Netzwerksicherheit. Hans-Joachim Knobloch Hans-Joachim Knobloch

Transkript

1 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Netzwerksicherheit und deren Überprüfung hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1

2 Inhalt Grundlagen Security Audits WLAN: Funk-Netze Intrusion Detection und Honeypots Security Consulting GmbH, Karlsruhe Seite 2

3 Grundlagen Security Consulting GmbH, Karlsruhe Seite 3

4 Netzwerksicherheit = Sicherheitskonzept LAN/WAN Netzwerk- Design mobile Netze Netzsegmentierung Anwendungs- Protokolle Firewall Routing- Protokolle Verfügbarkeit Redundanz Verschlüsselung Intrusion Detection Authentifikation VPN Hinweise Firewalls bestehen oft aus mehrstufigen und auch redundanten Systemen. Im folgenden wird die gesamte Firewall-Infrastruktur als Firewall-System bezeichnet. Abkürzungen: LAN Local Area Network VPN Virtual Private Network WAN Wide Area Network Security Consulting GmbH, Karlsruhe Seite 4

5 Schutz Netzzugang Problem: Ungeschützter Netzzugang potentiell gefährlich Ziel Dienstleister/Partner mit infizierten Systemen (Virus/Wurm) Einsatz privater Mitarbeiter-Hardware ohne Sicherheitsstandards Einsatz für gezielte Angriffe Verstärkte Kontrolle, welche Geräte an das Netzwerk angeschlossen werden und welche Eigenschaften diese aufweisen müssen (z. B. angemeldeter Benutzer, aktueller Virenschutz, Patch-Level) Mögliche Lösungen: Techniken zum Schutz Netzzugang MAC-Adress Filterung (aufwendig, nicht mehr zeitgemäß) RADIUS-Authentifzierung (zentrale Benutzerverwaltung, auch für WLAN) Client-Authentifizierung (Beispiel: Cisco NAC) Abkürzungen: MAC Media Access Control NAC Network Admission Control RADIUS Remote Authentication Dial-In User Service WLAN Wireless Local Area Network Security Consulting GmbH, Karlsruhe Seite 5

6 Netzsegmentierung Netzsegmentierung bedeutet die Trennung von Gesamtnetzwerken in logische oder physikalisch getrennte Netzbereiche Ursprünglicher Zweck: Steigerung Performance und Übersichtlichkeit Heutige Zusatzwecke: Sicherung und Abschottung der Netze voneinander, nur definierte Kommunikation erlauben Zur Definition der erlaubten Kommunikation erforderlich IP-Adressen und Netze der beteiligten Systeme Zuordnung der Anwendungen zu erforderlichen Protokollen verwendeten Ports und Port-Ranges Prozesse zur Erfassung, Freigabe und Streichung von Kommunikationsanforderungen Abkürzungen: IP Internet Protocol Bildquellen: Zeitgenössische Zeichnung der Titanic, Security Consulting GmbH, Karlsruhe Seite 6

7 Beispiel netz netz... DB Arbeitsstation SAP Web AS Abkürzungen: DB Datenbank Web AS Web Application Server Security Consulting GmbH, Karlsruhe Seite 7

8 ...plus Internet Transaction Server Arbeitsstation Internet Wgate DB Laptop Agate SAP Web AS Abkürzungen: DB Datenbank ITS Internet Transaction Server Web AS Web Application Server Security Consulting GmbH, Karlsruhe Seite 8

9 ...plus Netzsegmentierung Arbeitsstation Internet Wgate Laptop DMZ Agate SAP Web AS DB LAN Abkürzungen: DB Datenbank DMZ De-Militarisierte Zone ITS Internet Transaction Server LAN Local Area Network Web AS Web Application Server Security Consulting GmbH, Karlsruhe Seite 9

10 ...plus Entwicklungs- & Testumgebung Abkürzungen: DB Datenbank ITS Internet Transaction Server Web AS Web Application Server Security Consulting GmbH, Karlsruhe Seite 10

