Infokurs Startseite --> Modul C: IT-Sicherheit --> Lektion 3: Berechtigungen

Modul C: IT-Sicherheit

Lektion 4: sichere Kommunikation

Einer der wichtigsten Aspekte um die gesamte Systemlandschaft sauber zu halten ist die Absicherung des eigenen Netzwerks. Je weniger die lokal installierten Virenscanner zu tun bekommen umso besser für Sie.

4.1 Firewall

Eine moderne Firewall-Lösung kotrolliert die Datenströme in beide Richtungen: Aus dem System heraus und in das System herein. Außerdem werden auch die Programme kontrolliert, die Daten empfangen oder Versenden dürfen. Die Windows-Firewall ist nicht besonders gut, weil Sie zwar die Datenströme bidirektional filtert, aber den Inhalt der Pakete selbst nicht kontrolliert. Wenn Sie für die Sicherheit eines Unternehmes zuständig sind, denken Sie darüber nach zusätzlich noch eine Hardware Firewall-Lösung eines rennomierten Anbieters einzusetzen.
Bei jeder Firewall sind zwei Kriterien jedoch ganz entscheidend. Erstens: Welches Programm oder welcher Prozess darf überhaupt Daten senden und empfangen und zweitens: Welche Ports sind freigeschaltet? Schaut man sich einmal die Liste der Programme an, die Daten aus dem Netzwerk empfangen oder Daten ins Netzwerk schicken stellt man erstaunt fest, dass vielmehr Programme und Prozesse ins Spiel kommen als man gemeinhin erwarten würde:
Erwarten würde man klassischerweise Programme wie Browser, Mailclients, den Windows-Explorer (für Netzlaufwerke) und eventuell noch den Mediaplayer, wenn er sich Daten zu Titeln sowie Codecs und Lizenzen aus dem Netz nachlädt. Überwacht man den Datenverkehr, kommen aber auch noch die gesamten Office-Programme (und das nicht nur, wenn man Online nach weiteren Vorlagen suchen lässt, sondern fast ständig wird da mit dem Internet geredet), alle AutoUpdateProzesse (Windows Update, Virenscanner, Office) und zahlreiche weitere Prozesse. Hat man einmal das Sharewaretool XP-Antispy laufen lassen, werden es aber deutlich weniger Prozesse.
Die zweite interessante Frage ist aber: Welcher Port darf von dem Programm angesprochen werden? Klären wir zunächst was Ports sind. Für jeden Datentransfer gibt es am System spezielle Türen, die dafür sorgen, dass der ankommende Verkehr der entsprechenden Anwendung zugeordnet wird. Jede Tür hat eine Hausnummer, die sie kennzeichnet. Einige dieser Portnummern sind allgemein festgelegt und werden im Standard benutzt. Sie werden auch von den meisten Firewalls schon standardmäßig offen gelassen. Dazu gehören insbesondere der Port 80 für HTTP anfragen, 21 für FTP anfragen, 23 für Mailanfragen und 119 für Newsprotokoll-Anfragen. Eine vollständige Liste aller freigeschalteten Ports ist bei Windows und Linux in einer Datei mit dem Namen "services" hinterlegt. Sie befindet sich bei Windows im Verzeichnis \Windows\system32\drivers\etc bei Linux nur im Verzeichnis \etc. Unter Windows-Vista wurde der Schreibzugriff auf die Dateien in dem Verzeichnis übrigens stark eingeschränkt. Wenn Sie Zugriff darauf benötigen, müssen Sie entweder im abgesicherten Modus als Administrator arbeiten oder den Editor als Administrator aufrufen. ("Ausführen als..." im Kontextmenü.
Ruft man diese Datei mit dem Editor auf wird man erstaunt sein, welche Türen offen stehen. Ein Trojaner installiert auch über diese Datei seine Backdoors also heimliche Türen für Datenströme vorbei am HTTP-Port. Meistens geschieht dies in den höheren Portnummern. Ein Blick kann also nicht schaden. Daten die am Rechner ankommen und für die keine Tür geöffnet worden ist, zerschellen schlicht an der Brandschutzmauer.
Wie können Sie nun einen Port freischalten und ein Programm dafür berechtigen? Klicken Sie in der Systemsteuerung auf Windows Firewall um in das gezeigte Fenster zu gelangen.
Der Status hier sollte eigentlich immer "Aktiv (empfohlen)" sein. Einzige Ausnahme: Sie haben eine bessere hardwarebasierte Firewall-Lösung. Bei Windows-Vista ist das gezeigte Fenster übrigens erst dann sichtbar, wenn Sie im Übersichtsfenster auf "Einstellungen ändern" klicken. Bein Windows 7 ist die Einstellung direkt in das Systemsteuerungsfenster intergriert. An der Funktionalität ändert das nichts.
Beachten Sie aber bitte: Windows kennt für die Firewall mehrere unterschiedliche Konfigurationen, je nachdem in welchem Netzwerk Sie sich gerade aufhalten. Damit können Sie unterschiedliche Einstellungen für private, öffentliche oder Domänennetzwerke vornehmen. Können heißt an dieser Stelle aber auch: müssen. Jede Einstellung, die Sie vornehmen müssen Sie mit Bedacht an jeder Stelle vornehmen (vgl. auch Grafik weiter unten).
Unter Umständen ist es jedoch nötig bestimmten Netzwerkverkehr zusätzlich zu erlauben um zum Beispiel ein Instant-Messaging-Tool wie ICQ oder AIM zum Laufen zu kriegen. Solche Einstellungen können Sie über die Registerkarte "Ausnahmen" vornehmen. Dabei muss immer das frei geschaltete Programm und der entsprechende Port angegeben werden. Im unteren Bereich der Registerkarte können Sie dann auch noch auswählen, dass Windows Sie benachrichtigen soll, sobald ein neues Programm, das versucht hat zu kommunizieren geblockt worden ist.
In der dritten Registerkarte "Erweitert"  haben Sie dann noch die Möglichkeit die Firewall für einzelne Netzwerke unterschiedlich zu konfigurieren. Dies ist zum Beispiel dann sinnvoll, wenn Sie in Ihrem eigenen Intranet weniger harsch filtern wollen als die Verbindungen zum Internet. Haben Sie sich einmal verkonfiguriert, können Sie mit einem Klick auf die Schaltfläche in der Mitte die Standardeinstellungen wieder zurückholen.
Nutzer von Windows Vista finden unter Umständen in der Computerverwaltung (Systemsteuerung --> Computerverwaltung --> Windows-Firewall mit erweiterter Sicherheit) noch eine weitere Einstellung zur Windows-Firewall. Diese Konsolenansicht der Firewall erlaubt nicht nur das detailliertere Auswerten der gesetzten Filter, sondern auch eine Verkehrsüberwachung, sowie das adaptieren domainspezifischer Filter. Die Konsolenansicht sieht so aus:

