Vorlesung IT-Security..

Transkript

1 Vorlesung IT-Security.. Duale Hochschule Baden-Württemberg Stuttgart Wirtschaftsinformatik WWI2009A / WWI2009B, 6. Studienhalbjahr Informationstechnologie IT-Security, Teil 1/ Seite 1 INHALT KURZVORSTELLUNG VORLESUNGSINHALTE IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 2 1

2 INHALT KURZVORSTELLUNG VORLESUNGSINHALTE IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 3 VORLESUNG IT-SECURITY The streets are safe in Philadelphia. It's only the people who make them unsafe. Frank L. Rizzo ( ), ehemaliger Polizeichef und Bürgermeister von Philadelphia Seite 4 2

3 VORLESUNG IT-SECURITY Thomas Treutler Leiter IT Systeme und Betrieb Stefan Pleyer Informationssicherheitsbeauftragter Schwarz Finanz und Beteiligungs GmbH & Co. KG Stiftsbergstr. 1, Neckarsulm Telefon: Seite 5 UNTERNEHMENSGRUPPE SCHWARZ LIDL, KAUFLAND, MEG, SEC, Einige Kennzahlen Discounter, Vollsortimenter und Produzent > Märkte 26 Länder > 60 Mrd Umsatz > Mitarbeiter Weitere Sparten u.a. Mitteldeutsche Erfrischungsgetränke Schwarz E-Commerce Quelle: wikipedia Seite 6 3

4 UNTERNEHMENSGRUPPE SCHWARZ VORSTELLUNGSRUNDE Max 1-2 Minuten / Vorstellung Name Unternehmen Datenschutz Berührungspunkte Datenschutzverantwortlicher bekannt? IT-Sicherheit Berührungspunkte IT-Sicherheitsbeauftragter bekannt? Parallel Vorstellung Cryptalloy RFID-Blocker für neue Ausweise Vorstellung USB-Key-Logger Seite 7 INHALT KURZVORSTELLUNG VORLESUNGSINHALTE IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 8 4

5 VORLESUNGSINHALTE IT-SECURITY BEGRIFFSDEFINITION PRAXISBEISPIELE LOKALES NETZ, SPEICHERSTICK, IT-GRUNDSCHUTZKATALOGE PRAXISARBEIT: BEARBEITUNG EINER SCHWACHSTELLENANALYSE Seite 9 INHALT KURZVORSTELLUNG INHALT DER VORLESUNG IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 10 5

6 IT-SECURITY ZWEI GRUNDSÄTZE Es gibt keine 100% Sicherheit Was heute als sicher gilt, kann morgen schon unsicher sein! Seite DHBW Stuttgart, Vorlesung IT-Security IT-SECURITY SELBST PROFIS SIND NICHT SICHER Seite DHBW Stuttgart, Vorlesung IT-Security 6

7 IT-SECURITY DEFINITIONEN UND ZIELE (1/5) Verhältnis Datenschutz zu IT-Sicherheit Quelle: Maßnahmen der IT-Grundschutzkataloge Seite 13 IT-SECURITY DEFINITIONEN UND ZIELE (2/5) Was ist Sicherheit? Je nach Betrachtungsweise andere Definition Firewall Admin -> Verkehrskontrolle Onlinebanking User -> Verschlüsselung Mailserver Admin -> Content Check File Server Admin -> Backup Konzept Was sind die Ziele von Sicherheit? Integrität Authentizität Vertraulichkeit Zuverlässigkeit / Verfügbarkeit Seite 14 7

8 IT-SECURITY DEFINITIONEN UND ZIELE (3/5) Integrität Daten dürfen nicht verändert werden Veränderung muss zuverlässig erkannt werden Einsatz von Hash Funktionen Änderung von 1 bit ergibt komplett neuen Hash Authentizität Daten kommen von einer bestimmten Person bzw. von einem bestimmten System Wichtig z.b. bei E-Commerce Einsatz von digitalen Signaturen Ergibt in der Regel auch Zurechenbarkeit Seite 15 IT-SECURITY DEFINITIONEN UND ZIELE (4/5) Vertraulichkeit Daten dürfen nur bestimmen Personen bzw. Systemen zugänglich gemacht werden Erreichbar durch Verkehrskontrolle (ACLs) und Benutzerauthentisierung Daten sollen während einer Übertragung nicht mitgelesen werden können Einsatz von Verschlüsselung Virtual Private Networks (VPN) Seite 16 8

