Sicherheit

Hier ein paar Ideen zum Thema Sicherheit und Netzwerke.

  1. Sicherheit
    1. Was ist Sicherheit
    2. Über diesen Text
    3. Sicherheitslevel 0
      1. Leben Level 0
      2. Netwzerk Level 0
    4. Sicherheitslevel 1: Wer
      1. Leben Level 1
      2. Netzwerk Level 1
    5. Sicherheitslevel 2: Wen (oder mit wem)
      1. Leben Level 2
      2. Netzwerk Level 2
    6. Sicherheitslevel 3: Womit
      1. Leben Level 3
      2. Netzwerk Level 3
    7. Sicherheitslevel 4: Wie
      1. Leben Level 4
      2. Netzwerk Level 4
    8. Sicherheitslevel 5: Weshalb
    9. Sicherheitslevel 6: Worüber
    10. Sicherheitslevel 7: Wann
    11. Sicherheitslevel 8: XXX

Was ist Sicherheit

Sicherheit bedeutet, dass man weiß, was abgeht, und dass diese Information zweifelsfrei richtig ist. Wenn man an einem Detail scheitert, dann ist die Sicherheit nicht gegeben.

Dieser Text hier basiert auf keinerlei sonstigen Verfahren, Standards oder sonstwas. Ich habe mir das einfach mal so von 0 an überlegt. Als Diplommathematiker würde ich sagen:

Ich definiere hiermit die Sicherheitslevel (a la Tino).

Grundlegend ist zu beachten, dass die Sicherheit immer aus Positivdefinitionen besteht.

Also die Aussage "X darf nicht Y kontaktieren" erzeugt in diesem Sinne keine Sicherheit. Es schützt zwar Y gegen X, aber das stellt eine 0-Menge dar die man ignorieren kann.

Sicherheit in Sinne dieses Textes ist somit:

Was nicht explizit erlaubt wurde ist unmöglich.

Über diesen Text

In diesem Text gebe ich zu jedem Level ein Beispiel an. Dieses Beispiel ist einmal aus dem realen Leben gegriffen, und einmal aus dem Bereich der Netzwerke.

Sicherheitslevel 0

Dieser Level entspricht "keinerlei Sicherheit". Das bedeutet, dass man in diesem Bereich keinerlei Aussage über irgendetwas treffen kann, jedenfalls nicht mit Sicherheit.

Leben Level 0

Freiheit und Demokratie.

Wer in einem demokratischen System sicherer leben will, muss die Demokratie verlassen. In der Demokratie gibt es mit Sicherheit keinerlei garantierte Sicherheit für irgendetwas.

Mit anderen Worten: Jeder kann sich ein Messer schnappen und jeden anderen beliebig abstechen. Das kann hinterher geahndet werden (wird es wohl auch meistens), aber es gibt Fälle, da kann der Täter eben nicht ermittelt werden.

Netwzerk Level 0

wLAN und Internet. Das wLAN ist frei und ungebunden. Niemand weiß, wer mit wem kommuniziert.

Sicherheitslevel 1: Wer

In diesem Sicherheitslevel weiß man, wer kommuniziert. Mehr ist nicht bekannt oder geregelt, insbesondere nicht, mit wem man spricht.

Leben Level 1

Dies entspricht einem Sicherheitsbereich, den man nur betreten kann, indem man autentifiziert wird. Das heißt, ich weiß zu jedem Zeitpunkt, wer sich in dem Bereich aufhält.

Beispiele sind Staaten, die eine gesicherte Grenze haben (wie dazumal die DDR), in die man also nicht rein kommt, ohne registriert zu werden. Auch Geburten sind unregistriert dort unmöglich. Im Prinzip entspricht das schon Big Brother, in dem überwacht wird, wen es gibt.

Zwar kann sich hier auch jeder ein Messer schnappen und jeden anderen umbringen, aber man weiß eben, wer für den Mord in Frage kam. Das bedeutet nicht, dass man den Täter wirklich erwischt, aber man kann ihn zumindest eingrenzen.

Netzwerk Level 1

Dies entspricht einem LAN, in dem jeder Teilnehmer bekannt ist, man also weiß, wer in welcher Dose steckt. So weiß man, wer kommuniziert, aber nicht mit wem.

Sicherheitslevel 2: Wen (oder mit wem)

In diesem Level wird nicht nur reglementiert, wer spricht, sondern mit wem man Kontakt haben darf.

