website-go/ Artikel "TCP/IP"

TCP/IP - das "Internet-Protokoll"

Inhaltsverzeichnis

1. Erläuterung
    1.1. Die 4 Schichten von TCP/IP
2. Risiken und Nebenwirkungen von TCP/IP
    2.1. Packet Sniffing (Paketschnüffeln)
   2.2.IP-Spoofing (IP-Vorgaukeln)
    2,3. DoS - Denial of Service (Dienstverweigerung)
    2.4. DDoS - Distributed Denial of Service (verteilete Dienstverweigerung)
3. Was tun?

1. Erläuterung

TCP/IP (eng. Transmission Control Protocol/ Internet Protocol = Übertragungskontrollprotokoll/ Internetprotokoll) ist eine Kombination der Protokolle TCP und IP, auf deren Zusammenwirken das Internet basiert. Da beide sich ergänzen, werden sie meist zusammen erwähnt.

Die Entwicklung von TCP/IP geht in die 70er Jahre zurück und hat ihren Ursprung im ARPANET (Advanced Research Projects Agency), welches im Auftrage des amerikanischen Verteidigungsministeriums entwickelt wurde. Die komerzielle Ausbreitung von TCP/IP wurde vor allem durch den Software-Hersteller Sun vorangetrieben.

Ziel war es, ein standarisiertes Werkzeug zu schaffen, das unabhängig von Hardware- und Netzwerkarchitektur die Kommunikation zwischen verschiedenen Computer-Systemen ermöglichte. Man definierte hierzu 4 Schichten, die bestimmte Aufgaben übernahmen. Dies trug der Tatsache Rechnung, dass bei der Kommunikation zwischen zwei Systemen zahlreiche Prozesse ablaufen, die in Aufgaben und Funktionen auf verschiedenen Schichten unterteilt sind.

1.1 Die 4 Schichten von TCP/IP

TCP/IP unterscheidet folgende Schichten:

Schicht #
Bezeichnung der Schicht
Zuordnungsbeispiele

1.
Verbindung
Hardware, Treiberprogramme

2.
Internet (IP)
IP, ICMP, IGMP

3.
Transport (TCP)
TCP, UDP

4.
Anwendung
DNS, Email, FTP, SMTP

Die Schichten bauen hierbei logisch aufeinander auf:

1. Die unterste Ebene von TCP/IP ist die Verbidungsschicht. Sie hat die Aufgabe, eine Verbindung zu etablieren und die anderen Schichten vom Datenverkehr in Kenntnis zu setzen.

2. Die Internetschicht ist für den Datentransfer der Datenpakete zuständig und bedient sich dafür des Internetprotokolls (IP).

3. Die dritte Im Bunde, die Transportschicht, kontrolliert den Datenfluss zwischen zwei Internetstationen und verwendet hierfür meist TCP, bzw. UDP. TCP stellt während der gesamten Verbindungsdauer eine Fehlerkorrektur/ Fehlererkennung zur Verfügung. TCP fragt beim angeschlossenen Host nach, ob dieser aufnahmebereit ist und sendet erst dann Datenpakete, wenn eine positive Antwort einläuft. Ist die vereinbarte Übertagung vollendet, verabschieden sich die beiden Partner voneinander. Die hierfür nötigen Informationen sind im Header (einer Art Briefkopf) vermerkt, der sich vor dem eigentlichn Datenpaket befindet. Das Verfahren wird als Handshake bezeichnet.

4. Die letzte Schicht von TCP/IP ist die Anwendungsschicht. Sie spezifiziert die Anwendungen (Programme), welche von der Transportschicht Gebrauch machen, um Daten zu versenden.

2. Risiken und Nebenwirkungen von TCP/IP

TCP/IP wurde entwickelt, um eine fehlerfreie Übermittlung von Daten übers Netz zu garantieren. Es bietet von sich aus keinen Schutz gegen eine wie auch immer geartete Manipulation von Daten. Mit anderen Worten: Jede TCP/IP-Verbindung zwischen zwei Computersystemen ist potentiell von außen angreifbar. Generell kann gesagt werden, dass kleine, private Netze/ Server oder gar ein einzelner PC wahrscheinlich kaum Angriff einer gezielten Attacke wird. Eher haben es Hacker auf interessantere Ziele abgesehen, also größere Firmennetze, bzw. Server großer Internet-Dienstanbieter. Private Computer sind zwar z.B. Portscans ausgesetzt (die meist von Script-Kids gemacht werden - so wie wir früher Straßenlaternen außer Funktion gesetzt haben; die Zeiten ändern sich) aber selten wirklich in Gefahr wertvoller Daten beraubt zu werden. Sicher kann man sich da allerdings nie sein!

Es gibt verschiedene Angriffstechniken, die sich auf das TCP/IP-Protokoll stützen. Dies sind u.a.:

1. Packet Sniffing (Paketschnüffeln)
2. IP-Spoofing (IP-Vorgaukeln)
3. DoS - Denial of Service (Dienstverweigerung)
4. DDoS - Distributed Denial of Service (verteilete Dienstverweigerung)

Alle diese Techniken nutzen den Umstand, dass TCP/IP im Header sicherheitsrelevante Informationen bereitstellt.

