Kapitel 4:Sicherheit in Netzwerken IT-Sicherheit

(1)

IT-Sicherheit

(WS 2016/17)

Kapitel 4:Sicherheit in Netzwerken

Stefan Edelkamp edelkamp@tzi.de

(Based on slides provided by Andreas Heinemann)

(2)

IT-Sicherheit – Sicherheit in Netzwerken

Agenda



Grundlagen Computernetzwerke



Netzwerkschichten und Protokolle



Das Internet



Netzwerksicherheit

 IPsec

 HTTPS

 Firewalls

3

(3)

Grundlagen Computernetzwerke

(4)

Was ist ein Computernetzwerk?



Zwei oder mehrere Computer, die durch ein

Übertragungsmedium miteinander verbunden (vernetzt) sind, bilden ein Computernetzwerk.



Ein Computernetz besteht daher mindestens aus zwei

Knoten (Rechner) und einer (physikalischen + logischen) Verbindung.

5

(5)

Es gibt viele verschiedene Netzwerke



Das Internet



Computernetzwerke



Telefonnetzwerke



Straßenverkehrsnetze



Mobilfunknetzwerke



Optische Netzwerke



Post- und Paketnetzwerke

(6)

Unser Fokus



Hauptsächlich: Datennetzwerke

 Starken Fokus auf Internet-Protokoll (IP) Netzwerken

 Das Internet als ‚Anwendung‘ eines Computernetzwerkes

 Lokale Netzwerke

7

(7)

Was ist alles vernetzt?



Steuerung der Klimaanlage



Drucker



Energieversorgung



Audio/Video-Geräte



Haussteuerung



Transportmittel



…

(8)

Wie wird den vernetzt?



Wireless-LAN



Ethernetkabel



Bluetooth



Near Field Communication (NFC)



Mobilfunk (GPRS, UMTS, HSDPA, LTE)



Optische-Links (Glasfaser)

9

(9)

Sinn und Zweck von Computernetzwerken



Zugriffe auf Daten, Programme, Ressourcen anderer Rechner ist möglich, z.B.

 Zugriff auf Hochleistungsrechner

 Abruf von Filmen aus einem Archiv



Verteilung von Rechenleistung und Datenhaltung auf unterschiedliche Rechner

 Erhöhte Flexibilität und Ausfallsicherheit



Rechnergestützte Aufgaben können arbeitsteilig ausgeführt werden

 Verteilung von Rechenaufgaben auf unterschiedliche Computer

(10)

Was sind die Bausteine eines Computernetzwerkes?

 Endgeräte/„Computer“

 Laptop, PC, Smartphone, Großrechner, Kaffeemaschine, Webserver

 Hardware für die physikalische Übertragung

 Verkabelung der Netzwerkgeräte

 Netzwerkgeräte (Router, Switches, Netzwerkkarten, ..)

 Netzwerk-Software

 Implementierung von Protokollen

 Netzwerk-Applikationen

 Web, Email, etc

1

(11)

Warum braucht man Vernetzung/Netzwerke?



Direkte Kommunikation möglich, einer sendet:

 2 Knoten: 1 Verbindung

 3 Knoten: 2 Verbindungen

 n Knoten: n-1 Verbindungen



Direkte Kommunikation möglich, alle senden (voll vermascht):

 2 Knoten: 1 Verbindung

 n Knoten: (n²-n)/2 = n*(n-1) /2

(12)

Warum braucht man Vernetzung/Netzwerke?



Direkte physikalische Verbindung zwischen allen Knoten in der Realität nicht umsetzbar

 zu viele Verbindungen von jedem Knoten aus

 berücksichtig nicht Entfernungen zwischen Knoten



Netzwerk hat Relais-Knoten

 Knoten nicht alle direkt miteinander verbunden

 Relais-Knoten vermitteln zwischen Knotengruppen

1

(13)

Ein Netzwerk

Relais 1

Relais 1 Relais 2Relais 2

Relais 3 Relais 3

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

(14)

Ein Netzwerk

1

Relais 1

Relais 3 Relais 3

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

(15)

Netzwerk: Naming



Namensgebung (engl. Naming) der Knoten

 Knoten 1, Knoten 2, …, Knoten n.

