Sicherheit im Internet Kurstext 1866 WS21 PDF

Preview

Summary

Download Sicherheit im Internet Kurstext 1866 WS21 PDF

Description

Prof. Dr. Stefan Wohlfeil

Sicherheit im Internet Kurseinheiten 1-4

Das Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere das Recht der Vervielfältigung und Verbreitung sowie der Übersetzung und des Nachdrucks, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Kein Teil des Werkes darf in irgendeiner Form (Druck, Fotokopie, Mikrofilm oder ein anderes Verfahren) ohne schriftliche Genehmigung der FernUniversität reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

Inhaltsverzeichnis

1

Inhaltsverzeichnis 1 Sicherheit in der Informationstechnik 1.1 Einleitung . . . . . . . . . . . . . . . . . . . . . 1.1.1 Warum ist Sicherheit erforderlich? . . . . 1.1.2 Was heißt eigentlich Sicherheit? . . . . . 1.1.3 Angriffsziele . . . . . . . . . . . . . . . . 1.1.4 Systematik der Bedrohungen . . . . . . . 1.1.5 Klassische Bedrohungen . . . . . . . . . 1.1.6 Nicht-technische Aspekte von Sicherheit 1.2 Netze . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 Lokale Netze . . . . . . . . . . . . . . . 1.2.2 Vernetzte Netze . . . . . . . . . . . . . . 1.2.3 Das Internet-Protokoll . . . . . . . . . . 1.2.4 Die Internetdienste . . . . . . . . . . . . 1.3 Konkrete Gefahren . . . . . . . . . . . . . . . . 1.3.1 Viren . . . . . . . . . . . . . . . . . . . . 1.3.2 Würmer . . . . . . . . . . . . . . . . . . 1.3.3 Trojanische Pferde . . . . . . . . . . . . 1.3.4 Passwortmissbrauch . . . . . . . . . . . 1.4 Zusammenfassung . . . . . . . . . . . . . . . . . Lösungen der Selbsttestaufgaben . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

2 Verschlüsselung und digitale Signaturen 2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Secret-Key-Verschlüsselung . . . . . . . . . . . . . . . . 2.2.1 Prinzip der Secret-Key-Verschlüsselung . . . . . 2.2.2 Klassische Verschlüsselungsalgorithmen . . . . . 2.2.3 Moderne Verschlüsselungsalgorithmen . . . . . . 2.2.4 Der Advanced Encryption Standard AES . . . . 2.2.5 Das One Time Pad . . . . . . . . . . . . . . . . 2.2.6 Verschlüsselungsmodi . . . . . . . . . . . . . . . 2.2.7 Zusammenfassung: Secret-Key-Verschlüsselung . 2.3 Public-Key-Verschlüsselung . . . . . . . . . . . . . . . 2.3.1 Prinzip der Public-Key-Verschlüsselung . . . . . 2.3.2 Verschlüsselungsalgorithmen . . . . . . . . . . . 2.3.3 Zusammenfassung: Public-Key-Verschlüsselung . 2.4 Kryptografische Hashfunktionen . . . . . . . . . . . . . 2.4.1 Prinzip von Hashfunktionen . . . . . . . . . . . 2.4.2 Hash-Algorithmen . . . . . . . . . . . . . . . . 2.4.3 Der neue Hashstandard SHA-3 . . . . . . . . . 2.4.4 Zusammenfassung: Hashfunktionen . . . . . . . (Version 5; vom 8. Dezember 2020)

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . .

9 9 9 13 13 14 16 19 21 21 23 24 27 33 33 38 39 41 48 51

. . . . . . . . . . . . . . . . . .

