Lektion 'Bestimmen von Schutzmaßnahmen zur Netzwerksicherheit'

Netzwerksicherheit – Wikipedia

gute Belege einfügst.

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen ) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und

Netzwerksicherheit (auch Netzsicherheit) ist kein einzelner feststehender Begriff, sondern umfasst alle Maßnahmen zur Planung, Ausführung und Überwachung der Sicherheit in Rechnernetzen. Diese Maßnahmen sind nicht nur technischer Natur, sondern beziehen sich auch auf die Organisation (z. B. Richtlinien, in denen geregelt wird, was die Betreiber des Netzwerkes dürfen sollen), den Betrieb (Wie kann ich Sicherheit im Netzwerk in der Praxis anwenden, ohne gleichzeitig den Ablauf des Betriebs zu stören?) und schließlich auch auf das Recht (Welche Maßnahmen dürfen eingesetzt werden?).

Sicherheit an sich ist dabei immer nur relativ zu sehen und kein fester Zustand. Einerseits muss überlegt werden, wie wertvoll die Daten sind, die im Netzwerk kursieren und andererseits ist das Netzwerk durch Ausbau und technische Weiterentwicklung immer Veränderungen unterworfen, die sich auch in geänderter Sicherheitsarchitektur widerspiegeln müssen. Steigerungen im Bereich der Sicherheit sind oft mit größer werdenden Hürden bei der Benutzung einhergehend.

Das Thema Sicherheit beginnt oft mit der Frage, wie ein Netz gegen den Zugriff von außen geschützt werden kann (Firewall/DMZ). Anwender können die Ressourcen des Netzwerks erst nach einer Identifizierung und einer anschließenden Authentifizierung und Autorisierung nutzen. Damit eine Kompromittierung eines Rechners im Netzwerk erkannt werden kann, werden Rechner oft überwacht. Dies kann intern (Sind die Daten noch konsistent? Sind Veränderungen aufgetreten?) oder auch extern (Sind die Dienste des Rechners noch erreichbar und funktional?) geschehen. Potentieller Datenverlust durch fehlerhafte Software, Fehlbedienung, Fahrlässigkeit oder Altersverschleiß der Hardware wird durch eine Datensicherung verhindert, die dann separat gelagert wird. Sicherheitslücken in Software kann durch das rechtzeitige Einspielen von Softwareaktualisierungen entgegengewirkt werden. Zusätzliche Sicherheit kann noch durch den Einsatz bestimmter Software erhöht werden, die als sicher gilt, weil sie z. B. einer Open-Source-Lizenz unterliegt. Auch der entgegengesetzte Fall kann vorkommen: Software, die als unsicher gilt, kann verboten werden. Durch Schulung der Anwender kann ein Sicherheitsbedürfnis oder Problembewusstsein entstehen, indem man vermittelt, dass die Daten eines Netzwerkes sehr wertvoll sind. Dadurch soll der Anwender Verständnis für die Maßnahmen aufbringen und sie nicht unterlaufen, indem er komplizierte Passwörter auf Zettel schreibt und diese an seinen Monitor klebt. Schließlich kann der physische Zugang zum Netzwerk selbst noch mit Hilfe von Zugangskontrollen beschränkt werden.

Weil die Vernetzung des Internets immer mehr zunimmt, spielt das Thema Netzwerksicherheit auch eine immer größere Rolle. Die Infrastrukturen von Firmen werden komplizierter, immer mehr Informationen müssen online verfügbar sein und/oder verwaltet werden …

Mögliche Angriffe [ Bearbeiten | Quelltext bearbeiten ]

So vielfältig wie Netze sind, so vielfältig sind auch die Angriffsmöglichkeiten auf ein Netz. In vielen Fällen werden mehrere Angriffe kombiniert, um ein Ziel zu erreichen.