Relais 1

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

(16)

Netzwerk: Addressing

 Adressierung (engl. Addressing) der Knoten

 Wie ist die „Anschrift“ eines Knotens?

 Vergleichbar mit einer Postanschrift

Relais 1

Relais 3 Relais 3

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

1

Adresse Adresse

AA

BB

CC

(17)

Reicht Adresssing?

 Kann man mit der Adresse alleine Daten zwischen den Knoten austauschen?

 Nein, denn es fehlt die Information welchen Pfad die Daten durch das Netzwerk nehmen müssen.

Relais 1

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

AA

BB

CC

(18)

Netzwerk: Routing

 Datenaustausch zwischen beliebigen Konten erfordert die Wahl eines Pfades durch das Netzwerk

 Routing: Bestimmung und Auswahl des Netzwerkpfades zwischen Knotengruppen

Relais 1

Relais 3 Relais 3

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

1

AA

BB

CC

(19)

Netzwerk: Routing Beispiel



Sende Daten von C nach B



Routeninformation wird benötigt

 C muss eine Routeninformation haben: Schicke alles nach Relais 2 (Standardroute, engl. Default Route)

 Relais müssen Routen zu den anderen Relais und Knoten kennen



Routingtabellen halten die Routeninformationen vor

(20)

Netzwerk: Routing Beispiel

Relais 1

Relais 3 Relais 3

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

2

AA

BB

CC

Von Nach

C Überall Relais 2 Von

Nach

Relais 2

A Relais 1 B Relais 3

Von

Nach Relais 3 A Relais 1

B Relais 1 C Relais 2 Von

Nach Relais 1

A Link 1

B Link 2

C Relais 3

(21)

Netzwerk: Forwarding



Routing bestimmt den Pfad der Daten im Netzwerk



Versand/Weiterleitung (engl. Forwarding) ist der Prozess

des Datentransfer mit den Information aus dem Routing

(22)

Netzwerk: Forwarding

2

Relais 1

Relais 3 Relais 3

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

AA

BB

CC

C nach B C nach B

C nach B

Von Nach

C Überall Relais 2 Von

Nach

Relais 2

A Relais 1 B Relais 3

Von

Nach Relais 3 A Relais 1 B Relais 1 C Relais 2 Von

Nach Relais 1

A Link 1

B Link 2

C Relais 3

(23)

Zusammenfassung wesentlicher Netzwerkfuntionen



Naming

 Ein Name für einen Knoten oder einen Dienst



Addressing

 Eine Adresse für einen Knoten oder Dienst



Routing

 Bestimmung des Pfades den die Daten durch das Netzwerk nehmen



Forwarding

 Weiterleiten der Daten von einem Netzwerksegment in das nächste

(24)

Netzwerkschichten

2

(25)

Netzwerk: Vereinfacht

Web-Server

Browser

(26)

Netzwerk: Mehr Details

2

Web-Server Browser

Relais 1

Relais 3 Relais 3

Knoten1 Knoten1

Knoten 2 Knoten 2

Knoten 3 Knoten 3

Anwendungs- Kommunikation

Netzwerk-Kommunikation Netzwerk-Kommunikation

(27)

Netzwerk-Schichten

Anwendungsschicht

Anwendungsschicht AnwendungsschichtAnwendungsschicht

Netzwerkschicht

Netzwerkschicht NetzwerkschichtNetzwerkschicht Netzwerkanwendungen

& Protokolle.

Beispiel: HTTP und Email

Kernfunktionen, wie Datentransport von

Knoten zu Knoten.

(28)

Warum Schichten?



Netzwerke sind komplexe Gebilde

 Unterschiedliche Dienste, Knotenarten, Protokolle, etc.



Komplexität verlangt die Aufteilung in Funktionsblöcke oder Schichten

 Eine Schicht ist eine Sammlung definierter Funktionalität

 Beherrschung der Komplexität in einer Schicht einfacher

 Entwicklung der Schichten mit Ihrer Funktionalität teilweise getrennt von anderen Schichten

 Veränderung unter Umständen nur in einer Schicht



Teile und herrsche!