53 53 56 56 56 60 63 66 67 71 71 71 73 77 78 78 81 81 84

Inhaltsverzeichnis

2

2.5 Message Authentication Codes und digitale Signaturen 2.5.1 Message Authentication Code . . . . . . . . . . 2.5.2 Digitale Signatur . . . . . . . . . . . . . . . . . 2.5.3 Algorithmen für digitale Signaturen . . . . . . . 2.6 Zertifikate und Schlüsselmanagement . . . . . . . . . . 2.6.1 Zertifikate . . . . . . . . . . . . . . . . . . . . . 2.6.2 Schlüsselmanagement . . . . . . . . . . . . . . . 2.6.3 Public-Key-Infrastrukturen (PKI) . . . . . . . . 2.6.4 Der neue Personalausweis . . . . . . . . . . . . 2.6.5 Identity-Based Encryption . . . . . . . . . . . . 2.7 Erzeugung zufälliger (Prim-)Zahlen . . . . . . . . . . . 2.7.1 Erzeugung zufälliger Primzahlen . . . . . . . . . 2.7.2 Erzeugung von Zufallszahlen . . . . . . . . . . . 2.8 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . Lösungen der Selbsttestaufgaben . . . . . . . . . . . . . . . 3 Benutzersicherheit im Internet 3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . 3.2 Sichere E-Mail im Internet . . . . . . . . . . . . . . 3.2.1 Pretty Good Privacy (PGP) . . . . . . . . . 3.2.2 Secure MIME (S/MIME) . . . . . . . . . . . 3.2.3 Zusammenfassung: Sichere E-Mail . . . . . . 3.3 Sicheres „Surfen“ im Internet . . . . . . . . . . . . 3.3.1 Transport-Layer-Security (TLS) . . . . . . . 3.3.2 Sicherheitseinstellungen von Webbrowsern . 3.3.3 Zusammenfassung: Sicher Surfen . . . . . . 3.4 Zugriff auf entfernte Rechner . . . . . . . . . . . . . 3.4.1 Sichere Verbindung mit SSH . . . . . . . . . 3.4.2 Virtual Network Computing (VNC) . . . . . 3.4.3 Remote Desktop (rdesktop) . . . . . . . . . 3.4.4 Zusammenfassung: Entfernte Rechner . . . . 3.5 Schutz des privaten PCs . . . . . . . . . . . . . . . 3.5.1 Virenscanner . . . . . . . . . . . . . . . . . 3.5.2 Windows-Firewall . . . . . . . . . . . . . . . 3.5.3 Sichere Windows-Konfiguration . . . . . . . 3.5.4 Zusammenfassung: Schutz des privaten PCs 3.6 Anonymität im Internet . . . . . . . . . . . . . . . 3.6.1 Begriffsbestimmungen . . . . . . . . . . . . 3.6.2 Gründe und Gefährdungen der Anonymität 3.6.3 Einfache Anonymisierungstechniken . . . . . 3.6.4 Das Konzept der Mixe . . . . . . . . . . . . 3.6.5 Das Konzept der Onion Router und TOR . 3.6.6 Anonym Surfen . . . . . . . . . . . . . . . . 3.6.7 Anonyme E-Mail . . . . . . . . . . . . . . . 3.6.8 Zusammenfassung: Anonymität . . . . . . . 3.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . Lösungen der Selbsttestaufgaben . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. 85 . 85 . 87 . 88 . 88 . 88 . 92 . 95 . 97 . 101 . 102 . 102 . 104 . 106 . 109

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

111 . 111 . 111 . 112 . 120 . 123 . 124 . 124 . 127 . 132 . 133 . 133 . 138 . 141 . 142 . 143 . 143 . 146 . 148 . 153 . 154 . 154 . 156 . 161 . 162 . 165 . 171 . 173 . 174 . 174 . 177

(Version 5; vom 8. Dezember 2020)

Inhaltsverzeichnis

4 Anbietersicherheit im Internet 4.1 Einführung . . . . . . . . . . . . . . . . 4.2 Firewalls . . . . . . . . . . . . . . . . . . 4.2.1 Firewall-Architekturen . . . . . . 4.2.2 Firewall-Implementierungen . . . 4.2.3 Firewall-Konfiguration . . . . . . 4.2.4 Firewall-Betrieb . . . . . . . . . . 4.2.5 Firewalls und IPv6 . . . . . . . . 4.2.6 Zusammenfassung: Firewall . . . 4.3 Virtual Private Networks . . . . . . . . . 4.3.1 Motivation für VPNs . . . . . . . 4.3.2 Technische Grundlagen von VPNs 4.3.3 Layer 3 VPNs . . . . . . . . . . . 4.3.4 Realisierung von VPNs . . . . . . 4.3.5 VPNs und IPv6 . . . . . . . . . . 4.3.6 Zusammenfassung: VPN . . . . . 4.4 Organisatorische Sicherheitsmaßnahmen 4.4.1 IT-Sicherheitsstandards . . . . . 4.4.2 Der IT-Sicherheitsprozess . . . . 4.4.3 Die IT-Sicherheitskonzeption . . . 4.4.4 Eine IT-Sicherheitsorganisation . 4.5 Zusammenfassung . . . . . . . . . . . . . Lösungen der Selbsttestaufgaben . . . . . . . Literatur

(Version 5; vom 8. Dezember 2020)

