Netzwerksicherheit
Wikipedia
http://de.wikipedia.org/wiki/Hauptseite
MediaWiki 1.6alpha
first-letter
Media
Spezial
Diskussion
Benutzer
Benutzer Diskussion
Wikipedia
Wikipedia Diskussion
Bild
Bild Diskussion
MediaWiki
MediaWiki Diskussion
Vorlage
Vorlage Diskussion
Hilfe
Hilfe Diskussion
Kategorie
Kategorie Diskussion
Portal
Portal Diskussion
Netzwerksicherheit
18982
14719875
2006-03-16T14:27:32Z
Hoch auf einem Baum
7564
Änderungen von [[Benutzer:212.18.28.200]] rückgängig gemacht und letzte Version von [[Benutzer:Fomafix]] wiederhergestellt
'''Netzwerksicherheit''' ist kein einzelner feststehender Begriff, sondern umfasst alle Maßnahmen zur Planung, Ausführung und Überwachung der Sicherheit in Netzwerken. Diese Maßnahmen sind keinesfalls nur technischer Natur, sondern beinhalten auch organisatorische Fragestellungen (z. B. Policies, in denen geregelt wird, was die Betreiber des Netzwerkes dürfen sollen), betriebliche Fragestellungen (Wie kann ich Sicherheit im Netzwerk in der Praxis anwenden, ohne gleichzeitig den Ablauf des Betriebs zu stören) und endet nicht zuletzt mit rechtlichen Fragestellungen (Was für Maßnahmen dürfen eingesetzt werden?).
== Vertiefung ==
Sicherheit selber ist dabei immer nur relativ zu sehen und kein fester Zustand. Einerseits muss überlegt werden, wie wertvoll die Daten sind, die im Netzwerk kursieren und andererseits ist das Netzwerk durch Ausbau und technische Weiterentwicklung immer Veränderungen unterworfen, die sich auch in geänderter Sicherheitsarchitektur widerspiegeln müssen. Steigerungen im Bereich der Sicherheit sind oft mit größer werdenden Hürden bei der Benutzung einhergehend.
Das Thema Sicherheit beginnt oft mit der Frage, wie ein Netz gegen den Zugriff von außen geschützt werden kann ([[Firewall]]/[[Demilitarized Zone|DMZ]]). Anwender können die Ressourcen des Netzwerks erst nach einer [[Identifizierung]] und einer anschließenden [[Authentifizierung]] und [[Autorisierung]] nutzen. Damit eine [[Kompromittierung]] eines Rechners im Netzwerk erkannt werden kann, werden Rechner oft überwacht. Dies kann intern (Sind die Daten noch konsistent? Sind Veränderungen aufgetreten?) oder auch extern (Sind die Dienste des Rechners noch erreichbar und funktional?) geschehen. Potentieller Datenverlust durch fehlerhafte Software, Fehlbedienung, Fahrlässigkeit oder Altersverschleiß der [[Hardware]] wird durch eine [[Datensicherung]] verhindert, die dann separat gelagert wird. Sicherheitslücken in Software kann durch das rechtzeitige Einspielen von [[Software-Updates]] entgegengewirkt werden. Zusätzliche Sicherheit kann noch durch den Einsatz bestimmter Software erhöht werden, die als sicher gilt, weil sie z. B. einer [[Open-Source]] Lizenz unterliegt. Auch der entgegengesetzte Fall kann vorkommen: Software, die als unsicher gilt, kann verboten werden. Durch Schulung der Anwender kann ein Sicherheitsbedürfnis oder Problembewusstsein entstehen, indem man vermittelt, dass die Daten eines Netzwerkes sehr wertvoll sind. Dadurch soll der Anwender Verständnis für die Maßnahmen aufbringen und sie nicht unterlaufen, indem er komplizierte Passwörter auf Zettelchen schreibt und diese an seinen Monitor klebt. Schließlich kann der physische Zugang zum Netzwerk selbst noch mit Hilfe von Zugangskontrollen beschränkt werden.
Weil die [[Vernetzung]] des [[Internet]]s immer mehr zunimmt, spielt das Thema Netzwerksicherheit auch eine immer größere Rolle. Die Infrastrukturen von Firmen werden komplizierter, immer mehr Informationen müssen [[online]] verfügbar sein und/oder verwaltet werden....
== Angriffsmöglichkeiten ==
So vielfältig wie Netze sind, so vielfältig sind auch die Angriffsmöglichkeiten auf ein Netzwerk. Hier eine nicht vollständige Liste:
* Angriffe auf bestimmte Software Versionen ([[Apache HTTP Server|Apache]], [[Microsoft Internet Information Server|Microsoft IIS]]) sind mit Hilfe eines [[Pufferüberlauf]]s möglich.
* Viele Klartextprotokolle (zum Beispiel [[HTTP]], [[telnet]], [[rlogin]]) aber auch [[Secure Shell|SSH]] in der Version 1 sind anfällig für [[Man-In-The-Middle-Angriff]]e.
* Fehlerhafte Implementierungen von TCP/IP-Stacks sind anfällig für [[IP-Fragmentierung|Fragmentierung]]s-Angriffsmöglichkeiten.
