IT-Sicherheit für TCP/IP- und IoT-Netzwerke

Steffen Wendzel

IT-Sicherheit für TCP/IP-und IoT-NetzwerkeGrundlagen, Konzepte, Protokolle, Härtung

Steffen WendzelFachbereich InformatikHochschule WormsWorms, Deutschland

ISBN 978-3-658-22602-2 ISBN 978-3-658-22603-9 (eBook)https://doi.org/10.1007/978-3-658-22603-9

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detailliertebibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Springer Vieweg© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklichvom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesonderefür Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verar-beitung in elektronischen Systemen.Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigtauch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen-und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesemWerk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag, noch die Autoren oderdie Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehleroder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen inveröffentlichten Karten und Institutionsadressen neutral.

Springer Vieweg ist ein Imprint der eingetragenen Gesellschaft Springer Fachmedien Wiesbaden GmbH und istein Teil von Springer Nature.Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany

Meinen Eltern gewidmet.

Vorwort

Die Betrachtung der IT-Sicherheit von Netzwerken ist an sich kein grundlegend neuesThema. Im Gegenteil, es ist bereits seit Jahrzehnten ein ausgereiftes Forschungs- undArbeitsgebiet für viele Menschen. Durch die immer weiter fortschreitende Durchdrin-gung von IT-Technologie in unserem Alltag und die damit verbundene Verbreitungvon Netzwerken und die zunehmende Interaktion zwischen bestehenden Netzwerkensind TCP/IP- und IoT-Netzwerke jedoch potenziell einer stetig steigenden Anzahl anAngreifern ausgesetzt. Derlei Angriffe stellen auch deshalb eine aktuelle und permanenteHerausforderung dar, da ihre Perfektionierung zunimmt.

Dieses Buch setzt sich mit den Grundkonzepten von TCP/IP- und IoT-Netzwerken undder zugehörigen IT-Sicherheit auseinander. Es erläutert Angriffe und Schutzmechanismen.Weiterhin führt das Buch in einige Vertiefungsthemen ein und verfolgt das Ziel, sowohlpraxisrelevantes Know-how als auch grundlegende und aktuelle Forschungsideen in einemWerk zu vereinen. Aus Gründen der Lesbarkeit habe ich im Text auf eine permanenteUnterscheidung hinsichtlich der Ausgereiftheit von erwähnten Methoden verzichtet. Dasheißt, manch ein Schutzmechanismus mag bereits in vorhandene Netzwerkkomponentenund Netzwerkbetriebssysteme integriert sein, andere Schutzmechanismen wurden bisherhingegen nur unter Laborbedingungen erprobt und spiegeln den aktuellen Forschungsstandwider.

Passend zum Buch gibt es eine Webseite, auf der Sie Zusatzmaterial, insbesondereVorlesungsunterlagen, Links und Errata finden:http://linuxbuch.blogspot.com/

Ein mehrere hundert Seiten umfassendes Werk ist mit Sicherheit nie völlig frei vonFehlern. Eine Liste der aktuell bekannten Fehler finden Sie auf der oben genannten Web-seite. Sollten Sie selbst einen Fehler finden, der nicht in der Fehlerliste der Buchwebseiteenthalten ist, so würde ich mich über eine entsprechende E-Mail freuen, damit ich denFehler bekanntmachen und für zukünftige Auflagen bereinigen kann.

Einer Reihe von Menschen bin ich zu Dank verpflichtet. In erster Linie ist dies SybilleThelen, meiner Lektorin vom Springer-Verlag. Sie hat mitten in der Manuskripterstellungeiner Themenanpassung des Buchs zugestimmt und mir die dafür notwendige zusätzli-che Schreibzeit gewährt. Ich danke Ralf Borchers, der die sprachliche Durchsicht desManuskripts vornahm. Außerdem danke ich meinen Studentinnen und Studenten, die

VII

VIII Vorwort

in meinen Vorlesungen durch Fragen und Hinweise halfen, Inhalte zu perfektionieren,was insbesondere dienlich war, um fehlende Annahmen zu explizieren und Illustrationendidaktisch zu verfeinern.

