Grundlagen der Netzwerk-Sicherheit
Die globale, wie auch lokale, weltweite Vernetzung hat zu einer großen Bedeutung für die Computer- und Netzwerksicherheit geführt. Wo früher vereinzelt kleine Netze ohne Verbindungen nach außen für sich alleine standen, ist heute jedes noch so kleine Netzwerk mit dem Internet verbunden. So ist es möglich, dass aus allen Teilen der Welt unbekannte Personen, ob mit guter oder böser Absicht, eine Verbindung zu jedem Netzwerk herstellen können.
Die paketorientierte Protokoll-Familie TCP/IP ist speziell dafür ausgelegt, dass eine Ende-zu-Ende-Verbindung für alle am Netzwerk hängenden Stationen möglich ist. Die dabei vorherrschende dezentrale Struktur des Internets erlaubt jedoch kaum eine Kontrolle über den Weg den Datenpakete nehmen. Diese an sich vorteilhafte Eigenschaft, z. B. bei Ausfällen oder Überlastungen von Übertragungsstrecken, macht sich bei der Übertragung von sicherheitsrelevanten Daten und Anwendungen negativ bemerkbar.
Grundsätzlich kann man sagen, dass alle persönlichen und kritischen Daten, die über das unsichere Internet übertragen werden, immer mit einem sicheren Übertragungsprotokoll geschützt sein sollten.
In diesem Zusammenhang steigen auch die Anforderungen an Unternehmensnetzwerke. Auf sie sollen extern arbeitende Mitarbeiter von außen auf das Netzwerk zugreifen. Außendienst-Mitarbeiter, Home-Offices, entfernte Filialen und WLANs sind bereits Alltag in Unternehmen. Die neue Mobilität verbessert die Produktivität, fordert dafür die Auseinandersetzung mit völlig neuen Sicherheitsfragen.
Dabei stellt sich die Frage, welche Geräte werden mit welcher Applikation wo innerhalb und außerhalb des Unternehmens und wie und wann eingesetzt? Ein zentrales Problem ist dabei, dass viele mobilen Geräte ursprünglich für den Privatgebrauch und nicht für Unternehmenszwecke entwickelt wurden.
Seit den ersten Veröffentlichungen um die Geheimdienstaktivitäten der NSA und Co. müssen zahlreiche IT-Themen völlig neu bewertet werden.
- Sicherheitsrisiken und Sicherheitslücken in der Netzwerktechnik
- Überwachung durch Geheimdienste
- Wie sicher ist ...?
Die 3 Pfeiler der Netzwerk-Sicherheit
- Integrität
- Vertraulichkeit
- Authentizität
Integrität // Vertraulichkeit // Authentizität
Netzwerksicherheit umfasst drei wesentliche Merkmale. Das eine ist die Integrität. Dazu zählen Mechanismen und Verfahren, die die Echtheit von Daten prüfen und sicherstellen können und somit auch vor Manipulation schützen.
Das zweite ist die Vertraulichkeit der Kommunikation. Hier geht es darum dafür zu sorgen, dass niemand Einblick in die Daten und Kommunikation erhält. Hier steht die Authentifizierung der Kommunikationspartner und die Verschlüsselung der Kommunikation im Vordergrund.
Das dritte ist die Authentizität der Kommunikationspartner. Hier geht es darum festzustellen, ob der Kommunikationspartner auch tatsächlich der ist, für den er sich ausgibt.
Authentifizierung und Autorisierung
Im echten Leben weisen wir uns durch Unterschriften, Pässe und Karten aus. Im Internet fällt dies durch die räumliche Trennung weg. Auf Sicherheit zu achten bedeutet auch, niemals die Authentifizierung und Autorisierung zu vernachlässigen. Authentifizierung ist der Vorgang, bei dem eine Person oder Maschine auf ihre Identität geprüft wird. Autorisierung ist der Vorgang, bei dem ermittelt wird, was die Person oder Maschine machen darf (Berechtigung).
