlagen Computernetzwerke
Netzwerkschichten und Protokolle
Das Internet
Netzwerksicherheit
IPsec
HTTPS
Firewalls
3
Grundlagen Computernetzwerke
IT-Sicherheit – Sicherheit in Netzwerken
Was ist ein Computernetzwerk?
Zwei oder mehrere Computer, die durch ein
Übertragungsmedium miteinander verbunden (vernetzt) sind, bilden ein Computernetzwerk.
Ein Computernetz besteht daher mindestens aus zwei
Knoten (Rechner) und einer (physikalischen + logischen) Verbindung.
5
Es gibt viele verschiedene Netzwerke
Das Internet
Computernetzwerke
Telefonnetzwerke
Straßenverkehrsnetze
Mobilfunknetzwerke
Optische Netzwerke
Post- und Paketnetzwerke
IT-Sicherheit – Sicherheit in Netzwerken
Unser Fokus
Hauptsächlich: Datennetzwerke
Starken Fokus auf Internet-Protokoll (IP) Netzwerken
Das Internet als ‚Anwendung‘ eines Computernetzwerkes
Lokale Netzwerke
7
Was ist alles vernetzt?
Steuerung der Klimaanlage
Drucker
Energieversorgung
Audio/Video-Geräte
Haussteuerung
Transportmittel
…
IT-Sicherheit – Sicherheit in Netzwerken
Wie wird den vernetzt?
Wireless-LAN
Ethernetkabel
Bluetooth
Near Field Communication (NFC)
Mobilfunk (GPRS, UMTS, HSDPA, LTE)
Optische-Links (Glasfaser)
9
Sinn und Zweck von Computernetzwerken
Zugriffe auf Daten, Programme, Ressourcen anderer Rechner ist möglich, z.B.
Zugriff auf Hochleistungsrechner
Abruf von Filmen aus einem Archiv
Verteilung von Rechenleistung und Datenhaltung auf unterschiedliche Rechner
Erhöhte Flexibilität und Ausfallsicherheit
Rechnergestützte Aufgaben können arbeitsteilig ausgeführt werden
Verteilung von Rechenaufgaben auf unterschiedliche Computer
IT-Sicherheit – Sicherheit in Netzwerken
Was sind die Bausteine eines Computernetzwerkes?
Endgeräte/„Computer“
Laptop, PC, Smartphone, Großrechner, Kaffeemaschine, Webserver
Hardware für die physikalische Übertragung
Verkabelung der Netzwerkgeräte
Netzwerkgeräte (Router, Switches, Netzwerkkarten, ..)
Netzwerk-Software
Implementierung von Protokollen
Netzwerk-Applikationen
Web, Email, etc
1
Warum braucht man Vernetzung/Netzwerke?
Direkte Kommunikation möglich, einer sendet:
2 Knoten: 1 Verbindung
3 Knoten: 2 Verbindungen
n Knoten: n-1 Verbindungen
Direkte Kommunikation möglich, alle senden (voll vermascht):
2 Knoten: 1 Verbindung
3 Knoten: 3 Verbindungen
4 Knoten: 6 Verbindungen
n Knoten: (n2-n)/2 = n*(n-1) /2
IT-Sicherheit – Sicherheit in Netzwerken
Warum braucht man Vernetzung/Netzwerke?
Direkte physikalische Verbindung zwischen allen Knoten in der Realität nicht umsetzbar
zu viele Verbindungen von jedem Knoten aus
berücksichtig nicht Entfernungen zwischen Knoten
Netzwerk hat Relais-Knoten
Knoten nicht alle direkt miteinander verbunden
Relais-Knoten vermitteln zwischen Knotengruppen
1
Ein Netzwerk
Relais 1
Relais 1 Relais 2Relais 2
Relais 3 Relais 3
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
IT-Sicherheit – Sicherheit in Netzwerken
Ein Netzwerk
1
Relais 1
Relais 1 Relais 2Relais 2
Relais 3 Relais 3
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
Netzwerk: Naming
Namensgebung (engl. Naming) der Knoten
Knoten 1, Knoten 2, …, Knoten n.
Relais 1
Relais 1 Relais 2Relais 2
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerk: Addressing
Adressierung (engl. Addressing) der Knoten
Wie ist die „Anschrift“ eines Knotens?
