Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)

BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

Vervielfltigung und Verbreitung Bitte beachten Sie, dass das Werk einschlielich aller eile urheberrechtlich gesch!tzt ist" #rlaubt ist die $erviel%&ltigung und $erbreitung zu nicht-ko''erziellen ()ecken, insbesondere zu ()ecken der Ausbildung, Schulung, In%or'ation oder hausinternen Bekannt'achung, so%ern sie unter *in)eis au% die ISi-+eihe des BSI als ,uelle er%olgt" -ies ist ein Werk der ISi-+eihe" #in vollst&ndiges $erzeichnis der erschienenen B&nde %indet 'an au% den Internet-Seiten des BSI" htt./00)))"bsi"bund"de oder htt./00)))"isi-reihe"de

Bundesa't %!r Sicherheit in der In%or'ationstechnik ISi-1ro2ektgru..e 1ost%ach 34 45 65 75855 Bonn el" 9:; (4) 33< ;; ;7<3-4 #-=ail/ isi>bsi"bund"de Internet/ htt./00)))"bsi"bund"de ? Bundesa't %!r Sicherheit in der In%or'ationstechnik 344@
2 Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

Inhaltsverzeichnis
8 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet"""""""""""""""""""""""""""""""""""""""""""""7
8"8 =anage'ent Su''arA""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7 8"3 #in%!hrung und Bberblick"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6
8"3"8 An)endungsszenarien %!r internet%&hige lokale Netze""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6 8"3"3 Crundlagen des sicheren Netzbetriebs"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@

8"5 Wesentliche #rgebnisse der Ce%&hrdungsanalAse""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""; 8": Wesentliche #'.%ehlungen"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""88 8"7 Dazit"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""87

3 Clossar"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""86 5 Stich)ort- und Abk!rzungsverzeichnis""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""35

Bundesamt f r Sicherheit in der Informationstechnik

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

"

Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet

-ie Nutzung des Internets erE%%net =Eglichkeiten, die heute in $er)altung und Wirtscha%t %ast schon unentbehrlich ge)orden sind" Allerdings birgt das Internet %!r die angeschlossenen I -SAste'e und die davon abh&ngigen In%or'ationsverarbeitungs.rozesse auch erhebliche Ce%ahren" -as =odul ISi-LANA ver'ittelt die grundlegenden Sicherheitse'.%ehlungen zu den Basistechniken, die %!r den Betrieb eines internet%&higen lokalen Netzes benEtigt )erden" -er vorliegende ISi-L basiert vorrangig au% der erstellten BSI-Studie/ FSichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)G"

1.1

Management Summar

Sollen in eine' lokalen Netz (LAN) Web, #-=ail oder andere Internet--ienste nicht nur intern genutzt )erden, so 'uss dieses lokale Netz an ein nicht vertrauens)!rdiges Netz (z" B" Internet) angeschlossen )erden" =it diese' Schritt setzt der Betreiber eines LANs sein bislang geschlossenes Netz 2edoch erheblichen zus&tzlichen Ce%&hrdungen aus, noch bevor er die erste An)endung auch nur installiert h&tte" Angrei%er aus de' Internet kEnnen Sch)achstellen der grundlegenden Internet1rotokolle, --ienste und -Ho'.onenten ausnutzen und so -atenverkehr abhEren (FSni%%ingG), SAste'e 'it ge%&lschten Absenderangaben zu uner)!nschte' $erhalten bringen (FS.oo%ingG) oder ein%ach in das interne Netz eindringen (F*ackingG)" -ie vorliegende ISi-LANA-Studie gibt #'.%ehlungen, )ie diesen Ce%ahren bei nor'ale' Schutzbedar% durch eine robuste Crundarchitektur, eine geeignete Cer&teaus)ahl, sichere Hon%igurationseinstellungen und einen kontrollierten Betrieb zu begegnen ist" #s )erden zude' $arianten %!r den hohen Schutzbedar% au%gezeigt" Sie bietet de' An)ender da'it Interst!tzung in der Honze.tions.hase des in JISi-#K vorgeschlagenen Ablau%.lans und hil%t ih', den Netzau%bau, die Ho'.onenten-Bescha%%ung so)ie die +ealisierung und den Betrieb des Netzes zu konzi.ieren" -ie Studie behandelt vorneh'lich die drei unteren Schichten des L10I1-+e%erenz'odells/ Netzzugangsschicht, Internet-Schicht und rans.ortschicht" -ie s.ezi%ischen As.ekte der einzelnen -ienste und An)endungen )erden in anderen eilen der ISi-+eihe behandelt" I' =ittel.unkt der Studie steht der $orschlag einer Crundarchitektur %!r nor'alen Schutzbedar%, die so)ohl das sichere Nutzen als auch das sichere Anbieten von -iensten i' Internet ber!cksichtigt" -iese Crundarchitektur ist in vier (onen untergliedert"
M

-ie erste (one u'%asst das interne Netz" Sie enth&lt alle Llient-SAste'e so)ie alle In%rastrukturund An)endungs-Server, die %!r den autono'en, lokalen LAN-Betrieb benEtigt )erden" In der z)eiten (one be%indet sich das dreistu%ige Sicherheits-Cate)aA, das aus eine' &ueren 1aket%ilter, eine' A..lication-Level Cate)aA in der =itte und eine' inneren 1aket%ilter besteht" -ieser Au%bau sch!tzt das LAN vor Angri%%en aus de' Internet" -es Weiteren sind hier die er%orderlichen Server zu' Anbieten von -iensten i' Internet untergebracht, )elche )iederu' durch 1aket%ilter abgesichert )erden, sich also in sogenannten -e'ilitarisierten (onen be%inden" -ie dritte (one u'%asst die Ho'.onenten zur Internet-Anbindung" Sie enth&lt i' ein%achsten Dall einen einzelnen +outer, der 'it de' Netz eines Internet--iensteanbieters verbunden ist" Bei hEheren An%orderungen an die $er%!gbarkeit 'uss die Anbindung redundant ausgelegt )erden"

Bundesamt f r Sicherheit in der Informationstechnik

ISi-Reihe
M

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

In der =anage'ent-(one )erden alle =anage'ent--aten zentral gesa''elt und verarbeitet" *ier ist auch der zentrale (eitserver untergebracht, 'it de' s&'tliche SAste'uhren i' Netz sAnchronisiert )erden"

Neben einer sicheren Honze.tion ist die Bescha%%ung und Hon%iguration der ver)endeten Ho'.onenten von besonderer Wichtigkeit" In der Studie (ISi-S) FSichere Anbindung von lokalen Netzen an das InternetG )erden dazu u'%assende #'.%ehlungen gegeben" So sollten zu' Beis.iel alle Ho'.onenten !ber se.arate =anage'ent-Schnittstellen ver%!gen oder zu'indest !ber verschl!sselte 1rotokolle ad'inistrierbar sein" Wichtig ist auch, dass die 1aket%ilter ko'.leNe +egel)erke an)enden kEnnen, u' den 'Eglichen -atenverkehr best'Eglich einzuschr&nken, so)ie dass das A..lication-Level Cate)aA nur -aten .assieren l&sst, die es auch au% An)endungsschicht untersuchen kann" I' den Bed!r%nissen 'Eglichst viel%&ltiger #insatzszenarien gerecht zu )erden, ist das LEsungskonze.t %leNibel an.assbar an die CrEe und Ho'.leNit&t der LAN-In%rastruktur, an die Anzahl und Art der zu unterst!tzenden -ienste so)ie an den individuellen Schutzbedar% der -aten und An)endungen in den unterschiedlichen Sicherheitszonen" -azu enth&lt ISi-LANA neben der Crundarchitektur %!r nor'alen Schutzbedar% verschiedene Architektur- und Hon%igurationsvarianten/ einerseits $arianten %!r kleine, unkritische I -In%rastrukturen, die sich 'it reduzierte' Au%)and realisieren lassen, und andererseits $arianten, die durch erg&nzende =anah'en oder 'odulare #r)eiterungen auch hohe' Schutzbedar% gerecht )erden"

1.!

"inf#hrung und $berblick

-as Internet hat seinen Irs.rung in eine' !berschaubaren, )eitgehend geschlossenen Netz, das an%angs nur einige )enige Dorschungseinrichtungen 'iteinander verband" In seinen An%&ngen konnten die angeschlossenen eilneh'er einander i' Wesentlichen vertrauen" (iel der #nt)icklung )ar ein aus%allsicheres Netz" Bei der Honze.tion der Internet-Basistechniken s.ielten andere Sicherheitsas.ekte, )ie $ertraulichkeit und Integrit&t, hingegen nur eine untergeordnete +olle" -urch die O%%nung des Netzes, seine erdu's.annende geogra%ische Aus)eitung und seine enor' gestiegene )irtscha%tliche Bedeutung hat sich die Bedrohungslage 2edoch grundlegend ge&ndert" #inerseits sind die Internet-Nutzer in zuneh'ende' =ae von der $er%!gbarkeit der Internet-Nutzung abh&ngig, andererseits sehen sie sich durch den Anschluss an das Internet stetig )achsenden Bedrohungen ausgesetzt"

1.!.1

An%endungsszenarien f#r internetfhige lokale Netze

Angesichts der Bedrohung kann 'an 'it +echt %ragen, )aru' sich der Betreiber eines lokalen Netzes (Local Area Net)ork, LAN) !berhau.t au% eine Anbindung an das Internet einlassen sollte" (u den )ichtigsten An)endungen, die das Internet er'Eglicht, z&hlen/
M