Angriffe auf Software(-implementierungen) [ Bearbeiten | Quelltext bearbeiten ]

Da Kommunikationsnetze immer aus einer (großen) Menge von Systemen bestehen, werden sehr oft genau diese Systeme über das Kommunikationsnetz angegriffen. Hierbei zielen viele Angriffe auf Schwächen in Software(-implementierungen):

Pufferüberlauf – vor allem in Programmen in der Programmiersprache C findet man häufig den Fehler, dass über einen Puffer hinausgeschrieben wird und hierbei andere Daten oder Kontrollinformationen überschrieben werden

Stack Smashing – hierbei überschreibt z. B. ein Pufferüberlauf den Stack eines Programmes, hierdurch können Schadroutinen eingeschleust und ausgeführt werden (Exploit)

Formatstring-Angriffe – Ausgaberoutinen, wie printf, nutzen einen Format-String um eine Ausgabe zu modifizieren. Durch die Nutzung sehr spezieller Formatierungsanweisung können hierbei Speicherbereiche überschrieben werden.

Angriffe auf Netzwerkprotokolle [ Bearbeiten | Quelltext bearbeiten ]

Man-In-The-Middle-Angriff – falls keine gegenseitige Authentifizierung durchgeführt wird, täuscht ein Angreifer den Kommunikationspartnern jeweils den anderen vor (z. B. telnet, rlogin, SSH, GSM, Ciscos XAUTH)

Unerlaubte Ressourcennutzung – falls keine sichere Authentifizierung bzw. sichere Autorisierung vorhanden (z. B. rlogin)

Mitlesen von Daten und Kontrollinformationen – alle unverschlüsselten Protokolle, wie POP3, IMAP, SMTP, Telnet, rlogin, http

Einschleusen von Daten oder Informationen – alle Protokolle ohne ausreichende Nachrichtenauthentifizierung, wie POP3, SMTP, Telnet, rlogin, http

Tunnel können verwendet werden, um Datenverkehr in zugelassene Protokolle (z. B. Http) einzubetten. Dadurch können Firewallregeln unterlaufen werden. Eine genauere Beschreibung findet sich unter [1]. Beispiel: Der SSH-Client baut über Https und den Proxy eine Verbindung zu einem Server außerhalb des internen Netzes auf. Dadurch umgeht er die Regeln, die den SSH-Verkehr nach außen kontrollieren. Diese Verbindung kann auch umgedreht werden, wodurch eine Verbindung von außen in das interne Netz geschaltet wird. Die Bekämpfung erfordert entsprechende Regeln im Proxy, die eine Einschränkung der Methoden CONNECT bzw. POST bewirken. Der Url-Filter UfdbGuard ermöglicht es, Https-Tunnel zu erkennen und zu blockieren.

Angriffe auf die Netzstruktur [ Bearbeiten | Quelltext bearbeiten ]

Die Überlastung von Diensten wird als Denial-of-Service-Angriff (DoS) bezeichnet. Besonders verteilte DoS-Angriffe werden auch als Distributed-Denial-of-Service-Angriffe (DDoS) bezeichnet. Sehr effektiv sind Angriffe, die mit nur einem Paket auskommen, wie z. B. der TCP-SYN-Angriff, da hierbei die Absenderadresse und somit die Herkunft gefälscht werden kann.

Tarnung von Angriffen [ Bearbeiten | Quelltext bearbeiten ]

Fragmentierung von Paketen, vor allem bei überlappenden Fragmenten, kann genutzt werden um Angriffe vor Angriffserkennern zu verstecken

Spoofing – das Fälschen von meist Absendeadressen zum Verschleiern der Herkunft von Paketen (siehe auch Firewall)

Verwandte Angriffe (werden durch die verteilte Struktur eher begünstigt) [ Bearbeiten | Quelltext bearbeiten ]

Social Engineering wird die Vorgehensweise genannt, soziale Aspekte auszunutzen, um bestimmte Ziele, z. B. das Umgehen einer Passwortabfrage, zu erreichen.

Passwörter können erlangt werden, um Zugang zu Diensten zu erlangen. Geschieht dies durch Ausprobieren aller Möglichkeiten spricht man von einer Brute-Force-Attacke.

Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern erfolgreich machen.

Aus der Außenwelt kommende Daten werden nicht auf ihre Validität überprüft, sondern als „korrekt“ hingenommen (Tainted Data oder Cross-Site Scripting und SQL Injection).

Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als UBE („unsolicited bulk e-mail“) und insbesondere, wenn es sich um Werbung handelt, als UCE („unsolicited commercial e-mail“) bezeichnet.

Würmer, Trojanische Pferde, Dialer oder Viren

Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln falscher Webseiten können durch Phishing ausgenutzt werden.

Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen, die per Mail versandt wurden.

Die Vorsorge-Maßnahmen sind ebenso vielfältig wie die Angriffsmöglichkeiten. Mit Hilfe einer Authentifizierung wird der Benutzer erkannt und es werden die ihm zustehenden Rechte zugewiesen (Autorisierung). Man spricht von einem Single-Sign-On, hierbei sollte nur eine einmalige Anmeldung notwendig sein, um alle erlaubten Ressourcen zu nutzen. Sehr verbreitet ist hierbei Kerberos, welches mittlerweile die Basis für die Windows-Netze bildet. Ursprünglich wurde es vom MIT entwickelt.

Die Sicherheit von Computernetzen ist Gegenstand internationaler Normen zur Qualitätssicherung. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanische TCSEC und die europäische ITSEC-Standards sowie der neuere Common Criteria Standard. Die Zertifizierung der Sicherheit erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.

Protokolle, Architekturen und Komponenten [ Bearbeiten | Quelltext bearbeiten ]

Kerberos – für Authentifizierung, Autorisierung und Abrechnung

X.509 – Standard für Zertifikate und deren Infrastruktur

IPsec – mächtigstes (und komplexes) Protokoll zum Schutz von Verbindungen

SSL/TLS – das am meisten verbreitete Sicherheitsprotokoll. Schützt beispielsweise http, welches dann mit https bezeichnet wird.

S/MIME, PGP – Standards für den Schutz von E-Mails

EAP – eine modulares Protokoll zur Authentifizierung in z. B. WPA, TLS und IPsec.

Firewalls – zum Filtern von Paketen. Hierbei können gezielt gefälschte Pakete verworfen werden.

IDSe erkennen Angriffe.

Honeypots – zur schnellen Auffindung von bekannten Sicherheitslücken und Angriffsvektoren.

ISO zertifiziertes IT-Systemhaus INCAS ist Ihr Spezialist für IT-Sicherheit

Die Mobilität von Mitarbeitern in einer zunehmenden globalen Wirtschaft nimmt täglich zu. Aber auch Zeiten, in denen teilweise oder sogar immer öfter von zu Hause gearbeitet wird, nehmen auch unter ökologischen Aspekten stetig zu. Wie aber binden wir diese mobilen Mitarbeiter ein?

Unerlässlich ist dabei die sichere Kommunikation über ein Virtual Private Network, ein sogenanntes SSL-VPN. So kann z. B. der Computer eines Mitarbeiters von zu Hause sicher auf das Firmennetzwerk zugreifen, als ob er im mitten im Unternehmen säße.

Vor dem Hintergrund der eingangs erwähnten Aspekte zum Thema Datensicherheit ist auch hier ein sensibler Umgang von erfahrenen IT-Mitarbeitern nötig, um ein solches SSL-VPN auch zuverlässig einzurichten.

INCAS als Ihr IT-Dienstleister und Provider kümmert sich sowohl um die Leitungsinfrastruktur, als auch die sichere Implementation eines VPN. Dabei setzen wir auf bewährte Lösungen von den Marktführern in den Bereichen Firewall, Netzwerksicherheit, Datensicherheit, VPN mit Produkten von Cisco, Intel McAfee, und TrendMicro.

Eine weitere wichtige Komponente im Bereich der IT-Sicherheit sind sogenannte Intrusion Detection Systeme (IDS), bzw. Intrusion Prevention Systeme (IPS). Solche Lösungen überwachen das Netzwerk oder die IT-Systeme aktiv. Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten und diese dann auch melden. Während IDS-Systeme lediglich solche Angriffe erkennen, gehen IPS Systeme weiter, denn diese sollen diese Angriffe auch abwehren, bzw. verhindern.