2

(29)

Was ist ein Dienst?

 Definition im Duden:

 berufliche Arbeit, Tätigkeit, Erfüllung von [beruflichen] Pflichten

 Arbeitsverhältnis, Stellung, Amt

 Tätigkeitsbereich (in einem öffentlichen Amt)

 Gruppe von Personen, die bestimmte Aufgaben zu versehen haben, dafür bereitstehen

 Hilfe[leistung], Beistand; Dienstleistung

 Netzwerke: Anbieten einer Leistung (Funktion) und Erbringung der Leistung

 Beispiele:

 Schicke Daten von A nach B

 Benachrichtige mich, wenn die Daten angekommen sind

(30)

Was „bietet“ eine Schicht?



Schicht k bietet Protokoll

 innerhalb der Schicht

 z.B. HTTP zum

 Webbrowsen

 Eine Dienst-Schnittstelle



an die höhere Schicht k+1



Eine Dienst-Schnittstelle zu der



niedrigen Schicht k-1



Datenaustausch mit der gleichen Schicht am anderen Ende der logischen Kommunikationsverbindung

 mit einem Protokoll

3

Quelle: Tanenbaum & Wetherall

(31)

Schichten & Protokolle

(32)

Funktionsweise von Schichtsoftware



Pro Schicht eine Kommunikationsaufgabe

 Finden einer Route, Validierung von Datenpaketen, Adressierung, ...



Schicht x auf Seite eines Senders A arbeitet mit Schicht x auf Seite eines Empfängers B zusammen



Jede Schicht fügt Verwaltungsinformationen hinzu



(geschachtelte Header)

3

(33)

Kommunikations-Protokolle



Ein wichtiger Bestandteil des Internets sind die Kommunikationsprotokolle

 wie in jedem anderen Kommunikationssystem



Protokoll legt fest

 Format der Nachrichten (Syntax)

 Abfolge der zu sendenden und empfangenen Nachrichten (Teil der Semantik)

 Aktionen auf Grund von Nachrichten oder keiner Nachricht (Teil der Semantik)

(34)

Das menschliche Telefonprotokoll



Telefonanruf folgt einigen Regeln, wenn man höflich ist:

 Anrufer hebt den Hörer ab und wartet auf das Freizeichen

 Anrufer wählt die Telefonnummer und wartet auf das Wählzeichen

 Anrufer wartet auf das Abnehmen des Angerufenen

 Angerufener hebt ab und nennt seinen Namen

 Anrufer wartet ab bis der Angerufene seinen Satz zu Ende gesagt hat und meldet sich ebenfalls mit seinem Namen.

 Danach beginnt die eigentliche Unterhaltung

 Ähnlich das Ende des Anrufs: Man beginnt mit der Verabschiedung.

3

(35)

Protokollvergleich Mensch und Maschine

(36)

Das Internet

3

(37)

Das Internet

Millionen (Milliarden) vernetzter



Computer: Hosts = Endsysteme

 Auf denen Netzwerk-

 Applikationen laufen

Verbunden durch Leitungen



oder Funkstrecken

 Glasfaser, Kupfer, Funk



Vermittlungsstellen = Router

 leiten Datenpakete weiter

(38)

Das Internet

Verbindung von mehreren unterschiedlichen Netzwerk- technologien zu einem



grossen Netzwerk

 (INTER NETworking)

 Ein Netz aus Netzen

Kommunikation zwischen Mobiltelefon und Toaster



möglich

 das war nicht immer so!

 da mindestens zwei Netzwerk-

 technologien benutzt werden

 (Mobilfunk und Ethernet)

3 Quelle: Kurose & Ross

(39)

Beispiel: Verkabelung des Internets

(40)

Zugang



Jeder kann sich ohne formale Voraussetzungen an das Internet anschließen



Es gibt keine Einschränkungen welche Dienste über das Internet betrieben werden können



