Sicherheit auf IP-Ebene

Inhaltsverzeichnis

1. Einleitung

2. Konzeptionelle und begriffliche Grundlagen
2.1 Sicherheit
2.2 IP-Ebene

3. Sicherheitsstrategien
3.1 Sicherheitsziele
3.2 Sicherheitsaspekte
3.3 Daten Tunneln
3.4 Daten Transportieren

4. Sicherheitsprotokolle
4.1 IPSec
4.1.1 IPSec-Sicherheitsdienste
4.1.2 IPSec-Grundlagen und Funktionsweisen
4.1.3 IPSec-Authentifizierung
4.1.4 IPSec-Verschlüsselung
4.1.5 IPSec-Schlüsselverwaltung
4.2 Weitere Sicherheitsprotokolle

5 Anwendungen
5.1 VPN
5.2 Firewall

6. Fazit

Glossar

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 2-1: ISO-OSI Referenzmodell im Vergleich zum TCP/IP-Referenzmodell [Tanenb98, S. 54]

Abbildung 2-2: IP-Header ohne optionale Felder, 20 Byte [NoNo01, S. 55]

Abbildung 3-1: Daten Tunneln [CaPo01, S. 39]

Abbildung 4-1: Szenario f ü r ein SA-Bundle im Transport- bzw. Tunnelmodus [FiReR ö 00, S. 158]

Abbildung 4-2: Format und Inhalt des AH von IPSec [Smith98, S. 146]

Abbildung 4-3: Format und Inhalt des ESP von IPSec [Smith98, S. 148]

Abbildung 5-1; Anwendungsszenario - Remote-Ankoppelung mittels VPN [CaPo01, S. 46]

Abbildung 5-2: Die verschiedenen Stufen von IP-VPN-Diensten und der Grad der Beteiligung durch Kunde, Service Provider und Carrier [Lipp01, S.5]

Abbildung 5-3: Firewall [FiReR ö 00, S. 209]

Abstract

This paper is about security on IP layer (network layer). Using the internet may be very easy but there are many security risks. To prevent that someone get your secret data or manipulate your data, you have to take care about your network traffic. With IPSec you have on network layer the possibility to hide your data traffic by tunnelling the IP packets. This technique encapsulate data packets into new IP packets. On the other side you have the possibility to transport the data traffic which means that the IP packet will be encrypted. The IP header itself will not be encrypted. So the network traffic may be visible, but the content of the IP packets are readable only by the artificial recipient. There are additional protocols for security on network layer.

Applications for security are VPNs and firewalls. A VPN allows a secure connection over an insecure connection by using IPSec. A firewall is used as a security wall between network components. You can use a firewall as a simple packet filter to prohibit the use of some services, or you can use it as a proxy to cut your direct access to an internet host on your computer. Very complex dynamical configurations of firewalls are possible in the mean time.

In summary you have to be careful by using the internet. On network layer, IPSec is the choice to fulfil strong security needs. But security does not end at network layer. You must think about activities on application layer to protect the user-to-user connection.

1. Einleitung

Die Benutzung des Internet ist heute fast schon so selbstverständlich geworden, wie das Telefonieren oder das Benutzen eines Toasters. Doch diese Selbstverständlichkeit birgt auch Gefahren. So ist sich nicht jeder Internetanwender bewusst, dass er seinen Datenverkehr mitunter einer breiten Öffentlichkeit preisgibt. Das schafft Spielraum für die verschiedensten Angriffsoptionen. Vom gerade noch harmlosen Lauschen bis hin zur gezielten, versteckten Manipulation der Daten. Diese Seminararbeit hat zum Ziel, dass sich ein Internetanwender dieser Gefahren bewusst wird und es soll ihm eine Möglichkeit gegeben werden, aus den erkannten Gefahren in Verbindung mit Sicherheitszielen Sicherheitsstrategien abzuleiten, die seine individuelle Anwendung sicher macht.

