Sichere Netzwerkkommunikation (eBook)

Vorwort 8
Inhaltsverzeichnis 10
1 Einleitung 20
1.1 Motivation 20
1.2 Sicherheit im Internet 21
1.3 Abgrenzung 22
1.4 Faktor Mensch 23
1.5 Gliederung des Buches 24
Teil I Grundlagen 26
2 Systemsicherheit 28
2.1 Sicherheit als Managementaufgabe 28
2.2 Sicherheitsrichtlinien 30
2.3 Robustheit und Fehlertoleranz 31
2.4 Allgemeine Bedrohungen und Sicherheitsziele 32
2.5 Bedrohungsszenarien und Angriffe 33
2.5.1 Abhören 33
2.5.2 Einfügen, Löschen oder Verändern von Daten 34
2.5.3 Verzögern und Wiedereinspielen von Daten 34
2.5.4 Maskerade 35
2.5.5 Autorisierungsverletzung 35
2.5.6 Abstreiten von Ereignissen 36
2.5.7 Sabotage 36
2.5.8 Kombination von Angriffen 37
2.6 Sicherheitsziele in Netzwerken 38
2.7 Schichtenmodell für Kommunikationssysteme 40
2.8 Endsystemsicherheit 42
2.9 Zusammenfassung 42
3 Grundlagen zur Kryptographie 44
3.1 Geschichte 45
3.2 Kryptoanalyse 46
3.3 Zufallszahlen 48
3.3.1 Qualität von Zufallszahlen 49
3.3.2 Aufbau eines Pseudozufallszahlengenerators 49
3.3.3 Zusammenfassung 52
3.4 Symmetrische Kryptographie 52
3.4.1 Blockchiffren 52
3.4.2 Stromchiffren 54
3.4.3 Betriebsmodi von symmetrischen Blockchiffren 58
3.4.4 DES 65
Sicherheit des DES 67
Erweiterungen des DES 68
3.4.5 AES 70
3.4.6 RC4 73
3.4.7 Zusammenfassung 74
3.5 Einwegfunktionen 75
3.5.1 Kryptographische Hash-Funktionen 76
3.5.2 Hash-Ketten 77
3.5.3 SHA-1 78
3.5.4 MD5 80
3.5.5 Zusammenfassung 82
3.6 Asymmetrische Kryptographie 82
3.6.1 Ablauf einer Verschl ¨ usselung 83
3.6.2 RSA 85
3.6.3 Diffie-Hellman 88
3.6.4 El-Gamal 91
3.7 Digitale Signaturen 96
3.7.1 Elektronische Signaturen 97
3.7.2 DSS und DSA 102
3.8 Hybride Verschlüsselungssysteme 106
3.8.1 Schlüsselängen 107
3.8.2 Empfohlene Schlüssellängen 109
Teil II Sicherheitsmechanismen für Netzwerke 113
4 Sicherungsmechanismen und -verfahren 114
4.1 Authentizität/ Authentifizierung 114
4.1.1 Klartext-Passwörter 116
4.1.2 Passwort-Hashes 116
4.1.3 S/KEY und OTP 119
4.1.4 Asymmetrische Kryptographie 119
4.1.5 Bewertung 121
4.2 Integritätssicherung 122
4.2.1 Lineare Verfahren 122
4.2.2 HMAC 123
4.2.3 CBC-MAC 125
4.2.4 Digitale Signaturen 125
4.2.5 Bewertung 125
4.3 Schutz gegen Wiedereinspielungsangriffe 126
4.3.1 Zeitstempel 127
4.3.2 Sequenznummern 129
4.3.3 Bewertung 131
4.4 Vertraulichkeit 131
4.4.1 Symmetrische Verschlüsselung 131
4.4.2 Asymmetrische Verschlüsselung 132
4.4.3 Hybride Krypto-Systeme 133
4.4.4 Steganographie 134
4.5 Dynamische Schlüsselerzeugung 134
4.5.1 Unabhängigkeit von Schlüsseln 135