Ich wünsche Ihnen bei der Lektüre dieses Buches viel Freude und hoffe, dass es IhrerBegeisterung für das spannende Gebiet der TCP/IP- und IoT-Sicherheit zuträglich seinwird.

Worms, Juni 2018 Steffen Wendzel

Inhaltsverzeichnis

1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Kapitelüberblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.3 Für wen dieses Buch geschrieben wurde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.4 Über den Autor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Teil I Grundlagen

2 Grundlagen der Netzwerktechnik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1.1 Reichweite von Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.1.2 Netzwerktopologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.2 Datenpakete, Einkapselung und die Entwicklung von TCP/IP . . . . . . . . . . 102.2.1 Einige Worte zum OSI-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.2.2 OSI- vs. TCP/IP-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.3 Grundzüge des TCP/IP-Modells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.3.1 Link Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.3.2 Internet Layer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.3.3 Transport Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242.3.4 Application Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.3.5 Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.4 Die wichtigsten Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.5 Link Layer: ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

2.5.1 Reverse-ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282.5.2 Proxy-ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

2.6 Internet Layer: IPv4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292.6.1 IP-Adressen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.6.2 Fragmentierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

IX

X Inhaltsverzeichnis

2.7 Internet Layer: ICMPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352.7.1 ICMP-Types 0 und 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352.7.2 ICMP-Type 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362.7.3 ICMP-Type 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.7.4 ICMP-Type 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.7.5 ICMP-Types 9 und 10. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.7.6 ICMP-Type 11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.7.7 ICMP-Type 12. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.7.8 Weitere ICMP-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

2.8 Internet Layer: IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392.8.1 Der IGMPv2-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

2.9 Internet Layer: IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402.9.1 IPv6-Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412.9.2 IPv6 Header Extensions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

2.10 Internet Layer: ICMPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432.11 Transport Layer: UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

2.11.1 Der UDP-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452.12 Transport Layer: TCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

2.12.1 TCP-Reliability. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462.12.2 Sende- und Empfangspuffer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482.12.3 Flusskontrolle (Flow-Control) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482.12.4 Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492.12.5 Kommunikationsphasen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

2.13 Application Layer: DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532.14 Application Layer: HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

2.14.1 Aufbau des HTTP-Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552.14.2 HTTP/2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

2.15 Application Layer: DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582.15.1 Resource Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602.15.2 Resolving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602.15.3 Der DNS-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612.15.4 DNS-Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

2.16 Application Layer: E-Mail- und Usenetprotokolle . . . . . . . . . . . . . . . . . . . . . . . 652.16.1 POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662.16.2 IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672.16.3 SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692.16.4 NNTP (Usenet) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

2.17 Application Layer: sonstige Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732.18 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742.19 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742.20 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Inhaltsverzeichnis XI

3 Grundlagen der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793.2 Schutzziele der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833.3 Schwachstellen, Verwundbarkeiten und Co. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843.4 Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

3.4.1 Discretionary Access Control (DAC) . . . . . . . . . . . . . . . . . . . . . . . . . . . 863.4.2 DAC-Erweiterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863.4.3 MAC und DAC: Das Bell-LaPadula-Modell. . . . . . . . . . . . . . . . . . . . 87

3.5 Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893.6 Privatsphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

3.6.1 Anonymität und Pseudonymität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913.6.2 Verkettbarkeit und Verfolgbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923.6.3 Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

3.7 Schadsoftware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953.7.1 Arten von Schadsoftware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953.7.2 Schadsoftware-Mechanismen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

3.8 IT-Sicherheit: ein Trade-off samt Vorschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . 993.9 Science of Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1003.10 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013.11 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013.12 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

Teil II Kryptografie

4 Einführung in die Kryptografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1074.1 Einführung und Grundbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1074.2 Grundlegende Begriffe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

