IT-Sicherheit Claudia Eckert ISBN: 978-3-486-77848-9 © 2014 Oldenbourg Wissenschaftsverlag GmbH, Mu...

IT-SicherheitClaudia Eckert ISBN: 978-3-486-77848-9

Abbildungsübersicht / List of FiguresTabellenübersicht / List of Tables

Abbildung 1.1: Unzulässiger Informationsfluss

Abbildung 1.2: Klassifikation von Gefährdungsfaktoren

Abbildung 1.3: Zusammenhang zwischen Schwachstellen, Bedrohungen und Risiken

Abbildung 1.4: Zusammenhänge und Abhängigkeiten

Abbildung 1.5: Komponenten einer Sicherheitsarchitektur (stark vergröbert)

Abbildung 1.6: Sicherheitskette und ausgewählte Bedrohungen

Abbildung 2.1: Segmentierung des virtuellen Prozessadressraums

Abbildung 2.2: Buffer-Overflow mit Überschreiben der Rucksprungadresse

Abbildung 2.3: Einschleusen von Code mit NOPs-Befehlen

Abbildung 2.4: Allgemeiner Aufbau eines Virus und Beispiel

Abbildung 2.5: Infiziertes Programm

Abbildung 2.6: Infizierter Bootsektor

Abbildung 2.7: IRC-kontrolliertes Bot-Netz

Abbildung 2.8: Bedrohungsszenarien fur mobilen Code

Abbildung 3.1: Die Schichten des ISO/OSI-Modells

Abbildung 3.2: Netzwerkkomponenten

Abbildung 3.3: OSI- versus TCP/IP-Modell (vereinfachte Darstellung)

Abbildung 3.4: Format eines IP-Pakets

Tabelle 3.1: Beispiele fur Port-Belegungen

Abbildung 3.5: Protokollschichten bei einem einfachen Web-Szenario

Abbildung 3.6: NAT-Beispiel

Abbildung 3.7: IP-Spoofing-Szenario

Abbildung 3.8: TCP-Sequenznummernangriff

Abbildung 3.9: DNS-Spoofing-Angriff

Abbildung 3.10: DNS-Cache-Poisoning Angriff (Teil 1)

Abbildung 3.11: DNS-Cache-Poisoning Angriff (Teil 2)

Abbildung 3.12: DNS-Datenbanken mit zusätzlichen DNSSEC Einträgen

Abbildung 3.13: Mounten eines Dateisystems unter NFS

Abbildung 3.14: Einordnung von NFS Version 4

Abbildung 3.15: Kaskadierende Remailer

Abbildung 3.16: CGI-Szenario

Tabelle 3.2: Cookie-Datei (Auszug)

Abbildung 3.17: Cross-Site-Scripting Angriff (Teil 1)

Abbildung 3.18: Cross-Site-Scripting Angriff (Teil 2)

Tabelle 3.3: Analyse-Tools fur Unix und Windows-Plattformen (Auswahl)

Abbildung 4.1: Vorgehen

Abbildung 4.2: Entwicklungsphasen

Abbildung 4.3: BSI-Sicherheitsprozess

Abbildung 4.4: Beispiel eines Netztopologieplans fur ein Unternehmensnetz (Quelle BSI)

Tabelle 4.1: Schutzbedarfskategorien

Tabelle 4.2: Auszug aus einer Bedrohungsmatrix

Abbildung 4.5: Bedrohungsbaum fur einen Maskierungsangriff

Abbildung 4.6: Ein möglicher Angriffspfad

Abbildung 4.7: Beispiel einer Risikoberechnung

Abbildung 4.8: Ergänzende Risikoanalyse (Quelle: BSI-Grundschutz-Kataloge (jetzt BSI-Standard 100-3))

