"sicheres Internet"sicheres Internet, Sicherheit im Web, Distributed-Denial-of-Service, DDoS, Distributed Denial of Service, DoS, DoS-Angriffe, IP-Spoofing, IP Spoofing, DDoS-Angriffe, IT-Grundschutz, IT-Grundschutzmaßnahmen, IT-Grundschutzhandbuchs, gefälschte IP-Absenderadressen, IP-Paket, Paketfilterung, Paketfilter, WWW-Server, DNS-Server, Proxy-Server, Router, Netzvermittler, Netzinfrastruktur, Netzknotenrechner, Router, Serverbetreiber
    


siehe auch:
BSI - Bundesamt
für Sicherheit in
der Informations-
technik

  

http://www.glossar.de/glossar/z_sicheresweb.htm

Die von Bundesinnenminister Otto Schily ins Leben gerufene Task Force "Sicheres Internet" hat im April 2000 einen Katalog von Sofortmaßnahmen vorgelegt, der die Sicherheit im Internet zum Ziel hat. Angriffe gegen die Verfügbarkeit von Diensten im Internet sollen damit erschwert oder ganz abgewehrt werden können. Dies ist auch ein wesentlicher Beitrag für mehr Sicherheit im elektronischen Geschäftsverkehr.

Als Auslöser für diese Initiative dienten verschiedene "Distributed-Denial-of-Service-(DDoS)"-Angriff im Februar 2000. Der vorgelegte Katalog von Sofortmaßnahme zeigt Lösungen auf, wie kurzfristig der Schutz vor solchen Angriffen verbessert werden kann. In einer konzertierten Aktion der Netzvermittler, Diensteanbieter, Inhalteanbieter und der Endanwender sollen 15 Sofortmaßnahmen verwirklicht werden, um deutsche Online-Einrichtungen infrastrukturell besser zu sichern.
 


Abbildung mit den genannten Zielgruppen

  Die Maßnahmen teilen sich dabei auf vier Zielgruppen auf:
  • Endanwender: Betreiber privater und dienstlicher Rechner, die dazu dienen, Informationen im Internet abzurufen, zu verarbeiten und wieder ins Netz einzubringen.
  • Netzvermittler - wie etwa T-Online, AOL: Betreiber der Netzinfrastruktur (z.B. Netzknotenrechner, Router)
  • Serverbetreiber: Mit der Administration und Konfiguration von Servern betraute Firmen. Die Server bieten Dienste und Informationen im Internet an (WWW-Server, DNS-Server, MTAs, Proxy-Server ...)
  • Inhalte-Anbieter: Produzenten von redaktionellen Inhalten, die z. B. von Serverbetreibern auf WWW-Servern bereitgestellt werden.

Durch die unmittelbare Umsetzung und Einhaltung der Empfehlungen sowie durch eigene weiterführende Sofortprogramme können die angesprochenen Zielgruppen entscheidend dazu beitragen, dass das gemeinsame Ziel aller gesellschaftlichen Gruppen, das Internet sicher zu gestalten, erreicht wird. Eine besondere Rolle kommt den Netzvermittlern zu, die normalerweise keine Schutzfunktion für die Serverbetreiber übernehmen. Bei dem für DoS-Angriffen verwendeten IP-Spoofing sind die Netzvermittler diejenigen, die wirksam falsche Pakete schon beim Einspeisen in das Internet erkennen und verhindern können.

Die nachfolgenden Maßnahmen sind bezüglich der Zielgruppen gegliedert, wobei die ersten fünf Maßnahmen bei der Abwehr bzw. der Schadensbegrenzung von DDoS-Angriffen helfen, da sie bei den Übertragungswegen im Internet ansetzen. Die restlichen Maßnahmen beziehen sich auf die Auswahl, Konfiguration und Pflege der Endsysteme im Internet und erschweren die Vorbereitung eines DDoS-Angriffs, d. h. das Eindringen in eine Vielzahl von Rechnern und die dortige Installation von Angriffsprogrammen.

Restrisiken werden jedoch auch nach Umsetzung der Maßnahmen verbleiben, weshalb geordnete Meldeverfahren für Angriffe über das Internet entwickelt werden sollten.
 


