Zabezpečení sítě
Zabezpečení sítě (známé také jako zabezpečení sítě ) není jediným pevně stanoveným termínem, ale zahrnuje všechna opatření pro plánování, implementaci a monitorování zabezpečení v počítačových sítích . Tato opatření nejsou pouze technické povahy, ale týkají se také organizace (např. Pokyny, které regulují, co by měli mít provozovatelé sítě povoleno), provozu (jak mohu v praxi aplikovat zabezpečení v síti, aniž by došlo k narušení provozu na současně?) a nakonec také o zákonech (jaká opatření lze použít?).
prohlubující se
Samotnou bezpečnost lze vidět pouze v relativních pojmech a ne v pevném stavu. Na jedné straně je třeba vzít v úvahu, jak cenná jsou data, která cirkulují v síti, a na druhé straně síť vždy podléhá změnám v důsledku rozšiřování a technického rozvoje, což se musí promítnout i do změněné bezpečnosti architektura. Zvýšení v oblasti bezpečnosti je často spojeno se zvyšováním překážek při používání.
Téma zabezpečení často začíná otázkou, jak lze síť chránit proti vnějšímu přístupu ( firewall / DMZ ). Uživatelé mohou využívat prostředky sítě až po identifikaci a následné autentizaci a autorizaci . Počítače jsou často monitorovány , aby bylo možné detekovat ohrožení počítače v síti. To lze provést interně (jsou data stále konzistentní? Došlo ke změnám?) Nebo také externě (jsou služby počítače stále přístupné a funkční?). Potenciální ztrátě dat v důsledku vadného softwaru, nesprávné činnosti, nedbalosti nebo opotřebení hardwaru souvisejícího s věkem předchází záloha dat , která se poté ukládá samostatně. Mezerám v zabezpečení softwaru lze čelit včasnou instalací aktualizací softwaru . Dodatečné zabezpečení lze zvýšit použitím určitého softwaru, který je považován za bezpečný, protože je to např. B. podléhá licenci open source . Může také nastat opačný případ: software, který je považován za nebezpečný, může být zakázán. Vyškolením uživatelů může vzniknout potřeba zabezpečení nebo povědomí o problémech tím, že se sdělí, že data v síti jsou velmi cenná. To by mělo uživateli umožnit porozumět opatřením a nepodkopávat je psaním složitých hesel na kousky papíru a jejich lepením na monitor. Nakonec lze fyzický přístup k samotné síti omezit pomocí řízení přístupu.
Vzhledem k tomu, že se zvyšuje počet sítí v síti Internet , hraje stále důležitější roli také otázka zabezpečení sítě. Infrastruktury společností se stávají komplikovanějšími, stále více informací musí být k dispozici a / nebo spravováno online ...
Možné útoky
Jak různorodé jsou sítě, tak rozmanité jsou možnosti útoku v síti. V mnoha případech se k dosažení jednoho cíle kombinuje více útoků.
Útoky na software (implementace)
Protože komunikační sítě vždy sestávají z (velkého) počtu systémů, jsou velmi často právě tyto systémy napadeny komunikační sítí. Mnoho útoků se zaměřuje na slabiny softwaru (implementace):
- Přetečení vyrovnávací paměti - zejména v programech v programovacím jazyce C se často setkáte s chybou, že se přepíše zápis za vyrovnávací paměť a další data nebo řídicí informace
- Stack Smashing - toto přepíše např. B. přetečení vyrovnávací paměti v zásobníku programu, což umožňuje zavedení a spuštění škodlivých rutin ( exploit )
- Formátování řetězcových útoků - výstupní rutiny, jako je printf, používají k úpravě výstupu formátovací řetězec. Použitím velmi zvláštních pokynů k formátování lze oblasti paměti přepsat.
Útoky na síťové protokoly
- Útok typu man-in-the-middle - pokud se vzájemné ověřování neprovádí, útočník předstírá komunikační partnery do druhého (např. Telnet , rlogin , SSH , GSM , XAUTH od společnosti Cisco)
- Neoprávněné použití zdrojů - pokud neexistuje zabezpečené ověřování nebo zabezpečená autorizace (např. Přihlášení)
- Čtení dat a řídicích informací - všechny nezašifrované protokoly jako POP3 , IMAP , SMTP , Telnet , rlogin , http
- Infiltrace dat nebo informací - jakýkoli protokol bez dostatečného ověření zpráv, jako je POP3 , SMTP , Telnet , rlogin , http
-
Tunely lze použít k vložení provozu do povolených protokolů (např. Http). To může obejít pravidla brány firewall. Podrobnější popis naleznete v části [1] .
- Příklad: Klient SSH naváže připojení k serveru mimo interní síť pomocí protokolu https a proxy. Tím se obchází pravidla, která řídí provoz SSH do vnějšího světa. Toto připojení lze také obrátit, čímž se spojení přepne z vnějšku do interní sítě.
- Ovládací prvek vyžaduje příslušná pravidla v proxy, účinek omezení metod CONNECT nebo POST. Filtr URL UfdbGuard umožňuje detekovat a blokovat https tunely.
Útoky na strukturu sítě
- Přetížení služeb se označuje jako útok Denial-of-Service (DoS). Speciálně distribuované útoky DoS se také označují jako distribuované útoky denial of service (DDoS). Útoky, které obejdou pouze s jedním balíčkem, například: B. útok TCP-SYN, protože adresu odesílatele a tím i původ lze zfalšovat.
