:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Netzwerk-Grundlagen – Die Internet-Protokollfamilie als Basis für zahlreiche Anwendungen Gesicherter Datentransport über Netzwerke mit TCP/IP
Es war keine leichte Aufgabe, die das amerikanische Verteidigungsministerium in den 60er-Jahren stellte: es galt, eine zuverlässige Verbindung zwischen den drei Netzwerken der Luftwaffe, Armee und Marine herzustellen, die damals nicht direkt miteinander kommunizieren konnten. Zudem forderte das Department of Defense eine Netzwerkarchitektur mit hoher Redundanz und Verfügbarkeit, die auch beim Ausfall einzelner Komponenten oder Teilnetzen die Kommunikation zwischen zwei Endgeräten sicherstellen kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Wie wir heute wissen, begann mit dieser Vorgabe im Jahr 1974 die Standardisierung der TCP/IP-Protokollfamilie. Zuvor gab es jedoch ein historisch bedeutsames Datum: den 2. September 1969. An diesem Tag wurde an der kalifornischen Universität UCLA im Labor von Professor Leonard Kleinrock der erste ARPANET-Knoten, IMP (Interface Message Processor) genannt, in Betrieb genommen. Mit anwesend waren die späteren Schöpfer des Internets Steve Crocker, Jon Postel (Redakteur der RFCs), Mike Wingfield, Charley Kline und Vinton Cerf. Cerf und Robert Kahn veröffentlichten dann im Mai 1974 den ersten Internetbeitrag „A Protocol for Packet Network Intercommunication“ in der IEEE-Zeitschrift „Transactions on Communications“.
Obwohl TCP und IP zumeist in einem Atemzug gemeinsam genannt werden, handelt es sich dabei um zwei verschiedene, jedoch voneinander abhängige Protokolle. Die Positionierung dieser Protokolle sowie einige typische Anwendungen, die darüber transportiert werden sind in Bild 1 dargestellt. Neben TCP existiert noch ein zweites Transportprotokoll namens UDP, das kürzlich um ein weiteres, nämlich SCTP ergänzt wurde.
Die schlanke Internet-Architektur
Die in Bild 2 gezeigte Internet-Architektur ist im Vergleich zu dem bekannten ISO/OSI-Schichtenmodell sehr viel schlanker. Sie besteht nur mehr aus vier Schichten: Netzwerk, Internet, Transport und Anwendung.
Der Markterfolg der Internet-Architektur beruht grundsätzlich auf vier Attributen: einfach (zu verstehen), schnell (zu implementieren), kostengünstig und skalierbar (für neue Protokolle und Anwendungen). Der heute so wichtige Aspekt Sicherheit wurde bei der Entwicklung leider nicht berücksichtigt. Erst mit der IPv6-Version wurden einige Mechanismen zur Erhöhung der Sicherheit fest integriert. Die weit verbreitete Version IPv4 erfordert daher zusätzliche Sicherheitsmaßnahmen.
Die Netzwerkschicht umfasst Layer 1 und 2, also die physikalischen Übertragungsmedien und Schnittstellen sowie die Funktionen der Sicherungsschicht. Das in den privaten Netzen eingesetzte Ethernet-Protokoll bildet inzwischen auch die Basis für öffentliche Weitverkehrsnetze.
Die Internetschicht ist zuständig für das Adressieren der Netzwerke und Endgeräte und das Routen von Datenpaketen über Domänen hinweg. Eine weitere Aufgabe besteht darin, die IP-Pakete zur Übertragung auf der Schicht 2 entsprechend anzupassen und ggf. zu fragmentieren. Weil für Adressieren und Routen ein und derselbe Parameter dient, entstehen die vielfältigen Sicherheitsprobleme.
Die Transportschicht übernimmt bei verbindungsorientierter Kommunikation die Aufgabe der Ende-zu-Ende Vollständigkeitsprüfung. Die Verbindungsorientierung stellt TCP (Transport Control Protocol) bereit. Bleibt die Kommunikation über UDP (User Datagram Protocol) verbindungslos kann die Vollständigkeit nicht garantiert werden. Eine wichtige Funktion der Transportschicht wird durch die (theoretisch) 65.000 Ports erfüllt, die mehrere verschiedene Sessions (Applikationen) zur gleichen Zeit über eine einzige IP-Adresse erlauben. Dies ist mit einer Multiplex-Funktion vergleichbar.
Die Anwendungen setzen auf der Transportschicht auf und werden durch so genannte Sockets – das ist eine dynamische Größe, die sich aus der IP-Adresse und der jeweiligen Portnummer zusammensetzt – charakterisiert. Genau betrachtet, kommuniziert jeweils ein Socket beim Sender mit dem korrespondierenden Socket des Empfängers.
