© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@weka.at

15.09.2022 | Datenschutz & IT | ID: 1122425

Sicherheit und Netzwerkprotokolle

Albert Scherzer

In Zeiten von steigender Cyberkriminalität ist die Sicherheit von Netzwerkprotokollen enorm wichtig. Lesen Sie in diesem Beitrag, welche Maßnahmen auf den verschiedenen Ebenen für die IT-Sicherheit im Unternehmen getroffen werden sollten.

Zu Zeiten des Aufbaus der internationalen Vernetzungen stand die Erweiterung der neuen, aufregenden Möglichkeiten und eine Steigerung der Performance im Zentrum des Blicks. Es ließ jedoch nicht lange auf sich warten, dass auch begriffen wurde, dass damit auch negatives Potential und üble Absichten verwirklicht werden können. Sicherheit stand noch nicht im Fokus.

Verschlüsselung? Kein Thema! 

Das Verständnis dafür, dass eine immer dringender werdende Notwendigkeit besteht, Netzwerkprotokolle sicher zu machen, war lange kein Thema. Blickt man nur etwa fünf Jahre zurück, war es durchaus noch gängig, Benutzername und Passwortkombinationen unverschlüsselt über Netzwerke zu versenden. FTP-Server fungierten dabei nicht nur als Pfortenöffner für willkommene Gäste oder Nutzer, sondern auch als trojanisches Pferd für Böswillige. Ja, sogar Webseiten mit teils hoch sensiblen Daten (Banking, e-Shops) waren häufig noch nicht per HTTPS protokollarisch abgesichert.

Selbstverständlich sind seither deutliche Verbesserungen hinsichtlich Sicherheit erfolgt, allerdings keineswegs vollständig, wie etwa die nachstehende Meldung beweist:

„Sowohl die NAS-Systeme von Synology als auch QNAP sind von Sicherheitslücken betroffen, die durch Netatalk für die Unterstützung von Apple-Netzwerkprotokollen zustande kommen. Sowohl QNAP als auch Synology haben erste Updates bereitgestellt, um die Lücken möglichst schnell zu schließen. Ursache für die mitunter als kritisch eingestuften Sicherheitslücken ist bei beiden Herstellern der Einsatz einer veralteten Version von Netatalk, in der die Lücken noch vorhanden sind, die in der aktuellen Version bereits geschlossen sind. • [Fußnote: Quelle: Synology und QNAP: Netatalk für Apple-Protokolle mit Sicherheitslücken, computerbase.de, 29.04.2022, online Artikel.https://www.computerbase.de/2022-04/synology-und-qnap-netatalk-fuer-apple-protokolle-mit-sicherheitsluecken/

Die Meldung ist keineswegs inaktuell und stammt aus dem Jahr 2022, was verdeutlichen soll, dass keineswegs alle Probleme gelöst sind.

Komplexe Probleme erfordern komplexe Lösungen: Sicherheit auf vielen Ebenen

Es war letztlich unumgänglich, Verfahren zur Absicherung von Netzen schon auf Protokollebene zu erfinden. Sicherheitslösungen können grundsätzlich auf allen Ebenen des Netzwerk-Stacks etabliert werden. Die höhere Ebene profitiert hierbei von der Sicherung der niedrigeren Ebene. Im Allgemeinen gilt, je höher die Ebene, desto stärker kann eine Sicherung auf die Besonderheiten einzelner Applikationen Bedacht nehmen. Je niedriger eine Ebene ist, desto allgemeiner ist das Verfahren zu gestalten.

Sicherheit im Netzwerkstapel

Ein Netzwerkstack (Netzwerkstapel) ist in der Datenübertragung eine konzeptuelle Architektur von Kommunikationsprotokollen. Zur Darstellung wird das bekannte ISO OSI-Referenzmodell für herstellerunabhängige Kommunikationssysteme im Netzwerk als Beispiel dienen.

In der Regel dient in lokalen Netzwerken (LAN) überwiegend Ethernet als Übertragungstechnik der unterschiedlichen Netzwerkprotokolle der höheren Schichten (TCP, IP, AppleTalk, IPX/SPX und andere), FDDI, ATM. Andere wiederum kommen in Wide-Area-Netzen (WAN) zum Einsatz. MAN als Metropolitan Area Network für städtische Bereiche, Ballungsräume oder weitläufige Unternehmens- oder Institutionsgelände ist hierbei ebenfalls relevant. Eine Gemeinsamkeit dieser Übertragungswege liegt darin, dass TCP/IP das weit überwiegend verwendete Protokoll darstellt. Das zur Übertragung verwendete Protokoll darf hierbei nicht mit dem Übertragungsverfahren verwechselt werden. Die übertragenen Protokolle wie SMTP, IMAP, POP3, HTTP etc erfordern zweifellos eine Absicherung gegen unberechtigten Zugriff.