11 ...plus Netzwerkkomponenten Internet Arbeitsstation Distribution-Switch DB prod Router Firewall Wgate Laptop mit VPN-Client VPN-Konzentrator Firewall Agate Core-Switch SAP Web AS Produktiv SAP Web AS Test DB Test Core-Switch SAP Web AS Entwicklung DB Entwicklung Abkürzungen: DB Datenbank ITS Internet Transaction Server VPN Virtual Private Network Web AS Web Application Server Security Consulting GmbH, Karlsruhe Seite 11

12 Was fällt f Ihnen in diesem Bild auf? Internet Arbeitsstation Distribution-Switch DB prod Router Firewall Wgate Laptop mit VPN-Client VPN-Konzentrator Firewall Agate Core-Switch SAP Web AS Produktiv Warum sind Test- und Produktivbereiche nicht getrennt? SAP Web AS Test DB Test Müssen von jedem Client im Netzwerk die Datenbanken erreichbar sein? Core-Switch SAP Web AS Entwicklung... DB Entwicklung Abkürzungen: DB Datenbank ITS Internet Transaction Server VPN Virtual Private Network Web AS Web Application Server Security Consulting GmbH, Karlsruhe Seite 12

13 Beispiel Client-Segmentierung Beispiel Abschottung Client Zugriffe vom Produktions-LAN abschotten Security Consulting GmbH, Karlsruhe Seite 13

14 Praxisprobleme Über welche Ports kommunizieren Anwendungen? Wie effektiv kann die Anwendungskommunikation eingeschränkt werden? Wer ist für Anwendungen verantwortlich? Bildquellen: Security Consulting GmbH, Karlsruhe Seite 14

15 Praxisprobleme Mehrere Lokationen mit verschiedenen Netzsegmenten (Entwicklung, Personalabteilung, etc.) sollen sicher jeweils untereinander kommunizieren Bildquellen: Security Consulting GmbH, Karlsruhe Seite 15

16 Praxisprobleme Übertragung von Viren und Würmern über zugelassene Protokolle und Ports Bspw. Fileservice, HTTPS, SQL Abkürzungen HTTPS HyperText Transfer Protocol (Secure) SQL Structured Query Language Bildquellen: Security Consulting GmbH, Karlsruhe Seite 16

17 Praxisprobleme Komplexität und Dynamik Abhängigkeiten Betriebsaufwand Komplexität und Dynamik der Kommunikationsanforderungen Technologie- und Systemabhängigkeiten Betriebsaufwand Bildquellen: Security Consulting GmbH, Karlsruhe Seite 17

18 WLAN: Funk-Netze Security Consulting GmbH, Karlsruhe Seite 18

19 Shared Medium Bildquellen: Security Consulting GmbH, Karlsruhe Seite 19

20 Reichweite? Bildquellen: Security Consulting GmbH, Karlsruhe Seite 20

21 Reichweite??? Bildquellen: Security Consulting GmbH, Karlsruhe Seite 21

22 Die andere Richtung Bildquellen: Security Consulting GmbH, Karlsruhe Seite 22

23 WLAN (Un( Un-)Sicherheit Etliche Security-Protokolle verschlüsseln und schützen WEP, WPA, WPA2, LEAP, TKIP, EAP, AES... Viele Artikel und Berichte über Unsicherheiten Z. B.: WEP ist gebrochen, insbesondere im Firmenumfeld (i. d. R.) unbrauchbar Abkürzungen AES Advanced Encryption Stnadard EAP Extensible Authenticarion Protocol LEAP Lightweight Extensible Authentication Protocol TKIP Temporal Key Integrity Protocol WEP Wired Equivalent Privacy WPA Wi-Fi Protected Access WPA2 Wi-Fi Protected Access 2 Security Consulting GmbH, Karlsruhe Seite 23

