Was sind die Grundlagen der Netzwerksicherheit?
Die Grundlagen der Netzwerksicherheit sind die entscheidenden Elemente der Netzwerk- und Cybersicherheit. Sie sollten in allen Netzwerken installiert werden: zu?Hause, in Unternehmen und im Internet. Effektive Netzwerksicherheit erfordert den Schutz kabelgebundener und kabelloser Netzwerke durch Firewalls, Anti-Malware-Software, Intrusion Detection Systems, Zugriffskontrolle und mehr.
Grundlagen der Netzwerksicherheit
Netzwerksicherheit ist ein komplexes Thema, das mehrere verschiedene Technologien umfasst, deren Konfiguration oft kompliziert ist.
Das Problem, das es zu l?sen gilt, ist die Trennung zwischen dem, was sich im Netzwerk befindet, und den Endpunkten oder Hostsystemen, die damit verbunden sind. Die Technologie für das Netzwerk und die Endpunkte umfasst Zugriffskontrolle und 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳. Beim Netzwerk kommen jedoch noch Segmentierung und Perimetersicherheit hinzu.
Netzwerksicherheit und Endpunktsicherheit im Vergleich
Die Netzwerksicherheit ist nur ein Teil der Sicherheitsgleichung. Sie bezieht sich in der Regel auf die Ger?te, die das Netzwerk selbst schützen. Bei einer Firewall kann es sich um ein Stand-alone-Ger?t handeln, das neben Netzwerkger?ten wie Routern oder Switches eingesetzt wird?– oder um eine Software innerhalb des physischen Ger?ts, das auch für Routing und/oder Switching zust?ndig ist. Im Netzwerk gibt es Firewalls, Intrusion Detection Systems?(IDS), Intrusion Prevention Systems?(IPS), VPN-Appliances (Virtual Private Network), DLP-Systeme (Data Loss Prevention) usw.
Das Netzwerk ist dazu da, Systeme miteinander zu verbinden. Es erm?glicht Ihnen das St?bern bei Amazon oder den Online-Einkauf in Ihrem ?rtlichen Lebensmittelgesch?ft. Aber auch die Endsysteme müssen geschützt werden?– dies wird als Endpunktsicherheit bezeichnet. Zu diesen Ger?ten geh?ren Laptops, Tablets, Telefone, aber auch IoT-Ger?te (Internet of Things, Internet der Dinge).
Das IoT umfasst Ger?te wie vernetzte Thermostate, Kameras, Kühlschr?nke, Haustürschl?sser, Glühbirnen, Teichpumpen, intelligente Bettdecken usw. Auch diese Ger?te erfordern Sicherheitskontrollen. Doch nicht alle Ger?te sind so ausgereift, dass sie eine hostbasierte Firewall oder einen Anti-Malware-Agenten enthalten. Wenn es sich bei dem Endpunkt um eine Glühbirne handelt, dann ist er wahrscheinlich auf die Netzwerksicherheit angewiesen.
Zugriffskontrolle
Der erste Ansatzpunkt ist die Zugriffskontrolle. Unternehmen bezeichnen dies gemeinhin als Identity and Access Management (IAM, Identit?ts- und Zugriffsverwaltung). Die Zugriffs- bzw. Zugangskontrolle ist nicht neu. Menschen kontrollieren den Zugang zu Geb?uden, seit vor über 6.000?Jahren das erste Schloss an einer Tür angebracht wurde.?Die Zugriffskontrolle wird heute für Netzwerke, Computer, Telefone, Anwendungen, Websites und Dateien eingesetzt.
Grunds?tzlich wird die Zugriffskontrolle in die IAAA-Kategorien aufgeteilt:
- Identifikation ist die Feststellung des Namens oder der ID eines Anwenders, z.?B. die E-Mail-Adresse.
- Authentifizierung liefert den Beweis, dass der Anwender der ist, der er vorgibt zu sein. Am h?ufigsten erfolgt dies über Passw?rter.
- Autorisierung erteilt oder verwehrt dem Anwender eine Berechtigung. Es kann sein, dass der Anwender nicht autorisiert ist und daher keine Berechtigungen erh?lt. Wenn er autorisiert ist, werden Berechtigungen für Lesen, Schreiben, volle Kontrolle usw. gew?hrt.