4.5.2 Erneuerung von Schlüsseln 136
4.5.3 Schutz der Identiäten 136
4.6 Aushandlung der Sicherungsverfahren 137
4.7 Erhöhung der Resistenz gegen DoS- Angriffe 138
4.7.1 Cookies und Puzzles 139
4.7.2 Reihenfolge von Operationen 140
4.8 Nachweisbarkeit/Nichtabstreitbarkeit 141
4.8.1 Problemanalyse 141
4.8.2 Einsatz digitaler Signaturen 142
4.9 Anonymität/ Abstreitbarkeit 144
4.9.1 Pseudonymität 144
4.9.2 Verstecken in der Masse 144
4.9.3 Chaum-Mixes 145
4.10 VPN 145
4.10.1 MPLS-VPNs 146
4.10.2 VPNs mit kryptographischen Schutzmechanismen 147
5 Netzzugangsschicht 150
5.1 Punkt-zu-Punkt-Verbindungen 151
5.1.1 PPP 151
PAP 152
CHAP 153
MS-CHAP 154
MS-CHAPv2 154
EAP 155
EAP und Radius 156
5.1.2 Bewertung 157
5.1.3 PPTP und L2TP 157
Sicherheit von L2TP 160
Bewertung 160
5.2 LAN 160
5.2.1 Ethernet 161
Switches 161
VLANs 163
Sicherheit 163
Bewertung 166
5.2.2 PPPoE 167
5.2.3 802.1x 170
5.2.4 PANA 171
5.2.5 Bewertung 173
5.3 WLAN 174
5.3.1 Übertragungsreichweite und Sicherheit 174
5.3.2 Mögliche Angriffe auf WLANs 176
5.3.3 WEP 177
5.3.4 Werkzeuge zur Sicherheitsüberprüfung 182
5.3.5 Steigerung der Sicherheit eines WLANs 184
5.3.6 WPA, RSN und 802.11i 185
5.3.7 EAP-TLS 192
5.3.8 PEAP 195
5.3.9 EAP-TTLS 196
5.3.10 Bewertung 199
5.4 Bluetooth 199
5.4.1 Sicherheit 200
5.4.2 Link Keys 200
5.4.3 Authentifzierung 204
5.4.4 Encryption Keys 205
5.4.5 Verschlüsselung 205
5.4.6 Bewertung 206
5.5 Ausblick: ZigBee 209
6 Netzwerkschicht 212
6.1 IP 212
6.1.1 IP Version 4 213
6.1.2 IP Version 6 221
6.1.3 Bewertung 225
6.1.4 DHCP 226
6.2 IPsec 229
6.2.1 Sicherheitskonzept 230
6.2.2 Übertragungsmodi 230
Transport Mode 231
Tunnel Mode 232
Vergleich der Modi 232
6.2.3 Sicherheitsprotokolle 232
Authentication Header (AH) 232
Encapsulating Security Payload (ESP) 235
Weitere Schutzmechanismen 237
6.2.4 Einsatz 237
Ende-zu-Ende-Kommunikation 238
IPsec-VPNs 239
6.2.5 Probleme 239
6.2.6 Implementierung 242
6.2.7 Bewertung 243
6.3 IKE 245
6.3.1 Authentifizierung 246
6.3.2 Aufbau des sicheren Kanals 247
Main Mode 247
Probleme des Main Mode 249
Aggressive Mode 249
Probleme des Aggressive Mode 250
Base Mode 250
Probleme des Base Mode 251
Erzeugung des Schlüsselmaterials 251
6.3.3 Aushandlung von IPsec-SAs 252
6.3.4 Bewertung 255
6.3.5 IKEv2 256
6.4 Photuris 262
6.4.1 Cookie-Austausch 262
6.4.2 Werteaustausch 263
6.4.3 Identitätenaustausch 264
6.4.4 Bewertung 264
6.5 NAT 265
6.5.1 Private Adressen und Intranets 265
6.5.2 Adressenumsetzung 266
6.5.3 NAT-Varianten 268
6.5.4 Bewertung 270
6.6 Firewalls 272
