![[HaBo]](/styles/default/logoklein.png){kind=small}
Schutz gegen DoS und Traffic-Flow-Analyse?
- Themenstarter blanc
- Beginndatum
bitmuncher
Senior-Nerd
Nein. Verschlüsselung begünstigt bestimmte Formen der DoS-Angriffe eher, da Content-Filter den Inhalt nicht schon vor der Zustellung an's verarbeitende Programm prüfen können. Der Traffic-Flow wird anhand der Header analysiert, die logischerweise nicht verschlüsselt werden können, weil sonst die Router nicht wüssten wohin sie die Pakete ausliefern sollen.
bitmuncher
Senior-Nerd
Ja, zumindest bei den Paketen die innerhalb des Tunnels weitergeleitet werden. Das ist ja auch Sinn und Zweck des VPN. Allerdings kannst du nicht zu jedem beliebigen Server eine IPSec-Verbindung aufbauen. Die das Ver- und Entschlüsseln übernehmen. Der Traffic-Flow des Tunnels selbst ist also analysierbar. Man weiss nur nicht, was durch den Tunnel geleitet wird. Das ist wie bei einem Rohr. Wenn dieses irgendwo verlegt wird, kannst du zwar sehen, wo das Rohr lang läuft und welche Endpunkte damit verbunden sind. Du kannst aber nicht sehen welchen Stoff die Endpunkte durch das Rohr leiten so lange du keine Möglichkeit hast in das Rohr reinzuschauen.
Ja in Bezug auf die (D)DoS-Thematik. DoS bezeichnet letzten Endes ja nur den missbräuchlichen Service eines Dienstes, egal zu welchem Zweck. Üblicherweise setzt man zur Verteidigung gegen DoS auf Authentifizierungsmechanismen (Wer ist der Netzwerkteilnehmer? Hat er/sie die Berechtigung zum Senden des Pakets?). Diese können durchaus Kryptographie (z.B. 802.1X) enthalten, müssen aber nicht (Network Ingress Filtering).
Ja auch in Bezug auf Traffic-Flow-Analysen. Bestes und einfachstes Beispiel stellen Anonymisierungsnetzwerke wie TOR da, die ohne Kryptographie nicht funktionieren würden.
Der Punkt, dass Kryptographie mit Bedacht eingesetzt werden sollte und nicht immer hilfreich, ja sogar in einigen Fällen kontraproduktiv ist, ist allerdings korrekt und ein sehr wichtiger Punkt zugleich. Man sollte z.B. bedenken, dass Operationen in asymmetrischen Krypto-Systemen sehr rechenaufwändig sein können, was kleinere Server oder Netzwerkkomponenten schnell an ihre Grenzen stoßen lässt. Hier stellt Kryptographie also vielmehr das Problem dar, als dass dadurch Probleme gelöst werden können. Damit ist der Einsatz nicht per sinnvoll, es kommt vielmehr auf den speziellen Anwendungsfall an.
Bzgl. IPSec: Entscheidend für die Verschlüsselung der IP-Header-Felder sind die Betriebsmodi (Transport vs. Tunnel) und Header (AH vs. ESP). Auch hier gilt wieder: Es kommt auf den Einsatzzweck und die Konfiguration an. Die Frage ist damit nicht mit Ja oder Nein zu beantworten.
Zuletzt bearbeitet:
Gerade das kann auch zur Abwehr von DoS-Angriffen genutzt werden.
Man baut in die Authentifizierung einen Schritt ein, in dem der Client erst etwas ver- oder entschlüsseln muss dessen Ergebnis dem Server längst vorliegt.
Damit erhöht man dann die Rechenkosten für den Angreifer.