9 IT-SECURITY DEFINITIONEN UND ZIELE (5/5) Zuverlässigkeit / Verfügbarkeit Daten sollen jederzeit zur Verfügung stehen Einsatz von Hochverfügbarkeitslösungen Redundanz und Failover Funktionalität Regelmäßige Sicherung aller Daten Traditionell Backupkonzepte über Bandlaufwerke Neuere Technologien wie Storage Area Network SAN oder Network Attached Storage NAS Seite 17 IT-SECURITY BEDROHUNGEN UND ANGRIFFE Was wird bedroht? Generell muss alles als bedroht angesehen werden (Server, Router, User PCs, PDAs, Handys,...) Daten (Kunden-, Lieferanten-, Mitarbeiter-, Artikel-, Geschäftsdaten, ) Auch Personal muss als bedroht angesehen werden Wer bedroht? Interne Bedrohung höher als externe (laut Statistiken) Unzufriedene MA, Script Kiddies, Hacker, Cracker, Industriespione, Geheimdienste,... Welche konkreten Bedrohungen existieren? Datendiebstahl Datenveränderung, Datenvernichtung Denial of Service (DoS)... Seite 18 9

10 IT-SECURITY AKTUELLE BEISPIELE Seite DHBW Stuttgart, Vorlesung IT-Security Tipps: Microsoft tcpview und IT-SECURITY AKTUELLE BEISPIELE RAT.. Remote Administration Tool Stealer.. Tool zum Diebstahl von Account Daten FUD.. Fully UnDetectable-Server DDoS.. Distributed Denial of Service Steam.. Vertriebsplattform für Internetspiele WoW.. World of Warcraft Quelle: G Data Whitepaper 2009, Underground Economy Seite DHBW Stuttgart, Vorlesung IT-Security 10

11 INHALT KURZVORSTELLUNG INHALT DER VORLESUNG IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 21 PRAXISBEISPIELE LOKALES NETZ SICHERE DATEN IM LOKALEN NETZ (1/2) Unverschlüsselte Bereiche auf Netzlaufwerken Jeder Mitarbeiter kann vertrauliche Daten einsehen, sofern Zugriffsrechte vorhanden Einsicht des Administrators auch auf nicht freigegebene Laufwerke Ziel: Umkehrung der oft üblichen Berechtigungsstrategie Einschränkung von Zugriffen zur Strategie Zuteilung von Berechtigungen Seite 22 11

12 PRAXISBEISPIELE LOKALES NETZ SICHERE DATEN IM LOKALEN NETZ (2/2) Verschlüsselung einzelner Bereiche auf den Netzwerk-Server Verschlüsselte Speicherung einzelner Bereiche auf dem File-Server Authentifizierung weiterhin über Standard Windows Anmeldung Weiterhin Gruppenarbeit auf verschlüsselten Bereichen möglich Gewaltentrennung zwischen Systemadministrator und Security Officer Kein Zugriff mehr von unbefugten Personen auf gesicherte Laufwerke Beispiel: Utimaco SafeGuard LAN Crypt oder McAfee Endpoint Encryption Seite 23 INHALT KURZVORSTELLUNG INHALT DER VORLESUNG IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 24 12

13 PRAXISBEISPIELE SPEICHERSTICK SICHERE DATEN AUF DEM STICK (1/3) Unverschlüsselte Daten auf dem Speicher-Stick Verlust oder Diebstahl des Sticks Kein Schutz der Daten vorhanden Bei unbeaufsichtigtem Stick einfache Kopie der Daten möglich Seite 25 PRAXISBEISPIELE SPEICHERSTICK SICHERE DATEN AUF DEM STICK (2/3) Verschlüsselung von Daten auf dem Speicher-Stick Absicherung der Daten bei verlorenem Stick Kennwort-geschützter Zugriff Einfache Handhabung Auch bei Mandanten einsetzbar Verlust des Speicher-Sticks verursacht keine Gefährdung der Daten Seite 26 13

14 PRAXISBEISPIELE SPEICHERSTICK SICHERE DATEN AUF DEM STICK (3/3) Beispiel: TrueCrypt Seite 27 ERGÄNZENDE ASPEKTE RELEVANZ DER PASSWORTQUALITÄT Passwortlänge Kleinbuchstaben Großbuchstaben Sonderzeichen Bekannte Worte Test z.b. unter Seite 28 14

