Integration von Sicherheitsdiensten

2021-12-10 09:59:17 +01:00 · 2021-12-10 09:59:17 +01:00 · 8a57697f66
commit 8a57697f66
parent 5325cb5b09
6 changed files with 142 additions and 0 deletions
--- a/Assets/NetworkSecurity-Authentication-relation-in-inter-networks.png
+++ b/Assets/NetworkSecurity-Authentication-relation-in-inter-networks.png
--- a/Assets/NetworkSecurity-Layer-relationship.png
+++ b/Assets/NetworkSecurity-Layer-relationship.png
--- a/Assets/NetworkSecurity-Security-service-dim-1.png
+++ b/Assets/NetworkSecurity-Security-service-dim-1.png
--- a/Assets/NetworkSecurity-Security-service-dim-2.png
+++ b/Assets/NetworkSecurity-Security-service-dim-2.png
--- a/Assets/NetworkSecurity-secure-network-model.png
+++ b/Assets/NetworkSecurity-secure-network-model.png
--- a/Security.md
+++ b/Security.md
@ -115,6 +115,16 @@
  - [Zugriffsmatrizen](#zugriffsmatrizen)
  - [Gemeinsame Zugriffskontrollschemata](#gemeinsame-zugriffskontrollschemata)
 - [Integration von Sicherheitsdiensten in Kommunikationsarchitekturen](#integration-von-sicherheitsdiensten-in-kommunikationsarchitekturen)
+  - [Motivation: Was ist wo zu tun?](#motivation-was-ist-wo-zu-tun)
+  - [Ein pragmatisches Modell für sicheres und vernetztes Rechnen](#ein-pragmatisches-modell-für-sicheres-und-vernetztes-rechnen)
+  - [Beziehungen zwischen Schichten und Anforderungsniveaus](#beziehungen-zwischen-schichten-und-anforderungsniveaus)
+  - [Allgemeine Überlegungen zur architektonischen Platzierung](#allgemeine-überlegungen-zur-architektonischen-platzierung)
+  - [Überlegungen zu bestimmten Ebenen](#überlegungen-zu-bestimmten-ebenen)
+  - [Interaktionen zwischen menschlichen Nutzern](#interaktionen-zwischen-menschlichen-nutzern)
+  - [Integration in untere Protokollschichten vs. Anwendungen](#integration-in-untere-protokollschichten-vs-anwendungen)
+  - [Integration in Endsysteme vs. Zwischensysteme](#integration-in-endsysteme-vs-zwischensysteme)
+  - [Beispiel: Authentifizierungsbeziehungen in Inter-Netzwerken](#beispiel-authentifizierungsbeziehungen-in-inter-netzwerken)
+  - [Schlussfolgerung](#schlussfolgerung-1)
 - [Sicherheitsprotokolle der Datenübertragungsschicht](#sicherheitsprotokolle-der-datenübertragungsschicht)
 - [Die IPsec-Architektur für das Internet-Protokoll](#die-ipsec-architektur-für-das-internet-protokoll)
 - [Security protocols of the transport layer](#security-protocols-of-the-transport-layer)
@ -2287,6 +2297,138 @@ Zugriff auf einen Dienst mit Kerberos - Protokollübersicht
 - $\rightarrow$ Die Datenintegrität von Zugriffskontrolldatenstrukturen ist entscheidend!

 # Integration von Sicherheitsdiensten in Kommunikationsarchitekturen
+## Motivation: Was ist wo zu tun?
+- Analog zur Methodik der Sicherheitsanalyse gibt es zwei Dimensionen, die bei der Integration von Sicherheitsdiensten in Kommunikationsarchitekturen zu beachten sind:
+- Dimension 1: Welcher Sicherheitsdienst soll in welchem Knoten realisiert werden?
+  - ![](Assets/NetworkSecurity-Security-service-dim-1.png)
+- Dimension 2: Welcher Sicherheitsdienst sollte in welcher Schicht realisiert werden?
+  - ![](Assets/NetworkSecurity-Security-service-dim-2.png)
+
+## Ein pragmatisches Modell für sicheres und vernetztes Rechnen
+- ![](Assets/NetzwerkSicherheit-Sicheres-Netz-Modell.png)
+- Anwendung:
+  - Ein Stück Software, das eine bestimmte Aufgabe erfüllt, z. B. elektronische E-Mail, Webdienst, Textverarbeitung, Datenspeicherung usw.
