Netzwerktechnik II - Netzwerksicherheit

Netzwerksicherheit

Netzwerksicherheit bezeichnet das Gesamtkonzept der Planung, Ausführung und Überwachung der Sicherheit in Netzwerken zur elektronischen Datenverarbeitung. Die Herausforderungen an ein sicheres Netzwerk sind sehr vielschichtig, so wie auch die Angriffsmöglichkeiten auf ein Netzwerk und die angeschlossenen Geräte vielschichtig sein können.

Teilaspekte

  • technisch: Welche Hardware wird eingesetzt, um das Netzwerk zu schützen?
  • organisatorisch: Wer darf was? Wer hat welche Berechtigungen?
  • betrieblich: Wie wird die Sicherheit im Betriebsablauf realisiert?
  • rechtlich: Welche Maßnahmen dürfen umgesetzt werden? Wo gibt es Hürden? Welche Schutzmaßnahmen sind zwingend notwendig (beispielsweise hinsichtlich des Datenschutzes)?

Im folgenden werden einige dieser technischen und organisatorischen Maßnahmen beleuchtet.

Firewall

Die Firewall ist ein System, mit dem man Netzwerke (Rechnernetze) oder Rechner vor Zugriffen schützen kann. Es gibt Firewalls, die auf Basis einer Software auf Systemen (wie zum Beispiel einem "normalen" Rechner) arbeiten, und es gibt "Hardware-Firewalls", die als eigenes System in Netzwerken arbeiten.

Firewalls sind in der Lage, den Netzwerkverkehr zu filtern. Gemäß bestimmter, vorher festgelegter Regeln lassen sie Netzwerkpakete "durch" oder blockieren sie. Ein solcher Schutz bietet die Möglichkeit, innerhalb eines Netzwerks mehrere Geräte miteinander kommunizieren zu lassen (zum Beispiel zum Datenzugriff oder zum Absenden eines Druckauftrags), nach außen hin diese Zugriffsmöglichkeiten aber zu unterbinden - damit beispielsweise nicht jede*r aus dem Internet auf den Netzwerkdrucker einer Firma zugreifen kann. Auf die gleiche Art und Weise wird das Netzwerk der Uni Köln - das UKLAN - geschützt, denn auch innerhalb dieses Netzwerks gibt es schützenswerte Geräte, Datenspeicher, Lizenzsoftware-Zugriffe, Bibliotheksdienste und weiteres, auf die externe Personen "von außen" keinen Zugriff haben sollten.

Weiterhin bietet eine Firewall die Möglichkeit, ein Netzwerk in weitere Gruppen zu unterteilen - so genannte Subnetze. So kann beispielsweise das Netzwerk der Uni Köln seine Institute in getrennte Netzbereiche aufteilen, so dass auch innerhalb der Subnetze Zugriffe freigegeben oder beliebig gesperrt sein können. Denn auf den Datenspeicher von Institut X muss das Institut Y ja nicht unbedingt zugreifen können und ähnliches.

Schutz vor unberechtigten Netzwerkzugriffen... oder: Wie ist das mit dem Hacking?

Moderne Hackingangriffe erfoldern heutzutage einiges an Aufwand. Wer an einer Firewall vorbeikommen und (unberechtigt) in ein Netzwerk eindringen will, muss:

  • vorher genau auskundschaften, welche Systeme sich in einem Netzwerk befinden und wie das Netzwerk hardware- und softwaretechnisch aufgebaut ist,
  • das Netzwerk vorab scannen, um zu checken, wie man einen Zugriff ermöglichen kann,
  • aktiv in das Netzwerk eindringen, indem man Sicherheitslücken oder Fehlkonfigurationen oder vielleicht sogar vor Ort ist, um ein System zu infiltrieren,
  • Maßnahmen treffen, um zukünftig auch einen Zugriff auf das System zu haben und
  • anschließend seine Spuren verwischen.

Bei allen Schritten sollte ein Hacking-Angriff mit Sachverstand durchgeführt werden, da sonst

  • Monitoringsysteme Warnungen anzeigen und die mit der Administration des Systems betrauten Personen auf den Eindringling aufmerksam werden,
  • technische Maßnahmen zur Sperrung des Angriffs erfolgen,
  • gegebenenfalls dadurch aufgefallene Sicherheitslücken oder Konfigurationsfehler direkt korrigiert werden,

und so der Angriff fehlschlägt, bevor es zu einem Schaden kommen kann.

Bei Hackingangriffen ist es also nicht nur mit den oben genannten Schritten getan, sondern meistens läuft ein Hackingangriff auf eine immer wiederkehrende, langfristige Bedrohung hinaus - oder einem sogenannten Advanced Persistent Threat.

So muss ein Schutz vor Bedrohungen von außen heute mit viel Gegenwehr von innen beantwortet werden, damit es nicht zu Schaden im Netzwerk kommt.

Angriffsmöglichkeiten

Spoofing: Durch gefälschte Netzwerkadressen kann eine Kommunikation zustandekommen, die dem Kommunikationspartner vorgaukelt jemand anderes (oder ein anderes Gerät) zu sein.

Botnetze: Durch Sicherheitslücken werden mehrere Rechner "gekapert", die dann zusammengeschaltet werden können, um gemeinsam ein anderes Ziel mittels einer DDoS-Attacke anzugreifen.

