IT-Security - Internet Sicherheit

Einführung


Ist das Thema der Viren und Würmer bereits ein unüberschaubarer Bereich, muß man sich bei der Computersicherheit allgemein noch mit ein paar Fragen mehr beschäftigen.

Trotzdem, eine saubere Trennung zwischen Internetanwendung und allgemeiner Gefährdung der Rechner durch Viren, Trojaner und anderen speziellen Techniken zum Stören des Systems ist heute kaum noch möglich.

Die Ausbreitung z.B. von Computerviren ist seit Anfang der 80-er Jahre bekannt und hat schon vor Beginn des Internet-Zeitalters erhebliche Schäden angerichtet. Allerdings war die Verbreitung viel gemächlicher, weil sie über den Austausch von Disketten erfolgte. Allerdings war auch die Bekämpfung erheblich schleppender, da sie den gleichen Weg, nämlich über Disketten, ging.

Hier liegt also der Unterschied zwischen klassischen Viren und Viren im Internet: im enormen Geschwindigkeitszuwachs bei der Verbreitung.

Enger mit der Netzwerkproblematik verknüpft sind die Sicherheitslücken, die direkt im System des Rechnernetzes verankert sind. Die Internetprotokolle haben schon bedingt durch ihr Design Defizite, die leicht ausgenutzt werden können. So kann z.B. der klassische "Ping-Befehl", der die Anwesenheit eines Netzwerkelements bestätigt, durch Einsatz mit den richtigen Parametern zum "Ping-of-Death" werden und damit ganze Webserver-Systeme lahm legen.

Eine weitere Problematik bei der Sicherheit heutiger Systeme ist der enorme Zeitdruck bei der Entwicklung von Internet- und insbesondere Web-Software. Sie wird durch den weltweiten Wettbewerb in diesem Markt vorangepeitscht, mit der Folge, dass die Systeme nur selten perfekt implementiert und ausgetestet sind. Dies beginnt auf der Seite der Server-Hersteller wie Microsoft oder Apache und endet beim Skript zur Abfrage der Userdaten auf einer Unternehmenshomepage.

Neben der Gefährdung der Systeme durch Angriffe besteht ausserdem noch das Problem der Abhörsicherheit beim Datentransfer. Vor der Öffnung des Internets ging kommerzieller Betrieb hauptsächlich über die recht sicheren Telefon- und Faxleitungen.

DOS, DDOS

Bandbreitenverschwendung

Jedes Netzwerk kann nur eine endliche Menge Datenverkehr gleichzeitig bewältigen. Die Menge hängt von der Netzwerkgeschwindigkeit ab und dem verwendeten Equipment. Mögliche Angriffspunkte sind auch Fehlkonfigurationen von Routern, Switches oder anderem Equipment.

Resourcenverschwendung

Speicher, Prozessor- und Arbeitsspeicherkapazität kann aufgebraucht werden, Überschwemmen mit Verbindungsanfragen

Webserver sind gute Beispiele für DoS-Attacken

System- und Anwendungsabstürze

Ausnutzung von Programmierfehlern, z.B. Ping-of-Death, fehlerhafte Implementierung des Ping-Programmes.

Weitere Beispiele:

Mailbomben – große Anzahl von E-Mails, die an jemanden gerichtet wird. Blockieren den Mailserver, können Mailserver zum Absturz bringen

Spoofing

Spoofing, um an Passwörter heranzukommen:
z.B. Ausspionieren von Zugangsdaten zu Online-Banking.

Als Schutz werden SSL- und SET-Verbindungen eingesetzt, die eine sichere Übertragung des http-Protokolls gewährleisten.

Der Schwachpunkt liegt darin, dass schon die erste Anfrage des Homebanking-Clients vor Aufbau einer sicheren Verbindung abgefangen und auf den Rechner des Hackers geleitet werden kann. (Ausschalten und Manipulieren bestimmter Router auf dem Weg). Auf dem Rechner des Hackers kann nun z.B. ein Java-Programm ablaufen, das genauso aussieht wie das Online-Banking-Programm, um die Passworte und TANs zu empfangen.