Das heißt: Jeder kann senden was er möchte



Aber: Das Internet ist eine geteilte Ressource

 Verfügbare Bandbreite wird unter den Nutzern aufgeteilt

4

(41)

Pakete



Das Internet, alle IP-basierten Netzwerk, sind Paket- Netzwerke (Paketname auf layer 3: Datagram)



Pakete sind Container zur Übertragung

 Paketkopf (engl. packet header)

 Nutzlast (engl. payload)

 evtl. noch einen Paketende (engl. packet trailer)



Paket haben eine maximale Größe

 zwischen 512 und 1500 bytes

 manchmal auch bis zu 9000 bytes (Rechenzentren)

(42)

IPv4 Datagram Header Format

 Source: http://tools.ietf.org/rfc/rfc791.txt

4

(43)

Adressen



Jedes Netzwerkgerät hat mindestens

 eine physikalische Adresse

 oft MAC-Adresse (Media-Access-Control-Adresse) genannt (06:26:96:df:7e:8b)

 „hart“ dem Gerät zugewiesen

 nur in einem Netzwerksegment benutzbar

eine logische IPv4 (192.168.1.20) oder IPv6-Adresse

 (2001:0db8:85a3:0000:0000:8a2e:0370:7334)

 Internet-Protokoll (IP) Adresse

 vom jeweiligen IP-Netzwerk zugewiesen

 „global“ benutzbar

IP-Adresse theoretisch von überall im Netzwerk zu erreichen

(44)

Protokoll Port Nummern (protocol port numbers)



Eine sog. Port Nummer identifiziert die Anwendung auf einem host



host implementiert Zuordnung von port zu: process ids, task ids, job names, ..

 Kommunikation zwischen heterogenen Systemen möglich



pro host kann nur eine Anwendung für einen Port die Kommunikation bedienen



well known ports

 Vereinbarung, welche Art von Anwendung hinter einer Portnummer zu erreichen ist (siehe nächste Folie)

 siehe http://www.iana.org/assignments/port-numbers

4

(45)

Einige reservierte (well-known) Ports

Port Protokoll Anmerkungen

21 FTP Dateiübertragung (über TCP)

23 Telnet Fernanmeldung, Remote-Login (über TCP) 25 SMTP E-Mail (über TCP)

69 TFTP Triviale File Transfer Protocol (über UDP) 79 Finger Informationen über Benutzer nachschlagen 80 HTTP World Wide Web (über TCP)

110 POP3 Fernzugriff auf E-Mails

(46)

Teaser of the day

4

http://www.scmagazine.com/gchq-infosec-group-disclosed-kernel-privilege-exploit-to-apple/article/498288/

(47)

Netzwerk Aufbau

Browser Web-Server

?

(48)

Netzwerk Aufbau

4

Browser

Kommunikation Kommunikation

Web-Server

Wireless LAN (WLAN) Wireless LAN

(WLAN)

Wireles s LAN (WLAN) Wireles s LAN (WLAN)

Digital Sub- scriber

Line (DSL) Digital

Sub- scriber

Line (DSL)

Browser Browser

Line (DSL) Digital

Sub- scriber

Line (DSL)

Etherne t Etherne

t EthernetEthernet

Web-Server Web-Server

(49)

Netzwerk Aufbau



Kommunikation zwischen Browser und Webserver

 nicht direkt zwischen Browser und Webserver!

 über das Netzwerk



Netzwerk besteht aus unterschiedlichen Netzwerktechnologien

 Wireless LAN (WLAN)

 Digital Subscriber Line (DSL, ADSL, VDSL)

 Kabelnetze

 Mobilfunk (UMTS, LTE)



Kommunikation zwischen WLAN und DSL so nicht

möglich!