  Maßnahmen für Netzvermittler

Den Netzvermittlern kommt eine zentrale Rolle bei der Verhinderung von DoS zu. Die Netzvermittler sind zwar selber nur selten Ziel von DoS-Angriffen, haben aber indirekt Nutzen von einem sichereren Internet, da das Vertrauen aller Nutzer und damit ihre Zahl wächst.

Maßnahme 1: Verhinderung von IP-Spoofing

Viele DoS-Angriffe nutzen gefälschte IP-Absenderadressen. Dies macht einerseits einige Angriffe erst möglich und erschwert andererseits auch die Suche nach dem Verursacher. Durch entsprechende technische Regeln (RFC 2267 vom Januar 1998) in der Netzinfrastruktur der Netzvermittler können die Netzbetreiber diese Möglichkeit wesentlich einschränken, so dass gefälschten Pakete erst gar nicht weiter in das Internet vermittelt werden:
Eine Organisation, die an einen Netzbetreiber angeschlossen ist, hat einen bestimmten IP-Adressbereich zur Verfügung. Jedes IP-Paket, dass aus dieser Organisation ins Internet geschickt wird, müsste eine IP-Absenderadresse aus diesem Bereich haben. Ist dies nicht der Fall, so handelt es sich um eine gefälschte Adresse und das IP-Paket sollte vom Netzvermittler nicht weitergeleitet werden, d. h., es soll eine Paketfilterung auf die Absenderadressen beim Einspeisen der Pakete in das Internet durchgeführt werden. Zwar ist IP-Spoofing innerhalb des erlaubten Adressbereichs der Organisation noch immer möglich, jedoch ist der Kreis der möglichen Verursacher auf die Organisation eingeschränkt. Ein normaler Heimzugang in das Internet hat nur eine einzige erlaubte IP-Adresse, so dass über solche Wählzugänge IP-Spoofing gar nicht mehr möglich wäre.

Maßnahme 2: Einsatz von Paketfiltern bei Netzvermittlern

Häufig sind Server nur über eine einzelne Netzverbindung an den Netzvermittler angebunden. Selbst wenn die Server widerstandfähig gegen DoS-Angriffe sind, so ist doch diese Netzverbindung selber in ihrer Kapazität beschränkt und kann von einem Angreifer vollständig ausgelastet werden, so dass die Server aus dem Internet nicht mehr erreichbar sind. Daher sollten Netzvermittler in Erwägung ziehen, die Netzanbindung der Serverbetreiber durch den Einsatz von Paketfiltern gegen DoS-Angriffen abzuschirmen, d. h. es soll eine Paketfilterung (auf Ports) beim Verlassen der Pakete aus dem Internet durchgeführt werden. Dies ist insbesondere dann sehr effektiv, wenn in Zusammenarbeit mit einem Angriffserkennungssystem beim Serverbetreiber der Paketfilter dynamisch an den jeweils laufenden Angriff angepasst werden kann. (Darüber hinaus kann der Netzvermittler in Absprache mit dem Serverbetreiber den Paketfilter auch so konfigurieren, dass Maßnahme 3 auch auf der Seite des Netzvermittlers ergänzt wird.
 


  Maßnahmen für Serverbetreiber

Die Rechner der Serverbetreiber kommen nicht nur als Opfer der DoS-Angriffe in Betracht. Wegen ihrer leistungsfähigen Anbindung an das Internet sind sie auch beliebte potentielle Ausgangsplattformen. Daher muss verhindert werden, dass diese Rechner als Ausgangspunkt für Angriffe auf weitere Rechner missbraucht werden.

Maßnahme 3: Einsatz von Paketfiltern bei Serverbetreibern

Server sollten im Normalfall nur wenige Dienste anbieten und entsprechend konfiguriert werden. Auf dem vorgeschalteten Router sollten Paketfilterregeln implementiert werden, die nur die zugehörigen Protokolle passieren lassen und beispielsweise sicherheitskritische Dienste oder gerichtete Broadcasts (RFC 2644) abblocken. Im Falle eines Angriffs können diese Router so umkonfiguriert werden, dass die Anfragen von verdächtigen einzelnen IP-Adressen oder -Adressbereichen abgewiesen werden. (Darüberhinaus sollte der Serverbetreiber den Paketfilter zusätzlich so konfigurieren, dass aus seinem Netz heraus IP-Spoofing nicht möglich ist und so die Maßnahme 1 unterstützt wird. Die dazu vorzunehmenden Einstellungen sind in den Systemverwalter-Handbüchern der Router beschrieben.)

