26.07.2017

Verschlüsselungsverfahren: Abgesicherte Netzwerkprotokolle

In den Anfangsjahren der Vernetzung wurde der Fokus sicherlich eher auf Erweiterung der neuen, aufregenden Möglichkeiten und eine Steigerung der Performance gelegt – dass in der schönen, neuen Welt von LAN und WAN schnell auch böse Buben und Mädchen aufregende Möglichkeiten sahen, wurde anfänglich entweder ignoriert, übersehen oder als weniger wichtig bewertet.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Unverschlüsselte Übertragungen waren Standard

Das Bewusstsein für die Notwendigkeit, Netzwerkprotokolle abzusichern, entwickelte sich erst allmählich – noch vor wenigen Jahren war es üblich, Benutzername / Passwortkombinationen unverschlüsselt über Netzwerke zu übertragen. FTP-Server hatten Tür und Tor nicht nur für erwünschte Nutzer, sondern auch für ungebetene Gäste geöffnet, und selbst Webseiten mit sensiblen Daten (Banking, e-Shops) waren nicht per HTTPS gesichert.

Heute ist vieles, aber noch längst nicht alles besser. Dazu passt eine aktuelle Meldung im Internet:

«Netzwerkprotokoll UPnP mit sehr gefährlicher Lücke Das Netzwerkprotokoll Universal Plug and Play (UPnP) ist eigentlich auf das LAN beschränkt und galt somit solange als sicher wie das LAN selbst nicht kompromittiert ist. Jetzt hat die Firma Rapid7 mit ihrer Netzwerk-Analysesoftware Metasploit 81 Millionen eindeutige IP-Adressen identifiziert, die per UPnP ansprechbar sind.»

Sicherungsmassnahmen auf allen Ebenen

Es mussten und müssen also Verfahren zur Absicherung von Netzen bereits auf Protokollebene entwickelt werden. Diese können prinzipiell auf allen Ebenen des Netzwerk-Stacks eingebaut werden. Dabei nutzt die Absicherung auf einer Ebene auch den darüber liegenden Ebenen:

  • Je höher die Ebene, desto mehr kann eine Sicherung auf die Besonderheiten einzelner Applikationen Rücksicht nehmen.
  • Je niedriger die Ebene, desto allgemeiner ist das Verfahren einsetzbar.

Sicherungsverfahren im Netzwerk-Stack

Wir ziehen dazu das bekannte Konstrukt des ISO OSI-Referenzmodells für herstellerunabhängige Kommunikationssysteme im Netzwerk heran.

Ethernet ist Medium der Wahl

Heutzutage dient in lokalen Netzwerken (LAN) überwiegend Ethernet als Übertragungstechnik der unterschiedlichen Netzwerkprotokolle der höheren Schichten (TCP, IP, AppleTalk, IPX/SPX und andere), FDDI, ATM und andere in Wide-Area-Netzen (WAN). MAN als Metropolitan Area Network für städtische Bereiche, Ballungsräume oder weitläufige Unternehmens- oder Institutionsgelände muss noch erwähnt werden. Gemeinsam ist den Übertragungswegen, dass TCP/IP das vorwiegend verwendete Protokoll ist. Hier muss noch einmal klargestellt werden, dass das zur Übertragung verwendete Protokoll nicht gleichzusetzen ist mit dem Übertragungsverfahren. Die hierin übertragenen Protokolle wie SMTP, IMAP, POP3, HTTP und so weiter bedürfen jedenfalls einer Absicherung gegen unbefugten Zugriff.

Ebene 1

Besondere Hardware

Die OSI-Ebene 1 regelt den Zugriff auf die Physik und die Übertragung eines einzelnen Bits. Verfahren zur Erhöhung der Sicherheit werden auch in diesen Bereichen angeboten, wobei es sich meist um Scrambler oder artverwandte Produkte handelt. Da hier oft Spezial-Hardware eingesetzt wird, ist praktisch kein Geschwindigkeitsverlust festzustellen. Das Investitionsrisiko bei herstellerspezifischen Produkten ist naturgemäss am grössten, von einem Standard im positiven Sinn des Wortes kann nicht gesprochen werden.

Ebene 2

Auf dieser Ebene wird die Übertragung von einzelnen Datenframes geleistet. Das kann mittels PPP über analoge oder digitale Telefonleitung geschehen oder in klassischen LAN-Umgebungen durch Ethernet, Token-Ring, FDDI und artverwandte Protokolle. Die verfügbaren Ergänzungen im Bereich der Sicherheit sind oft nicht miteinander kombinierbar, besonders im Telefonbereich, wo die PPP-Erweiterungen ECP und CHAP mit anderen Produkten konkurrieren (PPTP, PAP, SPAP). Im LAN-Bereich existiert ein Standard, der diese kaum noch zu überbrückende Vielfalt im Bereich kommerzieller Netze eindämmen kann: IEEE 802.10 SILS (IEEE Standard for Interoperable LAN/MAN Security).