Abbildung 4.9: Sicherheit integriert in den Software-Entwicklungs-Prozess

Abbildung 4.10: STRIDE-Analyse einer Web-Anwendung

Tabelle 4.3: DREAD-Analyse

Tabelle 5.1: Funktionale Anforderungen des Orange Books

Abbildung 5.1: Evaluierungsstufen der ITSEC-Kriterien

Tabelle 5.2: Qualitätsstufen der IT und ITSEC-Kriterien

Abbildung 5.2: Abhängigkeiten zwischen Kriterienkatalogen

Tabelle 5.3: Anwendung der CC fur die jeweilige Zielgruppe

Abbildung 5.3: Struktureller Aufbau eines Schutzprofils

Tabelle 5.4: Vertrauenswurdigkeitsklassen und -familien

Tabelle 5.5: Vertrauenswurdigkeitsfamilien und Evaluierungsstufen

Tabelle 5.6: Kriterien fur die Vertrauenswurdigkeit bei ITSEC und CC

Tabelle 6.1: Ausschnitt aus einer Zugriffsmatrix

Tabelle 6.2: Sicherheitsstrategie fur Port-Zugriffe

Abbildung 6.1: Zusammenhänge in einem RBAC-Modell

Abbildung 6.2: Rollenhierarchie des Bankbeispiels

Abbildung 6.3: Objektbaum im Chinese-Wall Modell

Abbildung 6.4: s1-spezifische Mauer nach dem Zugriff auf o1 und o2

Abbildung 6.5: Zulässige Flusse im Bell-LaPadula Modell

Tabelle 6.3: Bell-LaPadula-Regeln fur Unix System V/MLS-Kommandos

Abbildung 6.6: Hasse-Diagramm

Abbildung 7.1: Komponenten eines Kryptosystems

Tabelle 7.1: Wachstumsverhalten von ƒ

Tabelle 7.2: Beispiel einer Bitpermutation

Abbildung 7.2: Funktionsweise einer Blockchiffre

Abbildung 7.3: Paddingvorschriften

Abbildung 7.4: Funktionsweise einer Stromchiffre

Abbildung 7.5: Der CBC-Modus

Abbildung 7.6: Der OFB-Modus

Abbildung 7.7: Der CFB-Modus

Abbildung 7.8: Der CTR-Modus

Abbildung 7.9: Das Grundschema des DES

Tabelle 7.3: Die Permutation IP

Abbildung 7.10: Der Aufbau der DES-Runden

Tabelle 7.4: Die Expansion E und die Permutation P

Abbildung 7.11: Die Funktion ƒ

Tabelle 7.5: Die Substitutionsbox S3 (Auszug)

Abbildung 7.12: Elliptische Kurve y2 = x3 − 3x + 3 uber IR.

Abbildung 7.13: Elliptische Kurve uber einem Ganzzahlkörper graphisch als Punktwolke repräsentiert.

Abbildung 7.14: Punkt-Addition auf einer Kurve uber IR.

Tabelle 7.6: Vergleich der Schlussellängen

Abbildung 7.15: Funktionsprinzip des Dual_EC_DRBG

Abbildung 7.16: Differenzen in den DES-Runden

Abbildung 8.1: Allgemeine Arbeitsweise von Hashfunktionen

Abbildung 8.2: Meyer-Hashfunktion

Abbildung 8.3: Kompressionsfunktion des SHA-1

Abbildung 8.4: Das MD5-Verfahren

Abbildung 8.5: Konstruktion eines MAC (nach ISO 9797)

Abbildung 8.6: Funktionsweise des HMAC-Verfahrens

Abbildung 8.7: Signaturen mit asymmetrischen Verfahren

Tabelle 8.1: Anforderungen an Komponenten zur Signaturerstellung

Tabelle 9.1: Struktur eines X.509 bzw. X.509v3 Zertifikats

Tabelle 9.2: ASN.1-Spezifikation eines X.509v3 Zertifikats

Abbildung 9.1: Komponenten einer PKI

Abbildung 9.2: Deutsche Zertifizierungs-Infrastruktur

Abbildung 9.3: Zertifizierungspfad

Abbildung 9.4: Zertifikatvalidierung

Abbildung 9.5: Schlusselaustausch mit symmetrischen Verfahren

Abbildung 9.6: Wechselseitige Authentifikation mit asymmetrischen Verfahren

Abbildung 9.7: Man-in-the-Middle-Angriff auf das DH-Verfahren

Tabelle 9.3: Vergleich der Schlussellängen von ECDH und klassischem DH

Abbildung 9.8: Modell eines Systems zur Schlussel-Wiederherstellung

Tabelle 10.1: Schwächen benutzerwählbarer Passworte

Abbildung 10.1: Grobarchitektur des Unix Betriebssystems

Abbildung 10.2: Authentifikation in Unix Systemen

Abbildung 10.3: Zusammenhang zwischen FAR und FRR

Abbildung 10.4: Zugangssystem mittels RADIUS

Abbildung 10.5: Dezentrale Zugangskontrolle uber Proxy-Server

Abbildung 10.6: Kerberos-Grobarchitektur

Tabelle 10.2: Kerberos-Protokollablauf (Version 5)