Maßnahme 4: Automatische Angriffserkennung

DoS-Angriffe zeichnen sich normalerweise dadurch aus, dass sie Server anomal auslasten. Daher sollten typische Kennwerte (Speicherauslastung, Stacks, Netzauslastung, ...) ständig überwacht werden. Eine automatische Alarmierung ermöglicht dann, zeitnah Reaktionen einzuleiten (hostbasierte Angriffserkennung). Hierzu sind ggf. geeignete Zusatzprodukte heranzuziehen. Zusätzliche Informationen zu Intrusion Detection Systems finden sich beispielsweise unter http://www.bsi.bund.de/literat/studien/ids/ids-stud.htm.

Maßnahme 5: Etablierung eines Notfallplans

Im Falle eines Angriffs ist es von zentraler Bedeutung, schnell reagieren zu können. Nur so ist es möglich wirksame Gegenmaßnahmen einzuleiten, eventuell den Angreifer zu identifizieren und den Normalbetrieb innerhalb kurzer Zeit wieder herzustellen. In einem Notfallplan ist daher eine geeignete Eskalationsprozedur festzuschreiben. Notwendige Angaben sind dabei u. a. Ansprechpartner, Verantwortliche, alternative Kommunikationswege, Handlungsanweisungen und Lagerort möglicherweise benötigter Resourcen (z. B. Magnetbänder). Nähere Informationen zum Umgang mit Angriffen aus dem Internet finden sich unter http://www.bsi.de/literat/cebit99/angriff.htm.

Maßnahme 6: Sichere Konfiguration der Server

Auch die Server der Serverbetreiber können als Agenten eines DoS-Angriffs missbraucht werden. Der Angreifer installiert dazu unter Ausnutzung bekannter Schwachstellen Schadsoftware. Daher müssen die Betreiber der Server diese sorgfältig und sicher konfigurieren. Nicht benötigte Netzdienste sind zu deaktivierten und die benötigten abzusichern, ein hinreichender Passwort- und Zugriffsschutz sowie rechtzeitiges Ändern (insbesondere voreingestellter) Passwörter muss sichergestellt sein. Nähere Informationen finden sich unter http://www.bsi.bund.de/bsi-cert/webserv.htm.

Maßnahme 7: Restriktive Rechtevergabe und Protokollierung

Durch Manipulationen an Servern kann ein Angreifer diese als Agenten missbrauchen oder ihre Leistungsfähigkeit einschränken. Deshalb müssen alle Änderungen und alle Zugriffe auf den Server protokolliert werden. Es ist auf eine restriktive Vergabe von Zugriffsrechten der Nutzer, auf die zur Verfügung gestellten Systemressourcen und auf eine erhöhte Sorgfalt bei Konfigurationsänderungen zu achten. In regelmäßigen Abständen ist das Dateisystem auf Integrität zu überprüfen. Werden lediglich statische Daten benötigt, kann ein manipulationssicherer, schreibgeschützter Datenträger verwendet werden.

Maßnahme 8: Einsatz von Open Source Produkten

Für den Fall, dass Schwachstellen neu entdeckt werden, die einen DoS-Angriff ermöglichen oder erleichtern, ist es wichtig, dass diese schnell behoben werden können. Meist werden derartige Schwachstellen in Open-Source-Software wesentlich schneller behoben als in Produkten, deren Quellcode nicht veröffentlicht ist. Häufig können die Veränderungen im Quellcode sogar selbst durchgeführt werden. Daher sollten Open-Source-Produkte wie LINUX bei ähnlicher Leistungsfähigkeit bevorzugt werden (siehe http://linux.kbst.bund.de/).
 


