Ein Überblick über das OSI-Modell und seine Sicherheitsbedrohungen

Das Open Systems Interconnection (OSI)-Modell ist ein konzeptioneller Rahmen, der von der International Standards Organization (ISO) entwickelt wurde. Es wird seit über 40 Jahren verwendet und in jedem Buch über Computernetzwerke zitiert. Es ist auch eine beliebte Ressource für nahezu jede Cybersicherheitsprüfung. Das OSI-Modell wird in sieben Schichten dargestellt, die uns helfen zu verstehen, wie die Kommunikation zwischen Computersystemen erfolgt. Dies ist bei der Fehlerbehebung netzwerkbezogener Probleme von Vorteil, da Protokolle, Dienste und Schnittstellen der einzelnen Schichten ausschließlich getrennt werden und Hersteller bei der Definition von Technologien die Kompatibilität mit anderen Marken wahren können.

Durch die Weiterentwicklung der Technologie haben Bedrohungsakteure viele komplexe Methoden gefunden, um Netzwerke zu kompromittieren. Mit einem Verständnis der Funktionen jeder OSI-Schicht und ihrer Schwachstellen könnten viele Netzwerkangriffe verhindert werden.

Diese Schicht ist für die Übertragung und den Empfang von Rohbitströmen (die binären 1 und 0) über physische Medien wie Kabel, Leitungen und drahtlose Signale verantwortlich. Es kann die physische Verbindung herstellen, aufrechterhalten und deaktivieren. Es synchronisiert die Datenbits und definiert die Datenübertragungsrate und die Datenübertragungsmodi, wie z. B. Vollduplex- und Halbduplex-Modus. Die Geräte, die in der physikalischen Schicht verwendet werden, sind Kabel wie Ethernet-, Koaxial-, Glasfaser- und andere Anschlüsse.

Denial-of-Service-Angriffe (DoS) zielen auf die physische Schicht ab, da es sich dabei um die Hardware, also die greifbare Schicht des Systems, handelt. DoS-Angriffe legen alle Netzwerkfunktionen lahm. Ein DoS-Angriff kann durch das physische Durchtrennen oder Abziehen von Netzwerkkabeln erfolgen. Schwachstellen auf der physischen Ebene können durch physische Sicherheitsmaßnahmen wie Zugangskontrolle, Videoüberwachung, manipulationssichere Abschirmungen gegen elektromagnetische Störungen und die Verwendung redundanter Verbindungen gemindert werden.

Diese Schicht arbeitet mit Informationsflüssen, die in „Frames“ gekapselt sind. Diese Schicht erkennt und korrigiert Fehler in Daten und gewährleistet so eine zuverlässige Übertragung zwischen Netzwerkgeräten über eine physische Verbindung. Es ist für den sequentiellen und konsistenten Datenaustausch, die Fehlerkontrolle und die Flusskontrolle verantwortlich. Die zyklische Redundanzprüfung (CRC) überwacht den Verlust von Frames, die dann erneut übertragen werden können. Dazu gehören Geräte wie Bridges, Switches und Network Interface Controller (NICs) sowie Protokolle wie Address Resolution Protocol (ARP), Point-to-Point Protocol (PPP), Spanning Tree Protocol (STP) und Link Aggregation Control Protocol (LACP). diese Schicht.

Angriffe auf die Datenverbindungsschicht gehen vom internen LAN (Local Area Network) aus. Einige dieser Angriffe sind:

Die Netzwerkschicht verarbeitet „Pakete“ und leitet sie über Geräte und Netzwerke weiter. Es verwaltet die Identifizierung und Adressierung logischer Geräte und führt das Routing durch, indem es den kürzesten und logisch effizientesten Pfad zur Weiterleitung der Pakete wählt. Router und Switches sind die am häufigsten mit dieser Schicht verbundenen Geräte. Zu den Protokollen, die auf dieser Ebene funktionieren, gehören Internet Protocol (IP), Internet Control Message Protocol (ICMP), Routing Information Protocol (RIP) und Open Shortest Path First (OSPF).

Angriffe auf der Netzwerkebene werden über das Internet durchgeführt, beispielsweise DDoS-Angriffe, bei denen ein Router angegriffen und mit illegitimen Anfragen überschwemmt wird, wodurch er anschließend nicht mehr in der Lage ist, echte Anfragen anzunehmen. Paketfilterkontrollen und Sicherheitsmechanismen wie Virtual Private Networks (VPNs), IPsec und Firewalls sind gängige Methoden, um das Risiko von Angriffen auf Netzwerkebene zu begrenzen.