Abbildung 11.1: Standardisierte Kartenformate ID-1 und ID000

Abbildung 11.2: Architektur einer Smartcard

Tabelle 11.1: Komponenten einer Smartcard

Abbildung 11.3: Hardware-Architektur des SLE 88CX640S

Abbildung 11.4: Authentifikation zwischen Nutzer, Kartenterminal und Karte

Abbildung 11.5: Der ePass mit integriertem RFID-Chip (Quelle: Bundesministerium des Inneren)

Tabelle 11.2: Datenstruktur des ePass

Abbildung 11.6: ePass und Lesegerät fur die optisch auslesbare MRZ (Quelle: BSI)

Tabelle 11.3: Sicherheitsmechanismen und -Protokolle des ePass

Abbildung 11.7: Prufen der Authentizität der Passdaten durch ein Lesegerät

Abbildung 11.8: Nationale PKI mit Zertifikaten fur Lesegeräte

Abbildung 11.9: Muster eines nPA, Quelle BMI

Abbildung 11.10: Nachweis der digitalen Identität mit dem nPA

Abbildung 11.11: Online-Authentisierung mit dem nPA (Abbildung aus [21])

Abbildung 11.12: Ablauf der Registrierung eines U2F-Devices fur den Nutzer-Account Alice

Abbildung 11.13: Ablauf eines U2F-basierten Logins

Abbildung 11.14: Einbettung des TCG-Subsystems in eine PC-Architektur

Abbildung 11.15: Generische Architektur einer Trusted Computing Plattform und TBBs

Abbildung 11.16: Architektur des TPM

Abbildung 11.17: Fluchtiger und Nicht-fluchtiger TPM-Speicher

Abbildung 11.18: Stark vergröbertes Protokoll zur Ausstellung eines AIK-Credentials

Abbildung 11.19: Attestierung eines TPM gegenuber einem Dienstanbieter

Abbildung 11.20: Bootstrapping

Abbildung 11.21: Festplattenlayout am Beispiel von Unix/Linux

Abbildung 11.22: Berechnen von Integritätswerten beim Booten

Abbildung 11.23: Arbiter-PUF

Abbildung 11.24: Ring-Oszillator-PUF

Abbildung 11.25: 6 Transistor SRAM Zelle, die als PUF verwendbar ist.

