Netzwerksicherheit - Übersicht

In dieser modernen Zeit verlassen sich Unternehmen in hohem Maße auf Computernetzwerke, um Informationen im gesamten Unternehmen auf effiziente und produktive Weise auszutauschen. Organisatorische Computernetzwerke werden jetzt groß und allgegenwärtig. Unter der Annahme, dass jeder Mitarbeiter über eine dedizierte Workstation verfügt, verfügt ein großes Unternehmen über einige Tausend Workstations und viele Server im Netzwerk.

Es ist wahrscheinlich, dass diese Workstations weder zentral verwaltet werden noch über einen Perimeterschutz verfügen. Sie verfügen möglicherweise über eine Vielzahl von Betriebssystemen, Hardware, Software und Protokollen mit unterschiedlichem Cyber-Bewusstsein bei den Benutzern. Stellen Sie sich nun vor, diese Tausenden von Arbeitsstationen im Unternehmensnetzwerk sind direkt mit dem Internet verbunden. Diese Art von ungesichertem Netzwerk wird zum Ziel eines Angriffs, der wertvolle Informationen enthält und Schwachstellen anzeigt.

In diesem Kapitel beschreiben wir die Hauptschwachstellen des Netzwerks und die Bedeutung der Netzwerksicherheit. In den folgenden Kapiteln werden wir die Methoden diskutieren, um dasselbe zu erreichen.

Physisches Netzwerk

Ein Netzwerk ist definiert als zwei oder mehr Computergeräte, die miteinander verbunden sind, um Ressourcen effizient zu teilen. Ferner ist das Verbinden von zwei oder mehr Netzwerken miteinander bekannt alsinternetworking. Das Internet ist also nur ein Netzwerk - eine Sammlung miteinander verbundener Netzwerke.

Für die Einrichtung des internen Netzwerks stehen einer Organisation verschiedene Optionen zur Verfügung. Es kann ein kabelgebundenes Netzwerk oder ein kabelloses Netzwerk verwenden, um alle Workstations zu verbinden. Heutzutage verwenden Unternehmen meist eine Kombination aus drahtgebundenen und drahtlosen Netzwerken.

Kabelgebundene und drahtlose Netzwerke

In einem kabelgebundenen Netzwerk werden Geräte über Kabel miteinander verbunden. In der Regel basieren kabelgebundene Netzwerke auf dem Ethernet-Protokoll, bei dem Geräte mithilfe der UTP-Kabel (Unshielded Twisted Pair) an die verschiedenen Switches angeschlossen werden. Diese Switches sind ferner mit dem Netzwerkrouter verbunden, um auf das Internet zuzugreifen.

In einem drahtlosen Netzwerk ist das Gerät über Funk mit einem Zugangspunkt verbunden. Die Zugangspunkte sind ferner über Kabel mit dem Switch / Router für den externen Netzwerkzugriff verbunden.

Drahtlose Netzwerke haben aufgrund der von ihnen angebotenen Mobilität an Popularität gewonnen. Mobile Geräte müssen nicht an ein Kabel gebunden sein und können sich innerhalb der Reichweite des drahtlosen Netzwerks frei bewegen. Dies gewährleistet einen effizienten Informationsaustausch und steigert die Produktivität.

Sicherheitslücken und Angriffe

Die häufigste Sicherheitsanfälligkeit, die sowohl in drahtgebundenen als auch in drahtlosen Netzwerken besteht, ist ein „nicht autorisierter Zugriff“ auf ein Netzwerk. Ein Angreifer kann sein Gerät über einen unsicheren Hub / Switch-Port mit einem Netzwerk verbinden. In dieser Hinsicht gelten drahtlose Netzwerke als weniger sicher als kabelgebundene Netzwerke, da auf drahtlose Netzwerke ohne physische Verbindung problemlos zugegriffen werden kann.

Nach dem Zugriff kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, um Angriffe wie -

  • Schnüffeln der Paketdaten, um wertvolle Informationen zu stehlen.

  • Denial-of-Service für legitime Benutzer in einem Netzwerk durch Überfluten des Netzwerkmediums mit falschen Paketen.

  • Spoofing der physischen Identität (MAC) legitimer Hosts und anschließender Diebstahl von Daten oder weiterer Start eines "Man-in-the-Middle" -Angriffs.

Netzwerkprotokoll

Das Netzwerkprotokoll besteht aus einer Reihe von Regeln, die die Kommunikation zwischen Geräten regeln, die in einem Netzwerk verbunden sind. Dazu gehören Mechanismen zum Herstellen von Verbindungen sowie Formatierungsregeln für das Datenpaketieren für gesendete und empfangene Nachrichten.