4.2 Sicherheit beim Surfen

...gibt es nicht. Hier aber einige Anregungen um es ein wenig sicherer zu machen.

4.2.1 SmartScreen-Filter

Phishing ist ein immer mehr brennendes Problem im Internet. Seiten geben sich dabei als eine andere Seite aus. Dabei wird zum Beispiel die Internetseite einer Bank eins zu eins kopiert und unter einer anderen Internetadresse (URL) wieder veröffentlicht. Derjenige, der die Seite manipuliert hat, will dabei erreichen, dass möglichst viele Leute auf diese Seite gehen und dort Kontonummer PIN und TAN-Nummer eingeben. Die Nummern kann er dann auf der richtigen Seite einsetzen um Ihr Konto leer zu räumen. Dabei setzen die Betrüger häufig auf Internet-Domänennamen, die so ähnlich klingen, wie der Name der Originalseite.
Zum Beispiel könnte man beim Namen an meinebank-securitysite.com (frei gewähltes Beispiel) ins Stutzen kommen ob dahinter wirklich das Bankhaus steht oder ob es sich um eine Betrügerseite handelt. Auskunft darüber gibt bei den aktuellen Browsern die Farbe der Adressleiste. Wird sie rot, stimmt etwas mit der Seite ganz und gar nicht und Sie sollten vermeiden dort irgendetwas persönliches einzugeben. In Microsofts Browser gibt es die Warnung seit Version 7. Eingeführt wurde Sie unter dem Namen Phishing-Filter. Seit Version 8 wird das Verhalten Smart-Screen-Filter genannt. Bei jedem Seitenaufruf wird die angesurfte Internetseite mit einer Datenbank verglichen, in der Seiten hinterlegt sind, die für Phishing und andere Attacken bekannt sind. Diesen Phishing-Filter finden Sie im Internet-Explorer-Menü "Extras" --> "Smart-Screen-Filter". Hier können Sie auch selbst eine verdächtige Seite melden. Um die Menüleiste einzublenden, drücken Sie einfach kurz die Alt-Taste.

