H. Krumm, RvS, Informatik IV, Uni Dortmund 1
Rechnernetze und verteilte Systeme (BSRvS II)
Prof. Dr. Heiko Krumm
FB Informatik, LS IV, AG RvSUniversität Dortmund
• Computernetze und das Internet• Anwendung• Transport• Vermittlung• Verbindung• Multimedia
• Sicherheit• Netzmanagement• Middleware• Verteilte Algorithmen
• Sicherheitsziele• Kryptographie abstrakt• Authentifikation• Integrität• Schlüsselverteilung und Zertifikate• Firewalls• Angriffe und Gegenmaßnahmen• IPsec
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 2
Kap. 7: Sicherheit im Netz
Lernziele: Prinzipien der Sicherheit
im Netz– Kryptographie und
Nutzungen, die über Vertraulichkeitsschutz hinausgehen
– Authentifikation
– Nachrichtenintegrität
– Schlüsselverteilung
Sicherheit in der Praxis– Firewalls
– Sicherheitsfunktionen in den Kommunikationsschichten
Wert
Eigentümer hat Interesse an
Angreifer missbraucht / schädigt
reduziertu.U. behaftet mit
will minimierenweiß u.U. vonerwirkt
Schutzmaßnahme
kann reduziertwerden durch
Risiko
Schwachstelle
Bedrohung
führt zu
fürnutzt auserhöhtvon
erzeugt
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 3
Kap. 7: Übersicht
7.1 Sicherheitsziele
7.2 Kryptographie abstrakt
7.3 Authentifikation
7.4 Integrität
7.5 Schlüsselverteilung und Zertifikate
7.6 Firewalls
7.7 Angriffe und Gegenmaßnahmen
7.8 Sicherheit in den verschiedenen Kommunikationsschichten
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 4
Sicherheitsziele
Vertraulichkeit Die drei immer genannten HauptzieleIntegritätVerfügbarkeit
Anonymität Es gibt weitere Ziele. Ziele können gegensätzlich seinNachvollziehbarkeit / Zurechenbarkeit…
Authentifikation Die beiden grundlegenden HilfsdiensteAutorisierung
Im Netz:Nachrichtenvertraulichkeit / IntegritätNachrichten--Absenderauthentifikation,Empfängerauthentifikation
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 5
Freunde und Feinde: Alice, Bob, Trudy
In der Welt der Netzsicherheit wohlbekannt Bob und Alice (befreundet!) wollen sicher kommunizieren Trudy (der Eindringling) kann Nachrichten abfangen, löschen, verändern,
einschleusen
SichererSender
SichererEmpfänge
r
Kanal Daten und Kontrollnachrichten
data data
Alice Bob
Trudy
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 6
Wer kann Bob und Alice sein?
… natürlich real-life Bobs und Alices! Web-Browser und Server, die elektronische Transaktionen asusführen
(e.g., On-line-Shop Einkauf) On-line Banking-Client und Server DNS-Server Router, die Routingtabellen aktualisieren weitere Beispiele?
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 7
Es gibt aber überall auch bad Guys (und Girls)!
F: Was kann ein “bad Guy” tun?A: Jede Menge!
– Abhören– aktiv neue Nachirchten einfügen / unterschieben– Maskerade: fälschen (spoof) der Quelladresse eines Pakets (oder anderer
Kontrollfelder)– Sitzungsübernahme (Hijacking) / Verbindungsübernahme– Verfügbarkeitsattacke (Denial of Service / DoS-Attacke)
darüber später mehr……
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 8
Kryptographie abstrakt
Symmetrische Verschlüsselung:Beide Schlüssel sind identisch – Shared Secret
Asymmetrische Verschlüsselung:Paar aus öffentlichem und privatem Schlüssel
(Public Key, Private Key), (Privater Schlüssel ist geheim)
Klartext/Plaintext Klartext/Plaintext
ciphertext
KA
encryptionalgorithm
decryption algorithm
Alices Verschlüsselungs-schlüssel
Bobs Entschlüsselungs-schlüsselK
B
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 9
Symmetrische Verschlüsselung
Symmetrische Verschlüsselung:Bob and Alice kennen beide gemeinsam denselben Schlüssel: Shared Secret KA-B
ProblemDas Shared Secret muss irgendwann vorher einmal auf sichere Weise kommuniziert worden sein: Man kann nur dann sicher kommunizieren, wenn man vorher schon einmal sicher kommunizieren konnte!
VorteilLeistungsfähige Algorithmen und Implementierungen verfügbar.
