Sicherheit von Internet- und Intranetdiensten
- Art: Diplomarbeit
- Autor: Florian Fuchs
- Abgabedatum: September 2001
- Umfang: 132 Seiten
- Dateigröße: 917,8 KB
- Note: 2,0
- Institution / Hochschule: Universität Klagenfurt Österreich
- ISBN (eBook): 978-3-8324-7060-9
-
ISBN (Paperback) :
978-3-8324-7060-9 P - ISBN (CD) :978-3-8324-7060-9 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Fuchs, Florian September 2001: Sicherheit von Internet- und Intranetdiensten, Hamburg: Diplomica Verlag
- Schlagworte: Signatur, Verschlüsselung, TCP, IP, Netzwerke
In den Warenkorb
48,00 €
Diplomarbeit von Florian Fuchs
Einleitung:
Netzwerke gewinnen immer mehr an Bedeutung. Während noch vor einigen Jahren die meisten Heimcomputer nicht vernetzt waren, hat sich das mit der Verbreitung des Internets rasch geändert, aus ehemaligen Einzelplatzrechnern wurden Teilnehmer in einem großen Netzwerk. Auch viele Firmen haben ihre bestehenden Systeme in das Internet eingebunden.
Dadurch ist aber auch das Sicherheitsbedürfnis gestiegen. Heute ist es für einen Angreifer kein Problem mehr zum Beispiel von Europa aus eine Firma in Australien erfolgreich zu attackieren und dieser einen großen wirtschaftlichen Schaden zuzufügen. Aber auch im privaten Bereich gewinnt die Systemsicherheit immer mehr an Bedeutung, da Personen ihre Privatsphäre schützen wollen.
In dieser Diplomarbeit möchte ich verschiedene Aspekte von Internet- und Intranetsicherheit behandeln. In Kapitel 2 erkläre ich die wichtigsten Grundbegriffe im Zusammenhang mit Systemsicherheit, damit auch Leser, die mit diesem Thema nicht so vertraut sind, die nachfolgenden Kapitel leicht verstehen können. Kapitel 3 beschreibt kurz das OSI- und das TCP-Modell und den allgemeinen Aufbau von Netzwerken. Anschließend werden in Kapitel 4 allgemeine Sicherheitsprobleme angeführt, auf die in der Arbeit öfter eingegangen wird. Um dem Leser die Relevanz von Sicherheitsbedrohungen näher zu bringen, habe ich in Kapitel 5 einige bedeutende Angriffe beschrieben.
Auf Sicherheitsprobleme in bestehenden Netzwerkprotokollen gehe ich in Kapitel 6 näher ein. Dabei beschreibe ich zuerst einige Netzwerkprotokolle und gehe dann anschließend jeweils auf deren Sicherheitsprobleme ein. Die Protokolle wurden von mir so ausgewählt, dass sie einerseits sehr bekannt sind und häufig eingesetzt werden, andererseits aber möglichst viele Sicherheitsprobleme aufwerfen. Einige Sicherheitsmaßnahmen, die getroffen werden können um Systeme zu sichern, stelle ich in Kapitel 7 vor. In Kapitel 8 zeige ich exemplarisch verbesserte Protokolle, die mehr Sicherheit bieten sollen. Einige von diesen weisen aber auch Schwächen auf, die ich dann jeweils beschreibe. In Kapitel 9 bringe ich eine kurze Zusammenfassung, die die wesentlichen Aspekte von Sicherheit im Internet und Intranet noch einmal betont.
Wesentlich ist jedoch, dass sich der Leser immer vor Augen hält, dass ”Sicherheit wie eine Kette ist, die so stark ist wie ihr schwächstes Glied. Sicherheit ist ein Prozess und kein Produkt” (vgl. [Schoob], Seite xii). Damit ist gemeint, dass die Sicherheit eines Systems immer von mehreren Faktoren abhängt, wobei sich die Faktoren zum Beispiel durch neue Erkenntnisse oder Anforderungen mit der Zeit ändern können.