  Maßnahmen für Inhalte-Anbieter

Maßnahme 9: Auswahl geeigneter und IT-sicherheitsbewußter Serverbetreiber

Die Inhalte-Anbieter sollten schon durch die Wahl ihres Serverbetreibers darauf hinwirken, dass dieser Sicherheit und Verfügbarkeit als zentrale Leistungsmerkmale ansieht. Daher sollten sie einen Serverbetreiber wählen, der entsprechende Erfahrungen mit den benötigten Internet-Plattformen vorweisen und seine Bemühungen im Bereich IT-Sicherheit nachweisen kann, z. B. durch ein IT-Sicherheitskonzept.

Maßnahme 10: Vermeidung aktiver Inhalte

Viele WWW-Seiten im Internet sind derzeit nur nutzbar, wenn in den Browsern aus Sicherheitssicht bedenkliche Einstellungen vorgenommen werden, die von einem Angreifer missbraucht werden können. Durch bewusste Vermeidung sicherheitskritischer Techniken (z. B. aktive Inhalte) können Inhalte-Anbieter dazu beitragen, dass auf den Clients keine unsicheren Einstellungen vorhanden sein müssen.

Maßnahme 11: Tägliche Überprüfung von Dateien auf Viren und Angriffsprogrammen

Viele Inhalte-Anbieter stellen auf ihren WWW-Seiten Programme und Dokumente zum Download bereit. Gelingt es einem Angreifer, dort ein trojanisches Pferd einzubringen, so kann er in kurzer Zeit auf eine große Verbreitung seines Programmes hoffen. Eine solche Vorgehensweise ist insbesondere bei DDoS-Angriffen für Angreifer sehr verlockend, da dabei eine große Zahl von Rechnern für einen wirkungsvollen Angriff benötigt wird. Der Inhalte-Anbieter sollte deshalb täglich mit speziellen Suchprogrammen überprüfen, ob auf seinen Seiten Programme mit Schadenfunktionen (Viren, Trojanische Pferde, DoS-Programme, etc.) verfügbar sind zur Verfügung gestellt werden (für die Suche nach DDoS-Programmen siehe z. B. http://foia.fbi.gov/nipc/trinoo.htm).
 


  Maßnahmen für Endanwender

Rechner der Endanwender sind im Normalfall nicht Ziel von DoS-Angriffen. Allerdings können diese Rechner dazu benutzt werden, dass ein Angreifer in einem ersten Schritt Programme auf ihnen installiert, die ihm dann ferngesteuert einen DoS-Angriff auf beliebige Rechner ermöglichen. Daher können auch Endanwender einen Beitrag zum Schutz vor DoS-Angriffen leisten.

Maßnahme 12: Schutz vor Schadprogrammen

Rechner von Endanwendern können als Agenten für Angriffe missbraucht werden. Am leichtesten lassen sich solche Agenten über Viren, trojanische Pferde oder durch aktive Inhalte (insbesondere ActiveX) auf die einzelnen Rechner installieren. Daher ist ein zuverlässiger und aktueller Virenschutz und das Abschalten aktiver Inhalte im Browser dringend anzuraten. Ggf. kann auch der Einsatz von Hilfsprogrammen zum Online-Schutz des Clients (beispielsweise PC-Firewalls) erwogen werden. Weitere Empfehlungen werden auf den WWW-Seiten des BSI (http://www.bsi.bund.de) und der Initiative Sicherheit im Internet (http://www.sicherheit-im-internet.de) gegeben.
 


  Maßnahmen für alle Zielgruppen

Die hier empfohlenen Maßnahmen sind Standardmaßnahmen (vgl. http://www.bsi.de/literat/doc/fuhrberg.htm). Die Praxis zeigt jedoch, dass sie aus den unterschiedlichsten Gründen häufig nicht umgesetzt werden.

Maßnahme 13: IT-Grundschutz für Rechner mit Internet-Anschluss

Rechner, die über einen Internet-Anschluss verfügen, sollten durch konsequente Umsetzungen der IT-Grundschutzmaßnahmen aus den Kapiteln 6.1, 6.2 und 6.4 für vernetzte Unix-Systeme bzw. Windows NT des IT-Grundschutzhandbuchs ein angemessenes Sicherheitsniveau erreichen. Damit ist gewährleistet, dass typischen Gefährdungen entgegengewirkt wird. Das IT-Grundschutzhandbuch kann unter (http://www.bsi.bund.de/gshb) eingesehen und unter (gshb@bsi.de) kostenlos auf CD-ROM bezogen werden.

