Aktuelle Themen im Bereich der Netze

Transkript

1 Aktuelle Themen im Bereich der Netze Sicherheit im Unternehmen Lücken und Lösungen Foliennr: 1 Dr-Ing Kai-Oliver Detken Private URL: Business URL:

2 Agenda Viren, Spam und DoS Absicherung eines Internet-Zugangs Lücken und Einbruchsmöglichkeiten Lösungen Zusammenfassung Foliennr: 2

3 Kurzvorstellung der DECOIT GmbH Gründung am mit folgendem Portfolio Consulting von Netzwerk- und Sicherheitslösungen Projektmanagement und Entwicklung in internationalen Forschungsprojekten Zielsetzung: akademische Lösungsansätze in kommerzielle Marktprodukte/-lösungen umsetzen Heute: Entwicklung hin zu einem Full-Service-Anbieter Hinzunahmen von Systemmanagement, um gute Standardlösungen oder stabile Open-Source-Lösungen anzubieten Hinzunahme von Software-Entwicklung, um im Nischenbereich innovative eigene Lösungen zu entwickeln Sitz im Technologiepark an der Universität Bremen Enge Kooperationen zu Herstellern, Anbietern und Hochschulen Aktueller Mitarbeiterstand: 12 Foliennr: 3

4 Viren, Spam und DoS Foliennr: 4

5 Steigende Anzahl der Angriffe 1989: IBM wird bzgl Passwörter und interner Daten beraubt 1994: NASA: Rechner werden gehackt 1994: Citybank: vermisst 10 Mio DM auf einem Kundenkonto 1995: erste Verurteilung einer Person für das schreiben eines Virus! 1996: Angriffe auf bekannte Websites um Imageschaden hervorzurufen 1999: Melissa Virus legt zum ersten Mal Firmennetze lahm 1999: Hotmail Hack: 40 Mio User betroffen; Patientenakten standen offen 1999: Denial-of-Service Attacken nehmen zu 1999: ILOVEYOU Virus 2000: Microsoft: 2-maliges Eindringen und Klauen von Daten 2003: Wurm Slammer lässt Buffer-Overrun-Fehler bei MS-SQL-Servern zu 2004: ist ein Massenmailing-Wurm: Netzfreigaben und Registrierungsschlüssellöschungen sind die Folge Foliennr: 5

6 Was ist was? Virus Erweiterung bestehender Programme um eine Schadfunktion keine Interaktion des Anwenders Trojaner Eigenständiges Programm mit Schadfunktion Interaktion des Anwenders Wurm Eigenständiges Programm mit Funktion zur Verbreitung keine Interaktion des Anwenders Spam Unverlangt per zugestellte Werbung Wird durch einen Anwender ausgelöst Denial-of-Service (DoS) Programm zum kontinuierlichen Senden auf einen Zielrechner Keine Interaktion des Anwenders Foliennr: 6

7 Motivation und Schadensziel Motivation Geltungssucht Script-Kiddies Finanzieller Gewinn Angriff auf Konkurrenz Schadensziel Datenmissbrauch Datenmanipulation Datenlöschung Sprungbrett DoS-Atacken SPAM-Versand Foliennr: 7

8 Schadenspotenzial Direkte Kosten System-Wiederherstellung Produktivitätsverlust Datenfehler Indirekte Kosten Schutzmassnahmen Organisation Fehlersuche Der Anteil von Spam am E- Mail-Aufkommen war 2003 in Europa ca 50% Es entsteht ein Schaden in Milliardenhöhe In Europa: 2,5 Mrd in 2002 (EU-Kommission) In den USA: 10 Mrd $ in 2003 (Ferris Research Inc) Foliennr: 8

9 Klassische Angriffswege Datenträger/Datenspeicher lokaler Virenschutz Server-basierter Virenschutz Netzwerk Firewall Zonenbildung Foliennr: 9