+- Endsystem:
+  - Ein Gerät, das vom Personal Computer über den Server bis zum Großrechner reicht.
+  - Für Sicherheitszwecke hat ein Endsystem in der Regel eine einzige Richtlinienautorität.
+- Teilnetz:
+  - Eine Sammlung von Kommunikationseinrichtungen, die unter der Kontrolle einer Verwaltungsorganisation stehen, z. B. ein LAN, ein Campusnetz, ein WAN usw.
+  - Für Sicherheitszwecke hat ein Teilnetz in der Regel eine Richtlinienkompetenz.
+- Internet:
+  - Eine Sammlung von miteinander verbundenen Teilnetzen
+  - Im Allgemeinen haben die Teilnetze, die in einem Inter-Netzwerk verbunden sind, unterschiedliche Richtlinienautoritäten
+
+- Es gibt vier Ebenen, auf denen unterschiedliche Anforderungen an Sicherheitsprotokollelemente gestellt werden:
+  - Anwendungsebene:
+    - Sicherheitsprotokollelemente, die anwendungsabhängig sind
+  - Endsystem-Ebene:
+    - Bereitstellung von Schutz auf einer Endsystem-zu-Endsystem-Basis
+  - Teilnetzebene:
+    - Bereitstellung von Schutz über ein Teilnetz oder ein Zwischennetz, das als weniger sicher gilt als andere Teile der Netzumgebung
+  - Verbindungsebene:
+    - Bereitstellung von Schutz innerhalb eines Teilnetzes, z. B. über eine Verbindung, die als weniger vertrauenswürdig gilt als andere Teile der Teilnetzumgebung
+
+## Beziehungen zwischen Schichten und Anforderungsniveaus
+- Die Beziehungen zwischen den Protokollschichten und den Stufen der Sicherheitsanforderungen für die Protokollelemente sind nicht eins-zu-eins:
+  - Sicherheitsmechanismen, die sowohl die Anforderungen der Endsystem- als auch der Teilnetzebene erfüllen, können entweder in der Transport- und/oder in der Netzwerkschicht realisiert werden.
+  - Die Anforderungen der Verbindungsebene können durch die Integration von Sicherheitsmechanismen oder durch die Verwendung von ,,speziellen Funktionen'' der Verbindungsschicht und/oder der physikalischen Schicht erfüllt werden.
+  - ![](Assets/NetworkSecurity-Layer-relationship.png)
+
+## Allgemeine Überlegungen zur architektonischen Platzierung
+- Verkehrsvermischung:
+  - Infolge des Multiplexing besteht auf niedrigeren Ebenen eine größere Tendenz, Datenelemente von verschiedenen Quell-/Ziel-Benutzern und/oder Anwendungen in einem Datenstrom zu vermischen
+  - Ein Sicherheitsdienst, der auf einer Schicht/Ebene realisiert wird, behandelt den Verkehr dieser Schicht/Ebene gleich, was zu einer unzureichenden Kontrolle der Sicherheitsmechanismen für Benutzer und Anwendungen führt.
+  - Wenn eine Sicherheitspolitik eine differenziertere Behandlung erfordert, sollte sie besser auf einer höheren Ebene realisiert werden
+- Wissen über die Route:
+  - Auf niedrigeren Ebenen ist in der Regel mehr Wissen über die Sicherheitseigenschaften der verschiedenen Routen und Verbindungen vorhanden.
+  - In Umgebungen, in denen diese Merkmale stark variieren, kann die Platzierung von Sicherheit auf niedrigeren Ebenen Vorteile in Bezug auf Effektivität und Effizienz haben
+  - Geeignete Sicherheitsdienste können auf der Basis von Teilnetzen oder Verbindungen ausgewählt werden, so dass keine Kosten für Sicherheit anfallen, wenn der Schutz unnötig ist.
+- Anzahl der Schutzpunkte:
+  - Wenn die Sicherheit auf der Anwendungsebene angesiedelt wird, muss die Sicherheit in jeder sensiblen Anwendung und jedem Endsystem implementiert werden.