Beispiele: DES, TripleDES, AES
plaintextciphertext
KA-B
encryptionalgorithm
decryption algorithm
KA-B
plaintextmessage, m
K (m)A-B K (m)
A-Bm = K ( ) A-B
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 10
Public Key Kryptographie – Asymmetrische Verschlüsselung
plaintextmessage, m
ciphertextencryptionalgorithm
decryption algorithm
Bob’s public key
plaintextmessageK (m)
B+
K B+
Bob’s privatekey
K B-
m = K (K (m))B+
B-
Public Key Kryptographie [Diffie-Hellman76, RSA78] Es gibt kein geteiltes Geheimnis Alle kennen den öffentlichen Schlüssel Nur der Empfänger kennt den privaten Entschlüsselungsschlüssel
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 11
Authentifikation
Bob und Alice kommunizieren per Nachrichtenaustausch.
Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist
Protokoll ap1.0: Alice teilt mit “Ich bin Alice”
“I am Alice”
Fehlermöglichkeiten??
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 12
Authentifikation
Bob und Alice kommunizieren per Nachrichtenaustausch.
Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist
Protokoll ap1.0: Alice teilt mit “Ich bin Alice”
Da Bob Alice nichtsehen kann,
kann Trudy einfach behaupten, selbst Alice
zu sein
“I am Alice”
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 13
Authentifikation
Protokoll ap2.0:Alice teilt per IP-Paket mit ihrer IP-Adresse als Absenderadresse mit “Ich bin Alice”
“I am Alice”Alice’s
IP address
Fehlermöglichkeiten??
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 14
Authentifikation
Trudy can ein IP-Paketmit gefälschter
Absenderadresse erzeugen (IP-Spoofing)
“I am Alice”Alice’s
IP address
Protokoll ap2.0:Alice teilt per IP-Paket mit ihrer IP-Adresse als Absenderadresse mit “Ich bin Alice”
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 15
Authentifikation
Schwachstellen??
Protokoll ap3.0:Alice teilt mit “Ich bin Alice” und sendet ihr geheimes Passwort als Beweis mit
“I’m Alice”Alice’s IP addr
Alice’s password
OKAlice’s IP addr
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 16
Authentifikation
Wiedereinspiel-Attacke(Playback): Trudy hört Alices Paket
mit, kopiert es und sendet es später an Bob
Protokoll ap3.0:Alice teilt mit “Ich bin Alice” und sendet ihr geheimes Passwort als Beweis mit
“I’m Alice”Alice’s IP addr
Alice’s password
OKAlice’s IP addr
“I’m Alice”Alice’s IP addr
Alice’s password
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 17
Authentifikation
Schwachstellen??
Protokoll ap3.1:Alice teilt mit “Ich bin Alice” und sendet ihr geheimes Passwort in verschlüsselter Form als Beweis mit
“I’m Alice”Alice’s IP addr
encrypted password
OKAlice’s IP addr
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 18
Authentifikation
Protokoll ap3.1:Alice teilt mit “Ich bin Alice” und sendet ihr geheimes Passwort in verschlüsselter Form als Beweis mit
“I’m Alice”Alice’s IP addr
encryptedpassword
OKAlice’s IP addr
“I’m Alice”Alice’s IP addr
encryptedpassword
Wiedereinspiel-Attackefunktioniert immer noch
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 19
Authentifikation: Nächster Versuch
Ziel: Verhindere erfolgreiche Playback-Attacken
Schwachstellen??Achtung Alice: Bob hat sich nicht authentifiziert!
Nonce: Zahl, die nicht vorhersagbar ist und nur einmal benutzt wird (Nonce)
ap4.0: Als Beweis dafür, dass Alices Antwort “frisch” ist, sendet Bob eine Nonce R an Alice, Alice muss R in verschlüsselter Weise zurücksenden(Challenge-Response-Authentifkation)
“I am Alice”
R
K (R)A-B
Die Antwort ist frisch, und sie kommt von Alice, da nur sie (außer Bob) KA-B kennt und R verschlüsseln konnte.
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 20
Authentifikation mit Public Key Kryptographie
ap4.0 benötigt ein Shared Secret KA-B , das initial beiden bekannt sein muss
Geht es auch mit Public-Key-Verschlüsselung?