4.2.1 Verschlüsselung und Entschlüsselung als Abbildungen . . . . . . . . 1094.2.2 Kryptografische Schlüssel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1104.2.3 Kryptosysteme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114.2.4 Symmetrische und Asymmetrische Kryptografie . . . . . . . . . . . . . . . 1114.2.5 Grundlegendes Angreifermodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

4.3 Historische Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1134.3.1 Transpositionschiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1134.3.2 Die Caesar-Chiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1134.3.3 Die Vigenère-Chiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1154.3.4 Die Vernam-Chiffre (One-Time-Pad) . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

4.4 Kryptoanalyse für historische Chiffren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1164.4.1 Skytale-Chiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1164.4.2 Caesar-Chiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1164.4.3 Kryptoanalyse der Vigenère-Chiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

XII Inhaltsverzeichnis

4.4.4 Kryptoanalyse der Vernam-Chiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1204.4.5 Weitere Anmerkungen zu historischen Chiffren . . . . . . . . . . . . . . . . 120

4.5 Stromchiffren und Zufallszahlengeneratoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214.5.1 Zufallszahlengeneratoren (PRNG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214.5.2 Der RC4-Algorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1224.5.3 Die A5/1- und A5/2-Algorithmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

4.6 Blockchiffren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1244.6.1 Der Data Encryption Standard (DES) . . . . . . . . . . . . . . . . . . . . . . . . . . . 1254.6.2 Der Advanced Encryption Standard (AES) . . . . . . . . . . . . . . . . . . . . . 1304.6.3 Blockchiffren-Betriebsmodi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

4.7 Informationstheorie und Kryptografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1334.7.1 Grundzüge der Informationstheorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1344.7.2 Informationstheorie in der Kryptografie . . . . . . . . . . . . . . . . . . . . . . . . 1374.7.3 Redundanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1384.7.4 Sicherheit eines Kryptosystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1384.7.5 Spurious Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1394.7.6 Unizitätsdistanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

4.8 Kryptografische Hashfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1414.8.1 Einweg-Hashfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1414.8.2 Kollisionsresistenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1424.8.3 Geburtstagsangriff und Substitutionsattacke . . . . . . . . . . . . . . . . . . . . 1434.8.4 Hashwertlänge im Kontext von Angriffen . . . . . . . . . . . . . . . . . . . . . . 1444.8.5 Wörterbuchangriff (Brute-Force-Angriff) . . . . . . . . . . . . . . . . . . . . . . . 1454.8.6 Hashwerttabellen und Regenbogentabellen . . . . . . . . . . . . . . . . . . . . . 1454.8.7 Sicherheit von Hashfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1484.8.8 Aufbau einer typischen Hashfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . 1484.8.9 Message Authentication Codes (MAC) . . . . . . . . . . . . . . . . . . . . . . . . . 1494.8.10 Hashfunktionen und Unix-Passwortdateien . . . . . . . . . . . . . . . . . . . . . 1504.8.11 Hashfunktionen und Filesystem Intrusion Detection . . . . . . . . . . . 1504.8.12 Hashfunktionen und Software Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1514.8.13 Hashfunktionen und Hashbäume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

4.9 Asymmetrische Kryptografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1524.9.1 Schlüsselaustausch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1534.9.2 Rivest-Shamir-Adleman-Algorithmus (RSA). . . . . . . . . . . . . . . . . . . 155

4.10 Digitale Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1574.11 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1574.12 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1584.13 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

Inhaltsverzeichnis XIII

5 Weiterführende Themen der Kryptografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1655.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1655.2 Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

5.2.1 Digitale Zertifikate und PKI-Bestandteile. . . . . . . . . . . . . . . . . . . . . . . 1665.2.2 Vertrauensmodelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

5.3 Virtuelle Private Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1715.3.1 IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1725.3.2 Transport Layer Security (TLS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