(50)

Netzwerk Aufbau

5

IP Router (Homegateway

) IP Router (Homegateway

)

Browser

Kommunikation Kommunikation

Web-Server

Internet Protokoll

(IP) Internet Protokoll

(IP)

Wireless LAN (WLAN) Wireless LAN

(WLAN)

Wireles s LAN (WLAN) Wireles s LAN (WLAN)

Line (DSL) Digital

Sub- scriber

Line (DSL)

Transmission Control Protocol (TCP)

Browser Browser

IP Router (Gateway)

Line (DSL) Digital

Sub- scriber

Line (DSL)

Etherne t Etherne

t

Internet Protokoll

(IP)

Ethernet Ethernet Transmission

Control Protocol (TCP)

Web-Server Web-Server

(51)

IP: Brücke zwischen den Netzwerken



Internet Protokoll ist ein Konvergenzprotokoll

 überbrückt unterschiedlichste Netzwerktechnologien

 vereinheitlich Netzwerkzugriff für höhere Schichten

 wie Webbrowser, Instant Messaging, etc.



Zum Vergleich:

 frühere Telefonnetzwerke: neuer Dienst (z.B. Daten)

erforderte Aufbau eines neuen Netzwerkes oder größere Änderungen

 heutiges Internet: neuer Dienst (z.B. WhatsApp) erforderte keine Änderung am Netz, nur auf den Endgeräten

(52)

Netzwerksicherheit

5

(53)

Was ist Netzwerksicherheit?



Sicherheit (*) aller an das Netzwerk angeschlossenen Geräte

 (*) abhängig von den jeweiligen Schutzzielen



Sicherheit der Übertragungswege



Sicherer Entwurf der Netzwerkprotokolle



Sichere Übertragung der Daten

 Hop-by-Hop

 End-to-End



Betriebliche/organisatorische Sicherheit

 z.B. Zugang zu den Netzwerkgeräten und Leitungen

(54)

Sicherheit in den Schichten

5 5

Schicht 7

Schicht 4 Schicht 3

Schicht 1 & 2

(55)

Schicht 1 & 2: Bit und Link-Layer



physikalische Verbindung zwischen zwei Netzwerkgeräten wird durch den Link-Layer in Verbindung mit dem Bit-

Layer realisiert

 Funk-basierend (z.B. Wireless-LAN oder Mobilfunk)

 Kabel-basierend (z.B. Ethernet oder xDSL)



Netzwerkpfad benutzt in der Regel mehrere, verschiedene Link-Layer-Technologien



Einzelne Segment können geschützt werden

 z.B. Verschlüsselung im Wireless-LAN



Kein Ende-zu-Ende Sicherheit!

(56)

Schicht 3: Network-Layer

 Vermittlungsschicht unabhängig von dem verwendeten Link-Layer, d.h. Internet Protokoll (IPv4 oder IPv6)

 Übertragung/Sicherheit zwischen zwei IP-Endpunkten

 Wichtiger Vertreter: IPsec

 Herausforderungen für IPsec

 IPsec läuft aktuell nicht in allen Netzwerkumgebungen korrekt

 Stichwort: Network Address Translator (NAT)

 Implementierung muss im Betriebssystemkern erfolgen

5

IP Router IP Router Internet

Protokoll (IP) Internet Protokoll

(IP) Wireless

LAN (WLAN) Wireless

LAN (WLAN)

Wirele ss LAN (WLAN

) Wirele ss LAN (WLAN

)

Line (DSL) Digital

Sub- scriber

Line (DSL)

IP Router IP Router

Line (DSL) Digital

Sub- scriber

Line (DSL)

Ethern et Ethern

et

Internet Protokoll

(IP) Ethernet Ethernet

(57)

Schicht 4: Transport-Layer

 Absicherung der Übertragung zwischen Anwendungen

 Bekanntestes Beispiel: Transport Layer Security (TLS)

 HTTP + TLS = HTTPS

 Umgeht die Probleme von IPsec

 vergleichsweise einfach in Applikation zu implementieren/nutzen

IP Router IP Router Internet

Protokoll (IP) Internet Protokoll

(IP) Wireless

Wireless ^Wirele^Wirele ^Digital^Digital

IP Router IP Router

Digital Digital

Internet Protokoll

(IP)

(58)

Schicht 7: Application-Layer



Absicherung der Nutzdaten vor Transport, d.h. vor Übergabe an Layer 4



Beispiel: S/MIME oder PGP E-Mail Verschlüsselung

 TLS für E-Mail ungeeignet, da bei E-Mail Kommunikation mehrere Hosts beteiligt sind.

