Als Netzwerksicherheit bezeichnet man Maßnahmen zur Planung, Ausführung und Überwachung der Sicherheit in Netzwerken.
Zwölf Thesen zur Netzwerksicherheit von Agon S. Buchholz, 30. September 2005: Bedeutung, aktuelle Entwicklungen und Problemfelder.
Die Netzwerksicherheit ist vor allem abzugrenzen von der Systemsicherheit, also dem Schutz einzelner technischer Systeme, und dem Netzwerkmanagement sowie von den angrenzenden Bereichen Datenschutz und Datensicherheit, Kryptographie und Computer-) Forensik.
Wie in allen Bereichen der Sicherheit gibt es zahlreiche Schnittstellen und Kollisionen mit der jeweiligen Rechtsordnung (Ausspähen von Daten, Verletzung von Privatgeheimnissen etc.).
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Netzwerksicherheit kann in verschiedenen Formen konzipiert werden; defensive Maßnahmen richten sich gegen laufende oder bereits erfolgte Angriffe, proaktive Maßnahmen sollen bereits die Möglichkeit von Angriffen unterbinden.
Je offensiver ein Sicherheitskonzept ausgelegt ist, desto mehr nähert es sich krankhafter Paranoia an und riskiert, eigene oder fremde produktive Systeme zu beeinträchtigen.
Eingesetzte Produkte können den Ansatz der Security by Obscurity (‚Microsoft’, proprietäre Systeme) verfolgen, oder offene Verfahren bevorzugen (Open Source/Free Software). Ersterer Ansatz geht davon aus, dass durch Verschleiern der Arbeits- und Funktionsweise eines Systems auch weniger Ansätze für Angriffe auffallen; letzterer geht davon aus, dass durch Offenheit und Transparenz mehr Fehler und Schwachstellen offengelegt werden und dadurch die Gesamtsicherheit des Systems verbessert wird.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Netzwerksicherheit ist per se unproduktiv, liefert also grundsätzlich für den Endanwender keinen produktiven Mehrwert. Aufgrund der faktischen Unverzichtbarkeit von Sicherheitsmaßnahmen in zunehmend feindlichen Netzwerkumgebungen ist Netzwerksicherheit in praktisch allen vernetzten Umgebungen zwingend – von Computer- bis hin zu Telekommunikationsnetzwerken – erforderlich und somit selbst zu einer Industrie und damit wiederum zu einem Wirtschaftsfaktor geworden.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Netzwerksicherheit ist nicht allein ein logisches Problem auf Ebene von Software-Anwendungen oder -Protokollen, sondern zunächst ein physikalisches: Angreifer können ein Netzwerk nicht nur ‚von außen’ angreifen, sondern auch ‚von innen’ kompromittieren. Netzwerksicherheit muß daher mit der physikalischen Absicherung des Server-Raums beginnen (vom Schloß über Brandschutzmaßnahmen bis hin zu unterbrechungsfreien Stromversorgungen und redundanten Datenleitungen) und alle relevanten Angriffspunkte abdecken (bspw. Patchfelder und Netzwerkbuchsen).
Auch hier kann durch ein Bündel von Maßnahmen das Sicherheitsniveau signifikant gesteigert werden (z.B. durch Zugangskontrolle der MAC-Adresse der Netzwerkkarte angeschlossener Rechner am Switch durch MAC-ACLs oder durch Segmentierung des Netzwerks in VLANs), jedoch geht jede Erhöhung des Sicherheitsniveaus zu Lasten von Benutzungskomfort und –möglichkeiten des Netzwerks und kostet Zeit und Geld. Netzwerksicherheit darf also keinesfalls erst auf Ebene des Layer 3 im OSI-Schichtenmodell angedacht werden.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Das Spektrum der Gefährdungen vernetzter Systeme ist vielfältig. Unterschieden werden u.a. folgende technische Gefährungsbereiche, die sich leider kaum systematisieren lassen:
• Systemanomalien erster, zweiter und dritter Art;
• Computer-Würmer, -Viren und Trojanische Pferde;
• Account- und Paßwortangriffe;
• Spoofing;
• Scanning;
• Sniffing;
• Ping-of-Death-,
• SYN-Flooding-,
• Denial-of-Service-(DoS-) und
• Distributed-Denial-of-Service-(DDoS-)Angriffe u.v.a.