- Accountability, zu Deutsch etwa Zurechenbarkeit, verfolgt, was passiert ist. Das Protokoll zeigt, dass ein Anwender versucht hat, Zugriff zu erhalten, oder dass der Zugriff gew?hrt wurde. Das Protokoll kann auch alle Aktionen enthalten, die der Anwender durchführt.
?
Authentifizierungsarten
Innerhalb des IAAA-Modells ist die Authentifizierung derzeit vielleicht das wichtigste Thema. Auf den meisten Systemen sind Passw?rter weiterhin die g?ngigste Authentifizierungsmethode. Sie sind jedoch in der Regel nicht sehr sicher, da sie leicht zu knacken sind.
Wenn ein Passwort zu kurz ist, k?nnen es Hacker leicht herausfinden. Hierzu nutzen Hacker Angriffe, mit denen sie Passw?rter erraten k?nnen?– und zwar über eine Brute-Force-Methode, bei der automatisch alle m?glichen Kombinationen ausprobiert werden. Oder sie nutzen ein Programm, das Passw?rter nachbildet, die den gleichen Hash-Wert ergeben.
Heute werden drei Authentifizierungsarten oder -faktoren verwendet. Sie lauten wie folgt:
- Etwas, das Sie wissen?– eine Zeichen- und/oder Zahlenfolge, die in Ihrem Ged?chtnis gespeichert ist. Heutzutage sollten sie am besten in einem Passwortmanager gespeichert werden.
- Etwas, das Sie haben?– eine spezielle Appliance oder eine Software auf einem Ger?t, die Sie für die Authentifizierung ben?tigen. Dazu geh?ren Ger?te wie ein RSA-Token oder der Google Authenticator auf einem Smartphone.
- Etwas, das Sie sind?– ein Aspekt Ihrer Person. Dieser Faktor umfasst Biometriedaten, entweder physiologische, wie einen Fingerabdruck, oder verhaltensbasierte, wie einen Stimmabdruck.
?
Die beste Wahl ist die Zwei-Faktor-Authentifizierung?(2FA). Sie wird manchmal auch als Multi-Faktor-Authentifizierung?(MFA) bezeichnet. Diese Methode ist empfehlenswert für Ihre pers?nlichen Konten, z.?B. bei Amazon oder Facebook.
Anwendungen wie Google Authenticator sind kostenlos und stellen eine deutlich bessere Wahl dar als der Empfang einer SMS-Nachricht auf Ihrem Telefon. Das National Institute of Standards and Technology?(NIST) r?t davon ab, SMS als Faktor zu nutzen.
Zu empfehlen ist 2FA auch für das Büro?– die Entscheidung, ob diese Methode erforderlich ist oder nicht, muss jedoch auf Richtlinien- oder Managementebene getroffen werden. Diese Entscheidung h?ngt von vielen Faktoren ab, z.?B. dem Asset, seiner Datenklassifizierung, den Risiken und den Schwachstellen.
Netzwerksegmentierung
Die Netzwerksegmentierung verbessert die Sicherheit, indem der Datenfluss zwischen verschiedenen Netzwerken kontrolliert wird. Am h?ufigsten wird dies mit virtuellen lokalen Netzwerken (Virtual Local Area Networks,?VLANs) erreicht. Es gibt verschiedene Varianten dieser Netzwerke, z.?B. ein privates VLAN?(PVLAN), ein virtuelles erweiterbares LAN (Virtual Extendable LAN,?VXLAN) usw. Ein VLAN befindet sich auf der Sicherungsschicht, also Schicht?2 des OSI-Modells (Open System Interconnect). Die meisten Netzwerkadministratoren ordnen einem VLAN ein IP-Subnetz (Internet Protocol) zu.
Router erm?glichen die Weiterleitung des Datenverkehrs zwischen VLANS gem?? der Konfiguration. Wenn Sie die Kontrolle behalten wollen, ist die Router-Konfiguration entscheidend.??
Eine weitere Option innerhalb der Cloud sind sogenannte Virtual Private Clouds?(VPC). Die Kontrolle des Datenverkehrs, der an die bzw. aus der VPC übertragen wird, erfolgt ebenfalls über Konfigurationen.
Für die Konfiguration und Kontrolle des Zugriffs auf die bzw. aus den VLANs und VPCs ist es entscheidend, die gesch?ftlichen Workload-Anforderungen zu kennen.