Verschlüsselung
Übertragungen von Informationen in Klartext, womöglich Benutzername und Passwort, sind immer ein Problem. Werden die Datenpakete auf ihrer Reise zum Empfänger von einem Angreifer gesammelt, kann er die Informationen lesen. Ganz so wie der Empfänger es auch tut. Sind die Datenpakete verschlüsselt hat es der Angreifer schwerer Rückschlüsse auf die Original-Informationen zu ziehen.
Neben dem reinen Abhören, also einfaches Duplizieren von Informationen, besteht die Möglichkeit Datenpakete abzufangen, ihre Weiterleitung zu verhindern oder fehlerhafte Datenpakete zu versenden.
Besondere Gefahren
Eine besondere Gefahr geht von virtuellen Gewaltakten aus. Den Brute-Force-Attacken (z. B. DoS), die durch Überfluten der Zielstation mit Anfragen und so am Erledigen der eigentlichen Aufgaben zu hindern. Ein Ausfall von Software und Hardware wird auf diese Weise provoziert. Viele Anwendungen sind für solche Ereignisse nicht ausgelegt und in der Regel nicht geschützt.
Maßnahmen für die Netzwerk-Sicherheit
Ein Netzwerk auf Basis von TCP/IP teilt sich grob gesehen in die Anwendungsschicht, die Netzwerkschicht und Übertragungsschicht. Auf allen Schichten lassen sich Maßnahmen zur Verbesserung der Sicherheit einsetzen.
Sicherheitsverfahren auf den niederen Schichten sind flexibler einsetzbar, aber unsicherer. Sicherheitsverfahren auf den höheren Schichten sind an die Anwendung gebunden, aber sicherer und schneller umsetzbar.
| Schicht | Beispiele | |
|---|---|---|
| 7 | Application Layer Anwendungsschicht |
HTTPS S-MIME SSL SSH OpenVPN |
| 6 | ||
| 5 | ||
| 4 | Network Layer Netzwerkschicht |
IPsec (AH/ESP) |
| 3 | ||
| 2 | Data Link Layer Übertragungsschicht |
PPTP L2TP PAP/CHAP |
| 1 |
Maßnahmen auf der Übertragungsschicht
In der Übertragungsschicht kommen meist Tunneling-Protokolle zum Einsatz, die beliebige Netzwerk-Protokolle übertragen können. Auch für die Anwendung, die eine solche Verbindung nutzt, spielt das Protokoll auf der Übertragungsschicht keine Rolle. Die hohe Flexibilität wird mit einem großen Verarbeitungsaufwand wegen mehrfacher Header erkauft.
Maßnahmen auf der Netzwerkschicht
Auf der Netzwerkschicht werden häufig Paketfilter (Firewall) und Masquerading (NAT) verwendet. Das eine Verfahren um den Datenverkehr einzuschränken oder zu verhindern und das andere um Stationen gezielt zu verstecken. Diese Sicherheitsverfahren sind eng mit der Netzwerkschicht verwoben und funktionieren in diesem Fall nur mit TCP/IP. Auf der Netzwerkschicht arbeitet man auch gerne mit einer Firewall.
Welche Protokolle oder Verfahren hier verwendet werden sind für die Anwendungsschicht und die Übertragungsschicht unerheblich.
Maßnahmen auf der Anwendungsschicht
Sicherheitsmechanismen auf der Anwendungsschicht sind direkt mit dem Dienst, einer Anwendung oder einer Sitzung gekoppelt. Sie können also nicht einfach so anderweitig genutzt werden. Das ist jedoch kein Nachteil, sondern mit einer hohen Sicherheit verbunden. Sofern Anwendungen Sicherheitsprotokolle unterstützen, sind sie bei kurzzeitigen Verbindungen das sicherste Verfahren. Meist ist eine komplizierte Konfiguration der Anwendungen nicht erforderlich. Die Gegenstellen auf beiden Seiten einigen sich vollautomatisch ohne Eingriff des Anwenders.