4.2.2 Internetozonenmodell

Die Windows-Sicherheit im Internet wird maßgeblich vom Zonenmodell in den Internetoptionen bestimmt. Der Grundgedanke dabei ist, dass es Bereiche gibt in denen eine Schädigung des Systems eher unwahrscheinlich ist und andere Bereiche, bei denen ein erhebliches Risiko der Systemschädigung besteht. So ist das Ausführen von lokal abgelegten Dateien in der Regel mit einem geringeren Gefährdungspotential verbunden als das Aufrufen einer unbekannten Internetseite. Die Sicherheitsstufen für die einzelnen "Webinhaltszonen" lassen sich sehr detailliert anzeigen. Doch welche Zonen existieren überhaupt?

Zone	Beschreibung
Arbeitsplatz, lokaler Computer	Ein lokales Programm wird ausgeführt, ein lokaler Ordner geöffnet.
Lokales Intranet, Lokales Netzwerk	Ein Ordner im LAN wird angezeigt - evtl. ein Netzlaufwerk oder eine Seite im Firmenintranet
Internet	Eine Internetseite ohne Zuordnung wird angezeigt. Diese Seite haben Sie bislang noch keiner Zone zugewiesen.
vertrauenswürdige Sites	Eine als vertrauenswürdig eingestufte Seite aus dem Internet wird angezeigt. Die Sicherheitseinstellungen für diese Seiten sind nicht sehr hoch eingestellt. Nur wirklich vertrauenswürdige Seiten (zum Beispiel Ihre eigene Homepage) gehören hier hinein.
eingeschränkte Sites	Hier gehören die Seiten hinein, denen Sie nicht vertrauen (können), weil sie gefährliche Inhalte auf Ihrem Rechner installieren wollen. Die Sicherheitseinstellungen für diese Zone sind sehr hoch und das Ausführen von Java-Applikationen oder Active-X Steuerelementen wird verhindert und weitere Einstellungen können noch vom Benutzer vorgenommen werden um die Sicherheit weiter zu erhöhen. Generell sollten diese Seiten allerdings gemieden werden. Nur, wenn wirklich keine Möglichkeit zum Verzicht auf den Besuch der Seite besteht ist die Vorgehensweise ratsam.

4.2.3 Scriptsprachen abschalten

Neben den vorgenannten Sicherheitseinrichtung, fahren Sie am besten, wenn Sie Scripts (ActiveX und Java) nur auf vertrauenswürdigen Seiten zulassen. Für den Firefox oder SeaMonkey kommen Sie mit dem Addon → NoScript weiter. Beim Internet Explorer können Sie Scripts in den erweiterten Internetoptionen abschalten.

4.3 Sicherer Datentransfer

Wir haben uns ja bereits im letzten Punkt mit der Sicherheit im Internet und dem Zonenmodell des Internet Explorers befasst. Dabei ging es hauptsächlich um die Einordnung von Seiten in bestimmte Zonen, die als unsicher oder sicher gelten. Welche Gefahren bei der Übertragung von Daten lauern und wie man ihnen begegnen kann, wird in diesem Punkt erklärt. Gehen wir zunächst davon aus, dass Sie Daten an einen Server übertragen wollen und dass diese Daten von sensibler Natur sind und entsprechend möglichst niemand anderen erreichen sollen, als den Empfänger für den sie bestimmt sind:

4.3.1 Bedrohungen

Das Bedrohungspotential beim Übertragen ist natürlich abhängig von der Art der Daten, die übertragen werden. Selbst eine persönliche Nachricht im Firmennetzwerk kann für den einzelnen prekär werden, wenn der Inhalt in falsche Hände gerät. Gehen wir jedoch im folgenden Beispiel davon aus, dass Sie (A) ein geschäftliches Angebot an B schicken wollen. Der Datentransfer, zum Beispiel eine E-Mail, die von A nach B geht, ist ähnlich wie eine Postkarte während der Übertragung für jedermann einsehbar und sogar veränderbar. Dadurch ergeben sich massive Bedrohungen.