Inhaltsverzeichnis:
| 1 | Einleitung | 11 |
| 2 | Grundbegriffe | 13 |
| 2.1 | Authentizität | 13 |
| 2.2 | Integrität | 13 |
| 2.3 | Vertraulichkeit | 13 |
| 2.4 | Beweisbarkeit | 14 |
| 2.5 | Anonymität | 14 |
| 2.6 | Verfügbarkeit | 15 |
| 2.7 | Symmetrische Verschlüsselung | 15 |
| 2.8 | Asymmetrische Verschlüsselung | 16 |
| 2.9 | Hashfunktionen | 18 |
| 2.10 | Zufallszahlen | 18 |
| 2.11 | Covert Channel | 19 |
| 2.12 | Auditing | 19 |
| 2.13 | Digitale Signaturen | 20 |
| 3 | OSI-Referenz Modell | 23 |
| 3.1 | Physical Layer | 23 |
| 3.2 | Data Link Layer | 23 |
| 3.3 | Network Layer | 24 |
| 3.4 | Transport Layer | 25 |
| 3.5 | Session Layer | 25 |
| 3.6 | Presentation Layer | 26 |
| 3.7 | Application Layer | 26 |
| 3.8 | TCP/IP-Reference Model | 27 |
| 3.8. | Host-to-Network Layer | 27 |
| 3.8.2 | Internet Layer | 27 |
| 3.8.3 | Transport Layer | 27 |
| 3.8.4 | Application Layer | 27 |
| 4 | Allgemeine Sicherheitsprobleme | 29 |
| 4.1 | Denial-of-Service-Attacke | 29 |
| 4.2 | Man-in-the-middle-Attacke | 29 |
| 4.3 | Sniffing | 30 |
| 4.4 | Spoofing | 30 |
| 4.5 | Trojanische Pferde | 30 |
| 4.6 | Viren und Würmer | 30 |
| 5 | Bedeutende Angriffe in der Vergangenheit | 33 |
| 5.1 | Internetwurm | 33 |
| 5.2 | Melissa-Virus | 36 |
| 5.3 | Distributed Denial-of-Service-Attacken | 38 |
| 5.4 | Echelon | 41 |
| 6 | Netzwerkprotokolle und deren Sicherheitsbedrohungen | 45 |
| 6.1 | IP-Protokoll | 45 |
| 6.2 | ARP | 46 |
| 6.3 | PPP | 48 |
| 6.4 | ICMP | 49 |
| 6.4.1 | Authentizitätsprobleme | 50 |
| 6.4.2 | Verfügbarkeitsprobleme | 50 |
| 6.5 | TCP | 50 |
| 6.5.1 | Authentifizierungsprobleme | 53 |
| 6.5.2 | Integritäts- und Vertraulichkeitsprobleme | 54 |
| 6.5.3 | Verfügbarkeitsprobleme | 54 |
| 6.5.4 | Beweisbarkeit | 54 |
| 6.5.5 | Anonymität | 55 |
| 6.6 | UDP | 55 |
| 6.7 | DNS | 55 |
| 6.8 | Telnet | 61 |
| 6.9 | rlogin | 61 |
| 6.10 | FTP | 62 |
| 6.10.1 | Authentizitäts- und Integritätsprobleme | 65 |
| 6.10.2 | Verfügbarkeitsprobleme | 66 |
| 6.10.3 | Weitere Sicherheitsprobleme | 67 |
| 6.11 | SMTP | 67 |
| 6.11.1 | Authentizitätsprobleme | 69 |
| 6.11.2 | Integritätsprobleme | 70 |
| 6.11.3 | Vertraulichkeitsprobleme | 70 |
| 6.11.4 | Weitere Sicherheitsprobleme | 70 |
| 6.12 | http | 70 |
| 6.12.1 | Authentifizierungsprobleme | 74 |
| 6.12.2 | Integritäts- und Vertraulichkeitsprobleme | 75 |
| 6.12.3 | Anonymitätsprobleme | 75 |
| 6.13 | NFS | 76 |
| 6.13.1 | Authentizitätsprobleme | 77 |
| 6.13.2 | Integritäts- und Vertraulichkeitsprobleme | 78 |
| 7 | Sicherheitsmaßnahmen | 79 |
| 7.1 | Firewalls | 79 |