Bereitstellung eines ortsunabh&ngigen (ugangs %!r Auendienst'itarbeiter (+e'ote Access) -as Internet bietet ein eng'aschiges Netz von (ugangs.unkten, die es )elt)eit er'Eglichen, 'it geringe' technischen Au%)and und zu 'oderaten Hosten eine leistungs%&hige -aten- oder S.rachverbindung zu unterschiedlichsten -iensten a' *ei'atstandort au%zuneh'en" Standort-!bergrei%ende LAN-Ho..lung ($irtuelles 1rivates Netz, $1N) -as Internet er'Eglicht es, geogra%isch getrennte LAN-Seg'ente zu eine' logischen Netz zusa''enzuschlieen, ohne dass da%!r eigene $erbindungsleitungen geschaltet )erden '!ssen" -urch die ge'einscha%tliche Nutzung der .aketver'ittelnden I1-In%rastruktur sind solche $erBundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

bindungen - verglichen 'it klassischen, leitungsver'ittelnden Netzen )ie et)a de' IS-N - au%grund der guten Auslastung des Netzes besonders .reis)ert realisierbar"
M

(ugri%% au% die globalen -atenbest&nde des Internets (World Wide Web, WWW) -as Internet ist i' Begri%%, herkE''liche Nachschlage)erke als bevorzugte WissensPuelle abzulEsen" -ie Such'aschinen des WWW lie%ern einen schnellen und bePue'en (ugri%% au% unterschiedlichste In%or'ationen und -ienste" eilhabe an elektronischer Horres.ondenz (#-=ail) In Wirtscha%t, $er)altung und Dorschung er)eist sich #-=ail gegen!ber der Brie%-Horres.ondenz als bevorzugtes Ho''unikations'ittel" #-=ail ist schneller, )eniger %Er'lich und in der Lage, 'ulti'ediale Inhalte direkt von +echner zu +echner zu trans%erieren" -atenaustausch 'it Cesch&%ts.artnern und BehErden -as Internet er'Eglicht die Scha%%ung von Ad-hoc-$erbindungen z)ischen beliebigen eilneh'ern" -abei bilden die 1rotokolle der L10I1-Da'ilie die )elt)eite Crundlage der Lo'.uterNetze" Sie er'Eglichen einen universellen, 'edienbruch%reien -atenaustausch z)ischen unterschiedlichsten Internet- eilneh'ern"

All diese An)endungs'Eglichkeiten 'achen deutlich, )ie sehr das Internet inz)ischen die Cesch&%tsabl&u%e durchdrungen hat" #s ist daher in vielen Bereichen selbstverst&ndlich ge)orden, die lokale I -In%rastruktur zu' Internet hin zu E%%nen"

1.!.!

&rundlagen des sicheren Netzbetriebs

Bis heute beruht der -atenaustausch i' Internet ganz )esentlich au% den Ho''unikations.rotokollen und -iensten der An%angszeit" -eren Sicherheitseigenscha%ten sind 2edoch %!r die heutige Bedrohungslage nicht 'ehr ausreichend/ -er sichere Betrieb eines lokalen Netzes 'it Anschluss an das Internet er%ordert z)ingend erg&nzende technische und organisatorische $orkehrungen" &rundlegende Netz'rotokolle 1raktisch alle Internet-Ho''unikation baut au% de' Internet-1rotokoll I1 au%" -ieses stellt nur =echanis'en zur Adressierung (I1-Adressen) und grundlegende =echanis'en zur Steuerung der 1aketver'ittlung bereit" Au% I1 bauen die 1rotokolle L1 ( rans'ission Lontrol 1rotocol) und I-1 (Iser -atagra' 1rotocol) au%, die ihrerseits Crundlage %!r die diversen 1rotokolle )ie * 1 oder S= 1 sind, die von den verschiedenen An)endungen genutzt )erden" -ie Bedeutung der I1-1rotokoll%a'ilie reicht aber )eit !ber die Bbertragung von -ateien z)ischen +echnern hinaus/ auch S.rache (z" B" Internet- ele%onie) und 'ulti'ediale Inhalte (z" B" Internet- $) )erden in zuneh'ende' =ae !ber eine einheitliche I1-In%rastruktur !bertragen" #in )eiteres grundlegendes 1rotokoll ist das Internet Lontrol =essage 1rotocol IL=1, das Dunktionen zur Steuerung des -aten%lusses zur $er%!gung stellt" Beis.iels)eise kann 'ittels IL=1 ge.r!%t )erden, ob ein anderer +echner i' Netz erreichbar ist (1ing) oder !ber )elche ()ischenstationen die 1akete zu eine' anderen +echner )eitergeleitet )erden" -ie er)&hnten grundlegenden 1rotokolle bieten keine Dunktionen, u' die $ertraulichkeit und Integrit&t der !bertragenen -aten zu ge)&hrleisten" Solche Dunktionen '!ssen des)egen von den 2e)eiligen An)endungen in ihren eigenen 1rotokollen i'.le'entiert )erden" Als Nach%olger der derzeit noch a' verbreitetsten eingesetzten I1 $ersion : ist bereits seit l&ngere' die 1rotokollversion 6 (I1v6) ver%!gbar" I1v6 stellt i' Cegensatz zur $org&ngerversion =echanis'en zur Authentisierung und $erschl!sselung bereit, 'it denen die Sicherheit der -atenBundesamt f r Sicherheit in der Informationstechnik %

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

!bertragung einheitlich au% der Netzschicht verbessert )erden kann" -ie $erbreitung von I1v6 )&chst 2edoch nur langsa'" &rundlegende (ienste Neben den 1rotokollen gibt es %unda'entale -ienste, die %!r den Betrieb von I1-Netzen unabdingbar sind" #iner der )ichtigsten -ienste ist das -o'ain Na'e SAste' (-NS)" #r sorgt %!r die I'setzung al.hanu'erischer Na'en in die ents.rechenden I1-Adressen" -er -ienst -NS bildet einen hierarchischen Na'ensrau', der von -NS-Servern ver)altet )ird" -er Na'ensrau' ist in (onen au%geteilt" Qede (one bildet einen unabh&ngigen Ad'inistrationsbereich 'it eine' verant)ortlichen Na'e Server (-NS 1ri'arA)" -er verant)ortliche -NS 1ri'arA gibt an nachgeordnete Server -NS-In%or'ationen 'it beschr&nkter C!ltigkeitsdauer ( i'e to Live, L) )eiter" -iese hierarchisch gesta%%elten Server .u%%ern -NS--atens&tze" Hann ein Server die An%rage eines Llients nicht lokal au%lEsen, leitet er die An%rage an !bergeordnete -NS-Server )eiter" -as -NS-1rotokoll ist ungesichert" -NS-In%or'ationen )erden o%%en !bertragen und kEnnen von daher genutzt )erden, u' z" B" den Ho''unikationsau%bau zu stEren" #s eNistieren bereits $orschl&ge %!r eine krA.togra%ische Sicherung der -NS-Ho''unikation" *ier ist besonders -NS-SecuritA #Ntensions (-NSS#L) zu er)&hnen" I' den -atenaustausch z)ischen verschiedenen +outern zu ge)&hrleisten 'uss der Weg, den ein -aten.aket von der ,uelle bis zu' (iel neh'en soll, %estgelegt )erden" -as bezeichnet 'an als F+outingG" I' Internet ist der de-%acto-Standard %!r das +outing z)ischen verschiedenen I1-Netzen das BC1-1rotokoll" -as Border Cate)aA 1rotocol $ersion : (BC1v:) dient de' Austausch von In%or'ationen !ber die #rreichbarkeit von I1-Netzen und Autono'en SAste'en" -ies er'Eglicht unter andere' die +ekonstruktion der $erbindungsto.ologie der Autono'en SAste'e, die #li'inierung zAklischer +outen, das Aggregieren von +outen so)ie die -urchsetzung s.ezi%ischer +outingStrategien %!r ein Autono'es SAste'" +outer und S)itches '!ssen auch ad'inistriert und !ber)acht )erden" -a%!r gibt es verschiedene 1rotokolle )ie elnet und SN=1 (Si'.le Net)ork =anage'ent 1rotocol), die 2edoch nur teil)eise =echanis'en zur sicheren Authentisierung bereitstellen" Auch hier gibt es inz)ischen Alternativen, die $erschl!sselung und eine bessere Authentisierung bieten, z" B" SN=1v5, SS* (Secure Shell), SD 1 (SS* Dile rans%er 1rotocol)" #in )eiterer grundlegender -ienst i' Netz ist das Net)ork i'e 1rotocol (N 1)" -ieses 1rotokoll dient der SAnchronisation von +echnern in I1-Netzen" -as 1rotokoll basiert au% einer *ierarchie von (eitservernR die ranghEchsten Server nutzen in der +egel eine hochgenaue eNterne (eitPuelle (z" B" -LD@@)" N 1-Llients .assen ihre lokale Ihr in 1hase und DrePuenz an die SAnchronisationssignale des Servers an" &rundlegende LAN)*echnologien I' Bereich der lokalen Netze ist #thernet die vorherrschende echnologie, die konkurrierende Bbertragungstechniken (z" B" D--I, A =, oken +ing) )eitgehend verdr&ngt hat" Nach de' urs.r!nglichen Dunktions.rinzi. von #thernet senden eilneh'er ihre -aten.akete !ber ein ge'einsa'es Bus'ediu'" -er Bus bildet eine sogenannte Hollisionsdo'&ne, denn gleichzeitiges Senden 'ehrerer Busteilneh'er verursacht Signal!berlagerungen (FHollisionenG)" Solche Hollisionen )erden in Hau% geno''en" Nachteil ist, dass alle Nachrichten innerhalb sogenannter Hollisionsdo'&nen von 2eder'ann u" a" 'it.rotokolliert )erden kEnnen" -urch den #insatz 'oderner Netzko..elele'ente und einer geeigneten LAN-Architektur kEnnen diese Sch)&chen deutlich ge'ildert )erden" Sogenannte S)itched #thernet er'Eglichen gegen!ber klassischen Bus-Netzen
& Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