ap5.0: Nonce und Signatur
“I am Alice”
RBob berechnet
K (R)A-
“send me your public key”
K A+
(K (R)) = RA
-K A
+
und weiß, dass nur Alice ihren privaten Schlüssel
kennt, so dass nur sie die Nachricht erzeugen
konnte
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 21
ap5.0: Schwachstelle – “Man in the Middle” Angriff
Man (woman) in the middle attack:Trudy gibt sich bei Bob als Alice und bei Alice als Bob aus
I am Alice I am Alice
R
TK (R)
-
Send me your public key
TK
+A
K (R)-
Send me your public key
AK
+
TK (m)+
Tm = K (K (m))+
T-
Trudy gets
sends m to Alice encrypted with
Alice’s public key
AK (m)+
Am = K (K (m))+
A-
R
Problem: ZuordnungAlice – sollte für Bob prüfbar sein
AK
+
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 22
Digitale Unterschrift (Digital Signature)
Kryptographische Technik, welche die Funktion handschriftlicher Unterschriften erfüllen soll
Sender (Bob) signiert ein Dokument digital und bestätigt damit, dass er das Dokument so erzeugt hat
verifizierbar, fälschungssicher:Empfänger (Alice) kann Dritten gegenüber beweisen, dass Bob, und niemand anders (auch Alice nicht), das Doklument signiert haben muss
ABER:– Kryptoalgorithmen sind nicht ewig sicher:
Digitale Unterschriften müssen alle paar Jahre aufgefrischt werden
– Private Schlüssel können korrumpiert werden: Rückrufe
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 23
Digitale Signatur
Einfache digitale Signatur für eine Nachricht m: Bob signiert m dadurch, dass er m mit seinem privaten Schlüssel KB
-
verschlüsselt: KB-(m)
Dear Alice
Oh, how I have missed you. I think of you all the time! …(blah blah blah)
Bob
Bob’s message, m
Public keyencryptionalgorithm
Bob’s privatekey
K B-
Bob’s message, m, signed
(encrypted) with his private key
K B-(m)
Wenn Alice diese Nachricht empfängt, den öffentlichen Schlüssel von Bob kennt unddavon ausgehen kann, dass Bobs privater Schlüssel nur Bob bekannt ist:• Bob und kein anderer hat diese Nachricht so signiert• Bob kann nicht abstreiten, dass er die Nachricht signiert hatProbleme:• Asymmetrische Verschlüsselung ist rechenaufwendig• Wie erfährt Alice den öffentlichen Schlüssel KB
+ von Bob?
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 24
Message Digest – Kryptographische Hashfunktion
Das direkte Signieren langer Nachrichten kostet viel Rechenzeit
Ziel: effizient berechenbarer Fingerabdruck einer Nachricht m: Message Digest H(m)
H ist kryptographische Hashfunktion
BeispieleMD5 (RFC 1321) – computes 128-bit message digest in 4-
step process. – arbitrary 128-bit string x, appears
difficult to construct msg m whose MD5 hash is equal to x.
SHA-1 (NIST Standard)
Eigenschaften kryptographischer Hashfunktionen:
Abbildung langer Bytefolgen auf kürzere Folge
Nicht umkehrbar:Gegeben x = H(m), so ist es allzu aufwendig daraus m zu berechnen
Gegeben m und x=H(m), so ist es allzu aufwendig ein m’≠m zu finden, so dass x=H(m’) gilt.
Es ist allzu aufwendig, überhaupt zwei m, m‘ zu finden, so dass H(m)=H(m‘) gilt
large message
m
H: HashFunction
H(m)
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 25
Internet Checksum: Zu schwach um Kryptohashfunktion zu sein
Internet Checksum hat einige Hashfunktionseigenschaften: Abbildung auf kurze Bytefolge Streuung
Aber, es ist sehr leicht, zu einer Nachricht m eine andere Nachricht m’ zu finden, welche denselben Funktionswert hat:
I O U 10 0 . 99 B O B
49 4F 55 3130 30 2E 3939 42 D2 42
message ASCII format
B2 C1 D2 AC
I O U 90 0 . 19 B O B
49 4F 55 3930 30 2E 3139 42 D2 42
message ASCII format
B2 C1 D2 AC
Verschiedene Nachrichtenaber gleiche Prüfsummen!
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 26
large message
mH: Hashfunction H(m)
digitalsignature(encrypt)
Bob’s private
key K B-
+
Bob sendet digital signierte NachrichtAlice verifiziert die Signatur und die Integrität der signierten Nachricht
KB(H(m))-
encrypted msg digest
KB(H(m))-
encrypted msg digest
large message
m
H: Hashfunction
H(m)
digitalsignature(decrypt)
H(m)
Bob’s public
key K B+
equal ?
Digitale Signatur = Signierter Message Digest
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 27
Vertrauenswürdige dritte Parteien
Verwaltung symmetrischer Schlüssel:
Wie können 2 Parteien im Netz ein Shared Secret etablieren?
