Im Verlaufe des bisherigen IUK-Studiums haben Sie sich schon an unterschiedlichen Stellen mehr oder weniger stark mit Fragen der Sicherheit von Datennetzen befaßt. Einen Schwerpunkt des ersten Teils des Kurses bildete dabei die Beschäftigung mit dem weltweit genutzten und anerkannten kryptographischen Werkzeug PGP, zu dessen Leistungsumfang neben dem Verschlüsseln und Signieren von Nachrichten bzw. beliebigen Dateien u.a. auch die Erzeugung und Verwaltung von Schlüsseln und Zertifikaten gehört.
Des weiteren haben Sie im Teil I einige der bei typischen Netzanwendungen eingesetzten Sicherheitsmechanismen zumindest überblicksartig kennengelernt. In diesem Zusammenhang sind vor allem SSH (Secure Shell) und SSL (Secure Sockets Layer) zu nennen. Dabei handelt es sich um zwei sehr aktuelle und zunehmend in der Praxis eingesetzte Techniken zur Realisierung gesicherter Kanäle in öffentlichen Netzen, die eine vertrauliche und authentische Kommunikation zwischen Servern und Klienten erlauben.
Das Bild wurde durch die Vorstellung der Grundzüge einer Sicherheits-Architektur für das Internet-Protokoll sowie der prinzipiellen Funktionsweise von Firewalls abgerundet.
Im vorliegenden Kapitel wollen wir das bereits erworbene Wissen vertiefen und natürlich auch neue Gebiete kennenlernen. Ausgangspunkt ist ein Überblick über grundlegende Aspekte der Thematik "Netzwerk-Sicherheit". Dazu gehören die typischen Bedrohungen, Maßnahmen zu deren Abwehr sowie die von einer Sicherheits-Architektur zu erbringenden Dienste.
Die gesamte Problematik ist relativ komplex und anspruchsvoll, nicht zuletzt deshalb, weil ständig mit der Entwicklung neuer Angriffstechniken zu rechnen ist, die in der Lage sind, die bisher bekannten bzw. genutzten Schutzmechanismen zu neutralisieren. Wir können und werden uns daher nur auf ausgewählte Bereiche konzentrieren.
Es soll uns dabei primär um frei zugängliche, praxisrelevante Konzepte und deren Implementierungen gehen, die nach dem gegenwärtigen Kenntnisstand einen zuverlässigen Schutz vor typischen Gefahren bei der Nutzung heutiger Netze gestatten und bereits vielfach im Einsatz sind bzw. aller Voraussicht nach in der nächsten Zeit verstärkt zur Anwendung kommen werden.
Vielfach spielen dabei kryptographische Verfahren eine Rolle, weswegen deren Diskussion im gesamten Kapitel einen relativ breiten Raum einnimmt. Einen weiteren Schwerpunkt bilden die u.a. für Unternehmen in der Regel unverzichtbaren Firewalls. Als konkrete Realisierung wird die Firewall-Implementierung im Linux-Kern betrachtet und deren Handhabung an einigen Beispielen diskutiert. Der letzte Abschnitt wendet sich dann ausgewählten Sicherheitstechniken der Anwendungsschicht zu und zeigt, wie sich typische Sicherheitsprobleme in Rechnernetz-Anwendungen durch den Einsatz kryptographischer Verfahren lösen lassen.