5.4 Anonymität und Onion-Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1795.4.1 Grundzüge der Mixe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1795.4.2 Angriffe gegen Anonymisierungssysteme . . . . . . . . . . . . . . . . . . . . . . 181

5.5 Visuelle Kryptografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1815.6 Secure Multi-Party Computation und homomorphe

Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1825.6.1 Dining Cryptographers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

5.7 Geteilte Geheimnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1835.8 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1845.9 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1855.10 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Teil III Netzwerksicherheit

6 Einführung in die Netzwerksicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1916.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1916.2 Angriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

6.2.1 Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1926.2.2 Wireless Wardriving. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1926.2.3 Protocol Fuzzing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1926.2.4 Sniffer und Promiscuous Mode. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1936.2.5 Man-in-the-Middle- und Spoofing-Angriffe . . . . . . . . . . . . . . . . . . . . 1936.2.6 Redirects (Routing-Angriffe) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1946.2.7 Denial-of-Service (DoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1956.2.8 Exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1966.2.9 Social Engineering und Advanced Persistent Threats . . . . . . . . . . 197

6.3 Verteidigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1986.3.1 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1986.3.2 Intrusion Detection und Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1996.3.3 Honeypots und Honeynets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

XIV Inhaltsverzeichnis

6.3.4 Sandboxing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2046.3.5 Threat Intelligence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

6.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2056.5 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2066.6 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

7 Angriffe auf TCP/IP-Netzwerkprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2097.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2097.2 Angriffe auf der Netzzugangsschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

7.2.1 Angriffe mit physikalischer Grobeinwirkung . . . . . . . . . . . . . . . . . . . 2107.2.2 Jamming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2107.2.3 Eavesdropping (Sniffing) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2107.2.4 Falsche Access Points . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2117.2.5 Sicherheit von ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

7.3 Angriffe auf der Internetschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2147.3.1 Reconnaissance (Aufklärung) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2147.3.2 IP-Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2177.3.3 Denial-of-Service-Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2187.3.4 Angriffe auf Basis von IP-Fragmenten . . . . . . . . . . . . . . . . . . . . . . . . . . 2207.3.5 Grundlegende Angriffe auf das IP-Routing . . . . . . . . . . . . . . . . . . . . . 2217.3.6 Weitere Anmerkungen zur Sicherheit von IPv6 . . . . . . . . . . . . . . . . 2247.3.7 Sicherheit von ICMPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

7.4 Angriffe auf der Transportschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2257.4.1 Sicherheitsaspekte von UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2257.4.2 Sicherheit von TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2267.4.3 Portscans mit TCP und UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

7.5 Angriffe auf der Anwendungsschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2307.5.1 Anmerkungen zur Reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2307.5.2 HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2317.5.3 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2327.5.4 E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2347.5.5 Telnet, R-Dienste und SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2357.5.6 NNTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2367.5.7 FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2367.5.8 Sonstige historische Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2387.5.9 Zusammenspiel mehrerer Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

7.6 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2387.7 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2397.8 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

Inhaltsverzeichnis XV

8 Absicherung der Netzwerkschichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2438.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2438.2 Absicherung auf der Netzzugangsschicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

8.2.1 Zutrittskontrolle und physikalischer Netzwerkzugang . . . . . . . . . 2448.2.2 Erwerb and Integration von Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . 2448.2.3 Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2458.2.4 Komponentenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2468.2.5 MAC-Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2478.2.6 Denial-of-Serivce-Eindämmung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2478.2.7 Virtuelle LANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2488.2.8 Absicherung des ARP-Caches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2498.2.9 IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2508.2.10 WLAN-Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

8.3 Absicherung auf der Internetschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2518.3.1 Härtung des IPv4/IPv6-Stacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2528.3.2 Firewalls für die IP-Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2528.3.3 SEND: Secure Neighbor Discovery Protocol . . . . . . . . . . . . . . . . . . . 253