Vergleichbar mit einer Postanschrift
Relais 1
Relais 1 Relais 2Relais 2
Relais 3 Relais 3
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
1
Adresse Adresse
AA
BB
CC
Reicht Adresssing?
Kann man mit der Adresse alleine Daten zwischen den Knoten austauschen?
Nein, denn es fehlt die Information welchen Pfad die Daten durch das Netzwerk nehmen müssen.
Relais 1
Relais 1 Relais 2Relais 2
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
AA
BB
CC
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerk: Routing
Datenaustausch zwischen beliebigen Konten erfordert die Wahl eines Pfades durch das Netzwerk
Routing: Bestimmung und Auswahl des Netzwerkpfades zwischen Knotengruppen
Relais 1
Relais 1 Relais 2Relais 2
Relais 3 Relais 3
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
1
AA
BB
CC
Netzwerk: Routing Beispiel
Sende Daten von C nach B
Routeninformation wird benötigt
C muss eine Routeninformation haben: Schicke alles nach Relais 2 (Standardroute, engl. Default Route)
Relais müssen Routen zu den anderen Relais und Knoten kennen
Routingtabellen halten die Routeninformationen vor
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerk: Routing Beispiel
Relais 1
Relais 1 Relais 2Relais 2
Relais 3 Relais 3
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
2
AA
BB
CC
Von Nach
C Überall Relais 2 Von
Nach
Relais 2
A Relais 1 B Relais 3
Von
Nach Relais 3 A Relais 1
B Relais 1 C Relais 2 Von
Nach Relais 1
A Link 1
B Link 2
C Relais 3
Netzwerk: Forwarding
Routing bestimmt den Pfad der Daten im Netzwerk
Versand/Weiterleitung (engl. Forwarding) ist der Prozess
des Datentransfer mit den Information aus dem Routing
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerk: Forwarding
2
Relais 1
Relais 1 Relais 2Relais 2
Relais 3 Relais 3
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
AA
BB
CC
C nach B C nach B
C nach B
Von Nach
C Überall Relais 2 Von
Nach
Relais 2
A Relais 1 B Relais 3
Von
Nach Relais 3 A Relais 1 B Relais 1 C Relais 2 Von
Nach Relais 1
A Link 1
B Link 2
C Relais 3
Zusammenfassung wesentlicher Netzwerkfuntionen
Naming
Ein Name für einen Knoten oder einen Dienst
Addressing
Eine Adresse für einen Knoten oder Dienst
Routing
Bestimmung des Pfades den die Daten durch das Netzwerk nehmen
Forwarding
Weiterleiten der Daten von einem Netzwerksegment in das nächste
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerkschichten
2
Netzwerk: Vereinfacht
Web-Server
Browser
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerk: Mehr Details
2
Web-Server Browser
Relais 1
Relais 1 Relais 2Relais 2
Relais 3 Relais 3
Knoten1 Knoten1
Knoten 2 Knoten 2
Knoten 3 Knoten 3
Anwendungs- Kommunikation
Anwendungs- Kommunikation
Netzwerk-Kommunikation Netzwerk-Kommunikation
Netzwerk-Schichten
Anwendungsschicht
Anwendungsschicht AnwendungsschichtAnwendungsschicht
Netzwerkschicht
Netzwerkschicht NetzwerkschichtNetzwerkschicht Netzwerkanwendungen
& Protokolle.
Beispiel: HTTP und Email
Kernfunktionen, wie Datentransport von
Knoten zu Knoten.
IT-Sicherheit – Sicherheit in Netzwerken
Warum Schichten?
Netzwerke sind komplexe Gebilde
Unterschiedliche Dienste, Knotenarten, Protokolle, etc.
Komplexität verlangt die Aufteilung in Funktionsblöcke oder Schichten
Eine Schicht ist eine Sammlung definierter Funktionalität
Beherrschung der Komplexität in einer Schicht einfacher
Entwicklung der Schichten mit Ihrer Funktionalität teilweise getrennt von anderen Schichten
Veränderung unter Umständen nur in einer Schicht
Teile und herrsche!
2
Was ist ein Dienst?