In vorliegender Seminararbeit wird auf das Thema Sicherheit auf IP-Ebene eingegangen. In einem einführenden Kapitel werden die Begriffe Sicherheit und IP-Ebene definiert. Im nächsten Kapitel wird auf Sicherheitsziele eingegangen und aus den daraus gewonnenen Erkenntnissen Sicherheitsstrategien abgeleitet.

Im Hauptteil wird auf realisierte Sicherheitsprotokolle auf IP-Ebene eingegangen, insbesondere auf IPSec. Abschließend werden übersichtsartig Sicherheitsanwendungen behandelt.

2. Konzeptionelle und begriffliche Grundlagen

2.1 Sicherheit

Der Sicherheitsbegriff im IT-Umfeld umfaßt zwei abgrenzbare Anwendungsgebiete, die im Englischen mit Safety und Security bezeichnet werden.

Safety

Wenn von Safety die Rede ist, wird von dem Versuch gesprochen, die Auswirkungen unbeabsichtigter Ereignisse (Arbeitsumgebung), die zu einem Ausfall oder Beschädigung von Rechnern, gespeicherten oder übertragenen Daten und Kommunikationsbeziehungen führen, zu vermindern.

Security

Mit Security werden Maßnahmen bezeichnet, die beabsichtigte Angriffe auf Rechner, gespeicherte und übertragene Daten sowie Kommunikationsbeziehungen verhindern. Typische Teilgebiete der IT-Security sind: Datenschutz (besonderer Schutz personenbezogener Daten), Informationsschutz und Datensicherheit [Dittma00, F. 15ff].

In vorliegender Seminararbeit soll nur auf den Sicherheitsbegriff im Sinne von Security eingegangen werden.

2.2 IP-Ebene

Die IP-Ebene entspricht der Vermittlungsschicht (Network Layer) des ISO-OSI Referenzmodells bzw. des Internet Layers des TCP/IP-Referenzmodells.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2-1: ISO-OSI Referenzmodell im Vergleich zum TCP/IP-Referenzmodell [Tanenb98, S. 54]

Das Schichtenmodell ist so spezifiziert, dass eine Schicht der nächsthöheren Schicht Dienste zur Verfügung stellt. Jeweils gleiche Schichten verstehen die gleichen Protokolle.

Die Vermittlungsschicht realisiert den Zugriff auf Subnetze und die Zusammenführung von Subnetzen, leitet durchlaufende Pakete weiter und ist für die Wegewahl verantwortlich [FiReRö00, S. 51]. Somit ist diese Schicht dafür verantwortlich, dass Datenpakete von einer Quelle zu einem Ziel gelangen, dies geschieht meist in vielen Teilwegen. Es kommen Wege zwischen zwei Datenendgeräten (z. B. Computer), einem Datenendgerät und einem Router oder zwischen zwei Routern in betracht. Für diese Wegewahl erhält jedes IP-Paket einen IP- Header, der die Quell- und Zieladresse und weitere Felder beinhaltet. Anhand dieses IP- Headers findet ein solches IP-Paket seinen Weg durch das Netzwerk [NoNo01, S49f].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2-2: IP-Header ohne optionale Felder, 20 Byte [NoNo01, S. 55]

3. Sicherheitsstrategien

Sicherheitsstrategien haben sich an den jeweiligen Sicherheitszielen unter Berücksichtigung von Sicherheitsaspekten zu orientieren. Das Sicherstellen der Integrität nutzt nichts, wenn Vertraulichkeit das Ziel ist, da Integrität beispielsweise mittels angehängter Prüfsumme sichergestellt werden kann, wobei die relevanten Daten im Klartext vorhanden bleiben und somit für einen potentiellen Angreifer lesbar sind.

3.1 Sicherheitsziele

Folgende Klassifikation von Sicherheitszielen ist hilfreich und sinnvoll:

- Zugriffsschutz

Hierbei handelt es sich um die Kontrolle des Systemzugangs und der Zugriffsbeschränkungen auf Systemfunktionen und Datenbestände, dazu muss jede Einheit, die versucht Zugriff zu erlangen, zunächst identifiziert oder authentifiziert werden, so dass die Zugriffsrechte auf den Einzelnen zugeschnitten werden können.

