TCP/IP - das "Internet-Protokoll"
Inhaltsverzeichnis
1. Erläuterung
1.1. Die 4 Schichtenvon TCP/IP
2. Risiken und Nebenwirkungen von TCP/IP
2.1. Packet Sniffing (Paketschnüffeln)
2.2.IP-Spoofing (IP-Vorgaukeln)
2,3. DoS - Denial of Service (Dienstverweigerung)
2.4. DDoS - Distributed Denial of Service
(verteilete Dienstverweigerung)
3. Was tun?
1. Erläuterung
TCP/IP (eng. Transmission Control
Protocol/ Internet Protocol = Übertragungskontrollprotokoll/
Internetprotokoll) ist eine Kombination der Protokolle TCP und
IP, auf deren Zusammenwirken das Internet basiert. Da beide sich ergänzen,
werden sie meist zusammen erwähnt.
Die Entwicklung von TCP/IP geht in die 70er Jahre zurück und hat
ihren Ursprung im ARPANET (Advanced Research Projects Agency),
welches im Auftrage des amerikanischen Verteidigungsministeriums entwickelt
wurde. Die komerzielle Ausbreitung von TCP/IP wurde vor allem durch den
Software-Hersteller Sun vorangetrieben.
Ziel war es, ein standarisiertes Werkzeug zu schaffen, das unabhängig
von Hardware- und Netzwerkarchitektur die Kommunikation zwischen verschiedenen
Computer-Systemen ermöglichte. Man definierte hierzu 4 Schichten,
die bestimmte Aufgaben übernahmen. Dies trug der Tatsache Rechnung,
dass bei der Kommunikation zwischen zwei Systemen zahlreiche Prozesse
ablaufen, die in Aufgaben und Funktionen auf verschiedenen Schichten unterteilt
sind.
1.1 Die 4 Schichten von TCP/IP
TCP/IP unterscheidet folgende Schichten:
Schicht #
|
Bezeichnung der Schicht
|
Zuordnungsbeispiele
|
1.
|
Verbindung
|
Hardware, Treiberprogramme
|
2.
|
Internet (IP)
|
IP, ICMP, IGMP
|
3.
|
Transport (TCP)
|
TCP, UDP
|
4.
|
Anwendung
|
DNS, Email, FTP, SMTP
|
Die Schichten bauen hierbei logisch aufeinander auf:
1. Die unterste Ebene von TCP/IP ist die Verbidungsschicht.
Sie hat die Aufgabe, eine Verbindung zu etablieren und die
anderen Schichten vom Datenverkehr in Kenntnis zu setzen.
2. Die Internetschicht ist für den Datentransfer
der Datenpakete zuständig und bedient sich dafür des Internetprotokolls
(IP).
3. Die dritte Im Bunde, die Transportschicht, kontrolliert
den Datenfluss zwischen zwei Internetstationen und verwendet hierfür
meist TCP, bzw. UDP. TCP stellt während der gesamten Verbindungsdauer
eine Fehlerkorrektur/ Fehlererkennung zur Verfügung. TCP fragt beim
angeschlossenen Host nach, ob dieser aufnahmebereit ist und sendet erst
dann Datenpakete, wenn eine positive Antwort einläuft. Ist die vereinbarte
Übertagung vollendet, verabschieden sich die beiden Partner voneinander.
Die hierfür nötigen Informationen sind im Header (einer Art
Briefkopf) vermerkt, der sich vor dem eigentlichn Datenpaket befindet.
Das Verfahren wird als Handshake bezeichnet.
4. Die letzte Schicht von TCP/IP ist die Anwendungsschicht.
Sie spezifiziert die Anwendungen (Programme), welche von der Transportschicht
Gebrauch machen, um Daten zu versenden.
2. Risiken und Nebenwirkungen
von TCP/IP
TCP/IP wurde entwickelt, um eine fehlerfreie Übermittlung
von Daten übers Netz zu garantieren. Es bietet von sich aus keinen
Schutz gegen eine wie auch immer geartete Manipulation von Daten.
Mit anderen Worten: Jede TCP/IP-Verbindung zwischen zwei Computersystemen
ist potentiell von außen angreifbar. Generell kann gesagt werden,
dass kleine, private Netze/ Server oder gar ein einzelner PC wahrscheinlich
kaum Angriff einer gezielten Attacke wird. Eher haben es Hacker auf interessantere
Ziele abgesehen, also größere Firmennetze, bzw. Server großer
Internet-Dienstanbieter. Private Computer sind zwar z.B. Portscans ausgesetzt
(die meist von Script-Kids gemacht werden - so wie wir früher Straßenlaternen
außer Funktion gesetzt haben; die Zeiten ändern sich) aber
selten wirklich in Gefahr wertvoller Daten beraubt zu werden. Sicher kann
man sich da allerdings nie sein!
Es gibt verschiedene Angriffstechniken, die sich auf das TCP/IP-Protokoll
stützen. Dies sind u.a.:
1. Packet Sniffing (Paketschnüffeln)
2. IP-Spoofing (IP-Vorgaukeln)
3. DoS - Denial of Service (Dienstverweigerung)
4. DDoS - Distributed Denial of Service (verteilete
Dienstverweigerung)
Alle diese Techniken nutzen den Umstand, dass TCP/IP im Header sicherheitsrelevante
Informationen bereitstellt.