Definition im Duden:
berufliche Arbeit, Tätigkeit, Erfüllung von [beruflichen] Pflichten
Arbeitsverhältnis, Stellung, Amt
Tätigkeitsbereich (in einem öffentlichen Amt)
Gruppe von Personen, die bestimmte Aufgaben zu versehen haben, dafür bereitstehen
Hilfe[leistung], Beistand; Dienstleistung
Netzwerke: Anbieten einer Leistung (Funktion) und Erbringung der Leistung
Beispiele:
Schicke Daten von A nach B
Benachrichtige mich, wenn die Daten angekommen sind
IT-Sicherheit – Sicherheit in Netzwerken
Was „bietet“ eine Schicht?
Schicht k bietet Protokoll
innerhalb der Schicht
z.B. HTTP zum
Webbrowsen
Eine Dienst-Schnittstelle
an die höhere Schicht k+1
Eine Dienst-Schnittstelle zu der
niedrigen Schicht k-1
Datenaustausch mit der gleichen Schicht am anderen Ende der logischen Kommunikationsverbindung
mit einem Protokoll
3
Quelle: Tanenbaum & Wetherall
Schichten & Protokolle
IT-Sicherheit – Sicherheit in Netzwerken
Funktionsweise von Schichtsoftware
Pro Schicht eine Kommunikationsaufgabe
Finden einer Route, Validierung von Datenpaketen, Adressierung, ...
Schicht x auf Seite eines Senders A arbeitet mit Schicht x auf Seite eines Empfängers B zusammen
Jede Schicht fügt Verwaltungsinformationen hinzu
(geschachtelte Header)
3
Kommunikations-Protokolle
Ein wichtiger Bestandteil des Internets sind die Kommunikationsprotokolle
wie in jedem anderen Kommunikationssystem
Protokoll legt fest
Format der Nachrichten (Syntax)
Abfolge der zu sendenden und empfangenen Nachrichten (Teil der Semantik)
Aktionen auf Grund von Nachrichten oder keiner Nachricht (Teil der Semantik)
IT-Sicherheit – Sicherheit in Netzwerken
Das menschliche Telefonprotokoll
Telefonanruf folgt einigen Regeln, wenn man höflich ist:
Anrufer hebt den Hörer ab und wartet auf das Freizeichen
Anrufer wählt die Telefonnummer und wartet auf das Wählzeichen
Anrufer wartet auf das Abnehmen des Angerufenen
Angerufener hebt ab und nennt seinen Namen
Anrufer wartet ab bis der Angerufene seinen Satz zu Ende gesagt hat und meldet sich ebenfalls mit seinem Namen.
Danach beginnt die eigentliche Unterhaltung
Ähnlich das Ende des Anrufs: Man beginnt mit der Verabschiedung.
3
Protokollvergleich Mensch und Maschine
IT-Sicherheit – Sicherheit in Netzwerken
Das Internet
3
Das Internet
Millionen (Milliarden) vernetzter
Computer: Hosts = Endsysteme
Auf denen Netzwerk-
Applikationen laufen
Verbunden durch Leitungen
oder Funkstrecken
Glasfaser, Kupfer, Funk
Vermittlungsstellen = Router
leiten Datenpakete weiter
IT-Sicherheit – Sicherheit in Netzwerken
Das Internet
Verbindung von mehreren unterschiedlichen Netzwerk- technologien zu einem
grossen Netzwerk
(INTER NETworking)
Ein Netz aus Netzen
Kommunikation zwischen Mobiltelefon und Toaster
möglich
das war nicht immer so!