Protokollelemente steuern die Kommunikation
IP stellt die Vermittlungsdienste im Internet bereit und ist ein verbindungsloser Datengrammdienst. Mit IP alleine kann deshalb keine gesicherte Datenübertragung erfolgen. Die Vermittlung erfolgt durch Router, die Netze nicht nur miteinander verbinden, sondern diese auch voneinander trennen. Die entsprechenden Informationen sind in dem IP-Protokollheader enthalten. IP besitzt folgende Funktionen und Eigenschaften:
- Adressierung
- Vermittlung zwischen Netzen und Subnetzen (Routing)
- Kontrolle über endlos kreisende Pakete
- Hinweis auf Protokoll der Schicht 4
- Maximale Paketlänge von 65.535
- Fragmentieren und Reassemblieren von Datenblöcken
- Fehlererkennung und -meldung
In Bild 3 sind die dafür benötigten Protokollelemente dargestellt. Es bedeuten:
- Version: derzeit = 4, künftig = 6 (IPv6)
- IHL (IP Header Length): gibt die Länge des Headers an
- TOS (Type of Service): erlaubt die Priorisierung von Paketen
- Gesamtlänge: Länge von Header inkl. Optionen und Daten
- Kennung (ID): ist für alle Pakete eines Fragments identisch
- Flag: signalisiert ob ein Paket fragmentiert ist
- Fragment Offset: informiert über die Position des Fragments
- Time to Live (TTL): Begrenzung der Lebensdauer eines Pakets. Ursprünglich in Sekunden gemessen. Heute wird der TTL-Zähler von jedem passierten Hop um 1 reduziert. Steht der Zähler auf 0, wird dieses Paket verworfen
- Protokoll: Hinweis auf das Transportprotokoll (TCP, UDP etc.)
- Kopf-Prüfsumme: schützt die Headerinformationen gegen Übertragungsfehler
- Absender IP-Adresse: IP-Adresse des Senders
- Empfänger IP-Adresse: IP-Adresse des Empfängers; die IP-Adresse setzt sich aus 32 Bits zusammen (IPv4) und besteht aus einer Netzwerk-ID und Host-ID. Früher wurden IP-Adressen in Klassen eingeteilt (A, B, C, D und E). Heute verwendet man beliebige Aufteilungen (Classless Routing), um den knappen Adressraum bei IPv4 optimal zu nutzen.
Mit UDP bleibt die Kommunikation verbindungslos. Dieses Protokoll wird durch folgende Eigenschaften charakterisiert:
- Einfache Lösung für den Datenaustausch
- Verbindungsloser Datagramm-Dienst
- Keine Flusskontrolle
- Geringer Overhead
- Optionale Prüfsumme eines Pseudo-Headers
Das einfache UDP-Protokoll benötigt nur wenige Protokollelemente, die folgende Funktionen erfüllen:
- Absender Port (Source): Anbindung der Sender-Applikation
- Empfänger Port (Destination): Anbindung der Empfänger-Applikation
- Länge: Signalisiert die Gesamtlänge des Pakets
- Prüfsumme: Absicherung der Headerinformationen
TCP ist ein verbindungsorientiertes Protokoll mit folgenden wichtigen Eigenschaften:
- Verbindungsauf- und -abbau erforderlich
- Vollständige Übertragung von Datensegmenten
- Duplex Verbindung
- Flußkontrolle
- Kontrolle über duplizierte und fehlende Segmente
- Größerer Overhead im Vergleich zu UDP
Aus Bild 5 sind die dafür erforderlichen Protokollelemente ersichtlich, die folgende Funktionen erfüllen:
- Absender Port (Source): Anbindung der Sender-Applikation
- Empfänger Port (Destination): Anbindung der Empfänger-Applikation. Bekannte Portnummern sind z.B.: 21 = File Transfer, 23 = Virtuelles Terminal, 25 = Versenden von Email und 80 = HTTP Webserver.
- Sequenznummer: IP-Pakete werden damit fortlaufend nummeriert
- Bestätigungsnummer: damit wird der fehlerfreie Empfang eines IP-Pakets quittiert. In beiden Nummern ist immer auch die Länge des jeweiligen Pakets enthalten
- Fenster: Dient zur Flusskontrolle zwischen Empfänger und Sender. Der Empfänger gewährt damit dem Sender quasi einen Kredit über die maximale Zahl der zu übertragenden Pakete
Über den Autor
Gerhard Kafka arbeitet als freier Fachjournalist für Telekommunikation in Egling bei München
(ID:2009224)
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962619/original.jpg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (ra2 studio - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934632/original.jpg "Kaspersky entdeckt 33 Sicherheitslücken im Datenübertragungsprotokoll mobiler Gesundheits-Geräte (Robert Kneschke - stock.adobe.com)")