| 7.1.1 | Paketfilter | 80 |
| 7.1.2 | Application Gateways | 81 |
| 7.1.3 | Bastion Host | 82 |
| 7.1.4 | DMZ oder Perimeternetz | 83 |
| 7.1.5 | Personal Firewalls | 84 |
| 7.2 | VPN | 84 |
| 7.3 | Intrusion Detection Systeme | 85 |
| 8 | Verbesserte Protokolle | 91 |
| 8.1 | PPTP | 91 |
| 8.1.1 | Authentifizierung in Microsofts PPTP | 91 |
| 8.1.2 | Vertraulichkeit in Microsofts PPTP | 93 |
| 8.2 | IPv6 und IPSec | 94 |
| 8.2.1 | Encapsulating security payload | 94 |
| 8.2.2 | Authentication Header(AH) | 96 |
| 8.2.3 | Internet key exchange | 96 |
| 8.3 | SSL | 99 |
| 8.4 | SSH | 103 |
| 8.5 | S/MIME | 105 |
| 8.6 | Kerberos | 111 |
| 8.7 | Anonyme Kommunikation | 117 |
| 8.7.1 | Anonyme Proxyserver | 117 |
| 8.7.2 | Crowds | 118 |
| 8.7.3 | Onion Routing | 119 |
| 9 | Schlusswort | 123 |
| Abkürzungen | 125 | |
| Literaturverzeichnis | 129 |
Abbildung 6.9: FTP-Angriff l¨ßt der Server die Verbindung zu. Mit dem Befehl LIST kann der Client den Inhalt eines a Verzeichnisses anschauen. Zuvor muß er aber den PORT Befehl absetzen. Der Client ¨ffnet einen Port, der sich aus den zwei Zahlen n5 und n6 errechnet mittels der o Formel port = n5 ∗ 256 + n6. Diesen Port teilt er dann samt seiner IP Adresse dem Server mit. Die IP Adresse muß dabei nicht die des Clients sein. Nun kann der Server das Directory-Listing an den Client zum angegebenen Port schicken. Sobald ¨ die Ubertragung beendet ist, schließt der Client den Port wieder. M¨chte der Client nun eine o Datei vom Server zum Client herunterladen, tut er das mit dem Befehl RETR hallo.txt. Wie schon beim Abruf des Directory-Listing, muß der Client auch hier wieder einen Port ¨ffnen und o diesen dem Server mitteilen. Beendet wird die Verbindung mit dem Befehl QUIT. ¨ Eine andere Ubertragungsart bei FTP kann mittels des PASV-Kommandos durchgef¨hrt werden. u Der Client schickt dabei das PASV-Kommando ab und erh¨lt vom Server einen Port zur¨cka u geschickt, auf den sich der Client verbinden soll. Sobald der Client ein RETR und STORKommando abgesetzt hat, empf¨ngt er uber diesen Port dann die Daten bzw. kann die Daten a ¨ ¨ an diesen Port schicken. Sobald die Ubertragung beendet ist, schließt der Server die Verbindung. Der Rest des Kommunikationsprotokolls sieht dabei gleich aus. Um den Umgang mit FTP dem Benutzer zu erleichtern, stehen ihm Kommandos wie get, dir oder put zur Verf¨gung. Wie man bei dem Beispiel oben sehen kann, muß der Benutzer nur dir u eingeben und er erh¨lt den Inhalt eines Directories. Der Client ubersetzt f¨r ihn das Kommando a u ¨ dir durch die Kommandos PORT und LIST. [...]