- Authentizität

Authentizität bringt den Nachweis der Identität des Urhebers/Absenders und der Echtheit des Datenmaterials. Authentikation ist die Verifizierung der Echtheit.

- Vertraulichkeit

Unter Vertraulichkeit versteht man den Schutz der übertragenen Daten derart, dass kein unberechtigter Dritter die Daten abhören bzw. analysieren kann.

- Integrität

Mittels Integrität wird der Nachweis gebracht, dass die übertragenen Daten unverändert vorliegen.

- Nachweisbarkeit/Verbindlichkeit

Prüfung der Authentizität und Integrität der Daten auch von berechtigten Dritten, so dass die Verbindlichkeit der Kommunikation gewährleistet wird. Dies ist zum Beispiel notwendig bei Vertragsabschlüssen.

- Verfügbarkeit

Einige Angriffstypen können zu einem Verlust oder zu einer Einschränkung der Dienstoder Systemverfügbarkeit führen. Die Verfügbarkeit ist somit die Forderung nach der Zuverlässigkeit (Reliability) des Systems.

Die aufgezeigten Ziele sind nicht ausschließlich einzeln anzustreben, eine Kombination von Sicherheitszielen ist durchaus denkbar und praktikabel [Stalli00, S. 25ff].

3.2 Sicherheitsaspekte

Um die einzelnen Sicherheitsziele gewährleisten zu können, muss man wissen, welche Ursachen der Datenänderung (Fehlerquellen) vorkommen können und mit welchen Angriffstypen zu rechnen ist.

Als Fehlerquellen kommen in betracht (unvollständige Aufzählung):

Abbildung in dieser Leseprobe nicht enthalten

Diese Angriffe können noch einmal unterschieden werden in passive und aktive Angriffe. Bei einem passiven Angriff, schleust sich ein Angreifer heimlich in den Datenverkehr ein, mit dem Ziel Nachrichteninhalte abzufragen oder den Datenverkehr zu analysieren, um Erkenntnisse zu sammeln, wer mit wem, wann und wie häufig kommuniziert. Beim aktiven Angriff, kann der Angreifer die Datenübertragung unterbrechen, abfangen und modifizieren, beispielsweise durch anhängen eines Trojaners oder verseuchen mit Viren oder er erzeugt Nachrichten [Stalli00, S. 21ff].

Mit den jetzt erworbenen Erkenntnissen über die verschiedenen Einflussfaktoren der Datenänderung ist es möglich, ein Sicherheitsziel unter der Angabe von Gegenmaßnahmen zu gewährleisten. Auf der IP-Ebene existieren zwei Grundsatzverfahren, das Tunneln der Daten und das Transportieren der Daten. Diese beiden Methoden können auch kombiniert angewandt werden, was in der Praxis auch vorzufinden ist.

3.3 Daten Tunneln

Ein Tunnel bietet die Möglichkeit, den Datenverkehr vollständig abzusichern. Nach Anwendung kryptographischer Verfahren werden die originalen IP-Pakete als Nutzdaten anderer Protokolle verpackt und versendet. Somit wird das gesamte originale IP-Paket abgesichert, inklusive des originalen IP-Headers, der die Absender- und Empfängeradressen beinhaltet.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3-1: Daten Tunneln [CaPo01, S. 39]

Mit dieser Methode ist es möglich, Kommunikationsbeziehungen zwischen Datenendgeräten bzw. allgemein zwischen zwei Endpunkten eines Weges zu verbergen.

Der Nachteil dieses Verfahrens ist das zusätzliche Senden von Protokollheadern pro IP-Paket, das verpackt wird. Dies führt zu einem erhöhten Datenaufkommen [FiReRö00, S.146].

3.4 Daten Transportieren

Eine andere Möglichkeit der Sicherung der Kommunikation in der Vermittlungsschicht besteht darin, Sicherheitsfunktionen direkt auf die IP-Pakete anzuwenden, die verschickt werden sollen. Dabei werden die IP-Pakete regulär gebildet. Bevor sie den darunter liegenden Schichten übergeben werden, werden sie durch Anwendung kryptographischer Mechanismen abgesichert.