Lösung: Key Distribution Center (KDC)
wirkt als Mittler zwischen den Parteien– statt n2 Shared Secrets zwischen
allen Paaren sind initial nur n Shared Secrets zwischen KDC und den Parteien einzurichten
– KDC generiert bei Bedarf Sitzungsschlüssel für 2 Parteien
Public Key Zertifizierung: Wenn Alice den öffentlichen
Schlüssel von Bob erfährt, wie kann sie sicher sein, dass das wirklich Bobs öffentlicher Schlüssel ist
Lösung: Zertifizierungsstelle (Certification
Authority CA)
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 28
Key Distribution Center (KDC)
Alice, Bob brauchen ein Shared Secret zur effizienten sicheren Kommunikation KDC: Server verwaltet je Partei einen geheimen Schlüssel Alice und Bob kennen jeweils ihre eigenen geheimen Schlüssel, KA-KDC KB-KDC , mit
deren Hilfe sie mit dem KDC authentifiziert kommunizieren können. Wenn Alice eine Sitzung mit Bob durchführen will, lassen sie sich vom KDC einen
Sitzungsschlüssel als Shared Secret zwischen Alice und Bob erzeugen
KB-KDC
KX-KDC
KY-KDC
KZ-KDC
KBauzi-
KDCKB-KDC
KA-KDC
KA-KDC
KBauzi-
KDC
KDC
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 29
Key Distribution Center (KDC)
Aliceknows
R1
Bob knows to use R1 to
communicate with Alice
Alice und Bob kommunizieren effizient: Sie nutzen R1 als Session Key für die symmetrische
Verschlüsselung
Wie erfährt Bob den Sitzungsschlüssel R1?KDC erzeugt “Ticket”, das von Alice unveränderbar an Bob weitergegeben wird
KDC generates
R1
KB-KDC(A,R1)
KA-KDC(A,B)
KA-KDC(R1, KB-KDC(A,R1) )
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 30
Zertifizierungsstellen (Certification Authorities CAs)
Certification Authority (CA): Verwalte die Bindung eines öffentlichen Schlüssels an Person / Partei E.
E registriert seinen öffentlichen Schlüssel bei CA.– E weist sich bei CA aus (z.B. mit dem Personalausweis)
– CA erzeugt einen Datensatz, das Zertifikat, das die Bindung von KE+ an E
dokumentiert
– Zertifikat: “KE+ ist öffentlicher Schlüssel von E” digital signiert von CA
Bob’s public
key K B+
Bob’s identifying
information
digitalsignature(encrypt)
CA private
key K CA-
K B+
certificate for Bob’s public key,
signed by CA
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 31
Inhalt eines Zertifikats
Seriennummer (eindeutig für alle Zertifikate derselben CA) Information zur Partei: Name, Art
– auch (hier nicht sichtbar) öffentlicher Schlüssel sowie Angaben zu unterstützten Kryptoalgorithmen
Info zu CA
Gültigkeitszeitdauer
Signatur der CA
Weitere Aufgaben einer CA Zeitstempel Rückruf-Listen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 32
Firewalls
Verkehrskontrolleinrichtung an Grenze eines Firmennetzes zum öffentlichen Netz hin (auch an Innennetzgrenzen zu sensiblen Subnetzen): Lässt manche Kommunikation zu, manche nicht.
Firewall
administerednetwork
publicInternet
firewall
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 33
Firewalls: Motivation
Eigentlich sind Firewalls nicht nötig, weil alle Hosts und Router nur vorgesehene Dienste an vorgesehene Nutzer erbringen sollen und dies durch die Autorisierungs- und Authentifikationsdienste der Rechner kontrolliert wird.
Aber es gibt immer wieder unvorhergesehene Schwachstellen, die aus Programmier- und Administrationsfehlern resultieren.
Deshalb sollen Firewalls zusätzlich unabhängig von den anderen Diensten unerwünschten Verkehr abblocken und damit die Angriffsfläche verkleinern.
Ferner Abwehr von Verfügbarkeitsangriffen auf das Innennetz Abwehr von IP-Spoofing-Angriffen Oft in Verbindung mit NAT Oft in Verbindung mit VPN
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 34
Firewalls: Architektur
Drei Aspekte Netztopologie
– Innennetz – Außennetz,Firewall an Verbindungswegen
Filterfunktion3 Filtertypen– Applikationsfilter
– Verbindungsfilter
– Paketfilter (statisch / dynamisch) Filteranordnung
– nur ein Router mit Paketfilter
– mehrere zusammenwirkende Filter und Knoten» Dual homed Bastion Host
» Screened Subnet
administerednetwork
publicInternet
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 35
Paket-Filter
Router, der Innen- undAußennetz verbindet, hat Paketfilterfunktion
Liste aus Filterregelnder Form“Interface, Bedingung über Paket-Header, Aktion”
Bedingung:– source IP address, destination IP
address, TCP/UDP source and destination port numbers
– ICMP message type, TCP SYN and ACK bits
Aktion: Paket durchlassen, verwerfen (mit / ohne Alarm)
Statische und dynamische Filter
Should arriving packet be allowed
in? Departing packet let out?
Filterlisten – Aufbau
Vorne: Anti-Spoofing Regeln verbieten, dass von außen Pakete mit Innenadressen durchkommen
Mitte: Nur positive Regeln für den notwendigen Verkehr
Hinten: Negative Regeln, die den ganzen Rest verbieten.