Ebene 3

Diese Ebene (die Vermittlungsschicht) sorgt für das Routing einzelner Frames bis hin zum Empfänger. Das geschieht in den meisten Fällen mittels des Klassikers IP in der Version 4, der leider über keine besonderen Sicherheitsmerkmale verfügt. IPv6 bietet da schon erheblich mehr, wir werden weiter unten noch darauf zurückkommen.

Ebene 4

Integration von SSL in Webbrowser

Ebene 4 (Transportschicht) bietet in der Realität nur Mechanismen für TCP. Das liegt vor allem an der recht unsicheren Übertragung der UDP-Datagramme, bei der dann alle Sicherheitsaufgaben letztlich an die Applikation übertragen werden müssen.

Standard ist heutzutage eine Absicherung mittels Transport Layer Security (TLS) oder Secure Sockets Layer (SSL). Bei beiden handelt es sich um Verschlüsselungsprotokolle für Datenübertragungen im Internet. TLS 1.0 und 1.1 sind die standardisierten Weiterentwicklungen von SSL 3.0. Beide Begriffe werden oft synonym verwendet.

SSL/TLS soll genau das abbilden, was wir bereits ausführlich dargstellt haben – Authentifizierung, Vertraulichkeit und Integrität:

  • Die «Authentikation der Kommunikationspartner unter Verwendung von asymmetrischen Verschlüsselungsverfahren und Zertifikaten.
  • Die vertrauliche Ende-zu-Ende-Datenübertragung mit Hilfe symmetrischer Verschlüsselungsverfahren unter der Nutzung eines gemeinsamen Sitzungsschlüssels.
  • Die Sicherstellung der Integrität der transportierten Daten unter Verwendung von Message Authentication Codes.»

Wenn Sie gut aufgepasst und mitgelesen haben, dürfte Ihnen aufgefallen sein, dass dasselbe Funktionsprinzip zum Tragen kommt, das wir im Abschnitt über die Verschlüsselung beschrieben und erklärt haben:

  • Ein asymmetrisches Verschlüsselungsverfahren wird genutzt, um die Authentikation zweier noch unbekannter Partner herbeizuführen.
  • Die Übertragung an sich wird mit einem schnellen symmetrischen Verfahren verschlüsselt.
  • Schliesslich werden die Daten gehasht, um die Integrität sicherzustellen.

Für Sie als Anwender, Admin oder IT-Verantwortlichen ist es wichtig zu wissen, dass SSL/TLS für alle wichtigen Protokolle und somit Anwendungen (Mail, Web, Übertragung von Daten in Applikationen) genutzt werden kann und natürlich auch sollte. Dies führt uns zur Ebene 7, dem Applikation Layer.

Ebene 7

Auf der Ebene der Applikationen gibt es die grösste Anzahl an Sicherungsmechanismen – letztlich beruhen diese aber auch wieder auf den bereits beschriebenen Techniken und Protokollen. Hier treffen wir unter anderem in folgenden Szenarien darauf:

  • bargeldloser Zahlungsverkehr
  • HTTPS für die Verschlüsselung von Webseitenaufrufen
  • Onlinebanking per HBCI, mTAN oder chipTAN
  • Absicherung der E-Mailübertragung per IMAP, POP3, StartTLS, PGP, PEM, S/MIME
  • Verschlüsselter Zugriff auf entfernte Systeme (Server based Computing) per RDP, ICA, NX, VNC usw., im weiteren Sinne auch per Secure Shell (SSH).

Letzteres Protokoll (zugleich auch der Name für die entsprechenden Anwendungen, SSH-Server und SSH-Client) war ursprünglich als Ersatz für das Klartextprotokoll telnet gedacht und wurde und wird hauptsächlich für den Zugriff auf Server und Router verwendet. Es lassen sich aber auch viele andere Dienste in SSH verpackt übertragen («tunneln»).

Den ganzen Beitrag finden Sie in unserem Online-Portal «InformatikPraxis»

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 16. November 2017

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • Die wichtigsten IT-Vertragsvorlagen

    Die wichtigsten IT-Vertragsvorlagen

    Über 100 IT-Vertragsvorlagen, Checklisten und Arbeitshilfen auf praktischem USB-Stick.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Compliance und Wettbewerbsrecht für Profis mit Prof. Dr. Patrick Krauskopf

    Neuste Entwicklungen und aktuelle Rechtspraxis

    Nächster Termin: 09. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internationale Vertragsgestaltung für Profis mit Prof. Dr. Patrick Krauskopf

    Rechtssichere Verhandlungen und Verträge auf internationalem Parkett

    Nächster Termin: 16. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 16. November 2017

    mehr Infos