Was sind die Grundlagen der Netzwerksicherheit?

Die Grundlagen der Netzwerksicherheit sind die entscheidenden Elemente der Netzwerk- und Cybersicherheit. Sie sollten in allen Netzwerken installiert werden: zu Hause, in Unternehmen und im Internet. Effektive Netzwerksicherheit erfordert den Schutz kabelgebundener und kabelloser Netzwerke durch Firewalls, Anti-Malware-Software, Intrusion Detection Systems, Zugriffskontrolle und mehr.

Grundlagen der Netzwerksicherheit

Netzwerksicherheit ist ein komplexes Thema, das mehrere verschiedene Technologien umfasst, deren Konfiguration oft kompliziert ist.

Das Problem, das es zu lösen gilt, ist die Trennung zwischen dem, was sich im Netzwerk befindet, und den Endpunkten oder Hostsystemen, die damit verbunden sind. Die Technologie für das Netzwerk und die Endpunkte umfasst Zugriffskontrolle und Verschlüsselung. Beim Netzwerk kommen jedoch noch Segmentierung und Perimetersicherheit hinzu.

Netzwerksicherheit und Endpunktsicherheit im Vergleich

Die Netzwerksicherheit ist nur ein Teil der Sicherheitsgleichung. Sie bezieht sich in der Regel auf die Geräte, die das Netzwerk selbst schützen. Bei einer Firewall kann es sich um ein Stand-alone-Gerät handeln, das neben Netzwerkgeräten wie Routern oder Switches eingesetzt wird – oder um eine Software innerhalb des physischen Geräts, das auch für Routing und/oder Switching zuständig ist. Im Netzwerk gibt es Firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), VPN-Appliances (Virtual Private Network), DLP-Systeme (Data Loss Prevention) usw.

Das Netzwerk ist dazu da, Systeme miteinander zu verbinden. Es ermöglicht Ihnen das Stöbern bei Amazon oder den Online-Einkauf in Ihrem örtlichen Lebensmittelgeschäft. Aber auch die Endsysteme müssen geschützt werden – dies wird als Endpunktsicherheit bezeichnet. Zu diesen Geräten gehören Laptops, Tablets, Telefone, aber auch IoT-Geräte (Internet of Things, Internet der Dinge).

Das IoT umfasst Geräte wie vernetzte Thermostate, Kameras, Kühlschränke, Haustürschlösser, Glühbirnen, Teichpumpen, intelligente Bettdecken usw. Auch diese Geräte erfordern Sicherheitskontrollen. Doch nicht alle Geräte sind so ausgereift, dass sie eine hostbasierte Firewall oder einen Anti-Malware-Agenten enthalten. Wenn es sich bei dem Endpunkt um eine Glühbirne handelt, dann ist er wahrscheinlich auf die Netzwerksicherheit angewiesen.

Zugriffskontrolle

Der erste Ansatzpunkt ist die Zugriffskontrolle. Unternehmen bezeichnen dies gemeinhin als Identity and Access Management (IAM, Identitäts- und Zugriffsverwaltung). Die Zugriffs- bzw. Zugangskontrolle ist nicht neu. Menschen kontrollieren den Zugang zu Gebäuden, seit vor über 6.000 Jahren das erste Schloss an einer Tür angebracht wurde. Die Zugriffskontrolle wird heute für Netzwerke, Computer, Telefone, Anwendungen, Websites und Dateien eingesetzt.

Grundsätzlich wird die Zugriffskontrolle in die IAAA-Kategorien aufgeteilt:

  • Identifikation ist die Feststellung des Namens oder der ID eines Anwenders, z. B. die E-Mail-Adresse.
  • Authentifizierung liefert den Beweis, dass der Anwender der ist, der er vorgibt zu sein. Am häufigsten erfolgt dies über Passwörter.
  • Autorisierung erteilt oder verwehrt dem Anwender eine Berechtigung. Es kann sein, dass der Anwender nicht autorisiert ist und daher keine Berechtigungen erhält. Wenn er autorisiert ist, werden Berechtigungen für Lesen, Schreiben, volle Kontrolle usw. gewährt.
  • Accountability, zu Deutsch etwa Zurechenbarkeit, verfolgt, was passiert ist. Das Protokoll zeigt, dass ein Anwender versucht hat, Zugriff zu erhalten, oder dass der Zugriff gewährt wurde. Das Protokoll kann auch alle Aktionen enthalten, die der Anwender durchführt.
     