Attacken nutzen dabei praktisch jede nur denkbare Schwachstelle in interoperablen Netzwerkprotokollen, betriebsystemspezifischen Applikationen oder Netzwerk-Hardware und -Appliances aus. Daneben existiert ein noch breiteres Feld an sonstigen Gefährdungen, die jedoch technisch nur eingeschränkt kontrollierbar sind (menschlicher Faktor, Wissenslücken, ‚menschliches Versagen’; nur 2% der Gesamtschäden der DV resultieren aus einem unerlaubten externen Zugriff).
Gegner der Sicherheitsverantwortlichen ("White hats") sind gleichermaßen Amateure (Script-kiddies, Hacker) wie mehr oder minder organisierte Kriminelle (Cracker, "Black hats", ‚Mafia’); bereits seit Jahren sind keinerlei Programmier- oder Betriebssystemkenntnisse mehr notwendig, um fremde Systeme zu schädigen oder zu übernehmen (root kits); White hats können i.d.R. allenfalls computerforensisch erfahren, mit welchem Gegner sie es zu tun haben.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Als Netzwerksicherheit bezeichnet man den Schutz von technischen Systemen innerhalb eines Netzwerks oder an der Schnittstelle zwischen zwei Netzwerken nach dem Grundsatz „Unbesiegbarkeit liegt in der Verteidigung; Verwundbarkeit liegt im Angriff“ (Sun Tzu).
Das Ziel der Netzwerksicherheit besteht darin,
• die Integrität (Datensicherheit),
• Verfügbarkeit und
• Vertraulichkeit (Zugriffssicherheit) von Daten zu gewährleisten,
• eine Authentifizierung (Authentikation) von Benutzern und Diensten • durchzuführen sowie
• deren Handlungen nachvollziehbar zu machen (Zurechenbarkeit/ Accountability).
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Netzwerksicherheit kann in verschiedene Teilbereiche untergliedert werden; zu unterscheiden sind dabei:
• Grundlegend die sicherheitsbewußte Systemadministration und das Hardening;
• Auditing, Logging und Accounting;
• Einsatz von Verschlüsselungsverfahren und digitalen Signaturen;
• Authentifikation;
• Firewalling mit Paketfilterung oder Anwendungs-Gateways und verschiedenen Topologien (Dual Homed Gateway, Screening Router/Host/Subnet, Semilitarized Zone/DMZ etc.);
• host- oder netzwerkbasierter Einbruchserkennung (Intrusion Detection) mittels IDS und Einbruchsreaktion (Intrusion Response) mittels IRS;
• Analysen mittels Angriffssimulatoren u.a.
Das klassische Drei-Komponenten-System der Netzwerksicherheit kombiniert
• (a) Firewall-System,
• (b) Content-Security-System und
• (c) IDS-/IRS-System,
bietet damit kaum mehr als einen Minimalschutz.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Der Versuch der Gewährleistung von System- und Netzwerksicherheit bindet zunehmend personelle und ökonomische Ressourcen, die für produktive Tätigkeiten nicht mehr zur Verfügung stehen. Sinnvolle Netzwerksicherheit wird daher immer einen Kompromiß suchen müssen zwischen dem effektiven Risikopotenzial und dem vertretbaren Schutzaufwand.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Netzwerksicherheit ist weder ein Zustand, der erreicht noch ein Produkt, das erworben werden könnte.
An einen Zustand relativer Sicherheit kann sich nur in Abwägung gegenüber anderen Faktoren (Verhältnis von Kosten und Nutzen, produktive Defizite durch Sicherheitsrestriktionen) in einem fortdauernden und dynamischen Prozess angenähert werden.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Die Sicherheitsrichtlinien (Sicherheits-Policy) eines Unternehmens wird, zumindest im kommerziellen Umfeld, häufig in Form eines Sicherheitskonzepts schriftlich fixiert. Diese Ausarbeitung kann sehr einfach gehalten sein und nur wenige Richtlinien enthalten (bspw. zur Zulässigkeit der privaten Nutzung des Arbeitsplatz-PCs), oder detailliert ausgearbeitet werden und bspw. präzise Eskalationsszenarien umfassen.
Unklare oder veraltete Sicherheitskonzepte schaden im Bedarfsfall eher als sie nutzen; Sicherheits-Policies, die nicht kommuniziert oder nicht durchgesetzt werden können sind nutzlos. Die Vorgaben des Sicherheitsverantwortlichen müssen daher von der Unternehmensleitung mitgetragen werden.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Verschiedene Faktoren bewirkten die Notwendigkeit von unabhängigen Evaluationen, Zertifizierungen und Spezifikationen für Netzwerksicherheit; in Deutschland ist in diesem Bereich neben privaten Unternehmen seit 1991 auch die Bundesbehörde BSI aktiv.