Leben Level 2

Dies entspricht einer Security-Zone, in die man nur begleitet hineinkommt, und bei der man vorher festlegen muss, mit wem man sprechen will. Es wird aber nicht festgelegt, worüber man mit der Person spricht.

Ein Staat der das implementiert kenne ich nicht ;)

Technisch bedeutet das, wenn jemand ein Messer hat, kann er nur noch diejenigen erstechen, die er erreichen darf. Jeder der nicht auf dieser Erreichbarkeitsliste steht, kann nicht (also auch nicht durch einen Trick) erreicht werden. Orwells 1984 ist also nicht auf Level 2, da in dem Roman prinzipiell nicht eingeschränkt ist, wer mit wem kommuniziert.

Netzwerk Level 2

Dies entspricht einer einfachen Firewall, die bei jedem Paket überprüft, ob bestimmte Kriterien eingehalten werden. Die Firewall muss nicht strikt sein in dem Sinne, dass man nur mit einem einzigen Ziel reden darf, aber sie muss strikt genug sein, um das stark einzuschränken.

Wir haben 4 Parameter bei einer Netzwerkkommunikation, und eine Firewall muss, um diesen Level erreichen zu können, mindestens 3 der Parameter festlegen:

  • Quelle (Anschluss der sendenden Maschine), dieser Parameter ist immer fest in der Regel enthalten, da sich die Regel auf den Wer" bezieht.
  • Ziel (Anschuss der empfangenden Maschine). Dieser Parameter kann optional sein.
  • Applikation (oder Quellport), also welche Applikation spricht
  • Empfänger (oder Zielport), also welche Applikation empfängt
Nur einer der Parameter darf frei sein, sonst kann man das "mit Wem" nicht mehr klar definieren. Die Quelle ist ja immer bekannt, aber würden Applikation und Empfänger nicht festgelegt sein, kann man einen Proxy definieren (ähnlich I2P) mit dem man aus dem Käfig herauskommt. Ich muss also immer wissen, welche Applikation spricht oder mit welchem Empfänger ich spreche.

Dass ein Parameter frei sein darf ist ein Zugeständnis an die Natur des Internet. Ohne diesen Parameter frei zu lassen wäre z. B. eine DNS-Abfrage nicht mehr machbar, da man zwar mit den Root-Servern sprechen könnte, aber nicht mehr mit einem der beliebigen Autoritativen Nameserver.

Wäre außerdem der Quellport festgelegt, könnte man nur eine einzige TCP-Verbindung zu einem anderen Rechner schalten, was ebenfalls Unsinn wäre. Oder wäre der Zielport nicht frei, könnte man kein passives FTP möglich.

Wer denkt, dass eingehende Verbindungen durch diese Regel unmöglich werden, da ja Ziel und Empfänger undefiniert sind (eingehende IP und eingehender Port), der irrt. Beide sind VORHER bekannt, einfach dadurch, dass die Verbindung ja von außen aufgebaut wird. Die Firewall muss also "stateful" sein. Ist auch logisch, denn wenn die Firewall das Paket hereingelassen hat, dann wäre es ja Unsinn, den Rückweg zu blockieren, somit ist der Rückweg sogar vollständig bekannt, also alle 4 Parameter sind VORHER festgelegt.

Um diese Sorte Firewall zu implementieren ist es nicht notwendig, in die Pakete hineinzusehen. Die Firewall muss also nicht wissen, wie das PORT-Kommando vom FTP aussieht, die Verbindung kommt entweder herein auf Port 20 (FTP-DATA) oder sie geht von diesem Port heraus an die vorher bekannte Adresse (aber einen beliebigen Port).

Sicherheitslevel 3: Womit

Auf diesem Level wird ebenfalls überwacht, was man redet (aber nicht worüber oder zu welchem Thema).

Leben Level 3

Es handelt sich hierbei z. B. um die Festlegung einer Sprache, wie Englisch oder Deutsch. Mehr wird aber nicht festgelegt. Technisch bedeutet das, man muss die Kommunikation selber belauschen.

Selbst mit dem großen Lauschangriff würde man diesen Level nicht erreichen, außer man unterbindet die Kommuniation sofort (z. B. durch ausschalten eines Gesprächspartners) wenn man die gesprochene Sprache nicht versteht.

Auf die Messervariante ausgedehnt bedeutet das, man filzt den Besucher ob er nur einen Baseballschläger dabei hat. Damit ist ausgeschlossen, dass er z. B. ein Messer oder eine andere Waffe, Gift usw. dabei hat um den anderen zu ermorden. Man sichert sich auch dagegen ab, dass der Besucher sich hinterher kein Messer verschafft. Aber man schreitet nicht ein, wenn der Besucher dann nicht Baseball spielt, sondern den Besuchten dann mit dem Baseballschläger tötet.