Kamufláž před útoky
- Fragmentace paketů, zejména v případě překrývajících se fragmentů, lze použít ke skrytí útoků před detektory útoků
- Spoofing - padělání většinou adres odesílatele za účelem maskování původu paketů (viz také firewall )
Související útoky (distribuovaná struktura je obvykle zvýhodňuje)
- Sociální inženýrství je proces využívání sociálních aspektů k dosažení určitých cílů, např. B. obejití hesla.
- Hesla lze získat za účelem získání přístupu ke službám. Pokud je to provedeno vyzkoušením všech možností, hovoří se o útoku hrubou silou .
- Špatná instalace může učinit útok standardními hesly úspěšnými.
- Data pocházející z vnějšího světa nejsou kontrolována z hlediska platnosti, ale jsou přijímána jako „správná“ ( zkažená data nebo skriptování napříč weby a vkládání SQL ).
- Záplavy nesmyslnými nebo nevyžádanými e-maily se označují jako UBE („nevyžádaný hromadný e-mail“) a, zejména pokud jde o reklamu, jako UCE („nevyžádaný komerční e-mail“).
- Červi , trojské koně , dialery nebo viry
- Důvěryhodnost a snadná technická možnost předstírání falešných webů lze využít phishingem .
- Důvěryhodnost umožňuje uživatelům spouštět neznámé programy, které byly odeslány e-mailem.
prevence
Preventivní opatření jsou stejně různorodá jako možnosti útoku. Pomocí autentizace je uživatel rozpoznán a přiřazena práva, na která má nárok ( autorizace ). Jeden hovoří o jednotném přihlášení , v takovém případě by pro použití všech povolených zdrojů mělo být nutné pouze jediné přihlášení. Kerberos , který nyní tvoří základ pro sítě Windows, je velmi rozšířený . To bylo původně vyvinuto MIT .
Zabezpečení počítačových sítí je předmětem mezinárodních standardů pro zajištění kvality . Důležitými standardy jsou v této souvislosti především americké standardy TCSEC a evropské standardy ITSEC, jakož i novější standard Common Criteria . V Německu je bezpečnost obvykle certifikována Federálním úřadem pro informační bezpečnost .
Protokoly, architektury a komponenty
- Kerberos - pro ověřování, autorizaci a fakturaci
- X.509 - standard pro certifikáty a jejich infrastrukturu
- IPsec - nejvýkonnější (a nejsložitější) protokol pro ochranu připojení
- SSL / TLS - nejpoužívanější bezpečnostní protokol. Chrání například protokol http , který se pak označuje jako https.
- S / MIME , PGP - standardy pro ochranu e-mailů
- EAP - modulární protokol pro autentizaci např. B. WPA , TLS a IPsec .
- Brány firewall - pro filtrování paketů. Zde mohou být padělané pakety cíleně zahozeny.
- IDS detekují útoky.
- Honeypoty - pro rychlou detekci známých bezpečnostních mezer a vektorů útoků.
Viz také
literatura
- Roland Bless mimo jiné: Zabezpečená síťová komunikace. Základy, protokoly a architektury. Springer Verlag, Berlin et al. 2005, ISBN 3-540-21845-9 ( X.systems.press ).
- Hackerův průvodce. Zabezpečení na internetu a v místní síti. Limitovaná speciální edice. Markt-und-Technik-Verlag, Mnichov 2001, ISBN 3-8272-6136-8 ( nová technologie ).
- Günter Schäfer : Zabezpečení sítě. Algoritmické základy a protokoly. dpunkt-Verlag, Heidelberg 2003, ISBN 3-89864-212-7 ( dpunkt.lehrbuch ).
- Markus Schumacher , Utz Rödig, Marie-Luise Moschgath: Hacker Contest. Bezpečnostní problémy, řešení, příklady. Springer, Berlin et al. 2003, ISBN 3-540-41164-X ( Xpert.press ).
- Christoph Sorge, Nils Gruschka, Luigi Lo Iacono: Zabezpečení v komunikačních sítích. Oldenbourg Wissenschaftsverlag, Mnichov 2013, ISBN 978-3-486-72016-7 .
- Clifford Stoll : Kukaččí vejce. Hon na německé hackery, kteří rozbili Pentagon. Aktualizováno nové vydání. Fischer-Taschenbuch-Verlag, Frankfurt nad Mohanem 1998, ISBN 3-596-13984-8 ( Fischer 13984).
- Steffen Wendzel , Johannes Plötner : Praktická kniha o zabezpečení sítě: Analýza rizik, metody a implementace. (Optimální ochrana sítě a serveru, pro systémy Unix, Linux a Windows. VPN, OpenVPN, základní ochrana IT, penetrační testování, viry, červy a trojské koně). 2. aktualizované a rozšířené vydání. Galileo Press, Bonn 2007, ISBN 978-3-89842-828-6 ( Galileo Computing ). K dispozici ke stažení na ResearchGate.net .
webové odkazy
- http://www.opensecurityarchitecture.org Otevřená komunita pro vývoj bezpečnostní architektury založené na standardech
- http://www.securityfocus.com/
- IT-Grundschutz (Federální úřad pro informační technologie)
- http://www.sans.org/
- Přednáška o zabezpečení sítě na TU Ilmenau
- Přednáška o zabezpečení sítě na Karlsruhe Institute of Technology (KIT)