eine )esentlich bessere Hontrolle der Netzzug&nge und der logischen Netzseg'entierung" -ies bietet eine Crundlage %!r den sicheren Netzbetrieb, die sich au% der #bene der Internet-Schicht durch .hAsische Seg'entierung des LANs in 'ehrere eilnetze )eiter ausbauen l&sst" All diese =anah'en reduzieren die Angri%%s%l&che des Netzes, sie begrenzen zude' i' Dalle eines gegl!ckten Angri%%s zu'indest das Aus'a des eintretenden Schadens" +asis f#r sichere I*)An%endungen -ie Crundlage %!r den sichere Betrieb eines lokalen Netzes 'it Anschluss an das Internet bildet eine zuverl&ssige Basistechnik" -a die grundlegenden Internet- und LAN- echnologien aber nicht von sich aus !ber ausreichende Sicherungs'echanis'en ver%!gen, '!ssen lokale Netze von Crund au% s.eziell %!r einen sicheren Betrieb i' Internet ausgelegt )erden, )as die Aus)ahl, Anordnung und Hon%iguration ihrer I -Ho'.onenten betri%%t" #rst durch Absicherung der unteren drei Schichten des L10I1-+e%erenz'odells kEnnen Schutz'echanis'en au% An)endungsebene nicht dadurch u'gangen )erden, inde' der Angrei%er Sch)achstellen der tie%er liegenden 1rotokollschichten ausnutzt"

1.,

-esentliche "rgebnisse der &efhrdungsanal se

-ie i' Internet gebr&uchlichen Basistechniken sind %!r verschiedene grundlegende Bedrohungen e'.%&nglich/ Sni%%ing, S.oo%ing, *acking und -enial o% Service" Sniffing .+edrohung der Vertraulichkeit/ Sni%%ing (englisch %!r Fschn!%%elnG) bezeichnet echniken, u' den -atenverkehr eines Lo'.uterNetzes unautorisiert auszus.&hen und sich unrecht'&ig (ugri%% au% vertrauliche In%or'ationen zu verscha%%en" Sni%%ing bedroht die $ertraulichkeit der In%or'ationsverarbeitung" #s kann auch der In%or'ationsbescha%%ung %!r )eitergehende Angri%%e dienen, et)a zu' Auss.&hen von 1ass)Ertern" #in tA.isches Beis.iel %!r eine Sni%%ing-Attacke ist das sogenannte =AL Dlooding" Bei diese' Angri%% !berh&u%t der Angrei%er einen S)itch 'it i''er neuen =AL-Adressen, bis schlielich dessen Adresstabelle !berl&u%t und der S)itch in einen Notbetrieb-=odus (Dailo.en =ode) )echselt" In dieser Betriebsart sendet er alle eintre%%enden Nachrichten an alle angeschlossenen eilneh'er-Anschl!sse, da %!r eine genaue (uordnung von Adresse zu Anschluss der S.eicher.latz nicht ausreicht" -er Angrei%er kann also an seine' Anschluss s&'tlichen -atenverkehr 'itlesen, der !ber diesen S)itch l&u%t" -ie ele'entare Schutz'anah'e gegen alle Arten von Sni%%ing-Angri%%en ist die $erschl!sselung aller sicherheitsrelevanten 1rotokolle und An)endungsdaten" -ie grundlegenden Internet-1rotokolle (z" B" I1v:, I-1, L1, IL=1) und Basisdienste (z" B" -NS, elnet, D 1) senden die !bertragenen -aten 2edoch unverschl!sselt" Neue 1rotokollversionen, )ie et)a I1v6 und SN=1v5, bieten inz)ischen verschl!sselte Ho''unikation" Sie setzen sich aber nur all'&hlich gegen etablierte, unsichere 1rotokoll-$arianten durch" Noch i''er 'angelt es auch an )eithin ver%!gbaren 1ublic-HeA-In%rastrukturen, die es den Internet-Nutzern in bePue'er Weise er'Eglichen )!rden, verschl!sselte $erbindungen 'it beliebigen Ho''unikations.artnern au%zubauen" -aher bleibt Sni%%ing au% absehbare (eit eine ernste Bedrohung %!r die Internet-Sicherheit"

Bundesamt f r Sicherheit in der Informationstechnik

'

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

S'oofing .+edrohung der Integritt0Authentizitt/ S.oo%ing (englisch %!r F'ani.ulierenS, FverschleiernS, Fvort&uschenS) nennt 'an in der In%or'ationstechnik verschiedene &uschungsversuche zur $erschleierung der eigenen Identit&t und zu' D&lschen !bertragener -aten" -as (iel besteht darin, die Integrit&t und Authentizit&t der In%or'ationsverarbeitung zu untergraben" =AL S.oo%ing und A+1 S.oo%ing sind tA.ische Angri%%svarianten" *ierbei versucht der Angrei%er, die (uordnung z)ischen (ugangs-1ort a' S)itch und =AL-Adresse beziehungs)eise z)ischen I1-Adresse und =AL-Adresse so zu 'ani.ulieren, dass er 'it seine' +echner die Identit&t eines %re'den #ndger&ts i' Netz anneh'en kann" -ie Dolge ist, dass der eigentlich %!r ein %re'des #ndger&t besti''te -atenverkehr au% den +echner des Angrei%ers u'geleitet )ird" #benso er'Eglicht ein solcher Angri%%, beliebige -aten unter einer %re'den Identit&t zu verbreiten" #in &hnlicher Angri%% ist auch au% An)endungsebene 'Eglich" Bei' sogenannten -NS S.oo%ing 'ani.uliert der Angrei%er die (uordnung z)ischen -o'ain-Na'en und I1-Adressen, zu' Beis.iel in de' Bestreben, seinen Angri%%srechner als ein 1ortal %!r Tnline-Banking auszugeben" Celingt der Angri%%, so kann der Angrei%er Bank- ransaktionen entgegenneh'en, die darin enthaltenen (ugangs-1ass)Erter, 1INs und ANs auss.&hen und versuchen, 'it diesen In%or'ationen %re'de Honten zu .l!ndern" -ie grundlegende =anah'e gegen S.oo%ing-Angri%%e besteht in der $er)endung integrit&tsgesicherter 1rotokolle und in der Authentisierung von Benutzern, -iensten und *ard)are-Ho'.onenten" -erzeit identi%izieren sich die Ho''unikations.artner bei den grundlegenden Internet-1rotokollen 'eist nur anhand ihrer Cer&te- oder I1-Adressen" -iese Angaben sind 2edoch leicht %&lschbar und daher %!r eine sichere Authentisierung ungeeignet" #rst der #insatz starker HrA.togra%ie er'Eglicht in eine' o%%enen Netz den verl&sslichen Nach)eis der Irheberscha%t und der Inversehrtheit e'.%angener -aten" Neuere 1rotokoll-$ersionen ver%!gen zuneh'end !ber krA.togra%ische 1r!%codes" Allerdings ver)enden viele Cer&te in der Standardeinstellung noch die unsicheren &lteren 1rotokoll-$ersionen bei der ersten Inbetriebnah'e" 1acking .+edrohung durch "indringen/ *acking bezeichnet i' HonteNt von In%or'ationssicherheit Angri%%e, die darau% abzielen, vorhandene Sicherheits'echanis'en zu !ber)inden, u' in ein I -SAste' einzudringen, seine Sch)&chen o%%en zu legen und es gegebenen%alls zu !berneh'en" *acking bedroht die SAste'hoheit des Netzbetreibers" -ie grundlegende =anah'e gegen *acking besteht darin, die Angri%%s%l&che zu 'ini'ieren" Was aber genau die FAngri%%s%l&cheG eines I -SAste's aus'acht, ist i' #inzelnen sch)er vorhersehbar, da sich Angrei%er 2ed)ede Sch)achstelle in o%t !berraschender Weise zunutze 'achen kEnnen" Als vorbeugende =anah'e e'.%iehlt sich in 2ede' Dall eine .hAsische Seg'entierung der I -In%rastruktur, die Dilterung der -aten.akete an eine' 'ehrstu%igen Sicherheits-Cate)aA so)ie eine strenge (ugri%%skontrolle" Wichtig ist auch der Schutz des lokalen Netzes gegen Innent&ter/ Sollte es eine' Angrei%er tats&chlich gelingen, in das lokale Netz einzudringen und dort einen +echner zu unter)andern, so begrenzt ein solcher Schutz den Aktionsradius des Angrei%ers" Sni%%ing und S.oo%ing (z" B" das AbhEren oder #rschleichen von 1ass)Ertern) sind h&u%ig genutzte echniken zur $orbereitung und -urch%!hrung ko'.leNer *acking-Angri%%e" -a die gel&u%igen 1rotokolle und -ienste i' Internet de' Auss.&hen und &uschen nur )enig Widerstand entgegensetzen, bieten sie ohne zus&tzliche Sicherheitsvorkehrungen auch nur geringen Schutz vor eine' #indringling"
() Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