6.6.1 Komponenten einer Firewall 273
6.6.2 Erstellen von Filterregeln 273
6.6.3 Klassi.kationsregeln 275
6.6.4 ICMP 277
6.6.5 Zusammenspiel mit Application-Level Gateways 278
6.6.6 Angriffsmöglichkeiten – DoS 280
6.6.7 Platzierung von Firewalls 280
6.6.8 Personal Firewalls 282
6.6.9 Port Knocking 283
6.6.10 Bewertung 285
7 Transportschicht 288
7.1 UDP 289
7.1.1 Bedrohungen 289
7.1.2 Sicherheitsmechanismen 290
7.1.3 Bewertung 290
7.2 TCP 290
7.2.1 Bedrohungen 291
7.2.2 Sicherheitsmechanismen 295
7.2.3 Bewertung 295
7.3 TLS 295
7.3.1 Motivation 296
7.3.2 Historie 296
7.3.3 Überblick über das TLS- Protokoll 297
7.3.4 Cipher-Suites 298
7.3.5 Authenti.zierung des Kommunikationspartners 299
7.3.6 Aufbau des sicheren Kanals 300
7.3.7 Datenübertragung 305
7.3.8 Signalisierung in TLS 306
7.3.9 Erneuerung des Schlüsselmaterials 307
7.3.10 Verbindungsabbau 308
7.3.11 Schlüsselerzeugung 308
7.3.12 TLS-VPN 308
7.3.13 Hybrid-Variante: OpenVPN 309
7.3.14 Bewertung 310
7.3.15 Vergleich mit IPsec 311
7.4 SCTP 313
7.4.1 Bedrohungen 313
7.4.2 Sicherheitsmechanismen 313
7.4.3 Bewertung 314
7.5 DCCP 315
7.5.1 Bedrohungen 315
7.5.2 Sicherheitsmechanismen 315
7.5.3 Bewertung 315
8 Netzwerkinfrastruktursicherheit 316
8.1 Motivation 316
8.2 Allgemeine Schutzmaßnahmen 317
8.3 AAA 318
8.3.1 RADIUS 319
8.3.2 Diameter 326
8.4 Routing-Sicherheit 336
8.4.1 Einleitung 336
8.4.2 Sicherheit von Routing-Protokollen 338
8.4.3 Routing-Sicherheit für Endsysteme 340
8.4.4 Redundanzprotokolle 341
8.4.5 Dynamisches Routing 342
8.5 MPLS 345
8.5.1 Einleitung 345
8.5.2 Sicherheitsaspekte 349
8.5.3 Sicherheit von RSVP 349
8.5.4 Sicherheit von LDP 351
8.5.5 Bewertung 352
8.6 SNMP 353
8.6.1 Protokollversion v1 353
8.6.2 Sicherheit von SNMPv1 354
8.6.3 Protokollversion v2 356
8.6.4 Protokollversion v3 356
8.6.5 Bewertung 358
8.7 DDoS 358
8.7.1 Re.ektorenangriffe 359
8.7.2 Gegenmaßnahmen 361
8.8 IDS 364
8.8.1 Klassifikation 365
8.8.2 Snort 366
8.8.3 Zusammenfassung 367
9 Digitale Zertifikate, PKI und PMI 368
9.1 Motivation: Authentifizierung 368
9.2 Motivation: Autorisierung 369
9.3 Digitale Zertifikate 370
9.3.1 Grundproblem 371
9.3.2 Definition 371
9.3.3 Vertrauensanker 372
9.3.4 Klassifikation 372
9.3.5 Vertrauen 373
9.3.6 Konsistenz bei Zertifikaten 376
9.3.7 Anforderungen an eine Infrastruktur 377
9.3.8 Überblick über Standards 378
9.4 PKI 379
9.4.1 Definition 379
9.4.2 PKI-Modell 380
9.4.3 Anforderungen an eine PKI 380
9.4.4 Widerruf von Zertifikaten 381
9.4.5 Vertrauensmodelle 382
Single CA 383
Oligarchie von CAs 383