Sicherheitssoftware
Sicherheitssoftware soll vor unberechtigten Zugriffen durch Schadsoftware schützen. Die meisten Angriffe und Zugriffe erfolgen über den Versuch Schadsoftware durch Unachtsamkeit des Nutzers einzuschleusen, zu installieren und zu aktivieren und somit Zugriff auf das System zu bekommen.
- Virus
- Wurm
- Trojaner
- Malware
- Rootkit
- Fakeware/Ransomware
Virenscanner
Virenscanner sind Bestandteil einer Sicherheitssoftware, die einen Computer im laufenden Betrieb auf Viren, Würmer und Trojaner untersucht. Dabei wird neben dem Arbeitsspeicher auch die Festplatte nach verdächtigen Datenfolgen durchsucht. Zusätzlich klinken sich Virenscanner dort im Betriebssystem ein, wo Daten zwischen Massenspeicher und Arbeitsspeicher übertragen werden, um zu verhindern, dass Schadsoftware zur Ausführung kommt. Weil Schadsoftware ist im Laufe der Zeit erheblich weiterentwickelt hat und von einem normalen Programm teilweise nicht mehr zu unterscheiden ist, eignen sich herkömmliche Mittel, wie der klassische Virenscanner nicht mehr, um einen Großteil der Schadsoftware zu erkennen.
Deshalb baut moderne Sicherheitssoftware immer öfter auf Verhaltenserkennung. Also typische Aktivitäten von Schadsoftware, die von normalen Programmen und deren Nutzung abweicht.
Dynamic Malware Detection erkennt Schädlinge an ihrem Verhalten. Das hilft bei Malware, für die es noch keine Erkennung gibt. Die Verhaltenserkennung wertet protokollierte Aktivitäten von Prozessen aus und versucht Unregelmäßigkeiten zu erkennen.
Was bringen Desktop-Firewalls, Security-Suiten und Virenscanner?
Grundsätzlich gilt, jede Software, die Daten aus unsicheren Quellen (z. B. Internet) liest, ist als Angriffsfläche missbrauchbar. Dazu zählen von außen erreichbare Server-Dienste, aber auch Client-Software wie Browser, Mail-Clients, Messenger und so weiter. Ungeachtet ihrer Sicherheitsfunktionen fallen auch Personal Firewalls und Virenscanner darunter.
Jede Software, auch die eigentlich die Sicherheit erhöhen soll, vergrößert die Angriffsfläche. Deshalb sollte man immer abwägen, wo die Vor- und Nachteile einer Sicherheitssoftware liegen. In der Regel macht ein Virenscanner Sinn. Eine Personal Firewall ist in der Regel unnötig und gaukelt nur Sicherheit vor. Die Firewall, die zum Beispiel in Windows XP (SP2), Windows 7 oder Mac OS enthalten ist, ist schlank, fest ins System integriert und gilt als sicherer als so manche Security-Suite.
Das bedeutet nicht, dass sich die Firewall eines Betriebssystems nicht verbessern lässt. Im Gegenteil. In der Regel darf sich jede Applikation bei der Installation selbst in die Ausnahmeliste der Firewall eintragen. Die Applikationen sind dabei sehr freigiebig bei der Eintragung. Eine Personal Firewall kann die Ausnahmen deutlich einschränken. Sofern sie gut gepflegt wird, spricht nichts gegen den Einsatz einer zusätzlichen Desktop-Firewall.
Mit steigender Komplexität einer Software nimmt die Wahrscheinlichkeit von Fehlern zu. Ab einer gewissen Komplexität ist eine Software nicht mehr fehlerfrei. Es ist davon auszugehen, dass "jede" Software fehlerhaft ist. Eine fehlerhafte Software, die mit Daten aus unsicheren Quellen arbeitet, ist mit einer besonders großen Angriffsfläche gleichzusetzen. Und diese Angriffsfläche steigt mit der Komplexität der Software.
Für jedes Betriebssystem, egal ob Windows, Linux oder Mac OS, gilt:
- Jede nicht in Gebrauch befindliche Software deinstallieren.
- Jeden nicht benötigten Server-Dienst abschalten.
- Anzahl der Software-Fehler durch regelmäßige Updates reduzieren.