(enial of Service .+edrohung der Verf#gbarkeit/ -enial o% Service (-oS) bezeichnet einen (ustand, in de' ein SAste' den -ienst ver)eigert, also nicht 'ehr ver%!gbar ist" -oS-Angri%% ist der Sa''elbegri%% %!r Angri%%e, die darau% abzielen, die $er%!gbarkeit von SAste'en be)usst zu sch&digen" -ies kann durch 'ut)illig erzeugte +echen-, S.eicher- oder Ho''unikationslasten erreicht )erden oder, inde' Sch)achstellen in So%t)are oder *ard)are genutzt )erden, u' einen +echner gezielt zu' Absturz zu bringen" I' ents.rechende Lasten zu generieren, gehen solche Angri%%e 'eist %erngesteuert und koordiniert von einer sehr groen (ahl von Angri%%srechnern ausR 'an s.richt in diese' Dalle von verteilten -oS-Angri%%en (-istributed -oS, --oS)" #ine tA.ische Angri%%sstrategie besteht darin, 'ittels eines Broadcasts eine ganze La)ine von Ant)ort-Nachrichten auszulEsen, die die $erarbeitungska.azit&ten des #'.%&ngers !bersteigen" Bei' sogenannten S'ur% Attack sendet der Angrei%er zu' Beis.iel eine IL=1-An%rage unter der ge%&lschten Absender-Adresse seines T.%ers als Broadcast an viele +echner" Alle #'.%&nger er)idern den Broadcast 'it einer IL=1-Ant)ort, und die geballte =enge der zeitgleichen Ant)orten z)ingt den T.%errechner in die Hnie" In &hnlicher Weise kann ein -NS-Server dazu gebracht )erden, eine Haskade rekursiver -NS-An%ragen auszulEsen, u' die Na'ensau%lEsung i' Internet gezielt zu beeintr&chtigen (-NS A'.li%ication Attack)" -ie Dunktions)eise des Internets beg!nstigt solche Bberlastungsangri%%e/ -as Internet basiert au% der 1aketver'ittlung" -aten.akete verschiedener Ho''unikationsverbindungen teilen sich die einzelnen Abschnitte der Bbertragungsstrecken" Anders als in eine' klassischen, leitungsver'ittelnden Netz )ie et)a de' ele%onnetz, bei de' %!r 2ede $erbindung dauerha%t ein eNklusiv genutzter Ho''unikationskanal 'it %ester Bandbreite reserviert )ird, haben bEs)illige Sender es daher relativ leicht, Bbertragungseinrichtungen oder Internet- eilneh'er gezielt 'it uner)!nschten -aten.aketen zu !berlasten" #in Schutz gegen -oS-Angri%%e ist i' Internet nur bedingt 'Eglich" -ie grundlegende =anah'e gegen 'ut)illige SAste'abst!rze besteht darin, das SAste' in einer =ini'alkon%iguration 'it 'Eglichst geringer Angri%%s%l&che zu betreiben und die aktuellen Horrekturen (1atches) der SAste'hersteller unverz!glich einzus.ielen, u' bekannt ge)ordene Sch)achstellen zu eli'inieren" -en )ichtigsten Schutz gegen Bberlastungsversuche bieten ausreichende Leistungsreserven, u' einer Attacke so lange zu )iderstehen, bis die ,uelle des Angri%%s au% andere' Wege unsch&dlich ge'acht )erden kann" -urch gezieltes Bandbreiten-=anage'ent lassen sich die ver%!gbaren Bbertragungska.azit&ten so au%teilen, dass den )ichtigsten -iensten i''er eine de%inierte =indestbandbreite zur $er%!gung steht, die ihnen nicht von niedriger .riorisierten An)endungen streitig ge'acht )erden kann"

1.2

-esentliche "m'fehlungen

-en #'.%ehlungen %!r den Au%bau, die Hon%iguration und den Betrieb eines internet%&higen lokalen Netzes liegen %olgende Crund.rinzi.ien zugrunde/
M

Funktionstrennung: Inabh&ngige Dunktionen sollten getrennt voneinander realisiert )erden (F#in Server U ein -ienstVG)" -ies gilt insbesondere %!r sicherheitsrelevante Dunktionen" -ie Dunktionstrennung reduziert die Ho'.leNit&t der Cer&tekon%iguration und 'ini'iert so die Angri%%s%l&che und die Last der einzelnen Ho'.onenten"

Bundesamt f r Sicherheit in der Informationstechnik

((

ISi-Reihe
M

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

Minimalitt: Alle SAste'ko'.onenten U insbesondere die Ho'.onenten des Sicherheits-Cate)aAs so)ie die !ber das Internet erreichbaren Server U sollten 'ini'al kon%iguriert sein" Bber%l!ssige So%t)are sollte ent%ernt, nicht benEtigte Cer&te%unktionalit&t sollte deaktiviert )erden" Need-to-Know-Prinzip: SAste'ko'.onenten, An)endungen und -ienste d!r%en nur solche In%or'ationen !ber das LAN und seine Benutzer .reisgeben, die %!r den ordnungsge'&en Betrieb und die Nutzung der I -In%rastruktur unverzichtbar sind" -as zug&ngliche In%or'ationsangebot sollte 2e nach +olle und (ugri%%srechten des Benutzers individuell zugeschnitten )erden" Whitelisting: Alle Dilterregeln in 1aket%iltern und Sicherheits-1roNAs sollten so %or'uliert sein, dass An%ragen, die nicht ausdr!cklich zugelassen sind, auto'atisch abge)iesen )erden" Beschrnkung des Ver indungsau! aus: $erbindungen d!r%en nicht aus de' Internet in das interne Netz au%gebaut )erden, es sei denn, dass der -ienst sonst nicht %unktioniert (z" B" #-=ail)" "ktualitt: -ie eingesetzte BetriebssAste'- und An)endungs-So%t)are sollte i''er au% de' neuesten Stand gehalten )erden" $er%!gbare 1atches sollten unverz!glich einge.%legt )erden"

Au% der Basis dieser 1rinzi.ien ergibt sich die in Abbildung 8"8 dargestellte Crundarchitektur, bestehend aus eine' internen Netz, eine' vorgelagerten Sicherheits-Cate)aA, das 2egliche Interaktion z)ischen Internet und interne' Netz au% das unverzichtbare =ini'u' beschr&nkt, und der eigentlichen Internet-Anbindung"

"

ildung #$#: %rundarchitektur !&r normalen 'chutz edar!

"m'fehlungen zum sicheren Aufbau des internen Netzes -ie Basis %!r eine sichere Internet-Nutzung bildet ein lokales Netz, das auch gegen!ber Innent&tern )iderstands%&hig ist" #in sicheres lokales Netz begrenzt die =issbrauchs'Eglichkeiten eines eNternen Angrei%ers, de' es tats&chlich gelungen ist, die &uere Schutzbarriere zu durchbrechen und eine interne Ho'.onente zu unter)andern" -ie Ab)ehr von Innent&tern hil%t auch zu verhindern, dass interne Nutzer das Netz als 1latt%or' %!r Internet-Angri%%e au% %re'de I -SAste'e 'issbrauchen" I' dies zu erreichen, ist die Crundarchitektur %!r das interne Netz durch das 1rinzi. der strikten .hAsischen Seg'entierung ge.r&gt/ Interne eilnetze 'it unterschiedliche', gegebenen%alls auch
(2 Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

gleich hohe' Schutzbedar% (sogenannte Sicherheitszonen) sind durch ein Sicherheits-Cate)aA voneinander getrennt" #in internes Sicherheits-Cate)aA besteht aus 'indestens eine' 1aket%ilter" #ine rein logische Seg'entierung 'ittels $LAN- echnik ist %!r eine sichere rennung von Sicherheitszonen nicht ausreichend" Qedes nicht-triviale interne Netz ist so'it 'indestens in z)ei Sicherheitszonen untergliedert, ein Llient-Seg'ent %!r Arbeits.latzrechner und ein Server-Seg'ent %!r die grundlegenden -ienste zur Interst!tzung des Netzbetriebs" Weitere Seg'ente kEnnen erg&nzt )erden, et)a u' -aten und An)endungen 'it hohe' Schutzbedar% (z" B" 1ersonaldaten) von der !brigen I -In%rastruktur abzuschotten" -aten und An)endungen, die vo' Internet aus zug&nglich sein sollen, d!r%en nicht au% Servern i' internen Netz bereitgestellt )erden" Sie '!ssen au% eNterne Server verlagert )erden, die in einer sogenannten -e'ilitarisierten (one (-=() des Sicherheits-Cate)aAs untergebracht sind und dort so)ohl vo' Internet als auch vo' lokalen Netz aus erreichbar sind" "m'fehlungen zur sicheren Anbindung an das Internet I' Hern besteht das LEsungskonze.t %!r eine sichere Anbindung eines lokalen Netzes an das Internet darin, den -atenaustausch z)ischen Internet und lokale' Netz durch ein dreistu%iges Sicherheits-Cate)aA zu kontrollieren" -ieses Sicherheits-Cate)aA besteht aus eine' &ueren 1aket%ilter, eine' A..lication-Level Cate)aA in der =itte und eine' inneren 1aket%ilter (1A1-Struktur)" -as 1A1-Sicherheits-Cate)aA dar% nicht u'gangen )erden, 2eglicher -atenaustausch z)ischen Internet und interne' Netz 'uss das Cate)aA .assieren" -abei beschr&nkt das Sicherheits-Cate)aA eingehenden und ausgehenden -atenverkehr au% die ausdr!cklich er)!nschten 1rotokolle und -ienste" I' eine vollst&ndige Hontrolle zu er'Eglichen, d!r%en verschl!sselte $erbindungen das Sicherheits-Cate)aA nicht unge.r!%t durchtunneln" -ie 1r!%ung er%ordert eine #ntschl!sselung und gegebenen%alls die Neuverschl!sselung solcher $erbindungen i' Sicherheits-Cate)aA" Nur )enn eine #nde-zu-#nde-$erschl!sselung unabdingbar ist, dar% verschl!sselte Ho''unikation 'it ausge)&hlten Ho''unikations.artnern unkontrolliert durch das Sicherheits-Cate)aA geschleust )erden" Solche Ausnah'en '!ssen 2edoch i' Sicherheitskonze.t ausdr!cklich doku'entiert und begr!ndet )erden" (us&tzliche Sicherheits'anah'en '!ssen dann zude' au% de' internen Llient u'gesetzt )erden" Bei der Internet-Anbindung ist z)ischen z)ei Ho''unikationsrichtungen zu unterscheiden, zu' einen de' Nutzen von Internet--iensten, zu' anderen de' "n ieten eigener -ienste i' Internet" W&hrend die Ho''unikationsverbindung bei der -ienstenutzung au% gerade' Weg !ber die drei Stu%en des 1A1-Cate)aAs ge%!hrt )ird, )erden eNterne (ugri%%e au% die angebotenen Internet-ienste au% eine' Server in einer -=( des Sicherheits-Cate)aAs ter'iniert, u' das interne Netz vor direkte' (ugri%% zu sch!tzen" -ie vorgelagerten -=(-Server kEnnen bei Bedar% ihrerseits au% +echner in nachgelagerten Sicherheitszonen der -=( zur!ckgrei%en, u' ihre -ienste bereitzustellen" Abbildung 8"8 zeigt die Crundarchitektur %!r nor'alen Schutzbedar% i' Bberblick" Beis.ielha%t %!r andere Internet--ienste )ird hier ein Web-An)endungs-Server (WWW AS) in einer hierarchisch geschachtelten -=( betrieben" -er An)endungs-Server ist so)ohl von innen (!ber den internen Webserver FWWW int"G) als auch aus de' Internet (!ber den &ueren Webserver FWWWG in der -=() erreichbar" -ie -aten der Weban)endung liegen au% eine' -atenbank-Server (FWWW -BG), der in einer getrennten Sicherheitszone .latziert ist und die An)endungsdaten von eNternen )ie internen Nutzern ver)altet" Innerer und &uerer Webserver %ungieren ge)isser'aen als dienst- und benutzergru..ens.ezi%ische 1roNAs %!r den Web-An)endungs-Server"
Bundesamt f r Sicherheit in der Informationstechnik (!