DDoS-Attacke: Rechner innerhalb eines Botnetzes werden zum Angreifenden auf ein Ziel (wie beispielsweise den Server einer Firma), um durch unzählig viele Anfragen diesen Server lahmzulegen, dass dieser nicht mehr kommunizieren kann. So werden beispielsweise Webshops um ihr Geschäft gebracht oder Firmen um ihre Aufträge. Botnetze für DDoS-Attacken kann man übrigens kaufen, wenn man sich mal im Darknet umsieht. https://www.heise.de/news/Einmal-24-Stunden-Premium-DDoS-bitte-Studie-schluesselt-Preise-im-Darknet-auf-4786570.html

Hackbare Kühlschränke als Angriffsziel? Die Gefahr des Internet of Things.

Immer mehr Geräte können heutzutage mit dem Internet kommunizieren. Die Gefahr dieser Geräte sind ihre oft unerkannten oder unveröffentlichten Sicherheitslücken. Mit diesen sind sie im Netzwerk unterwegs, was deshalb so gefährlich ist, weil viele Firmen, die diese Geräte herstellen, sich dieser Gefahr (und dass sie etwas gegen diese Sicherheitslücken unternehmen müssen) oft nicht bewusst sind. Es hat sich gezeigt, dass viele Hersteller nicht einmal daran denken, Sicherheitsupdates zu veröffentlichen. Vielleicht haben sie Sorge vor den Anwendenden, die die Updates dann noch installieren müssten – wofür man Fachkenntnisse benötigt... https://www.heise.de/security/meldung/Ripple20-erschuettert-das-Internet-der-Dinge-4786249.html

Wie anfällig ist...?

Im Video werden einige weitere Angrifsziele benannt, die im Netzwerk zur Gefahr werden können:

  • ein Webserver
  • das (offene) WLAN-Netz
  • Video-Konferenz- und Chat-Dienste

Virtual Private Network – VPN

Mit einem Virtuellen Privaten Netzwerk – VPN ist es möglich, dass man mit seinem Gerät zum Teil eines Netzwerks wird. So ist man physisch nicht davon abhängig, an einem bestimmten Ort zu sein, erhält aber trotzdem die Zugriffsmöglichkeiten, als befände man sich vor Ort (beispielsweise einer Hochschule oder Firma). Neben diesen Netzwerkberechtigungen erhält man darüber hinaus eine IP-Adresse aus dem Netzwerkbereich und ist so auch für das Internet als Mitglied eines Netzwerks erkennbar.

Die Funktionsweise des "Tunnelns" kurz zusammengefasst: Ein Client baut eine Verbindung zu einem sogenannten "Gateway" auf. Dieser Server leitet dann den gesamten Netzwerkverkehr über das eigene Netzwerk um, beispielsweise ins Internet. Ein Client benötigt also eine funktionierende Internetverbindung, um auf den Gateway-Server zugreifen zu können. Zur Verschlüsselung: Diese geschieht zwischen Client und Server ("End-to-Site-VPN") wenn man also in einem offenen WLAN surft, können Angreifende nur einen verschlüsselten Datenstrom abfangen, der Datenmüll ergibt, da die Verbindung ja alle Inhalte verschlüsselt überträgt).

Geoblocking

Viele verwenden ein VPN, um auf Inhalte wie beispielsweise Videos zugreifen zu können, die in Ihrer Region nicht verfügbar sind. Dieses sogenannte Geoblocking lässt sich über ein VPN umgehen, und es gibt viele Angebote, die sich mit ihrem VPN-Service darauf spezialisiert haben. Viele solcher Angebote sind kostenlos, was aber oft einen Haken hat. Denn: Wie finanziert sich ein solches kostenloses Angebot? Was geschieht mit den Benutzungsdaten? Werden sie verkauft? Oder können sie auf Anordnung von Behörden möglicherweise in fremde Hände gelagen, die nachverfolgen, wer welche Angebote wie genutzt hat? Dies lässt sich verhindern, indem man bei der Registrierung bei einem solchen Dienst auf eine "No-Log-Policy" achtet, denn dort verpflichten sich die Anbietenden, nichts mitzuloggen beziehungsweise die Daten nach kurzer Zeit zu löschen.

VPN = anonym surfen?

Viele denken, man surfe komplett anonym und sei bei einer Verbindung mit einem VPN-Server nicht verfolgbar. Wichtig: Die Datenübertragung zwischen Client und Server geschieht zwar verschlüsselt, der Datenstrom kann also nicht einfach so mitgelesen werden. Aber alles, was vom VPN-Gateway zum Internet geleitet wird, ist natürlich nachverfolgbar. So kann man schon allein über die IP-Adresse eine Zuordnung zu einem VPN-Service (oder beispielsweise dem Adressbereich einer Hochschule) vornehmen. Und das Gateway selbst kann ebenfalls mitloggen, wer welche Verbindung mit welcher IP-Adresse aufgebaut hat... anonym ist das also nicht.

VPN an der Uni Köln

Die Universität zu Köln stellt ihren Angehörigen (Studierenden und Beschäftigten) einen VPN-Service zur Verfügung, über den man beispielsweise auf die geschützten Angebote der Universitäts- und Stadtbibliothek zugreifen kann. Wie man eine solche Verbindung einrichtet, ist auf den Seiten des Rechenzentrums beschrieben: https://rrzk.uni-koeln.de/internetzugang-web/netzzugang/vpn