Technische Realisierungen von Sperren im Internet

Transcrição

IT-Sicherheitsmanagement
Prof. Dr.-Ing.
Hannes Federrath
Prof. Dr. Hannes Federrath
Universität Regensburg
Lehrstuhl Management der Informationssicherheit
http://www-sec.uni-regensburg.de/
1
Prof. Dr.-Ing.
Hannes Federrath
•  Problemstellung
–  Löschen rechtswidriger Inhalte im Inland möglich
–  Löschen rechtswidriger Inhalte im Ausland ggf. unmöglich
•  Zugang erschweren
–  DNS-Sperre
–  IP-Adressen sperren (IP-Paketfilter)
–  Zwangsproxy mit URL-Sperre
–  Hashwertbasierter Filter
•  Umgehungsmöglichkeiten von Sperren
–  Open DNS
–  Peer-to-Peer-Netze
–  Anonymisierer
–  Verschlüsselung
2
Prof. Dr.-Ing.
Hannes Federrath
Problemstellung: Löschen rechtswidriger Inhalte im Inland
Nutzer
Access Provider
Host-Provider
Inland
ISP
Rechtswidriger
Inhalt
Sobald Host-Provider Kenntnis von
Rechtswidrigkeit hat, ist er zur Sperrung
verpflichtet (TMG). Der Inhalt ist damit vom
Netz genommen.
3
Prof. Dr.-Ing.
Hannes Federrath
Problemstellung: Ausland: Löschen ggf. unmöglich
Nutzer
Access Provider
Host-Provider
Ausland
ISP
Rechtswidriger
Inhalt
Inhalt kann nicht einfach vom Netz
genommen werden. Es soll der Zugang
erschwert werden.
4
Prof. Dr.-Ing.
Hannes Federrath
Ohne DNS-Sperre
Nutzer
Access Provider
Host-Provider
Ausland
Nutzer ruft auf:
http://www.server.net/evil/illegal.gif
ISP
Rechtswidriger
Inhalt
DNS
Browser
1. sendet DNS-Request: www.server.net
2. empfängt DNS-Antwort: 192.133.1.666
5
www.server.net
(192.133.1.666)
Prof. Dr.-Ing.
Hannes Federrath
Ohne DNS-Sperre
Nutzer
Access Provider
Host-Provider
Ausland
Browser sendet:
http://192.133.1.666/evil/illegal.gif
ISP
Rechtswidriger
Inhalt
DNS
6
www.server.net
(192.133.1.666)
Prof. Dr.-Ing.
Hannes Federrath
Mit DNS-Sperre sendet der DNS-Server eine »falsche« Antwort
Nutzer
Access Provider
Host-Provider
Ausland
Nutzer ruft auf:
http://www.server.net/evil/illegal.gif
ISP
Rechtswidriger
Inhalt
DNS
Browser
2. DNS-Server sieht Sperrliste durch (Treffer!)
7
www.server.net
(192.133.1.666)
Prof. Dr.-Ing.
Hannes Federrath
Mit DNS-Sperre landet der Nutzer im WWW auf Stopp-Seite
Nutzer
Access Provider
Host-Provider
Ausland
Browser sendet:
ISP
STOP
DNS
Stopp-Seite
(128.124.2.2)
BKA
erhält Zugriffsprotokolle
8
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
Prof. Dr.-Ing.
Hannes Federrath
Mit DNS-Sperre werden auch legale Seiten u.U. blockiert
Nutzer
Access Provider
Host-Provider
Ausland
Browser sendet:
http://128.124.2.2/legal/sauber.html
ISP
STOP
DNS
Stopp-Seite
(128.124.2.2)
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
DNS-Sperre blockiert *alle* Seiten auf Server.
9
Prof. Dr.-Ing.
Hannes Federrath
Mit DNS-Sperre und direkter Eingabe der IP-Adresse
Nutzer
Access Provider
Host-Provider
Ausland
Nutzer gibt IP-Adresse direkt ein:
ISP
STOP
DNS
Stopp-Seite
(128.124.2.2)
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
DNS-Sperre bleibt wirkungslos, da keine DNSAnfragen gestellt werden.
10
Prof. Dr.-Ing.
Hannes Federrath
Mit DNS-Sperre und Open DNS
Nutzer
Access Provider
Host-Provider
Ausland
Nutzer ruft auf:
http://www.server.net/legal/sauber.html
ISP
Rechtswidriger
Inhalt
DNS
DNS
Browser
11
www.server.net
(192.133.1.666)
Prof. Dr.-Ing.
Hannes Federrath
Mit DNS-Sperre und Open DNS
Nutzer
Access Provider
Host-Provider
Ausland
Nutzer ruft auf:
ISP
Rechtswidriger
Inhalt
DNS
DNS
Browser
12
www.server.net
(192.133.1.666)
Prof. Dr.-Ing.
Hannes Federrath
http://www.youtube.com/watch?v=1NNG5I6DBm0
Detaillierte Beschreibung der Problematik unter
http://www-sec.uni-regensburg.de/dns-sperre/
13
Prof. Dr.-Ing.
Hannes Federrath
DNS-Sperre
Direkte
Eingabe der
IP-Adresse
Es werden keine DNS-Anfragen gestellt.
Nutzung von
Open DNS
Manuelles Eintragen offener DNS-Server beim
Nutzer umgeht Sperre.
Nutzung von
Peer-to-PeerDiensten
Peers machen sich fast ausnahmslos über IPAdressen gegenseitig bekannt.