Es gibt in der Literatur keine fest gefaßte, allgemein anerkannte Definition des Begriffs "Netzwerk-Sicherheit". Dennoch dürfte unstrittig sein, daß es im Kern um Maßnahmen, Verfahren und Werkzeuge
Bei der Diskussion des Themas Sicherheit empfiehlt es sich, drei Aspekte zu unterscheiden:
Die Gebiete Netzwerk-Sicherheit und Kryptologie sind, wie viele andere auch, sehr stark durch englische Termini geprägt. Die meisten Publikationen zu diesen Themen werden in Englisch geschrieben. Für einige Bezeichnungen existieren keine oder keine einheitlichen deutschen Entsprechungen. Um Sachverhalte kurz und prägnant darzustellen, Mißverständnisse zu vermeiden sowie sprachlich stärker variieren zu können, verwenden viele Autoren auch in deutschen Abhandlungen teilweise englische Originalbegriffe. Wir werden dies auch so handhaben und außerdem sehr häufig hinter den jeweils neu eingeführten deutschen Begriffen die englischen Originale in Klammern und Kursivschrift angeben.
Die nachfolgende Liste enthält einige Angaben zu Publikationen, die wir mehr oder minder stark für die Erstellung des Lehrmaterials verwendet haben bzw. die uns zur Verfügung standen. Die kurzen (z.T. sicher subjektiven) Bemerkungen bzw. Wertungen sollen Ihnen einen groben Eindruck davon vermitteln, was Sie jeweils erwartet und worum es in etwa geht. Das Hauptanliegen besteht darin, Ihnen einige mögliche Startpunkte für die weitergehende Auseinandersetzung mit dem einen oder anderen Gebiet zu nennen.
In den einzelnen Kapiteln erhalten Sie mitunter weitere Literaturhinweise.
Beachten Sie bitte immer das Erscheinungsdatum der jeweiligen Veröffentlichung. Speziell Beschreibungen konkreter Protokolle und Systeme veralten häufig leider relativ schnell. Dagegen bewahren z.B. Beschreibungen der mathematischen Hintergründe kryptographischer Verfahren ihre Gültigkeit in der Regel wesentlich länger.
Auch auf den Gebieten Netzwerk-Sicherheit und Kryptologie sind Sie natürlich wie immer gut beraten, das Mittel sowie den Gegenstand des IUK-Studiums, also das Internet, intensiv zu nutzen, um sich dringend benötigte oder einfach nur interessante Informationen zu beschaffen und sich über die aktuelle Situation zu informieren.
Hier nun die Hinweise, deren Reihenfolge keinerlei Wertung ausdrückt:
Hinweis: Da die HTML-Version der FAQ aus mehr als 200 HTML- und GIF-Dateien besteht, ist eine manuelles Herunterladen etwas beschwerlich. Es empfiehlt sich daher, ein geeignetes Werkzeug (z.B. das GNU-Programm wget) einzusetzen, um diesen Prozeß (weitgehend) zu automatisieren.
Schneiers Buch ist eine ausgesprochen umfassende und sehr pragmatische Darstellung verschiedenster kryptographischer Algorithmen, Protokolle und Methoden. Es ist (bezogen auf sein Erscheinungsjahr) sehr aktuell, enthält eine Vielzahl von wertvollen Verweisen auf weiterführende Informationen (Bücher, Artikel etc.) zu den einzelnen Themen und wird oft als ein Standardwerk empfohlen, wenn es um die Anwendung der Kryptologie in der täglichen Praxis geht. Im letzten Teil des Buches findet man die in der Sprache C geschriebenen Implementierungen einiger Algorithmen.
Zumindest von der ersten Auflage dieses Buches existiert eine deutsche Übersetzung.
Auf dem WWW-Server der von Schneier geleiteten Firma Counterpane Systems [http://www.counterpane.com] werden neben interessanten Informationen zu verschiedenen kryptographischen Themen auch Errata-Listen für die beiden Auflagen von Applied Cryptography bereitgestellt.
Die drei Autoren geben einen sehr umfassenden und systematischen Überblick über viele der in der heutigen Praxis relevanten Bereiche der Kryptographie. Auf Grund des relativ hohen theoretischen Niveaus und der formalen Darstellung des Inhalts ist dieses Buch für Einsteiger vermutlich weniger geeignet als z.B. das Werk von Schneier, allerdings denjenigen Lesern sehr zu empfehlen, die Formeln, prägnante Definitionen und exakte mathematische Notationen bevorzugen bzw. benötigen.
