Allgemein:Leitfaden-Security-Firewall
Leitfaden - Security, Firewall, VPN
Wir haben Ihnen diesen Leitfaden usammengestellt, um Ihnen einen besseren Einblick in Security, FireWall sowie VPN zu vermitteln, da VPNs gerade im Bereich der Unternehmenssicherheit eine wesentliche Komponente darstellen. Daneben wurden auch andere Technologien berücksichtigt, die ebenfalls grundlegend für ein sicheres Netzwerk sind.
Security for Dummies
Mit nachfolgeneden Link wird ein Handbuch zur Verfügung gestellt, dass "Securitty Aspekte" beschreibt jedoch so das dies für jedermann verständlich ist:
Datei:FTNT UTM For Dummies.pdf
A
Access Control List (ACL, Zugriffssteuerungsliste)
Eine sequenzielle Liste von Berechtigungs- und Ablehnungsbedingungen. In dieser Liste ist festgelegt, welche Verbindungen über ein Gerät - in der Regel einen Router - geleitet werden dürfen. ACL-Listen sind eine eher grobe Methode, um den Zugang zum Netzwerk zu beschränken.
Advanced Encryption Standard (AES)
Eine Initiative der US-amerikanischen Regierung, um einen standardmässigen Chiffrieralgorithmus auszuwählen, mit dem vertrauliche Regierungsdokumente geschützt werden können. Dieser Algorithmus löst DES als Standard für die symmetrische Blockchiffrierung ab und hat eine Schlüssellänge von 128 Bit. AES wurde so konzipiert, dass Daten schneller und effizienter als mit DES oder Triple DES verschlüsselt werden.
AH
Siehe Authentication Header, AH (Authentifizierungskopf)
Antivirus
Ein Mechanismus zur Entdeckung und Impfung von Viren auf einem lokalen Datenträger oder in Dateien, während diese zwischen Netzwerken übertragen werden. Antivirus-Anwendungen sind ein Beispiel für Programme zur Gewährleistung der Inhaltssicherheit. Ihnen kommt in der Netzwerksicherung eine wesentliche Bedeutung zu, da sie die Hosts und die auf den Hosts gespeicherten Daten vor Viren schützen.
Anwendungs-Gateway
Siehe Proxy-Server-Firewall
Application Programming Interface (API)
Ein genau definierter Satz von Funktionen, Syntax oder Sprachen, durch die Anwendungsprogramme miteinander kommunizieren und Daten austauschen können. Wird verwendet, um die Programmierung zu vereinfachen und die Interoperabilität zwischen mehreren Anwendungen sicherzustellen.
API zur Ereignisprotokollierung
Eine von Check Point entwickelte OPSEC-Programmierschnittstelle, die es Produkten anderer Hersteller ermöglicht, Ereignisse auf einer VPN-1-/FireWall-1-Managementkonsole zu protokollieren. Die Anwendungen greifen auf diese API zu und sind dadurch in der Lage, die Berichtfunktionen zu nutzen, die in die Sicherheitslösungen von Check Point integriert sind. So kann beispielsweise ein System zur Erkennung von Eindringlingen einen Bericht über die entdeckten Angriffe ausgeben und sie in den konsolidierten Protokollen der VPN-1- und FireWall-1-Konsole anzeigen.
Asymentrische Verschlüsselung
Beim Public-Key-Verfahren (auch als asymmetrische Verschlüsselung bezeichnet), werden zwei mathematisch zusammengehörige Schlüssel verwendet, von denen einer zum Verschlüsseln und der andere zum Entschlüsseln der Nachricht dient. Beide Schlüssel zusammen ergeben das Schlüsselpaar. Bei der asymmetrischen Verschlüsselung werden nicht nur die Daten verschlüsselt, sondern es wird gleichzeitig auch die jeweilige Identität der beiden miteinander kommunizierenden Teilnehmer validert. Diese Art der Verschlüsselung gilt als sicherer als die symmetrische Verschlüsselung, ist jedoch etwas langsamer. In der Praxis wird bei der Implementierung eines VPN-Netzes häufig eine asymmetrische Verschlüsselung verwendet, um die Identität des Absenders und den Inhalt der Nachricht zu überprüfen (siehe Digitale Signatur, Message-Digest-Algorithmus). Die symmetrische Verschlüsselung hingegen dient dazu, den privaten Charakter des Nachrichteninhalts zu schützen.
Authentifizierung 1
Ein Mechanismus zur Verifizierung der Identität eines Benutzers. Ein Authentifizierungsschema dient der Netzwerksicherheit und erteilt spezifischen Benutzern Zugriffsberechtigungen durch Methoden wie Zertifikate, Passwörter oder Token. 2. Die Gewährleistung, dass die Kommunikation zwischen zwei Teilnehmern nicht verfälscht wurde. Ein VPN mit IPSec enthält einen Authentifizierungskopf, der diese Funktion erfüllt.
Authentication Header (AH)
Der Authentication Header (Authentifizierungskopf) ist eine Komponente des IPSec-Protokolls. Anhand des Header wird verifiziert, dass der Inhalt eines Paketes nicht geändert wurde. Ausserdem wird durch den Header die Identität des Absenders auf ihre Gültigkeit überprüft. Ein Authentication Header allein stellt noch keine Verschlüsselung von Paketen dar.
B
Back Orifice
Ein Programm, das sich selbst auf einem Rechner als Server installiert und es einem Benutzer über den Back-Orifice-Client ermöglicht, den Host dezentral zu steuern. Back Orifice ist ein trojanisches Pferd, das durch scheinbar harmlose Exe-Dateien unwissentlich installiert werden kann. Nach der Installation kann ein Aussenstehender auf alle Dateien, Systempasswörter, Tastatureingaben und andere vertrauliche Daten zugreifen und selbst auch Informationen eingeben, die das Netzwerk noch weiter gefährden.
Backdoor (Hintertür)
Eine Methode, um die Sicherheitspolitik eines Unternehmens mittels einer bisher unbekannten Schwachstelle zu durchbrechen, wodurch ein unbefugter Benutzer Zugang zum Netzwerk erhält. Ein Beispiel für eine solche Hintertür wäre u.a. eine unsichere Modemverbindung zu einem an das Netzwerk angeschlossenen Computer.
Bastion-Host
Eine Art von Firewall, bei der der gesamte Verkehr zwischen zwei Netzwerken über einen besonders geschützten Host geleitet wird.
Biometrik
Die Nutzung von eindeutigen physikalischen Merkmalen wie Fingerabdruck, Sprachaufzeichnung oder Netzhaut-Scan, um die Identität eines Benutzers zu überprüfen. Die Nutzung von biometrischen Daten gilt als sicherer als z.B. die Verwendung von Passwörtern.
Blockchiffre
Eine Verschlüsselungsmethode, bei der die zu verschlüsselnden Daten in Blöcke von fester Länge zerlegt werden. Anschliessend wird die Verschlüsselungsoperation auf jeden der Blöcke angewendet. So wird z.B. eine 32-Byte-Nachricht (256 Bit), auf die eine 64-Bit-Blockchiffrierung wie DES angewendet wurde, in vier verschiedenen Blöcke zerlegt. Gegenteil: Stromchiffre
Blowfish
Ein symmetrischer 64-Bit-Chiffrieralgorithmus mit Schlüsseln von variabler Länge. Blowfish wurde als Alternative zu DES entwickelt.
Brute Force Attack ("Nackte-Gewalt-Angriff")
Ein unzulässiger Versuch, einen kryptographischen Schlüssel unter Zuhilfenahme aller denkbaren Möglichkeiten wiederherzustellen. Ein Benutzer, der versucht, einen 40-Bit-Schlüssel aufzudecken, kann beispielsweise 240 Möglichkeiten durchlaufen, bis das Gegenstück gefunden und der Verschlüsselungscode gebrochen wird.
C
Certificate
Das digitale Äquivalent zu Berechtigungsnachweisen. Ein Zertifikat enthält den Public Key des Absenders und verifiziert die Identität des jeweiligen Absenders. Zertifikate bieten eine sichere Methode zur Verteilung von Public Keys, da sie von einer vertrauenswürdigen Certificate Authority (Zertifizierungsstelle) validiert und unterzeichnet werden können. In einem VPN werden Zertifikate während des Schlüsselaustauschs verwendet, um sicherzustellen, dass die Schlüssel zwischen zwei bekannten Teilnehmern ausgetauscht werden.
Certificate Authority (CA)
Eine vertrauenswürdige Organisation, die als Ausgabe- und Verwahrungsort von digitalen Zertifikaten dient. Eine Certificate Authority (Zertifizierungsstelle) nimmt den Public Key eines Benutzers zusammen mit einem Identitätsnachweis entgegen und gibt anschliessend das Zertifikat für diesen Benutzer aus. Andere Benutzer haben nun die Möglichkeit, den Public Key dieses Benutzers bei der Certificate Authority auf seine Echtheit zu überprüfen. Siehe Zertifikat, Digitale Signatur, PKI
Certificate Revocation List (CRL)
Eine von einer Certificate Authority gepflegte Liste aller nicht mehr gültigen Zertifikate. Davon ausgenommen sind abgelaufene Zertifikate. Die Liste dient dazu, die Gültigkeit der bestehenden Zertifikate sicherzustellen.
Ein Protokoll zur Authentifizierung von dezentralen Benutzern. CHAP ist ein servergesteuerter, dreistufiger Authentifizierungsmechanismus, der auf einem Passwort (sog. Shared Secret) basiert.
Chiffrierung
Ein Regelsatz, mit dem eine Klartext-Nachricht in chiffrierten oder verschlüsselten Text umgewandelt wird. Die Chiffrierung ist Teil eines Verschlüsselungsschemas.