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

Ausgehend von der in Abbildung 8"8 dargestellten Crundarchitektur gibt es verschiedene +ealisierungsvarianten, die zu' Beis.iel durch das (usa''enlegen von Servern oder 1aket%iltern bei verringerte' *ard)are-Au%)and einen et)as sch)&cheren, aber unter I'st&nden eben%alls akze.tablen Schutz bieten" -ie da'it einhergehenden +estrisiken '!ssen allerdings be)usst getragen )erden" D!r hEheren Schutzbedar% '!ssen )eitergehende #'.%ehlungen u'gesetzt )erden, )ie zu' Beis.iel +edundanz'anah'en" #ine detaillierte Betrachtung %indet sich i' zugehErigen ISi-S" #in )ichtiges Sicherheits'erk'al der Crundarchitektur ist die $er)endung .rivater Adressen" I' gesa'ten internen Netz einschlielich des Sicherheits-Cate)aAs )erden .rivate I1-Adressen vergeben, die i' Internet nicht geroutet )erden kEnnen" #ine Adressu'setzung (NA ) der eNtern sichtbaren, E%%entlichen I1-Adressen au% interne, .rivate I1-Adressen verbirgt die interne Struktur des Netzes nach auen und verhindert so, dass interne +echner direkt aus de' Internet angegri%%en )erden kEnnen" "m'fehlungen f#r ein sicheres Netzmanagement -ie relevanten Ho'.onenten der Crundarchitektur - +outer, 1aket%ilter, Sicherheits-1roNAs und Server - '!ssen kontinuierlich !ber)acht und ad'inistriert )erden" Aus Sicherheitsgr!nden sollten dazu nur verschl!sselte Netz'anage'ent-1rotokolle ver)endet )erden" -a aber verschl!sselte $erbindungen das Sicherheits-Cate)aA aus Sicherheitsgr!nden nicht unge.r!%t durchPueren d!r%en, e'.%iehlt es sich, den gesa'ten =anage'ent--atenverkehr in einer getrennten Sicherheitszone zu b!ndeln (Tut-o%-Band-=anage'ent)" Abbildung 8"3 zeigt die e'.%ohlene Crundarchitektur %!r das Netz'anage'ent" Alle =anage'ent1rotokolle (z" B" SN=1, SS*, sAslog) )erden !ber eigene =anage'ent-Schnittstellen der Ho'.onenten abge)ickelt, die !ber ein se.arates Netz 'it einer zentralen =anage'ent-Station verbunden sind" T%t er'Eglicht das BetriebssAste' einer Ho'.onente eine vollst&ndige #ntko..lung der Nutzdaten-Schnittstellen von den =anage'ent-Schnittstellen" -ie =anage'ent-Station dient zugleich dazu, alle SAste'ko'.onenten 'ittels Net)ork i'e 1rotocol (N 1) zu sAnchronisieren" Als I -unabh&ngige +e%erenzzeitPuelle dient ein -LD@@-#'.%angs'odul" -ie Crundarchitektur sieht vor, die =anage'ent-(one aus Sicherheitsgr!nden durch 1aket%ilter in getrennte eilseg'ente zu untergliedern" Auch hier sind verein%achte +ealisierungsvarianten 'it reduzierte' *ard)are-Au%)and und erhEhte' +estrisiko denkbar" D!r An)endungsszenarien 'it hohe' Schutzbedar% kann es sinnvoll sein, au% eine (usa''en%!hrung der =anage'ent-Seg'ente in einer zentralen =anage'ent-Station zu verzichten und statt dessen .hAsisch getrennte =anage'ent-Stationen .ro eilseg'ent vorzusehen" #ine solche dezentrale LEsung hat s.ezi%ische $orteile, bringt aber auch einige Sicherheitsnachteile 'it sich, die genau abzu)&gen sind"

("

Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

"

ildung #$(: %rundarchitektur mit Management- und ) erwachungsmodul

1.3

4azit

ISi-LANA behandelt die Crundlagen des sicheren LAN-Betriebs 'it Internet-Anbindung, adressiert also vorneh'lich die drei unteren 1rotokollschichten des L10I1-+e%erenz'odells/ Netzzugangsschicht, Internet-Schicht und rans.ortschicht" Dolgt der An)ender den #'.%ehlungen und )endet sie sinnge'& auch au% er)eiterte Netzarchitekturen an, so hat er U )as die unteren drei Schichten des L10I1-+e%erenz'odells betri%%t U das nEtige getan, u' bei Bedar% selbst hohen Schutzan%orderungen zu gen!gen" Sicherheitsas.ekte der An)endungsschicht er%ordern naturge'& eine an)endungss.ezi%ische Betrachtung und gehen daher !ber die hier behandelten Crundlagen hinaus" Solch )eitergehenden Betrachtungen sind die s.ezialisierten =odule der ISi-+eihe ge)id'et, die gezielt au% die an)endungsabh&ngigen Besonderheiten bei' #insatz besti''ter Sicherheitstechniken und h&u%ig ver)endeter Internet--ienste eingehen" Schutz'anah'en au% der An)endungsschicht kEnnen allerdings nur er%olgreich sein, )enn sie nicht durch Angri%%e au% darunter liegenden Schichten unterlau%en )erden kEnnen" =it seinen #'.%ehlungen zu' sicheren #insatz der Basistechniken scha%%t das =odul ISi-LANA die not)endigen Crundlagen %!r ein durchg&ngiges Sicherheitskonze.t"

Bundesamt f r Sicherheit in der Informationstechnik

(#

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

&lossar

Angri%% (engl" attack)

#in Angri%% ist eine vors&tzliche Dor' der Ce%&hrdung, n&'lich eine uner)!nschte oder unberechtigte *andlung 'it de' (iel, sich $orteile zu verscha%%en bz)" einen -ritten zu sch&digen" Angrei%er kEnnen auch i' Au%trag von -ritten handeln, die sich $orteile verscha%%en )ollen"

An)endungsschicht (engl" a..lication laAer)

-ie An)endungsschicht ist die oberste Schicht i' L10I1-+e%erenz'odell" Sie u'%asst alle 1rotokolle, die von An)endungs.rogra''en, z" B" Bro)ser oder #-=ail-Llient, verarbeitet und %!r den Austausch an)endungss.ezi%ischer -aten genutzt )erden" Beis.iele %!r 1rotokolle der An)endungsschicht sind das *A.erteNt rans%er 1rotocol (* 1) oder das Si'.le =ail rans%er 1rotocol (S= 1)"

Authentisierung (engl" authentication)

Inter einer Authentisierung versteht 'an die $orlage eines Nach)eises eines Ho''unikations.artners, dass er tats&chlich der2enige ist, der er vorgibt zu sein"

Authentizit&t (engl" authenticitA)

=it de' Begri%% Authentizit&t )ird die #igenscha%t bezeichnet, die ge)&hrleistet, dass ein Ho''unikations.artner tats&chlich der2enige ist, der er vorgibt zu sein" Bei authentischen In%or'ationen ist sichergestellt, dass sie von der angegebenen ,uelle erstellt )urden" -er Begri%% )ird nicht nur ver)endet, )enn die Identit&t von 1ersonen ge.r!%t )ird, sondern auch bei I -Ho'.onenten oder An)endungen"

Bedrohung (engl" threat)

#ine Bedrohung ist ganz allge'ein ein I'stand oder #reignis, durch das ein Schaden entstehen kann" -er Schaden bezieht sich dabei au% einen konkreten Wert )ie $er'Egen, Wissen, Cegenst&nde oder Cesundheit" Bbertragen in die Welt der In%or'ationstechnik ist eine Bedrohung ein I'stand oder #reignis, das die $er%!gbarkeit, Integrit&t oder $ertraulichkeit von In%or'ationen bedrohen kann, )odurch de' Besitzer der In%or'ationen ein Schaden entsteht"