10 Absicherung des Internet-Zugangs Foliennr: 10

11 Angriffsmöglichkeiten Maskerade: Ein Benutzer gibt vor ein anderer Benutzer zu sein Dadurch verschafft er sich unbefugten Zugang Abhören: Die Identität eines Benutzers kann zwecks späterem Missbrauch beobachtet werden, zb bei der User-ID Datenmanipulation: Die Daten werden im gespeicherten Zustand oder bei der Übermittlung geändert Denial-of-Service (DoS): Das Unbrauchbarmachen von wichtigen Systemen durch Überflutung des Systems mit falschen Daten Foliennr: 11

12 Gefahren durch das Internet/Intranet Gefährdung von Computersystemen Gefährdung durch neue Programmiersprachen (Java, ActiveX, CGI, XML, Flash etc) Gefährdung durch Betriebssysteme Programmierte Gefahren ICMP-Angriffe (Ping-of-Death, DoS, DDoS) IP-Spoofing ARP Cache Foliennr: 12

13 Sicherheitsstand in den Unternehmen Mittleres Sicherheitsbewusstsein Eine Firewall (Black-box-Lösung) zu Absicherung des Internet-Zugangs Keine übergreifende Security Policy (nur Regelwerk auf der FW) Keine speziellen Verantwortlichen für Security (Administration) Keine Regelungen für IT-Sicherheit Keine ausreichende Security- Dokumentation des Netzes Das interne Netz wird als sicher eingestuft! Foliennr: 13 Büro Bürogebäude Arbeitstation Arbeitstation Arbeitstation Server Externes Netz zb Telearbeitsplatz

14 Sicherheitspolitik (Security Policy) Zu den für eine Sicherheitspolitik erforderlichen Grundelementen gehören Identität, Integrität und aktiver Audit: Identität bezieht sich auf Authentifikation und Autorisierung, hauptsächlich um der Gefahr durch falsche Masken und nachfolgenden Zugriff auf Ressourcen und Daten zu begrenzen Integrität bietet Schutz gegen Gefahren des Abhörens und der Datenmanipulation und gewährleistet vertrauliche Datenübertragung ohne Änderung der Daten Aktiver Audit steht für die korrekte Implementierung der Sicherheitspolitik und erkennt Eindringlinge und DoS-Attacken Foliennr: 14

15 Ermittlung des Sicherheitsbedarfs Für die Ermittlung des Sicherheitsbedarfes müssen die Gefährdungen in Bezug auf die Art der Daten, zb Personal-, Kundendaten die Sicherheitspolitik des Unternehmens muss man bewerten Die daraus resultierenden Sicherheitslücken müssen durch geeignete Maßnahmen im Security Concept behoben werden Das Security Concept definiert eine Security Policy*, die für alle Mitarbeiter gleichermaßen gilt * Eine Security Policy ist eine formale Darlegung der Richtlinien, an die sich die Personen halten müssen, die Zugang zu den Technologie- und Informationsbeständen einer Organisation erhalten Foliennr: 15

16 Lücken und Einbruchsmöglichkeiten Foliennr: 16

17 Grenzen einer Firewall Protokolle/Ports werden überprüft, nicht der Inhalt Mit einem Innentäter ist es (fast) immer möglich, dritten Zugriff auf interne Rechner zu ermöglichen Filterung von Spam-Mails noch nicht ausgereift Machtlos gegen einige DoS-Attacken Kann nur interne Rechner schützen, nicht die Kommunikation mit Rechnern im Internet Bereitstellung aktiver Inhalte Export vertraulicher Daten durch Innentäter durch verschiedenste Methoden möglich Verschlüsselte Kommunikation nicht überprüfbar Zusätzliche Dienste: Multicast, Real Audio, SQL usw Foliennr: 17