Cipher Block Chaining (CBC, Geheimtextblockverkettung)
Ein Blockchiffriermodus, bei dem ein Text als Block verschlüsselt und dieser verschlüsselte Block verwendet wird, um den aktuellen Block eines in Klartext verfassten Textes zu verschlüsseln.
Chiffrierter Text
Eine Nachricht, die verschlüsselt wurde, damit der private Charakter der Nachricht bei der Übertragung über unsichere Netzwerke erhalten bleibt.
Common Criteria
Ein multinationaler Standard, der dazu dient, Sicherheitsprodukte zu bewerten und festzulegen, in welchem Masse sie vertrauenswürdig sind. Kurzform für "Common Criteria for Information Technology Security Evaluation"; ersetzt den europäischen Standard ITSEC und den US-amerikanischen Standard TCSEC.
Compulsory Tunnel
Ein Begriff, der in Zusammenhang mit PPTP und L2TP verwendet wird, um den Aufbau einer ungewollten VPN-Sitzung zu beschreiben. Auf Client-Seite wird der Tunnel in der Regel auf einem Remote Access Server (RAS) aufgebaut und ist für den Endbenutzer nicht sichtbar. Obwohl ein Compulsory Tunnel die Skalierbarkeit des PPTP-Protokolls erhöht, indem er mehrere Verbindungen über einen Tunnel kombiniert, bleibt die Verbindung zwischen dem Endbenutzer und dem RAS ungesichert.
Content Vectoring Protocol (CVP)
Eine OPSEC-Programmierschnittstelle, die es VPN-1 und Firewall-1 ermöglicht, Dateiinhalte an die Inhaltssicherheitsanwendung (z.B. eine Antivirus-Software) eines Dritten zu senden oder sie auf Java- und Active-X-Komponenten zu überprüfen. Dadurch wird sichergestellt, dass die übertragenen Dateien für das Netzwerk ungefährlich sind. Die CVP-Programmierschnittstelle wurde von einer Vielzahl von Lieferanten von Sicherheitsprodukten übernommen.
Cross-Certification
Vorgang, bei der eine Certificate Authority der jeweils anderen Vertrauenswürdigkeit bescheinigt, wodurch es nicht mehr erforderlich ist, dass diese beiden CAs eine lange Hierarchie von Certificate Authorities durchlaufen müssen, um verifiziert zu werden.
Cryptographic Accelerator
Ein Produkt, auf das der Host rechenintensive Verschlüsselungsfunktionen überträgt ("ablädt"), wodurch sich der Verschlüsselungsprozess beschleunigt. Wird gewöhnlich in hochleistungsfähigen VPN-Gateways verwendet, um die Leistung zu steigern.
D
Data Encryption Standard (DES)
Ein häufig verwendeter Verschlüsselungsalgorithmus, der von der US-Regierung 1977 zum Standard erhoben wurde. Bei DES handelt es sich um eine 64-Bit-Blockchiffrierung, die wegen ihrer Geschwindigkeit verwendet wird. Aufgrund der Sicherheitsprobleme, die sich aus der relativ kurzen Schlüssellänge (56 Bit) ergeben, wird häufig Triple DES verwendet (Verschlüsselung in drei unterschiedlichen, aufeinanderfolgenden DES-Schlüsseln).
Demilitarized Zone (DMZ)
Ein Netzwerk, das sich ausserhalb des vertrauenswürdigen oder sicheren Netzwerks befindet, aber noch immer durch einen Firewall-Gateway vor nicht vertrauenswürdigen Netzwerken wie z.B. dem Internet geschützt ist. Netzwerkadministratoren isolieren häufig öffentlich zugängliche Ressourcen wie Web- oder E-Mail-Server in einer DMZ. Auf diese Weise wird verhindert, dass ein Eindringling, dem es gelungen ist, die Sicherheit zu durchbrechen, das interne Netzwerk angreift. Private local net = privates lokales Netz Mailsrvr = Mail-Server Router = Router Public = Öffentlichkeit Publicly accessible DMZ (HTTP, FTP etc.) = öffentlich zugängliche DMZ (HTTP, FTP etc.)
Denial-of-Service-Angriff (DoS)
(DoS-ANGRIFF) Ein Angriff auf ein Netzwerk, der den Zweck hat, das Ziel mit Stördaten zu überschwemmen, um zu verhindern, dass zulässige Verbindungsversuche erfolgreich verlaufen. Im Gegensatz zu Angriffen, deren Zweck es ist, in das Zielsystem einzudringen, werden bei DoS-Angriffen dem Angreifer keine sensiblen Daten preisgegeben. Beispiel für Denial-of-Service-Angriffe sind SYN Flood, Tribal Flood Network (TFN) und Ping-of-Death (POD). FAKTEN 60% der grossen Unternehmen, die ihren elektronischen Handel über das Internet abwickeln, berichten, dass sie in ihren Systemen Denial-of-Service-Angriffe entdeckt haben. Quelle: "Computer Crime and Security Survey", Computer Security Institute/Federal Bureau of Investigations, 3/00.
Diffie-Helman-Schlüsselaustauschschema
Ein Public-Key-Schema, das von Whitfield Diffie und Martin Hellmann entwickelt wurde. Hierbei können zwei Teilnehmer einen geheimen Schlüssel gemeinsam nutzen, ohne dass dabei geheime Informationen mitgeteilt werden. Auf diese Weise ist kein sicherer Kanal mehr erforderlich. Sobald die beiden Teilnehmer den gemeinsamen geheimen Schlüssel (sog. Shared Secret) berechnet haben, können sie ihn verwenden, um ihre Kommunikation untereinander damit zu verschlüsseln. Im Diffie-Hellman-Schema verfügt jeder Korrespondent über ein Schlüsselpaar, das sich aus einem öffentlichen (Public Key) und einem privaten Schlüssel (Private Key) zusammensetzt. Sie vereinbaren den geheimen Schlüssel wie folgt:
> Bob erhält den Public Key von Alice und führt eine Berechnung mit seinem eigenen Private Key und dem Public Key von Alice durch.
> Alice erhält den Public Key von Bob und führt eine Berechnung mit ihrem eigenen Private Key und dem Public Key von Bob durch.
> Die Ergebnisse beider Berechnungen sind gleich und dienen als geheimer Schlüssel. Auf diese Weise kann ein geheimer Schlüssel
vereinbart werden, ohne dass dabei irgendwelche geheimen Informationen mitgeteilt werden müssen. Eventuelle Lauscher haben
keinerlei Möglichkeit, den Schlüssel aufzubrechen.
Digitiale Signatur
Eine elektronische Nachricht, die nicht gefälscht werden kann. Mit der digitalen Signatur wird sichergestellt, dass eine Nachricht während der Übertragung nicht verfälscht wurde. Lässt man Text einen einseitig gerichteten Hash-Algorithmus durchlaufen, um einen Message-Digest-Algorithmus zu erzeugen und diesen Digest mit dem privaten Schlüssel des Absenders zu verschlüsseln, entsteht ein elektronisches Dokument, das von den VPNs verwendet wird, um die Identität des Absenders und die Authentizität der enthaltenen Daten nachzuprüfen. Derartige digitale Signaturen kommen z.B. beim IKE-Austausch zum Einsatz, bei dem Public-Key-Werte digital signiert werden, um Man-in-the-Middle-Angriffe (d.h. Lauschangriffe) zu verhindern.
Digitial Signature Algoithm (DSA)
Ein Public-Key-Algorithmus, der von der US-amerikanischen Regierung als Teil des Digital-Signature-Standards zur Authentifizierung von elektronischen Nachrichten entwickelt wurde.
Directory Service (Verzeichnisservice)
Eine Standarddatenbank, die verteilte, skalierbare, Client/Server-basierte Verwahrungsstellen für solche Daten zur Verfügung stellt, die wesentlich häufiger gelesen als modifiziert werden. Benutzer und Anwendungen können auf diese Verzeichnisse durch Verzeichniszugriffsprotokolle (Directory Access Protocols, DAPs) zugreifen. Zu den DAPs für Netzwerkumgebungen gehören beispielsweise die Verzeichniszugriffsprotokolle Novell Directory Services (NDS) und X.500. Das am weitesten verbreitete DAP ist LDAP (siehe Lightweight Directory Access Protocol). Zu den in einem Verzeichnisservice gespeicherten Informationen gehören u.a. Benutzerdefinitionen und -profile, Definitionen von Netzwerkressourcen und Netzwerkregeln.
Distributed Denial-of-Service-Angriff (DDOS-ANGRIFF)
Ein DoS-Angriff, der über mehrere Quellen ausgeführt wird. Im Allgemeinen platziert der Angreifer eine Client-Software auf einer Reihe von unverdächtigen Remote-Computern und nutzt dann diese Computer, um den Angriff zu starten. Ein DDoS-Angriff ist nicht nur wesentlich effektiver als ein einfacher DoS-Angriff, sondern auch schwieriger zu verhindern. Trin00 und Tribal Flood sind Beispiele für solche DDoS-Angriffe.
Domain of Interpretation (DOI)
Bezeichnet in IPSec die Spezifikation von Protokollen, Algorithmen und anderen relevanten Informationen, die zur Erzeugung einer Sicherheitsvereinbarung zwischen zwei Teilnehmern erforderlich sind. Da bei IPSec viele Algorithmen für jedes beliebige vorhandene Protokoll verwendet werden können, legt die DOI fest, welche Parameter standardmässig verwendet werden, um eine Sicherheitsvereinbarung für ein Protokoll zu erzeugen.