Einige Kapitel, Errata-Listen sowie C-Implementierungen der meisten Algorithmen können kostenfrei über das Internet bezogen werden: http://cacr.math.uwaterloo.ca/hac/.
Hierbei handelt es sich um eine ziemlich umfassende, vielfach relativ tiefgründige und vor allem für Einsteiger gut verständliche Darstellung der für den Bereich Netzwerk-Sicherheit wichtigsten kryptographischen Verfahren. Das Buch ist anwendungsorientiert, erläutert viele Termini und diskutiert recht ausführlich die Effizienz sowie die Sicherheit einiger typischer Authentifizierungsprotokolle.
Das Buch bietet nach einer systematischen Einführung in den Problemkreis der Netzwerk-Sicherheit eine Übersicht über die Methoden der klassischen Kryptographie, eine praxisorientierte Darstellung gegenwärtig relevanter kryptographischer Prinzipien und Verfahren sowie die Diskussion einiger konkreter Systeme und Anwendungen, u.a. aus den Bereichen Authentifizierung und E-Mail-Sicherheit. Für einige ausgewählte Algorithmen erörtert der Autor recht ausführlich den mathematischen Hintergrund.
Dieses nicht allzu dicke (und deutsch geschriebene) Buch führt den Leser in einer sehr unterhaltsamen und gut verständlichen, da nicht mathematisch abstrakten Weise in einige ausgewählte Bereiche der Kryptologie ein. Es geht dabei bewußt nicht um die mehr oder minder ausführliche Darstellung einer Vielzahl praxisrelevanter Verfahren, sondern um kryptographisches Grundlagenwissen. Dazu zählen u.a. Techniken der klassischen Kryptographie, einfache Methoden der Kryptoanalyse, Authentifizierungsverfahren sowie der mathematische Hintergrund des RSA-Algorithmus.
Das Buch wendet sich an Netzwerkarchitekten, Berater und IT-Verantwortliche und gibt einen Überblick über eine Vielzahl von Begriffen, Technologien, Methoden und Standards im Bereich der Netzwerk-Sicherheit.
Der Autor wendet sich an Netzwerkadministratoren, Internet-Profis, Studenten und Unternehmen mit Internet-Anschluß und diskutiert u.a. Grundlagen der Kryptographie, die Abhörproblematik im Internet, eine Vielzahl kryptographischer Protokolle (SSL, IPSEC, SET, SSH, PGP, ...), Steganographie und Chipkarten. Dabei geht es nicht um tiefgründige oder gar formale Darstellungen, sondern um einen Überblick über eine Vielzahl heute aktueller Begriffe, Verfahren etc.
Dieses sehr praxisorientierte, umfangreiche, gut verständliche und vergleichsweise aktuelle Buch richtet sich vor allem an Administratoren vernetzter UNIX-Maschinen. Es diskutiert Schwachstellen und Sicherheitslücken der unterschiedlichsten Bereiche und gibt unzählige brauchbare Hinweise, wie man sich vor vielen Attacken schützen und sein System sinnvoll absichern kann. Zu den behandelten Themen gehören u.a. der Umgang mit Paßwörtern, die Schutzmechanismen des Dateisystems, Backups, Logging und Auditing, Administration typischer Netzdienste, WWW-Sicherheit, NIS, Kerberos, NFS, Firewalls, Wrapper und Proxies sowie die Entdeckung von Einbrüchen.