Lektion "Bestimmen von Schutzmaßnahmen zur Netzwerksicherheit"

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

Erläutern typischer Netzwerksicherheitsstrategien

Beschreiben gängiger Netzwerkschutzmethoden

Netzwerksicherheitsstrategien

Um ein Computernetzwerk zu schützen, benötigen Sie eine Strategie für die Netzwerksicherheit. Netzwerksicherheitsexperten müssen Zielsetzungen für die Sicherheit definieren, Sicherheitsrisiken bewerten und überlegen, wie diese Risiken entschärft werden können. Eine Organisation muss eine Sicherheitsstrategie mit zugehörigen Richtlinien und Verfahren definieren, die das Netzwerk schützt und gleichzeitig genügend Leistung und Benutzerfreundlichkeit ermöglicht. Jeder ist für Sicherheit verantwortlich. Daher ist es wichtig, Ihr gesamtes Unternehmen, vom Vorstandschef über die Rezeptionisten bis zu den Lieferanten, bezüglich Ihres Sicherheitsplans zu schulen.

Eine Sicherheitsstrategie umfasst drei Aspekte: Richtlinien, Durchsetzung und Überwachung/Bewertung. Eine Sicherheitsrichtlinie bildet den Rahmen, der definiert, wer und was auf die Technologie- und Informationsressourcen eines Unternehmens zugreifen darf. Die Sicherheitsrichtlinie bestimmt auch die Zuständigkeiten für die Sicherheit jeder Person. Nach ihrer Festlegung ist eine Sicherheitsrichtlinie nicht in Stein gemeißelt. Da sich Ressourcen, Anforderungen, Technologien und Risiken im Laufe der Zeit ändern, muss eine Sicherheitsrichtlinie regelmäßig aktualisiert werden.

Neben den Sicherheitsvorschriften, die definieren, wie eine Sicherheitsrichtlinie umgesetzt werden muss, müssen Sie auch verstehen, wie sie durchgesetzt wird. Firewalls, Benutzerauthentifizierung, Netzwerksegmentierung, virtuelle private Netzwerke (VPNs) und Verschlüsselung sind allesamt gängige Methoden zur Durchsetzung einer Sicherheitsrichtlinie.

Sobald eine Sicherheitsrichtlinie eingeführt wurde und in Kraft ist, beginnt die Aufgabe der Überwachung und Bewertung der Systeme. Ein Überwachungs-/Bewertungsplan definiert, was überwacht werden muss und wie es überwacht werden sollte, um festzustellen, ob das Netzwerk kompromittiert wurde oder derzeit einem Angriff ausgesetzt ist. Der Plan muss auch angemessene Reaktionen und Abhilfemaßnahmen für den Fall einer Sicherheitsverletzung vorsehen.

Wissensabfrage

Sind Sie bereit, das Gelernte zu überprüfen? Die folgende Wissensabfrage wird nicht bewertet, sondern ist nur eine einfache Möglichkeit, sich selbst zu testen. Ziehen Sie zunächst ein Wort aus der Wörtergruppe unten an die entsprechende Stelle im Absatz. Wenn Sie alle Wörter eingefügt haben, klicken Sie auf "Senden", um das Ergebnis zu prüfen. Wenn Sie von vorne beginnen möchten, klicken Sie auf "Zurücksetzen".

Gut gemacht! Die Entwicklung einer Netzwerksicherheitsstrategie erfordert zwar viel Planung, ist aber die damit verbundene Zeit und Mühe wert. Lassen Sie uns als Nächstes Möglichkeiten zum Schutz von Netzwerken beleuchten.

Gängige Netzwerkschutzmethoden

Je mehr Sicherheitsvorkehrungen getroffen werden, desto weniger wahrscheinlich ist es, dass ein Angreifer in der Lage ist, die Schutzmechanismen eines Netzwerks auszuhebeln. Lassen Sie uns mehrere Optionen prüfen, wie Angreifer von Computersystemen ferngehalten werden können.

Legen Sie entsprechende Account-Berechtigungen fest, damit Benutzer, Geräte und Software nur auf die Netzwerkressourcen zugreifen können, die für ihre Aufgaben und Anforderungen relevant sind. Dies ist als das Prinzip der geringsten Rechte bekannt, das den Zugriff nur auf Basis von Notwendigkeit gestattet. Schließlich benötigen Mitarbeiter der Vertriebsabteilung keinen Zugriff auf Gehaltsabrechnungen.