Oligarchie von CAs mit Delegierung 384
Top Down 384
Anarchie 386
Up-Cross-Down 387
Flexible Bottom-Up 388
9.5 PKI auf X.509-Basis 389
9.5.1 Profile 389
9.5.2 Namensschema 389
9.5.3 Struktur eines ID-Zertifikats 390
9.5.4 Erweiterungen des ID-Zertifikats 391
9.5.5 Struktur von CRLs 393
9.5.6 Erweiterungen 394
9.5.7 CRL-Varianten 394
9.5.8 Prüfung eines Zertifikats 396
9.5.9 PKI-Unfälle 397
9.6 PKIX Working Group 398
9.6.1 OCSP 398
OCSP über TLS 400
9.6.2 SCVP 400
9.6.3 Vergleich 401
9.7 PMI 401
9.7.1 Grundproblem 401
9.7.2 Überblick über Autorisierungsmodelle 402
9.7.3 Definition 403
9.7.4 PMI-Modell 403
9.7.5 PMI und Rollen 405
9.7.6 Widerruf von Zertifikaten 405
9.7.7 Vertrauensmodelle 405
9.8 PMI auf X.509-Basis 406
9.8.1 Struktur eines Attributzertifikats 407
9.8.2 Überblick 408
9.8.3 Erweiterungen von Attributzertifikaten 409
SOA-Erweiterungen 409
Delegierungserweiterungen 409
Rollen-Erweiterungen 410
Basis- und Widerruferweiterungen 410
9.8.4 Zertifikatsvalidierung 411
9.8.5 Autorisierungmodelle 413
9.9 PMIX Working Group 413
9.10 Bewertung 413
10 Anwendungsschicht 416
10.1 HTTP 416
10.1.1 Sicherheit 416
10.1.2 Bewertung 418
10.2 SSH 419
10.2.1 Historie 419
10.2.2 Remote Shell, Remote Login und Telnet 420
10.2.3 Authentifikation bei SSH 421
10.2.4 Weitere Funktionen mit Sicherheitsimplikationen 423
10.2.5 SSH mit verteilten Dateisystemen 426
10.2.6 SSH im Detail 427
10.2.7 SSH-VPN 434
10.2.8 Bewertung 434
10.3 Kerberos 435
10.3.1 Historie 435
10.3.2 Ablauf von Kerberos im Überblick 436
10.3.3 Anmeldung 438
10.3.4 Ticket und Authenticator 439
10.3.5 Ressourcen-Zugriff 441
10.3.6 Replizierung der Server 442
10.3.7 Domänen 443
10.3.8 Rechteweitergabe 444
10.3.9 Erweiterung der Gültigkeitsdauer 445
10.3.10 Bewertung 446
10.4 SASL 447
10.4.1 Motivation 447
10.4.2 Authentifizierungsmechanismen 447
10.4.3 Protokollablauf 451
10.4.4 Beispielabläufe 452
Beispiel: CRAM-MD5 452
Beispiel: PLAIN 453
10.4.5 Bewertung 454
10.5 BEEP 455
10.6 DNS 457
10.6.1 Beschreibung des DNS 458
10.6.2 Angriffe auf DNS 460
10.6.3 TSIG 461
10.6.4 DNS Security Extensions 462
10.6.5 Ausblick auf die Überarbeitung von DNSsec 466
10.6.6 Bewertung 467
10.7 LDAP 468
10.7.1 Historie 468
10.7.2 Verzeichniszugriff 468
10.7.3 Authentifizierung 469
10.7.4 Autorisierung 470
10.8 VoIP 471
10.8.1 Signalisierungsprotokoll 471
10.8.2 Transportprotokoll 475
10.8.3 Sicherheit 475
10.8.4 Bewertung 477
10.9 PGP und S/MIME 478
10.9.1 Das E-Mail-Datenformat 479
10.9.2 MIME 480
10.9.3 Sicherheitsanforderungen und Probleme 483