E
Encapsulating Security Payload (ESP)
Eine wesentliche Komponente IPSec-kompatibler VPNs. Die ESP legt ebenso die Verschlüsselung eines IP-Paketes wie auch die Datenintegritätsprüfungen und Absenderauthentifizierung fest, die als Header zum IP-Paket hinzugefügt werden.
Encapsulation
Bezeichung für einen Vorgang, bei dem der Inhalt eines gesamten Paketes in ein zweites Paket gepackt wird. Bei der Verschlüsselung kann dieser Vorgang genutzt werden, um nicht nur die Daten an sich, sondern auch die Identität des Absenders und des Empfängers der Daten zu schützen. Ein Beispiel für die Encapsulation ist der Tunnel-Modus im IPSec-Verfahren.
Encryption (Verschlüsselung)
Die Umwandlung von Daten in einen geheimen Code, um sie über ein unsicheres Netzwerk zu senden. Die Verschlüsselung ermöglicht es, private Daten mithilfe von VPNs über ein öffentliches Netzwerk wie z.B. das Internet zu senden. Bei der symmetrischen Verschlüsselung mit geheimem Schlüssel wird für die Verschlüsselung und die Entschlüsselung einer Nachricht derselbe Schlüssel verwendet. Im Gegensatz dazu werden beim Public-Key-Verfahren (sog. asymmetrische Verschlüsselung) zwei mathematisch zusammengehörige Schlüssel verwendet. Die Verschlüsselung der Nachricht erfolgt mit dem einen, die Entschlüsselung mit dem anderen der beiden Schlüssel. Siehe Asymmetrische Verschlüsselung, Symmetrische Verschlüsselung.
Encryption Algorithme (Verschlüsselungsalgorithmus)
Ein mathematischer Algorithmus wie DES oder TwoFish zum Ver- und Entschlüsseln von Daten. Ein Verschlüsselungsalgorithmus ist ein Element eines Verschlüsselungsschemas.
Encryption Domain (Verschlüsselungsdomäne)
Bezeichnet die Computer und Netzwerke, auf deren Anweisung hin ein VPN-Gateway die Kommunikation ver- und entschlüsselt.
Encryption Schema (Verschlüsselungsschema)
Ein Mechanismus zur Verschlüsselung und Authentifizierung von Nachrichten sowie zur Verwaltung und Verteilung von Schlüsseln. Ein Verschlüsselungsschema besteht aus drei Elementen:
> Einem Verschlüsselungsalgorithmus, der die eigentliche Verschlüsselung übernimmt (z.B. FWZ-1, DES oder Blowfish)
> Einem Authentifizierungsalgorithmus, der die Unversehrtheit der Nachricht sicherstellt (z.B. MD5 oder SHA-1)
> Ein Key-Management-Protokoll zum Erzeugen und Austauschen von Schlüsseln (z.B. IKE).
Extranet
Ein Extranet ermöglicht es einem Unternehmen und seinen Partnern oder Kunden, auf sichere Weise und unter Verwendung des Internets zusammenzuarbeiten, zu kommunizieren und Dokumente auszutauschen. Extranets wie z.B. das Automotive Network Exchange (ANX) sind eine Kernkomponente des E-Business und verwenden typischerweise VPNs, die es autorisierten Benutzern ermöglichen, auf spezifische Informationen wie technische Dokumentation oder Bestandsdaten zuzugreifen. Siehe Virtual Private Network.
F
Firewall
Ein Sicherheits-Gateway, der zwischen zwei verschiedenen Netzwerken - in der Regel einem sicheren Netzwerk und dem Internet - angeordnet wird. Die Firewall stellt sicher, dass die gesamte über sie geführte Kommunikation der Sicherheitspolitik des Unternehmens entspricht. Firewalls verfolgen und steuern die Kommunikation, indem sie darüber entscheiden, ob die Kommunikation weitergeleitet, abgelehnt, verschlüsselt oder protokolliert werden soll. Firewalls können auch verwendet werden, um sensible Teile des lokalen Netzwerks zu sichern. Trusted network = Sicheres Netzwerk Mailsrvr = Mailserver Router = Router Untrusted network = Unsicheres Netzwerk
Fortezza
Eine Gruppe von Sicherheitsalgorithmen, die von der National Security Agency (NSA) definiert wurden. Fortezza stellt die Datenintegrität (Secure Hash Algorithm), Authentifizierung und Unbestreitbarkeit (Digital Signature Algorithm) und Geheimhaltung (Key Exchange Algorithm und Skipjack Algorithm) sicher. "Fortezza-aktiviert" und "Fortezza-zertifiziert" sind Begriffe, die für kommerzielle Hard- und Software-Produkte verwendet werden, die einen oder mehrere dieser Fortezza-Sicherheitsalgorithmen nutzen.
FWZ
Key-Management-Schema von Check Point Software Technologies für VPNs. FWZ unterstützt den Verschlüsselungsalgorithmus FWZ-1 von Check Point sowie bestehende Authentifizierungsmethoden wie RADIUS, TACACS oder Passwörter für Betriebssysteme.
FWZ-1
National und weltweit exportierbarer 48-Bit-Verschlüsselungsalgorithmus von Check Point Software Technologies. FWZ-1 nutzt das In-Place-Verschlüsselungsverfahren, um die Paketgrösse beizubehalten.
G
Gateway
Ein Gerät, das zwischen zwei Netzwerken positioniert wird und über das die gesamte Kommunikation geführt werden muss. Ein Gateway ist eine naheliegende Lösung, um die Sicherheitspolitik zu verstärken und Dienste zur Verschlüsselung, Entschlüsselung und Authentifizierung zur Verfügung zu stellen.
Gateway Stealthing
Gateway Stealthing ist ein Verfahren, bei dem die an einen Gateway gerichtete, nicht autorisierte Kommunikation still abgebrochen wird, während die zulässige Kommunikation durchgelassen wird. Auf diese Weise ist der Gateway für mögliche Angreifer nicht sichtbar.
Grayware
Die Bezeichnung Grayware ist ein Oberbegriff für virtuelle Schadensprogramme aus dem World Wide Web wozu Trojaner, Würmer, Spyware und ähnliches gehören. Die Grayware wird über eMails, P2P, Internet und FTP täglich an Millionen Anwender versendet während Virenschutzsoftware vor diesen virtuellen Störenfrieden effektiv schützt.
H
Hash-Funktion
Ein Algorithmus, der eine Nachricht von beliebiger Länge in einen Message-Digest von fester Länge umwandelt. In Sicherungssystemen wird der Message-Digest verwendet, um zu überprüfen, ob der Inhalt einer Nachricht während der Übertragung verändert wurde. Beispiele für eine Hash-Funktion sind u.a. MD5 oder SHA-1, die zusammen mit HMAC zur Validierung des Paketinhalts verwendet werden.
HCA (Hybrid Mode Client API)
Eine von Check Point entwickelte API, die es Organisationen ermöglicht, IKE einzusetzen, obwohl sie statt Shared Secret und Zertifikaten andere Authentifizierungsmechanismen verwenden. Diese API versetzt Organisationen in die Lage, bestehende Authentifizierungsschemata wie RADIUS oder Tokens einzusetzen, noch während sie ein IPSec-kompatibles VPN implementieren.
Hochverfügbarkeit
Eine Methode, um den kontinuierlichen Zugang zu einer Netzwerkressource oder Anwendung wie einem VPN, einer Firewall oder einem Webserver zu ermöglichen. Um die Hochverfügbarkeit zu erreichen, werden Gruppen von redundanten Servern konfiguriert. Die Server werden kontinuierlich synchronisiert, damit im Bedarfsfall die automatische Umschaltung auf ein Ersatzgerät erfolgt. Bei einer solchen Hochverfügbarkeitslösung können es die redundanten Systeme erkennen, wenn der primäre Server nicht verfügbar ist. Ein wesentlicher Aspekt der Hochverfügbarkeit ist, dass die Umschaltung auf sekundäre Systeme vom Endbenutzer unbemerkt zu erfolgen hat. So sollte eine VPN-Verbindung z.B. umgeschaltet werden, ohne dass die Sitzung neu gestartet oder sich der Benutzer neu authentifizieren muss.
HMAC-MD5
Ein Nachrichten-Authentifizierungsalgorithmus, der die MD5-Hash-Funktion verwendet, um eine 128-Bit-Authentifizierungsprüfsumme aus einem 64-Byte grossen Datenblock zu erzeugen. Wird verwendet, um sicherzustellen, dass der Inhalt eines Paketes während der Übertragung nicht verändert wurde.
HMAC-SHA-1
Ein Nachrichten-Authentifizierungsalgorithmus, der die SHA-1-Hash-Funktion verwendet, um eine 164-Bit-Authentifizierungsprüfsumme aus einem 64-Byte grossen Datenblock zu erzeugen. Wird verwendet, um sicherzustellen, dass der Inhalt eines Paketes während der Übertragung nicht verändert wurde.
Host
Ein Computer, der an ein Netzwerk angeschlossen ist.
Hybrid Mode IKE
Eine Erweiterung von IKE, durch die Organisationen weit verbreitete Authentifizierungstechniken wie Tokens, RADIUS oder TACACS+ innerhalb eines VPN mit IPSec einsetzen können. Diese Version erweitert die Authentifizierungsoptionen von IKE und geht über die aktuellen Methoden wie Shared Secret und digitale Zertifikate hinaus. Hybrid Mode IKE ist derzeit ein IETF-Entwurf.
J
Jitter (Laufzeit (Latenz))
Der Transport von Daten benötigt Zeit. Sie wird als Laufzeit bzw. Latenz (engl. delay oder latency) bezeichnet und ist bei herkömmlicher Telefonie im Wesentlichen die Summe der Signallaufzeiten auf den Übertragungskanälen. Bei Telefonie über IP-Netze kommen weitere Verzögerungen durch die Paketierung und Zwischenspeicherung sowie gegebenenfalls Kompression und Dekompression der Daten hinzu. Bei der Telefonie (unabhängig davon mit welcher Technologie sie realisiert wird) stellen gemäß ITU-T Empfehlung G.114 bis 400 Millisekunden Einweglaufzeit (Mund zu Ohr) die Grenze dar, bis zu der die Qualität von Kommunikation in Echtzeit noch als akzeptabel gilt. Ab ungefähr 125 Millisekunden kann die Laufzeit vom Menschen jedoch schon als störend wahrgenommen werden. Daher empfiehlt die ITU-T bei hoch-interaktiven Kommunikationsformen generell eine Einweglaufzeit von 150 Millisekunden nicht zu überschreiten.
Als Jitter bezeichnet man die zeitliche Schwankung zwischen dem Empfang von zwei Datenpaketen. Um diese zu kompensieren, werden so genannte „Pufferspeicher“ (Jitterbuffer) eingesetzt, die eine zusätzliche, absichtliche Verzögerung der empfangenen Daten bewirken, um anschließend die Daten isochron auszugeben. Pakete, die noch später ankommen, können nicht mehr in den Ausgabedatenstrom eingearbeitet werden. Die Größe des Pufferspeichers (in Millisekunden) addiert sich zur Laufzeit. Sie erlaubt also die Wahl zwischen mehr Verzögerung oder mehr Paketverlustrate.
I
IDEA
Siehe International Data Encryption Algorithm.
IETF
Siehe Internet Engineering Task Force.
In-Place-Verschlüsselungsverfahren
Ein Mechanismus, der nur die Daten eines IP-Paketes verschlüsselt, während der Header nicht verschlüsselt wird. Bei der In-Place-Verschlüsselung bleiben die Header unverschlüsselt, während im Gegensatz zum Encapsulation-Verfahren die Paketlänge beibehalten wird. Ein Beispiel für ein solches In-Place-Verschlüsselungsverfahren ist FWZ-1 von Check Point.
Inhaltssicherheit
Bezeichnet die Möglichkeit, den Inhalt einer Mitteilung als Element der Sicherheitspolitik zu spezifizieren, statt die Sicherheitspolitik nur auf Basis der Header-Informationen zu definieren. Eine wirksame Inhaltssicherheit erfordert, dass eine Firewall die internen Details der von ihr überwachten Protokolle und Dienste versteht. Beispiele für Inhaltssicherheit sind u.a.: Heruntergeladene Dateien werden auf Viren überprüft, das Senden oder Empfangen von E-Mails an bzw. von zuvor festgelegten E-Mail-Adressen wird abgelehnt, der Zugriff auf Web-Sites, die bestimmte Begriffe enthalten, ist nur während einer definierten Zeitspanne zulässig.
International Data Encryption Algorithm (IDEA)
Ein Chiffrieralgorithmus mit geheimem Schlüssel, der die zu verschlüsselnde Nachricht in Blöcke von 64 Bit Länge zerlegt und einen 128-Bit langen Schlüssel zur Verschlüsselung nutzt.
Internet Engineering Task Force (IETF)
Die wichtigste Organisation, die mit der Entwicklung neuer Internet-Standardspezifikationen beschäftigt ist. Die IETF erarbeitet Lösungen für technische Probleme und spricht der Internet Engineering Steering Group (IESG) gegenüber Empfehlungen zur Standardisierung von Protokollen und Protokollverwendung im Internet aus. Zudem macht sie der Internet Community Technologien zugänglich, die von der Internet Research Task Force (IRTF) entwickelt wurden. Die IETF stellt ausserdem für Hersteller, Benutzer und Forscher, die an der Verbesserung verschiedener Aspekte des Internets interessiert sind, ein Forum für den Informationsaustausch zur Verfügung. Die IETF tritt dreimal im Jahr zusammen und besteht ausschliesslich aus freiwilligen Mitgliedern.
Internet Key Exchange (IKE)
Hierbei handelt es sich um das in IPSec verwendete Key-Management-Protokoll, das zwei Protokolle miteinander kombiniert: ISAKMP und Oakley. IKE wird verwendet, um Verschlüsselungscodes und Sicherheitsvereinbarungen dynamisch zu erzeugen. Es stellt vier Funktionen zur Verfügung:
> Vereinbarung zwischen Teilnehmern über geeignete Protokolle, Algorithmen und Schlüssel
> Authentifizierung der kommunizierenden Teilnehmer
> Sicherer Schlüsselaustausch
> Verwaltung der Schlüssel, nachdem sie ausgetauscht wurden. Es gibt drei Modi im IKE-Verfahren. Zwei davon dienen dazu,
eine sichere Kommunikation für den zukünftigen Schlüsselaustausch zu definieren (Phase 1); der dritte wird für den
nachfolgenden Schlüsselaustausch verwendet (Phase 2).
Main Mode: Ein sechs Schritte (drei Zyklen) umfassender Austausch der Phase 1, der die Identität der beiden miteinander
kommunizierenden Teilnehmer schützt. Wird verwendet, um Sicherheitsregeln für den Austausch der Phase 2 zu erzeugen.
Aggressive Mode: Ein drei Schritte umfassender Austausch der Phase 1, der schneller als der Main Mode ist, jedoch nicht die
Identität der beiden miteinander kommunizierenden Teilnehmer schützt. Wird verwendet, um Sicherheitsregeln für den Austausch
der Phase 2 zu erzeugen.
Quick Mode: Ein drei Schritte umfassender Austausch der Phase 2, der verwendet wird, um die Sicherheitsregeln
(Sicherheitsvereinbarung) für allgemeine IPSec- Kommunikationsverbindungen zu generieren und bei Bedarf neue Schlüssel zu
verzeugen. Dieses VPN-Protokoll nach Industriestandards vereinfacht das Key-Management, indem es den Schlüsselaustauschprozess
automatisiert. Diese automatisierung hat die Entwicklung von Extranet-Projekten grossen Umfangs wie z.B. Automotive Network
Exchange (ANX) ermöglicht. Siehe ISAKMP/Oakley.
Internet Protocol Security Standard (IPSEC)
Der Industriestandard für den Aufbau von VPNs. Der IP-Sicherheitsstandard umfasst eine Gruppe von Protokollen und Algorithmen, um Authentifizierung und Datenverschlüsselung über IP-basierte Netzwerke zur Verfügung zu stellen. IPSec setzt sich aus drei Hauptkomponenten zusammen:
Key-Management: Der IP-Sicherheitsstandard nutzt den Internet Key Exchange (IKE), um auf sichere Weise gemeinsam genutzte
Schlüssel zu erstellen und zwischen Standorten zu übertragen. Schlüssel und Sicherheitsvereinbarungen können auch manuell
übertragen werden.
Authentification Header (AH): Das Protokoll definiert die Methoden, anhand derer zum einen die Identität des Nachrichtenabsenders
festgelegt und zum anderen sichergestellt wird, dass die übertragenen Daten nicht verändert wurden.
Encapsulating Security Payload (ESP): Das Protokoll stellt dieselben Funktionen wie das AH-Protokoll zur Verfügung, definiert aber
zusätzlich noch die Verschlüsselungsmethoden für die Daten.
Die drei Komponenten sind modular aufgebaut und wurden konzipiert, um neue Algorithmen und Schemata zu integrieren und so die Aufwärtskompatibilität zu gewährleisten, wenn weitere Fortschritte in der Verschlüsselung erreicht oder neuen Schlüsselaustauschmechanismen entwickelt werden. IPSec definiert nur die kleinsten gemeinsamen Nenner, um so wenigstens die minimale Interoperabilität zwischen den von verschiedenen Herstellern implementierten IPSec-VPNs zu gewährleisten. So müssen z.B. alle VPNs mit IPSec den DES-Verschlüsselungsalgorithmus für die Datenverschlüsselung beinhalten.
Intrusion Detection System (IDS, Einbruchserkennungssystem)
Eine Anwendung, die dafür entwickelt wurde, netzwerkbasierte Angriffe wie z.B. DoS-Angriffe zu erkennen und darauf zu reagieren. Zu den möglichen Reaktionen gehören das Protokollieren von detaillierten Daten, die den Angriff betreffen, das Abbrechen der Verbindung und die Neukonfigurierung einer Firewall, um zukünftige Angriffe zu verhindern. Ein IDS-System sollte in eine gesamte Sicherheitsarchitektur integriert werden, um dynamische Verteidigungslinien gegen Eindringlinge zur Verfügung zu stellen.
IP-Spoofing
Eine Technik mit der ein Eindringling versucht, Zugriff auf ein Netzwerk zu erlangen. Hierzu verändert er die IP-Adresse eines Paketes, um den Eindruck zu erwecken, dass das Paket aus einem Netzwerkabschnitt mit höheren Zugriffsberechtigungen stammt (z.B. die IP-Adresse einer Workstation im sicheren Netzwerk). Gegen diese Art des Angriffs gibt es eine einfache Verteidigung: Interne IP-Adressen werden nicht gegenüber externen Benutzern preisgegeben, und die Pakete werden an einer Firewall oder einem Router überprüft, um sicherzustellen, dass sie von dem korrekten Netzwerk stammen.
IPSEC
Siehe Internet Protocol Security Standard
ISAKMP/OAKLEY
Ein in IPSec verwendetes Protokoll für Key-Management und Schlüsselaustausch. ISAKMP (Internet Security Association Key Management Protocol)/Oakley besteht aus zwei Protokollen (ISAKMP und Oakley), die im IKE-Protokoll miteinander kombiniert wurden. Siehe Internet Key Exchange.
K
Kerberos
Ein Authentifizierungsdienst, der geheime Schlüssel zur Verschlüsselung und Authentifizierung verwendet. Kerberos kommt in Windows 2000 und anderen Produkten zum Einsatz. Nach dem ersten Login erhält der Benutzer ein Authentifizierungsticket, das für den Zugriff auf zukünftige Netzwerkressourcen verwendet wird. Im Gegensatz zum Public-Key-Authentifizierungssystem erzeugt Kerberos keine digitalen Signaturen und kann auch nicht genutzt werden, um den Autor eines Dokumentes zu verifizieren.
Key-Management (Schlüsselmanagement)
Ein Mechanismus zur Verteilung von Verschlüsselungscodes in einem Public-Key-Schema. Das Key Management umfasst Schlüsselerzeugung, Zertifizierung (obwohl diese auch durch eine externe Certificate Authority erfolgen kann) und Schlüsselverteilung und kann entweder manuell oder automatisch vorgenommen werden. In dem Masse, in dem ein VPN wächst, wächst auch die Bedeutung eines skalierbaren Key-Management-Systems wie z.B. IKE. Siehe IKE.
L
Layer2 Forwarding (L2F)
Ein Tunneling-Protokoll, das von Cisco entwickelt wurde, um eine Vielzahl von Protokollen zu bearbeiten. Es wurde speziell für Benutzer entwickelt, die sich von aussen in das Netz einwählen, und bietet eine Methode zur Authentifizierung von dezentralen Benutzern. Allerdings stellt es keine Datenverschlüsselung zur Verfügung. Es wurde weitgehend vom Layer 2 Tunneling Protocol als Standard abgelöst.
LAYER 2 TUNNELING PROCOTOL (L2TP) Ein Tunneling-Protokoll gemäss IETF-Standard, das sich am besten eignet, um von POPs aus auf Unternehmensnetzwerke zuzugreifen. L2TP vereint die Merkmale des PPTP-Protokolls von Microsoft sowie des L2F-Protokolls von Cisco. L2TP beinhaltet keine Verschlüsselung oder paketweise Authentifizierung und muss daher mit anderen Protokollen wie z.B. IPSec kombiniert werden, um die für eine VPN-Lösung erforderliche Datenintegrität und Geheimhaltung sicherzustellen.
Lightweight Directory Access Protocol (LDAP)
Ein Mechanismus für Internet-Clients, um über eine TCP/IP-Verbindung auf eine Datenbank mit Verzeichnisdiensten zuzugreifen und sie zu verwalten. LDAP ist eine vereinfachte Form des X.500 Directory Access Protocol (DAP) und erhält immer grössere Unterstützung von den wichtigsten Internet-Anbietern.
Logging Export API (LEA)
Eine OPSEC-Programmierschnittstelle, die es einer Anwendung ermöglicht, auf sichere Weise Echtzeit- und historische Protokollier- und Prüfereignisse, die von den VPN-1- und FireWall-1-Lösungen von Check Point erzeugt wurden, zu empfangen und zu verarbeiten. LEA kann von einer Vielzahl von Anwendungen genutzt werden, um die Firewall-Verwaltung zu vervollständigen. So kann z.B. eine Anwendung zur Netzverkehranalyse LEA nutzen, um damit auf Daten zuzugreifen und anhand des Verkehrs, der durch die Firewall geleitet wird, Berichte auszugeben.
M
Malicious Activity Dedection (MAD)
Eine Abschirmfunktion bei VPN-1 und FireWall-1 von Check Point, die die Dateien der Sicherheitsprotokolle nach Netzwerkangriffen oder verdächtigen Aktivitäten wie SYN Flood oder Port Scanning, durchsucht. Wenn ein entsprechendes Muster gefunden wird, werden die Sicherheitsmanager automatisch durch eine Vielzahl von Methoden gewarnt.
Managed Service Provider (MSP)
Ein Unternehmen, dass aussenstehenden Organisationen Internet-Dienste über die Basisanschlussmöglichkeit hinaus zur Verfügung stellt. Im Gegensatz zum Internet Service Provider kann ein MSP auch den zur Verfügung gestellten Dienst implementieren und verwalten. Zu den Diensten, die von einem MSP angeboten werden können, können z.B. die Verwaltung der grundlegenden Sicherheitsdienste oder die Implementierung von VPN-Diensten zwischen mehreren Standorten gehören.
Man-in-the-middle-Angriff (Lauschangriff)
Ein Angriff, der den Zweck hat, die VPN-Kommunikation zu stören. Ein solcher Angriff kann z.B. durch nachlässiges Vorgehen beim Austauschen der Verschlüsselungscodes ermöglicht werden. Wenn zwei Teilnehmer ungeschützte Schlüssel austauschen, kann ein erfahrener Angreifer eine Reihe von Methoden anwenden, um die Schlüssel abzuhören und sie durch seinen eigenen zu ersetzen, sodass die Teilnehmer unwissentlich mit dem zwischengeschalteten Angreifer kommunizieren.
Manuelles IPSEC Verfahren
Eine Methode zum Implementieren von IPSec, bei der die Schlüssel über ein sicheres Medium (z.B. mündlich unter vier Augen oder auf einem Blatt Papier) ausgetauscht und dann an jedem der beiden sicheren Standorte manuell konfiguriert werden. Zwar stellt dies eine einfache und sichere Methode dar, um eine kleine Zahl von Standorten zu implementieren, doch ist dieses Verfahren nicht für grosse Unternehmens-VPN geeignet. Hier sollte IKE oder ein anderes automatisiertes Key-Management-System verwendet werden. ^
Message Digest
Eine Nachricht, die zu einer Zeichenkette aus Buchstaben und Zahlen verdichtet wurde und die die Hash-Funktion in eine Richtung verwendet. Dient zur Authentifizierung des Nachrichteninhalts oder zur Erzeugung einer digitalen Signatur.
Microsoft Point-to-Point Encryption (MPPE)
Eine Verschlüsselungsmethode, die auf dem RSA-Standard RC4 basiert. Sie wird im PPTP-Protokoll von Microsoft verwendet, um VPNs zu erzeugen.
N
Network Address Translation (NAT, Netzwerkadressübersetzung)
Übersetzung von illegalen IP-Adressen eines internen Netzwerks in legale oder öffentliche IP-Adressen. Die NAT-Übersetzung verhindert, dass interne Adressen preisgegeben werden und ermöglicht es Hosts mit ungültigen Adressen im Internet zu kommunizieren. Auf diese Weise ist es nicht erforderlich, die IP-Adressen eines Netzwerks zu verändern (eine aufwändige und fehleranfällige Aufgabe).
Nonce
Eine Ad-hoc-Zufallszahl, die an einen Empfänger gesendet, mit einer digitalen Signatur versehen und dann zurückgesendet wird, um die Identität zu bestätigen.
Non-Repudiation (Unlügbarkeit/Nichtabstreitbarkeit)
Stellt sicher, dass ein Absender nicht leugnen kann, eine Datei oder Nachricht gesendet zu haben. Dies wird durch die Verwendung von asymmetrischer Verschlüsselung und digitalen Signaturen erreicht: Da zur Erzeugung der digitalen Signatur ein Private Key verwendet wird, kann nur die Person, der dieser Schlüssel zugeordnet ist, die digitale Signatur erzeugt haben.
O
One-Time (Einmalig) Password
Ein Authentifizierungsschema, das das Abhören und den Missbrauch von Passwörtern verhindert, indem für jede Sitzung ein anderes Passwort verwendet wird. Zu den Beispielen für solche Schemata mit einmaligen Passwörtern gehören u.a. S/Key und viele Token-basierte Authentifizierungsmethoden.
Online Certifcate Status Protocol (OCSP)
Eine dynamische Prüfmethode, um die Gültigkeit eines Zertifikates sicherzustellen. OCSP definiert Anfragen, mit denen ein Client bei einer Certificate Authority den Status des Zertifikates abfragen kann, das er erhalten hat. Die Certificate Authority meldet dann zurück, ob das Zertifikat gültig, ungültig, aufgehoben, nicht aufgehoben oder abgelaufen ist. Durch OCSP ist es nicht mehr erforderlich, eine lokale Liste aller aufgehobenen Zertifikate zu pflegen und mit der bei der Certificate Authority gepflegten Certificate Revocation List abzugleichen.
Open Platform for Security (OPSEC)
Eine offene, industrieweite Allianz, die von Check Point geleitet wird und die die Interoperabilität von Sicherheitsprodukten auf der Regelebene sicherstellt. Die Interoperabilität wird durch eine Kombination aus veröffentlichten APIs, Protokollen nach Industriestandards und einer Skriptsprache höherer Ebene erreicht. OPSEC unterstützt Partnerschaften in den Bereichen Infrastruktur (Netzwerkprodukte und Dienste) und Framework (Sicherheitsprodukte).
OPSEC Management Interface (OMI) API
Eine OPSEC-Programmierschnittstelle, die von Check Point entwickelt wurde und es Anwendungen anderer Hersteller ermöglicht, in sicherer Weise auf die im VPN-1/FireWall-1-Management-Server gespeicherte Sicherheitsregel zuzugreifen und sie zu lesen.
P
Packetfilter
Eine grobe Art von Firewall-Technologie, bei der die Sicherheitsentscheidungen nur auf den im IP-Paket-Header enthaltenen Informationen wie z.B. Dienstart, Quelle oder Ziel basieren. Die Paketfilterung wird allgemein in Routern verwendet. Die Paketfilterung kann viele dynamische Protokolle nicht unterstützen und auch keine Anwendungsintelligenz auf den Datenstrom anwenden, wenn sie die Sicherheitsentscheidungen trifft.
PAP
Siehe Password Authentication Protocol.
Passwort
Eine kurze Zeichenkette, die verwendet wird, um Zugriff auf bestimmte sichere Ressourcen zu erhalten. Das Passwort wird als Antwort auf die Aufforderung zur Authentifizierung eingegeben.
Password Authentication Protocol (PAP)
Das Password Authentication Protocol besteht aus einer Tabelle von Benutzernamen und Passwörtern und ist der grundlegendste Authentifizierungsmechanismus überhaupt. Die Benutzer melden sich an, indem sie ihren Benutzernamen und ihr Passwort unverschlüsselt und ungesichert senden. Gegensatz: CHAP
Payload
Der Teil eines IP-Paketes, der die eigentlichen Nachrichtendaten enthält. In VPNs bezeichnet der Begriff den Teil des Datenpaketes, der authentifiziert oder verschlüsselt ist.
Perfect Forward Secrecy (PFS)
Eine Bedingung, die aus einem Verschlüsselungssystem hergeleitet wird, das die Verschlüsselungscodes häufig ändert und sicherstellt, dass niemals zwei Sätze von Schlüsseln eine Beziehung zueinander haben. Der Vorteil der Perfect Forward Secrecy ist folgender: Wenn ein Schlüsselsatz verändert wird, stellt nur die Kommunikation, die diesen Schlüssel verwendet, ein Risiko dar. Ein Beispiel für ein System, das die Perfect Forward Secrecy verwendet, ist der Diffie-Hellman-Schlüsselaustausch.
Personal Firewall
Ein Sicherheitsprodukt - entweder Hardware- oder Software-basiert -, das dazu dient, einen einzelnen Host-Rechner vor Angriffen aus dem Internet zu schützen.
PKIX
Die Arbeitsgruppe innerhalb der IETF, die dafür zuständig ist, die zur Unterstützung einer PKI auf X.509-Basis erforderlichen Standards zu entwickeln.
PKCS
Siehe Public Key Cryptography Standards.
Port Scanning
Das Senden von Anfragen an Hosts, mit der Absicht, offene Ports zu finden, durch die ein Angreifer Daten senden kann. Port Scanning wird häufig verwendet, um Ziele aufzuspüren, die Sicherheitslücken aufweisen und daher aus dem Internet angegriffen werden können.
PPP (Point-to-Point-Protocol)
Eine Methode, um Pakete über serielle Point-to-Point-Verbindungen wie z.B. eine Einwählleitung zu übertragen. PPP wird von Internet Service Providern mit Einwählverbindungen genutzt, stellt jedoch keinerlei Datenauthentifizierung oder Verschlüsselung dar.
PPTP Point-to-Point-Tunneling-Protocol)
Eine Erweiterung von PPP, die verschiedene Protokolle - einschliesslich IPX und AppleTalk - in einen IP-Datenstrom einbetten kann, sodass sie sicher über das Internet übertragen werden können. Sehr geeignet, um dezentrale Benutzer mit zentralen Windows-NT-Servern zu verbinden.
Proxy-Server-Firewall
Eine Firewall, die über Agenten, sog. Proxy-Server, die Kommunikation zwischen Netzwerken steuert. Proxy-Server dienen als Vermittler zwischen zwei Netzwerken, sodass Client-Server-Verbindungen unterbrochen werden. Proxy-Server werden typischerweise für spezifische Internet-Dienste wie FTP oder HTTP genutzt.
Privat Key (Privater Schlüssel)
Der private (geheime) Teil eines asymmetrischen Verschlüsselungsschemas, der nur dem Eigentümer selbst bekannt ist und niemals über das Netzwerk übertragen wird.
Public Key
Der veröffentlichte Teil eines asymmetrischen Verschlüsselungsschemas. Public Keys sind keine privaten Informationen und sind in digitalen Zertifikaten enthalten. Sie können zu zwei verschiedenen Zwecken eingesetzt werden:
Der Sender einer Nachricht kann den Public Key des Empfängers zum Verschlüsseln der Nachricht verwenden.
Nur der Empfänger, der den entsprechenden Private Key besitzt, kann die Nachricht entschlüsseln.
Der Sender kann eine Nachricht oder einen Message Digest mit seinem Private Key "signieren". Der Empfänger
verwendet den Public Key des Senders, um die Authentizität der Nachricht festzustellen. Siehe Asymmetrische
Verschlüsselung, Digitale Signatur, Message Digest.
Public Key Cryptography Standards
Eine Reihe von PKI-Standards, die von RSA Security entwickelt wurde und gepflegt wird. Diese Standards decken Zertifikatsanmeldungen und -erneuerungen sowie die Verteilung der CRL ab. Eine Reihe von PKCS-Standards wurden von der IETF als Standards aufgenommen. Eine Lösung sollte immer die folgenden vier der am häufigsten verwendeten Standards unterstützen:
PKCS #7 - Cryptographic Message Syntax Standard
PKCS #10 - Certificate Request Syntax Standard
PKCS #11 - Cryptographic Token Interface Standard
PKCS #12 - Personal Information Exchange Syntax Standard
Public Key Infrastructure (PKI)
Ein System von digitalen Signaturen, Certificate Authorities und anderen Registrierungsstellen, die die Identität jeder Person, die an einer sicheren Transaktion beteiligt ist, authentifizieren. Eine PKI ermöglicht es Organisationen, den Umfang und die Teilnehmer eines VPN einzurichten und zu definieren, indem sie eine sichere Beziehung zwischen den jeweiligen Certificate Authorities aufbauen. Jede Certificate Authority ist dann dafür verantwortlich, die Benutzer ihrer Organisation zur Teilnahme am VPN zu validieren. Siehe Zertifikat, Certificate Authority, Digitale Signatur. QUALITY OF SERVICE (QOS) Die Möglichkeit, einen bestimmten Leistungsgrad für die Datenkommunikation zu definieren, indem man für bestimmte Verkehrsarten oder Ziele Prioritäten festlegt. (Auch als Dienstqualität oder Dienstgüte bezeichnet.)
R
RC2
Ein Blockchiffre von variabler Länge und mit geheimem Schlüssel. RC2 ist als Alternative zu DES gedacht.
RC4
Ein Stromchiffre von variabler Länge und mit geheimem Schlüssel. RC4 ist als Alternative zu DES gedacht und etwa zehn Mal so schnell wie DES. Der Code der exportierbaren, in Netscape SSL verwendeten und 40 Bit langen Version wurde von mindestens 2 verschiedenen Organisationen gebrochen.
RC5
Ein schnelles Blockchiffre von variabler Länge und mit geheimem Schlüssel. RC5 ist geringfügig langsamer als RC4, aber sicherer.
Registrierungsstelle
Die Komponente in der Public-Key-Infrastruktur, die für die Verifizierung und Anmeldung von Benutzern verantwortlich ist, bevor von der Certificate Authority ein Zertifikat ausgegeben wird.
Remote Access Server (RAS)
Ein Computer in einem Netzwerk, der dezentralen Benutzern über Einwählleitungen Zugriff auf das Netzwerk gewährt. Mit Microsoft Windows NT mitgeliefert.
Remote Authentication Dial-In User Service (Radius)
Ein zentralisierter Netzwerk-Authentifizierungsstandard, der Authentifizierungs-, Autorisierungs- und Kontofunktionen beinhaltet. Ein RADIUS-Server kann ausserdem über die Funktion verfügen, Authentifizierungen an Proxy-Server weiterzuleiten.
Remote Control (Fernsteuerung)
Ein Benutzer kann einen dezentralen Rechner mithilfe einer Client-Software steuern, die auf dem dezentralen Rechner installiert ist. Dies kann auch eine Art von Angriff auf ein Netzwerk sein, bei dem eine Trojaner-Software wie z.B. Back Orifice verwendet wird.
Resource Reservvation Protocol (RSVP)
Ein Signalisierungsprotokoll, das Unicast und Multicast unterstützt und entwickelt wurde, um Informationen über den Reservierungsstatus in den Routern entlang des Datenpfades zu installieren und zu pflegen. RSVP-fähige Anwendungen können die Dienstqualität (QOS) in IP-Netzwerken verbessern. Vernetzte Multimedia-Anwendungen, von denen viele einen Nutzen aus einer vorhersagbaren End-to-End-Verbindung ziehen, sind wahrscheinlich die ersten Benutzer von Diensten, die mit RSVP reserviert wurden.
Root Certificate Authority
Die oberste Certificate Authority; sie ist für die Verifizierung aller Certificate Authorities niedrigerer Ebenen und aller ausgegebenen Zertifikate verantwortlich. Da sie den Certificate Authorities niedrigerer Ebenen vorsteht und deren Zertifikate signiert, wird der Private Key der Root Certificate Authority streng geheim gehalten. Würde er preisgegeben, würden alle in dieser Hierarchie erteilten Zertifikate ungültig werden.
RSA
Ein 1977 von Ron Rivest, Adi Shamir und Leonard Adelman entwickeltes Public-Key-Schema, das zur Verschlüsselung und für digitale Signaturen verwendet wird. Bezeichnet ausserdem auch eine Firma, die von den dreien zur Vermarktung ihres Verfahrens und der darauf basierenden Produkte gegründet wurde.
Rückruf von Zertifikaten
Die Gültigkeit eines zuvor ausgegebenen Zertifikats wird aufgehoben. Die Referenznummer eines zurückgerufenen Zertifikats wird bei der Certificate Authority, die das Zertifikat ausgestellt hat, in einer sog. Certificate Revocation List gespeichert. In VPN-Netzen werden Certificate Revocation Lists verwendet, um die Gültigkeit eines zuvor ausgegebenen Zertifikats zu überprüfen. Dabei wird sichergestellt, dass folgende Bedingungen gegeben sind:
> Das Zertifikat wurde in der Vergangenheit nicht beschädigt
> Die Person oder Organisation verfügt noch immer über die Berechtigung, an einem VPN teilzunehmen
S
Securemote Authentication API (SAA)
Eine OPSEC-Programmierschnittstelle, die die flexible Integration von auf verschiedenen Technologien basierenden Authentifizierungslösungen wie SmartCards oder biometrischen Daten in VPN-Clients von Check Point ermöglicht. Unterstützt auch Hybrid Mode, eine von Check Point entwickelte Erweiterung zu IKE, die über Shared Secrets oder Zertifikate in IPSec hinausgehende Authentifizierungsmechanismen unterstützt.
Secure Electronic Transactions (SET)
Ein Standard, der von Visa und MasterCard gesponsert wird und der eine sichere Kommunikation über das Internet zwischen Kartenaussteller, Karteninhaber, dem Bankinstitut des Karteninhabers und den Bankinstituten des Händlers zur Verfügung stellt.
Secure Hypertext Transfer Protocol (S-HTTP)
Eine sicherheitstechnisch erweiterte Version von HTTP, die eine Vielzahl von Mechanismen bietet, um Geheimhaltung, Authentifizierung und Datenintegrität zu ermöglichen. Im Gegensatz zu SSL, das die Sicherheit unterhalb von Anwendungsprotokollen wie HTTP, NNTP und Telnet anordnet, fügt S-HTTP eine nachrichtenbasierte Sicherheit zu HTTP hinzu. SSL und S-HTTP können nebeneinander existieren, indem S-HTTP auf SSL geschichtet wird.
Secure Multipurpose Interet Mail Extension (S/MIME)
Ein Standard zum Senden von E-Mails, die keinen Text umfassen, wobei Verschlüsselung und Benutzerauthentifizierung auf Basis der RSA-Verschlüsselung hinzugefügt werden.
Secure Shell (SSH)
Ein IETF-Protokollentwurf, der auf Anwendungsebene zur Sicherung von Terminalsitzungen und Authentifizierungen über ein unsicheres Netzwerk verwendet wird.
Secure Socket Layer (SSL)
Ein von Netscape entwickeltes Protokoll, das nun für die sichere Kommunikation für HTTP standardisiert wurde. Es kombiniert die Public-Key-Verschlüsselung nach dem RSA-Verfahren mit den Diensten einer Certificate Authority, um eine sichere Umgebung für den elektronischen Handel und die Kommunikation zur Verfügung zu stellen. Es bietet die Authentifizierung zwischen Servern und Browsern, sowie eine Methode zur Verschlüsselung und Validierung der Server/Client-Kommunikation. Kann nur eine beschränkte Zahl von Anwendungen unterstützen.
Secure Virtual Network
Eine von Check Point entwickelte Architektur, die eine sichere und nahtlose Internet-Connectivity zwischen Netzwerken, Systemen, Anwendungen und Benutzern über Internet, Intranets und Extranets übergreifend ermöglicht.
Sicherheitsvereinbarung
Ein Begriff aus dem IPSec-Verfahren, der eine Vereinbarung bezeichnet, die zwischen zwei Teilnehmer getroffen wurde und in der die Teilnehmer festgelegt haben, welche Authentifizierungs- und Verschlüsselungsalgorithmen, Schlüsselaustauschmechanismen und Regeln für eine sichere Kommunikation verwendet werden sollen.
Security Audit
Eine sicherheitstechnische Untersuchung der Netzwerke und Computersysteme, um festzustellen, welche Sicherheitslücken bestehen, durch die eine Organisation Angriffen von Hackern, Viren oder anderen Quellen ausgesetzt sein kann.
Security Parameter Index (SPI)
Ein Teil des IPSec Authentication Header, der Informationen darüber enthält, welche Sicherheitsprotokolle - z.B. Authentifizierung und Verschlüsselung - für die Pakete in einer VPN-Verbindung verwendet werden.
SIcherheitspolitik
Ein Satz von Regeln, der die Sicherheitsparameter für das Netzwerk einer Organisation definiert. Dies schliesst Zugriffssteuerung, Authentifizierung, Verschlüsselung, Inhaltssicherheit, NAT-Übersetzung (Network Address Translation), Protokollierung und andere Sicherheitskomponenten ein.
SEED
Eine willkürliche Zahl oder Sequenz, die verwendet wird, um die Zufälligkeit und Sicherheit bei der Erzeugung der Schlüssel sicherzustellen.
Service Level Agreement (SLA)
Ein Vertrag zwischen einem Netzbetreiber (Provider) und einem Benutzer, der die Dienstgüte wie Verfügbarkeit der Bandbreite, Netzverfügbarkeit und andere Parameter zur Messung der Netzwerkleistung festlegt. Darüber hinaus kann in einem solchen Vertrag auch festgehalten werden, welche Vergütungen der Kunde erhält, wenn die vereinbarte Dienstgüte nicht eingehalten wird.
Session Hijacking
Der Versuch, eine zwischen zwei Computern bestehende Verbindung zu übernehmen. Ein Aussenstehender leitet die korrekten TCP-Sequenzzahlen ab und verwendet IP-Spoofing, um sich als einer der beiden Kommunikationsteilnehmer auszugeben und eine Kommunikation zu erzeugen, die von diesem Teilnehmer zu stammen scheint, während der Angreifer tatsächlich jedoch nur den korrekten Teilnehmer mit einer falschen, nutzlosen Kommunikation überlastet.
Session-Key (Sitzungsschlüssel)
Ein kryptographischer Schlüssel zur Verschlüsselung von Daten für eine festgelegte Zeitspanne, in der Regel eine einzelne Kommunikationssitzung. Wenn die festgelegte Zeitspanne vorüber ist, wird der Schlüssel verworfen. Damit besteht eine geringere Möglichkeit, dass der Schüssel aufgebrochen wird und die Daten verändert werden.
Shadow-DNS
Ein Domain Name Server (DNS), der verwendet wird, um die Host-Rechner und IP-Adressen des Netzwerks einer Organisation zu verbergen. Der Shadow-DNS ist typischerweise in einer DMZ untergebracht und enthält nur die öffentlich benötigten IP-Adressen (z.B. einen Web-Server oder einen E-Mail-Server), während ein anderer DNS, der durch eine Firewall geschützt und nur für interne Benutzer zugänglich ist, alle IP-Adressen und Host-Informationen enthält.
Ein Shared Secret ist eine Text- oder Zahlenkette, die zwischen zwei Teilnehmern in einer Ausserbandverbindung (z.B. per Telefon, Post oder auf einem Datenträger) mitgeteilt wird. Beide Teilnehmer verwenden diesen Schlüssel zur Authentifizierung, Verschlüsselung und Entschlüsselung. Ein Shared Secret ist der einfachste Weg, um ein IPSec-kompatibles VPN einzurichten.
Simple Key Management for Internet Protocols (SKIP)
Ein automatisiertes Key-Management-System, das von Sun Microsystems entwickelt und der IETF als standardmässiges IPSec-Key-Management-Schema vorgeschlagen wurde. SKIP erweitert IPSec um eine Key-Management-Funktionalität. Verschiedene Hersteller haben SKIP bereits erfolgreich implementiert. SKIP und ISAKMP können beide im IPSec-Framework eingesetzt/implementiert werden.
SKIPJACK
Ein Verschlüsselungsalgorithmus, der von der National Security Agency entwickelt wurde. Skipjack wurde speziell für die Clipper- und Capstone-Chips entwickelt. Es handelt sich um ein 64-Bit-Blockchiffre mit einer Schlüsselgrösse von 80 Bit.
Smart Card
Ein Authentifizierungsmedium im Scheckkartenformat mit integriertem Mikroprozessor. Auf der Smart Card sind Daten gespeichert, die von einem Smart-Card-Reader gelesen und über das Netzwerk gesendet werden.
Socks
Ein Proxy-Server-basiertes Protokoll, das den Verkehr zwischen zwei anwendungsspezifischen Clients weiterleitet. Obwohl eine anwendungsbasierte Benutzerauthentifizierung zulässig ist, ist es für ein VPN auf SOCKS-Basis erforderlich, jede Anwendung zu modifizieren, damit SOCKS unterstützt wird.
Stateful Inspection
Eine von Check Point Software Technologies entwickelte und patentierte Technologie, die den höchstmöglichen Grad an Sicherheit zur Verfügung stellt. Stateful Inspection greift auf sämtliche Daten aus allen Kommunikationsschichten zu und analysiert sie. Diese Status- und Kontextdaten werden gespeichert und dynamisch aktualisiert, womit Informationen zu virtuellen Sitzungen zur Verfügung stehen, mit denen verbindungslose Protokolle verfolgt werden können. Kumulative Daten zu Kommunikations- und Anwendungsstati, Netzwerkkonfiguration und Sicherheitsregeln dienen dazu, über die geeignete Massnahme zu entscheiden (d.h. ob die Kommunikation angenommen, abgelehnt oder verschlüsselt werden soll). Sämtlicher Datenverkehr, der nicht explizit durch die Sicherheitspolitik erlaubt wurde, wird abgebrochen.
Stromchiffre
Eine Verschlüsselungsmethode, bei der die zu verschlüsselnde Nachricht nicht in Datenblöcke von konstanter Länge zerlegt, sondern als kontinuierlicher, serieller Datenstrom aufgefasst und Bit für Bit in eine Verschlüsselungsvorrichtung eingegeben wird. Gegensatz: siehe Blockchiffre.