BetriebssAste' (engl" o.erating sAste')

-as BetriebssAste' ist ein Steuerungs.rogra'', das die $er)endung eines Lo'.uters er'Eglicht" -er Benutzer kann so'it seine -ateien ver)alten, angeschlossene Cer&te (z" B" -rucker, Dest.latte) kontrollieren oder 1rogra''e starten" Weit verbreitet sind z" B" Windo)s, LinuN oder =acTS"

Llient Jengl"K
Als Llient )ird So%t- oder *ard)are bezeichnet, die besti''te -ienste von eine' Server in Ans.ruch neh'en kann" *&u%ig steht der Begri%% Llient %!r einen Arbeits.latzrechner, der in eine' Netz au% -aten und 1rogra''e eines Servers zugrei%t"

($

Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

--oS (-istributed -enial o% Service Jengl"K)

#in koordinierter -oS Angri%% au% die $er%!gbarkeit von I 'ittels einer grEeren Anzahl von angrei%enden SAste'en"

-iensteanbieter (engl" .rovider)

Anbieter von ele- oder =ediendiensten" -ie Ce)erblichkeit des Angebots ist nicht $oraussetzung der #inordnung"

-=( (-e'ilitarisierte (one)

#ine -=( ist ein ()ischennetz, das an Netz!berg&ngen gebildet )ird, aber )eder zu de' einen, noch zu de' anderen Netz gehErt" Sie stellt ein Netz dar, das )eniger stark gesichert, aber vo' &ueren Netz aus besser erreichbar ist als das eigentlich zu sch!tzende interne Netz" -ie -=( dient der Scha%%ung eines zus&tzlichen Sicherheitsbereichs %!r -ienste (z" B" #-=ail, Web) oder 1roNAs, die von eNternen Netzen aus nutzbar sein sollen, aber aus Sicherheitsgr!nden nicht i' internen Netz .latziert )erden d!r%en"

-NS (-o'ain Na'e SAste' Jengl"K)

-as -o'ain Na'e SAste' !bersetzt al.hanu'erische Adressna'en (z" B" )))"bsi"bund"de) in nu'erische Adressen (z" B" 8;:";7"8@@"<6)" Auch eine Bbersetzung in die u'gekehrte +ichtung ist 'it de' -NS 'Eglich" Al.hanu'erische Na'en %!r +echner sind %!r die Benutzer ein%ach zu behalten und einzugeben" -a allerdings I1v: und I1v6 Adressen in nu'erischer Dor' verlangen, ist eine Adressu'setzung durch das -NS not)endig"

-oS (-enial o% Service Jengl"K)

Angri%%e, 'it de' (iel, die $er%!gbarkeit von I zu sch&digen"

D 1 (Dile rans%er 1rotocol Jengl"K)

-as Dile rans%er 1rotocol u'%asst Dunktionen, 'it denen 'an -ateien au% ein%ache Weise z)ischen z)ei +echnern austauschen kann"

Ce%&hrdung
#ine Ce%&hrdung ist eine Bedrohung, die konkret au% ein Tb2ekt !ber eine Sch)achstelle ein)irkt" #ine Bedrohung )ird so'it erst durch eine vorhandene Sch)achstelle zur Ce%&hrdung %!r ein Tb2ekt" Nach der oben gegebenen -e%inition l&sst sich %eststellen, dass alle An)ender .rinzi.iell durch Lo'.uter-$iren i' Internet bedroht sind" -er An)ender, der eine virenbe%allene -atei herunterl&dt, )ird von de' Lo'.uter-$irus ge%&hrdet, )enn sein Lo'.uter an%&llig %!r diesen A. Lo'.uter-$irus ist" D!r An)ender 'it eine' )irksa'en Schutz.rogra'', einer Hon%iguration, die das Dunktionieren des Lo'.uter-$irus verhindert, oder eine' BetriebssAste', das den $irencode nicht aus%!hren kann, bedeutet das geladene Schad.rogra'' hingegen keine Ce%&hrdung"

Bundesamt f r Sicherheit in der Informationstechnik

(%

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

*acking Jengl"K
*acking bezeichnet i' HonteNt von In%or'ationssicherheit Angri%%e, die darau% abzielen, vorhandene Sicherheits'echanis'en zu !ber)inden, u' in ein SAste' I -SAste' einzudringen, seine Sch)&chen o%%en zulegen und es gegebenen%alls - bei unethische' *acking - zu !berneh'en"

1 (*A.erteNt rans%er 1rotocol Jengl"K)

-as *A.erteNt rans%er 1rotocol dient zur Bbertragung von -aten - 'eist Webseiten - z)ischen eine' * 1-Server und eine' * 1-Llient, also z" B" eine' Bro)ser" -ie -aten )erden !ber Ini%or' +esource Locators (I+L) eindeutig bezeichnet" I+Ls )erden 'eist in der Dor' 1rotokoll/00+echner01%ad0-atei angegeben" 1rotokoll steht dabei %!r 1rotokolle der An)endungsschicht, +echner %!r den Na'en oder die Adresse des Servers und der 1%ad der -atei gibt den genauen Trt der -atei au% de' Server an" #in Beis.iel %!r eine I+L ist htt./00)))"bsi"bund"de0%achthe'0sinet0indeN"ht'"

IL=1 (Internet Lontrol =essage 1rotocol Jengl"K)

-as Internet Lontrol =essage 1rotocol trans.ortiert Dehler- und -iagnosein%or'ationen %!r I1v: und in der erneuerten $ersion auch %!r I1v6" #s )ird intern von L1, I-1 und den beiden I1-1rotokollen genutzt und ko''t z" B" zu' #insatz, )enn -aten.akete nicht ausgelie%ert )erden kEnnen, ein Cate)aA -atenverkehr !ber eine k!rzere +oute leitet oder ein Cate)aA nicht gen!gend 1u%%erka.azit&t %!r die zu verarbeitenden -aten besitzt"

In%or'ationssicherheit (engl" in%or'ation securitA)

In%or'ationssicherheit hat den Schutz von In%or'ationen als (iel" -abei kEnnen In%or'ationen so)ohl au% 1a.ier, in +echnern oder auch in HE.%en ges.eichert sein" I -Sicherheit besch&%tigt sich an erster Stelle 'it de' Schutz elektronisch ges.eicherter In%or'ationen und deren $erarbeitung" -er Begri%% WIn%or'ationssicherheitW statt I -Sicherheit ist u'%assender und )ird daher zuneh'end ver)endet"

Integrit&t (engl" integritA)

Integrit&t bezeichnet die Sicherstellung der Horrektheit (Inversehrtheit) von -aten und der korrekten Dunktions)eise von SAste'en" Wenn der Begri%% Integrit&t au% W-atenW ange)endet )ird, dr!ckt er aus, dass die -aten vollst&ndig und unver&ndert sind" In der In%or'ationstechnik )ird er in der +egel aber )eiter ge%asst und au% WIn%or'ationenW ange)endet" -er Begri%% WIn%or'ationW )ird dabei %!r W-atenW ver)endet, denen 2e nach (usa''enhang besti''te Attribute )ie z" B" Autor oder (eit.unkt der #rstellung zugeordnet )erden kEnnen" -er $erlust der Integrit&t von In%or'ationen kann daher bedeuten, dass diese unerlaubt ver&ndert, Angaben zu' Autor ver%&lscht oder (eitangaben zur #rstellung 'ani.uliert )urden" Integrit&t ist ein Crund)ert der I -Sicherheit"

I1 (Internet 1rotocol Jengl"K)

$erbindungsloses 1rotokoll der Internet-Schicht i' L10I1-+e%erenz'odell" #in I1-*eader enth&lt in der $ersion I1v: u" a" z)ei 53-Bit-Nu''ern (I1-Adressen) %!r (iel und ,uelle der ko''unizierenden +echner"

(&

Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

I1v: (Internet 1rotocol $ersion : Jengl"K)

-as Internet 1rotocol $ersion : ist ein verbindungsloses 1rotokoll der $er'ittlungsschicht und erlaubt den Austausch von -aten z)ischen z)ei +echnern ohne vorherigen $erbindungsau%bau" I1v: setzt nicht voraus, dass das darunterliegende Netz Dehlererkennung aus%!hrt" Derner ver%!gt es !ber keine $erl&sslichkeits- oder Dlusssteuerungs'echanis'en" -ie 'eisten dieser 1roble'e gibt I1v: an die n&chsthEhere Schicht (die rans.ortschicht) )eiter"

I1v6 (Internet 1rotocol $ersion 6 Jengl"K)

-as Internet 1rotocol $ersion 6 ist die Nach%olgeversion von I1v: und soll dieses ablEsen, da es u" a" die (ahl der ver%!gbaren +echneradressen stark er)eitert und =anah'en zu' Schutz der !bertragenen -aten vor de' $erlust der $ertraulichkeit, der Integrit&t und der Authentizit&t u'%asst" -ie Sicherungs'anah'en sind unter de' Na'en WI1SecW zusa''enge%asst" I1Sec de%iniert Sicherungsdienste, die durch z)ei zus&tzliche *eader, den WI1 Authentication *eaderW (A*) und den *eader WI1 #nca.sulating SecuritA 1aAloadW (#S1) realisiert )erden" =ithil%e der *eader kEnnen unterschiedliche krA.togra%ische Algorith'en eingebunden )erden" I1Sec erlaubt die Integration der *eader in -atagra''e des I1v: so)ie des I1v6" A*- und #S1-*eader kEnnen einzeln oder ge'einsa' in eine' I1--atagra'' au%treten" -ie Sicherheits'echanis'en sch!tzen I1v:0I1v6 und die dar!berliegenden 1rotokolle"

