Harald Sack

The Foundation of the Internet: TCP/IP Reference Model

Spanning the world with its almighty presence, today’s Internet connects computers, telephones, entertainment electronics and, in a short time also the household devices and the goods we need for daily life. More and more it penetrates the surface of our lives. To enable these different devices to communicate smoothly and efficiently with each other their communication must follow defined rules—so-called communication protocols. These mold the individual layers of Internet communication determining the tasks, level of abstraction complexity and respective range of functions. By what means and way these specifications are put into practice is, however, not defined by the model but depends on the specific implementation. The TCP/IP reference model thus assumed a concrete form through practical application and builds today, as well as in the foreseeable future, a solid foundation for all of the communication tasks on the Internet.

Sicherheitsziele und Bedrohungen im Internet

Um geeignete Sicherheitsmethoden zum Schutz von Computernetzwerken und der uber diese versandten Nachrichten entwickeln zu konnen, mussen zunachst die verschiedenen Sicherheitsziele identifiziert werden, die es zu gewahrleisten gilt. Dann ist es moglich, die einzelnen Bedrohungen und Angriffe zu analysieren und festzustellen, gegen welche dieser Sicherheitsziele sie gerichtet sind.

Public Key Infrastrukturen und Zertifikate

Sowohl symmetrische als auch asymmetrische Verschlusselungsverfahren konnen nur zuverlassig betrieben werden, wenn ein sicherer Austausch der Schlussel bzw. eine sichere Zuordnung der offentlichen Schlussel gewahrleistet ist. Bei symmetrischen Verfahren mussen die geheimen Schlussel zwischen den beiden beteiligten Kommunikationspartnern ausgetauscht werden, damit die verschlusselt versendeten Nachrichten auf der anderen Seite wieder entschlusselt werden konnen. Obwohl das bei asymmetrischen Verfahren nicht notwendig ist, muss hier sichergestellt werden, dass der offentliche Schlussel eines Kommunikationsteilnehmers tatsachlich auch zu diesem gehort und nicht zu einem Angreifer, der versucht, sich unter einer falschen Identitat in eine vertrauliche Kommunikation einzuschleichen. Ein sicherer Schlusselaustausch bzw. die sichere Schlusselzuordnung kann durch die Einschaltung eines vertrauenswurdigen Dritten (Trusted Third Party) gewahrleistet werden.

Als offenes Netzwerk bietet das Internet Angreifern leichte Beute

Jeder kennt die Bedrohungen im Internet – Hackerangriffe, Identitatsklau oder Schnuffeleien – als dunkle Kehrseite der Dank des Internets entstandenen neuen digitalen Welt. Die wunderbar vereinfachten Kommunikationsmoglichkeiten, die das Internet bietet, haben in historisch kurzester Zeit alle Bereiche unseres Lebens und der menschlichen Gesellschaft erobert und zu einem unvorstellbar grosen digitalen Datenschatz gefuhrt, der auf mit dem Internet verbundenen Server-Rechnern gelagert fur jeden Internetnutzer erreichbar ist. Wahrend man diese Rechner weitgehend vor fremdem Zugriff schutzen kann, bieten sich doch fur Angreifer immer wieder Zugriffsmoglichkeiten, namlich immer dann, wenn die Daten zwischen diesen Rechnern uber das jedermann zugangliche offene Internet ausgetauscht werden.

Grundbegriffe der Kryptografie

Hauptgegenstand der Kryptografie ist die Verschlusselung und Entschlusselung von Klartextinformation. Durch das Verschlusseln (Chiffrieren) wird ein Klartext in einen Chiffretext (Chiffrat) transformiert, so dass Uneingeweihte keinen Ruckschluss auf den Inhalt ziehen konnen. Der Chiffretext sieht vollkommen unsinnig aus, wie zufallig aneinandergereihte Zeichen. Das Verschlusselungsverfahren, also die Abbildungsvorschrift, die den Klartext in den Chiffretext transformiert, wird dabei als Chiffre bezeichnet. Das Verschlusselungsverfahren nutzt jeweils eine nur den beiden Kommunikationspartnern bekannte Geheiminformation (Schlussel), die ausgewahlt aus einer astronomisch grosen Menge ahnlicher Informationen praktisch nicht erraten werden kann. Mit Hilfe des Schlussels kann umgekehrt aus dem Chiffretext durch Entschlusselung (Dechiffrieren) wieder der ursprungliche Klartext gewonnen werden.