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 36
Verbindungsfilter Realisierung durch einen Prozess
“Verbindungs-Gateway” auf einemFirewall-Host
Es werden keine direkten Transportverbindungen mehr zwischen Außen- und Innennetz zugelassen:– Stattdessen 2 Verbindungen:
Client – Gateway und Gateway – Server
Gateway packt die TCP-Nutzdaten aus und verpackt sie selbst wieder
Prüfung der TCP-Adressen und Formate, Erschweren von Formatfehler- und Segmentierungsattacken
Die eigentlichen Anwendungsdaten können nicht untersucht werden, weil das Verbindungsgateway das Anwendungsprotokoll nicht kennt
TCP-VerbindungHost -- Gateway
TCP-VerbindungGateway -- Server
Verbindungs-Gateway
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 37
Applikationsfilter
host-to-gatewaytelnet session
gateway-to-remote host telnet session
applicationgateway
Realisierung durch einen Prozess “Applikationsgateway” auf einemFirewall-Host, z.B. Telnet-Gateway
Es werden keine direkten Anwendungsverbindungen mehr zwischen Außen- und Innennetz zugelassen:
– Stattdessen 2 Verbindungen:Client – Gateway und Gateway – Server
Gateway packt die Anwendungsnutzdaten aus und verpackt sie selbst wieder
Gateway kann Anwendungsdaten interpretieren, da speziell für bestimmten Anwendungstyp erzeugt:
– Nutzerkennungen, Authentifikation und Autorisierung
– Zusatzdaten (z.B. Mail-Anhänge, Active X, Applets)
Ein Applikationsgateway wird oft auch Applikations-Proxy oder Applikationsfilter genannt
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 38
Firewall Filteranordnung
Innennetz Außennetz
Router mit Paketfilterfunktion
Screening Router
Innennetz Außennetz
Host mit Anwendungs- oderVerbindungsfiltern
Bastion Host
Innennetz Außennetz
Host mit Anwendungs- oderVerbindungsfiltern und 2 Netzinterfaces
Dual Homed Bastion Host
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 39
Firewall Filteranordnung
Innennetz Außennetz
ExteriorScreeningRouter
Screened Subnet Firewall
InteriorScreeningRouter
ScreenedSubnet
BastionHosts
Firewall besteht aus 2 Paketfiltern und einigen Bastion Hosts– Paketfilter schützen die Bastion Hosts und erzwingen, dass Verkehr nur über die
Gateways der Bastion Hosts stattfindet– Bastion Hosts tragen die Anwendungsgateways
z.B. auch E-Mail-Proxy mit Virenscanner
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 40
Firewall Filteranordnung
Innennetz Außennetz
ExteriorScreeningRouter
Fire-wall DMZ
Bastion-Hosts
Demilitarisierte Zone (DMZ) “Niemandsland” enthält Server, die von außen zugänglich sein sollen, z.B.:– WWW-Server– FTP-Server
DMZ ≠ Firewall: Separate Firewalls zum Schutz der DMZ und des Innennetzes nötig
Wenn ein Angreifer einen Server-Host übernehmen konnte, versucht er von dort aus, das Innennetz anzugreifen
Server-Hosts
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 41
Typische Bedrohungen im Internet (Internet Security Threats)
Mapping und Scanning: – Vor dem eigentlichen Angriff: Erkunde das Netz, finde heraus, welche
Hosts, Dienste, Betriebssysteme vorhanden sind– ping kann zeigen, welche Host-Adressen vergeben sind
(auch Verzeichnisse sind nützlich)– Port-Scanning: Versuch, zu jedem TCP Port eine Verbindung
aufzubauen bzw. jeden UDP-Port anzusprechenKommt eine Reaktion, welche?Bekannte Schwachstellen und Angriffsmuster durchspielen.
» nmap (http://www.insecure.orig/nmap/) mapper: “network exploration and security auditing”
– Ferner: Versuch, sich einzuloggen, Versuch FTP-Server-Account anzusprechen. Nutzernamen und Passwörter raten.Defaultmäßig eingerichete Accounts antesten.
Schutzmaßnahmen?