3

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

179 . 179 . 180 . 182 . 189 . 193 . 195 . 197 . 198 . 199 . 199 . 202 . 205 . 212 . 218 . 219 . 219 . 220 . 224 . 227 . 231 . 233 . 235 237

4

Inhaltsverzeichnis

(Version 5; vom 8. Dezember 2020)

Vorwort

Vorwort Die Autoren: Prof. Dr. Stefan Wohlfeil, geb. 12.12.1964 • Studium der Informatik mit Nebenfach Elektrotechnik an der Universität Kaiserslautern (1984–1991) • Wissenschaftlicher Mitarbeiter am Lehrgebiet Praktische Informatik VI der FernUniversität in Hagen (1991–1998) • Promotion zum Dr. rer. nat. (1997) • Mitarbeiter in der Deutsche Bank AG, Abteilung TEC — The Advanced Technology Group (1998–2002) • Professor an der Hochschule Hannover, Fakultät IV, Abteilung Informatik; Arbeitsgebiet: Sichere Informationssysteme (seit 2002) Einige Abschnitte in Kurseinheit 2 hat Prof. Dr. Jörg Keller (Lehrgebiet Parallelität und VLSI der FernUniversität in Hagen) geschrieben. Einführung Liebe Fernstudentin, lieber Fernstudent, herzlich willkommen beim Kurs über Sicherheit im Internet! Dieses Vorwort soll Ihnen einen Überblick darüber geben, worum es im vorliegenden Kurs geht. Dieser Kurs liefert eine Einführung in das Gebiet der IT-Sicherheit. Dabei wird es um einzelne Computer, vernetzte Computer und das Internet gehen. Sie erfahren, welche Sicherheitsprobleme dort existieren und welche Möglichkeiten Sie haben, sich diesen Problemen entgegenzustellen. Inhalt des Kurses und Vorkenntnisse: Dieser Kurs richtet sich an Informatik-Studierende1 und setzt die Kenntnis einiger Inhalte aus einem Informatik-Grundstudium voraus. Konkret sollten Sie bereits wissen, wie ein Computer prinzipiell aufgebaut ist, was ein Betriebssystem typischerweise macht und welche Möglichkeiten sich durch die Vernetzung, wie beispielsweise im Internet, für Anwender bieten. Diese Themen werden im Kurs (01801) Betriebssysteme und Rechnernetze behandelt. Die Kurseinheit 1 (im Dokument als Kapitel 1 bezeichnet) diese Kurses beschäftigt sich mit den Grundlagen des Themas Sicherheit. Die folgenden Fragen werden diskutiert: (1) Warum ist das Thema Sicherheit überhaupt bedeutsam? (2) Was bedeutet der Begriff „Sicherheit“ im Zusammenhang mit Computern eigentlich? (3) Welche Probleme sind zu lösen? In der Literatur werden eine 1

Hierzu gehören alle Studierenden, deren Curriculum einen Informatikbestandteil enthält wie beispielsweise Studierende der Wirtschaftsinformatik. (Version 5; vom 8. Dezember 2020)