Authentifizierungsarten

Innerhalb des IAAA-Modells ist die Authentifizierung derzeit vielleicht das wichtigste Thema. Auf den meisten Systemen sind Passwörter weiterhin die gängigste Authentifizierungsmethode. Sie sind jedoch in der Regel nicht sehr sicher, da sie leicht zu knacken sind.

Wenn ein Passwort zu kurz ist, können es Hacker leicht herausfinden. Hierzu nutzen Hacker Angriffe, mit denen sie Passwörter erraten können – und zwar über eine Brute-Force-Methode, bei der automatisch alle möglichen Kombinationen ausprobiert werden. Oder sie nutzen ein Programm, das Passwörter nachbildet, die den gleichen Hash-Wert ergeben.

Heute werden drei Authentifizierungsarten oder -faktoren verwendet. Sie lauten wie folgt:

  • Etwas, das Sie wissen – eine Zeichen- und/oder Zahlenfolge, die in Ihrem Gedächtnis gespeichert ist. Heutzutage sollten sie am besten in einem Passwortmanager gespeichert werden.
  • Etwas, das Sie haben – eine spezielle Appliance oder eine Software auf einem Gerät, die Sie für die Authentifizierung benötigen. Dazu gehören Geräte wie ein RSA-Token oder der Google Authenticator auf einem Smartphone.
  • Etwas, das Sie sind – ein Aspekt Ihrer Person. Dieser Faktor umfasst Biometriedaten, entweder physiologische, wie einen Fingerabdruck, oder verhaltensbasierte, wie einen Stimmabdruck.

 

Die beste Wahl ist die Zwei-Faktor-Authentifizierung (2FA). Sie wird manchmal auch als Multi-Faktor-Authentifizierung (MFA) bezeichnet. Diese Methode ist empfehlenswert für Ihre persönlichen Konten, z. B. bei Amazon oder Facebook.

Anwendungen wie Google Authenticator sind kostenlos und stellen eine deutlich bessere Wahl dar als der Empfang einer SMS-Nachricht auf Ihrem Telefon. Das National Institute of Standards and Technology (NIST) rät davon ab, SMS als Faktor zu nutzen.

Zu empfehlen ist 2FA auch für das Büro – die Entscheidung, ob diese Methode erforderlich ist oder nicht, muss jedoch auf Richtlinien- oder Managementebene getroffen werden. Diese Entscheidung hängt von vielen Faktoren ab, z. B. dem Asset, seiner Datenklassifizierung, den Risiken und den Schwachstellen.

Netzwerksegmentierung

Die Netzwerksegmentierung verbessert die Sicherheit, indem der Datenfluss zwischen verschiedenen Netzwerken kontrolliert wird. Am häufigsten wird dies mit virtuellen lokalen Netzwerken (Virtual Local Area Networks, VLANs) erreicht. Es gibt verschiedene Varianten dieser Netzwerke, z. B. ein privates VLAN (PVLAN), ein virtuelles erweiterbares LAN (Virtual Extendable LAN, VXLAN) usw. Ein VLAN befindet sich auf der Sicherungsschicht, also Schicht 2 des OSI-Modells (Open System Interconnect). Die meisten Netzwerkadministratoren ordnen einem VLAN ein IP-Subnetz (Internet Protocol) zu.

Router ermöglichen die Weiterleitung des Datenverkehrs zwischen VLANS gemäß der Konfiguration. Wenn Sie die Kontrolle behalten wollen, ist die Router-Konfiguration entscheidend.  

Eine weitere Option innerhalb der Cloud sind sogenannte Virtual Private Clouds (VPC). Die Kontrolle des Datenverkehrs, der an die bzw. aus der VPC übertragen wird, erfolgt ebenfalls über Konfigurationen.

Für die Konfiguration und Kontrolle des Zugriffs auf die bzw. aus den VLANs und VPCs ist es entscheidend, die geschäftlichen Workload-Anforderungen zu kennen.