4.3.1.1 Abhören und Manipulation

Zunächst könnte bereits die Kenntnis der übertragenen Daten durch jemand Fremdes schädlich für Sie sein. Nehmen wir an S sei ein Konkurrent von Ihnen. Das Wissen um den Angebotsinhalt könnte S veranlassen ein besseres Angebot an B zu schicken um den Auftrag zu erhalten und Sie gingen leer aus.
Noch schlimmer wäre es, wenn das Angebot durch einen Konkurrenten (T) sogar verändert würde. Dadurch könnte der Konkurrent sein Angebot bei voller Gewinnmarge einreichen, weil Ihres durch die Manipulation deutlich verschlechtert worden wäre.
Beide Szenarien zeigen, wie schädlich so etwas für Ihr Unternehmen sein kann. Die erste Bedrohung, also das Abhören, wird im Fachjargon als "eavesdropping" (engl. "lauschen") bezeichnet. Der Begriff leitet sich vom englischen Wort für Dachsims (eave) ab. Es bezeichnet also eigentlich Tropfen, die nicht durch eine Dachrinne abgeführt werden und nach unten tropfen. Informationen die durchsickern sind also eavesdrops. Die zweite Bedrohung, das Verändern, wird als "manipulation" bezeichnet.

4.3.1.2 Masquerading

Es gibt noch eine weitere Bedrohung ist das "masquerading". Dabei gibt sich ein Dritter als der eigentliche Empfänger aus.

4.3.2 Verschlüsselung

Man kann den ersten beiden Gefahren durch Verschlüsselung begegnen. Denn wenn niemand mehr in der Lage ist die Daten zu verstehen, die Sie an B schicken, außer dem Empfänger, dann können diese weder abgehört, noch so verändert werden, dass sie noch einen Sinn ergeben. Wie geht man dies an?

4.3.2.1 symmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung haben beide Partner (A und B) einen Schlüssel mit dem die Daten ver- und entschlüsselt werden können. Im einfachsten Fall könnte man jedes a durch ein z und jedes z durch ein a tauschen. Wenn der Empfänger das weiß, kann er das Kauderwelsch wieder zurückverwandeln und erhält so den Ursprungstext zurück. Das Problem dieses Verfahrens ist, dass es durch bloßes Ausprobieren (brute-force-Methode) schnell entschlüsselt werden kann. Der Schlüssel ist schlicht zu kurz und trivial. Ein symmetrischer Schlüssel muss also hinreichend lang sein um nicht in kurzer Zeit geknackt werden zu können. Üblich sind heute 128-bit (oder  sogar längere) Schlüssel. Ein 64-Bit langer Schlüssel ist mit heutigen Mitteln in etwa einem Tag zu knacken und eignet sich daher nur für Sitzungen, die auf kurze Zeit ausgelegt sind. Das Problem dabei ist, dass der Schlüssel ja erst einmal auch irgendwie von A zu B übertragen werden muss und dabei selbst unverschlüsselt ist und abgefangen werden kann.