HrA.togra%ie
=athe'atisches Dachgebiet, das sich 'it =ethoden zu' Schutz von In%or'ationen be%asst (u" a" 'it $ertraulichkeit, Integrit&t und Authentizit&t von -aten)"

NA (Net)ork Address ranslation Jengl"K)

Net)ork Address ranslation (NA ) bezeichnet ein $er%ahren zu' auto'atischen und trans.arenten #rsetzen von Adressin%or'ationen in -aten.aketen" NA -$er%ahren ko''en 'eist au% +outern und Sicherheits-Cate)aAs zu' #insatz, vor alle', u' den beschr&nkten I1v:-Adressrau' 'Eglichst e%%izient zu nutzen und u' lokale I1-Adressen gegen!ber E%%entlichen Netzen zu verbergen"

1aket%ilter (engl" .acket %ilter)

1aket%ilter sind I -SAste'e 'it s.ezieller So%t)are, die den ein- und ausgehenden -atenverkehr anhand s.ezieller +egeln %iltern" Ihre Au%gabe ist es, -aten.akete anhand der In%or'ationen in den *eader--aten der I1- und rans.ortschicht (z" B" ,uell- und (iel-Adresse, -1ortnu''er, L1Dlags) )eiterzuleiten oder zu ver)er%en" -er Inhalt des 1akets bleibt dabei unber!cksichtigt"

1ass)ort
Cehei'es Henn)ort, das -aten, +echner, 1rogra''e u" a" vor unerlaubte' (ugri%% sch!tzt"

1atch Jengl"K
#in 1atch (vo' englischen W.atchW, au% deutsch/ Dlicken) ist ein kleines 1rogra'', das So%t)areDehler )ie z" B" Sicherheitsl!cken in An)endungs.rogra''en oder BetriebssAste'en behebt"

Bundesamt f r Sicherheit in der Informationstechnik

('

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

1rotokoll (engl" .rotocol)

Beschreibung (S.ezi%ikation) des -aten%or'ats %!r die Ho''unikation z)ischen elektronischen Cer&ten"

1roNA Jengl"K
#in 1roNA ist eine Art Stellvertreter in Netzen" #r ni''t -aten von einer Seite an und leitet sie an eine andere Stelle i' Netz )eiter" =ittels eines 1roNAs lassen sich -atenstrE'e %iltern und gezielt )eiterleiten"

+estrisiko (engl" residual risk)

+isiko, das grunds&tzlich bleibt, auch )enn =anah'en zu' Schutz des I -#insatzes ergri%%en )orden sind"

+outer Jengl"K
#in (I1-)+outer ist ein $er'ittlungsrechner, der Netze au% I1-#bene ko..elt und Wege)ahlentscheidungen anhand von I1-1rotokollschicht-In%or'ationen tri%%t" +outer trennen Netze au% der Netzzugangsschicht und begrenzen daher die Broadcast--o'&ne eines #thernets"

Schutzbedar% (engl" .rotection rePuire'ents)

-er Schutzbedar% beschreibt, )elcher Schutz %!r die Cesch&%ts.rozesse, die dabei verarbeiteten In%or'ationen und die eingesetzte In%or'ationstechnik ausreichend und ange'essen ist"

Sch)achstelle (engl" vulnerabilitA)

#ine Sch)achstelle ist ein sicherheitsrelevanter Dehler eines I -SAste's oder einer Institution" Irsachen kEnnen in der Honze.tion, den ver)endeten Algorith'en, der I'.le'entation, der Hon%iguration, de' Betrieb so)ie der Trganisation liegen" #ine Sch)achstelle kann dazu %!hren, dass eine Bedrohung )irksa' )ird und eine Institution oder ein SAste' gesch&digt )ird" -urch eine Sch)achstelle )ird ein Tb2ekt (eine Institution oder ein SAste') an%&llig %!r Bedrohungen"

Server Jengl"K
Als Server )ird So%t- oder *ard)are bezeichnet, die besti''te -ienste anderen (Llients) anbietet" A.ischer)eise )ird da'it ein +echner bezeichnet, der seine *ard)are- und So%t)are-+essourcen in eine' Netz anderen +echnern zug&nglich 'acht" Beis.iele sind A..likations-, -aten-, Weboder #-=ailserver"

Sicherheits-Cate)aA
#in Sicherheits-Cate)aA (o%t auch Dire)all genannt) ge)&hrleistet die sichere Ho..lung von I1Netzen durch #inschr&nkung der technisch 'Eglichen au% die in einer I -Sicherheitsleitlinie als ordnungsge'& de%inierte Ho''unikation" Sicherheit bei der Netzko..lung bedeutet hierbei i' Wesentlichen, dass ausschlielich er)!nschte (ugri%%e oder -atenstrE'e z)ischen verschiedenen Netzen zugelassen und die !bertragenen -aten kontrolliert )erden" #in Sicherheits-Cate)aA %!r nor'alen Schutzbedar% besteht i' Allge'einen aus 'ehreren, in +eihe geschalteten Dilterko'.onenten" -abei ist z)ischen 1aket%ilter und A..lication-Level Cate)aA (ALC) zu unterscheiden"
2) Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

Sicherheitskonze.t (engl" securitA conce.t)

In eine' Sicherheitskonze.t )erden die konze.tionellen Sicherheitsan%orderungen sAste'atisch %estgelegt und das $orgehen zu ihrer I'setzung in =anah'en beschrieben"

Sicherheits'anah'e (engl" saveguard control)

=it Sicherheits'anah'e )erden alle Aktionen bezeichnet, die dazu dienen, Sicherheitsrisiken zu steuern und entgegenzu)irken" -ies schliet organisatorische, .ersonelle, technische und in%rastrukturelle Sicherheits'anah'en ein" SAnonA' )erden auch die Begri%%e Sicherheitsvorkehrung oder Schutz'anah'e benutzt"

S= 1 (Si'.le =ail rans%er 1rotocol Jengl"K)

-as Si'.le =ail rans%er 1rotocol legt %est, )ie #-=ails z)ischen Servern zu !bertragen sind" Auch %!r den rans.ort von #-=ails vo' =ail-Llient zu' Server kann S= 1 genutzt )erden"

Sni%%ing Jengl"K
Sni%%ing (von to sni%%, zu deutsch/ schn!%%eln) bezeichnet echniken, 'it denen der -atenverkehr eines -atennetzes unautorisiert 'itgelesen )erden kann, u' sich unrecht'&ig (ugri%% au% vertrauliche In%or'ationen zu verscha%%en"

S.oo%ing Jengl"K
S.oo%ing (von to s.oo%, zu deutsch/ 'ani.ulieren, verschleiern oder vort&uschen) nennt 'an in der In%or'ationstechnik verschiedene &uschungsversuche zur $erschleierung der eigenen Identit&t und zu' D&lschen !bertragener -aten" -as (iel besteht darin, die Integrit&t und Authentizit&t der In%or'ationsverarbeitung zu untergraben"

S)itch
#in S)itch ist eine Netz-Ho'.onente zur $erbindung 'ehrerer Netz-Seg'ente in eine' lokalen Netz"

AN ( ransaktionsnu''er)
Cehei'zahl, die die Dreigabe %!r einen einzelnen $organg erteilt" -ie Cehei'zahl verliert hiernach ihre C!ltigkeit" Wird insbesondere bei' Internet-Banking in Ho'bination 'it einer 1IN eingesetzt"

L1 ( rans'ission Lontrol 1rotocol Jengl"K)

$erbindungsorientiertes 1rotokoll der rans.ortschicht i' L10I1-+e%erenz'odell, )elches au% I1 au%setzt"

rans.ortschicht (engl" trans.ort laAer)

-ie rans.ortschicht setzt i' L10I1-+e%erenz'odell au% der Internetschicht au% und hat die Au%gabe, -aten zuverl&ssig und unabh&ngig vo' ver)endeten .hAsischen Netz vo' Irs.rung zu' (iel zu trans.ortieren" (u den 1rotokollen der rans.ortschicht z&hlen i' Wesentlichen L1 und I-1"
Bundesamt f r Sicherheit in der Informationstechnik 2(

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

I-1 (Iser -atagra' 1rotocol Jengl"K)

-as Iser -atagra' 1rotocol ist ein verbindungsloses 1rotokoll der rans.ortschicht i' L10I1+e%erenz'odell" #s sieht (anders als L1) keine rans.ortPuittungen oder andere Sicherheits'echanis'en %!r die Horrektheit der Bbertragung vor" -er *eader enth&lt )ie bei L1 z)ei 1ortnu''ern, die eine (uordnung zu -iensten der An)endungsschicht erlauben, aber unabh&ngig von den bei L1 benutzten 1ortnu''ern sind" -er Au%)and zur $erarbeitung eines -aten.akets ist bei I-1 geringer als bei L1" -er geringere Au%)and )ird 2edoch durch 'ehrere Nachteile, )ie die hEhere Wahrscheinlichkeit %!r 1aketverluste, erkau%t"

$er%!gbarkeit (engl" availabilitA)

-ie $er%!gbarkeit von -ienstleistungen, Dunktionen eines I -SAste's, I -An)endungen oder I Netzen oder auch von In%or'ationen ist vorhanden, )enn diese den Benutzern stets )ie ge)!nscht zur $er%!gung stehen" $er%!gbarkeit ist ein Crund)ert der I -Sicherheit"

$erschl!sselung (engl" encrA.tion)

$erschl!sselung (Lhi%%rieren) trans%or'iert einen HlarteNt in Abh&ngigkeit von einer (usatzin%or'ation, die Schl!ssel genannt )ird, in einen zugehErigen Cehei'teNt (Lhi%%rat), der %!r die2enigen, die den Schl!ssel nicht kennen, nicht entzi%%erbar sein soll" -ie I'kehrtrans%or'ation - die (ur!ckge)innung des HlarteNts aus de' Cehei'teNt - )ird #ntschl!sselung genannt"