2.1. Packet Sniffing
Wie bereits erwähnt, verwendet TCP/IP für den Datentransfer
Pakete. Zu Beginn eines jeden Paketes, im sogenannten Header, findet man
die IP-Adresse des Absenders und des Empfängers. Mit dieser Nummer
lässt sich jeder Rechner im Internet identifizieren. Die IP-Adresse
kann mit rel. geringem Aufwand gefälscht und der Weg eines Datenpaketes
umgelenkt werden. Möglich ist dies, weil die Wege im Internet nicht
festgelegt sind, sonder über Relaisstationen (Router) laufen, die
nicht alle als sicher gelten können. So lässt sich also ein
Datentransfer ganz verhindern oder abbrechen.
2.2. IP-Spoofing
IP-Spoofing gehört zu der sogenannten "Maskeradetechnik", in
der dem Angegriffenen eine falsche Identität vorgemacht wird. IP-Spoofing
geht noch einen Schritt weiter als das Packet Sniffing, setzt aber ebenfalls
am Header an. Ziel ist es, dem Host eine falsche Identität vorzugaukeln
und so an vertrauenswürdige Informationen zu kommen. Miteinander
kommunizierende Computer erkennen sich anhand der IP-Adresse, die ja im
Header vermerkt ist. Gelingt nun das Fälschen der Absenderadresse,
dann schickt der ahnungslose angesprochene Host seine TCP/IP-Pakete an
den vermeintlich vertrauenswürdigen Computer. Das kann sogar trotz
eingebauter Sicherheitsmechanismen, wie etwa SSL, funktionieren.
2.3. DoS - Denial of Service
Oben wurde der Aufbau die Funktionsweise der Kommunikation von TCP/IP
erläutert. Eine DoS-Attacke nutzt das Kontrollsystem der Transportschicht
aus. Der Client schickt eine Anfrage an den Server, welcher diese zu beantworten
sucht. Bei einer normalen Verbindung geht das sehr schnell und die Daten
können nach der erfolgten Rückantwort des Client gesendet werden.
Nun hat aber der Client eine falsche IP-Adresse angegeben an die der Server
seine Antwort schickt und natürlich umsonst auf die Rückantwort
wartet. Um auch einer langsamen Verbindung, bzw. einem Datenverlusst vorzubeugen,
wartet der Server eine Weile auf die Rückantwort. Da diese nicht
erfolgt schickt er nochmals eine Antwort zum Client. Dies wiederholt sich
einige Male, bis der Server den Vorgang abbricht. Schickt nun der "falsche"
Client eine große Anzahl solcher Anfragen ist der Server mit dem
Beantworten und Warten voll ausgelastet und für andere Clients nicht
erreichbar, bzw. bricht gar ganz zusammen. Diese Sicherheitslücke
kann kaum geschlossen werden, solange der Datenverkehr im Internet auf
TCP/IP basiert.
2.4. DDoS - Distributed Denial of Service
Das Prinzip ist hier das gleiche wie bei der DoS-Attacke mit dem Unterschied,
dass nicht ein Client sondern mehrere gleichzeitig Ihre "getürkten"
Verbindungsanfragen an einen Server schicken. Der Angreifer muss also
mehrere Clients gleichzeitig beauftragen eine Attacke auf einen Server
zu führen. Er bedient sich dabei fremder Computer, indem er ein spezielles
Programm (z.B. einen Trojaner) in möglichst viele Systeme einschleust.
Die warten solange unbemerkt, bis sie durch einen Befehl aktiviert werden
und alle gleichzeitig ihren Verbindungsanfragen auf den angzugreifenden
Server konzentrieren. Der Effekt ist entsprechend verherender als bei
einer DoS-Attacke.
3. Was tun?
Wie erwähnt: Ist die eigene IP-Adresse erst einmal einem potentiellen
Angreifer bekannt, kann man gegen die oben erwähnten Angriffsmethoden
nicht viel tun. Ein anderes Protokoll lässt sich nicht eben mal so
installieren, da die Kommunikation des Internet nun mal primär auf
TCP/IP aufbaut. Also gilt es, möglichst wenig aufzufallen - ein Widerspruch
in sich, mag man denken, wollen doch gerade Firmen, die sich eine Internetpräsenz
leisten genau das: auffallen! Großen Firmen, vor allem Internetdiestanbietern,
dürfte es schwer fallen, nicht aufzufallen. Die können versuchen,
durch das Bereitstellen einer großen Anzahl von Servern den Betrieb
zu sichern. So kann ggf. eine DoS-Attacke abgefedert werden. Außerdem
ist es möglich, das erneute Senden von Antworten auf eine Client-Anfrage
auf ein Minimum zu reduzieren, um die Wartezeiten des Servers zu verringern.
Allerdings kann dies "ehrliche" Clientanfragen, die über eine langsame
Verbindung mit dem Server kommunizieren, verhindern. So oder so, der Schaden
ist evident: entweder man verliert Kunden oder muss in teure Hardware
investieren, um den Betrieb aufrecht zu erhalten.
Doch die breite Masse kann sich durchaus schützen, indem entsprechende
Hardware, bzw. Software zwischen das Firmennetz/ den Heimcomputer und
das Internet geschaltet werden. Die einfache Installation einer preiswerten
(mitunter sogar kostenlosen) Firewall verbirgt den Computer mit Anbindung
an das Internet vor Portscannern und erschwert zudem den unbefugten Zugang
von außen, bzw. verhindert die Verbindung durch nicht autorisiertere
Programme. Näheres dazu finden Sie in den Artikeln Netzsicherheit - Teil 1. und Netzsicherheit - Teil 2
|