Maßnahme 14: Zeitnahes Einspielen von Sicherheits-Updates

Immer wieder werden neue sicherheitsrelevante Schwachstellen in den Betriebssystemen und der Serversoftware entdeckt, die wenig später durch Updates (Patches) der Hersteller behoben werden. Um möglichst zeitnah reagieren zu können, ist es notwendig, die Mailinglisten des Computer Emergency Response Teams (CERT) unter http://www.cert.org und der Hersteller zu abonnieren und auszuwerten. Die relevanten Updates sind schnellst möglich einzuspielen, um die bekannt gewordenen Schwachstellen zu beheben.

Maßnahme 15: Tool-Einsatz und Schulung der Mitarbeiter

Um einen Rechner vor Risiken und Gefahren zu schützen, ist z. T. erhebliches Know-How zur Erarbeitung einer guten effektiven IT-Sicherheitskonfiguration notwendig. Administratoren müssen daher ausreichend aus- und weitergebildet werden. Zur Unterstützung der Administrationsaufgaben sollten zudem Sicherheits-Tools herangezogen werden. Besonders geeignet ist hier das BSI-Tool USEIT (http://www.bsi.bund.de/aufgaben/projekte/useitool/useit.htm), das es ermöglicht, Schwachstellen in der Installation und Konfiguration von Unix-Rechnern zu finden.

Warnung vor zu viel Kontrolle - und vor zu wenig
(Meldung von Hong Kong Standard Online vom 17. Mai 2000)

Die Internet Alliance (IA) hat auf der Cyberkriminalitätskonferenz der "Group of Eight" die Regierungen der Welt gewarnt, dass "ohne effektive Strafverfolgung und Sicherheitsmaßnahmen Internetkriminalität den E-Commerce-Zug zum Entgleisen bringen könnte, indem sie einen Vertrauensverlust bei Kunden und der Industrie gegenüber dem relativ jungen Medium auslöst." Außerdem gab die IA den Ratschlag, das Internet nicht zu überregulieren, weil sich das Netz gerade in einer "sehr sensiblen" Phase der Formierung und des Wachstums befinde, in der Vertrauen und Zuversicht das Wichtigste seien. Rund 500 Millionen Menschen werden das Internet bis 2003 nutzen - so die IA -, während das Einzelhandelsaufkommen im E-Commerce-Bereich einen Umfang von 40 Milliarden Mark erreichen wird. "Unermessliche soziale Vorteile durch internetbasierte Anwendungen im Bereich der Medizin und Ausbildung werden nicht realisiert werden können, ohne den Aufbau von Vertrauen zur Online-Kommunikation", sagte die IA. Die Gruppe meinte außerdem, das "Verwischen der Linie zwischen Industrie und Regierung" stelle eine armselige Kombination "mit extrem schädlicher Wirkung dar".

 

    


 

 
siehe auch (auf anderen Glossar-Seiten):

Browser
Cookies
Domain-Namen, DNS
E-Mail
E-Commerce / Electronic Commerce
Hacker
HOAX (sowie "Melissa" und "Loveletter")
HTML (Homepage-Erstellung)
Internet
Internet-Zahlen / Community
Newsgroup
TCP/IP
World Wide Web
Verschlüsselung, Digital-ID

siehe auch Beitrag im AEC-WEB (nur mit einer Online-Verbindung):

INTERNET und Architekten

siehe auch :

Bundesministerium des Inneren
Bundesamt fuer Sicherheit in der Informationstechnik

  (zurück) zum Glossar:

Copyright: Alfons Oebbeke, Neustadt 1997-2000
Navigation ohne Frames:

 
Glossar - Homepage - Linkseite - Suchen im ARCHmatic-Web-Pool (funktioniert nur im Online-Modus!!!) E-Mail-Kontakt - Gästebuch: Ihre/Deine Meinung auf neutralem Boden bei ZDNet.de ! -AEC-WEB (funktioniert nur im Online-Modus!!!)
# A B C D E F G H I J K L M N O P Q R S T U V W X Y Z