Spoofing, um Anfragen aus dem internen Netz vorzugaukeln: Ein Hacker, der interne IP-Adressen kennt, kann versuchen, Anfragen in das Firmennetz zu starten und die Antworten auf seinen Rechner umleiten.

Der Internet-Browser


HTTP-Header, Webbugs, Javascript

Im HTTP-Header, den der Browser dem Server bei einer Anfrage liefert, wird auch der HTTP-Referrer übertragen, der dem Server mitteilt, auf welcher Seite sich der Benutzer zuletzt aufgehalten hat.

Web-Bugs sind wenige Pixel große GIFs, die nicht etwa die Gestaltung unterstützen (BlindGIF) sondern von einem fremden Server angerufen werden und den Transport von Informationen dienen.

Ein solcher Web-Bug übermittelt die IP-Adresse, die URL der besuchten Website, den Zeitpunkt, an dem der Web-Bug angeschaut wurde sowie den Browsertyp. Außerdem können Informationen über zuvor gesetzte Cookies übermittelt werden, was die Geschichte besonders anrüchig macht. Der Besucher merkt davon überhaupt nichts. Das selbe Prinzip funktioniert auch mit HTML-Emails, so dass man feststellen kann, ob eine Emails geöffnet wurde und wann genau das geschehen ist.

Das Verfahren wird häufig im Zusammenhang mit Werbebannern eingesetzt, aber nicht nur.

Mithilfe von Javascript können weitere zusätzliche Informationen abgerufen werde: CPU-Typ, Größe des Bildschirms, Farbtiefe, Fenstergrößen, lokale Uhrzeit, Zeitzone, Zahl der bereits besuchten Seiten seit der Browsersitzung, aktivierte Scriptsprachen und Plug-Ins, Visual-Basic-Status!! (falls aktiviert kann man fast ungestört auf das Betriebssystem zugreifen!)

Mithilfe von aktivierten Cookies kann man Sie fast eindeutig im Internet identifizieren.

Die IP-Adresse schließlich ermöglicht einen Scan des Rechners (Port-Scan nach vorhanden Diensten und Ports)

Cross-Site-Scripting

Viele Sites werden inzwischen aus Benutzereingaben dynamisch erzeugt. Gästebücher! Aus diesen Eingaben müssen HTML-Tags gefiltert werden. Andernfalls könnte ein Benutzer z.B. mithilfe des SCRIPT-Tags ein JavaScript-Programm in die dynamisch erzeugt Seite "einschmuggeln", das die sogenannte "Same-Origin-Policy" umgeht. Die Same-Origin-Policy besagt, dass ein Javascript nurmit dem Javascript der gleichen Quelle kommunizieren kann. Man könnte also einen HTML-Code in ein Gästebuch einfügen, der einen Link anzeigt. Bei Klick auf den Link könnte aber wiederum ein verstecktes Script ausgeführt werden, ohne das der Benutzer es merkt, um z.B. lokale Daten auszulesen.


Säulen der IT-Sicherheit

1)Physische Sicherheit
Besonders wichtig, wenn zeitkritische Transaktionen über Ihr System abgewickelt werden – da können schon kürzeste Ausfälle spürbar teuer werden.

Hier lohnt es sich, im Zuge einer Schutzbedarfsermittlungund Notfallplanung die Verfügbarkeit der einzelnen Systeme auf den Prüfstand zu stellen.

Hierzu gehören auch Überlegungen wie, was passiert bei einem Brand oder Wassereinbruch?

2)Datensicherheit und Verfügbarkeit
Virenscanner für den Mailverkehr, damit dieser nicht lahm liegt, am besten einen für den Netzverkehr und einen auf den Clients.

Sinnvoll angelegt Benutzerrechte gehören ebenso in diesen Bereich wie eine Firewall die Bereiche abschottet.

Unbenötigte Dienste gehören abgeschaltet.


3)Kommunikationssicherheit
Das Rückgrat der IT –

Wird am ehesten mit IT-Sicherheit in Verbindung gebracht.

- Hierher gehört der gesicherte Zugang zum Internet (Firewall mit Content-Filter?) ebenso wie ein VPN, um dem Benutzer von zu Hause aus ins Netzwerk zu lassen.

