Skip to main content
main-content

Über dieses Buch

Das vorliegende Buch bietet eine strukturierte, gut lesbare Einführung in das dynamische Thema Internetsicherheit. Ausgehend von grundlegenden Sicherheitsstandards für lokale Netzwerke (LAN), IP und TCP werden Bedrohungen und Schutzmaßnahmen für komplexe Anwendungen wie Email oder das World Wide Web vorgestellt. Kryptographische Verfahren wie Blockchiffren, digitale Signaturen und Public-Key Verschlüsselung werden kurz eingeführt. Besonderer Wert wird aber auf die sichere Einbettung dieser Verfahren in komplexe Internet-Anwendungen gelegt, und diese Problematik wird durch die detaillierte Beschreibung erfolgreicher Angriffe (WEP, Bleichenbacher, Padding Oracle, Wörterbuch, Fault, Kaminsky, XSS, CSRF) verdeutlicht. Für die 4. Auflage wurde der Text komplett neu strukturiert und erweitert. Neu hinzugekommen sind Darstellungen von Padding-Oracle-Angriffen, PPTPv2, der EAP-Protokoll und ihrer Anwendungsbereiche, WPA, neuer Angriffe auf SSL und ein komplettes Kapitel zur Sicherheit von Webanwendungen.

Inhaltsverzeichnis

Frontmatter

1. Kryptographie und das Internet

Zusammenfassung
In diesem Kapitel soll etwas eigentlich Unmögliches versucht werden, nämlich auf engstem Raum einen Überblick zu den Themen Internet, Kryptographie und Zertifikate zu bieten. Dazu bräuchte man mindestens zwei Bücher, und deshalb werden wir uns hier auf Grundzüge beschränken.
Jörg Schwenk

2. Point-To-Point Sicherheit

Zusammenfassung
Die Sicherungsschicht (OSI-Schicht 2) dient zur verlässlichen Übertragung von Datenrahmen („Frames“) zwischen zwei Computern (oder aktiven Netzwerkkomponenten)über ein einheitliches physikalisches Medium (z.B. eine direkte Kupferdraht- Verbindung) [Tan03].
Jörg Schwenk

3. Drahtlose Netzwerke (WLAN)

Zusammenfassung
Funknetzwerke sind ein klassisches Anwendungsgebiet von Kryptographie: Im 2. Weltkrieg wurden militärische Befehle über Funk übermittelt, und diese Befehle mussten vertraulich übermittelt werden. In zivilen Funknetzen steht man vor älnlichen Problemen, nur ist die Teilnehmerzabl hier ungleich höher.
Jörg Schwenk

4. Mobilfunk

Zusammenfassung
Das alltägliche Leben wird immer stärker von mobilen Geräten beeinflusst. Der Mobilfunk eilt, was die Nutzerzahlen betrifft, sogar dem Internet davon. Smartphones machen über Mobilfunktechnologien wie GSM, GPRS, UMTS oder LTE das Internet fast überall zugänglich.
Jörg Schwenk

5. IP Sicherheit (IPSec)

Zusammenfassung
Die Vermittlungsscbicht (Schicht 3 des ISO/OSI-Modells) hat die Aufgabe, Datenpakete in strukturierten Netzwerken über größere Entfernungen und verschiedene Schicht- 2-Technologien hinweg zu übertragen. Im Internet hat sich durch „evolutionäre Verdrängung“ die technisch einheitliche Situation ergeben, dass es hier nur noch ein grundlegendes Protokoll gibt: das Internet Protocol IP (vgl. Bild 5.1).
Jörg Schwenk

6. IP Multicast

Zusammenfassung
Multimedia-Daten werden oft von einer Gruppe von Nutzern gleichzeitig empfangen. Beispiele dafür sind Radio und Fernsehen: Die Daten werden im Rundfunk-Modus („Broadcast“) gesendet, und jeder Nutzer, der innerhalb des Sendebereichs ein passendes Gerät besitzt, kann durch Auswahl der jeweiligen Frequenz (bzw. des Kanals, Transponders) diese Daten empfangen.
Jörg Schwenk