2.1. Packet Sniffing

Wie bereits erwähnt, verwendet TCP/IP für den Datentransfer Pakete. Zu Beginn eines jeden Paketes, im sogenannten Header, findet man die IP-Adresse des Absenders und des Empfängers. Mit dieser Nummer lässt sich jeder Rechner im Internet identifizieren. Die IP-Adresse kann mit rel. geringem Aufwand gefälscht und der Weg eines Datenpaketes umgelenkt werden. Möglich ist dies, weil die Wege im Internet nicht festgelegt sind, sonder über Relaisstationen (Router) laufen, die nicht alle als sicher gelten können. So lässt sich also ein Datentransfer ganz verhindern oder abbrechen.

2.2. IP-Spoofing

IP-Spoofing gehört zu der sogenannten "Maskeradetechnik", in der dem Angegriffenen eine falsche Identität vorgemacht wird. IP-Spoofing geht noch einen Schritt weiter als das Packet Sniffing, setzt aber ebenfalls am Header an. Ziel ist es, dem Host eine falsche Identität vorzugaukeln und so an vertrauenswürdige Informationen zu kommen. Miteinander kommunizierende Computer erkennen sich anhand der IP-Adresse, die ja im Header vermerkt ist. Gelingt nun das Fälschen der Absenderadresse, dann schickt der ahnungslose angesprochene Host seine TCP/IP-Pakete an den vermeintlich vertrauenswürdigen Computer. Das kann sogar trotz eingebauter Sicherheitsmechanismen, wie etwa SSL, funktionieren.

2.3. DoS - Denial of Service

Oben wurde der Aufbau die Funktionsweise der Kommunikation von TCP/IP erläutert. Eine DoS-Attacke nutzt das Kontrollsystem der Transportschicht aus. Der Client schickt eine Anfrage an den Server, welcher diese zu beantworten sucht. Bei einer normalen Verbindung geht das sehr schnell und die Daten können nach der erfolgten Rückantwort des Client gesendet werden. Nun hat aber der Client eine falsche IP-Adresse angegeben an die der Server seine Antwort schickt und natürlich umsonst auf die Rückantwort wartet. Um auch einer langsamen Verbindung, bzw. einem Datenverlusst vorzubeugen, wartet der Server eine Weile auf die Rückantwort. Da diese nicht erfolgt schickt er nochmals eine Antwort zum Client. Dies wiederholt sich einige Male, bis der Server den Vorgang abbricht. Schickt nun der "falsche" Client eine große Anzahl solcher Anfragen ist der Server mit dem Beantworten und Warten voll ausgelastet und für andere Clients nicht erreichbar, bzw. bricht gar ganz zusammen. Diese Sicherheitslücke kann kaum geschlossen werden, solange der Datenverkehr im Internet auf TCP/IP basiert.

2.4. DDoS - Distributed Denial of Service

Das Prinzip ist hier das gleiche wie bei der DoS-Attacke mit dem Unterschied, dass nicht ein Client sondern mehrere gleichzeitig Ihre "getürkten" Verbindungsanfragen an einen Server schicken. Der Angreifer muss also mehrere Clients gleichzeitig beauftragen eine Attacke auf einen Server zu führen. Er bedient sich dabei fremder Computer, indem er ein spezielles Programm (z.B. einen Trojaner) in möglichst viele Systeme einschleust. Die warten solange unbemerkt, bis sie durch einen Befehl aktiviert werden und alle gleichzeitig ihren Verbindungsanfragen auf den angzugreifenden Server konzentrieren. Der Effekt ist entsprechend verherender als bei einer DoS-Attacke.

3. Was tun?

Wie erwähnt: Ist die eigene IP-Adresse erst einmal einem potentiellen Angreifer bekannt, kann man gegen die oben erwähnten Angriffsmethoden nicht viel tun. Ein anderes Protokoll lässt sich nicht eben mal so installieren, da die Kommunikation des Internet nun mal primär auf TCP/IP aufbaut. Also gilt es, möglichst wenig aufzufallen - ein Widerspruch in sich, mag man denken, wollen doch gerade Firmen, die sich eine Internetpräsenz leisten genau das: auffallen! Großen Firmen, vor allem Internetdiestanbietern, dürfte es schwer fallen, nicht aufzufallen. Die können versuchen, durch das Bereitstellen einer großen Anzahl von Servern den Betrieb zu sichern. So kann ggf. eine DoS-Attacke abgefedert werden. Außerdem ist es möglich, das erneute Senden von Antworten auf eine Client-Anfrage auf ein Minimum zu reduzieren, um die Wartezeiten des Servers zu verringern. Allerdings kann dies "ehrliche" Clientanfragen, die über eine langsame Verbindung mit dem Server kommunizieren, verhindern. So oder so, der Schaden ist evident: entweder man verliert Kunden oder muss in teure Hardware investieren, um den Betrieb aufrecht zu erhalten.

Doch die breite Masse kann sich durchaus schützen, indem entsprechende Hardware, bzw. Software zwischen das Firmennetz/ den Heimcomputer und das Internet geschaltet werden. Die einfache Installation einer preiswerten (mitunter sogar kostenlosen) Firewall verbirgt den Computer mit Anbindung an das Internet vor Portscannern und erschwert zudem den unbefugten Zugang von außen, bzw. verhindert die Verbindung durch nicht autorisiertere Programme. Näheres dazu finden Sie in den Artikeln Netzsicherheit - Teil 1. und Netzsicherheit - Teil 2

zurück zur Startseite von website-go!