4.3.2.2 asymmetrische Verschlüsselung

Schön wäre es also ein Verschlüsselungsverfahren zu haben, dessen Algorithmus nicht in beide Richtungen funktioniert. Diese Möglichkeit bietet die asymmetrische Verschlüsselung. Hierbei wird durch mathematische Tricks zum Verschlüsseln ein anderer Schlüssel verwendet als zum Entschlüsseln. Dabei generiert sich der Kommunikationspartner B einen Schlüsselpaar. Dieses Schlüsselpaar ist dauerhaft gültig und wird über Jahre verwendet. Einen Schlüssel, den so genannten öffentlichen Schlüssel (public key), gibt B nun an jeden heraus, der ihn haben will. Den anderen Schlüssel, den so genannten privaten Schlüssel (private key) hält er geheim. Jeder der beiden Schlüssel kann nun verschlüsseln und entschlüsseln. Allerdings kann nur der jeweils andere Schlüssel die Botschaft wieder dechiffrieren. Das bedeutet, eine Botschaft, die mit dem private key verschlüsselt ist, kann von jedem, der den public key hat auch gelesen werden. Eine Botschaft, die jedoch mit dem public key verschlüsselt worden ist, kann nur der Inhaber des private keys lesen. Das ganze läuft so ab:
Der A bittet den B um eine Unterhaltung. Daraufhin schickt B seinen public key an A.
Damit kann nun der A alle Botschaften die B mit seinem private key verschlüsselt hat lesen. A könnte es nun B gleich tun und ebenfalls seinen öffentlichen Schlüssel an B schicken. Damit wäre eine gesicherte Kommunikation möglich. Allerdings ist dieses Verfahren im Vergleich zum symmetrischen Verfahren relativ rechenintensiv und benötigt daher viele Systemressourcen. Daher wird es nicht allein eingesetzt. Man setzt auf das

4.3.2.3 Hybridverfahren.

Dabei nutzt A den von B im asymmetrischen Verfahren erhaltenen public key nur einmalig zum Verschlüsseln eines frei gewählten symmetrischen Schlüssels, der nur für die folgende Sitzung gilt. Nur B kann diesen mit seinem private key wieder entschlüsseln.
Beide kennen nun exklusiv einen symmetrischen Schlüssel und können diesen für die folgende Sitzung zum verschlüsseln und entschlüsseln im symmetrischen Verfahren nutzen. Ist die sichere Verbindung etabliert, bedeutet das zum Einen, dass alle Kommunikation nun nicht mehr über den Port 80, sondern den Port 443 läuft und dass zum Anderen ein kleines Schloss-Symbol im Browser die sichere Verbindung anzeigt.

4.3.3 Zertifikate

4.3.3.1 Stammzertifzierungsstellen

Um der Gefahr des Masquerading zu entgehen, muss sichergestellt werden, dass derjenige der mit Ihnen in Interaktion steht auch der ist, der er vorgibt zu sein. Sie brauchen etwas, dass ihn zuverlässig als Vertrauenswürdig klassifiziert. Im richtigen Leben ist dies zum Beispiel ein Personalausweis, der an der Grenze kontrolliert wird. Der Grenzer kennt denjenigen, der den Ausweis vorlegt in aller Regel nicht persönlich und weiß auch sonst nichts über ihn. Allerdings vertraut der Grenzer dem Passaussteller - der Bundesdruckerei - und überprüft nur noch die Angaben im Dokument auf Konvergenz mit demjenigen, der den Pass vorlegt. Es ist also eine dritte Partei im Boot, die von vornherein als vertrauenswürdig gilt. Genauso gibt es natürlich auch Dokumentenaussteller, die nicht hinreichend vertrauenswürdig sind. So wäre es schlicht unmöglich nur mit einem Videothekausweis in die Schweiz einzureisen.
Ganz ähnlich läuft dies auch im Netzverkehr ab. Es gibt einen Pass und eine Pass ausstellende Behörde. Der Pass wird als digitales Zertifikat und die Pass ausstellende Behörde als Zertifizierungsstelle (certification authority, CA) bezeichnet.
Microsoft liefert bereits einige als vertrauenswüridg eingestufte certification authorities mit aus.
Welche CAs als von vornherein vertrauenswürdig eingestuft sind, können Sie in den Internetoptionen sehen. Rufen Sie den Reiter "Inhalte" auf und klicken Sie auf "Zertifikate". Im folgenden Dialogfeld gibt es den Reiter "Vertrauenswürdige Stammzertifizierungsstellen". Dort finden Sie die so genannten Stammzertifikate dieser Stellen. Das Dialogfeld sieht etwa so aus:

Man kann auch später noch weitere Stammzertifikate hinzufügen. Allerdings sollten Sie sich dabei genau informieren, wer Inhaber der CA ist und genau abwägen, ob die CA wirklich vertrauenswürdig ist. Mehr dazu später.