Perimetersicherheit

Perimetersicherheit basiert auf der Idee, dass es eine definierte Grenze zwischen dem internen (und damit vertrauenswürdigen) Netzwerk und dem externen (und damit nicht vertrauenswürdigen) Netzwerk gibt. Es handelt sich hierbei um einen traditionellen Ansatz für Netzwerkdesign, der aus einer Zeit stammt, als sich Netzwerk und Rechenzentrum noch im selben Gebäude befanden. In dieser Konfiguration verbindet ein Router das interne und das externe Netzwerk. Die grundlegende Konfiguration einer Zugriffskontrollliste (Access Control List, ACL) innerhalb des Routers steuert, welcher Datenverkehr weitergeleitet wird.

Sie können die Sicherheit am Rand des internen Netzwerks, der sogenannte Perimeter, mit Firewalls, IDS und IPS erhöhen.  Weitere Informationen hierzu finden Sie auf der Seite „Netzwerksicherheitsmaßnahmen“.

Verschlüsselung

Verschlüsselung ist wichtig, um vertrauliche Daten und Kommunikationen vor neugierigen Blicken zu schützen. Die Verschlüsselung schützt Dateien auf Ihrer Festplatte, Ihre Banking-Sitzungen, in der Cloud gespeicherte Daten, vertrauliche E-Mails und noch viele andere Anwendungen. Kryptografie ermöglicht auch die Überprüfung der Datenintegrität und die Authentifizierung der Datenquelle. 

Bei der Verschlüsselung unterscheidet man zwei Grundtypen: symmetrisch und asymmetrisch. 

  • Bei der symmetrischen Kryptografie gibt es einen einzigen Schlüssel zum Ver- und Entschlüsseln. Dieser muss dem Empfänger bereitgestellt werden, um die verschlüsselte Kommunikation abzuschließen. Zu den gängigen Algorithmen gehören Advanced Encryption Standard (AES), Blowfish, Triple-DES (Data Encryption Standard) und viele mehr.
  • Bei der asymmetrischen Kryptografie gibt es zwei verschiedene Schlüssel: einen öffentlichen (Public Key) und einen privaten (Private Key), die gemeinsam als Satz funktionieren. Der Schlüsselsatz gehört jeweils einem Anwender oder einem Dienst, z. B. einem Webserver. Ein Schlüssel ist für die Verschlüsselung bestimmt, der andere für die Entschlüsselung. 
  • Wenn der Public Key die Daten verschlüsselt, hält er die Daten dadurch geheim. Denn nur der Besitzer des Private Keys kann sie entschlüsseln.
  • Verschlüsselt der Private Key die Daten, beweist er dadurch die Authentizität der Quelle. Denn wenn die Daten erfolgreich mit dem Public Key entschlüsselt werden können, heißt das, dass nur der Private Key die Daten verschlüsselt haben kann. Der Public Key ist tatsächlich öffentlich und für jeden zugänglich.

 

Ein drittes Thema ist das Hashing. Auch wenn es sich hierbei nicht wirklich um eine Verschlüsselung handelt, muss Hashing Teil der Sicherheitsdiskussion sein. Beim Hashing wird ein Algorithmus auf eine Nachricht angewendet, der aus den Bits dieser Nachricht eine Antwort, den sogenannten Hash, errechnet. Bei den Bits kann es sich um Daten, Sprache oder Videos handeln. Beim Hashing wird der Wert der Daten in keiner Weise verändert. Im Gegensatz dazu werden bei der Verschlüsselung die Daten in einen unlesbaren Zustand versetzt. 

Hashing beweist, dass sich die Bits der Nachricht nicht verändert haben. Es stellt sicher, dass die Daten integer sind und in ihrem ursprünglichen Format vorliegen. Nur Hashing schützt Daten vor versehentlichen Änderungen.

Wenn der Hash mit einem asymmetrischen Private Key verschlüsselt ist, beweist er, dass die Daten nicht von einem Hacker manipuliert wurden. Böswillige Änderungen sind nur möglich, wenn der Private Key kompromittiert ist.

Wenn der Schlüssel nicht kompromittiert wurde, dann wissen Sie, dass die Person, die den Private Key besitzt, auch die Person sein muss, die den Hash berechnet hat. Dieser Key kann ein symmetrischer Schlüssel sein, der manchmal auch als Private Key bezeichnet wird, oder ein asymmetrischer Private Key.