Abbildung 12.1: Adressraumorganisation eines Prozesses

Abbildung 12.2: Adressubersetzung in segmentierten Speichern

Abbildung 12.3: Realisierungssichten einer Zugriffsmatrix

Abbildung 12.4: Capabilitybasierte Adressierung

Abbildung 12.5: Schutzumgebungen von Prozeduren

Abbildung 12.6: Struktur einer ACL in Unix Systemen

Tabelle 12.1: Verzeichnisrechte in Unix

Abbildung 12.7: Layout einer Festplatte in Unix Systemen

Abbildung 12.8: Unix inode

Abbildung 12.9: Zusammenhang zwischen den Datenstrukturen im Kern

Abbildung 12.10: Architektur des Windows 2000 Betriebssystems

Abbildung 12.11: Windows 2000 Sicherheitssubsystem

Abbildung 12.12: Windows 2000 Access Token

Abbildung 12.13: Beispiel eines Windows 2000 Security Descriptors

Abbildung 12.14: Struktur der Master File Table

Abbildung 12.15: Verschlusselung von Dateien unter EFS

Abbildung 12.16: Schlusselrecovery unter EFS

Tabelle 12.2: Zertifizierungsfunktionen eines Übersetzers

Abbildung 12.17: Web-Service Kommunikationsdreieck

Abbildung 12.18: Web-Service Sicherheitsstandards

Abbildung 13.1: Kontrollierte Netzubergänge mit einem Firewall

Abbildung 13.2: Einordnung eines Paketfilters

Tabelle 13.1: Filterregeln des HRZ der TU Darmstadt

Abbildung 13.3: Erkennen einfacher Spoofing-Angriffe

Abbildung 13.4: Dynamische Filterung von UDP-Paketen

Tabelle 13.2: Empfehlungen fur Port-Zugriffe

Abbildung 13.5: Proxy-Firewall fur einen Druck-Dienst

Abbildung 13.6: Applikationsfilter

Abbildung 13.7: Dual-Homed Firewall

Abbildung 13.8: Screened-Host Firewall

Abbildung 13.9: Screened-Subnet Firewall

Tabelle 13.3: Klassifikation der OSI-Sicherheitsdienste

Tabelle 13.4: Sicherheitsdienste und -mechanismen

Abbildung 13.10: Verbindungsverschlusselung

Abbildung 13.11: Ende-zu-Ende-Verschlusselung auf Schicht 4

Tabelle 13.5: Verbindungs- versus Ende-zu-Ende Verschlusselung

Abbildung 13.12: ISO/OSI-Einordnung der Sicherheitsprotokolle

Abbildung 13.13: Tunnelung in VPNs

Abbildung 13.14: Der EAP Protokollstack

Abbildung 13.15: Kapselung im IPSec Tunnelmodus

Abbildung 13.16: Geschachtelte Tunnels

Abbildung 13.17: AH-Format

Abbildung 13.18: IPSec Replay-Erkennung

Abbildung 13.19: Ein mit dem AH-Protokoll geschutztes IP-Paket

Abbildung 13.20: ESP-Format

Abbildung 13.21: Ein mit dem ESP-Protokoll geschutztes IP-Paket

Abbildung 13.22: Vergröbertes IKE-Protokoll

Abbildung 13.23: Cut-and-Paste-Angriff

Abbildung 13.24: Session Hijacking Angriff

Abbildung 13.25: Schichteneinordnung des SSL/TLS-Protokolls

Tabelle 13.6: Auswahl reservierter SSL-Portadressen

Tabelle 13.7: SSL-Handshake-Protokoll

Abbildung 13.26: Aufgaben des SSL-Record Protokolls

Abbildung 13.27: Korrekter Ablauf des Heartbeat-Protokolls

Abbildung 13.28: Ablauf eines Heartbleed-Angriffs

Abbildung 13.29: Grobstruktur einer PEM-Mail

Abbildung 13.30: Verschlusselte PEM-Mail

Abbildung 13.31: Allgemeines S/MIME Mail-Format

Abbildung 13.32: PGP-Nachrichtenformat

Abbildung 13.33: Verschlusselte und signierte PGP-Nachricht von A nach B

Abbildung 13.34: Empfang einer PGP-verschlusselten und signierten Nachricht

Abbildung 13.35: Vergröbertes SET-Szenario

Abbildung 13.36: SET-Bezahlungsanforderung durch Kundin A

Abbildung 14.1: Heterogenität mobiler und drahtloser Netze

Tabelle 14.1: Übertragungszeiten bei GSM, GPRS, UMTS

Abbildung 14.2: GSM-Grobarchitektur

Abbildung 14.3: Authentifikation und Gesprächsverschlusselung im GSM-System

Abbildung 14.4: Vernetzungsstruktur eines öffentlichen Telefonnetzes

Abbildung 14.5: Der COMP-128 Algorithmus

Abbildung 14.6: GPRS-Grobarchitektur

Abbildung 14.7: UMTS-Sicherheitsarchitektur

Abbildung 14.8: Erstellung eines Authentifikations-Vektors

Abbildung 14.9: Berechnung der USIM-Antwort

Abbildung 14.10: Grob-Architektur des Evolved Packet System

Abbildung 14.11: Architektur des EPC und LTE-Zugangsnetzes

Abbildung 14.12: IP-Verbindung uber das PDN-Gateway

Abbildung 14.13: Überblick uber die SAE/LTE-Komponenten

Abbildung 14.14: Sicherheitsdomänen der SAE/LTE-Architektur

Abbildung 14.15: Überblick uber die Sicherheitsarchitektur von LTE

Abbildung 14.16: Erzeugung der Schlussel und Authentisierungsvektoren in EPS-AKA

Abbildung 14.17: Schlusselhierarchie in SAE/LTE

Abbildung 14.18: IPSec-Tunnel zwischen UE und ePDG

Abbildung 14.19: WLAN Netz im Infrastrukturmodus

Abbildung 14.20: Hot-Spot Zugang

Abbildung 14.21: Schlusselhierarchie unter WPA2

Abbildung 14.22: WPA2: Schlusselberechnung, Verteilung und Nutzung

Abbildung 14.23: AES-CCMP Datenverschlusselung

Abbildung 14.24: Dual-Port Konzept unter 802.1X

Abbildung 14.25: 802.11i Protokollstack

Abbildung 14.26: Typischer Protokollablauf unter 802.1X

Abbildung 14.27: Scatternetze bestehend aus Piconetzen

Abbildung 14.28: Bluetooth-Protokollstack

Abbildung 14.29: Bluetooth-Sicherheitsarchitektur

Abbildung 14.30: Sicherheitsmodi

Abbildung 14.31: Schlusseltypen unter Bluetooth

Abbildung 14.32: Erzeugung des Initialisierungsschlussels

Abbildung 14.33: Erzeugung des Kombinationsschlussels

Abbildung 14.34: Authentifikationsprotokoll unter Bluetooth

Abbildung 14.35: Erzeugung eines Kommunikationsschlussels

Abbildung 14.36: Simple-Pairing Ablauf mit numerischem Vergleich

Abbildung 14.37: Simple-Pairing mit Passkey Entry

Abbildung 14.38: Wechselseitige Authentisierung

IT-Sicherheit Claudia Eckert ISBN: 978-3-486-77848-9 © 2014 Oldenbourg Wissenschaftsverlag GmbH, Mu...