Diese Schicht stellt eine Punkt-zu-Punkt-Verbindung zwischen der Quelle und dem Ziel her und stellt so sicher, dass die Daten in der richtigen Reihenfolge übertragen werden. Es führt außerdem Flusskontrolle, Fehlerkontrolle, Datenzusammenführung und Segmentierung durch. Transmission Control Protocol (TCP) und User Datagram Protocol (UDP) sind Beispiele für Transportschichtprotokolle.

Angriffe auf dieser Ebene werden häufig über anfällige offene Ports durchgeführt, die durch Port-Scanning identifiziert werden.

Diese Schicht ist für den Aufbau, die Aufrechterhaltung und die Beendigung von Sitzungen zwischen einem lokalen und einem Remote-Gerät verantwortlich. Es ist für die Synchronisierung und Wiederherstellung verantwortlich und fügt Kontrollpunkte während der Datenübertragung hinzu. Wenn während einer Instanz Übertragungsfehler auftreten, wird die Übertragung vom letzten guten Prüfpunkt aus fortgesetzt.

Zu den häufigsten Angriffen auf dieser Ebene gehören:

Diese Schicht ist für die Übersetzung von Daten aus einem senderabhängigen Format in ein gemeinsames Format verantwortlich, das von der Anwendungsschicht verstanden wird. Beispielsweise die Übersetzung unterschiedlicher Zeichensätze, etwa ASCII nach EBCDIC. Aus Sicht der Cybersicherheit ist es am wichtigsten, dass diese Schicht die Ver- und Entschlüsselung von Daten übernimmt. Die Datenkomprimierung für die Netzwerkübertragung wird auch auf der Präsentationsebene verwaltet. Secure Sockets Layer (SSL)-Hijacking-Angriffe, auch Session-Hijacking-Angriffe genannt, finden auf der Präsentationsebene statt. Verschlüsselungstechnologien gewährleisten die Vertraulichkeit und Integrität der Daten während der Übertragung.

Diese Schicht stellt Dienste für den Endbenutzer bereit, z. B. E-Mail-Dienste, Verzeichnisdienste, Dateiübertragung, Zugriff und Verwaltung (FTAM). File Transfer Protocol (FTP), Simple Network Management Protocol (SNMP), Domain Name System (DNS), Hypertext Transfer Protocol (HTTP) und E-Mail-Protokolle (SMTP, POP3, IMAP) sind einige Beispiele für Protokolle der Anwendungsschicht.

Angriffe auf die Anwendungsebene sind am schwierigsten abzuwehren, da hier viele Schwachstellen auftreten, da es sich um die Ebene handelt, die der Außenwelt am stärksten ausgesetzt ist. Der Einsatz von Anwendungsüberwachungstechnologien zur Erkennung von Layer-7- und Zero-Day-Angriffen sowie die regelmäßige Aktualisierung der Anwendungen sind Best Practices zur Sicherung der Anwendungsschicht.

Auf dieser Ebene finden die häufigsten Cyberangriffe statt, darunter Viren, Würmer, Trojaner, Phishing-Angriffe, DDoS-Angriffe, HTTP-Floods, SQL-Injections, Cross-Site-Scripting und vieles mehr.

Das OSI-Modell ist eine Darstellung der Kommunikation zwischen Geräten. Das konzeptionelle Modell erleichtert das Verständnis der Datenübermittlung. In diesem komplexen Prozess haben Bedrohungsakteure Wege gefunden, Systeme auszunutzen und zu kompromittieren. Es ist sehr wichtig, die Art der Angriffe und Schwachstellen zu identifizieren, die auf jeder Ebene verfügbar sind, und geeignete Verteidigungsstrategien zum Schutz eines Netzwerks zu implementieren.

Dilki Rathnayake studiert Cybersicherheit und macht ihren BSc (Hons) in Cybersicherheit und digitaler Forensik an der Kingston University. Sie verfügt außerdem über Kenntnisse in Computernetzwerksicherheit und Linux-Systemadministration. Sie hat Sensibilisierungsprogramme durchgeführt und sich ehrenamtlich für Communities engagiert, die sich für Best Practices für Online-Sicherheit einsetzen. In der Zwischenzeit schreibt sie gerne Blogartikel für Bora und erforscht mehr über IT-Sicherheit.

Anmerkung des Herausgebers: Die in diesem Gastautorenartikel geäußerten Meinungen sind ausschließlich die des Mitwirkenden und spiegeln nicht unbedingt die von Tripwire, Inc. wider.