Seit seiner Erfindung im Jahre 1983 gewann das Internet weltweit immer mehr an Bedeutung. Ein Maximum an Popularität hat es bis heute nicht erreicht. Nach wie vor sind webbasierte Anwendungen jeglicher Art auf dem Vormarsch, die Technologien werden stets weiterentwickelt und bieten immer mehr Potential.
Je bedeutsamer allerdings die Kommunikation im Internet für unser Leben wird, desto wichtiger wird auch die Ausarbeitung und Umsetzung eines Sicherheitskonzepts. Nicht nur unsere sensiblen Daten wollen geschützt werden, im Grunde genommen sollte jeglicher Datenaustausch geheim und ohne Spionage- oder sogar Manipulationsmöglichkeiten für Dritte stattfinden. Schließlich gäben wir im realen Leben, wenn wir von Angesicht zu Angesicht kommunizieren, auch keine Daten preis, wenn wir wüssten, dass wir belauscht werden wür-
den. Auch das Briefgeheimnis ist aus diesem Grund eingeführt worden und das Konzept ist keineswegs veraltet.
Das Thema „Internetsicherheit“ beinhaltet natürlich viel mehr als nur die Absicherung der Kommunikation. Das Thema ist so vielfältig, dass es komplett nicht einmal in einigen hundert Seiten dicken Fachbüchern behandelt werden kann. Doch ist die Kommunikation das, woran auch ein Endverbraucher als Erstes denkt, wenn er das Wort „Internet“ hört. Deswegen konzentriert sich diese Arbeit darauf.
Anhand des TCP/IP-Referenzmodells werden Sicherungsmöglichkeiten für jede Kommunikationsschicht erarbeitet, anhand ihrer Praxistauglichkeit und Wirtschaftlichkeit bewertet und ihr Nutzen im Gesamtzusammenhang erläutert.
Inhaltsverzeichnis
1 Einführung
1.1 Motivation und Problemstellung
1.2 Der Datenaustausch im Internet
2 Grundüberlegungen zur Sicherung der Kommunikation
2.1 Anforderungen an ein Sicherheitssystem
2.2 Sekundärziele
2.3 Angriff auf jeder Schicht möglich
3 Szenario: Schutz am Beispiel von Web-, FTP- und E-Mail-Server
3.1 Sicherung der Netzzugangsschicht
3.2 Sicherung der Internetschicht
3.2.1 IPsec
3.2.2 Der Aufbau von IKEv2
3.3 Der Diffie-Hellman-Schlüsselaustausch
3.4 Das Hash-Verfahren
3.5 Sicherung der Transportschicht
3.5.1 TLS (Transport Layer Security)
3.5.2 Der TLS-Handshake
3.6 Sicherung der Anwendungsschicht
3.6.1 Client-Authentifikation bei Web-Inhalten
3.6.2 SFTP (SSH File Transfer Protocol) oder FTPS (FTP over TLS)
3.6.3 PGP (Pretty Good Privacy) in E-Mails
4 Auswertung
7 Anhang: Hinweise und Ergänzungen zum Text
7.1 Das TCP/IP-Referenzmodell und seine Schichten
7.1.1 Das TCP/IP-Referenzmodell
7.1.2 Netzzugangsschicht
7.1.3 Internetschicht
7.1.4 Transportschicht
7.1.5 Anwendungsschicht
7.1.6 Das Zusammenspiel der Ebenen
7.2 Der Aufbau eines IP-Pakets
7.3 Möglichkeiten von IPsec
7.3.1 Die verschiedenen Modi
7.3.2 Auswahl des Modus'
7.4 Der Aufbau von TLS
7.5 Zertifizierungsstellen und Zertifikate
7.6 Schlüsselaustauschmethoden und Zertifikate bei TLS
7.7 Übersicht über in der Praxis verwendete Zertifikate
Zielsetzung & Themen
Das Hauptziel dieser Arbeit besteht in der Entwicklung eines Sicherheitskonzepts für die Kommunikation im Internet, um den Datenaustausch zwischen Client und Server vor unbefugtem Zugriff zu schützen. Dabei wird untersucht, wie Sicherheitsmaßnahmen auf den verschiedenen Schichten des TCP/IP-Referenzmodells realisiert werden können, um Vertraulichkeit, Integrität und Authentizität zu gewährleisten.
- Analyse der Sicherheitsanforderungen und Schutzzieldefinition
- Einsatz von IPsec und IKEv2 zur Absicherung der Internetschicht
- Implementierung von TLS für eine sichere Transportschicht
- Methoden der Client-Authentifizierung in Anwendungsprotokollen wie HTTP, SFTP und PGP
Auszug aus dem Buch
3.3 Der Diffie-Hellman-Schlüsselaustausch
Der Diffie-Hellman-Schlüsselaustausch, von dem IKEv2 Gebrauch macht, bietet eine sichere Möglichkeit, einen Schlüssel über einen unsicheren Kanal auszutauschen.