Es wurden mehrere Computernetzwerkprotokolle entwickelt, die jeweils für bestimmte Zwecke entwickelt wurden. Die populären und weit verbreiteten Protokolle sind TCP / IP mit zugehörigen Protokollen höherer und niedrigerer Ebene.

TCP / IP-Protokoll

Transmission Control Protocol (TCP) und Internet Protocol(IP) sind zwei unterschiedliche Computernetzwerkprotokolle, die meistens zusammen verwendet werden. Aufgrund ihrer Beliebtheit und breiten Akzeptanz sind sie in allen Betriebssystemen vernetzter Geräte integriert.

IP entspricht der Netzwerkschicht (Schicht 3), während TCP der Transportschicht (Schicht 4) in OSI entspricht. TCP / IP gilt für die Netzwerkkommunikation, bei der der TCP-Transport zur Bereitstellung von Daten über IP-Netzwerke verwendet wird.

TCP / IP-Protokolle werden üblicherweise mit anderen Protokollen wie HTTP, FTP, SSH auf Anwendungsebene und Ethernet auf Datenverbindungs- / physischer Ebene verwendet.

Die TCP / IP-Protokollsuite wurde 1980 als Internetworking-Lösung ohne Rücksicht auf Sicherheitsaspekte entwickelt.

Es wurde für eine Kommunikation im eingeschränkten vertrauenswürdigen Netzwerk entwickelt. Im Laufe der Zeit wurde dieses Protokoll jedoch zum De-facto-Standard für die ungesicherte Internetkommunikation.

Einige der häufigsten Sicherheitslücken von TCP / IP-Protokollanzügen sind:

  • HTTP ist ein Protokoll der Anwendungsschicht in der TCP / IP-Suite, das zum Übertragen von Dateien verwendet wird, aus denen die Webseiten von den Webservern bestehen. Diese Übertragungen erfolgen im Klartext und ein Eindringling kann die zwischen dem Server und einem Client ausgetauschten Datenpakete leicht lesen.

  • Eine weitere HTTP-Sicherheitsanfälligkeit ist eine schwache Authentifizierung zwischen dem Client und dem Webserver während der Initialisierung der Sitzung. Diese Sicherheitsanfälligkeit kann zu einem Sitzungsentführungsangriff führen, bei dem der Angreifer eine HTTP-Sitzung des legitimen Benutzers stiehlt.

  • Die Sicherheitsanfälligkeit bezüglich des TCP-Protokolls ist ein Drei-Wege-Handshake für den Verbindungsaufbau. Ein Angreifer kann einen Denial-of-Service-Angriff „SYN-Flooding“ starten, um diese Sicherheitsanfälligkeit auszunutzen. Er baut viele halb geöffnete Sitzungen auf, indem er den Handschlag nicht beendet. Dies führt zu einer Überlastung des Servers und schließlich zu einem Absturz.

  • Die IP-Schicht ist anfällig für viele Sicherheitslücken. Durch eine Änderung des IP-Protokoll-Headers kann ein Angreifer einen IP-Spoofing-Angriff starten.

Abgesehen von den oben genannten gibt es viele andere Sicherheitslücken in der TCP / IP-Protokollfamilie, sowohl im Design als auch in der Implementierung.

Übrigens werden bei der TCP / IP-basierten Netzwerkkommunikation, wenn eine Schicht gehackt wird, die anderen Schichten nicht auf den Hack aufmerksam und die gesamte Kommunikation wird beeinträchtigt. Daher müssen auf jeder Ebene Sicherheitskontrollen eingesetzt werden, um eine kinderleichte Sicherheit zu gewährleisten.

DNS-Protokoll

Domain Name System(DNS) wird verwendet, um Hostdomänennamen in IP-Adressen aufzulösen. Netzwerkbenutzer sind hauptsächlich beim Surfen im Internet auf DNS-Funktionen angewiesen, indem sie eine URL in den Webbrowser eingeben.

Bei einem Angriff auf DNS besteht das Ziel eines Angreifers darin, einen legitimen DNS-Eintrag so zu ändern, dass er in eine falsche IP-Adresse aufgelöst wird. Es kann den gesamten Datenverkehr für diese IP auf den falschen Computer leiten. Ein Angreifer kann entweder die Sicherheitsanfälligkeit des DNS-Protokolls ausnutzen oder den DNS-Server für die Durchführung eines Angriffs gefährden.

DNS cache poisoningist ein Angriff, der eine im DNS-Protokoll gefundene Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann den Cache vergiften, indem er eine Antwort auf eine rekursive DNS-Abfrage fälscht, die von einem Resolver an einen autorisierenden Server gesendet wird. Sobald der Cache des DNS-Resolvers vergiftet ist, wird der Host auf eine schädliche Website geleitet und kann durch die Kommunikation mit dieser Website Informationen zu Anmeldeinformationen gefährden.

