Netzwerksicherheit

Definition

Netzwerksicherheit ist die Praxis, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten, die über Netzwerke übertragen werden, sowie der Netzwerkgeräte und -dienste selbst vor böswilligen Aktivitäten zu schützen.

Scope

Dieses Thema, aus der Perspektive der Kryptografie und Sicherheit betrachtet, behandelt die spezifischen Bedrohungen für vernetzte Kommunikation und die Abwehrmaßnahmen dagegen: Verschlüsselung auf Netzwerkebene (IPsec, VPNs), Firewalls und Netzwerksegmentierung, Intrusion Detection und Prevention, Denial-of-Service-Minderung sowie DNS- und Routing-Sicherheit. Es wird erläutert, wie Kryptografie den Datenverkehr gegen Angreifer auf dem Übertragungsweg sichert. Ausgenommen sind die Details des sicheren Kanalprotokolls TLS und die Themen der Netzwerkarchitektur, die unter Computernetzwerke behandelt werden.

Core questions

• Welche Angriffe bedrohen Daten und Dienste, wenn sie unsichere Netzwerke durchqueren?
• Wie schützt Kryptografie auf Netzwerkebene (IPsec, VPNs) den Datenverkehr transparent für Anwendungen?
• Wie begrenzen Firewalls und Segmentierung die Reichweite eines Angreifers innerhalb eines Netzwerks?
• Wie werden Eindringversuche und anomaler Datenverkehr erkannt und eingedämmt?
• Wie werden grundlegende Dienste wie DNS und Routing vor Spoofing und Hijacking geschützt?

Key concepts

• Angreifer auf dem Übertragungsweg (Man-in-the-Middle)
• IPsec und VPNs
• Firewalls
• Netzwerksegmentierung
• Intrusion Detection und Prevention
• Denial-of-Service-Minderung
• DNS-Sicherheit (DNSSEC)
• ARP- und Routen-Spoofing
• Paketfilterung

Key theories

Verteidigung in der Tiefe und Segmentierung

Netzwerke werden mit geschichteten, unabhängigen Kontrollen verteidigt – Perimeter-Firewalls, interne Segmentierung, Host-Verteidigungen und Überwachung –, sodass das Durchbrechen einer Schicht keine freie Bewegung im gesamten Netzwerk ermöglicht.

Kryptografischer Schutz des Datenverkehrs während der Übertragung

Vertraulichkeit und Integrität des Netzwerkverkehrs werden durch Verschlüsselung und Authentifizierung von Paketen (IPsec) oder Sitzungen erreicht, wodurch Abhören und Manipulation durch einen auf dem Übertragungsweg positionierten Angreifer vereitelt werden.

Mechanisms

Die Sicherheit auf Netzwerkebene verschlüsselt und authentifiziert IP-Pakete (IPsec ESP und AH) und etabliert Tunnel zwischen Gateways oder Hosts, sodass Anwendungen nicht geändert werden müssen. Firewalls setzen Richtlinien durch, indem sie Pakete nach Adressen, Ports und Verbindungsstatus filtern, während die Segmentierung Netzwerkzonen isoliert. Intrusion-Detection-Systeme untersuchen den Datenverkehr auf Signaturen oder Anomalien, und DNSSEC signiert DNS-Einträge, um gefälschte Antworten zu verhindern. Diese Kontrollen gehen davon aus, dass ein Angreifer den Datenverkehr auf dem Übertragungsweg beobachten oder einschleusen kann.

Clinical relevance

Netzwerksicherheit ist die Grundlage für Remote-Arbeit und Unternehmensabläufe: VPNs und IPsec verbinden Zweigstellen und Remote-Mitarbeiter sicher, Firewalls und Segmentierung begrenzen Sicherheitsverletzungen, und DDoS-Minderung hält Online-Dienste verfügbar. Hochkarätige Vorfälle – BGP-Routen-Hijacks, DNS-Cache-Poisoning und große Botnet-gesteuerte DDoS-Angriffe – zeigen, was passiert, wenn diese Schutzmaßnahmen versagen.

Evidence & guidelines

IPsec ist in RFCs (4301 und verwandte) standardisiert, DNSSEC in RFC 4033-4035, und Anleitungen finden sich in NIST SP 800-41 (Firewalls) und SP 800-77 (IPsec VPNs). Moderne Empfehlungen bevorzugen Zero-Trust-Segmentierung (NIST SP 800-207) gegenüber flachen Perimeter-only-Netzwerken, und das MITRE ATT&CK Framework katalogisiert netzwerkbasierte Angriffstechniken.

History

Netzwerksicherheit wurde mit dem Wachstum der TCP/IP-Netzwerke dringend: Der Morris-Wurm von 1988 verbreitete sich im frühen Internet, die 1990er Jahre brachten Firewalls und die ersten VPNs, und IPsec wurde standardisiert, um die Netzwerkschicht zu sichern. Wiederholte Vorfälle in DNS (Kaminskys Cache-Poisoning-Angriff von 2008) und Routing (BGP-Hijacks) führten zur Einführung von DNSSEC und Routing-Sicherheitsmaßnahmen, während DDoS-Angriffe zu einer anhaltenden Bedrohung wurden.

Key figures

• William Stallings
• Ross Anderson
• Steven Bellovin
• Radia Perlman

Related topics

• tls and secure channels
• authentication and access control
• key exchange and establishment

Seminal works

• stallings2017
• anderson2020
• kurose2021

Frequently asked questions

Macht mich ein VPN online anonym?

Ein VPN verschlüsselt den Datenverkehr zwischen Ihnen und dem VPN-Server, verbirgt ihn vor Ihrem lokalen Netzwerk und Ihrem ISP und maskiert Ihre IP vor Zielservern. Es bietet jedoch keine vollständige Anonymität: Der VPN-Anbieter kann Ihren Datenverkehr sehen, und andere Tracking-Methoden (Cookies, Konten, Fingerprinting) identifizieren Sie weiterhin.

Wenn der Datenverkehr mit TLS verschlüsselt ist, warum wird dann noch Netzwerksicherheit benötigt?

TLS schützt einzelne Anwendungssitzungen, aber Netzwerke sind auch Denial-of-Service, Eindringversuchen, lateraler Bewegung nach einer Sicherheitsverletzung, DNS- und Routing-Angriffen sowie unverschlüsselten oder falsch konfigurierten Diensten ausgesetzt. Netzwerksicherheitsmaßnahmen adressieren Bedrohungen, die eine reine sitzungsbasierte Verschlüsselung allein nicht abdecken kann.

Methods for this concept

• Intrusion Detection System
• TLS Protocol Analysis
• Deep Packet Inspection
• Symmetric Key Cryptanalysis
• Vulnerability Assessment
• Software-Defined Networking
• Diffie-Hellman Key Exchange
• Penetration Testing Methodology

Related concepts

• Netzwerksicherheit (Computernetzwerke)
• System- und Netzwerksicherheit
• TLS und sichere Kanäle
• Authentifizierung und Zugriffskontrolle
• Schlüsselaustausch und -etablierung
• Software- und Anwendungssicherheit