8.4 Absicherung der Transportschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2548.4.1 Firewalls und Angriffserkennung für TCP und UDP . . . . . . . . . . . 2548.4.2 Portscan-Detektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2568.4.3 TCP-Härtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

8.5 Absicherung der Anwendungsschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2588.5.1 Generelle Anmerkungen zur Anwendungsschicht. . . . . . . . . . . . . . 2588.5.2 Proxyserver und Co. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2618.5.3 HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2648.5.4 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2658.5.5 E-Mail-Protokolle: SMTP, IMAP und POP3 . . . . . . . . . . . . . . . . . . . 2668.5.6 NNTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

8.6 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2698.7 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2708.8 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

Teil IV Vertiefung

9 Netzwerksteganografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2759.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2759.2 Methoden der Netzwerksteganografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

9.2.1 Grundlegende Taxonomie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2789.2.2 Versteckmuster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2799.2.3 Spezifische Versteckmethoden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

XVI Inhaltsverzeichnis

9.3 Gegenmaßnahmen zur Netzwerksteganografie . . . . . . . . . . . . . . . . . . . . . . . . . . . 2849.3.1 Detektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2869.3.2 Limitierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2889.3.3 Unterbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

9.4 Exkurs: Linguistische Steganografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2909.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2919.6 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2929.7 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

10 Sicherheit im Internet der Dinge. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29510.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29510.2 Schuld sind die anderen – der Cycle of Blame . . . . . . . . . . . . . . . . . . . . . . . . . . . 30110.3 Standardisierung (und Zertifizierung) im IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30310.4 Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30510.5 Smart Homes und Smart Buildings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306

10.5.1 Kommunikationsprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30710.5.2 Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30810.5.3 Angriffsdetektion und Härtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

10.6 Industriesteueranlagen (Industrial Control Systems) . . . . . . . . . . . . . . . . . . . . . 31210.6.1 Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31310.6.2 Angriffsdetektion und Härtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314

10.7 Stand der Verwendung von Kryptografie IoT-Protokollen . . . . . . . . . . . . . . . 31610.8 Generische IoT-Protokolle der Anwendungsschicht . . . . . . . . . . . . . . . . . . . . . 319

10.8.1 CoAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31910.8.2 MQTT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324

10.9 IT-Sicherheit weiterer IoT-Domänen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32510.9.1 Mobile IoT-Systeme (Smart Cars und Co.) . . . . . . . . . . . . . . . . . . . . . 32510.9.2 Electronic Healthcare (eHealth) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32610.9.3 Landwirtschaft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32710.9.4 Legacy-Equipment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328

10.10 Digitale Forensik für das IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32910.11 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33110.12 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33210.13 Übungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

Anhang A: Wichtige wissenschaftliche Zeitschriften und Tagungen . . . . . . . . . . . . . 339

Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

Abkürzungsverzeichnis

ACL Access Control ListAES Advanced Encryption StandardAH Authentication HeaderAPT Advanced Persistent ThreatARP Address Resolution ProtocolARS Anti Replay ServiceBACnet Building Automation Control NetworksBAN Body Area NetworkBAS Building Automation SystemBFR BACnet Firewall RouterBLP Bell-LaPadula-ModellBSC Binary Symmetric ChannelBSI Bundesamt für Sicherheit in der InformationstechnikCA Collision AvoidanceCA Certificate AuthorityCARP Common Address Redundancy ProtocolCBC Cipher Block ChainingCCM Counter with CBC-MACCFM Cipher Feedback ModeCGA Cryptographically Generated AddressCoRE Constrained RESTful Environments (Link Format)CPS Cyber-physical SystemCS Carrier SenseCSMA Carrier Sense Multiple AccessCSMA/CA CSMA/Collision AvoidanceCSMA/CD CSMA/Collision DetectionCTR Counter ModeCUING Criminal Use of Information Hiding (Initiative)DAC Discretionary Access ControlDDC Direct Digital ControlDEA Data Encryption Algorithm

