Als Netzwerksicherheit bezeichnet man den Schutz von technischen Systemen
innerhalb eines Netzwerks oder an der Schnittstelle zwischen zwei
Netzwerken. Das Ziel der Netz-werksicherheit besteht darin, die (a)
Integrität (Datensicherheit), (b) Verfügbarkeit (Zugriffssicher-heit) und
(c) Vertraulichkeit von Daten zu gewährleisten, (d) eine Authentifizierung
(Authentikati-on) von Benutzern und Diensten durchzuführen sowie (e) deren
Handlungen nachvollziehbar zu machen (Zurechenbarkeit/Accountability).
Die Netzwerksicherheit ist vor allem abzugrenzen von der Systemsicherheit,
also dem Schutz einzelner technischer Systeme, und dem Netzwerkmanagement
sowie von den angrenzenden Bereichen Datenschutz und Datensicherheit,
Kryptographie und Forensik. Wie in alle Bereichen der Sicherheit gibt es
zahlreiche Schnittstellen und Kollisionen mit der jeweiligen Rechtsordnung
(Ausspähen von Daten, Verletzung von Privatgeheimnissen usw.).
Netzwerksicherheit ist per se unproduktiv, liefert also grundsätzlich für
den Endanwender keinen produktiven Mehrwert. Aufgrund der faktischen
Unverzichtbarkeit von Sicherheitsmaßnahmen in zunehmend feindlichen
Netzwerkumgebungen ist Netzwerk-sicherheit in praktisch allen vernetzten
Umgebungen zwingend – von Computer- bis hin zu Telekommunikationsnetzwerken
– erforderlich und somit selbst zu einer Industrie und damit wiederum zu
einem Wirtschaftsfaktor geworden.
Das Spektrum der Gefärhrdungen vernetzer Systeme ist vielfältig.
Unterschieden werden u.a. folgende technische Gefährungsbereiche, die sich
kaum systematisieren lassen: Sys-temanomalien erster, zweiter und dritter
Art; Computer-Würmer, -Viren und Trojanische Pferde; Account- und
Paßwortangriffe, Spoofing; Scanning; Sniffing; Ping-of-Death-,
SYN-Flooding-, Deni-al-of-Service-(DoS-) und
Distributed-Denial-of-Service-(DDoS-)Angriffe; Attacken nutzen dabei
praktisch jede nur denkbare Schwachstelle in interoperablen
Netzwerkprotokollen, betriebsys-temspezifischen Applikationen oder
Netzwerk-Hardware/-Appliances aus. Daneben existiert ein noch breiteres Feld
an sonstigen Gefährdungen, die jedoch technisch nur eingeschränkt
kontrol-lierbar sind (menschlicher Faktor, Wissenslücken, ‚menschliches
Versagen’; nur 2% der Gesamtschäden der DV resultieren aus einem unerlaubten
externen Zugriff).
Gegner der Sicherheitsverantwortlichen (White hats) sind gleichermaßen
Amateure (Script-kiddies, Hacker) wie mehr oder minder organisierte
Kriminelle (Cracker, Black hats, ‚Mafia’); be-reits seit Jahren sind
keinerlei Programmier- oder Betriebssystemkenntnisse mehr notwendig, um
fremde Systeme zu schädigen oder zu übernehmen (root kits); White hats
können allenfalls computerforensisch erfahren, mit welchem Gegner sie es zu
tun haben.
Netzwerksicherheit kann in verschiedene Teilbereiche untergliedert werden;
zu unterscheiden sind dabei: Sicherheitsbewußte Systemadministration und
Hardening; Auditing, Logging und Accounting; Einsatz von
Verschlüsselungsverfahren und digitalen Signaturen; Authentifikation,
Firewalling mit Paketfilterung oder Anwendungs-Gaeways und verschiedenen
Topologien (Dual Homed Gateway, Screening Router/Host/Subnet, DMZ), host-
oder netzwerkbasierte Einbruchserkennung (Intrusion Detection) mittels IDS
und Einbruchsreaktion (Intrusion Response) mittels IRS; Analysen mittels
Angriffssimulatoren. Das klassische 3-Komponenten-System der
Netzwerksicherheit kombiniert (a) Firewall-, (b) Content-Security- und (c)
IDS-/IRS-System und bietet damit einen Minimalschutz.
Netzwerksicherheit ist weder ein Zustand, der erreicht noch ein Produkt, das
erworben werden könnte. An einen Zustand relativer Sicherheit kann sich nur
in Abwägung gegenüber anderen Faktoren (Verhältnis von Kosten und Nutzen,
produktive Defizite durch Sicherheitsrestriktionen) in einem fortdauernden
und dynamischen Prozess angeähert werden.
Netzwerksicherheit kann in verschiedenen Formen konzipiert werden; defensive
Maßnahmen richten sich gegen laufende oder bereits erfolgte Angriffe,
proaktive Maßnahmen sollen bereits die Möglichkeit von Angriffen
unterbinden. Je offensiver ein Sicherheitskonzept ausgelegt ist, desto mehr
nähert es sich krankhafter Paranoia an und riskiert, eigene oder fremde
produktive Systeme zu beeinträchtigen. Eingesetzte Produkte können den
Ansatz der Security by Obscurity (‚Microsoft’, proprietäre Systeme)
verfolgen, oder offene Verfahren bevorzugen.
Der Versuch der Gewährleistung von System- und Netzwerksicherheit bindet
zunehmend personelle und ökonomische Ressourcen, die für produktive
Tätigkeiten nicht mehr zur Verfügung stehen. Sinnvolle Netzwerksicherheit
wird daher immer einen Kompromiß suchen müssen zwischen dem effektiven
Risikopotenzial und dem vertretbaren Schutzaufwand.
Arten
Internet Security
Privacy
Windows
Kefk Network :
Security |
About |
Wiki
Grundlagen