Bekannte Anforderungskataloge sind
• in den USA die TCSEC des NCSC (Orange Book) mit vier definierten Sicherheitsklassen (D bis A) und einigen Differenzierungen (C1, C2, B1 bis B3);
• in Europa der ITSEC mit 7 hierarchischen Evaluationsstufen (E0 bis E6) sowie
• die multinational anerkannten Common Criteria (CCITSE bzw. CC) mit 8 Sicherheitsstufen (EAL0 bis EAL7).
Diese Einstufungen bieten zwar Herstellern von Sicherheitsprodukten eine Orientierung und den Anwendern eine relativ objektive Bewertung der Systeme, allerdings sind die Zertifizierungsprozeduren zeit- und kostenintensiv, was eine Verbreitung jenseits von Bereichen mit explizit erhöhtem Schutzbedarf (Finanzgewerbe, Militär) bisher verhindert hat.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Symmetrische und asymmetrische Schlüsselmethoden auf Basis kryptografischer Algorithmen bilden die Grundlage für jeder Sicherheitsinfrastruktur; viele netzwerkfähige Protokolle unterstützen daher Verschlüsselung, von HTTPS, S/MIME, SSL und TLS im Web über SSH bis hin zu IPSEC in VPNs.
Netmarks
• http://www.kefk.org/wiki/Thesen_zur_Netzwerksicherheit
Quellenlage: extrem materialreich und dynamisch, enorme Fülle an Literatur zu Details und Spezialthemen, wenig Übersichtsdarstellungen, sehr viel kurzlebige »Praktikerliteratur«, wenig wissenschaftliches Material jenseits computerwissenschaftlicher Spezialliteratur für Informatiker, Literatur zu aktuelleren Entwicklungen fast ausschließlich in Computer- und Fachzeitschriften sowie im Internet.
Zentrale Literatur
• Wolfgang Barth: Das Firewall-Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux (3., aktualis. u. erw. Aufl.). Poing: Nicolaus Millin Verl. 2004.
• Tobias Klein: Linux-Sicherheit, Security mit Open-Source-Software – Grundlagen und Praxis (iX-Edition). Heidelberg: dpunkt-Verl. 2001.
• Dirk H. Traeger, Andreas Volk: LAN Praxis lokaler Netze (3., vollst. Überarb. u. erw. Aufl.). Stuttgart, Leipzig, Wiesbaden: Teubner 2001; hier insbes. Kap. 9, „Sicherheit“ (S. 459-536).
Hintergrund und Einführung (relevante Abschnitte; auszugsweise verarbeitet; Auswahl)
• Horst G. Abel (Hrsg.): Praxishandbuch IT-Know-how für den Datenschutzbeauftragten. Rechtssichere Beurteilung von Netzwerken, Datenbanken und E-Mail-Systemen, 2 Bde. (Loseblattsammlung, Stand August 2004). Kissing: Interest 2004.
• Anonymous: Hacker’s Guide. Sicherheit im Internet und im lokalen Netz (new technology). Haar bei München: Markt+Technik Verl. 1999.
• Anonymous: Der neue Linux Hacker’s Guide. Sicherheit für Linux-Server und Netze (new technology). Haar bei München: Markt+Technik Verl. 2001.
• Daniel J. Barrett: Bandits on the Information Superhighway (What you need to know). Bonn: O’Reilly 1996.
• Thomas Bechtold, Peer Heinlein: Snort, Acid & Co. Einbruchserkenung mit Linux (root’s reading). München: Open Source Press 2004.
• Karin Brotz, Philipp Föckeler. Security unter Windows NT 4 (Netzwerke). Heidelberg: Hüthig 1997.
• Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutzhandbuch 1998. Maßnahmenempfehlungen für den mittleren Schutzbedarf. Bonn: BSI 1998 (Ausdruck der Version 1.0 für Adobe Acrobat).
• Uwe Bünning, Jörg Kraus: Internet Information Server 5. Aufbau und Bereitstellung von Webanwendungen mit Windows 2000 Advanced Server. München, Wien: Hanser 2001; hier insbes. Kap. 5, „Sicherheit und Überwachung“ (S. 143-186) u. Kap. 11, „Sicherheit administrieren“ (S. 423-496).
