07.08.2008 | Autor / Redakteur: Dorian Deane und Benny Jones / Stephan Augsten
Verschlüsselt man Daten, so werden diese zwar geschützt, aber zugleich raubt man Netzwerk-basierenden IDS jede Kontrollmöglichkeit. Es gibt zwar keine einfache Lösung dieses Zwiespalts, aber bestimmte Maßnahmen können doch helfen.
Dass die Verschlüsselung gut für die allgemeine Sicherheit ist, stand bislang außer Frage. Schließlich kommen so Kriminelle nicht an vertrauliche Daten, nicht wahr? So wurde allzu voreilig der Einsatz von Verschlüsselung in allen Bereichen propagiert.
Doch leider raubt die allgegenwärtige Kryptographie die Sicht auf den Netzwerk-Traffic – und Administratoren müssen ihr Netzwerk überblicken, wenn sie es schützen wollen. IDS, IPS (Intrusion Detection bzw. Intrusion Prevention Systems), Sniffers und Netzwerk-Analyzer funktionieren nur, wenn sie verfolgen können, was im Netz vor sich geht. Doch in einem verschlüsselten Netz sind sie blind.
Schadet die Kryptographie also der Sicherheit? Sind IDS und IPS Auslaufmodelle? Keineswegs – doch der verfehlte Einsatz von Verschlüsselung kann gewaltige Probleme verursachen.
Wie kann sich ein Unternehmen vor Eindringlingen schützen, die rechtlichen Bestimmungen einhalten und gleichzeitig eine effektive IDS/IPS-Lösung im Einsatz haben?
Eine einfache Lösung gibt es nicht, es bleibt nur ein Balance-Akt. Die Bewertung der Optionen hängt davon ab, wie vertraulich die Daten im Netzwerk sind.
Finden sich die Daten etwa auf der öffentlichen Firmen-Website, dann müssen sie offensichtlich nicht geheim gehalten werden. Handelt es sich dagegen um unternehmenskritische Daten, dann ist die Vertraulichkeit von zentraler Bedeutung, und diese lässt sich praktisch nur durch Verschlüsselung garantieren.
Doch beschränken sich Sicherheitserwägungen selten auf den Gegensatz Verschlüsselung – Klartext. Falls die Daten verschlüsselt werden müssen und ein IDS schlichtweg unerlässlich ist, ließen sich mithilfe einer Bedrohungsanalyse Alternativen aufzeigen: Müssen wirklich alle Daten verschlüsselt werden oder nur bestimmte Felder? Soll die Verschlüsselung der Geheimhaltung, dem Schutz vor Injection-Angriffen oder beiden Zwecken dienen? Erschwert die Netzwerk-Verschlüsselung potenzielle Angriffe auf Anwendungsebene?
Je nach Bedrohungslage werden sich verschiedene Lösungen ergeben. So ist die Verschlüsselung ein probates Mittel gegen TCP/UDP-Injection- und Spoofing-Angriffe. Das blinde Spoofing einer Seite einer TCP-Sitzung ist sehr schwer; und wenn die Leitung verschlüsselt ist, dann ist ein solcher Angriff praktisch unmöglich. Doch gegen andere Angriffsformen hilft eine Verschlüsselung überhaupt nicht.
»1 »2 »3 »4 nächste Seite
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2014635)