 Mittels TLS kann der Transport einer E-Mail abgesichert werden.

E-Mails liegen aber im Klartext auf den beteiligten Knoten vor.

5

(59)

Bsp.: E-Mail Architektur

 Drei Hauptbestandteile:

 Anwendungsprogramm

 Mailserver

 Übertragungsprotokoll:

 SMTP (Simple Mail

 Transfer Protocol)

 Anwendungsprogramm:

 Auch “Mail Reader”

 Erstellen, Editieren,

 Lesen von E-Mails

 z.B. Webmail, Outlook, Thunderbird Quelle: Kurose & Ross

(60)

IPsec



Erweiterung des IP-Protokolls

 Authentifizierung

 Verschlüsselung



Wesentliche Bestandteile

 Authentication-Header-Protokoll (AH)

 Encapsulation-Secuirty-Protokoll (ESP)

 Security Association (SA)

6

(61)

IPsec - Übersicht

 Um Datenpakete von Alice gesichert zu übertragen, werden diese transformiert

 Transformation: Verschlüsselung und/oder Authentifizierung

 des Senders

ungesichert ungesichert

(62)

IPsec – Security Associations

 Eine Security Association (SA) ist eine Vereinbarung, wie Alice und Bob ihre Kommunikation absichern (i.d.R. verschlüsseln), u.a. wird festgelegt

 Welcher Algorithmus kommt zum Einsatz

 Welcher Schlüssel wird verwendet

 Wie lange ist der Schlüssel gültig

 …

 Eine SA gilt jeweils nur für eine Kommunikationsrichtung, d.h.

es werden i.d.R. immer zwei SAs für eine bidirektionale Kommunikation benötigt.

6

(63)

Security Policy Database (SPD)

Datenbank, die Informationen vorhält, wie mit welchen

 anderen Hosts kommuniziert werden soll

 Nutzt ausgehandelte Parameter der jeweiligen Security Associations (SAs)

(64)

IPsec – Funktionsweise



Transformation übernimmt der IPsec-Stack des Betriebssystems



Anwendungsprozess bleibt IPsec verborgen



IPsec sichert Kommunikation zwischen Hosts auf Schicht 3

6

(65)

IPsec vs. SSL/TLS – API

(66)

Authentication-Header (AH)

bietet Quellen-Authentifizierung mittels



signiertem IP-Datagram



Datenintegrität



keine Vertraulichkeit



AH-Header wird zwischen IP-Header und IP-Payload eingefügt

6

(67)

Encapsulating Security Payload (ESP)



bietet Vertraulichkeit, Hostauthentifizierung, Datenintegrität



Daten und ESP-Trailer sind verschlüsselt

(68)

AH & ESP in Kombination

6 © M. Lindner

(69)

Betriebsmodi



Tunnel-Modus

 Tunnel zwischen zwei Gateways

 andere Hosts benutzen Tunnel

 Verbindung zwischen den Gateways gesichert, für den Netzverkehr anderer Hosts.

(70)

Betriebsmodi



Transport-Modus

 direkte gesicherte Verbindung zwischen zwei Hosts

 Hosts sind die Endpunkte der Kommunikation

7

Quelle:Wikipedia

(71)

Schlüssel-Management



IPsec benötigt für AH- und ESP Security Associations

geheime Schlüssel, die an beiden Endpunkten verfügbar sein müssen.



Schlüssel-Management umfasst

 Schlüssel-Festlegung

 Schlüssel-Verteilung



Schlüssel-Festlegung kann auf zwei Arten erfolgen

 manuell (durch einen Administrator)

 automatisch (durch ein Key Management Protokoll)

(72)

Internet Key Exchange Protokoll (IKE)



Internet Key Exchange Protokoll (IKE)

 Gegenseitige Authentifizierung

 Aushandeln der Parameter

 zu wählende Verschlüsselung,

 Verbindungsparameter etc.