Installationen von IDS runden dieses Szenario ab.

Wer neuere Technologien wie Wireless LAN benutzt sollte ebenfalls Gedanken um die verwendete Verschlüsselungstechnologie machen.

Und nicht zuletzt: Setzen Sie Verschlüsselungstechnologien z.B. für den Mail-Verkehr ein. Ein Bereich zu dem wir gleich noch kommen.


Operationelle Sicherheit

Hierunter zählt man Mitarbeiter-Schulung und –Sensibilisierung. Es ist somit der wichtigste Punkt überhaupt, ohne den man alle anderen eigentlich vernachlässigen kann.

Ausserdem sind in diesem Punkt in der Zukunft immer mehr Angriffe zu erwarten, da die technischen Maßnahmen zum Schutz eines Netzes immer höher werden.

Dass Paswörter nicht am Monitor kleben dürfen, sollte bekannt sein. Aber auch Vorgaben, wie ein Passwort auszusehen hat und wie oft es zu wechseln ist, kann ein System sicherer machen.

Und nicht zuletzt ein gesundes Misstrauen gegenüber scheinbar harmlosen Fragen dritter, denn die größte Gefahr für Unternehmen droht von den Social Engineers.

Firewalls

Was sie können – was sie nicht können

  • sind Zentren für Sicherheitsmaßnahmen
  • können die Sicherheitspolitik durchsetzen
  • können effizient alle Internet-Aktivitäten protokollieren
  • verkleinern die Angriffsfläche
  • können nicht vor bösartigen Insidern schützen (oder Angriffen aus dem internen Netz)
  • können nicht vor Verbindungen schützen, die nicht über sie laufen ("Schleichwege" wie ungesicherte Modemzugänge kann man auch mit der besten Firewall nicht schützen)
  • können nicht vor völlig neuen Gefahren schützen ("Ping-of-Death")
  • können nicht vor Viren schützen
  • reichen niemals als einziges Mittel aus

Brute-Force-Hacking

Probiert schlicht alle Möglichkeiten von Zeichenkombinationen als Passwörter durch

Dictionary-Hack

Das Knack-Programm greift auf Wörterbücher zurück

Gefahr oft theoretisch, da zur Durchführung mehrere tausend Passwörter pro Sekunde getestet werden müssen, Anbieter aber Sperrmechanismen haben.

SSL – Secure Socket Layer

Von Netscape vorgeschlagen und eingeführt
Aktuell: Version SSL3.0

Bei SSL erhält jeder Teilnehmer den öffentlichen Schlüssel des anderen Teilnehmers. Nach Austausch des öffentlichen Schlüssels generiert der Server einen Sitzungsschlüssel, den er wiederum verschlüsselt an den Client schickt.

Der Client dechiffriert mit Hilfe seines Private Keys den Sitzungsschlüssel. Somit kann die Datenübertragung beginnen.

Der Server schickt zusätzlich noch einen Fingerprint (Digitale Signatur) aus dem Datenstrom mit. (Integrität des Datenstromes)

VPN-Tunnel

Verschlüsselte, logische Privatnetzwerke, auch über das Internet.

Basieren auf IPsec,Können Software- oder Hardware-basiert sein.
Windows2000/XP und Linux besitzen IPsec-Implementierungen.

VPN-Gateways in Hardware sind kostengünstiger und sicherer (fokussierte Funktionalität)

Methoden zur Authentifizierung und Verschlüsselung auf IP-Ebene.

Sicherer Verkehr


E-Mail ist die am wenigsten geschützte Kommunikationsform. Kein Mensch würde je auf die Idee kommen, Postkarten zu benutzen um darauf Vertragsentwürfe zu verschicken. Mit E-Mails werden jedoch tagtäglich tausende vertrauliche Dokumente ungeschützt versendet.

Digitale Signaturen


Die Digitale Signatur besitzt dieselbe Funktion wie die Unterschrift im normalen Rechtsverkehr.

Bei der Verschlüsselung unterscheidet man hierbei symetrische und asymetrische Verschlüsselungsverfahren.