XVII

XVIII Abkürzungsverzeichnis

DES Data Encryption StandardDH Diffie-HellmanDHM Diffie-Hellman-MerkleDNS Domain Name SystemEAP Extensible Authentication ProtocolECB Electronic Code BookECN Explicit Congestion NotificationECU Electronic Control UnitEDC Error Detection & CorrectionEIB European Interface BusESP Encapsulating Security PayloadFDDI Fiber Distributed Data InterfaceFTP File Transfer ProtocolGCM Galois/Counter ModeGMAC Galois Message Authentication CodeGNU GNU is Not Unix (rekursives Akronym)GnuPG GNU Privacy GuardGPS Global Positioning SystemGSM Global System for Mobile CommunicationsHAS Home Automation SystemHIDS Host-based Intrusion Detection SystemHMI Human Machine InterfaceHSRP Hot Standby Router ProtocolHTTP Hyper-text Transfer ProtocolICMP Internet Control Message ProtocolICS Industrial Control SystemICT Information and Communication TechnologyICV Integrity Check ValueIDS Intrusion Detection SystemIGMP Internet Group Management ProtocolIKE Internet Key ExchangeIoT Internet of ThingsIP(v4) Internet Protocol, version 4IPS Intrusion Prevention SystemIPv6 Internet Protocol, version 6IRC Internet Relay ChatISN Initial Sequence Number (für das TCP-Protokoll)KNX KonnexLAN Local Area NetworkLTE Long-Term EvolutionMA Multiple AccessMAC Medium Access Control

Abkürzungsverzeichnis XIX

- Message Authentication Code- Mandatory Access ControlMIME Multipurpose Internet Mail ExtensionsMitM Man-in-the-MiddleMLS Multilevel SecurityNIDS Network Intrusion Detection SystemNRU No Read-upNTP Network Time ProtocolNWD No Write-downOFM Output Feedback ModeOSI Open Systems InterconnectedOTP One-time Pad- One-time PasswordPAC Physical Access ControlPC Protocol ChannelPCAW Protocol (Switching Covert) Channel-aware Active WardenPDoS Permanent Denial-of-ServicePGP Pretty Good PrivacyPHB Per-hop BehaviorPHCC Protocol Hopping Covert ChannelPLC Programmable Logic ControlsPSCC Protocol Switching Covert ChannelPSK Pre-shared KeyPRNG Pseudo Random Number GeneratorRARP Reverse Address Resolution ProtocolRBAC Role-based Access ControlRC4 Ron’s Code 4RFC Request for CommentsRIP Routing Information ProtocolRNG Random Number GeneratorRSA Rivest, Shamir and AdlemanRTP Real-time Transport ProtocolRTU Remote Terminal UnitSA Security AssociationSBB Smart Building BotnetSCADA Supervisory Control And Data AcquisitionSDP Session Description ProtocolSEND Secure Neighbor DiscoverySIP Session Initiation ProtocolSMC Secure Multi-Party Computation, auch mit SPMC abgekürztSNMP Simple Network Management ProtocolSOA Start of Authority

XX Abkürzungsverzeichnis

SPMC Secure Multi-Party Computation, auch mit SMC abgekürztSPI Security Parameter IndexSRTP Secure Real-time Transport ProtocolTCP Transmission Control ProtocolTCPCT TCP Cookie TransactionsTLD Top-level DomainTTL Time to LiveUDP User Datagram ProtocolUSV Unterbrechungsfreie StromversorgungUUCP Unix-to-Unix-CopyVCS Visual Crypto SystemVLAN Virtual Local Area NetworkVoIP Voice over IPVoLTE Voice over LTEVRRP Virtual Router Redundancy ProtocolWEP Wired Equivalent PrivacyWFP Website FingerprintingWPA Wi-Fi Protected AccessXCBC Extended CBCXMPP Extensible Messaging and Presence Protocol