Zabezpečení sítě

Zabezpečení sítě (známé také jako zabezpečení sítě ) není jediným pevně stanoveným termínem, ale zahrnuje všechna opatření pro plánování, implementaci a monitorování zabezpečení v počítačových sítích . Tato opatření nejsou pouze technické povahy, ale týkají se také organizace (např. Pokyny, které regulují, co by měli mít provozovatelé sítě povoleno), provozu (jak mohu v praxi aplikovat zabezpečení v síti, aniž by došlo k narušení provozu na současně?) a nakonec také o zákonech (jaká opatření lze použít?).

prohlubující se

Samotnou bezpečnost lze vidět pouze v relativních pojmech a ne v pevném stavu. Na jedné straně je třeba vzít v úvahu, jak cenná jsou data, která cirkulují v síti, a na druhé straně síť vždy podléhá změnám v důsledku rozšiřování a technického rozvoje, což se musí promítnout i do změněné bezpečnosti architektura. Zvýšení v oblasti bezpečnosti je často spojeno se zvyšováním překážek při používání.

Téma zabezpečení často začíná otázkou, jak lze síť chránit proti vnějšímu přístupu ( firewall / DMZ ). Uživatelé mohou využívat prostředky sítě až po identifikaci a následné autentizaci a autorizaci . Počítače jsou často monitorovány , aby bylo možné detekovat ohrožení počítače v síti. To lze provést interně (jsou data stále konzistentní? Došlo ke změnám?) Nebo také externě (jsou služby počítače stále přístupné a funkční?). Potenciální ztrátě dat v důsledku vadného softwaru, nesprávné činnosti, nedbalosti nebo opotřebení hardwaru souvisejícího s věkem předchází záloha dat , která se poté ukládá samostatně. Mezerám v zabezpečení softwaru lze čelit včasnou instalací aktualizací softwaru . Dodatečné zabezpečení lze zvýšit použitím určitého softwaru, který je považován za bezpečný, protože je to např. B. podléhá licenci open source . Může také nastat opačný případ: software, který je považován za nebezpečný, může být zakázán. Vyškolením uživatelů může vzniknout potřeba zabezpečení nebo povědomí o problémech tím, že se sdělí, že data v síti jsou velmi cenná. To by mělo uživateli umožnit porozumět opatřením a nepodkopávat je psaním složitých hesel na kousky papíru a jejich lepením na monitor. Nakonec lze fyzický přístup k samotné síti omezit pomocí řízení přístupu.

Vzhledem k tomu, že se zvyšuje počet sítí v síti Internet , hraje stále důležitější roli také otázka zabezpečení sítě. Infrastruktury společností se stávají komplikovanějšími, stále více informací musí být k dispozici a / nebo spravováno online ...

Možné útoky

Jak různorodé jsou sítě, tak rozmanité jsou možnosti útoku v síti. V mnoha případech se k dosažení jednoho cíle kombinuje více útoků.

Útoky na software (implementace)

Protože komunikační sítě vždy sestávají z (velkého) počtu systémů, jsou velmi často právě tyto systémy napadeny komunikační sítí. Mnoho útoků se zaměřuje na slabiny softwaru (implementace):

• Přetečení vyrovnávací paměti - zejména v programech v programovacím jazyce C se často setkáte s chybou, že se přepíše zápis za vyrovnávací paměť a další data nebo řídicí informace
• Stack Smashing - toto přepíše např. B. přetečení vyrovnávací paměti v zásobníku programu, což umožňuje zavedení a spuštění škodlivých rutin ( exploit )
• Formátování řetězcových útoků - výstupní rutiny, jako je printf, používají k úpravě výstupu formátovací řetězec. Použitím velmi zvláštních pokynů k formátování lze oblasti paměti přepsat.

Útoky na síťové protokoly

• Útok typu man-in-the-middle - pokud se vzájemné ověřování neprovádí, útočník předstírá komunikační partnery do druhého (např. Telnet , rlogin , SSH , GSM , XAUTH od společnosti Cisco)
• Neoprávněné použití zdrojů - pokud neexistuje zabezpečené ověřování nebo zabezpečená autorizace (např. Přihlášení)
• Čtení dat a řídicích informací - všechny nezašifrované protokoly jako POP3 , IMAP , SMTP , Telnet , rlogin , http
• Infiltrace dat nebo informací - jakýkoli protokol bez dostatečného ověření zpráv, jako je POP3 , SMTP , Telnet , rlogin , http
• Tunely lze použít k vložení provozu do povolených protokolů (např. Http). To může obejít pravidla brány firewall. Podrobnější popis naleznete v části [1] .
  • Příklad: Klient SSH naváže připojení k serveru mimo interní síť pomocí protokolu https a proxy. Tím se obchází pravidla, která řídí provoz SSH do vnějšího světa. Toto připojení lze také obrátit, čímž se spojení přepne z vnějšku do interní sítě.
  • Ovládací prvek vyžaduje příslušná pravidla v proxy, účinek omezení metod CONNECT nebo POST. Filtr URL UfdbGuard umožňuje detekovat a blokovat https tunely.

Útoky na strukturu sítě

• Přetížení služeb se označuje jako útok Denial-of-Service (DoS). Speciálně distribuované útoky DoS se také označují jako distribuované útoky denial of service (DDoS). Útoky, které obejdou pouze s jedním balíčkem, například: B. útok TCP-SYN, protože adresu odesílatele a tím i původ lze zfalšovat.

