Please enable JavaScript.
Coggle requires JavaScript to display documents.
:lock: Netzwerksicherheit :lock: (Einleitung (Basis-Schutzmechanismen …
:lock:
Netzwerksicherheit
:lock:
Einleitung
OSI-Model
Schicht 1&2
keine Ende-zu-Ende Sicherheit
einzelne Segmente können geschützt werden:
Bsp. Verschlüsselung im WLAN mithilfe WEP, WPA, WPA2
Schicht 3
Übertragung / Sicherheit zw. 2 IP-Endpunkten
(IPv4 o. IPv6)
Vetreter IPSec
-
IPsec
läuft aktuell nicht in allen Netzwerkumgebungen korrekt (NAT) -
Implementierung
muss im Betriebssystem erfolgen
Schicht 4
aufwärts
Absicherung der Übertragung zw. Anwendungen
TLS
initialisiert
auf Schicht 5, durchgeführt auf Schicht 6
Schicht 7
Absicherung
der Nutzdaten vor Transport
Ende zu Ende Sicherheit
: Bsp: E-Mail Verschlüsselung
Schutzziele
Vetraulichkeit
: Infos nur für befugte zugängl. Keine unauthorisierte Infogewinnung
Integrität
: Korrektheit der Daten, korrekte Funktionsweise des Systems
Verbindlichkeit
: Nichtabstreitbarkeit gegenüber dritten.
Dienst
muss einem Nutzer zugeordnet werden können
Authentizität
: Identitätsnachweis. Identität muss verifiziert sein
Verfügbarkeit
: System muss funktionieren. Zugriff muss gewährleistet sein.
Privatheit
: Geheimhaltung, Anonymität
Begriffe
Schützenswerte Güter
:
Ressourcen
, die für mind. einen Akteur einen subjektiven, realen oder ideelen Wert besitzen. Bsp.: Handykontaktliste
Schwachstelle:
ermöglicht das Umgehen v. Sicherheitsdiensten durch technische Mängel (Programmierfehler etc.)
Angriff
: unauthorisierter Zugriff auf ein IT-System o. Information. Bsp:
abhören
von Leitungen
Safety
: funktionale Sicherheit, Betriebssicherheit. Abwehr von Bedrohungen aufgrund v. technischen Fehlverhalten.
Security
: Datensicherheit, Informationssicherheit
Protokolle
ARP
: Dient zur Adressauflösung. Sendet Broadcast ans Netzwerk und erhält passende IP zur jeweiligen MAC-Adresse
DNS:
Domain Name System.Namensauflösung: Domain wird in IP umgewandelt.
Telnet:
Datenaustausch über TCP-Verb. Für Zugriff auf einen entfernten Rechner.
Ist unsicher
Übertragung im Klartext -> SSH sollte bevorzugt werden.
Protokolle
beschreiben Regeln zur Datenverarbeitung auf Empfänger- und Senderseite
Angreifermodelle
Notwendig zur Bewertung d. Sicherheitsarchitektur
Warum Angreifermodelle?
Wichtig für die Sicherheitsarchitektur.
Was ist zu schützen?
-> Schutzziele
Welche Motivation u. Fähigkeiten hat d. Angreifer?
-> Angreifermodell
Dolev-Yao-Modell:
kann
alles außer Kryptographie berechnen
. - Kann Nachrichten abhören, verändern u. senden
Insiderangriffe:
Angriffe
Passive Angriffe
Informationsgewinnung
Vertraulichkeit u. Privatheit:
abhören
Aktive Angriffe
Informationsveränderung
Angriff auf d.
Verfügbarkeit
: zurückhalten v. Infos
Bsp: DoS Angriff
-> Überlastung von Leitungen durch zu viele Anfragen
Privatheit
: Verkehrsflussanalysen
Integrität:
Manipulieren v. Nachrichten bzw. ändern
Authentizität
: gezielte Desinformation
Bsp: IP-Spoofing
Replay-Angriff:
erneutes einspielen von Nachrichten
Man-in-the-Middel:
Angreifer leitet unbemerkt allen Verkehr über sich.
Bsp:
- ARP-Spoofing, anschließend aktives abhören u. manipulieren.
Modell
Sichere Netzwerkkommunikation
benötigt
Geheime Alghoritmen
für Security Transformation
Erzeugung der
Secret Info
-> Schlüssel
Methoden zur
Verteilung
der Secret Information
Sicherheitsdienst d. Transformation u. Secret Information nutzt
Modell
Sicherer Netzwerkzugang
Sicherheitskontrollen
zur Sicherstellung, dass nur Autorisierte Nutzer Zugang auf Infos und Ressourcen haben
benötigt
geeignete Gatekeep Funktion
-> zur Nutzeridentifizierung
Basis-Schutzmechanismen
Gewährleistung d. Schutzziele
Symmetrische Kryptographie
: Kommunikationspartner nutzen d. gleichen Schlüssel
k
+ geringe Komplexität
, höhere Effizienz
-aufwändige
Schlüsselverteilung
-keine sinnvollen Realisierung v.
digitalen Signaturen
Stromchiffre, Blockschiffre
Asymmetrische Kryptographie
: Kommunikationspartner haben Schlüsselpaare
(pk: public key, sk: secret key)
+
einfache Schlüsselverteilung
+
digitale Signaturen
eifnach zu realisieren
-höhere Komplexität
, geringere Effizienz
RSA
Lösungsansatz
: Hybridverfahren...
Symmetr.:
verschlüsselung.
Asymmetr.:
Schlüsselaustausch
Hashfunktionen
: Ziel: Integritätsüberprüfung
Abbildung Bitstrings beliebiger länge in Bitstring fester Länge
Anforderungen
Effizient berechenbar
Einwegeigenschaft
Schwache Kollisionsresistenz
Starke Kollisionsresistenz
MAC
Ziel: Prüfungv. Integrität u. Authentizität v. Daten
A u. B. besitzen gleichen Schlüssel
Diffie-Hellmann
Challenge Respond
Zur Authentifizierung (Symmetrisch)
A schickt ID a an B
B schickt nonce
A verschlüsselt nonce mithilfe k AB und schickt B
B entschlüsselt und vergleicht entschlüsselte Nonce mit geschickter Nonce