4.3.3.2 Inhalte eines Zertifikats

Nun wissen Sie schon, dass es Stammzertifzierungsstellen es gibt und dass die CAs Zertifikate ausstellen, die Kommunikationspartnern als Ausweis dienen. Was steht nun auf einem solchen Zertifikat? Das Zertifikat (X.500-Standard) enthält folgende Angaben:

• CN, common name, den vollen Hostnamen des Rechners, auf den es ausgestellt ist, zum Beispiel "myhost.company.com"
• O, organization, den Namen der Firma, z.B. Company Inc.
• OU, organizational unit, den Namen der Fachabteilung, z.B. Company Inc. IT-Departement
• L, locality, Den Firmensitz (Ort), z.B. Dortmund
• S, state, Den Bundesstaat, z.B. NRW
• C, country, Das Land, in dem die Firma ihren Sitz hat, z.B. DE

Diese Angaben zusammen ergeben den so genannten "Distinguished Name". Nicht alle Angaben sind verbindlich, daher kann er zum Beispiel so aussehen: CN=mail.stefan-klebs.de, O=Docenture, OU=Docenture Mailing, L=Dortmund, C=DE

Neben dem Distinguished Name enthält das Zertifikat noch den öffentlichen Schlüssel des Zertifikatsinhabers und ein Gültigkeitsdatum sowie Angaben über die CA.

4.3.3.3 Ein Zertifikat beantragen

Wie bekommt Ihr Kommunikationspartner nun sein Zertifikat? Zuallererst wird er an die CA seiner Wahl Geld überweisen müssen - einen Haufen Geld. Etwa 1.500 $ pro Jahr und Server sind die Regel. Dann ist je nach CA mehr oder weniger Papierkram erforderlich, der die CA in die Lage versetzen soll, seine Vertrauenswürdigkeit einzuschätzen. Ist das erledigt kann er einen Zertifikatsrequest erzeugen, der an die CA geschickt wird. Die Vorgehensweise beim Erstellen ist bei den unterschiedlichen Webservern unterschiedlich, aber führt in jedem Fall dazu, dass ein Verschlüsselter Code erzeugt wird, der seinen public key enthält und mit seinem private key verschlüsselt ist. Die CA setzt dann diesen Request in das Zertifikat um und schickt es ihm als cert- oder cer-File zurück. Dieses können er dann in seinen persönlichen Zertifikatsspeicher importieren.

4.3.3.4 Echtheit eines Zertifikates

Da B jetzt Inhaber eines Zertifikats ist, kann er dieses bei jeder Anfrage vorweisen und an den den Client (in diesem Fall A) übermitteln. A kennt nun den public key von B und kann den symmetrischen Key erzeugen und seinerseits übermitteln. Zuvor prüft jedoch jeder Browser, ob das vorgewiesene Zertifikat gültig ist, ob es auf den Server ausgestellt ist, der es hochhält und ob die CA, die es ausgestellt hat vertrauenswürdig ist.
Erst wenn diese Prüfung erfolgreich durchlaufen wurde, wird die sichere Verbindung etabliert und ein kleines Schloss wird in der Status- oder Adressleiste angezeigt. Wie aber wird sichergestellt, dass das Zertifikat selbst unverfälscht ist? Also wie wird sichergestellt, dass es nicht manipuliert worden ist, zum Beispiel der Name verändert worden ist oder die Gültigkeit einfach verlängert wurde? Man benutzt dazu eine digitale Signatur...

4.3.4 Digitale Signatur

Jedem Zertifikat wird dazu eine kleine Plakette angeheftet (siehe Grafik), die mit dem private Key der CA verschlüsselt worden ist. In der Plakette (dem so genannten digitalen Fingerabdruck, "message digest" oder "digital fingeprint") befinden sich Angaben zum Zertifikat und ein Hashwert. Wurde das Zertifikat von B verändert, würde das Zertifikat nicht mehr zum Fingerabdruck passen. Diesen können Sie mit dem public key der CA (den Sie ja in ihrem Stammzertifikatsspeicher) abgelegt haben entschlüsseln und auslesen. Wäre dies der Fall, würden Sie eine entsprechende Warnmeldung erhalten.
Digitale Signaturen können also sicherstellen, dass ein Dokument weder verändert worden ist, noch dass jemand anderes das Dokument geschickt, als derjenige der wirklich Kommunikationspartner sein sollte. Nicht nur die CA kann eine digitale Unterschrift erstellen, sondern Sie auch. Sie ist ja eigentlich nichts weiter als eine Angabe über das Dokument, die mit ihrem privaten Schlüssel verschlüsselt worden ist und an das Dokument angehangen wird. Jeder der nun Ihren public key kennt, kann diese Angaben wieder entschlüsseln und mit dem Dokument vergleichen, aber niemand kann das Dokument so verändern, dass es dann noch immer zur Signatur passt, weil ja niemand ohne Ihren private key eine neue Signatur erstellen kann. Wozu ist das gut?
Angenommen Sie haben Ihr Angebot an B übermittelt und bekommen später eine Auftragsbestätigung zu völlig anderen Konditionen. B zieht sich darauf zurück, er habe das Angebot von Ihnen doch so bekommen. Nun müssen Sie beweisen, dass das Angebot auf dem Weg zu B verfälscht, also manipuliert worden ist. Die digitale Signatur würde eine Änderung beweisen.