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 42
Internet Security Threats: Schutzmaßnahmen
Verkleinere Angriffsfläche Firewalls Auf Desktop-PC: Personal Firewall Gehärtete Konfiguration
Bemerke Besonderheiten Log-Erzeugung und Prüfung (Logging and Audit) Verkehrsstatistiken führen und überwachen Systemkonfiguration und Dateien überwachen (Tripwire) IDS – Automatische Angriffserkennunng (Intrusion Detection Systeme)
Entferne Schwachstellen Aktualisiere Systeme, wenn Patches verfügbar Scanne selbst, um Schwachstellen zu finden
Wehre bösartigen Code ab Virenscanner, Firewall, gehärtete Konfiguration, eingeschränkte Nutzeraccounts
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 43
Internet Security Threats
Auch das Innennetz ist nicht sicher: Packet Sniffing – Ethernet hat Broadcast-Segmente
– Angreifer kann seinen NIC so einstellen, dass er jedes Paket mitliest (promiscuous Mode)
– nicht-verschlüsselte Daten können gelesen werden (e.g. Passwörter)
– verschlüsselte Pakete können wieder eingespielt werden
– e.g.: C snifft Bs Pakete
A
B
C
src:B dest:A payload
Schutzmaßnahmen?• 1 Host per Segment (Switches)• geschützte VPN-Verbindungen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 44
Internet Security Threats
IP-Spoofing: – Der Sender eines IP-Pakets fälscht die Absender-Adresse
– Der Empfänger kann nie sicher sein, dass die Absender-Adresse stimmt
– e.g.: C pretends to be B
A
B
C
src:B dest:A payload
Schutzmaßnahmen?• Paketfilter enthalten Anti-Spoofing Regel (Grober Schutz gegen Adressbereichs-übergreifendes Spoofing)• authentifizierte VPN-Verbindungen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 45
Internet Security Threats
Verfügbarkeitsangriffe (Denial of Service Attacken DoS): – Flut böswillig generierter Pakete überlastet den Empfänger
– Distributed DoS (DDoS): koordinierte Angriffe vieler Sender (z.B. durch von Trojanern verseuchten Internet-User-PCs aus)
– e.g., SYN-Angriff (führt zu halboffenen TCP-Verbindungen)
A
B
C
SYN
SYNSYNSYN
SYN
SYN
SYN
Schutzmaßnahmen?• Herausfiltern (Firewall) - Problem: Wie trennt man Gute von Schlechten?• Rückverfolgen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 46
Sichere E-Mail: Vertraulichkeit
Alice: Prüft Bobs Zertifikat: Gültig? Generiert per Zufallsgenerator symmetrischen Secret Key KS
Verschlüsellt Nachricht mit KS (Effizienz) verschlüsselt KS mit Bobs öffentlichem Schlüssel sendet beides, KS(m) und KB(KS), in E-Mail an Bob Bob entschlüsselt erst KB(KS), dann KS(m)
Alice will vertrauliche Mail m an Bob senden Bob hat zertifizierten öffentlichen Schlüssel
KS( ).
KB( ).+
+ -
KS(m )
KB(KS )+
m
KS
KS
KB+
Internet
KS( ).
KB( ).-
KB-
KS
mKS(m )
KB(KS )+
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 47
Sichere E-Mail: Integrität und Authentizität
Alice möchte, dass Bob von der Authentizität und Integrität der Mail ausgehen kann
• Alice signiert ihre Nachricht digital• sie sendet Klartextnachricht, Signatur und Zertifikat
H( ). KA( ).-
+ -
H(m )KA(H(m))-
m
KA-
Internet
m
KA( ).+
KA+
KA(H(m))-
mH( ). H(m )
compare
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 48
Sichere E-Mail: Vertraulichkeit, Integrität und Authentizität
Alice möchte Vertraulichkeit, Integrität und Authentizitätgewährleisten.
Alice benutzt drei Schlüssel:Ihren eigenen privaten Schlüssel, Bobs öffentlichen Schlüssel und einen zufällig erzeugten symmetrischen Schlüssel
H( ). KA( ).-
+
KA(H(m))-
m
KA-
m
KS( ).
KB( ).+
+
KB(KS )+
KS
KB+
Internet
KS
50
Abstrakte Verfahrenstypen
Hashcode:Pre-Image-Resistance (Urbildresistenz),Collision-Resistance (Kollisionsresistenz)
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 51
Sichere E-Mail: Problem PKI
PKI: Public Key Infrastructure1. anerkannte Certification Authorities (CAs)2. Nutzer müssen dort auch ein Zertifikat haben
Kosten der Zertifikate
Interessant„Billige“ Lösungenz.B. PGP Web of Trust:
Nutzer zertifizieren sich gegenseitig
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 52
TLS / SSL: Transport Layer Security / Secure Socket Layer
“Aufsatz” auf TCP-Verbindungen:– (optionale) Authentifikation der
Partnerprozesse– Vertraulichkeit, Integrität und
Authentizität der Nachrichten per Verschlüsselung
in Anwendungsprozessen zu implementieren, z.B. im Web-Browser und im Web-Server (shttp)
Betrieb in 2 Phasen1. Vorbereitung
– Authentifikation, Kryptoparameterabstimmung, Sitzungsschlüsselaustausch
2. Kommunikation “Wie TCP” über Sockets