Sicherheit für kabellose Netzwerke

Es ist schwierig, Daten, Sprache oder Videos zu schützen, die über ein kabelloses Netzwerk übertragen werden. Bei kabellosen Übertragungen muss ein Signal gesendet werden, und damit können Hacker in Reichweite die Übertragung leichter erfassen. Es gibt Verschlüsselungsstandards für kabellose Netzwerke, aber die meisten wurden bereits in irgendeiner Form geknackt.

Zu den Verschlüsselungsstandards gehören WEP, WPA, WPA2 und jetzt auch WPA3.

  • Wired Equivalent Privacy (WEP) verwendet den symmetrischen RC4-Algorithmus zur Verschlüsselung der kabellosen Übertragung. Hacker haben den Standard schnell geknackt – und es gibt mittlerweile sogar ein praktisches Hacking-Tool namens WEP Crack genau für diesen Zweck.
  • Wi-Fi Protected Access (WPA) ersetzte damals WEP, verwendete aber weiterhin RC4. Also haben Hacker WEP Crack modifiziert, um auch WPA zu knacken.
  • WPA2, die zweite Version von WPA, umfasst zwei Optionen.
    • WPA2-Personal verwendet einen Pre-Shared Key, der auch einfach als Sicherheitsschlüssel bezeichnet wird. Dabei handelt es sich im Wesentlichen um ein Passwort, das in ein kabelloses Gerät, wie einen Laptop oder ein Telefon, sowie in den kabellosen Zugangspunkt (Wireless Access Point, WAP) eingegeben wird. 2017 entdeckten Hacker die erste Schwachstelle namens  Key Reinstallation AttaCK (KRACK).
    • WPA2-Enterprise verwendet eine zusätzliche Sicherheitsebene, indem es den Anwender bei einem zentralen RADIUS-Server (Remote Authentication Dial-in User Service) authentifiziert. Außerdem wird das EAP-Protokoll (Extensible Authentication Protocol) verwendet, um die Authentifizierungsinformationen über die lokale kabellose Verbindung weiterzuleiten. Die Kombination aus RADIUS und EAP als Sicherheitsprotokoll wird als IEEE 802.1x bezeichnet.
Verschlüsselte Verbindung – Diagramm
  • WPA3 bietet ebenfalls zwei Optionen.
    • WPA3-Personal bietet Anwendern ein höheres Maß an Schutz durch einen 128-Bit-Verschlüsselungsschlüssel. Dies ermöglicht eine zuverlässige Passwortauthentifizierung, selbst wenn die Passwörter der Anwender eigentlich zu einfach sind, um sicher zu sein. WPA3-Personal erreicht diesen Schutz durch das SAE-Protokoll (Simultaneous Authentication of Equals) anstelle des Pre-Shared Keys in WPA2-Personal.   
    • WPA3-Enterprise[SM2] [TA(3] [SM4]  verwendet einen 192-Bit-Verschlüsselungsschlüssel für gesteigerte Sicherheit. Der Standard stellt eine Erweiterung von WPA2 dar, das Sicherheitsprotokolle im gesamten Unternehmensnetzwerk einheitlich anwendet.  

Sicherheitszertifizierungen

Netzwerksicherheit ist äußerst komplex. Der Kampf gegen die Hacker erfordert viel Raffinesse und wird uns auf absehbare Zeit begleiten. Weitere Informationen finden Sie auf der Seite „Netzwerksicherheitsmaßnahmen“.

Sicherheitszertifizierungen sind immer eine gute Idee. Die Zertifizierung CompTIA Security+ oder die (ISC)-Zertifizierung zum System Security Certified Practitioner (SSCP) ist hierbei ein guter Ausgangspunkt. Eine fortgeschrittenere Zertifizierung auf Managerebene, die auch ein wenig technisches Wissen beinhaltet, ist beispielsweise die (ISC)-Zertifizierung zum Certified Information System Security Professional (CISSP). Sie können auch anbieterspezifische Prüfungen ablegen, z. B. die Cloud-basierten Prüfungen für AWS, GCP oder Azure.

Weiterführende Artikel