4.3.5 sichere Funkstrecken

Gerade bei der Benutzung von Wireless-LAN-Routern (WLAN, wireless local area network) besteht die Gefahr, dass jemand auf Ihren Zug aufspringt. Dabei sind alle oben genannten Bedrohungen von Bedeutung. Der Unterschied ist nur, dass der Angreifer nicht nur die Tropfen Ihrer Leitung abfängt, sondern gleich mit in der Dachrinne schwimmt (um beim Bild mit dem Eavesdropping zu bleiben). Er kann also auf Ihre Kosten surfen und Ihren Datenstrom abfangen und sogar manipulieren. Um dies zu verhindern, müssen Sie sich jedoch erst einmal kabelgebunden (also auf dem guten alten Drahtweg) am Router anmelden. Meist hat der Router eine HTML-basierte Konfigurationsmaske, die Sie mit ihrem Browser erreichen können. Die Adresse sowie Benutzername und Kennwort dafür entnehmen Sie ihrem Routerhandbuch. Sie lautet in der Regel http://192.168.0.1 oder http://192.168.1.1 . Wie immer in solchen Fällen lautet das erste Gebot: Ändern Sie das Standardkennwort des Routers. Meist lautet es "pass" oder "admin". Schreiben Sie sich das neue Kennwort gut auf, damit sie es im Zweifelsfall wiederfinden. Sie haben drei Möglichkeiten solch einen Angriff zu verhindern. Verschlüsseln des Netzwerkverkehrs, Filtern auf IP-Adresse und Filtern auf Rechner. Jede Maßnahme für sich ist schon sehr effektiv. Der Einsatz mehrerer Maßnahmen ist jedoch noch ein wenig sicherer.

4.3.5.1 Einsetzen von Verschlüsselung.

Im Assistent für die Drahtlosnetzwerkinstallation fordert Windows Sie auf eine Verschlüsselung zu aktivieren. Es gibt zwei Verschlüsselungsarten, die Sie einsetzen können: WEP und WPA.
WPA ist die sicherere Methode. Nicht alle alten Router sind jedoch damit kompatibel. Sie müssen also ausprobieren, ob Ihr Router hinreichend aktuell ist. Ist er es nicht, bleibt Ihnen nur der Rückgriff auf WEP.
Zunächst können Sie im Router bestimmen wie das Netzwerk heißen soll. Geben Sie dazu einen eindeutigen Netzwerknamen ein. Viele Router geben standardmäßig ihren eigenen Namen zum Besten. Das kann problematisch sein, wenn ein großer Provider dieses Modell ausliefert und ihr Nachbar das gleiche Modell bekommen hat und folglich in Reichweite der Netzwerkname zweimal vergeben wird. Diesen Netzwerknamen geben Sie im Assistenten auch im Feld SSID ein. Ist das erledigt, können Sie wählen ob sie den Schlüsseln automatisch zuweisen wollen oder nicht. Mit Hilfe der Checkbox unten können Sie die Verschlüsselung.
Wenn Sie den Assistenten fortsetzen werden Sie dann noch gefragt, wie das Einrichten (manuell oder per USB-Stick) weiter verlaufen soll. Das ist jedoch an dieser Stelle für uns nicht mehr von Interesse.
Ist der eingegebene Netzwerkschlüssel nicht mit dem im Router hinterlegten identisch, wird der Client nicht in das Netzwerk aufgenommen und bleibt somit ausgesperrt.
Für Unternehmensnetzwerke gibt es auch WPA-Enterprise. Hier kommt anstelle eines einfachen Schlüssels die Anmeldung mit den Credentials der Anmeldedomäne zur Anwendung. Man benötigt also Benutzername / Kennwort oder ein Zertifikat oder einen biometrischen Identitätsnachweis.