* Programme, die Passwörter im Klarttext übertragen ([[File Transfer Protocol|FTP]], [[HTTP]], [[Telnet]], [[POP3]]) sind anfällig für [[Password-Sniffer]].
* Dienste können durch einen massiven Einsatz von Netzkapazitäten durch die bloße Bewältigung von Anfragen in die Knie gezwungen werden ([[Denial of Service|DoS]]- oder [[DDoS]]-Angriffe.)
* [[Social Engineering (Sicherheit)|Social Engineering]] wird die Vorgehensweise genannt, eine Person dazu zu bringen, ein Passwort oder einen Schlüssel zu verraten.
* Passwörter können gehackt werden, um Zugang zu Diensten zu erlangen. Geschieht dies durch Ausprobieren aller Möglichkeiten spricht man von einer [[Brute Force]] Attacke.
* Aus der Außenwelt kommende Daten werden nicht auf ihre Validät überprüft, sondern als "richtig" hingenommen ([[Tainted Data]] oder [[Cross-Site Scripting]] und [[SQL Injection]]).
* Wenn Programme ungeachtet ihrer Rechte Dateien überschreiben, ohne vorher die Rechte genau zu überprüfen, dann kann das eine Angriffsfläche für einen [[Symlink bug]] sein.
* Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern erfolgreich machen.
* Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als [[UBE]] ("unsolicited bulk e-mail") und insbesondere wenn ein Werbung vorliegt als [[UCE]] ("unsolicited commercial e-mail") bezeichnet.
* Fortschreitende "featuritis" oder allgemeine konzeptionelle Mängel im [[Sicherheitskonzept]] von (Teil-)Systemen können einen nährhaften Boden für [[Computerwurm|Würmer]], [[Trojanisches Pferd (Computerprogramm)|Trojanische Pferde]], [[Dialer]] oder [[Computervirus|Viren]] darstellen.
* Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln falscher Webseiten können durch [[Phishing]] ausgenutzt werden.
* Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen, die per Mail versandt wurden.
== Vorsorge ==
Die Vorsorge-Maßnahmen sind ebenso vielfältig, wie die Angriffsmöglichkeiten. Mit Hilfe einer [[Authentifizierung]] wird der Benutzer erkannt und es werden die ihm zustehenden Rechte zugewiesen ([[Autorisierung]]). Aufgrund der unterschiedlichen unabhängigen Teilsysteme eines Netzwerkes sind allerdings eine Vielzahl von Identifikationen nötig. Die [[Authentifizierung]] an einen Computer gibt einem Benutzer verschiedene Zugriffsrechte auf die Dateien des Rechners, aber die im Netzwerk vorhandene Datenbank verlangt eine andere Art von Authentifizierung. Dies erhöht einerseits natürlich die Sicherheit (jemand der sich Zugang zu einem Rechner verschafft, hat damit nicht automatisch auch noch Zugang zu der [[Datenbank]]), der User ist jedoch gezwungen, sich mehrere Passwörter zu merken. Eine Alternative dazu wäre eine [[Single Sign On|Single-Sign-On]]-Lösung, bei der eine erfolgreiche [[Authentifizierung]] alle Ressourcen für den Besitzer frei schaltet. Das scheitert meistens jedoch an der Fülle von [[Standard]]s.
[[Firewall]]s bzw. [[Paketfilter]] und [[Demilitarized Zone|DMZ]]s nehmen eine [[Autorisierung]] anhand der [[TCP/IP-Adresse]] vor und unterbinden einen Kontakt auf der Ebene von [[TCP/IP]].
Die Sicherheit von Computernetzen ist Gegenstand internationaler [[Qualitätssicherungsnorm|Normen]] zur [[Qualitätssicherung]]. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanische [[TCSEC]] und die europäische [[ITSEC]]-Standards sowie der neuere ''[[Common Criteria]]'' Standard. Die [[Zertifizierung]] der Sicherheit erfolgt in Deutschland in der Regel durch das [[Bundesamt für Sicherheit in der Informationstechnik]].
== Siehe auch ==
* [[Computersicherheit]]
* [[Datensicherheit]]
* [[K-Fall]]
* [[Spionage]]
* [[Verschlüsselung]]
== Literatur ==
* [[Clifford Stoll]]: ''Kuckucksei: Die Jagd auf die deutschen Hacker, die das Pentagon knackten.''. Fischer Taschenbücher, ISBN 3-596-13984-8
* ''Hacker's Guide''. Markt und Technik, ISBN 3-8272-6522-3
* [[Markus Schumacher]]: ''Hacker Contest''. Xpert.press, ISBN 3-540-41164-X
== Weblinks ==
* http://www.securityfocus.com/
* http://www.bsi.de/gshb/index.htm
* http://www.sans.org/
* http://www.multi-online.com/security/ – Die Sicherheit für Ihren PC von A–Z
[[Kategorie:IT-Sicherheit]]
[[Kategorie:Computernetzwerk]]
[[en:network security]]
Diese Version des Artikels stammt vom 17.03.2006.
Der Inhalt dieser Seite basiert auf dem Artikel
„Netzwerksicherheit“ aus der freien Enzyklop�die
Wikipedia und ist unter der
GNU-Lizenz f�r freie Dokumentation ver�ffentlicht. Auf der Wikipedia-Seite ist eine
Liste der Autoren einzusehen.