Alice will Bob eine Nachricht senden. Dafür müssen sie über einen unsicheren Weg einen Schlüssel austauschen. Alice generiert eine Primzahl p, eine Primitivwurzel g mod p, sowie eine geheime Zufallszahl a. Alice berechnet ihren öffentlichen Wert A = ga mod p. Zusammen mit p und g schickt sie diesen an Bob. Der wiederum besitzt seine eigene geheime Zufallszahl b, mit der er B = gb mod p berechnet und diesen Wert an Alice schickt. Beide berechnen jetzt den Schlüssel:
Alice Bob
k=B^a mod p k=A^b mod p
Jetzt haben beide den gleichen Schlüssel. Warum? Die Antwort liefert eine mathematische Umformung:
k=B^a mod p
k=( gb mod p)a mod p
k=( gb )a mod p
k=g ba mod p
k=g ab mod p
k=( ga mod p)b mod p
k=A b mod p
A b mod p=k=B a mod p
Zusammenfassung der Kapitel
1 Einführung: Diese Einleitung motiviert die Notwendigkeit von Sicherheitskonzepten für die Internetkommunikation und erläutert die Grundlagen des Datenaustauschs zwischen Client und Server.
2 Grundüberlegungen zur Sicherung der Kommunikation: Es werden die zentralen Schutzziele – Vertraulichkeit, Integrität, Verfügbarkeit und Authentifizierung – definiert sowie das Kerckhoffs'sche Prinzip vorgestellt.
3 Szenario: Schutz am Beispiel von Web-, FTP- und E-Mail-Server: Das Kapitel bietet eine detaillierte technische Analyse der Absicherung der verschiedenen Protokollschichten, von der physischen Netzzugangsschicht bis hin zur Anwendungsschicht mittels IPsec, TLS, SSH und PGP.
4 Auswertung: Die Arbeit resümiert die erreichten Sicherheitsziele durch die vorgestellten Maßnahmen und bewertet deren Praxistauglichkeit.
7 Anhang: Hinweise und Ergänzungen zum Text: Der Anhang vertieft das theoretische Verständnis durch Erläuterungen zum TCP/IP-Referenzmodell, dem Aufbau von IP-Paketen und detaillierten Informationen zu kryptografischen Verfahren wie TLS und Zertifikatsstrukturen.
Schlüsselwörter
Internetsicherheit, TCP/IP-Referenzmodell, IPsec, IKEv2, Diffie-Hellman-Schlüsselaustausch, TLS, Transport Layer Security, Kryptographie, Hash-Verfahren, Authentifizierung, Vertraulichkeit, Integrität, SSH, PGP, Datensicherheit
Häufig gestellte Fragen
Worum geht es in dieser Seminararbeit grundlegend?
Die Arbeit befasst sich mit der Absicherung der Kommunikation im Internet zwischen Client und Server unter Anwendung mathematischer kryptografischer Verfahren innerhalb der verschiedenen Schichten des TCP/IP-Referenzmodells.
Was sind die zentralen Themenfelder der Ausarbeitung?
Die zentralen Themen sind die Definition von Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit), der Einsatz von VPN-Technologien wie IPsec, die Sicherung der Transportschicht durch TLS sowie Mechanismen zur Authentifizierung in Anwendungsprotokollen.
Welches primäre Ziel verfolgt der Autor?
Das primäre Ziel ist es, ein realistisches und wirtschaftlich umsetzbares Sicherheitskonzept für Web-, FTP- und E-Mail-Server zu erarbeiten, welches die alltägliche Kommunikation effektiv schützt.
Welche wissenschaftlichen Methoden werden verwendet?
Die Arbeit stützt sich auf eine tiefgehende Analyse von Netzwerkprotokollen und mathematischen Grundlagen der Kryptografie, insbesondere der diskreten Exponentialfunktion und ihrer Umkehrung, um die Sicherheit von Schlüsselaustauschverfahren zu belegen.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil wird schrittweise der Schutz vom Netzzugang über die Internetschicht (IPsec/IKEv2) und Transportschicht (TLS) bis hin zur Anwendungsschicht (SFTP, PGP) analysiert und beispielhaft durchgespielt.
Welche Schlüsselbegriffe charakterisieren diese Arbeit?
Die wichtigsten Schlüsselwörter sind Internetsicherheit, IPsec, IKEv2, TLS, Diffie-Hellman, Kryptographie, Authentifizierung und Integrität.
Warum ist die Wahl von IKEv2 im Szenario von Bedeutung?
IKEv2 bildet das Herzstück des IPsec-Protokolls und ermöglicht den sicheren Schlüsselaustausch, was essenziell ist, um eine verschlüsselte VPN-Verbindung zwischen Client und Server aufzubauen.
Was unterscheidet den Tunnel Mode vom Transport Mode bei IPsec?
Im Transport Mode wird das IPsec-Paket als Teil des ursprünglichen IP-Pakets eingebettet, während im Tunnel Mode das komplette ursprüngliche IP-Paket verschlüsselt und in ein neues IP-Paket eingekapselt wird, was eine höhere Sicherheit bietet.
Wie verhindert das TLS-Handshake-Verfahren Man-in-the-Middle-Angriffe?
Durch die Signatur der Handshake-Nachrichten und die Verwendung von Zertifikaten stellt TLS sicher, dass die Identität des Servers authentifiziert und die Integrität der ausgetauschten Schlüssel und Parameter garantiert wird, wodurch Manipulationen auffallen.
- Arbeit zitieren
- Frank Kottler (Autor:in), 2011, Internetsicherheit in der Praxis, München, GRIN Verlag, https://www.grin.com/document/198284