+  - Sicherheit auf der Verbindungsebene bedeutet, dass am Ende jeder Netzverbindung, die als weniger vertrauenswürdig gilt, Sicherheit implementiert werden muss.
+  - Wenn die Sicherheit in der Mitte der Architektur angesiedelt wird, müssen die Sicherheitsmerkmale an weniger Stellen installiert werden.
+- Schutz der Protokoll-Header:
+  - Der Sicherheitsschutz auf höheren Ebenen kann die Protokollköpfe der unteren Protokollschichten nicht schützen.
+  - Die Netzwerkinfrastruktur muss möglicherweise ebenfalls geschützt werden.
+- Quelle/Senke-Bindung:
+  - Sicherheitsdienste wie die Authentifizierung der Datenherkunft und die Unleugbarkeit hängen von der Zuordnung der Daten zu ihrer Quelle oder Senke ab.
+  - Dies wird am effizientesten auf höheren Ebenen erreicht, insbesondere auf der Anwendungsebene.
+
+## Überlegungen zu bestimmten Ebenen
+- Anwendungsebene:
+  - Diese Stufe kann die einzige geeignete Stufe sein, zum Beispiel weil:
+    - Ein Sicherheitsdienst ist anwendungsspezifisch, z.B. die Zugriffskontrolle für einen vernetzten Dateispeicher
+    - Ein Sicherheitsdienst muss Anwendungs-Gateways durchqueren, z.B. Integrität und/oder Vertraulichkeit von elektronischer Post
+    - Die Semantik der Daten ist wichtig, z.B. für Nichtabstreitbarkeitsdienste - Es liegt außerhalb der Reichweite eines Benutzers/Anwendungsprogrammierers, Sicherheit auf einer niedrigeren Ebene zu integrieren
+- Endsystem-Ebene:
+  - Diese Ebene ist geeignet, wenn davon ausgegangen wird, dass die Endsysteme vertrauenswürdig sind und das Kommunikationsnetz als nicht vertrauenswürdig angesehen wird.
+  - Weitere Vorteile der Sicherheit auf Endsystemebene:
+    - Die Sicherheitsdienste sind für die Anwendungen transparent.
+    - Die Verwaltung von Sicherheitsdiensten kann leichter in die Hände eines Systemadministrators gelegt werden.
+- Teilnetzebene:
+  - Auch wenn die auf dieser Ebene implementierte Sicherheit in der gleichen Protokollschicht wie auf der Endsystemebene implementiert werden kann, sollten diese nicht verwechselt werden:
+    - Mit der auf der Subnetzebene implementierten Sicherheit wird in der Regel der gleiche Schutz für alle Endsysteme dieses Subnetzes realisiert
+  - Es ist sehr üblich, dass ein Teilnetz in der Nähe eines Endsystems als ebenso vertrauenswürdig angesehen wird, da es sich in denselben Räumlichkeiten befindet und von denselben Behörden verwaltet wird.
+  - In den meisten Fällen gibt es weit weniger zu sichernde Teilnetz-Gateways als Endsysteme.
+- Verbindungsebene:
+  - Wenn es relativ wenige nicht vertrauenswürdige Verbindungen gibt, kann es ausreichend und zudem einfacher und kostengünstiger sein, das Netz auf der Verbindungsebene zu schützen.
+  - Darüber hinaus können auf der Verbindungsebene spezielle Schutztechniken eingesetzt werden, z. B. Spreizspektrum oder Frequenzsprungverfahren.
+  - Die Vertraulichkeit des Verkehrsflusses erfordert in der Regel einen Schutz auf Verbindungsebene.
+
+## Interaktionen zwischen menschlichen Nutzern
+- Einige Netzsicherheitsdienste beinhalten eine direkte Interaktion mit einem menschlichen Benutzer, der wichtigste davon ist die Authentifizierung.
+- Solche Interaktionen passen in keine der bisher vorgestellten Architekturoptionen, da der Benutzer außerhalb der Kommunikationseinrichtungen steht.