Kamufláž před útoky

• Fragmentace paketů, zejména v případě překrývajících se fragmentů, lze použít ke skrytí útoků před detektory útoků
• Spoofing - padělání většinou adres odesílatele za účelem maskování původu paketů (viz také firewall )

Související útoky (distribuovaná struktura je obvykle zvýhodňuje)

• Sociální inženýrství je proces využívání sociálních aspektů k dosažení určitých cílů, např. B. obejití hesla.
• Hesla lze získat za účelem získání přístupu ke službám. Pokud je to provedeno vyzkoušením všech možností, hovoří se o útoku hrubou silou .
• Špatná instalace může učinit útok standardními hesly úspěšnými.
• Data pocházející z vnějšího světa nejsou kontrolována z hlediska platnosti, ale jsou přijímána jako „správná“ ( zkažená data nebo skriptování napříč weby a vkládání SQL ).
• Záplavy nesmyslnými nebo nevyžádanými e-maily se označují jako UBE („nevyžádaný hromadný e-mail“) a, zejména pokud jde o reklamu, jako UCE („nevyžádaný komerční e-mail“).
• Červi , trojské koně , dialery nebo viry
• Důvěryhodnost a snadná technická možnost předstírání falešných webů lze využít phishingem .
• Důvěryhodnost umožňuje uživatelům spouštět neznámé programy, které byly odeslány e-mailem.

prevence

Preventivní opatření jsou stejně různorodá jako možnosti útoku. Pomocí autentizace je uživatel rozpoznán a přiřazena práva, na která má nárok ( autorizace ). Jeden hovoří o jednotném přihlášení , v takovém případě by pro použití všech povolených zdrojů mělo být nutné pouze jediné přihlášení. Kerberos , který nyní tvoří základ pro sítě Windows, je velmi rozšířený . To bylo původně vyvinuto MIT .

Zabezpečení počítačových sítí je předmětem mezinárodních standardů pro zajištění kvality . Důležitými standardy jsou v této souvislosti především americké standardy TCSEC a evropské standardy ITSEC, jakož i novější standard Common Criteria . V Německu je bezpečnost obvykle certifikována Federálním úřadem pro informační bezpečnost .

Protokoly, architektury a komponenty

• Kerberos - pro ověřování, autorizaci a fakturaci
• X.509 - standard pro certifikáty a jejich infrastrukturu
• IPsec - nejvýkonnější (a nejsložitější) protokol pro ochranu připojení
• SSL / TLS - nejpoužívanější bezpečnostní protokol. Chrání například protokol http , který se pak označuje jako https.
• S / MIME , PGP - standardy pro ochranu e-mailů
• EAP - modulární protokol pro autentizaci např. B. WPA , TLS a IPsec .
• Brány firewall - pro filtrování paketů. Zde mohou být padělané pakety cíleně zahozeny.
• IDS detekují útoky.
• Honeypoty - pro rychlou detekci známých bezpečnostních mezer a vektorů útoků.

Viz také

• Bezpečnost dat
• Katastrofa
• špionáž
• Šifrování
• X.800
• Kyberprostor

literatura

• Roland Bless mimo jiné: Zabezpečená síťová komunikace. Základy, protokoly a architektury. Springer Verlag, Berlin et al. 2005, ISBN 3-540-21845-9 ( X.systems.press ).
• Hackerův průvodce. Zabezpečení na internetu a v místní síti. Limitovaná speciální edice. Markt-und-Technik-Verlag, Mnichov 2001, ISBN 3-8272-6136-8 ( nová technologie ).
• Günter Schäfer : Zabezpečení sítě. Algoritmické základy a protokoly. dpunkt-Verlag, Heidelberg 2003, ISBN 3-89864-212-7 ( dpunkt.lehrbuch ).
• Markus Schumacher , Utz Rödig, Marie-Luise Moschgath: Hacker Contest. Bezpečnostní problémy, řešení, příklady. Springer, Berlin et al. 2003, ISBN 3-540-41164-X ( Xpert.press ).
• Christoph Sorge, Nils Gruschka, Luigi Lo Iacono: Zabezpečení v komunikačních sítích. Oldenbourg Wissenschaftsverlag, Mnichov 2013, ISBN 978-3-486-72016-7 .
• Clifford Stoll : Kukaččí vejce. Hon na německé hackery, kteří rozbili Pentagon. Aktualizováno nové vydání. Fischer-Taschenbuch-Verlag, Frankfurt nad Mohanem 1998, ISBN 3-596-13984-8 ( Fischer 13984).
• Steffen Wendzel , Johannes Plötner : Praktická kniha o zabezpečení sítě: Analýza rizik, metody a implementace. (Optimální ochrana sítě a serveru, pro systémy Unix, Linux a Windows. VPN, OpenVPN, základní ochrana IT, penetrační testování, viry, červy a trojské koně). 2. aktualizované a rozšířené vydání. Galileo Press, Bonn 2007, ISBN 978-3-89842-828-6 ( Galileo Computing ). K dispozici ke stažení na ResearchGate.net .

webové odkazy

• http://www.opensecurityarchitecture.org Otevřená komunita pro vývoj bezpečnostní architektury založené na standardech
• http://www.securityfocus.com/
• IT-Grundschutz (Federální úřad pro informační technologie)
• http://www.sans.org/
• Přednáška o zabezpečení sítě na TU Ilmenau
• Přednáška o zabezpečení sítě na Karlsruhe Institute of Technology (KIT)