da mindestens zwei Netzwerk-
technologien benutzt werden
(Mobilfunk und Ethernet)
3 Quelle: Kurose & Ross
Beispiel: Verkabelung des Internets
IT-Sicherheit – Sicherheit in Netzwerken
Zugang
Jeder kann sich ohne formale Voraussetzungen an das Internet anschließen
Es gibt keine Einschränkungen welche Dienste über das Internet betrieben werden können
Das heißt: Jeder kann senden was er möchte
Aber: Das Internet ist eine geteilte Ressource
Verfügbare Bandbreite wird unter den Nutzern aufgeteilt
4
Pakete
Das Internet, alle IP-basierten Netzwerk, sind Paket- Netzwerke (Paketname auf layer 3: Datagram)
Pakete sind Container zur Übertragung
Paketkopf (engl. packet header)
Nutzlast (engl. payload)
evtl. noch einen Paketende (engl. packet trailer)
Paket haben eine maximale Größe
zwischen 512 und 1500 bytes
manchmal auch bis zu 9000 bytes (Rechenzentren)
IT-Sicherheit – Sicherheit in Netzwerken
IPv4 Datagram Header Format
Source: http://tools.ietf.org/rfc/rfc791.txt
4
Adressen
Jedes Netzwerkgerät hat mindestens
eine physikalische Adresse
oft MAC-Adresse (Media-Access-Control-Adresse) genannt (06:26:96:df:7e:8b)
„hart“ dem Gerät zugewiesen
nur in einem Netzwerksegment benutzbar
eine logische IPv4 (192.168.1.20) oder IPv6-Adresse
(2001:0db8:85a3:0000:0000:8a2e:0370:7334)
Internet-Protokoll (IP) Adresse
vom jeweiligen IP-Netzwerk zugewiesen
„global“ benutzbar
IP-Adresse theoretisch von überall im Netzwerk zu erreichen
IT-Sicherheit – Sicherheit in Netzwerken
Protokoll Port Nummern (protocol port numbers)
Eine sog. Port Nummer identifiziert die Anwendung auf einem host
host implementiert Zuordnung von port zu: process ids, task ids, job names, ..
Kommunikation zwischen heterogenen Systemen möglich
pro host kann nur eine Anwendung für einen Port die Kommunikation bedienen
well known ports
Vereinbarung, welche Art von Anwendung hinter einer Portnummer zu erreichen ist (siehe nächste Folie)
siehe http://www.iana.org/assignments/port-numbers
4
Einige reservierte (well-known) Ports
Port Protokoll Anmerkungen
21 FTP Dateiübertragung (über TCP)
23 Telnet Fernanmeldung, Remote-Login (über TCP) 25 SMTP E-Mail (über TCP)
69 TFTP Triviale File Transfer Protocol (über UDP) 79 Finger Informationen über Benutzer nachschlagen 80 HTTP World Wide Web (über TCP)
110 POP3 Fernzugriff auf E-Mails
IT-Sicherheit – Sicherheit in Netzwerken
Teaser of the day
4
http://www.scmagazine.com/gchq-infosec-group-disclosed-kernel-privilege-exploit-to-apple/article/498288/
Netzwerk Aufbau
Browser Web-Server
?
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerk Aufbau
4
Browser
Kommunikation Kommunikation
Web-Server
Wireless LAN (WLAN) Wireless LAN
(WLAN)
Wireles s LAN (WLAN) Wireles s LAN (WLAN)
Digital Sub- scriber
Line (DSL) Digital
Sub- scriber
Line (DSL)
Browser Browser
Digital Sub- scriber
Line (DSL) Digital
Sub- scriber
Line (DSL)
Etherne t Etherne
t EthernetEthernet
Web-Server Web-Server
Netzwerk Aufbau
Kommunikation zwischen Browser und Webserver
nicht direkt zwischen Browser und Webserver!
über das Netzwerk
Netzwerk besteht aus unterschiedlichen Netzwerktechnologien
Wireless LAN (WLAN)
Digital Subscriber Line (DSL, ADSL, VDSL)
Kabelnetze
Mobilfunk (UMTS, LTE)
Kommunikation zwischen WLAN und DSL so nicht
möglich!
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerk Aufbau
5
IP Router (Homegateway
) IP Router (Homegateway
)
Browser
Kommunikation Kommunikation
Web-Server
Internet Protokoll
(IP) Internet Protokoll
(IP)
Wireless LAN (WLAN) Wireless LAN
(WLAN)
Wireles s LAN (WLAN) Wireles s LAN (WLAN)
Digital Sub- scriber
Line (DSL) Digital
Sub- scriber
Line (DSL)
Transmission Control Protocol (TCP)
Transmission Control Protocol (TCP)
Browser Browser
IP Router (Gateway)
IP Router (Gateway)
Digital Sub- scriber
Line (DSL) Digital
Sub- scriber
Line (DSL)
Etherne t Etherne
t
Internet Protokoll
(IP) Internet Protokoll
(IP)
Ethernet Ethernet Transmission
Control Protocol (TCP)
Transmission Control Protocol (TCP)
Web-Server Web-Server
IP: Brücke zwischen den Netzwerken
Internet Protokoll ist ein Konvergenzprotokoll
überbrückt unterschiedlichste Netzwerktechnologien
vereinheitlich Netzwerkzugriff für höhere Schichten
wie Webbrowser, Instant Messaging, etc.