ICMP-Protokoll

Internet Control Management Protocol(ICMP) ist ein grundlegendes Netzwerkverwaltungsprotokoll der TCP / IP-Netzwerke. Es wird verwendet, um Fehler- und Kontrollmeldungen zum Status von Netzwerkgeräten zu senden.

ICMP ist ein integraler Bestandteil der IP-Netzwerkimplementierung und daher in sehr Netzwerkeinstellungen vorhanden. ICMP hat seine eigenen Schwachstellen und kann missbraucht werden, um einen Angriff auf ein Netzwerk zu starten.

Die häufigsten Angriffe, die aufgrund von ICMP-Schwachstellen in einem Netzwerk auftreten können, sind:

  • Mit ICMP kann ein Angreifer eine Netzwerkaufklärung durchführen, um die Netzwerktopologie und die Pfade in das Netzwerk zu bestimmen. Beim ICMP-Sweep werden alle Host-IP-Adressen ermittelt, die im gesamten Netzwerk des Ziels vorhanden sind.

  • Trace Route ist ein beliebtes ICMP-Dienstprogramm, mit dem das Zielnetzwerk zugeordnet wird, indem der Pfad vom Client zum Remote-Host in Echtzeit beschrieben wird.

  • Ein Angreifer kann mithilfe der ICMP-Sicherheitsanfälligkeit einen Denial-of-Service-Angriff starten. Bei diesem Angriff werden IPMP-Ping-Pakete mit mehr als 65.535 Byte an das Zielgerät gesendet. Der Zielcomputer verarbeitet dieses Paket nicht ordnungsgemäß und kann dazu führen, dass das Betriebssystem beschädigt wird.

Andere Protokolle wie ARP, DHCP, SMTP usw. weisen ebenfalls Schwachstellen auf, die vom Angreifer ausgenutzt werden können, um die Netzwerksicherheit zu gefährden. Wir werden einige dieser Schwachstellen in späteren Kapiteln diskutieren.

Die geringste Sorge um den Sicherheitsaspekt beim Entwurf und der Implementierung von Protokollen hat sich zu einer Hauptursache für Bedrohungen der Netzwerksicherheit entwickelt.

Ziele der Netzwerksicherheit

Wie bereits in früheren Abschnitten erläutert, gibt es im Netzwerk eine große Anzahl von Sicherheitslücken. Daher sind Daten während der Übertragung sehr anfällig für Angriffe. Ein Angreifer kann auf den Kommunikationskanal zielen, die Daten abrufen und diese lesen oder eine falsche Nachricht erneut einfügen, um seine schändlichen Ziele zu erreichen.

Die Netzwerksicherheit betrifft nicht nur die Sicherheit der Computer an jedem Ende der Kommunikationskette. Ziel ist es jedoch sicherzustellen, dass das gesamte Netzwerk sicher ist.

Zur Netzwerksicherheit gehört der Schutz der Benutzerfreundlichkeit, Zuverlässigkeit, Integrität und Sicherheit von Netzwerken und Daten. Effektive Netzwerksicherheit verhindert, dass eine Vielzahl von Bedrohungen in ein Netzwerk eindringt oder sich dort ausbreitet.

Das Hauptziel der Netzwerksicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Diese drei Säulen der Netzwerksicherheit werden häufig als dargestelltCIA triangle.

  • Confidentiality- Die Funktion der Vertraulichkeit besteht darin, wertvolle Geschäftsdaten vor unbefugten Personen zu schützen. Der Teil der Vertraulichkeit der Netzwerksicherheit stellt sicher, dass die Daten nur den beabsichtigten und autorisierten Personen zur Verfügung stehen.

  • Integrity- Dieses Ziel bedeutet, die Genauigkeit und Konsistenz der Daten zu gewährleisten und sicherzustellen. Die Funktion der Integrität besteht darin, sicherzustellen, dass die Daten zuverlässig sind und nicht von unbefugten Personen geändert werden.

  • Availability - Die Funktion der Verfügbarkeit in der Netzwerksicherheit besteht darin, sicherzustellen, dass die Daten, Netzwerkressourcen / -dienste den legitimen Benutzern jederzeit zur Verfügung stehen, wenn sie dies benötigen.

Netzwerksicherheit erreichen

Die Gewährleistung der Netzwerksicherheit scheint sehr einfach zu sein. Die zu erreichenden Ziele scheinen unkompliziert zu sein. In Wirklichkeit sind die Mechanismen zur Erreichung dieser Ziele jedoch sehr komplex, und das Verständnis dieser Mechanismen erfordert fundiertes Denken.