Bei der symetrischen Verschlüsselung wird für den Verschlüsselungprozeß von Sender und Empfänger der gleiche Schlüssel verwendet.

Im Gegensatz dazu besitzt bei der asymetrischen Verschlüsselung jeder Kommunikationsteilnehmer zwei Schlüssel. Den privaten Schlüssel bewahrt er vor dem Zugriff anderer an einem sicheren Ort auf. Der öffentliche Schlüssel hingegen wird für jedermann frei zur Verfügung gestellt.

Verschlüsselt wird mit dem öffentlichen Schlüssel, entschlüsselt werden kann die Nachricht danach nur noch mit Hilfe des geheimen Schlüssels des Empfängers.

Um Digitale Signaturen anzuwenden benutzt man i.d.R. asymetrische Verschlüsselungsverfahren.

·Zwei Schlüssel zum Chiffrieren und Dechiffrieren einer Nachricht
  • Private Key ist nur Verfasser bekannt
  • Public Key liegt öffentlich vor
·Zertifikat belegt die Identität des Key-Besitzers

Auf den Nachrichtentext wird eine sogenannte Hash-Funktion angewendet, die eine eindeutige Kurzform des Ursprungstextes erstellt, und diese wird ebenfalls verschlüsselt. (Fingerprint)

Nach der Entschlüsselung wird ebenfalls das Hash-Verfahren angewandt und verglichen. (meistens MD5)

Außerdem wird die Nachricht mit einem Zeitstempel versehen.

Also: Um eine Nachricht zu signieren, erzeugt der Absender zunächst mit Hilfe einer Hash-Funktion einen eindeutigen Fingerabdruck der Nachricht. Dieser Fingerabdruck wird anschließend mit dem geheimen Schlüssel verschlüsselt und zusammen mit der Nachricht versendet.

Der Empfänger entschlüsselt den Fingerabdruck mit dem öffentlichen Schlüssel des Absenders.

Zusätzlich bildet er mit der gleichen Hash-Funktion einen Fingerabruck der empfangenen Nachricht. Sind der entschlüsselte und der selbst gebildete Fingerabdruck identisch, ist die Authentizitätdes Absenders und die Unverfälschtheit der Nachricht garantiert.

Zusätzlich belegt ein Zertifikat (Digitale Bestätigung) einer Zertifizierungsstelle die Identität des Schlüssel-Besitzers. Dazu muss man seinen öffentlichen Schlüssel bei einer Zertifizierungsstelle registrieren lassen.

Ein Zertifikat zeigt also, dass ein Schlüssel zu einer Person gehört.


E-Mail-Verschlüsselung mit PGP

Die Digitale Signatur gewährleistet nur die Unverfälschtheit der Nachricht und des Absenders. Um auch den Mail-Text zu verschlüsseln, bietet sich eine Verschlüsselung mit PGP an.

Die bekanntesten Verfahren für eine clientseitige E-Mail-Security-Lösung sind PGP und S/Mime.

Über Plugins wird PGP direkt in die Mail-Clients integriert und kann dann Mails ver- und entschlüsseln und signieren.

Für den Einsatz von PGP muß jeder Kommunikationsteilnehmer ein Schlüsselpaar generieren.

Den erzeugten öffentlichen Schlüssel überträgt er auf einen Server oder schickt ihn direkt an alle anderen Kommunikationspartner.

Diese verwenden den Schlüssel, um an sie gerichtete Nachrichten zu entschlüsseln oder die Signatur zu prüfen.

Anders als PGP verwendet S/Mime keine Schlüssel, die über einen öffentlichen Server ausgetauscht werden, sondern setzt Zertifikate ein. In dem Zertifikat befindet sich der öffentliche Schlüssel und zusätzliche Informationen über den Zertifikatsinhaber. Die Echtheit wird durch eine Certification-Authority (CA) beglaubigt und mit einem Gültigkeitsstempel versehen.

Für den Versand einer mit S/Mime verschlüsselten Nachricht muss der Sender im Besitz der Zertifikate der Empfänger sein, ebenso zur Prüfung einer Signierten Nachricht.

Bei S/Mime ist prinzipiell eine übergeordnete CA notwendig.