7. WWW-Sicherheit mit SSL

Zusammenfassung
Das Kürzel „SSL“ steht für das bislang erfolgreichste Sicherheitskonzept im Internet. Jede Webanwendung bietet heute ihren Kunden die Möglichkeit, vertrauliche Daten über eine SSL-geschützte Verbindung an den Server zu übertragen. Allein dadurch wird SSL/TLS zu mit Abstand am häufigsten eingesetzten kryptographischen Protokoll überhaupt. Darüber hinaus werden aber noch andere Webprotokolle wie FTP, IMAP oder POP3 über SSL/TLS abgesichert, und über EAP-Protokolle wie EAP-TLS, EAP-TTLS und EAP-FAST hält der SSL-Handshake Einzug in andere Netzwerkschichten wie WLAN, PPP und IPSec.
Jörg Schwenk

8. Datenverschlüsselung: PGP

Zusammenfassung
Es gibt eine Fülle von Produkten zur Verscblüsselung von Daten auf Anwendungsebene. Diese Programme sind dadurch charakterisiert, das sie nicht unsichtbar im Hintergrund ihre Verschlüsselungsarbeit verrichten, sondern, dass dieser Prozess von einem Nutzer angestoßen wird. Einzelne Aktionen eines Nutzers, die er typischerweise in einem Betriebssystem oder einem Programm durchführt, werden um Sicherheitsdienste erweitert.
Jörg Schwenk

9. S/MIME

Zusammenfassung
S/MIME hat sich heute als einer von zwei Standards (der andere ist OpenPGP) für sichere E-Mail weitgehend durchgesetzt. Er soll hier schrittweise anhand seiner Herkunft erläutert werden. Dazu müssen wir das ursprüngliche E-Mail-Format, wie es in RFC 822 [Cr082] beschrieben wurde (aktuelle Version: RFC 2822 [Res01]), und seine Beschränkungen betrachten. Diese Beschränkungen wurden durch die MIME-Standards aufgehoben, indem neue Datentypen und Codierungen eingeführt wurden. Auf dieser Basis ist es möglich, spezielle Datentypen für die sichere E-Mail-Kommunikation zu definieren.
Jörg Schwenk

10. DNS Security

Zusammenfassung
Ein zentraler Dienst im Internet ist das Domain Name System (DNS). In diesem Abschnitt werden Sie den Aufbau des Domain Name System, den Ablauf von DNSA- Abfragen, sowie die Struktur von DNS-Paketen kennenlernen. Sie lernen zu verstehen, warum das DNS in seiner ursprünglichen Form unsicher ist und warum DNSSEC eingeführt wurde.
Jörg Schwenk

11. Sicherheit von Webanwendungen

Zusammenfassung
Eine Webanwendung ist laut Wikipedia wie folgt definiert: „Eine Webanwendung oder Webapplikation, kurz Web-App, ist ein Anwendungsprogramm, das beim Benutzer in einem Webbrowser abläuft bzw. dargestellt wird. Webanwendungen werden meist auf einem Webserver gespeichert und auch größtenteils dort ausgeführt.
Jörg Schwenk

12. XML- und Webservice-Sicherheit

Zusammenfassung
Der Begriff „Webservice„ ist in den letzten Jahren zu einem wichtigen Paradigma in der Informatik geworden. Die Grundidee dahinter ist schon länger formuliert: Eine komplexe Anwendung wird nicht nur auf einem Server ausgeführt, sondern setzt sich aus Komponenten zusammen, die über das ganze Internet verteilt sein können.
Jörg Schwenk

13. Ausblick: Herausforderungen der Internetsicherheit

Zusammenfassung
Fragt man heute eine Firma, was an IT-Sicherheit in ihrem Produkt/ihrer Infrastruktur vorhanden ist, so werden meist drei Schlagworte genannt: „AES“ (oft mit einer möglichst großen Schlüssellänge), „SSL“ und „PKI“. Dies sind Begriffe, die im Bewusstsein der Mitarbeiter von IT-Abteilungen fest als „gute“ Technologien etabliert sind, und von denen man annimmt, dass man damit alle praktisch relevanten Sicherheitsprobleme lösen kann.
Jörg Schwenk

Backmatter

Weitere Informationen

Premium Partner