Server Authentifikation:– SSL-Enabled Browser enthält Zertifikate
vertrauenswürdiger CAs.– Browser fordert von einem kontaktierten
Server dessen Zertifikat an, das von einer dieser CAs ausgestellt sein muss
– Browser prüft mit dem CA-Zertifikat, ob das Server-Zertifikat gültig ist(Problem: Rückrufe)
Schauen Sie mal in die Einstellungen Ihres Browsers um die CA-Liste einzusehen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 53
IPsec
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 54
IPsec: Network Layer Security
IPsec ist im Protokoll IP V6 enthaltenEs kann auch in IP V4 eingesetzt werden
IPsec sichert den IP-Paketaustausch zwischen Netzknoten
IPsec wird als “Aufsatz” auf IP im Kern des Host-Betriebssystems implementiert und durch Administrationsparameter aktiviert– Vorteil: Keine Änderungen oder
Ergänzungen der Anwendungsprozesse nötig
– Nachteil: Knoten und nicht individuelle Anwendungsprozesse bilden die Endpunkte der gesicherten Kommunikation
Problem:– IP ist verbindungslos/sitzungslos– Effiziente Kommunikation verlangt
Sitzungsschlüssel als Shared Secret Lösung: Konzept der Security Association SA
– Je Paar aus Quelle und Ziel (also auch je Richtung) wird SA definiert
– Alle passenden IP-Pakete gehören zur SA, solange SA existiert
Betrieb ähnlich SSL: 2 Phasen– SA Aufbau– Paketaustausch
SA-Aufbau wird durch Knotenadministration gesteuert:Security Policy Definition (SPD) legt für “Quelle Ziel” fest, ob und mit welchen Parametern eine SA einzurichten ist, so dass die IP-Pakete, die diesem Muster folgen, nur innerhalb einer solchen SA ausgetauscht werden.
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 55
IPsec - Implementierung
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 56
IPsec - Implementierung
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 57
Security Policy Definition
• Quelladresse oder Quelladressbereich,• Quell-Portnummer oder Nummernmenge,• Zieladresse oder Zieladressbereich,• Ziel-Portnummer oder Nummernmenge,• UserID des lokalen Nutzers,• Datensensitivität (secret / unclassified),• Transportprotokollkennung oder Transportprotokoll-Kennungsmenge,• IP V6: Klasse und FluSSLabel / IP V4: Type of Service,• Action (IPsec anwenden / IPsec umgehen / Paket verwerfen),• IPsec-Schutz (AH, ESP, AH+ESP), Kryptoverfahren und Parameter,• Menge von Verweisen auf entsprechende, derzeit bestehende SAs.
Eintrag1IP-Paket – Adress-, Protokoll-BedingungIKE-SA – Partner, AuthentifikationSA – IPsec Header, Modus, Verfahren, Lebensdauer
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 58
IPsec Internet Key Exchange und Authentifikation
IKE Phase 1 –> IKE-SA IKE Phase 2 –> Nutz-SA Nutzdatenaustausch.
• Preshared Secrets
• Digitale Signatur
• Public Key Verschlüsselung
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 59
Transportmodus
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 60
Tunnelmodus
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 61
AH-Header
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 62
ESP-Header
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 63
IPsec: VPN-Bildung über IPsec-Tunnel
Intranet– Firmennetz besteht aus Filialnetzen
– Sie werden über das öffentliche Internet verbunden
– Die Grenzrouter der Filialnetze richten dazu zueinander IPsec Tunnel ein
Remote Access (abgesetzter Zugang)– Heimarbeitsstationen
– Notebooks von Reisenden
– Ipsec-Tunnel zwischen Router des Firmennetzes und abgesetztem Host
– z.B. allein mittels Ipsec-Policies implementierbar
– Komfortlösung: VPN-Clientsoftware Extranet
– Ausgewählte Subnetze oder Hosts von Geschäftspartnern werden mittels Tunneln verbunden
Grenzrouter 1
IP-Paket
Innennetz1
IP-Paket
IP-Paket
Grenzrouter 2
Internet
Innennetz2
IP-Paket
Tunnel
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 64
IEEE 802.11 Wireless LAN Security
WLAN-Frames können leicht abgehört werden– Funkwellen halten sich nicht an die Grundstücksgrenzen
– es gibt Richtantennen Sicherheitsfunktionen
– Authentifikation und Verschlüsselung
Wired Equivalent Privacy (WEP): Ein schwacher Versuch– Authentifikation a la ap4.0, Shared Secret und Challenge Response basiert
» Host sendet Request an Access Point, der antwortet mit 128-Bit Nonce
» Host sendet verschlüsselte Nonce zurück
– Keine dynamische Schlüsselverteilung
– Es gibt für Access Point und alle Hosts ein Gruppen-“Shared Secret“Daraus werden alle benötigten Schlüssel abgeleitet.