DNS-Sperren bleiben nahezu wirkungslos.
14
Prof. Dr.-Ing.
Hannes Federrath
Blocken der IP-Adresse wirkt
Nutzer
Access Provider
Host-Provider
Ausland
ISP
Paketfilter
DNS
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
Paketfilter findet IP-Adresse in Sperrliste und
wirft Datenpakete einfach weg. Kombinierbar
mit DNS-Sperre.
15
Prof. Dr.-Ing.
Hannes Federrath
Blocken der IP-Adresse wirkt auch auf legale Seiten auf Server
Nutzer
Access Provider
Host-Provider
Ausland
ISP
Paketfilter
DNS
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
Auch die IP-Sperre blockiert zunächst *alle*
Seiten auf Server.
16
Prof. Dr.-Ing.
Hannes Federrath
Blocken der IP-Adresse, kombiniert mit Zwangsproxy
Nutzer
Access Provider
Host-Provider
Ausland
ISP
Paketfilter mit
Zwangsproxy findet
*/evil/illegal.gif in Sperrliste
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
Paketfilter mit Zwangsproxy findet Pfad auf
illegalen Inhalt in Sperrliste und blockiert
Weiterleitung.
17
Prof. Dr.-Ing.
Hannes Federrath
Blocken der IP-Adresse, kombiniert mit Zwangsproxy
Nutzer
Access Provider
Host-Provider
Ausland
ISP
Paketfilter mit
Zwangsproxy
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
Paketfilter mit Zwangsproxy prüft Pfad, findet
nichts Verdächtiges und lässt Request durch.
18
Prof. Dr.-Ing.
Hannes Federrath
Untertunneln des Zwangsproxy mittels Anonymisierer
Nutzer
Access Provider
Ausland
Host-Provider
(verschlüsselt)
http://anonymizer.com/target=192.133.1.666/evil/illegal.gif
http://anonymizer.com/target=h$d6jHv4De7iBnOuZvlG8xd3m=
ISP
Paketfilter mit
Zwangsproxy
Anonymizer
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
Zwangsproxy müsste alle (legalen)
Anonymisierer (im Ausland) ebenfalls in
Sperrliste aufnehmen.
19
Prof. Dr.-Ing.
Hannes Federrath
Hashwertbasierte Techniken
Nutzer
Access Provider
Host-Provider
Ausland
ISP
Paketfilter mit Zwangsproxy
und Hashwertfilter findet
Hashwert von illegal.gif
in Sperrliste
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
Von jedem illegalen Inhalt wird ein Hashwert
berechnet und in die Sperrliste aufgenommen.
20
Prof. Dr.-Ing.
Hannes Federrath
Nutzer
Access Provider
weiterer Host-Provider
Ausland
http://other.localtion.com/pic.gif
ISP
Paketfilter mit Zwangsproxy
und Hashwertfilter findet
Hashwert von pic.gif
in Sperrliste
Rechtswidriger
Inhalt
www.server.net
(192.133.1.666)
Hashwertbasierte Filter finden den Inhalt
unabhängig vom Speicherort, solange er nicht
verändert wird.
21
Prof. Dr.-Ing.
Hannes Federrath
•  Hashfunktionen sind Einwegfunktionen
–  Aus einem Inhalt lässt sich leicht der Hashwert berechnen, die
Rücktransformation (Hashwert->Inhalt) ist nicht möglich.
•  Vorteile:
–  Provider kennt zwar Hashwerte, aber weder deren Adressen
noch deren Inhalte
–  Kein Risiko des Bekanntwerdens kompletter Sperrlisten
•  Nachteile:
–  Verschlüsselte Inhalte sind auch damit nicht erkennbar
–  Modifikation eines einzigen Bits: Scanner versagt
22
Prof. Dr.-Ing.
Hannes Federrath
–  DNS-Sperre
–  Open DNS
23
Herdict
24
Prof. Dr.-Ing.
Hannes Federrath
http://www.herdict.org/web/
25
Prof. Dr.-Ing.
Hannes Federrath
Prof. Dr.-Ing.
Hannes Federrath
–  DNS-Sperre
–  Open DNS
26
Prof. Dr. Hannes Federrath
Lehrstuhl Management der Informationssicherheit
Universität Regensburg
D-93040 Regensburg
E-Mail: [email protected]
WWW: http://www-sec.uni-regensburg.de
Phone +49-941-943-2870
Telefax +49-941-943-2888
27
Prof. Dr.-Ing.
Hannes Federrath

Technische Realisierungen von Sperren im Internet

Transcrição

Documentos relacionados

Girls`Day 2007

Netzwerktechnik CHS Villach Mag. Rainer Swatek Dauer: 2

Kolloquium Verkehrsmanagement und

Bürgerdialog

Funktionsweise des DNS Der Benutzer startet

Kondolenzbuch Peter Pipal

ZVKKW Supermarkt 5.4.11 b

Anleitung Argus Vip als Server und Client Getestet mit Argus Vip

120311 ZVKKW Supermarkt 19 4 12

Tuttlingen, im Juli 2013 Der Vortrag von Herrn Dr. med. Stefan