Einführung Einbindung Sicherheit

Sicherheitsdienste, Sicherheitsmechanismen und ihre Einbindung in das ISO-Modell

Präsentation unter: https://essentials.coufal.at/network_basics/EinbindungSicherheit.html

Klaus Coufal

28.3.2020

Sicherheitsdienste, -mechanismen und das ISO-Modell

• Einführung
• Sicherheitsdienste
• Sicherheitsmechanismen
• Einbindung in das ISO-Referenzmodell

Sicherheit und ISO-Modell: Einführung

• Aus den potentiellen Gefährdungen können nun die notwendigen Sicherheitsdienste abgeleitet werden
• Diese Dienste werden durch Sicherheitsmechanismen umgesetzt
• Ein Sicherheitsdienst ist eine Dienstleistung, um einer Gefährdung zu begegnen
• Ein Sicherheitsmechanismus ist eine Funktion, die eine oder mehrere Aufgaben eines Sicherheitsdienst konkret umsetzt

Sicherheit und ISO-Modell: Sicherheitsdienste

• Vertraulichkeit der Daten
• Verhinderung einer Verkehrflußanalyse
• Datenunversehrtheit
• Authentizitätsprüfung des Kommunikationspartners
• Authentizitätsprüfung des Datenabsenders
• Zugangskontrolle
• Sendenachweis
• Empfangsnachweis

Sicherheit und ISO-Modell: Sicherheitsmechanismen 1

• Verschlüsselung
• Digitale Unterschrift
• Hashfunktion
• Authentizitätsprüfung
• Zugangskontrolle
• Sicherstellung der Datenunversehrtheit
• Verhinderung der Verkehrsflußanalyse

Sicherheit und ISO-Modell: Sicherheitsmechanismen 2

• Routingkontrolle
• Notariatsfunktion
• Vertrauenswürdige Implementation
• Abstrahlsichere Endgeräte und Vermittlungseinrichtungen
• Überwachung und Alarmierung (Alerting)
• Logbuch (Protokollierung)

Sicherheit und ISO-Modell: ISO-Referenzmodell

• Application Layer
• Presentation Layer
• Session Layer
• Transport Layer
• Network Layer
• Data Link Layer
• Physical Layer
• Details siehe hier

Sicherheit und ISO-Modell: Routingproblem

• Für den Verbindungsaufbau sind Daten notwendig, die nicht verschlüsselt sein dürfen
• Sicherung bis zur Schicht 3 schwierig
• Paketvermittlung
• Leitungsvermittlung
• Details zu Vermittlungstechniken siehe hier

Sicherheit und ISO-Modell: Physical Layer

• Dienste
  • Vertraulichkeit der Verbindung
  • Verhinderung einer Verkehrsflußanalyse
• Mechanismen
  • Verschlüsselung (außer Start- und Stopbits) zwischen nächsten Nachbarn (meist auf HW-Ebene)
• Einsatzmöglichkeiten
  • Nur in Schicht 1 ist der gesamte Verkehrsfluß schützbar
  • Entzieht sich aber den Möglichkeiten eines Anwenders
  • Derzeit von keinem Leitungsprovider angeboten

Sicherheit und ISO-Modell: Data Link Layer

• Dienste
  • Vertraulichkeit bei verbindungsorientierten und verbindungslosen Kommunikationen
• Mechanismen
  • Verschlüsselung der Verbindung (Linkverschlüsselung)
• Einsatzmöglichkeiten
  • Entzieht sich den Möglichkeiten eines Anwenders
  • Derzeit von keinem Leitungsprovider angeboten (anders im Funkbereich)

Sicherheit und ISO-Modell: Network Layer 1

• Dienste
  • Authentizitätsprüfung der Instanz des Kommunikationspartners
  • Zugangskontrolle
  • Vertraulichkeit bei verbindungsorientierten und verbindungslosen Kommunikationen
  • Verhinderung einer Verkehrsflußanalyse
  • Datenunversehrtheit ohne Recovery
  • Authentizitätsprüfung des Absenders der Daten

Sicherheit und ISO-Modell: Network Layer 2

• Mechanismen
  • Die Authentizitätsprüfung wird durch eine Kombination aus kryptographischen Methoden, digitaler Unterschrift, Passwörtern und ein eigenes Authentizitätsprüfungsprotokoll unterstützt
  • Die Zugangskontrolle erfordert eigene Zugangskontrollmechanismen sowohl in den Vermittlungsknoten (Kontrolle durch den Netzbetreiber) als auch im Zielsystem (Abweisung unerwünschter Verbindungen)
  • Knotenverschlüsselung für die Vertraulichkeit der Verbindung und die Vertraulichkeit der Daten. Zusätzliche Routingkontrollfunktionen können dem Benutzer eine Auswahl der Wege erlauben
  • Zur Verhinderung der Verkehrsflußanalyse werden vom Netzbetreiber Fülldaten geschickt (müssen verschlüsselt sein oder von einer der unteren Schichten verschlüsselt werden); dabei muß aber durch eine Flußkontrolle gewährleistet bleiben, daß noch immer Daten übertragen werden können

Sicherheit und ISO-Modell: Network Layer 3

• Mechanismen Fortsetzung
  • Die Datenunversehrtheit kann durch eine Prüfsumme oder Hashwerte sichergestellt werden, dabei ist in dieser Schicht keine „Recovery“ vorgesehen (siehe auch ISO-Referenzmodell)
  • Der Sendernachweis wird ebenfalls über die Authentizitätsprüfung (des Senders) erreicht
• Einsatzmöglichkeiten
  • Durch Netzbetreiber (siehe oben)
  • Durch Anwender (VPN)

Sicherheit und ISO-Modell: Transport Layer

• Dienste
  • Authentizitätsprüfung der Instanz des Kommunikationspartners
  • Zugangskontrolle
  • Vertraulichkeit bei verbindungsorientierten und verbindungslosen Kommunikationen
  • Datenunversehrtheit der Verbindung mit bzw. ohne Recovery
  • Authentizitätsprüfung des Absenders der Daten
• Mechanismen
  • Siehe Schicht 3 allerdings werden aus den "Next Hop"-Mechanismen "End-to-End"-Mechanismen
• Einsatzmöglichkeiten
  • Ab dieser Schicht liegt der Einsatz der Mechanismen vollständig in der Verantwortung des Netzbenutzers

Sicherheit und ISO-Modell: Session Layer

• Dienste
  • Keine eigenen Sicherheitsdienste aber die Vereinbarung von notwendigen Diensten für die Session
• Mechanismen
  • Keine
• Einsatzmöglichkeiten
  • Keine außer der Vereinbarung

Sicherheit und ISO-Modell: Presentation Layer

• Dienste
  • Keine eigenen Dienste
• Mechanismen
  • Sendernachweis
  • Empfängernachweis
  • Notariatsfunktion
• Einsatzmöglichkeiten
  • Anbieten von Mechanismen um der Anwendungsschicht alle notwendigen Dienste zu ermöglichen

Sicherheit und ISO-Modell: Application Layer

• Dienste
  • Anwendungsabhängig
• Mechanismen
  • Entweder anwendungseigene Mechanismen
  • Nutzung von Mechanismen der darunter liegenden Schichten
• Einsatzmöglichkeiten
  • Die der Anwendung

Quellen

• Seminarreihe Netzwerke
• S5: A Simple Standards-Based Slide Show System
• Mein Informationsportal (www.coufal.info)

Fragen

?

Danke für Ihre Aufmerksamkeit