15 ERGÄNZENDE ASPEKTE RELEVANZ DER PASSWORTQUALITÄT Windows-Passwörter werden in Blöcken mit 7 Zeichen als Hashes gespeichert Beispiel: T h o m a s Passwort-Angriffe: Wörterbuchattacken Brute-Force Attacken Hybrid Attacken Rainbow Tables LCP: Cain & Abel : Windows u.a. Passwörter: Spezielle Passwort Tools: Seite 29 ERGÄNZENDE ASPEKTE RELEVANZ DER PASSWORTQUALITÄT Tipps für gute Kennwörter Kennwörter aus mehreren nicht zusammenhängenden Wörtern zusammensetzen Schreibfehler einbauen, Buchstaben tauschen/ersetzen Anfangsbuchstaben von Sätzen verwenden Kennwörter>14 Zeichen verwenden Kennwörter regelmäßig ändern Unterschiedliche Kennwörter zu unterschiedlichen Verwendungszwecken nutzen Keine Nutzernamen in Kennwörtern! Kennwörter nicht aufschreiben! Ggfs. Kennwort-Safes verwenden (keepass, password safe, ) Seite 30 15

16 INHALT KURZVORSTELLUNG INHALT DER VORLESUNG IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 31 PRAXISBEISPIEL GEFÄHRDUNGEN Würden Sie Ihre persönliche Einkommensteuer- Erklärung auf einer Postkarte versenden? Austausch von Daten Unternehmensintern Zwischen zwei Unternehmen bzw. zwischen Unternehmen und Kunde Gefährdungen bei unverschlüsseltem Versand Unberechtigte Veränderung Unbefugtes Lesen Seite 32 16

17 PRAXISBEISPIEL AUTHENTIZITÄT: SIGNATUR VON S Signatur: Sicherstellung der Authentizität einer Nachträgliche Veränderung fallen auf Authentizität und Nicht-Abstreitbarkeit der Informationen Schlüssel für Signatur nur beim Absender (privater Schlüssel) Prüfung der Signatur für jeden Kommunikationspartner möglich Seite 33 PRAXISBEISPIEL VERTRAULICHKEIT: -VERSCHLÜSSELUNG Sicherung der Vertraulichkeit der Inhalte durch kryptographische Verfahren Kein Mitlesen durch Unbefugte möglich Verschiedene Standards: S/MIME oder PGP Seite 34 17

18 PRAXISBEISPIEL UNVERSCHLÜSSELTE KOMMUNIKATION Alex Marcs Mailserver Marc Max Steffi Steffis Mailserver Klartext (LAN) Klartext (Internet) Seite 35 PRAXISBEISPIEL ENDE-ZU-ENDE VERSCHLÜSSELUNG Alex Marcs Mailserver Marc Max Steffi Steffis Mailserver verschlüsselt Seite 36 18

19 PRAXISBEISPIEL VERSCHLÜSSELUNGS-GATEWAY Marcs Mailserver Marc Alex Max Steffi Steffis Mailserver Secure Mail-Gateway Klartext (LAN) verschlüsselt Seite 37 PRAXISBEISPIEL GEGENÜBERSTELLUNG DER VERFAHREN Ende-zu-Ende-Verschlüsselung Nur personenbezogen Aufwändiges Schlüssel- Management Keine Vertreterregelung ohne Schlüsselweitergabe möglich Eingeschränkter Schutz vor Viren Verschlüsselungs-Gateway Zentrales Schlüssel-Management Einfache Handhabung durch Standard-Einstellungen Keine verschlüsselten Mails im LAN Vertreterregelungen Virenschutz Seite 38 19

20 INHALT KURZVORSTELLUNG INHALT DER VORLESUNG IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 39 KRYPTOGRAPHISCHE PRÜFSUMMEN - HASHES (1/2) Dienen der Integrität von Daten und sind Baustein für kryptographische Protokolle und digitale Signaturen Bei Signatur einer Nachricht wird aus einem beliebig langen Datenpaket eine Prüfsumme bestimmter Länge erzeugt, z.b. 128bit Hash (digitaler Fingerabdruck) Zwei verschiedene Datenpakete dürfen in der Praxis (annähernd) nie den gleichen Hash erzeugen (Kollision) Aus dem Hash darf das Datenpaket nicht errechenbar sein Die Veränderung auch nur eines Bit des Datenpakets muss zu einem komplett anderen Hash führen Seite 40 20

21 KRYPTOGRAPHISCHE PRÜFSUMMEN - HASHES (2/2) Quelle: Universität Lüneburg, Autor: Dr. Martin Warnke Seite 41 DIGITALE SIGNATUR (1/2) Mit digitalen Signaturen wird Integrität und Authentizität erreicht (Information unverändert, von bestimmte Person) Kombination aus Hash und asymmetrischer Verschlüsselung: Hash wird gebildet über Datenpaket Hash wird mit privatem Schlüssel verschlüsselt Verschlüsselter Hash wird an Originaldaten angehängt Integrität gewährleistet durch Hash Authentizität gewährleistet durch Verschlüsselung Seite 42 21