Vertraulichkeit und Verschlüsselung

Betrachten wir zunachst das Sicherheitsziel der Vertraulichkeit und Geheimhaltung. Um dieses Ziel zu erreichen, also um sicherzustellen, dass vertrauliche Information bei ihrem Transport durch das offene Internet nicht Unberechtigten zur Kenntnis gelangen konnen, brauchen die geheim zu haltenden Nachrichten einfach nur mit einem kryptografischen Verfahren mit einem hinreichend langen Schlussel verschlusselt werden. Selbst wenn es einem Angreifer gelingt, in den Besitz (einer Kopie) einer transportierten verschlusselten Nachricht zu gelangen – im Internet lasst sich das wie schon bemerkt nicht verhindern -, kann er ohne den geheimen Schlussel praktisch keine Kenntnis vom Inhalt der Nachricht erlangen, zumindest wenn die Schlussellange so gewahlt ist, dass zum Erraten oder zum systematischen Durchprobieren astronomisch viele Versuche notig sind.

Glossar sicherheitstechnischer Begriffe

Authentifikation (auch Authentifizierung): n nDient dem Nachweis der Identitat eines Benutzers. Bei der Benutzerauthentifikation in einem geschlossenen Netz erfolgt die Authentifikation z. B. uber einen Passwort-Mechanismus oder mittels biometrischen Authentifikationsverfahren, z. B. Fingerabdruck. Bei der Authentifikation in offenen Netzen werden zur Identitatsprufung digitale Zertifikate einer vertrauenswurdigen Instanz verwendet und zur Uberprufung der Integritat einer Nachricht digitale Signaturen erstellt und mitversendet.

Application Layer and Internet Applications

We have so far seen how data is transported from one computer to another over the global Internet, yet an interface is still missing where this basic technology can be used for special services and applications. Tasks that have now become an integral part of life, such as sending electronic mail or using interactive information resources on the World Wide Web, are all founded on a client/server-based interaction model that takes advantage of the possibilities offered by the Internet and its protocols. This chapter focuses on the application layer of the TCP/IP reference model and deals with a variety of services and applications located at this layer. Following a description of the client/server interaction model, directory and name services will be presented before turning to the most important Internet application besides the World Wide Web—electronic mail and the protocols that make it possible. Particular attention will be paid to multimedia applications, such as the popular media streaming, as well as a wide range of other applications.

Network Access Layer (2): Wireless Mobile LAN Technologies

The days when access to the Internet was only possible from the home or office via a wired computer are long gone. For several years now, mobility has been the primary focus, whether it be using a laptop to access the company network while on the go or reading emails on a cell phone. This unlimited availability has been enabled by mobile communication technologies that make the normal LAN accessible anywhere. And all this without having to worry about bothersome cabling management. The wireless LAN (or WLAN) provides us today with a performance comparable to wired LAN technology. But this new found freedom is not without its darker side. With wired network technologies, unauthorized intruders and attackers had been forced to first gain physical access to the foreign network before intrusion could be carried out. The WLAN of today does away with fixed structural borders and can be received barrier-free by everyone within its transmission radius. This has made security technologies and encryption techniques inseparable with wireless network technologies. The present chapter introduces the foundations of the WLAN technology and will also look at the necessary security standards and encryption methods that allow the secure implementation of wireless technology. In addition to WLANs, close range networks, so-called Personal Area Networks (PANs), are gaining increasing importance. These have the capability of linking devices autonomously and wirelessly within the radius of only a few meters. Prominent examples of PAN technologies––Bluetooth and ZigBee––will be examined in detail.

Network Access Layer (1): Wired LAN Technologies

Local networks—so-called LANs (Local Area Networks)—connect computers that are in close proximity to each other. The triumphant March of LANs remains unbroken, extending from a simple point-to-point connection between two computers in the same room, to company/campus networks linking several hundred or even thousands of computers all communicating with each other over a common transmission medium. In respect to their geographical scope and the number of computers that can be connected over them, LANs, however, do have technical limitations. Different operational criteria, such as cost, throughput rate, spatial expansion and arrangement have led to the development of widely varying LAN technologies. These all follow their own protocol mechanisms and are each suited for application in different scenarios—whether stationary or mobile.