Zum Vergleich:
frühere Telefonnetzwerke: neuer Dienst (z.B. Daten)
erforderte Aufbau eines neuen Netzwerkes oder größere Änderungen
heutiges Internet: neuer Dienst (z.B. WhatsApp) erforderte keine Änderung am Netz, nur auf den Endgeräten
IT-Sicherheit – Sicherheit in Netzwerken
Netzwerksicherheit
5
Was ist Netzwerksicherheit?
Sicherheit (*) aller an das Netzwerk angeschlossenen Geräte
(*) abhängig von den jeweiligen Schutzzielen
Sicherheit der Übertragungswege
Sicherer Entwurf der Netzwerkprotokolle
Sichere Übertragung der Daten
Hop-by-Hop
End-to-End
Betriebliche/organisatorische Sicherheit
z.B. Zugang zu den Netzwerkgeräten und Leitungen
IT-Sicherheit – Sicherheit in Netzwerken
Sicherheit in den Schichten
5 5
Schicht 7
Schicht 4 Schicht 3
Schicht 1 & 2
Schicht 1 & 2: Bit und Link-Layer
physikalische Verbindung zwischen zwei Netzwerkgeräten wird durch den Link-Layer in Verbindung mit dem Bit-
Layer realisiert
Funk-basierend (z.B. Wireless-LAN oder Mobilfunk)
Kabel-basierend (z.B. Ethernet oder xDSL)
Netzwerkpfad benutzt in der Regel mehrere, verschiedene Link-Layer-Technologien
Einzelne Segment können geschützt werden
z.B. Verschlüsselung im Wireless-LAN
Kein Ende-zu-Ende Sicherheit!
IT-Sicherheit – Sicherheit in Netzwerken
Schicht 3: Network-Layer
Vermittlungsschicht unabhängig von dem verwendeten Link-Layer, d.h. Internet Protokoll (IPv4 oder IPv6)
Übertragung/Sicherheit zwischen zwei IP-Endpunkten
Wichtiger Vertreter: IPsec
Herausforderungen für IPsec
IPsec läuft aktuell nicht in allen Netzwerkumgebungen korrekt
Stichwort: Network Address Translator (NAT)
Implementierung muss im Betriebssystemkern erfolgen
5
IP Router IP Router Internet
Protokoll (IP) Internet Protokoll
(IP) Wireless
LAN (WLAN) Wireless
LAN (WLAN)
Wirele ss LAN (WLAN
) Wirele ss LAN (WLAN
)
Digital Sub- scriber
Line (DSL) Digital
Sub- scriber
Line (DSL)
IP Router IP Router
Digital Sub- scriber
Line (DSL) Digital
Sub- scriber
Line (DSL)
Ethern et Ethern
et
Internet Protokoll
(IP) Internet Protokoll
(IP) Ethernet Ethernet
Schicht 4: Transport-Layer
Absicherung der Übertragung zwischen Anwendungen
Bekanntestes Beispiel: Transport Layer Security (TLS)
HTTP + TLS = HTTPS
Umgeht die Probleme von IPsec
vergleichsweise einfach in Applikation zu implementieren/nutzen
IP Router IP Router Internet
Protokoll (IP) Internet Protokoll
(IP) Wireless
Wireless WireleWirele Digital Digital
Transmission Control Protocol (TCP)
Transmission Control Protocol (TCP)
IP Router IP Router
Digital Digital
Internet Protokoll
(IP) Internet Protokoll
(IP)
Transmission Control Protocol (TCP)
Transmission Control Protocol (TCP)
IT-Sicherheit – Sicherheit in Netzwerken
Schicht 7: Application-Layer
Absicherung der Nutzdaten vor Transport, d.h. vor Übergabe an Layer 4
Beispiel: S/MIME oder PGP E-Mail Verschlüsselung
TLS für E-Mail ungeeignet, da bei E-Mail Kommunikation mehrere Hosts beteiligt sind.