Verwenden Sie auf keinen Fall Standardkennwörter, da diese Netzwerkschwachstelle Angriffen Tür und Tor öffnet. Viele Systeme wurden kompromittiert, weil Standardkennwörter nicht geändert wurden. Verlangen Sie von Benutzern, ihre Kennwörter in regelmäßigen Abständen zu ändern. Hindern Sie sie daran, Kennwörter wiederzuverwenden. Verlangen Sie außerdem, dass sie sichere Kennwörter (lange Kennwörter mit einer Kombination aus Buchstaben, Zahlen, Sonderzeichen usw.) erstellen. Schulen Sie Netzwerkbenutzer auch darin, eindeutige Kennwörter für jeden ihrer Accounts festzulegen. Auf diese Weise kann ein Angreifer, nachdem er einen Account gehackt hat, nicht dasselbe Kennwort verwenden, um auf die anderen Accounts des Benutzers zuzugreifen.

Firewalls

Installieren und aktivieren Sie Firewalls, d. h. Schutzvorrichtungen, die den unbefugten Zugang zu Computernetzwerken verhindern und gleichzeitig legitimen Zugriff gestatten. Implementieren Sie physische Barrieren, Hardware und Software, die zusammen schützende Firewall-Ebenen bilden.

Verschlüsselung

Denken Sie daran, dass die Verschlüsselung sehr nützlich ist, weil sie unsere Daten schützt. Verschlüsseln Sie Daten während der Übertragung, um zu verhindern, dass potenzielle Angreifer an sensible Informationen gelangen. Verschlüsseln Sie darüber hinaus auch gespeicherte (sog. "ruhende") Daten. Wenn Angreifer in das System eindringen sollten, können sie keine nützlichen Informationen extrahieren, da sie nicht wissen, wie die Daten zu entschlüsseln sind.

VPN

Nutzen Sie als zusätzliche Schutzebene ein VPN (virtuelles privates Netzwerk). Ein VPN ist ein sicheres, privates Netzwerk, das Daten über ein öffentliches Netzwerk überträgt, Computer und Mobilgerätge jedoch so agieren lässt, als wären sie direkt mit einem privaten Netzwerk verbunden. Ein VPN verschlüsselt die Netzwerkverbindung zum Schutz der Netzwerkdaten.

Netzwerksegmentierung

Implementieren Sie eine Netzwerksegmentierung, die das Netzwerk so aufteilt, dass Ressourcen mit ähnlichen Werten und Risiken jeweils separat geschützt sind. Auf diese Weise kann ein Angreifer, der in ein Segment des Netzwerks eindringt, keine anderen Segmente des Netzwerks erreichen.

Antischadsoftware

Führen Sie Antischadsoftware aus, die eine Systemanalyse in Echtzeit ermöglicht, um Schadsoftware zu verhindern, zu erkennen und zu entfernen.

Wissen um Sicherheitsverletzungen

Informieren Sie sich über die wichtigsten Sicherheitsverletzungen und halten Sie Software und Firmware auf dem neuesten Stand, damit Schadsoftware und Angreifer bestehende bekannte Sicherheitslücken nicht ausnutzen können. Viele Sicherheitsverletzungen hätten verhindert werden können, wenn die Computersysteme entsprechend mit Patches versehen worden wären.

SIEM-Software einsetzen

Setzen Sie SIEM-Software (Security Information and Event Management, Verwaltung von Sicherheitsinformationen und Ereignissen) als zentrale Lösung für die Verwaltung von Computersystemen ein. SIEM-Software kann Systeme auf ungewöhnliche Aktivitäten überwachen und Sie vor möglichen Angriffen warnen.

Sicherungen

Sichern Sie Daten gemäß einem geregelten Zeitplan und testen Sie, ob die in den Sicherungen gespeicherten Daten einwandfrei sind. Auf diese Weise können Sie im Falle einer Beschädigung der Daten durch Ransomware die Daten wiederherstellen, ohne Lösegeld zahlen zu müssen.

Wir bauen Know-how im Bereich der Netzwerksicherheit auf und vermitteln ein Gefühl dafür, womit sich Netzwerksicherheitsingenieure bei ihrer täglichen Arbeit beschäftigen. Im nächsten Modul, Netzwerksicherheit in der Praxis, werden wir uns eingehender mit ihrer Arbeit befassen.

Sind Sie an mehr Informationen zur Cybersicherheit interessiert? Auf der Lernwebsite zur Cybersicherheit auf Trailhead werden Sie fündig.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels