Bleicherweg 64a, CH-8002 Zürich,

Transkript

1 Bleicherweg 64a, CH-8002 Zürich,

2 Übersicht der wesentlichsten Punkte Ziele Einführung: Unified Communication Vorstellen von Risiken und Massnahmen Agenda Vorstellung Konzept Sicherheit Entwicklung Schlussfolgerungen Slide 2

3 Consecom Your Partner for Secure Solutions Clients Clients Location Swiss/international enterprises and organizations, SMEs of all sectors Switzerland and neighboring countries Services Design Build Review concepts, strategies, policies, organization, processes, secure solutions, architectures, specifications, ISMS, IAM programming, integration, special engineering audits, security reviews, risk assessments, penetration tests, technology assessments, organizational and process reviews Areas Organization Long-term experience in IT Security-focused organizational advisory Process Sustainable processes are key to success Technology Mastering technology from circuits to global solutions History Founded Owner 2007 as a management buy out by experienced senior consultants Privately owned, substantial growth to seven employees today Consecom AG -- We Secure Your Solutions Slide 3

4 Absolut wichtig für UC ist eine Identität und die Verbindung von sogenannten <<Streams>> Ziel von Unified Communication (UC) Vereinfachen der Kommunikation Effizienter Kommunizieren Ausprägung Integration/Kombination von diversen Kommunikationsfunktionen Produkte mit umfassenden Kommunikationsmöglichkeiten Zentralisierte eindeutig identifizierbare Identität Visualisierung Unified Communication (UC) User Interface Funktion Streams Protocols Conference Calls Desktop Sharing Instant Messing Video Voice Text SIP XMPP Im Unternehmen: Zentral verwaltete Identität Slide 4

5 Unified dank internationalen Standards Konzepte Federation mit Partnern Einbindung von Providern Komponenten Media Gateway Multipoint Control Unit Implementierung Vermehrt verwenden Hersteller proprietäre Formate für ihre UC Produkte. Federation ist manchmal nur mit Firmen mit gleichen Produkten vollständig möglich. Slide 5

6 Ansatzpunkte zur Analyse und Definition der Sicherheit Einflussvektoren auf IT-Sicherheit Kommunikationsfunktion Kommunikationsgeräte Kommunikationspartner Kommunizierte Information Einflussvektoren im Unternehmen Governance and compliance Autorisierung & Authentisieren Access (Perimeter/System) Data Transfer Sicherheitskomponenten Organizational Security Focus Compliance Governance Technical Focus Areas Access Authentication Authorization Data Transfer Slide 6

7 Konzeptionell bestehe ähnliche Gefahren bei traditionellen Kanälen wie /Internet Ausganglage UC erlaubt Data-Transfer in diversen Format-Dokumenten, Inhalte, Video, Audio, Desktop-Sharing Gefahr Transfer von ungewolltem Inhalt (Viren, illegale Materialien, Data Leakage) Abhören von Transfers Überlastung des Netzwerkverkehrs (Verzögerungen, Jitter, Abbruch) Empfehlung Signatur-basierte Technologien verwenden und feingranulare Freischaltung Sicherstellen, dass Kommunikation End-to-End verschlüsselt ist Verwenden des vom Produkt empfohlen Routing- /Netzwerkkonzepts Einzelne Produkte haben Mühe mit Protokoll-Wandlungen. Speziell: Verwendung von UC über Video Remote Desktop Protokolle (RDP) abklären und ausführlich testen. Slide 7

8 Sicherheit ist von der Exposition zum Internet abhängig Hintergrund UC erlaubt Einbinden von externen Usern/Systemen (Federation und Remote Access). Gefahren Bei Internetöffnung bestehen die Möglichkeit für Netzwerk-basierte Denial of Service Attacke Zugriff von nicht oder weniger kontrollierten Clients Empfehlungen Filtern von IP-Verkehr Proaktiv, definieren der Sicherheitsanforderungen an UC Teilnehmer Zugriffe über z.b. privaten PC/Mobile für UC, exponieren das Active Directory Password. Slide 8

9 Eine Identität und das Vertrauen der Identitäten ist absolut wichtig Hintergrund Die Identitäten unterscheiden sich von verifiziert und selbst deklariert (oft bei Public Providers) Gefahren Vertrauen zu selbst-deklarierten Identitäten Verwendung von Authentisierung von SIP (siehe nachfolgende Slide) Sperrung von Accounts Empfehlungen Zusätzliche Identitätsverifikation von selbst deklariert Identitäten Schützen von SIP-Port bei «Any-Where» durch ein starkes Passwort Falsche Login-Versuche können zu einem Denial of Service führen: Bei der Verwendung vom Active Directory und Benutzer-Sperrung nach N Versuchen. Bei Active Directory zur Authentisierung über das Internet ist daher Vorsicht geboten. Slide 9

10 Vorsicht bei SIP(S) Facts SIP ist ein oft verwendetes Protokoll für die Session Initiierung für Voice / Telefonie Kommunikation SIP(S) ermöglicht eine Verschlüsselung über SSL Die SIP-Authentisierung weist Schwächen auf und kann umgangen werden Ein einziger «gehackter» Server kann als «SIP-spam» weltweit Voice Nachrichten verteilen Call-ID: acf3c0e9c1338d2c28d9c534ae86cbd8@ CSeq: 1 REGISTER From: <sip:301@olbelix>;tag=2b3n8g To: <sip:301@asterisk> Via: SIP/2.0/UDP :5060;branch=z9hG4bKc7dd178d3d444c cc059a191e700fc8b73230 Max-Forwards: 70 Contact: <sip: :5060> Expires: 300 Content-Length: 0 Möglichkeit Nachrichten mit falscher Identität über SIP zu verteilen, wird zu vermehrten Spam Aktivitäten führen. Der Schutz eines SIP-Gateways ist zwingend. Slide 10

11 Definition von Rollen und Verantwortung ist wichtig Hintergrund Ein Internet-Kanal braucht Struktur in der Organisation. Anforderungen der Benutzer sind bei UC sehr dynamisch und oft auch inspiriert von Möglichkeiten für den Heimgebrauch Gefahren Anhaltender Anstieg der Schutzbedürfnisse Fehlende Definition der Anforderungen, Regeln und Verantwortungen Empfehlungen Beachten von den Verfügbarkeitsanforderungen Kommunikation und Bekanntmachen der Produkte mit Limitationen/Gefahren Proaktive Definition die Kriterien für z.b. Federation oder Public ein-wählbare Konferenzen Slide 11

12 Regeln und Bestimmungen des Gesetzgebers beachten Hintergrund Kommunikation ist weltweit unterschiedlich reguliert Gefahren Aufzeichnung von Konferenzen/Telefonaten Cross Border Daten Transfer bei z.b. Desktop Sharing Verletzung von Aufzeichnungsvorschriften Empfehlung Wichtig ist die Erstellung eines strukturierten Aufschaltprozesses bevor eine Verbindung erstellt wird. Das heisst: alle Entscheidungsdefinitionen sollten die wichtigsten Vertreter in der Organisationen miteinbeziehen. Die Entscheidungen sollten dokumentiert (inklusive Legal, Region, Business) werden Slide 12

13 Weiterentwicklung in diversen Gebieten Weiterentwicklung der UC im Unternehmen Federation zwischen Unternehmen: Es werden vermehrt «Trusts» zu Partnern aufgebaut Ablösung der traditionellen Technologie: Es werden vermehrt Software auf Desktops anstelle von physikalischen Telefonen eingesetzt Integrationsmöglichkeit von mobiler Technologie: Es wird vermehrt auf Mobile Device-Zugang zu internen UC Elementen ermöglicht Weiterentwicklung der UC-Produkte Business Prozessen Integration: Diverse Anbieter setzten bereits jetzt auf Chat- Funktion in der Kunden-Helpline Verschmelzung von privater und geschäftlicher Anwendungen: Skype-Kauf durch Microsoft und Lync 2013 Integration von Skype verstärken diese Entwicklung Social Media Integration: Facebook kündigte einen Messaging und Voicedienst an Slide 13

14 Wichtig sind, feingranulare Rechte. Vorsicht bei Active Directory. Beachten der lokalen Bestimmungen Unified Communication (UC) ist ein anhaltender Trend, welcher sich fortsetzt Schutzmöglichkeiten von UC hat technologische Grenzen: Organisatorische Massnahmen sind äusserst wichtig. Speziell sind Kriterien und Prozesse für Freischaltungen (Geräte, Einheiten, Benutzer, Federation) vorgängig zu definieren Vorsicht ist geboten mit externen Zugängen und Einbindung von Active Directories Regulatorien sind zu beachten und Implikationen immer vorgängig abzuklären Slide 14

15 Vielen Dank Consecom AG Wir sichern Ihre Lösungen Consecom AG Bleicherweg 64a CH-8002 Zürich Büro Consecom AG -- We Secure Your Solutions Slide 15