 Benutzt Zertifikate oder Shared-Secrets für den Verbindungsaufbau

 Zwei Protokollversionen

 IKEv1 (vgl. RFC 2408, unsicher? vgl. Snowden Affäre)

 IKEv2 (vgl. RFC 7296)

7

(73)

SSL/TLS

 Secure Socket Layer (SSL) ursprünglich von Netscape entwickelt.

 Transport Layer Security (TLS) als Nachfolger. Aktuell V. 1.2 (2008)

 Etabliert neue Protokoll-Schicht zwischen TCP und Schicht 7 Protokollen (HTTP, IMAP etc)

 Benutzt symmetrische und asymmetrische Verschlüsselung

 Serverauthentifizierung mittels Public Key Zertifikaten

 verschlüsselt gesamte Kommunikation

 Clientauthentifizierung optional möglich

HTTP + TLS = HTTPS

(74)

Initialer Protokoll-Ablauf bei TLS

1. Client sendet Verbindungsanfrage

2. Server sendet sein (signiertes) Zertifikat (inkl. publick key) 3. Client prüft Zertifikatunterzeichner anhand einer internen

Liste

4. Client erzeugt einen session key für die symmetrische Verschlüsselung, sendet diesen verschlüsselt mit public

key des Servers zurück

5. Server entschlüsselt Nachricht mit seinem private key und erhält session key

6. Schicht 7 Protokoll (z.B. HTTP) wird mit einem

symmetrischen Verschlüsselungsverfahren gesichert

7

(75)

TLS am Beispiel

(76)

Firewalls



Eine Firewall ist i.d.R. eine Netzkomponente/Gerät, die es erlaubt, Netzwerkverkehr (Pakete) zwischen Netzwerken mit unterschiedlichem Vertrauen zu steuern



hier: Steuern: (Erlauben, Verbieten, Ändern)



Typen

 Paketfilter

 Zustandsbehaftete

 Firewalls/Paketfilter

 Schicht-7-Firewalls

7

(77)

Firewall Funktionen



Filtern von Paketen

 eingehende Pakete

 ausgehende Pakete



Default Policy, 2 Varianten

 accept all

 reject all



Ablehnen von Paketen

 drop – Pakete werden ohne Rückmeldung an Sender verworfen

 reject – Pakete werden mit Rückmeldung an Sender verworfen

(78)

Beispiel: Verarbeiten von eingehenden Paketen

7

(79)

Paketfilter (stateless firewall)

Pakete werden nur in Schicht 3

 behandelt

 Nur Paket header wird

 ausgewertet

 Vorteile

 unabhängig von Anwendung

 gute Performance und

 Skalierbarkeit

 Nachteile

 Verbindungszustand oder

 Applikationskontext bleiben

 unberücksichtigt

(80)

Zustandsbehaftete Firewalls (stateful paket filter)

Verbindungszustände

werden aufgenommen und

 mit berücksichtigt

 Verhalten/Regelwerk der

 Firewall basiert

 auf Verbindungszuständen

 Vorteile

 Regelwerk leichter zu

 spezifizieren/administrieren

 Nachteile

 u.U. zu viele Verbindungszustände

 Skalierung

 Verbindungszustände für

 zustandslose Protokolle (UPD)?

8

Quelle: CheckPoint LTD.

(81)

Schicht-7 Firewall (application layer firewall)

 erlaubt deep packet inspection

 Zustand der Applikation wird

 mit berücksichtigt

 Vorteile

 Firewall “versteht” Kommunikation

 Nachteile

 jedes application layer Protokoll

 muss einzeln unterstützt werden

 schlechtere Performance und

 Skalierbarkeit

(82)

Zusammenfassung



Heutige Netzwerke basieren vornehmlich auf der Internet-Architektur und der TCP/IP Protokollfamilie

 paketbasierte Netzwerke

 Schichtenarchitektur

 ursprüngliches Design ohne Sicherheitskonzepte



Sicherheitsmechanismen können auf den

unterschiedlichen Schichten implementiert werden

 Schicht 3: IPsec

 Schicht 7: S/MIME



Ende-zu-Ende-Sicherheit erst ab Schicht 4 (Transportschicht) gegeben

8