5

Vorwort

6

Reihe von „klassischen Bedrohungen“ vorgestellt, auf die im Kurs auch eingegangen wird. Weiterhin wird der Aufbau und die Funktionsweise des Internets kurz vorgestellt. Konkret werden einige wichtige Protokolle und Dienste des Internets besprochen. Den Abschluss der ersten Kurseinheit bildet eine Beschreibung von ausgewählten konkreten Bedrohungen der Computersicherheit, wie beispielsweise Viren oder der nachlässige Umgang mit Passwörtern. Die Kurseinheit 2 beschäftigt sich mit den Grundlagen von Verschlüsselungsverfahren. Sie sind für die Lösung des Vertraulichkeits- und des Integritätsproblems ein wichtiges Hilfsmittel. Die wichtigsten symmetrischen und asymmetrischen Verschlüsselungsverfahren, ihr Funktionsprinzip und die wichtigsten Eigenschaften werden vorgestellt. Auch die verschiedenen Betriebsmodi, wie ECB, CBC und die Counter-Modes, werden behandelt. Zur Integritätssicherung braucht man zusätzlich Hash-Funktionen, die eine Art „Fingerabdruck“ einer Datei berechnen. Es wird weiterhin auf Authentisierungsverfahren eingegangen. Dazu gehört auch das Konzept der digitalen Signaturen. Bei der Erstellung von Schlüssel oder bei hybriden Verschlüsselungsverfahren braucht man Zufallszahlen. Wie man brauchbare Zufallszahlen findet wird am Ende von Kurseinheit 2 betrachtet. In Kurseinheit 3 wird das Thema Sicherheit aus der Perspektive eines Internet-Benutzers beleuchtet. Die Fragen, wie versende/empfange ich sicher eine E-Mail, bzw. wie surfe ich sicher im Netz, werden beantwortet. Oft muss man an Rechnern arbeiten, die weit entfernt vom eigenen Schreibtisch stehen. Wie man das sicher tun kann, wird auch in Kurseinheit 3 erklärt. Anschließend bekommen Sie einige Hinweise, wie Sie Ihren privaten PC zu Hause sicherer machen können. Viele Dienste im Internet werden kostenlos angeboten. Dafür sammeln diese Anbieter die Daten der Benutzer und versuchen, diese Daten dann wirtschaftlich zu verwerten. Möchte man diese Datensammlungen nicht, dann muss man versuchen, anonym zu agieren. Hinweise dazu schließen Kurseinheit 3 ab. Die Kurseinheit 4 beschäftigt sich mit dem Thema Sicherheit aus der Perspektive eines Systemadministrators und eventuell auch Web-Anbieters. Hier werden Verfahren und Systeme vorgestellt, mit denen ein internes Netz (auch Intranet genannt) so an das Internet angeschlossen wird, dass keine unbefugten Zugriffe und Modifikationen möglich sind. Neben dem Konzept der Firewal l wird auch auf organisatorische und prozedurale Aspekte eingegangen. Manchmal sind logisch zusammengehörende lokale Netze räumlich doch getrennt. Eine Firma könnte an verschiedenen Standorten Filialen betreiben. Möchte man diese Netze verbinden, dann benutzt man dazu meist öffentlich verfügbare Weitverkehrsnetze (also das Internet). Die so zusammengeschalteten lokalen Netze nennt man Virtual Private Network (VPN). Damit Angreifer ein VPN nicht stören können müssen einige Vorkehrungen getroffen werden, die auch in Kurseinheit 4 vorgestellt werden.

Bücher

Ergänzende Materialien: Das Thema Sicherheit im Internet ist derart umfangreich, dass es in diesem Kurs nur in Ausschnitten behandelt werden kann. Ziel des Kurses ist es, dass Sie die Grundlagen des Themengebietes kennenlernen und Sie sich dann darauf aufbauend tiefer in die Materie einarbeiten können. Dazu gibt es verschiedene weitere Informationsquellen. Die Menge an Büchern zum Thema IT-Security wächst sehr schnell. Aus(Version 5; vom 8. Dezember 2020)

Vorwort

7

gehend vom Literaturverzeichnis dieses Kurses sollten Sie in der Universitätsbibliothek das eine oder andere Buch ausleihen und durchschauen. Aktuellste Bücher kann man bei den verschiedenen Buchhändlern im Internet suchen. Dort findet man u. U. auch Rezensionen der Bücher vor. Überhaupt ist das Internet eine nahezu unerschöpfliche Quelle an Informationen zum Thema Security. Im Kurs werden eine Reihe von Verweisen auf Internet interessante Seiten im Internet genannt. Wenn Sie Zugang zum Internet haben, nehmen Sie sich doch die Zeit und schauen sich die eine oder andere Seite an. Ich hoffe, dass die Verweise noch stimmen, wenn Sie den Kurs lesen. Das Internet ändert sich ständig, so dass es gut sein kann, dass Sie einmal eine Seite nicht finden. In diesem Fall sollten Sie eine der vielen Suchmaschinen wie z. B. DuckDuckGo oder Google konsultieren. Vielleicht hat sich ja nur die Adresse der Seite leicht verändert. Informieren Sie dann auch bitte die Kursbetreuer, damit der Kurstext aktualisiert werden kann. Die Namen und Kontaktmöglichkeiten der Kursbetreuer wurden Ihnen im Anschreiben zusammen mit dieser Kurseinheit genannt. An der FernUniversität in Hagen ergänzt der Kurs (01868) Sicherheit im Internet 1 – Ergänzungen diesen Kurs. In Kurs (01868) Sicherheit im Internet 1 – Ergänzungen werden unter anderem diese Themen besprochen: • Computer-Forensik • Biometrie • Zugriffskontrollen, Benutzerauthentisierung • Sicherheit in Telekommunikationsnetzen (WLAN, Voice over IP) • Aktive Inhalte (ActiveX, Java, JavaScript) • Intrusion Detection Systems (IDS) Weitere Kurse im Bereich IT-Sicherheit, die spezielle Gebiete vertiefen, sind Kurs (01864) Mobile Security sowie die (Stand Sommer 2020) geplanten Kurse Information Hiding und Software Security. Informationen zu den Prüfungsmöglichkeiten dieser Kurse finden Sie in den Studien- und Prüfungsinformationen Ihres Studienganges an der FernUniversität oder bei der Studienberatung. Dort erfahren Sie, in welchen Studiengängen diese Kurse eingesetzt werden, in welchen Modulen diese Kurse ein Bestandteil sind, in welcher Form Sie Prüfungen ablegen können bzw. müssen und so weiter.