Mittels TLS kann der Transport einer E-Mail abgesichert werden.
E-Mails liegen aber im Klartext auf den beteiligten Knoten vor.
5
Bsp.: E-Mail Architektur
Drei Hauptbestandteile:
Anwendungsprogramm
Mailserver
Übertragungsprotokoll:
SMTP (Simple Mail
Transfer Protocol)
Anwendungsprogramm:
Auch “Mail Reader”
Erstellen, Editieren,
Lesen von E-Mails
z.B. Webmail, Outlook, Thunderbird Quelle: Kurose & Ross
IT-Sicherheit – Sicherheit in Netzwerken
IPsec
Erweiterung des IP-Protokolls
Authentifizierung
Verschlüsselung
Wesentliche Bestandteile
Authentication-Header-Protokoll (AH)
Encapsulation-Secuirty-Protokoll (ESP)
Security Association (SA)
6
IPsec - Übersicht
Um Datenpakete von Alice gesichert zu übertragen, werden diese transformiert
Transformation: Verschlüsselung und/oder Authentifizierung
des Senders
ungesichert ungesichert
IT-Sicherheit – Sicherheit in Netzwerken
IPsec – Security Associations
Eine Security Association (SA) ist eine Vereinbarung, wie Alice und Bob ihre Kommunikation absichern (i.d.R. verschlüsseln), u.a. wird festgelegt
Welcher Algorithmus kommt zum Einsatz
Welcher Schlüssel wird verwendet
Wie lange ist der Schlüssel gültig
…
Eine SA gilt jeweils nur für eine Kommunikationsrichtung, d.h.
es werden i.d.R. immer zwei SAs für eine bidirektionale Kommunikation benötigt.
6
Security Policy Database (SPD)
Datenbank, die Informationen vorhält, wie mit welchen
anderen Hosts kommuniziert werden soll
Nutzt ausgehandelte Parameter der jeweiligen Security Associations (SAs)
IT-Sicherheit – Sicherheit in Netzwerken
IPsec – Funktionsweise
Transformation übernimmt der IPsec-Stack des Betriebssystems
Anwendungsprozess bleibt IPsec verborgen
IPsec sichert Kommunikation zwischen Hosts auf Schicht 3
6
IPsec vs. SSL/TLS – API
IT-Sicherheit – Sicherheit in Netzwerken
Authentication-Header (AH)
bietet Quellen-Authentifizierung mittels
signiertem IP-Datagram
Datenintegrität
keine Vertraulichkeit
AH-Header wird zwischen IP-Header und IP-Payload eingefügt
6
Encapsulating Security Payload (ESP)
bietet Vertraulichkeit, Hostauthentifizierung, Datenintegrität
Daten und ESP-Trailer sind verschlüsselt
IT-Sicherheit – Sicherheit in Netzwerken
AH & ESP in Kombination
6 © M. Lindner
Betriebsmodi
Tunnel-Modus
Tunnel zwischen zwei Gateways
andere Hosts benutzen Tunnel
Verbindung zwischen den Gateways gesichert, für den Netzverkehr anderer Hosts.
IT-Sicherheit – Sicherheit in Netzwerken
Betriebsmodi
Transport-Modus
direkte gesicherte Verbindung zwischen zwei Hosts
Hosts sind die Endpunkte der Kommunikation
7
Quelle:Wikipedia
Schlüssel-Management
IPsec benötigt für AH- und ESP Security Associations
geheime Schlüssel, die an beiden Endpunkten verfügbar sein müssen.
Schlüssel-Management umfasst
Schlüssel-Festlegung
Schlüssel-Verteilung
Schlüssel-Festlegung kann auf zwei Arten erfolgen
manuell (durch einen Administrator)
automatisch (durch ein Key Management Protokoll)
IT-Sicherheit – Sicherheit in Netzwerken
Internet Key Exchange Protokoll (IKE)
Internet Key Exchange Protokoll (IKE)
Gegenseitige Authentifizierung
Aushandeln der Parameter
zu wählende Verschlüsselung,
Verbindungsparameter etc.