22 DIGITALE SIGNATUR (2/2) Seite 43 SYMETRISCHE VERSCHLÜSSELUNG (1/2) Symetrische Verschlüsselung Algorithmus und genau derselbe Schlüssel für Ver- und Entschlüsselung Schlüssel muss geheim bleiben, Algorithmus nicht Problem der sicheren Schlüsselübergabe Sichere Schlüssellängen ab 128bit Bei vielen Partnern hohe Anzahl an Schlüsseln (hoher Verwaltungsaufwand) Schneller Verfahren, daher gut für Echtzeit Schnelle Verschlüsselungsverfahren (gut für Echtzeit) Seite 44 22

23 SYMETRISCHE VERSCHLÜSSELUNG (2/2) Quelle: EXCELSIS, Autor:Karl Schrade Seite 45 ASYMETRISCHE VERSCHLÜSSELUNG (1/2) Asymetrische Verschlüsselung Jeder Anwender besitzt einen öffentlichen und einen privaten Schlüssel Der öffentliche Schlüssel wird öffentlich gemacht, kann von anderem Anwender benutzt werden, um dem Eigentümer eine Nachricht vor dem Senden zu verschlüsseln Der private Schlüssel wird vom Besitzer privat gehalten. Er dient dazu, empfangene verschlüsselte Nachrichten zu entschlüsseln Im Vergleich zum symmetrischen Verfahren sind weniger Schlüssel insgesamt zu verwalten Langsame Verfahren, ungeeignet für Echtzeit Seite 46 23

24 ASYMETRISCHE VERSCHLÜSSELUNG (2/2) Quelle: EXCELSIS, Autor:Karl Schrade Seite 47 HYBRIDE VERSCHLÜSSELUNG (1/2) Hybride Verschlüsselung Hybride Verschlüsselung ist die symmetrische und asymmetrische Verschlüsselung je nach Aufgabe Beispiel: Datenübertragung zwischen zwei Gegenstellen im Netzwerk Verbindungsaufbau mit Hilfe von Schlüsselpaaren (asymmetrisch) Eigentliche Datenübertragung erfolgt zugunsten niedrigerer Anforderung an die Rechenleistung auf beiden Seiten mit dem selben Schlüssel (symmetrisch) Vorteile beider Verfahren werden genutzt: Die hohe Geschwindigkeit für die symmetrische Verschlüsselung der Nutzdaten und die sicherere asymmetrische Verschlüsselung für den kleinen Session Key Einsatz bei dem Netzwerkprotokoll IPSEC Seite 48 24

25 HYBRIDE VERSCHLÜSSELUNG (2/2) Beispiel für ein hybrides Verschlüsselungsverfahren Quelle: wikipedia, Autor: kidkid Seite 49 PRETTY GOOD PRIVACY (PGP) PGP nutzt zum Verschlüsseln das DSS/DH-Schlüsselmodell: Digital Signature Standard (DSS) zum Signieren Diffie/Hellman (DH, in PGP streng genommen ein El-Gamal-Schema) zur Verschlüsselung Jeder Teil arbeitet mit einem separaten Schlüsselpaar (jeweils Public und Secret Key). Diese Schlüsselpaare werden durch PGPkeys gemeinsam erzeugt, verwaltet und mit Benutzerkennungen versehen. Als "Stammschlüssel" dient der DSS-Key An einen Signierschlüssel lassen sich mehrere zeitlich befristete Chiffrierschlüssel binden => langfristig gültiger Schlüssel und gleichzeitig hohe Sicherheit durch wechselnde Chiffrierungen PGP basiert dabei auf dem so genannten Web of Trust, bei dem es keine zentrale Zertifizierungs-Instanz gibt, sondern so genannte Ketten des Vertrauens Quelle: tool.de Seite 50 25

26 S/MIME Der Standard S/MIME (Secure Multipurpose Internet Mail Extensions) baut auf digitalen Zertifikaten auf S/MIME ist die am weitesten verbreitete Verschlüsselungstechnik und Bestandteil der gängigsten -Programme Vorteil: Keine Notwendigkeit eines Zusatzprogramms Nachteil: Registrierung bei einer Zertifizierungsstelle, teurere Zertifikate bei hohen Sicherheitsanforderungen Quelle:Ilpiola-it, Autor: roberto Seite 51 PUBLIC-KEY-INFRASTRUCTURE (PKI) Ausstellung digitaler Zertifikate, Verteilung und Prüfung Autor: YIN MA Digitale Zertifikate: digital signierte elektronische Daten, die sich zum Nachweis der Echtheit von Objekten verwenden lassen. Certification Authority: Organisation für die Bereitstellung von Zertifikaten Registration Authority: Organisation, bei der Personen und Maschinen Zertifikate beantragen können Certificate Revocation List (Sperrliste): Listen mit zurückgezogenen, abgelaufenen und für ungültig erklärten Zertifikaten Verzeichnisdienst: Ein durchsuchbares Verzeichnis welches ausgestellte Zertifikate enthält Validierungsdienst: Dienst zur Überprüfung von Zertifikaten in Echtzeit Seite 52 26