Perimetersicherheit
Perimetersicherheit basiert auf der Idee, dass es eine definierte Grenze zwischen dem internen (und damit vertrauenswürdigen) Netzwerk und dem externen (und damit nicht vertrauenswürdigen) Netzwerk gibt. Es handelt sich hierbei um einen traditionellen Ansatz für Netzwerkdesign, der aus einer Zeit stammt, als sich Netzwerk und Rechenzentrum noch im selben Geb?ude befanden. In dieser Konfiguration verbindet ein Router das interne und das externe Netzwerk. Die grundlegende Konfiguration einer Zugriffskontrollliste (Access Control List,?ACL) innerhalb des Routers steuert, welcher Datenverkehr weitergeleitet wird.
Sie k?nnen die Sicherheit am Rand des internen Netzwerks, der sogenannte Perimeter, mit Firewalls, IDS und IPS erh?hen.? Weitere Informationen hierzu finden Sie auf der Seite ?Netzwerksicherheitsma?nahmen“.
痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳
痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳 ist wichtig, um vertrauliche Daten und Kommunikationen vor neugierigen Blicken zu schützen. Die 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳 schützt Dateien auf Ihrer Festplatte, Ihre Banking-Sitzungen, in der Cloud gespeicherte Daten, vertrauliche E-Mails und noch viele andere Anwendungen. Kryptografie erm?glicht auch die ?berprüfung der Datenintegrit?t und die Authentifizierung der Datenquelle.?
Bei der 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳 unterscheidet man zwei Grundtypen: symmetrisch und asymmetrisch.?
- Bei der symmetrischen Kryptografie gibt es einen einzigen Schlüssel zum Ver- und Entschlüsseln.?Dieser muss dem Empf?nger bereitgestellt werden, um die verschlüsselte Kommunikation abzuschlie?en.?Zu den g?ngigen Algorithmen geh?ren Advanced Encryption Standard?(AES), Blowfish, Triple-DES (Data Encryption Standard) und viele mehr.
- Bei der asymmetrischen Kryptografie gibt es zwei verschiedene Schlüssel: einen ?ffentlichen (Public?Key) und einen privaten (Private?Key), die gemeinsam als Satz funktionieren. Der Schlüsselsatz geh?rt jeweils einem Anwender oder einem Dienst, z.?B. einem Webserver. Ein Schlüssel ist für die 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳 bestimmt, der andere für die Entschlüsselung.?
- Wenn der Public?Key die Daten verschlüsselt, h?lt er die Daten dadurch geheim. Denn nur der Besitzer des Private?Keys kann sie entschlüsseln.
- Verschlüsselt der Private?Key die Daten, beweist er dadurch die Authentizit?t der Quelle. Denn wenn die Daten erfolgreich mit dem Public?Key entschlüsselt werden k?nnen, hei?t das, dass nur der Private?Key die Daten verschlüsselt haben kann. Der Public?Key ist tats?chlich ?ffentlich und für jeden zug?nglich.
?
Ein drittes Thema ist das Hashing. Auch wenn es sich hierbei nicht wirklich um eine 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳 handelt, muss Hashing Teil der Sicherheitsdiskussion sein. Beim Hashing wird ein Algorithmus auf eine Nachricht angewendet, der aus den Bits dieser Nachricht eine Antwort, den sogenannten Hash, errechnet. Bei den Bits kann es sich um Daten, Sprache oder Videos handeln. Beim Hashing wird der Wert der Daten in keiner Weise ver?ndert. Im Gegensatz dazu werden bei der 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳 die Daten in einen unlesbaren Zustand versetzt.?
Hashing beweist, dass sich die Bits der Nachricht nicht ver?ndert haben. Es stellt sicher, dass die Daten integer sind und in ihrem ursprünglichen Format vorliegen. Nur Hashing schützt Daten vor versehentlichen ?nderungen.
Wenn der Hash mit einem asymmetrischen Private?Key verschlüsselt ist, beweist er, dass die Daten nicht von einem Hacker manipuliert wurden. B?swillige ?nderungen sind nur m?glich, wenn der Private?Key kompromittiert ist.