Durch dieses Buch erhalten Sie einen guten Überblick über eine Vielzahl aktueller Technologien und Probleme, die uns heute im WWW begegnen. Folgende Komplexe werden behandelt: Sicherheit der WWW-Nutzer (Schwächen/Bugs in Browsern; Gefahren durch Java, JavaScript, ActiveX und Plug-Ins; Schutz der Privatsphäre), digitale Zertifikate (Identifikation von Personen und Rechnern; Zertifizierungsstellen; digitales Signieren von Programm-Code), Kryptographie (Überblick über wichtige Verfahren und Techniken; SSL/TLS), Sicherheit von WWW-Servern (Sicherheit der Server-Rechner; Zugriffskontrolle; sichere CGI-Programmierung) sowie Kommerz und Gesellschaft (digitale Zahlungssysteme; Beschränkung des Zugangs ausgewählter Personengruppen zu bestimmten Inhalten; juristische Fragen).
Das ist der Klassiker auf dem Gebiet der Firewalls. Ein tieferes Verständnis von Basismechanismen und UNIX-Spezifika wird allerdings vorausgesetzt. Wer reine "Rezepte" erwartet, ist mit anderen Quellen besser bedient.
Hinweis: Es existiert eine deutsche Übersetzung dieses Buches.
Dieses Buch enthält eine Sammlung sehr informativer Artikel unterschiedlicher Autoren, die u.a. erfolgreich durchgeführte Attacken (z.B. den Internet-Worm von 1988 sowie verschiedene Viren) recht ausführlich analysieren. Der Leser lernt viele reale Schwachstellen in Computer-Systemen kennen, erfährt, wie sie konkret für Einbrüche bzw. zur Erzielung schädlicher Wirkungen ausgenutzt worden sind und wie man solchen Gefahren begegnen kann. Es wird auch gezeigt, mit welchen Maßnahmen in konkreten Fällen versucht wurde, Eindringlinge zu verfolgen und zu identifizieren.
Das Buch enthält eine Sammlung von Beiträgen mehrerer Autoren, die einen Überblick über unterschiedliche Problemkreise geben, z.B. Sicherheitsstandards, Authentifizierung und Autorisierung, Sicherheitslücken häufig genutzer Netzdienste, Firewalls, sichere Transaktionen (PGP, Kerberos), Auditing, Rechtsfragen und Kommerz im Internet inkl. "elektronisches Geld".
Die kryptographischen Basismechanismen sowie viele Begriffe und Verfahren werden nur relativ kurz diskutiert. Kernstück sind eher rezeptartig aufbereitete Hinweise für die verschiedenen Anwendungen sowie die Vorstellung von etwa 50 Werkzeugen (wobei man an die Aktualität nicht zu große Ansprüche stellen sollte).
Der Autor behandelt vier große Themenkomplexe der Netzwerk-Sicherheit: Grundlagen (TCP/IP; OSI-Architektur; kryptographische Techniken), Zugriffskontrolle (Firewalls, konkret Paketfilter, Anwendungs-Gateways und Firewall-Konfigurationen), Sicherheit von Kommunikationsbeziehungen (Sicherheits-Protokolle der Internet-, Transport- und Anwendungsschicht) sowie die Diskussion von Grundfragen des Gebietes Electronic Commerce sowie Sicherheitswerkzeugen (z.B. SATAN). Dieses Buch ist relativ aktuell und stellt das Prinzip einer Vielzahl von in der Praxis genutzten Protokollen, Verfahren und Werkzeugen vor (u.a. SSL/TLS und SSH, aber auch weniger bekannte wie z.B. SRA).
Dieses Handbuch enthält eine umfangreiche Sammlung nützlicher Hinweise zum Schutz von Linux-Systemen vor allgemeinen und speziellen Bedrohungen. Viele dieser Hinweise sind allerdings nicht auf Linux beschränkt. Im LASG wird eine breite Palette von Sicherheits-Werkzeugen für unterschiedlichste Anwendungsbereiche genannt bzw. kurz vorgestellt. Das Dokument kann u.a. über folgende URLs bezogen werden:
Einige weitere finden sich in der von Avi Rubin zusammengestellten Liste Crypto and Security Courses [http://www.cs.nyu.edu/~rubin/courses.html].