• Thomas Demuth, Achim Leitner: „Internet Zugriff. Angriffstechniken im lokalen Netz: ARP-Spoofing und -Poisoning“ (Angriff: ARP-Spoofing). In: Linux Magazin Sonderheft 1 „Security“ (2005): S. 22-28.
• Lars Eilebrecht, Nikolaus Rath, Thomas Rohde: Apache Webserver. Installation, Konfiguration, Administration (4., erw. u. überarb. Aufl.). Bonn: mitp-Verl. 2002; hier insbes. Kap. 7, „Sicherheitsaspekte“ (S. 463-476) u. Kap. 13, „Secure Webserver“ (S. 537-582).
• Rolf Günter: Zum Thema: Computerkriminalität. Kaarst: bhv Verlags GmbH 1998. • Michael Hamm: »Hack the Net. Cracker-Methoden und -Tools« (Titel: Netzwerksicherheit). In: iX 2 (2005): 34-44.
• David Harley, Robert Slade, Urs E. Gattiker: Das Anti-Viren-Buch. Bonn: mitp-Verlag 2002. • Mike Hartmann, Peter Klau, Konrad Kraft et al.: IT-Security. Viren, Spam, Datensicherheit, Clients, Server, Netze. Grundlagen, Konzepte und Workshops für mehr Desktop- und Netzwerk-Sicherheit (tecChannel Compact). München: IDG Interactive April/Mai/Juni 2003.
• Mathias Hein, Michael Reisner, Antje Voß (Hrsg.): Security. Das Grundlagenbuch (Network Computing Professional Series). Poing: Franzis 2003.
• The Honeynet Project: Know Your Enemy. Revealing the Security Tools, Tactics and Motives of the Blackhat Community. Boston et al.: Addison-Wesley 2002.
• Craig Hunt: TCP/IP Netzwerk-Administration (2. korr. Nachdruck d. 2. aktualis. u. erw. Aufl.). Beijing et al. 2000; hier insbes. Kap. 12: „Netzerksicherheit“ (S. 373-418). • Internet Security Systems Inc.: Microsoft Windows 2000 Sicherheit. Netzwerksicherheit zuverlässig implementieren mit Microsoft Windows 2000. Unterschleißheim: Microsoft Press Deutschland 2000.
• Keith J. Jones, Mike Shema, Bradley C. Johnson: Das Anti-Hacker-Toolkit. Bonn: mitp-Verlag 2003.
• Marc Jüdt: „Was darf der Admin? Rechte und Pflichten des Administrator im betrieblichen Datenschutz“ (Grundlagen: Rechts-Sicherheit). In: Linux Magazin Sonderheft 1 „Security“ (2004): S. 28-33.
• Othmas Kyas: Sicherheit im Internet (2. aktualis. u. erw. Aufl.; Datacom). Bonn: Thomson Publishing 1998.
• Gerhard Lienemann: TCP/IP-Praxis. Dienste, Sicherheit, Troubleshooting (2., aktualis. u. überarb. Aufl.). Hannover: Verlag Heinz Heise 2001; hier insbes. Kap. 4, „Sicherheit im Netz“ (S. 159-266).
• Nils Magnus, Peter Kraaibeek: „Das große Ganze. Sicherheits-Strategien: Security nicht nur mit Technik“ (Grundlagen: Strategien). In: Linux Magazin Sonderheft 1 „Security“ (2004): S. 11-17.
• Evi Nemeth, Garth Snyder, Trent Hein: Handbuch zur Linux-Systemverwaltung (Prentice Hall). München: Markt+Technik Verl. 2003.
• Stephen Northcutt, Judy Novak: Intrusion Detection Systeme. Spurensuche im Internet (New Riders/ SANS GIAC). Bonn: mitp-Verl. 2001.
• Larry L. Peterson, Bruce S. Davie: Computernetze. Ein modernes Lehrbuch. Heidelberg: dpunkt 2000, hier insbes. Kap. 8, “Sicherheit in Netzwerken” (S. 560-613).
• Joseph D. Sloan: Network Troubleshooting Tools. Beijing et al.: O’Reilly 2001.
• Marc Spenle, Bernhard Czichowsky, Sascha Steinhoff: Windows Sicherheit (Reihe Intern). Düsseldorf: Data Becker (ohne Jahr).
• Bruce Sterling: The Hacker Crackdown. Law and Disorder on the Electronic Frontier. Texinfo Edition 1.2, February 1994.
• Syngress Autorenteam: Snort 2.0 Intrusion Detection. Bonn: mitp-Verlag 2003.