$ertraulichkeit (engl" con%identialitA)

$ertraulichkeit ist der Schutz vor unbe%ugter 1reisgabe von In%or'ationen" $ertrauliche -aten und In%or'ationen d!r%en ausschlielich Be%ugten in der zul&ssigen Weise zug&nglich sein" $ertraulichkeit ist ein Crund)ert der I -Sicherheit"

$LAN ($irtual Local Area Net)ork Jengl"K)

$irtuelle lokale Netze ($irtual LANs, $LANs) )erden zur logischen Strukturierung von Netzen ver)endet" -abei )ird innerhalb eines .hAsikalischen Netzes eine logische Netzstruktur abgebildet, inde' %unktionell zusa''engehErende Arbeitsstationen und Server zu eine' virtuellen Netz verbunden )erden"

$1N ($irtual 1rivate Net)ork Jengl"K)

#in $irtuelles 1rivates Netz ($1N) ist ein Netz, das .hAsisch innerhalb eines anderen Netzes (o%t de' Internet) betrieben )ird, 2edoch logisch von diese' Netz getrennt )ird" In $1Ns kEnnen unter (uhil%enah'e krA.togra%ischer $er%ahren die Integrit&t und $ertraulichkeit von -aten gesch!tzt und die Ho''unikations.artner sicher authentisiert )erden, auch dann, )enn 'ehrere Netze oder +echner !ber ge'ietete Leitungen oder E%%entliche Netze 'iteinander verbunden sind" -er Begri%% $1N )ird o%t als Bezeichnung %!r verschl!sselte $erbindungen ver)endet, zur Absicherung des rans.ortkanals kEnnen 2edoch auch andere =ethoden eingesetzt )erden, beis.iels)eise s.ezielle Dunktionen des genutzten rans.ort.rotokolls"

22

Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

Stich%ort) und Abk#rzungsverzeichnis

A* (Authentication *eader)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8; ALC (A..lication-Level Cate)aA)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 6, 85, 34 An)endungsschicht""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6, 87, 86, 8<, 33 A+1 (Address +esolution 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84 AS (An)endungs-Server)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 85 AS (Autono'es SAste')""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< A = (AsAnchronous rans%er =ode)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< Authentisierung""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, <, 84, 86 Authentizit&t"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84, 86, 8;, 38 Bedrohung"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6, @, ;-88, 86, 8@, 34 BetriebssAste'""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""83, 8:, 86, 8@, 8; BC1 (Border Cate)aA 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< Bit (BinarA -igit)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8< Broadcast--o'&ne"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""34 Lhi%%rat"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""33 -B (-atabase)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""85 -LD@@""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, 8: --oS (-istributed -enial o% Service)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""88, 8@ -iensteanbieter"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 8@ -=( (-e'ilitarisierte (one)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""85, 8@ -NS (-o'ain Na'e SAste')"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<-88, 8@ -NSS#L (-NS SecuritA #Ntensions)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< -oS (-enial o% Service)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""";, 88, 8@ #-=ail (#lectronic =ail)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""3, 7, @, 83, 86, 8@, 34, 38 #S1 (I1 #nca.sulating SecuritA 1aAload)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8; #thernet"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< D--I (Diber -istributed -ata Inter%ace)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< D 1 (Dile rans%er 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, ;, 8@ Ce%&hrdung"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 86, 8@ --oS (-istributed -enial o% Service)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""88, 8@ -oS (-enial o% Service)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""";, 88, 8@ *acking""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;, 84, 8< Sni%%ing""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;, 84, 38 S.oo%ing"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;, 84, 38 Ce%&hrdungsanalAse"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""5, ; Crundarchitektur"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""3, 7, 6, 83-8: *acking"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;, 84, 8< *ard)are""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84, 88, 8:, 86, 34 * 1 (*A.erteNt rans%er 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, 86, 8< *A.erteNt""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""86, 8< IL=1 (Internet Lontrol =essage 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, ;, 88, 8< In%or'ationssicherheit""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84, 8< Integrit&t"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6, @, 84, 86, 8<, 8;, 38, 33 Internet-Schicht""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;, 87, 8< I1 (Internet 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7-84, 8:-86, 8<-33 I1Sec (Internet 1rotocol SecuritA)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8; I1v: (Internet 1rotocol $ersion :)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""";, 8@-8;
Bundesamt f r Sicherheit in der Informationstechnik 2!

ISi-Reihe

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

I1v6 (Internet 1rotocol $ersion 6)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@-;, 8@-8; IS-N (Integrated Services -igital Net)ork)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@ I -Sicherheit"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8<, 33 Authentizit&t"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84, 86, 8;, 38 In%or'ationssicherheit"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84, 8< Integrit&t"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6, @, 84, 86, 8<, 8;, 38, 33 $er%!gbarkeit"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 6, 88, 86, 8@, 33 $ertraulichkeit"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6, @, ;, 86, 8;, 33 Hollisionsdo'&ne"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< HrA.togra%ie"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, 84, 8;, 33 LAN (Local Area Net)ork)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""3, 7, 6, <, ;, 83, 87, 33 =AL (=edia Access Lontrol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""";, 84 =acTS (=acintosh T.erating SAste')""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""86 NA (Net)ork Address ranslation)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8:, 8; Netzko..elele'ent"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< Netzzugangsschicht""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 87, 34 N 1 (Net)ork i'e 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, 8: 1aket%ilter""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 6, 83-8:, 8;, 34 1A1 (1aket%ilter - A..lication-Level Cate)aA - 1aket%ilter)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""85 1ass)ort"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""";, 84, 8; 1atch"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""88, 83, 8; 1IN (1ersEnliche Identi%ikationsnu''er)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84, 38 1rotokoll""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" A+1 (Address +esolution 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84 BC1 (Border Cate)aA 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< D 1 (Dile rans%er 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, ;, 8@ * 1 (*A.erteNt rans%er 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, 86, 8< IL=1 (Internet Lontrol =essage 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, ;, 88, 8< I1 (Internet 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7-84, 8:-86, 8<-33 I1Sec (Internet 1rotocol SecuritA)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8; I1v: (Internet 1rotocol $ersion :)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""";, 8@-8; I1v6 (Internet 1rotocol $ersion 6)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@-;, 8@-8; SD 1 (SS* Dile rans%er 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< S= 1 (Si'.le =ail rans%er 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, 86, 38 SN=1 (Si'.le Net)ork =anage'ent 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, 8: SN=1v5 (Si'.le Net)ork =anage'ent 1rotocol $ersion 5)"""""""""""""""""""""""""""""""""""""""""""""""""""<, ; L1 ( rans'ission Lontrol 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""7, @, ;, 87, 86, 8<, 8;, 38, 33 elnet ( eletA.e Net)ork)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, ; I-1 (Iser -atagra' 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, ;, 8<, 38, 33 1roNA"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""83-8:, 8@, 34 +estrisiko""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8:, 34 +isiko""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""34 +outer"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, <, 8:, 8;, 34 +outing"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< Schad.rogra''""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8@ $irus"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8@ Schutzbedar%"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 6, 85, 8:, 34 Sch)achstelle""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;-88, 8@, 34 Seg'entierung"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""";, 84, 83, 85 SD 1 (SS* Dile rans%er 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<
2" Bundesamt f r Sicherheit in der Informationstechnik

ISi-L Sichere Anbindung von lokalen Netzen an das Internet

ISi-Reihe

Sicherheits-Cate)aA"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""3, 7, 84, 83-8:, 8;, 34 ALC (A..lication-Level Cate)aA)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 6, 85, 34 1aket%ilter"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 6, 83-8:, 8;, 34 1A1 (1aket%ilter - A..lication-Level Cate)aA - 1aket%ilter)""""""""""""""""""""""""""""""""""""""""""""""""""""""""85 Sicherheitskonze.t""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""85, 87, 38 Sicherheitsleitlinie""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""34 Sicherheits'anah'e"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""85, 38 Sicherheitszone"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""85, 8: S= 1 (Si'.le =ail rans%er 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, 86, 38 Sni%%ing"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;, 84, 38 SN=1 (Si'.le Net)ork =anage'ent 1rotocol)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, 8: SN=1v5 (Si'.le Net)ork =anage'ent 1rotocol $ersion 5)""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, ; S.oo%ing"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;, 84, 38 SS* (Secure Shell)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, 8: S)itch""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<-84, 38 AN ( ransaktionsnu''er)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""84, 38 L1 ( rans'ission Lontrol 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""7, @, ;, 87, 86, 8<, 8;, 38, 33 L10I1-+e%erenz'odell""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" An)endungsschicht"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6, 87, 86, 8<, 33 Internet-Schicht""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, ;, 87, 8< Netzzugangsschicht"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 87, 34 rans.ortschicht"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 87, 8;, 38, 33 elnet ( eletA.e Net)ork)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""<, ; rans.ortschicht"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 87, 8;, 38, 33 L ( i'e to live)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""< $ ( elevision)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@ I-1 (Iser -atagra' 1rotocol)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, ;, 8<, 38, 33 I+L (Ini%or' +esource Locator)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8< $er%!gbarkeit""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""7, 6, 88, 86, 8@, 33 $er'ittlungsschicht""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8; $erschl!sselung"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" Lhi%%rat"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""33 $ertraulichkeit""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6, @, ;, 86, 8;, 33 $irus"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""8@ $LAN ($irtual Local Area Net)ork)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""85, 33 $1N ($irtual 1rivate Net)ork)""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""6, 33 Webserver"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""85 WWW (World Wide Web)"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""@, 85

Bundesamt f r Sicherheit in der Informationstechnik

2#