Netzwerk Level 3

Zusätzlich zu jeder Kommunikationsregel wird das Protokoll festgelegt und überwacht. D. h. man weiß, dass es ein DNS-Paket ist wenn es zum DNS-Port geht. Aber man kontrolliert nicht, welche DNS-Abfragen geschehen. Auf HTTP bezogen kann also alles weiterhin übertragen werden, so lange es nur nach HTTP aussieht.

Dieser Ansatz entspricht einer Firewall mit IDS, die Pakete nur dann durchlässt, wenn diese dem Protokoll entsprechen.

Sicherheitslevel 4: Wie

In diesem Level wird nicht nur überwacht, was man redet, sondern ob man auch korrekt spricht. Somit ist sichergestellt, dass man auch wirklich über das richtige Thema redet.

Leben Level 4

Dieser Level verhindert, dass man z. B. behauptet, Latein zu sprechen, indem man an jedes deutsche Wort einfach ein "us" anhängt, so dass es nur wie Latein aussieht.

Dies entspricht z. B. einem mehrfach kontrollierten und zensierten Briefverkehr von Militärangehörigen, der ausschließen soll, dass sensitive Informationen mitgeteilt werden. So wird z. B. immer nur eine Kopie des Briefes zugestellt, das geschwärzte Original wird vernichtet, damit man nicht mit forensischer Untersuchung das geschwärzte wiederherstellen könnte.

Auf das vorherige Baseballschlägerbeispiel bezogen bedeutet das, man überwacht, dass mit dem Baseballschläger auch wirklich Baseball gespielt wird. Es wird aber nicht überwacht, ob der Besucher nicht doch den Besuchten mit dem Baseballschläger so hart am Kopf trifft dass dieser stirbt.

Netzwerk Level 4

Es ist sichergestellt, dass es sich beim DNS-Paket also um ein valides DNS-Paket handelt und nicht um etwas, das nur so aussieht.

Bei HTTP wird also z. B. überprüft, ob eine Seite wirklich HTML ist und ob ein gestarteter Download wirklich auf der Seite auftaucht. Eine Server der also nur so tut als würde er Daten bereithalten und in Wirklichkeit SSH tunnelt, wird so entlarvt, selbst wenn das SSH-Protokoll in korrekte HTTP Requests eingebettet wurde Was aber im Zweifelsfall heruntergeladen wird (z. B. ein Trojaner) wird auf diesem Level nicht überprüft.

Ab hier ist die Einordnung noch nicht richtig. Es kann sein, dass ich das noch umsortiere und es sich ändert, da ich vielleicht verwechselt habe, was worauf aufbaut.

Sicherheitslevel 5: Weshalb

Mittels der Festlegung, wie gesprochen wird, man also den Inhalt auch wirklich verstehen kann, kann man nun auch festlegen, weshalb gesprochen wird. Der Anlass aber legt dann den gesamten Gesprächsverlauf nicht wirklich fest. Andersherum (Weshalb vor Wie) festzulegen hätte auch wenig Sinn, da man nicht kontrollieren könnte, ob das Gespräch wirklich etwas mit dem Anlass zu tun hat, man könnte den Anlass also vorschieben.

Sicherheitslevel 6: Worüber

Um einschränken zu können, worüber man spricht, muss man wissen, weshalb überhaupt gesprochen wird, sonst könnte man die Einschränkung ja nicht vorher festlegen. Es ist sichergestellt, dass das Gespräch dann auch wirklich vollständig dem Anlass entspricht.

Sicherheitslevel 7: Wann

Um einschränken zu können, wann man miteinander sprechen darf, muss man zuerst wissen, worüber man spricht. Dann kann man auch zu jedem Thema vorher einschränken, wann dieses besprochen werden darf.

Auf diese Weise ist auch sichergestellt, dass ein fester Ablauf (also voneinander abhängige Gespräche) rechtzeitig möglich sind. So können Gespräche auch mit Voranmeldung geführt werden, die Voranmeldung selber ist z. B. nicht zeitlich eingeschränkt, aber bei der Voranmeldung kann, aufgrund Level 6, eben nur über die Voranmeldung gesprochen werden.

Wie lange ist übrigens nur eine abwandelung von Wann.

Sicherheitslevel 8: XXX

Ja, es gibt noch weitere Level, aber ich habe diese noch nicht fertig formuliert.