– Verschlüsselung ist relativ leicht zu brechen
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 65
WEP Verschlüsselung
Host/AP share 40 bit symmetric key Host appends 24-bit initialization vector (IV) to create 64-bit key 64 bit key used to generate stream of keys, ki
IV
kiIV used to encrypt ith byte, di, in frame: ci = di XOR ki
IV
IV and encrypted bytes, ci sent in frame
IV (per frame)
KS: 40-bit secret
symmetric key k1
IV k2IV k3
IV … kNIV kN+1
IV… kN+1IV
d1 d2 d3 … dN
CRC1 … CRC4
c1 c2 c3 … cN
cN+1 … cN+4
plaintext frame data
plus CRC
key sequence generator ( for given KS, IV)
802.11 header IV
WEP-encrypted data plus CRC
Figure 7.8-new1: 802.11 WEP protocol
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 66
Brechen der 802.11 WEP Verschlüsselung
Schwachstelle: 24-bit IV, one IV per frame, IV’s eventually reused IV transmitted in plaintext IV reuse detected
Angriff:– Trudy causes Alice to encrypt known plaintext d1 d2 d3 d4 …
– Trudy sees: ci = di XOR kiIV
– Trudy knows ci di, so can compute kiIV
– Trudy knows encrypting key sequence k1IV k2
IV k3IV …
– Next time IV is used, Trudy can decrypt!
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 67
802.11i: Verbesserte Sicherheit im WLAN
man kann deutlich stärker verschlüsseln dynamische Schlüsselverteilung wird unterstützt bindet einen separaten Authentifikationsserver ein, der nicht mit dem
Access Point zusammenfällt(z.B. Kerberos, RADIUS)
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 68
AP: access point AS:Authentication
server
wirednetwork
STA:client station
1 Discovery ofsecurity capabilities
3
STA and AS mutually authenticate, togethergenerate Master Key (MK). AP servers as “pass through”
2
3 STA derivesPairwise Master
Key (PMK)
AS derivessame PMK, sends to AP
4 STA, AP use PMK to derive Temporal Key (TK) used for message
encryption, integrity
802.11i: Vier Phasen des Betriebs
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 69
wirednetwork
EAP TLSEAP
EAP over LAN (EAPoL)
IEEE 802.11
RADIUS
UDP/IP
EAP: Extensible Authentication Protocol
EAP: Protokoll zwischen mobilem Client und dem Authentifikationsserver
Ist erweiterbar, d.h. kann verschiedene Authentifikationsverfahren einbetten, z.B. RADIUS
Authentifikation über verschiedene Teilstrecken abgewickelt– mobiler Client – Access Point (EAP over LAN)
– Access Point – Authentifikationsserver (RADIUS over UDP)
70
Grundregeln
Massendaten sind symmetrisch zu verschlüsseln.Eine asymmetrische Verschlüsselung wäre zu ineffizient.Massendaten sind nur mit kurzlebigen Schlüsseln zu verschlüsseln.Man möchte verhindern, dass einem Angreifer viel Kryptotext und viel Zeit zur Verfügung stehen.Man soll darauf achten, dass die Partneridentität authentifiziert ist.Dies soll Angriffsszenarien wie z.B. Man-in-the-Middle-Angriffe verhindern.Auf Frischheit achten.Alte Identitätsnachweise können gefälscht sein. Alte verschlüsselte Nachrichten können entschlüsselt worden sein.Keine Festlegungen auf Dauer treffen.Nur überschaubare Gültigkeitszeiträume verwenden, und die Möglichkeit des vorzeitigen Rückrufs vorsehen. Keine ewig gültigen Ausweise und Schlüssel einführen. Dies soll es ermöglichen auf unvorhergesehene Besonderheiten konservativ zu reagieren (z.B. EC-Karten-Verlust → EC-Karte sperren).No Security through Obscurity.Man soll sich darauf konzentrieren können, die geheimen Schlüssel zu schützen. Dort geben die Schlüssellänge und die Art der Generierung genaue Auskunft zur Stärke des Schlüssels. Das Verbergen von Verfahrensdetails kann dagegen kaum genauer in seinem Beitrag zur Sicherheit bewertet werden. Auguste Kerckhoff von Nieuwenhof:„Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus’ abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüssels.“, 1883.
H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright 1996-2004) 71
Kap. 7: Sicherheit im Netz
Lernziele: Prinzipien der Sicherheit
im Netz: – Kryptographie und Nutzungen,
die über Vertraulichkeitsschutz hinausgehen
– Authentifikation
– Nachrichtenintegrität
– Schlüsselverteilung
Sicherheit in der Praxis:– Firewalls
– Sicherheitsfunktionen in den Kommunikationsschichten
Wert
Eigentümer hat Interesse an
Angreifer missbraucht / schädigt
reduziertu.U. behaftet mit
will minimierenweiß u.U. vonerwirkt
Schutzmaßnahme
kann reduziertwerden durch
Risiko
Schwachstelle
Bedrohung
führt zu
fürnutzt auserhöhtvon
erzeugt
Top Related