Documents

Transcript of IT-Sicherheit Claudia Eckert ISBN: 978-3-486-77848-9 © 2014 Oldenbourg Wissenschaftsverlag GmbH, Mu...

Die Sehnsucht nach politischer Orientierung · I N H A L T - Tabellenübersicht - Originalmanuskript - Anhangtabellen - Schaubilder - Veröffentlichung in der Frankfurter Allgemeinen

Einfu ̈ hrung in die Weltwirtschaftspolitik Helmut Wagner ISBN: 978-3-11-034668-8 © 2014 Oldenbourg Wissenschaftsverlag GmbH, Mu ̈ nchen Abbildungsübersicht.

Prozessoptimierung Frank Wirbeleit ISBN: 978-3-11-034262-8 © 2014 Oldenbourg Wissenschaftsverlag GmbH Abbildungsübersicht / List of Figures Tabellenübersicht.

Einführung in die Volkswirtschaftslehre, Mikroökonomie und Wettbewerbspolitik Lothar Wildmann ISBN: 978-3-11-037361-5 © 2014 Oldenbourg Wissenschaftsverlag.

Altersklassenverteilung: Tabellenübersicht

Fundamentals of Investment Appraisal Martina Röhrich ISBN: 978-3-11-034718-0 © 2014 Oldenbourg Wissenschaftsverlag GmbH, Mu ̈ nchen Abbildungsübersicht.

Familiensoziologie Rosemarie Nave-Herz (Hrsg.) ISBN: 978-3-486-72123-2 © 2014 Oldenbourg Wissenschaftsverlag GmbH Abbildungsübersicht / List of Figures.

Informatik und Gesellschaft Andrea Kienle / Gabriele Kunau ISBN: 978-3-486-73597-0 © 2014 Oldenbourg Wissenschaftsverlag GmbH Abbildungsübersicht / List.

Leibniz-Zentrum für Psychologische Information und ... · Der national und international wichtige Springer-Wissenschaftsverlag hat sich bereit erklärt, Metadaten sämtlicher seiner

Grundriss der praktischen Regelungstechnik Erwin Samal ISBN: 978-3-486-71290-2 © 2014 Oldenbourg Wissenschaftsverlag GmbH Abbildungsübersicht / List of.

1 Vorrat und Schäden: Tabellenübersicht 1 2.07.1: Vorrat [1000 m³] nach Land und Eigentumsart für 2002 nur begehbarer Wald / Holzboden / einschließlich.

The Fundamentals of Electrical Engineering Felix Hüning ISBN: 978-3-11-034991-7 © 2014 Oldenbourg Wissenschaftsverlag GmbH Abbildungsübersicht / List of.

Das politische System der EU Ingeborg Tömmel ISBN: 978-3-486-75695-1 © 2014 Oldenbourg Wissenschaftsverlag GmbH Abbildungsübersicht / List of Figures Tabellenübersicht.

Unternehmensbewertung Thomas Hering ISBN: 978-3-486-72696-1 © 2014 Oldenbourg Wissenschaftsverlag GmbH Abbildungsübersicht / List of Figures Tabellenübersicht.

VWL für die Immobilienwirtschaft Günter Vornholz ISBN: 978-3-11-035494-2 © 2014 Oldenbourg Wissenschaftsverlag GmbH, München Abbildungsübersicht / List.

Open Access im Wissenschaftsverlag: Bücher

Grundlagen der Investitionsrechnung Martina Röhrich ISBN: 978-3-486-71355-8 © 2014 Oldenbourg Wissenschaftsverlag GmbH, Mu ̈ nchen Abbildungsübersicht.

Abbildungsübersicht / List of Figures Tabellenübersicht / List of Tables Französische Lexikographie Elmar Schafroth ISBN: 978-3-11-027258-1 © 2014 by Walter.

Tourismusökonomie Volker Letzner ISBN: 978-3-11-036991-5 © 2014 Oldenbourg Wissenschaftsverlag GmbH, Mu ̈ nchen Abbildungsübersicht / List of Figures Tabellenübersicht.

Vorrat und Schäden: Tabellenübersicht