Benutzt Zertifikate oder Shared-Secrets für den Verbindungsaufbau
Zwei Protokollversionen
IKEv1 (vgl. RFC 2408, unsicher? vgl. Snowden Affäre)
IKEv2 (vgl. RFC 7296)
7
SSL/TLS
Secure Socket Layer (SSL) ursprünglich von Netscape entwickelt.
Transport Layer Security (TLS) als Nachfolger. Aktuell V. 1.2 (2008)
Etabliert neue Protokoll-Schicht zwischen TCP und Schicht 7 Protokollen (HTTP, IMAP etc)
Benutzt symmetrische und asymmetrische Verschlüsselung
Serverauthentifizierung mittels Public Key Zertifikaten
verschlüsselt gesamte Kommunikation
Clientauthentifizierung optional möglich
HTTP + TLS = HTTPS
IT-Sicherheit – Sicherheit in Netzwerken
Initialer Protokoll-Ablauf bei TLS
1. Client sendet Verbindungsanfrage
2. Server sendet sein (signiertes) Zertifikat (inkl. publick key) 3. Client prüft Zertifikatunterzeichner anhand einer internen
Liste
4. Client erzeugt einen session key für die symmetrische Verschlüsselung, sendet diesen verschlüsselt mit public
key des Servers zurück5. Server entschlüsselt Nachricht mit seinem private key und erhält session key
6. Schicht 7 Protokoll (z.B. HTTP) wird mit einem
symmetrischen Verschlüsselungsverfahren gesichert
7
TLS am Beispiel
IT-Sicherheit – Sicherheit in Netzwerken
Firewalls
Eine Firewall ist i.d.R. eine Netzkomponente/Gerät, die es erlaubt, Netzwerkverkehr (Pakete) zwischen Netzwerken mit unterschiedlichem Vertrauen zu steuern
hier: Steuern: (Erlauben, Verbieten, Ändern)
Typen
Paketfilter
Zustandsbehaftete
Firewalls/Paketfilter
Schicht-7-Firewalls
7
© Network Intelligence India Pvt. Ltd.
Firewall Funktionen
Filtern von Paketen
eingehende Pakete
ausgehende Pakete
Default Policy, 2 Varianten
accept all
reject all
Ablehnen von Paketen
drop – Pakete werden ohne Rückmeldung an Sender verworfen
reject – Pakete werden mit Rückmeldung an Sender verworfen
IT-Sicherheit – Sicherheit in Netzwerken
Beispiel: Verarbeiten von eingehenden Paketen
7
Paketfilter (stateless firewall)
Pakete werden nur in Schicht 3
behandelt
Nur Paket header wird
ausgewertet
Vorteile
unabhängig von Anwendung
gute Performance und
Skalierbarkeit
Nachteile
Verbindungszustand oder
Applikationskontext bleiben
unberücksichtigt
IT-Sicherheit – Sicherheit in Netzwerken
Zustandsbehaftete Firewalls (stateful paket filter)
Verbindungszustände
werden aufgenommen und
mit berücksichtigt
Verhalten/Regelwerk der
Firewall basiert
auf Verbindungszuständen
Vorteile
Regelwerk leichter zu
spezifizieren/administrieren
Nachteile
u.U. zu viele Verbindungszustände
Skalierung
Verbindungszustände für
zustandslose Protokolle (UPD)?
8
Quelle: CheckPoint LTD.
Schicht-7 Firewall (application layer firewall)
erlaubt deep packet inspection
Zustand der Applikation wird
mit berücksichtigt
Vorteile
Firewall “versteht” Kommunikation
Nachteile
jedes application layer Protokoll
muss einzeln unterstützt werden
schlechtere Performance und
Skalierbarkeit
IT-Sicherheit – Sicherheit in Netzwerken
Zusammenfassung
Heutige Netzwerke basieren vornehmlich auf der Internet-Architektur und der TCP/IP Protokollfamilie
paketbasierte Netzwerke
Schichtenarchitektur
ursprüngliches Design ohne Sicherheitskonzepte
Sicherheitsmechanismen können auf den
unterschiedlichen Schichten implementiert werden
Schicht 3: IPsec
Schicht 7: S/MIME
Ende-zu-Ende-Sicherheit erst ab Schicht 4 (Transportschicht) gegeben
8