+- Die Kommunikation zur Unterstützung der Authentifizierung kann auf eine der folgenden Weisen erfolgen:
+  - Örtlich:
+    - Der menschliche Benutzer authentifiziert sich gegenüber dem lokalen Endsystem
+    - Das Endsystem authentifiziert sich gegenüber dem entfernten Endsystem und teilt die Identität des Benutzers mit
+    - Das entfernte System muss dem lokalen Endsystem vertrauen
+  - Unter Einbeziehung von Protokollelementen auf der Anwendungsschicht:
+    - Der Benutzer gibt einige Authentifizierungsinformationen an das lokale System weiter, die sicher an das entfernte System weitergeleitet werden
+  - Kombination der oben genannten Mittel:
+    - Beispiel: Kerberos
+
+## Integration in untere Protokollschichten vs. Anwendungen
+- Vorteile der Integration von Sicherheitsdiensten in niedrigere Netzwerkschichten:
+  - Sicherheit:
+    - Auch das Netz selbst muss geschützt werden
+    - Sicherheitsmechanismen, die in den Netzelementen (insbesondere in der Hardware) realisiert sind, sind für die Netznutzer oft schwerer angreifbar
+  - Anwendungsunabhängigkeit:
+    - Grundlegende Netzsicherheitsdienste müssen nicht in jede einzelne Anwendung integriert werden
+  - Dienstgüte (QoS):
+    - Die QoS-erhaltende Planung des Kommunikationssubsystems kann auch die Verschlüsselung nebeneinander bestehender Datenströme planen.
+    - Beispiel: gleichzeitiger Sprachanruf und FTP-Übertragung
+  - Effizienz:
+    - Hardware-Unterstützung für rechenintensive Ver-/Entschlüsselung kann leichter in die Protokollverarbeitung integriert werden
+
+## Integration in Endsysteme vs. Zwischensysteme
+- Integration in Endsysteme:
+  - Kann im Allgemeinen entweder auf der Anwendungs- oder der Endsystemebene erfolgen
+  - In einigen speziellen Fällen kann auch ein Schutz auf Verbindungsebene angebracht sein, z. B. bei der Verwendung eines Modems zur Verbindung mit einem bestimmten Gerät
+- Integration in Zwischensysteme
+  - Kann auf allen vier Ebenen erfolgen:
+    - Anwendungs-/,,Endsystem"-Ebene: zur Sicherung der Verwaltungsschnittstellen von Zwischenknoten, nicht zur Sicherung des Nutzdatenverkehrs
+    - Teilnetz-/Link-Ebene: zur Sicherung des Nutzdatenverkehrs
+- Je nach den Sicherheitszielen kann eine Integration sowohl in Endsystemen als auch in Zwischensystemen sinnvoll sein
+
+## Beispiel: Authentifizierungsbeziehungen in Inter-Netzwerken
+![](Assets/NetworkSecurity-Authentication-relation-in-inter-networks.png)
+
+| Authentication Relation                            | Application for securing                               |
+| -------------------------------------------------- | ------------------------------------------------------ |
+| Endsystem $\leftrightarrow$ Endsystem              | User Channels                                          |
+| Endsystem $\leftrightarrow$ Intermediate System    | Management Interfaces, Accounting                      |
+| Intermediate $\leftrightarrow$ Intermediate System | Network Operation: Signaling, Routing, Accounting, ... |
+
+## Schlussfolgerung
+- Die Integration von Sicherheitsdiensten in Kommunikationsarchitekturen wird von zwei Hauptfragen geleitet:
+  - Welcher Sicherheitsdienst in welchem Knoten?
+  - Welcher Sicherheitsdienst in welcher Schicht?
+- Diese Design-Entscheidungen können auch durch einen Blick auf ein pragmatisches Modell der vernetzten Datenverarbeitung geleitet werden, das vier verschiedene Ebenen unterscheidet, auf denen Sicherheitsdienste realisiert werden können:
+  - Anwendungs-/Endsystem-/Subnetz-/Link-Ebene
+- Da es verschiedene Gründe für und gegen jede Option gibt, gibt es keine einheitliche Lösung für dieses Designproblem.
+- In diesem Kurs werden wir daher einige Beispiele für die Integration von Sicherheitsdiensten in Netzarchitekturen untersuchen, um die Auswirkungen der getroffenen Designentscheidungen besser zu verstehen
+
 # Sicherheitsprotokolle der Datenübertragungsschicht
 # Die IPsec-Architektur für das Internet-Protokoll
 # Security protocols of the transport layer