10.9.4 PGP 484
10.9.5 S/MIME 489
10.9.6 Bewertung 492
10.10 Spam 493
10.10.1 Historie und Ursachen 493
10.10.2 Gegenmaßnahmen 495
10.10.3 Bewertung 497
10.11 Instant Messaging 497
10.11.1 IRC 498
10.11.2 OSCAR/ICQ 499
10.11.3 XMPP/Jabber 501
10.11.4 Bewertung 502
10.12 Malware 503
10.12.1 Kategorisierung 503
10.12.2 Verbreitung von Malware 504
10.12.3 Schutzmechanismen gegen Malware 505
10.12.4 Hoax 507
10.12.5 Bewertung 508
Teil III Einsatzszenarien 510
11 Einleitung zum Praxisbeispiel 512
12 Hauptstandort 516
12.1 Bedrohungsanalyse 516
12.2 Schutzziele 517
12.3 Naiver Lösungsansatz 517
12.3.1 Fehler 1: Fehlender Schutz der Infrastruktur 519
12.3.2 Fehler 2: Keine Trennung von Rechnergruppen 520
12.3.3 Fehler 3: Keine Zugangssicherung zum LAN 523
12.3.4 Fehler 4: Implizites Filtern statt explizitem Filtern 525
12.3.5 Fehler 5: Schwache Absicherung in der Anwendungsebene 527
12.4 Verbesserter Lösungsansatz 528
13 Nebenstandort 530
13.1 Bedrohungsanalyse 530
13.2 Schutzziele 530
13.3 Naiver Lösungsansatz 531
13.3.1 Fehler 1: Direkter Zugriff auf Mitarbeiterrechner 531
13.3.2 Fehler 2: Ungeschützte Datenübertragung 532
13.3.3 Fehler 3: Keine redundante Anbindung 536
13.4 Verbesserter Lösungsansatz 537
14 Zulieferer 538
14.1 Bedrohungsanalyse 538
14.2 Schutzziele 539
14.3 Lösungsansätze für E- Mail-Sicherheit 539
14.4 Lösungsansätze für den Zugrigg auf interne Ressourcen 541
14.4.1 VPN-Verbindung 541
14.4.2 Gesicherte Verbindungen zu ALGs 543
14.4.3 Autorisierungsprüfung 544
14.5 Empfohlener Lösungsansatz 544
15 Außendienstmitarbeiter 546
15.1 Analyse 546
15.2 Schutzziele 547
15.3 Schutz des Verkehrs 547
15.3.1 Einsatz von TLS 547
15.3.2 Einsatz eines VPNs 548
15.4 Schutz des mobilen Rechners 549
15.5 Zusammenfassung 550
16 Drahtlose Infrastruktur 552
16.1 Bedrohungsanalyse 552
16.2 Schutzziele 553
16.2.1 Mitarbeiter 553
16.2.2 Gäste 554
16.3 Naiver Ansatz fürs Mitarbeiter- WLAN 554
16.3.1 Fehler 1: Ungesicherter Zugriff 555
16.3.2 Fehler 2: Ungesicherte Datenübertragung 555
16.3.3 Fehler 3: Keine Zugri.skontrolle auf interne Ressourcen 556
16.3.4 Fehler 4: Direkter Zugri. auf Teilnehmer 556
16.4 Verbesserter Lösungsansatz fürs Mitarbeiter-WLAN 556
16.5 Einfacher Ansatz fürs Gäste- WLAN 557
16.5.1 Fehler 1: Unkontrollierte Nutzung 558
16.5.2 Fehler 2: Ungesicherter Zugriff auf Dienste 559
16.5.3 Fehler 3: Direkter Zugriff 560
16.6 Verbesserter Lösungsansatz fürs Gäste- WLAN 560
16.7 Gemeinsamer Lösungsansatz 561
Literatur 564
Abkürzungsverzeichnis 588
Index 592