27 PGP vs. S/MIME S/MIME basiert auf streng hierarchischer X.509-Welt. Es gibt keinen Schlüssel ohne Zertifikat und somit (zumindest innerhalb einer PKI) ein einheitliches Bild, welcher Schlüssel als authentisch anzusehen ist und welcher nicht. Es gibt verschiedene "Trust-Level" der einzelnen Zertifikate, die je nach Registrierungssicherheit und des dabei betriebenen Aufwandes klassifiziert sind PGP überließ die Entscheidung über das Vertrauen in fremde Schlüssel ursprünglich dem Endanwender: Jeder PGP-Benutzer kann selbst als Zertifizierungsinstanz auftreten und Schlüssel "beglaubigen" - es ergibt sich ein "Web of Trust", in dem sich verschiedene Anwender auf verschiedene andere verlassen. Mittlerweile schließt dieses System auch hierarchische Zertifizierungsinstanzen nicht aus, der Endanwender kann sich seinen Schlüssel also auch durch "Institutionen" (in Deutschland bisher 23 Anlaufstellen; Stand 08/2004), wie auch heise Verlag c t, beglaubigen lassen Seite 53 PGP vs. S/MIME Bei beiden Protokollen gibt es mittlerweile Annäherungen an das jeweils andere Modell: Benutzergruppen, die in der S/MIME-Welt nicht auf eine große PKI bauen wollen, verwenden selbst-signierte Schlüssel PGP hat zusätzliche Zertifizierungstypen eingeführt, mittels derer der Anwender die Entscheidungsgewalt über das Vertrauen in Schlüssel an andere Instanzen abgeben kann (Mail-Programm kann also mittels Rückfrage an Key-Server entscheiden, ob ein Schlüssel vertrauenswürdig ist oder nicht) Seite 54 27

28 INHALT KURZVORSTELLUNG INHALT DER VORLESUNG IT-SECURITY TEIL 1/3 PRAXISBEISPIEL LOKALES NETZ PRAXISBEISPIEL SPEICHERSTICK PRAXISBEISPIEL ÜBUNGEN QUELLEN Seite 55 ÜBUNG 1 VERSCHLÜSSELUNG SPEICHER-STICK Ausgangssituation Sie wollen Daten auf einem Speicher-Stick gegen unbefugten Zugriff schützen Aufgabenstellung Recherchieren Sie nach dem Tool truecrypt Installieren Sie das Tool truecrypt auf Ihrem Client Legen Sie ein verschlüsseltes Daten-Volume an Speichern Sie Daten in dem verschlüsselten Daten-Volume Seite 56 28

29 ÜBUNG 2 ERSTELLUNG/NUTZUNG VON ZERTIFIKATEN Ausgangssituation Sie wollen eine sowohl signiert als auch verschlüsselt versenden Aufgabenstellung Erstellen Sie sich eine TC Internet ID (= Zertifikat) unter Installieren Sie das Zertifikat in einem geeigneten Client Versenden Sie eine signiert sowie eine verschlüsselt und signiert an thomas@treutler.de (Zertifikat unter Seite 57 QUELLEN Bundesamt für Sicherheit in der Informationstechnik Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Computerwoche heise Security Open Web Application Security Project (OWASP) Payment Card Industry (PCI) Security Standards Council TrueCrypt UTIMACO Safeware AG McAfee LINUX Wegweiser für Netzwerker; Olaf Kirch Einrichten von Internet Firewalls; D. Brent Chapman and Elizabeth D. Zwicky Cert Advisories; Computer Emergency Response Team (CERT) System- und Netzwerksicherheit; Roman Huber UNIX-Handbuch, UNIX-Einführung; Thomas Treutler Seite 58 29

30 KONTAKT IHR ANSPRECHPARTNER Thomas Treutler Leiter IT Systeme und Betrieb Schwarz Finanz und Beteiligungs GmbH & Co. KG Stiftsbergstr. 1, Neckarsulm Telefon: Seite 59 30