Wenn der Schlüssel nicht kompromittiert wurde, dann wissen Sie, dass die Person, die den Private?Key besitzt, auch die Person sein muss, die den Hash berechnet hat. Dieser Key kann ein symmetrischer Schlüssel sein, der manchmal auch als Private?Key bezeichnet wird, oder ein asymmetrischer Private?Key.
Sicherheit für kabellose Netzwerke
Es ist schwierig, Daten, Sprache oder Videos zu schützen, die über ein kabelloses Netzwerk übertragen werden. Bei kabellosen ?bertragungen muss ein Signal gesendet werden, und damit k?nnen Hacker in Reichweite die ?bertragung leichter erfassen. Es gibt 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳sstandards für kabellose Netzwerke, aber die meisten wurden bereits in irgendeiner Form geknackt.
Zu den 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳sstandards geh?ren WEP, WPA, WPA2 und jetzt auch WPA3.
- Wired Equivalent Privacy?(WEP) verwendet den symmetrischen RC4-Algorithmus zur 痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳 der kabellosen ?bertragung. Hacker haben den Standard schnell geknackt?– und es gibt mittlerweile sogar ein praktisches Hacking-Tool namens WEP?Crack genau für diesen Zweck.
- Wi-Fi Protected Access?(WPA) ersetzte damals WEP, verwendete aber weiterhin RC4. Also haben Hacker WEP?Crack modifiziert, um auch WPA zu knacken.
- WPA2, die zweite Version von WPA, umfasst zwei Optionen.
- WPA2-Personal verwendet einen Pre-Shared Key, der auch einfach als Sicherheitsschlüssel bezeichnet wird. Dabei handelt es sich im Wesentlichen um ein Passwort, das in ein kabelloses Ger?t, wie einen Laptop oder ein Telefon, sowie in den kabellosen Zugangspunkt (Wireless Access Point,?WAP) eingegeben wird. 2017 entdeckten Hacker die erste Schwachstelle namens ?Key?Reinstallation?AttaCK?(KRACK).
- WPA2-Enterprise verwendet eine zus?tzliche Sicherheitsebene, indem es den Anwender bei einem zentralen RADIUS-Server (Remote Authentication Dial-in User Service) authentifiziert. Au?erdem wird das EAP-Protokoll (Extensible Authentication Protocol) verwendet, um die Authentifizierungsinformationen über die lokale kabellose Verbindung weiterzuleiten. Die Kombination aus RADIUS und EAP als Sicherheitsprotokoll wird als IEEE?802.1x bezeichnet.
Quelle:
- WPA3 bietet ebenfalls zwei Optionen.
- WPA3-Personal bietet Anwendern ein h?heres Ma? an Schutz durch einen 128-Bit-痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳sschlüssel. Dies erm?glicht eine zuverl?ssige Passwortauthentifizierung, selbst wenn die Passw?rter der Anwender eigentlich zu einfach sind, um sicher zu sein. WPA3-Personal erreicht diesen Schutz durch das SAE-Protokoll (Simultaneous Authentication of Equals) anstelle des Pre-Shared Keys in WPA2-Personal.? ?
- WPA3-Enterprise[SM2]?[TA(3]?[SM4]? verwendet einen 192-Bit-痴别谤蝉肠丑濒ü蝉蝉别濒耻苍驳sschlüssel für gesteigerte Sicherheit.?Der Standard stellt eine Erweiterung von WPA2 dar, das Sicherheitsprotokolle im gesamten Unternehmensnetzwerk einheitlich anwendet.??
Sicherheitszertifizierungen
Netzwerksicherheit ist ?u?erst komplex. Der Kampf gegen die Hacker erfordert viel Raffinesse und wird uns auf absehbare Zeit begleiten. Weitere Informationen finden Sie auf der Seite ?Netzwerksicherheitsma?nahmen“.
Sicherheitszertifizierungen sind immer eine gute Idee. Die Zertifizierung oder die -Zertifizierung zum System Security Certified Practitioner (SSCP) ist hierbei ein guter Ausgangspunkt. Eine fortgeschrittenere Zertifizierung auf Managerebene, die auch ein wenig technisches Wissen beinhaltet, ist beispielsweise die -Zertifizierung zum Certified Information System Security Professional (CISSP). Sie k?nnen auch anbieterspezifische Prüfungen ablegen, z.?B. die Cloud-basierten Prüfungen für , oder .
Weiterführende Artikel