Suspicious Activity Monitoring Protocol (SAMP)
Eine von Check Point entwickelte API, die dazu dient, die IDS-Anwendungen anderer Hersteller über das OPSEC Security Management Framework in Firewalls zu integrieren. So kann ein IDS-System SAMP verwenden, um die Firewall-Sicherheitspolitik neu zu konfigurieren, wenn ein netzwerkbasierter Angriff entdeckt wurde.
Symmetrische Verschlüsselung (Secret Key)
Eine Methode der Datenverschlüsselung, bei der Sender und Empfänger denselben Schlüssel für Ver- und Entschlüsselung der Daten benutzen. Die symmetrische Verschlüsselung ist typischerweise schneller als die asymmetrische Verschlüsselung, die unterschiedliche Schlüssel für Ver- und Entschlüsselung verwendet.
Syn Flood
Ein DoS-Angriff, der verhindert, dass ein Server anderen Benutzern zur Verfügung steht. Hierzu sendet der Angreifer eine sehr grosse Anzahl von TCP-SYN-Paketen, ohne auf die Quittierungen des Servers (SYN ACK) zu reagieren. Dadurch reserviert der Server Rechnerressourcen, während er darauf wartet, eine noch anstehende Verbindung abzuschliessen. Auf diese Weise kann der Server nicht auf zulässige Verbindungen reagieren. Angriffe dieser Art können jedoch durch eine korrekt konfigurierte Firewall oder ein IDS-System verhindert werden.
T
Terminal Access Controller Access Control Systems (TACACS)
Bezeichnung für ein Protokoll, das ein einfaches System aus Benutzername und Passwort für die Authentifizierung in einem Netzwerk festlegt. TACACS+ ist eine Erweiterung hierzu, die auch Verschlüsselung und eine optionale Aufforderung/Antwort anbietet.
Token
Ein Passwort, das nur einmal verwendet werden kann und typischerweise von einer Hardware-Vorrichtung nach Bedarf erzeugt wird. Da ein Token, sobald es einmal verwendet wurde, nicht mehr gültig ist, kann es selbst dann nicht missbraucht werden, wenn es preisgegeben wird. Aus diesem Grund gelten Token als sichere Methode.
Transport Mode
Eine IPSec-Betriebsart, bei der die Nutzinformationen der Daten (Payload) verschlüsselt werden, während der ursprüngliche IP-Header im Klartext beibehalten wird. Die IP-Adressen der Quelle oder des Ziels können verändert werden, wenn die Nachricht abgehört wird. Aufgrund seines Aufbaus kann der Transport Mode nur verwendet werden, wenn es sich bei dem Endpunkt der Kommunikation und bei dem kryptographischen Endpunkt um dieselbe Stelle handelt. VPN-Gateways, die für geschützte Hosts Verschlüsselungs- und Entschlüsselungsdienste zur Verfügung stellen, können den Transport Mode nicht für die geschützte VPN-Kommunikation verwenden. Vergleiche: Tunnel Mode
Triple DES (3DES)
Ein 168-Bit-Verschlüsselungsalgorithmus, der jeden der Datenblöcke dreimal hintereinander mit verschiedenen DES-Schlüsseln verschlüsselt und so einen höheren Grad der Verschlüsselung bietet. Triple DES ist einer der stärksten Verschlüsselungsalgorithmen, die derzeit zur Verwendung in VPNs zur Verfügung stehen.
Trojanisches Pferd
Ein Programm, das auf den ersten Blick zulässig erscheint, jedoch unzulässige Aktivitäten verursacht, sobald es ausgeführt (aktiviert) wird. So kann ein solches Programm beispielsweise die im System gespeicherten Passwörter preisgeben oder auf der Festplatte befindliche Dateien zerstören. Ein weit verbreitetes trojanisches Pferd ist NetBus.
Tunnel Mode
Eine IPSec-Betriebsart, bei der das gesamte IP-Paket, einschliesslich IP-Paket-Header, authentifiziert und/oder verschlüsselt und ein neuer IP-Header hinzugefügt wird, wodurch das gesamte Originalpaket geschützt ist. Dieser Modus kann ebenso von VPN-Clients wie auch VPN-Gateways genutzt werden. Vergleiche: Transport Mode.
Tunneling
Eine Übertragungsart, bei der die Daten eines Protokolls in die Datenpakete eines anderen Protokolls gepackt werden, wodurch sie in dem im Netzwerk vorherrschenden Format gesendet werden können (üblicherweise IP). Beispiel für in VPNs verwendete Tunneling-Protokolle sind u.a. L2TP und PPTP von Microsoft.
Twofish
Ein symmetrischer 128-Bit-Blockverschlüsselungsalgorithmus mit variabler Schlüssellänge. Twofish ist eine Alternative zu DES. Es bietet eine schnellere und effizientere Datenverschlüsselung als DES und wird derzeit als möglicher Advanced Encryption Standard in Betracht gezogen.
U
URL Filtering Protocol (UFP)
Eine OPSEC-Programmierschnittstelle (API), die es ermöglicht, Anwendungen anderer Hersteller zur Kategorisierung und Steuerung des Zugriffs auf spezifische URL-Adressen über das OPSEC Security Management Framework zu integrieren und so einem Unternehmen Inhaltssicherheit zu bieten.
User Authentification (Benutzerauthentifizierung)
Die Überprüfung, ob ein Benutzer tatsächlich die Person ist, für die er oder sie sich ausgibt. In einem IPSec-kompatiblen VPN wird dies in der Regel durch die Verwendung von digitalen Zertifikaten oder Shared Secrets erreicht. Durch den Einsatz von Erweiterungen wie Hybrid Mode IKE kann eine Organisation auch ältere Authentifizierungsmethoden wie RADIUS und TACACS innerhalb einer VPN-Benutzerauthentifizierung mit IPSec verwenden. Siehe Authentifizierung.
User-To-Address Mapping (UAM)
Eine von Check Point entwickelte Technologie, die den Anwendungen anderer Hersteller die Zuordnungen von Benutzern und IP-Adressen zur Verfügung stellt und so (basierend auf der Anmeldung beim Betriebssystem des Netzwerks) eine transparente Authentifizierung bei den Ressourcen eines internen Netzwerks ermöglicht.
FAKTEN: Eine Untersuchung bei grossen Unternehmen und Regierungsbehörden ergab, das 71% von unzulässigen Zugriffen
auf Netzwerkressourcen durch interne Benutzer berichteten. Quelle: "Computer Crime and Security Survey",
Computer Security Institute/Federal Bureau of Investigations, 3/00
V
Virtual Private Network (VPN)
Ein privates Netzwerk, das innerhalb eines öffentlichen Netzwerks konfiguriert wurde. Um dieses private Netzwerk aufzubauen, werden Datenintegrität und Geheimhaltung durch Authentifizierung und Verschlüsselung geschützt. So können Daten z.B. auf sichere Weise zwischen zwei Niederlassungen über das Internet gesendet oder zwischen einem Server und einem Client innerhalb eines LAN verschlüsselt gesendet werden. Ein VPN ist deutlich kostengünstiger und wesentlich flexibler als ein dediziertes privates Netzwerk.
Virus
Ein Programm, das sich eigenständig auf Computersystemen repliziert, indem es sich selbst in andere Programme integriert, die von mehreren Computersystemen gemeinsam genutzt werden. Sobald sich der Virus im neuen Host befindet, kann er die Daten im Speicher des Host beschädigen, unerwünschte Meldungen anzeigen, den Host zum Absturz bringen oder in einigen Fällen einfach nur im Hintergrund verborgen schlummern, bis ein bestimmtes Ereignis eintritt (z.B. der Geburtstag einer berühmten Person).
Fakten: Eine kürzlich durchgeführte Untersuchung ergab, dass 85% der grossen Unternehmen im letzten Jahr Virusangriffe
entdeckt haben. Quelle: "Computer Crime and Security Survey", Computer Security Institute/Federal Bureau of Investigations, 3/00
Voluntary Tunnel
Ein Voluntary Tunnel wird auf Anforderung des Endbenutzers aufgebaut und endet beim Client statt beim RAS Concentrator. Voluntary Tunnel ermöglichen es den Endbenutzern, ausserhalb des bezeichneten Tunnel auf TCP/IP-Netzwerkressourcen zuzugreifen. Ein Begriff, der in PPTP- und L2TP-Protokollen verwendet wird. Vergleiche: Compulsory Tunnel.
X
X.500
Ein Protokoll zur Verwaltung von Online-Verzeichnissen, in denen Benutzer und Ressourcen registriert sind. X.500 enthält ein Hierarchiemodell für die Datenspeicherung und kann auf eine globale Umgebung skaliert werden.
X.509
Eine häufig verwendete digitale Zertifizierungsmethode, die authentifizierten, verschlüsselten Zugriff auf private Informationen bietet und so ein sicheres Modell für Transaktionen festlegt. 1988 von der International Telecommunications Union empfohlen.
X.509-Zertifikate
wurden in PKIs und VPNs mit IPSec als primärer Standard für Zertifikate akzeptiert. Innerhalb einer VPN-Architektur mit IPSec werden X.509-Zertifikate verwendet, um einen Public Key weiterzuleiten und so die Identitätsprüfung während des Schlüsselaustauschs zu ermöglichen.
Ein Zertifikat enthält:
> Informationen, durch die der Eigentümer identifiziert wird (z.B: Name und Organisation)
> Die digitale Signatur und Informationen über die Certificate Authority, die das Zertifikat ausgibt
> Den Public Key des Eigentümers
> Gültigkeitsdatum des Zertifikats
> Zertifikatsklasse
> Referenznummer des Zertifikats.