Um das Schutzziel Vertraulichkeit zu erreichen, muss der Inhalt eines Pakets verschlüsselt werden. Das gesamte IP-Paket jedoch kann nicht verschlüsselt werden, da sonst die Vermittlungsstellen die Zieladresse nicht lesen können und somit das Paket unzustellbar wäre. Der IP-Header muss also im Klartext belassen werden. Somit kann eine Kommunikationsbeziehung nicht geheim gehalten werden.

Zur Erreichung des Schutzziels Integrität muss der Empfänger feststellen, ob das IP-Paket bei der Übertragung verändert wurde. Für die Felder, die auf dem Transportweg durch die Netzkomponenten verändert werden müssen, ist diese Prüfung nicht möglich. Der Empfänger kann daher nicht prüfen, ob diese Header-Felder transportbedingt (erlaubt) verändert wurden, oder ob sie von einem Angreifer (unerlaubt) verändert wurden. Somit kann das Schutzziel Integrität mit der Methode „Daten Transportieren“ nicht für alle Fälle sichergestellt werden [FiReRö00, S.146].

4. Sicherheitsprotokolle

Das IP-Protokoll spezifiziert, dass ein IP-Paket aus einem mindestens 20 Byte langem (plus optionalem Feld mit 40 Byte) Header und einem Textteil (Nutzdaten) besteht. Im StandardHeader gibt es eine Prüfsumme, die lediglich primitiv erzeugt und verifiziert wird, so dass es ohne großen Aufwand möglich ist, ein modifiziertes IP-Paket mit modifizierter Prüfsumme zu versenden [Carlto02, S. 197]. In dem optionalem Headerteil gibt es eine Option Security. Mit dieser Option kann festgelegt werden, wie geheim ein IP-Paket ist. Theoretisch kann ein Router in einer militärischen Anwendung diese Option benutzen, um festzulegen, dass die Übertragung nicht durch bestimmte Länder stattfinden soll. In der Praxis wird dieses optionale Headerfeld von allen Routern ignoriert [Tanenb98, S.445].

Offensichtlich ist Bedarf an zusätzlichen Sicherheitsdiensten auf IP-Ebene vorhanden.

4.1 IPSec

Die Situation der zu sichernden Datenübertragung im Internet lässt sich vereinfacht so ausdrücken, dass der Datenverkehr zwischen zwei vertrauenswürdigen Rechnern über ein nicht vertrauenswürdiges Netz gesendet wird. Dazu bietet IPSec, das sind die IP Security Protocols, eine Reihe von Sicherheitsmechanismen für die Datenübertragung auf der Vermittlungsschicht. Seit Ende 1995 arbeitet die Working Group „IP Security“ der IETF an dem offenen Standard dieser Protokollfamilie, die in verschiedenen Kategorien der Requests for Comments (RFC) beschrieben sind [FiReRö00, S. 150f]:

- Generelle IPSec-RFC ’ s

Diese definieren die eigentliche IPSec-Architektur, sowie das Umfeld und die Fehlerbehandlung.
RFC 2401, 2411

- Verschl ü sselungs- und Authentifizierungs-Header

Diese enthält Standards zur Verschlüsselung und Authentifizierung der IP-Pakete. RFC 2402, 2406,

- Schl ü sselaustausch

Dort sind verschiedene Methoden zum Austausch der benötigten Schlüssel standardisiert. RFC 2407, 2408, 2409, 2412

- Kryptographische Algorithmen

Dort sind die einzelnen Verschlüsselungsalgorithmen und deren Verwendung innerhalb des IPSec-Protokolls definiert.

RFC 1828, 1829, 2085, 2104, 2403, 2404, 2405, 2410, 2451, 2857 [IETF02]

Die Entwicklung wurde insbesondere für IPv6 angestoßen, Implementierungen aber an das derzeit benutzte IPv4 angepasst.

[...]