7 Transportschicht (S. 269-270)

In diesem Abschnitt wird die Sicherheit einiger der im Internet eingesetzten Transportprotokolle diskutiert. Die Transportschicht stellt üblicherweise Dienste zur Verfügung, die einen Datenaustausch von Ende-zu-Ende zwischen Anwendungen ermöglichen. Solche Dienste können unzuverlässig sein, so dass das Transportprotokoll nicht sicherstellt, dass das Datenpaket tatsächlich beim Gegenüber ankommt. Andere Transportdienste können einen zuverlässigen Datenaustausch bereitstellen, so dass sichergestellt wird, dass ein Datenpaket beim Gegenüber unverfälscht ankommt, dass Datenverluste und Duplikate vermieden werden und dass die Daten reihenfolgetreu ausgeliefert werden. Zuverlässige Dienste sind deutlich aufwändiger zu realisieren und umfassen üblicherweise mehr Protokollfunktionen, wie beispielsweise Sequenznummern- und Timerverwaltung, automatische übertragungswiederholung, Prüfsummen oder Fluss- und Staukontrollmechanismen. Bei allen Protokollen kommt die Adressierung der Anwendung mit Hilfe von Portnummern hinzu.

Es sei jedoch bereits an dieser Stelle darauf hingewiesen, dass zuverlässige Transportprotokolle bei der Zustellung von Datenpaketen lediglich versuchen, Fehler zu beheben, die durch unabsichtliches Verfälschen während der übertragung auftreten, wie beispielsweise Paketverlust oder Bitübertragungsfehler. Konventionelle – also nicht-kryptographische – Prüfsummen wie ein CRC (vgl. Abschnitt 4.2.1, S. 103) können zwar mit einer sehr hohen Wahrscheinlichkeit die am häu.gsten vorkommenden Bitfehler erkennen, bieten jedoch keinen Schutz gegenüber absichtlichen Manipulationen. Die in TCP und UDP eingesetzte Internet-Prüfsumme erkennt beispielsweise nicht das Vertauschen von Oktetts.

Die derzeit im Internet hauptsächlich verwendeten Protokolle sind UDP und TCP, wohingegen sich neuere Protokolle wie SCTP oder DCCP erst langsam verbreiten.

7.1 UDP

Das User Datagram Protocol (UDP) [293] erlaubt den unzuverlässigen Austausch von Datenpaketen bis zu einer maximalen Länge der Nutzdaten von 65507 Byte. Die Funktionalität von IP wird um die Anwendungsadressierung mittels Portnummern erweitert, eine 16-Bit-Internet-Prüfsumme über Kopf- und Nutzdaten kann optional eingesetzt werden. Der UDP-Kopf besteht dementsprechend nur aus den Quell- und Zielportnummern, der Gesamtlänge des UDP-Pakets sowie einem Prüfsummenwert.

7.1.1 Bedrohungen

UDP-Pakete sind nicht verschlüsselt, weshalb sie problemlos abgehört werden können. Sofern der Nutzdateninhalt des UDP-Pakets nicht verschlüsselt ist, ist auch dieser gegen Mitlesen ungeschützt.

UDP-Pakete können während der übertragung verloren gehen oder verfälscht werden, ohne dass die sendende UDP-Protokollinstanz etwas davon erfährt. Wie eingangs bemerkt, schützt selbst eine aktivierte UDP-Prüfsumme nicht vor absichtlicher Manipulation. Es stellt daher für einen Angreifer kein Problem dar, ein UDP-Paket beliebig zu verändern (sowohl im Kopf als auch in den Nutzdaten), wenn die UDP-Prüfsumme entsprechend neu berechnet wird. Die Prüfsumme von UDP erstreckt sich über einen IP-Pseudo-Header (dieser umfasst die IP-Adressen, die Protokollnummer und die UDP-Datenlänge), den UDP-Header sowie die Nutzdaten.

Das Fälschen, Einfügen und Wiedereinspielen von UDP-Paketen ist ebenfalls problemlos möglich, da UDP als kontextloses Protokoll nicht einmal eine Beziehung zwischen zwei aufeinanderfolgenden UDP-Paketen zwischen denselben Kommunikationsendpunkten herstellt. Damit ist auch keine Authenti.kation der Kommunikationspartner möglich. Da auch die Information in IP-Paketen normalerweise ungeschützt ist, kann ein Angreifer durch Fälschen der Adressinformation problemlos einen Maskerade-Angri. durchführen.

Problematisch bei UDP ist zudem, dass es über keine Mechanismen zur Staukontrolle verfügt. Daher kann UDP prinzipiell dazu benutzt werden, Datenstr öme mit hoher Bandbreite zu erzeugen. Diese "ungebremsten" UDPDatenstr öme drängen dann üblicherweise andere Transportprotokolle, die Staukontrollmechanismen einsetzen, zurück. Würde im Internet überwiegend UDP eingesetzt, so käme es zu einem staubedingten Kollaps im Internet. Deshalb wird momentan beabsichtigt, mit DCCP (vgl. Abschnitt 7.5, S. 296) ein unzuverlässiges Transportprotokoll für langlebige Datenströme (z. B. Audiooder Videoströme) zu standardisieren, welches gleich mehrere Staukontrollmechanismen bereitstellt.