18 Angriffe auf den TCP/IP-Stack Ausschalten von Clients, Servern, Routern, Netzwerkkomponenten Spezielle Exploits sind frei verfügbar (einfache Nutzung ohne Hacker/Cracker-Kenntnisse) DoS-Angriffe: Verteilte DoS-Angriffe lassen keine Ermittlung der angreifenden Adressen mehr zu Betriebssysteme werden an die 100% ausgelastet Unterschiedliche Versionen/Arten im Umlauf Sniffer Mitlesen von Passwörtern Erkennen der offenen Ports Buffer Overflow: Pakete mit Überlänge zum Absturz der Systeme Foliennr: 18

19 Angriffe auf internen und externen DNS-Server DNS-Server im Intranet wird über den öffentlichen DNS-Server mit falschen Informationen gefüttert Interne Adresse wird bekannt Internet Trojanisches Pferd an einen User andere Netzwerke im Intranet schicken Router X400 Gateway Starten des Trojaners Umleiten aller Domains auf eine andere URL Daten werden analysiert und missbraucht Nutzen anderer Wege X400 Foliennr: 19 Firewall 1 WWW-/DNS- Server andere Netzwerke Firewall 2 Mail Exchange Server lokales Netzwerk DNS-Server Intranet Client 1 Client 2 Client 3

20 Lösungen Foliennr: 20

21 Gesamtansicht der Infrastrukturbereiche Foliennr: 21

22 Funktionen einer Firewall Zentralisierung sicherheitsrelevanter Funktionen Protokollierung und Auswertung des Netzverkehrs Identifizierung Authentisierung Alarmierung Foliennr: 22

23 Typische Angriffe Portscan DNS-Netzabfragen Netzwerkscans Spoofing Denial of Service Spamming Suche nach Passwörtern und Anwendern Social Engineering Foliennr: 23

24 Verhalten im Falle eines Angriffs Erkennung des Angriffs Erste Bewertung der Schwere des Angriffs Festlegung der ersten Reaktion Genauere Analysen und neue Bewertung Sicherstellen von Beweismitteln Wiederherstellen eines sicheren Zustands Dokumentation und abschließende Bewertung Foliennr: 24

25 Erkennbarkeit von Angriffen Benutzerhinweise und - beschwerden Logdaten Integritätsverletzungen Blockierte oder zusätzliche Dienste Ungewöhnliche Login-Zeiten Presseberichte Foliennr: 25

26 Internes Netz ist nicht sicher Angriffsziele: Foliennr: 26 Aktive Netzwerkkomponenten (Router, Switches, Hosts) Netzwerkprotokolle Applikationen und Services Management und Reporting Das interne Netz muss daher ebenfalls in Frage gestellt werden, was die Sicherheit angeht Grund für die Einführung von Intrusion Detection Systemen

27 IDS-Architekturen Hostbasiertes IDS Überwachung laufender Prozesse Integritätschecks von Dateien Analyse von Betriebssysteminfos (zb Ereignismonitor, syslog) Netzbasiertes IDS Überwachung des Netzwerkverkehrs an zentraler Stelle Analyse der IP-Pakete für verschiedene Verbindungen Hybride Systeme Per-Host Network IDS (PH-IDS) Load Balanced Network IDS (LB- NIDS) Firewall IDS (FW-IDS) Foliennr: 27

28 Zusammenfassung Foliennr: 28

29 Fazit Reine Firewall-Lösungen sind für den Gesamtschutz eines Unternehmens nicht mehr ausreichend Sicherheit ist ein Thema was ganzheitlich angegangen werden muss und in einer Security Policy münden sollte Neben der Absicherung ist auch die Prävention wichtig In Zukunft wird ein Unternehmen ua anhand seiner Sicherheitspolitik bewertet werden (zb bei Bank-Krediten) Die IT-Sicherheit muss zukünftig integraler Bestandteil nahezu aller informationstechnischen Anwendungen und Prozesse sein Rechtliche Rahmenbedingungen werden hier auch immer wichtiger Foliennr: 29

30 Vielen Dank für Ihre Aufmerksamkeit Foliennr: 30 DECOIT GmbH Fahrenheitstraße 1 D Bremen Tel/Fax: /-150 info@decoitde