¨ Das FTP (File Transfer Protocol) dient zur Ubertragung von Dateien uber ein TCP/IP Netz¨ werk. Noch vor einigen Jahren war FTP eine der Hauptanwendungen im Internet. Zahlreiche FTP Server stellten Software, Treiber, aber auch verschiedene Dokumente zur Verf¨gung. Auch u heute gibt es noch viele FTP Server, die aber immer mehr durch das WWW verdr¨ngt werden. a Ein Grund f¨r die große Popularit¨t von FTP Servern sind die sogenannten Anonymous-FTPu a Server. Auf diese Server kann sich jeder User einloggen, auch wenn er keine eigene Benutzerberechtigung auf dem Server hat. Der User gibt einfach als Login anonymous oder ftp ein und ¨ als Paßwort seine E-Mailadresse. Meistens sind jedoch Uploads (Ubertragungen vom Client zum Server) durch den Systemadministrator verboten. FTP Verbindungen werden in eine Kontrollverbindung und eine Datenverbindung aufgeteilt. Die Kontrollverbindung l¨uft am Server uber den Port 21. Sobald sich ein Client zum Server verbina ¨ ¨ det, bleibt die Kontrollverbindung erhalten. Uber diese Verbindung werden die verschiedenen [...]
Neben dem in Abschnitt 6.7 erw¨hnten Authentifizierungsproblem gibt es ein weiteres. Der a Server muß sich darauf verlassen, daß der ubergebene Username stimmt. ¨ Theoretisch k¨nnte zum Beispiel der User skanzian den rlogin-Client so ver¨ndern, daß er mit o a Hilfe eines von ihm geschaffenen Parameter -s vort¨uschen kann ein anderer User zu sein. Mit a dem Aufruf rlogin karanet2.edu.uni-klu.ac.at -s flfuchs -l fuchs k¨nnte er dann vom Rechner o edusrv.edu.uni-klu.ac.at aus ohne Paßwortabfrage auf den Rechner karanet2.edu.uni-klu.ac.at gelangen. UNIX verhindert das allerdings, da hier das rlogin-Programm als SUID-Programm ablaufen muß. SUID-Programme werden unter UNIX immer dann ben¨tigt, wenn die Berechtigung eines Beo nutzers nicht ausreicht, um ein Programm ausf¨hren zu d¨rfen. Unter UNIX d¨rfen normale u u u Benutzer keine Ports unter 1024 belegen. rlogin ben¨tigt aber so einen Port und muß deshalb o als SUID-Programm ausgef¨hrt werden. u Diese Einschr¨nkung erh¨ht die Sicherheit aber kaum, da der User root, der bei einem UNIX a o System die h¨chste Berechtigung hat, trotzdem so einen Client schreiben k¨nnte. Die M¨he o o u m¨ßte er sich aber gar nicht machen, da er sowieso die Berechtigung hat sich unter jedem User u mittels des Befehl su einzuloggen. Er braucht nur su - flfuchs einzugeben und kommt dann mit dem normalen rlogin Befehl ohne Paßwortabfrage auf den Rechner karanet2.edu.uni-klu.ac.at. Da man aber nie jemandem vertrauen sollte, nur weil er Administrator ist, sollte man auf den Einsatz von .rhosts-Files auf jeden Fall verzichten. Der geringe Vorteil, daß durch .rhosts-Files die Paßw¨rter nicht unverschl¨sselt ubertragen werden, ist die oben angef¨hrten Sicherheitsrisiken o u u ¨ nicht wert. [...]
In den Warenkorb
48,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783832470609
Arbeit zitieren:
Fuchs, Florian September 2001: Sicherheit von Internet- und Intranetdiensten, Hamburg: Diplomica Verlag
Schlagworte:
Signatur, Verschlüsselung, TCP, IP, Netzwerke
Entdecken Sie mehr zum Thema