(Version 5; vom 8. Dezember 2020)

Fortsetzungskurs

8

Vorwort

(Version 5; vom 8. Dezember 2020)

9

Kapitel 1 Sicherheit in der Informationstechnik 1.1 1.1.1

Einleitung Warum ist Sicherheit erforderlich?

Das Thema „Sicherheit in der Informationstechnik“ hat in den letzten Jahren mehr und mehr an Bedeutung gewonnen. Einer der Hauptgründe dafür ist die große Popularität des Internets. Für viele Menschen ist das Internet nicht nur das Informationsmedium, als das es ursprünglich entwickelt wurde, sondern immer öfter auch das Medium für private Geschäftstätigkeiten aller Art. Bücher, private Flug- und Eisenbahntickets, Schuhe, Mode, Musik, usw. können nicht nur Geschäftstätigkeiten im Geschäft gekauft werden, sondern auch bequem von zu Hause aus. Über virtuelle Auktionshäuser wie beispielsweise eBay werden inzwischen täglich enorme Mengen von Gütern aller Art versteigert. Neben Privatleuten beteiligen sich auch Gewerbetreibende als Bieter sowie als Anbieter. Neben den materiellen Gütern können natürlich digitale Güter, also alles was sich digitalisieren lässt, sehr einfach über das Internet vertrieben werden. Müssen klassische Bücher noch von einem Boten ausgeliefert werden, so können digitale Bücher (auch eBooks genannt) direkt über das Internet ausgeliefert werden. Das gilt ebenso eBooks für Musik, Filme oder Software. Auch Bankgeschäfte wie Überweisungen, Einrichten/Ändern von Daueraufträgen oder sogar An- und Verkäufe von Wertpapieren lassen sich über das Internet abwickeln. Die Vorteile für die Konsumenten sind vielfältig: • Man ist nicht mehr an die Ladenöffnungszeiten gebunden, sondern kann rund um die Uhr tätig sein. • Das Konto ist billiger als wenn man alle Geschäfte in einer Bankfiliale erledigen muss. • Man muss nicht mehr persönlich im Geschäft vorbei schauen, sondern kann seine Geschäfte bequem von zu Hause erledigen. • Verschiedene Angebote lassen sich einfacher vergleichen. Die Konkurrenz ist immer nur „einen Mausklick“ 1 entfernt. 1

Tatsächlich ist es nicht ganz so einfach. Die wenigsten Anbieter werden einen Verweis (engl. link) auf ihre Konkurrenz mit anbieten. Man muss diese Adressen also erst einmal finden. Suchmaschinen, wie Google oder duckduckgo oder andere helfen bei der Suche. (Version 5; vom 8. Dezember 2020)

Kapitel 1 Sicherheit in der Informationstechnik

10

• Bei digitalen Gütern erfolgt die Lieferung sofort über das Internet und es fallen keine Wartezeiten an.

wirtschaftliche Bedeutung

Weiterhin benutzen Milliarden Menschen auch eines der sogenannten „social networks“ um sich darüber mit Freunden und der Familie auszutauschen. Dabei werden nicht selten private, vertrauliche Daten in das social network eingestellt. Da die Benutzung dieser Dienste i. d. R. kostenlos ist, versuchen die Anbieter über die wirtschaftliche Nutzung dieser Daten Geld zu verdienen. Ob das immer im Sinne der Benutzer ist, ist zumindest fragwürdig. Aber nicht nur Privatleute, sondern auch viele Firmen benutzen das Internet für ihre Geschäftszwecke. War man zuerst nur durch eine „website“ präsent und hat sich und seine Produkte vorgestellt, so nutzt man das Internet bzw. die Internettechnologie heute auch für die Abwicklung von Geschäften. In der Automobilindustrie sind die Hersteller und ihre Zulieferer über das Internet miteinander verbunden u...