International Telecommunication Union(ITU) hat in seiner Empfehlung zur Sicherheitsarchitektur X.800 bestimmte Mechanismen definiert, um die Standardisierung von Methoden zur Erreichung der Netzwerksicherheit zu erreichen. Einige dieser Mechanismen sind -

  • En-cipherment- Dieser Mechanismus bietet Datenvertraulichkeitsdienste, indem Daten für nicht autorisierte Personen in nicht lesbare Formulare umgewandelt werden. Dieser Mechanismus verwendet einen Verschlüsselungs- / Entschlüsselungsalgorithmus mit geheimen Schlüsseln.

  • Digital signatures- Dieser Mechanismus ist das elektronische Äquivalent zu normalen Signaturen in elektronischen Daten. Es bietet Authentizität der Daten.

  • Access control- Dieser Mechanismus wird zur Bereitstellung von Zugriffskontrolldiensten verwendet. Diese Mechanismen können die Identifizierung und Authentifizierung einer Entität verwenden, um die Zugriffsrechte der Entität zu bestimmen und durchzusetzen.

Nachdem verschiedene Sicherheitsmechanismen zur Erreichung der Netzwerksicherheit entwickelt und identifiziert wurden, ist es wichtig zu entscheiden, wo sie angewendet werden sollen. sowohl physisch (an welchem ​​Ort) als auch logisch (auf welcher Ebene einer Architektur wie TCP / IP).

Sicherheitsmechanismen auf Netzwerkebenen

Verschiedene Sicherheitsmechanismen wurden so entwickelt, dass sie auf einer bestimmten Ebene des OSI-Netzwerkschichtmodells entwickelt werden können.

  • Security at Application Layer- Die auf dieser Ebene verwendeten Sicherheitsmaßnahmen sind anwendungsspezifisch. Verschiedene Arten von Anwendungen würden separate Sicherheitsmaßnahmen erfordern. Um die Sicherheit der Anwendungsschicht zu gewährleisten, müssen die Anwendungen geändert werden.

    Es wird davon ausgegangen, dass das Entwerfen eines kryptografisch einwandfreien Anwendungsprotokolls sehr schwierig ist und die ordnungsgemäße Implementierung noch schwieriger ist. Daher werden Sicherheitsmechanismen auf Anwendungsebene zum Schutz der Netzwerkkommunikation bevorzugt als standardbasierte Lösungen, die seit einiger Zeit verwendet werden.

    Ein Beispiel für ein Sicherheitsprotokoll auf Anwendungsebene ist Secure Multipurpose Internet Mail Extensions (S / MIME), das üblicherweise zum Verschlüsseln von E-Mail-Nachrichten verwendet wird. DNSSEC ist ein weiteres Protokoll auf dieser Ebene, das für den sicheren Austausch von DNS-Abfragenachrichten verwendet wird.

  • Security at Transport Layer- Sicherheitsmaßnahmen auf dieser Ebene können verwendet werden, um die Daten in einer einzigen Kommunikationssitzung zwischen zwei Hosts zu schützen. Die häufigste Verwendung für Sicherheitsprotokolle der Transportschicht ist der Schutz des HTTP- und FTP-Sitzungsverkehrs. Die Transport Layer Security (TLS) und die Secure Socket Layer (SSL) sind die am häufigsten verwendeten Protokolle für diesen Zweck.

  • Network Layer- Sicherheitsmaßnahmen auf dieser Ebene können auf alle Anwendungen angewendet werden. Sie sind daher nicht anwendungsspezifisch. Die gesamte Netzwerkkommunikation zwischen zwei Hosts oder Netzwerken kann auf dieser Ebene geschützt werden, ohne dass eine Anwendung geändert werden muss. In einigen Umgebungen bietet das Sicherheitsprotokoll auf Netzwerkebene, wie z. B. IPsec (Internet Protocol Security), eine viel bessere Lösung als Steuerelemente auf Transport- oder Anwendungsschicht, da es schwierig ist, einzelnen Anwendungen Steuerelemente hinzuzufügen. Sicherheitsprotokolle auf dieser Ebene bieten jedoch eine geringere Kommunikationsflexibilität, die von einigen Anwendungen möglicherweise benötigt wird.

Im Übrigen kann ein Sicherheitsmechanismus, der für den Betrieb auf einer höheren Schicht ausgelegt ist, keinen Schutz für Daten auf niedrigeren Schichten bieten, da die niedrigeren Schichten Funktionen ausführen, die den höheren Schichten nicht bekannt sind. Daher kann es erforderlich sein, mehrere Sicherheitsmechanismen bereitzustellen, um die Netzwerksicherheit zu verbessern.

In den folgenden Kapiteln des Tutorials werden die Sicherheitsmechanismen erläutert, die auf verschiedenen Ebenen der OSI-Netzwerkarchitektur zum Erreichen der Netzwerksicherheit eingesetzt werden.