4.3.5.2 Filtern auf IP-Adressen

Der Zweite Schutzmechanismus greift auf die IP-Adressen zurück. IP-Adressen sind im jeweiligen Netzwerk eindeutige Namen, die jeden Rechner sicher identifizieren. Jeder Rechner im Internet und in lokalen Netzen hat eine solche Adresse. Der Router ist dazwischen sozusagen der Mittelsmann. Er ist in beiden Netzen bekannt und hat jeweils eine IP-Adresse in beiden Netzen. Das bedeutet er ist zum Internet (oder zum Proxyserver Ihres Providers) hin Client und nach innen zu Ihrem Netz Server.

Im Regelfall sind DSL-Router so eingestellt, dass sie die IP-Adressen, der an sie angeschlossenen Clients dynamisch vergeben und sich selbst eine IP-Adresse vom Provider zuweisen lassen. Die dynamische Adressvergabe wird als DHCP (Dynamic Host Configuration Protocoll) bezeichnet. Er ist also sowohl DHCP-Client als auch DHCP-Server. An der ersten Einstellung können und sollten Sie im Regelfall auch nichts ändern. An der Konfiguration nach Innen können Sie dies sehr wohl tun und damit für einen Eindringling eine zusätzliche Hürde schaffen. Der Einsatz von DHCP bedeutet, dass der Router (in der Regel mit einer Standard-IP-Adresse von 192.168.0.1) alle Clients auf der lokalen Netzseite selbst benennt. Dazu ist für die Netzwerkverbindung Windows-seitig auf jedem Client ein Haken bei der Option "Netzwerkadresse automatisch beziehen" gesetzt. Der Router weist dann meist dem ersten Rechner die 192.168.0.2 zu usw. Jeder Angreifer, der sich am Netz anmelden wollte, würde genauso behandelt und bekäme eine gültige IP-Adresse mit der nächsten freien Nummer. Wenn sie ein relativ statisches Netz (ohne großes Tauschen von Rechnern) haben, können Sie jedoch auch jedem Rechner eine feste IP-Adresse zuweisen. Entfernen Sie dazu den Haken und geben Sie eine gültige IP-Adresse fest vor. Achten Sie darauf, dass keine Adresse doppelt vergeben wird und schalten Sie dann im Router die Option DHCP-Server ab. In der Regel gibt es dann noch die Möglichkeit im Router einen festen Adressbereich als zulässige Adressen einzutragen. Dieser sollte alle Ihre Rechner umfassen, aber keinen weiteren Rechner zulassen. Man bezeichnet einen solchen Filter als Zugriffskontrollliste (ACL, access control list). Sie könnten zum Beispiel auch einen ganz anderen Adressbereich definieren (172.168.1.1 für den Router und 172.168.1.2 für den ersten bis 172.168.1.17 für den sechzehnten Rechner im Netz. Darüber hinaus erlauben Sie keine Zugriffe.

4.3.5.3 Filtern auf MAC-Adresse

Genauso wie auf die logische Adresse des Rechners, seine IP-Adresse, können Sie auch auf die physische Adresse der Netzwerkkarte filtern. Diese Adresse wird als MAC-Adresse (MAC, media access control) oder auch als Ethernet-ID bezeichnet. Sie ist nicht jedem Rechner zugewiesen, sondern jedem spezifischen Netzwerkadapter. Das funktioniert wieder über eine ACL mit entsprechenden Einträgen, ist aber aufwändiger als das Filtern auf einen IP-Adressbereich. Das Vergeben eigener Adressbereiche ist zwar möglich, jedoch kostenpflichtig. Details siehe → http://de.wikipedia.org/wiki/MAC-Adresse.

Quellenangaben:

[2] ebd., S. 26.

[3] ebd., S. 498 f.

Letzte Aktualisierung 31.12.2011 15:15 Uhr
© by Stefan Klebs (2004-2012)