Maßnahmen auf Ebene I 

Auf der OSI-Ebene I dreht sich alles um den Zugriff auf die Physik und die Übertragung jedes einzelnen Bits. Sicherheitssteigernde Verfahren existieren auch in diesen Bereichen, obwohl es sich meist um Scrambler oder ähnliche Produkte handelt. Ein Scrambler verwendet linear rückgekoppelte Schieberegister oder fixe Tabellen, um ein Digitalsignal nach einem relativ einfachen Algorithmus umkehrbar umzustellen. Aufgrund der Tatsache, dass hier oft besondere Hardware in Einsatz gelangt, ist in der Praxis kein Geschwindigkeitsverlust messbar.

Maßnahmen auf Ebene II 

Auf Ebene II kommt es zur Übertragung von einzelnen Datenframes. Dies erfolgt via PPP über analoge oder digitale Telefonleitung oder in klassischen LAN-Umgebungen durch Ethernet, FDDI oder ähnliche Protokolle. Das Point-to-Point Protocol ist in der Informationstechnologie ein Netzwerkprotokoll zum Verbindungsaufbau über Wählleitungen. Die verfügbaren Ergänzungen im Bereich der Sicherheit sind oft nicht miteinander kompatibel, besonders hinsichtlich Telefonie. Was den LAN-Bereich des LAN betrifft, existiert ein Standard, der diese kaum noch zu überbrückende Vielfalt im Bereich kommerzieller Netze eindämmen kann. Gemeint ist der Standard IEEE 802.10 SILS.

Maßnahmen auf Ebene III

Ebene III wird auch als „Vermittlungsschicht“ bezeichnet und ist für das Routing einzelner Frames bis hin zum Empfänger zuständig. Diese läuft in der Regel über IP in der Version 4 ab, obwohl dieser Standard leider keine ausgeprägten Sicherheitsmerkmale aufweist.

Maßnahmen auf Ebene IV

Diese Transportschicht steuert nur Mechanismen für TCP bei. Der Grund hierfür liegt in der unsicheren Übertragung der UDP-Datagramme, bei der dann alle Sicherheitsagenden schlussendlich an das Programm übertragen werden müssen. Dies geschieht in der Regel durch eine Absicherung mittels Transport Layer Security (TLS) oder Secure Sockets Layer (SSL). Dies sind moderne Verschlüsselungsprotokolle für den Online-Datentransfer.

Diese Standards zielen darauf ab, insbesondere drei Dinge zur erfüllen, die Authentifikation, die Vertraulichkeit und die Integrität. Ziel ist die Authentifikation der Kommunikationspartner unter Verwendung von asymmetrischen Verschlüsselungsverfahren und Zertifikaten, sowie die vertrauliche Ende-zu-Ende-Datenübertragung mit Hilfe symmetrischer Verschlüsselungsverfahren unter der Nutzung eines geteilten Sitzungsschlüssels. Zuletzt geht es natürlich auch noch um die Sicherstellung der Integrität der transportierten Daten unter Zugrundelegung von „Message Authentication Codes“. Ein MAC dient dazu, Gewissheit über den Ursprung von Daten oder Nachrichten zu erhalten und ihre Integrität zu überprüfen.

Es wird also ein asymmetrisches Verschlüsselungsverfahren genutzt, um die Authentifikation zweier noch unbekannter Partner herbeizuführen, wobei der Transfer an sich durch ein schnelles symmetrisches Verfahren verschlüsselt wird. Am Ende erhalten die Daten einen „Hash“, um die Integrität zu gewährleisten.

Die SSL/TLS- Technologie kann für jedes bedeutende Protokoll und somit für Anwendungen (Mail, Web, Übertragung von Daten in Applikationen) verwendet werden.

Maßnahmen auf Ebene VII

Auf der letzten Schicht, der Anwendungsschicht, bestehen zahlreiche Sicherungsmechanismen, die aber ihrerseits wieder auf den bereits beschriebenen Techniken und Protokollen basieren. Dies tritt etwa im bargeldlosen Zahlungsverkehr bzw im Onlinebanking oder bei verschlüsseltem Zugriff auf entfernte Systeme in Erscheinung, sowie bei „Secure Shell“ (SSH). SSH war früher als Alternative für das Klartextprotokoll „telnet“ konzipiert und wird fast ausschließlich für den Zugriff auf Server und Router verwendet.

Ähnliche Beiträge

  • Offenes WLAN: Sicherheitsvorkehrungen und Rechtslage

    Zum Beitrag
  • Das Ende des Passwortes in der digitalen Welt

    Zum Beitrag
  • Datenschutz durch Technikgestaltung nach DSGVO

    Zum Beitrag