- Bei Software-Alternativen diejenige mit den geringsten Fehlern wählen.
- Tendenziell die weniger komplexe Lösung einsetzen.
Bis hierher ist noch keine spezielle Sicherheitssoftware erforderlich. Das bedeutet, ein hohes Maß an Sicherheit kann "jeder" schon mit einfachen Maßnahmen erreichen.
Das Computermagazin ct stellte in seiner Ausgabe 5/2010 fest, "dass jedes Paket (Security-Suite) in fast jeder Kategorie so ernste Defizite aufweist, dass man von ihrem Einsatz abraten muss." Zuvor wurde festgestellt, "das keines der (getesteten) Programme dem Anspruch gerecht wird, besser zu sein als das, was Windows und Mail-Clients eh schon bereitstellen."
Im Editorial des selben Hefts finden sich klare Worte: "Andererseits entpuppen sich die Suiten bei näherem Hinsehen als Pappkameraden." und "Der versprochene Rundumschutz findet nicht statt."
Durch den Test kommen die Redakteure zu der Empfehlung: "Ein reiner Virenscanner reicht nicht nur aus. Man sollte ihn gegenüber einer Security-Suite sogar unbedingt vorziehen."
Was 2010 getestet wurde hat sich bis heute nicht wirklich entscheidend verbessert. Vor diesem Hintergrund sollte man der installierten Security-Software nicht vertrauen.
Das Hauptproblem ist der Nutzer
Das größte Sicherheitsproblem ist immer noch der Nutzer selber. Die wichtigste Maßnahme ist die Sensibilisierung für Sicherheitsprobleme. Dadurch reduziert sich die Angriffsfläche automatisch.
Richtig böse ist es, wenn der Nutzer die Schadsoftware meist unwissentlich selbst installiert. Zum Beispiel durch das Öffnen eines E-Mail-Anhangs. Doch Otto-Normal-Nutzer ist sehr schwer von einem sehr vorsichtigen Umgang mit fremden Dateien zu überzeugen. Deshalb ist der Sicherheitsgewinn durch einen Virenscanner höher zu bewerten, als die zusätzlich entstehende Angriffsfläche durch den Virenscanner selber.
Doch Vorsicht, ein Virenscanner ist ein Tool zum Überprüfen von Dateien auf Schadsoftware. Mehr Sicherheit bietet er nicht. Er kommt immer nur dann zum Einsatz, wenn es eigentlich schon zu spät ist. Ein Virenscanner kann im Zweifelsfall den Virenbefall nicht verhindern, wenn er den Virus nicht kennt.
Was man über Sicherheit im Netzwerk wissen muss
Alles was wir über Sicherheit im Internet wissen kann man als überholt ansehen. Man muss im Prinzip immer davon ausgehen, dass der Angreifer sich innerhalb der eigenen Organisation oder Netzwerk befindet. Die internen Sicherheitsstrukturen müssen so angelegt sein, dass der Zugang zu wichtigen Daten ständig kontrolliert wird.
Angriffe auf Verschlüsselungsverfahren werden immer besser. Ist man den Schwächen eines Verschlüsselungsverfahrens auf der Spur, dann dauert es nur noch wenige Jahre, bis jemand einen weiteren Trick findet oder genug Rechenleistung zur Verfügung steht.
- Sicherheitsrisiken und Sicherheitslücken in der Netzwerktechnik
- Überwachung durch Geheimdienste
- Wie sicher ist ...?
- Sicherheitskonzepte in der Informations- und Netzwerktechnik
Übersicht: Netzwerk-Sicherheit
- Firewall
- VPN - Virtual Private Network
- WLAN-Sicherheit
- Verschlüsselung
- Anonymisierung
- Authentifizierung im Netzwerk
- AAA - Authentication Authorization Accounting
Verschlüsseln und signieren von E-Mails
- Sichere E-Mail
- S/MIME
- PGP - Pretty Good Privacy (OpenPGP)
- Sichere E-Mail mit PGP (OpenPGP/GnuPG)
- STARTTLS