24 Links nien/tr03103/index_htm.html Security Consulting GmbH, Karlsruhe Seite 24

25 Schutzmechanismen der APs Admin-Passwort ändern MAC-Filter Verschlüsselung konfigurieren (möglichst WPA2 mit AES) SSID ändern ohne Zuordnungsmöglichkeiten SSID-Broadcast deaktivieren Abkürzungen MAC TKIP AES SSID Media Access Code Temporal Key Integrity Protocol Advanced Encryption Standard Service Set Identifier Security Consulting GmbH, Karlsruhe Seite 25

26 Weitere Schutzmaßnahmen Verschlüsselung auf anderer Ebene bei s (PGP bzw. S/MIME) Fernwartung (SSH) Allgemeiner Datentransfer (VPN) Absicherung der Clients Desktop-Firewall und Virenschutz WLAN-Profile Entkopplung der APs vom LAN durch Firewalls Portfilter Zugriff nur auf bestimmte Systeme im LAN Abkürzungen AP LAN PGP S/MIME SSH VPN Access Point Local Area Network Pretty Good Privacy Secure Multipurpose Internet Mail Extensions Secure Shell Virtual Private Network Security Consulting GmbH, Karlsruhe Seite 26

27 Vorschlag: Netzstruktur Internet R Firewall Internes Netz Gateway oder Firewall Access Point Wireless Clients Security Consulting GmbH, Karlsruhe Seite 27

28 Weitere Schutzmaßnahmen im WLAN Ausleuchtungszonen ermitteln Einsatz von Authentifizierungsmechanismen RADIUS Zertifikate Scannen des eigenen WLANs mit den Techniken eines Angreifers Aktives Scannen mit Netstumbler Passives Scannen mit Kismet Software für Ausleuchtungszonenmessung: z.b. Ekahau Site Survey Netstumbler: Kismet: Security Consulting GmbH, Karlsruhe Seite 28

29 Security Audits Security Consulting GmbH, Karlsruhe Seite 29

30 Audits & Co. Überprüfung: Reviews und Security Audits Review (manuell) Überprüfung von Konfiguration, organisatorischen Regelungen Best Practices: Vor allem für Server geeignet Nur bedingt formalisierbar Audits (automatisierbar) Versuch von Angriffen, Aufdeckung von Schwachstellen Technisch (bedingt) formalisierbar Einmalig oder wiederholt Beobachtung: Intrusion Detection/IDS Beobachtung des Netzwerks Dauernd Einsatz von Honeypots als weiterführende Maßnahme? Literatur Gora, Stefan: Security Audits. Secorvo White Paper, WP14, Version 1.0, : Security Consulting GmbH, Karlsruhe Seite 30

31 Penetrationstests Pro-aktive Simulation von Angriffen wie ein Hacker Ziel sind Firewalls und nachgeordnete Systeme Zentrale vs. dezentrale Audits Inside-Out? Im Anschluss: Behebung der gefundenen Schwachstellen Im Unternehmen zu beachten: Begrenzte Aussagekraft: Schnappschuss der aktuellen Sicherheitslage Testrahmen: Vorher rechtliche und betriebliche Situation klären Ggf. Ergebnisse mit externer Unterstützung bewerten Vorgehen Verwenden gängiger Ports und Mechanismen Suchen nach Informationen; Zugriff auf bestimmte Dienst, Login und Passwörter Suche nach Möglichkeiten zur Veränderung oder Diebstahl von Daten oder Beeinflussung der Systeme Quellen Dirk Lehmann: Der Einsatz eines Security-Scanners in einem globalen Unternehmen Bundesamt für Sicherheit in der Informationstechnik (BSI): Durchführungskonzept für Penetrationstests Zahlreiche Arten von Tools unterscheidbar Nach BSI-Studie (s.o.): Portscanner, Schwachstellenscanner, Wardialer, CGI-Scanner, WLAN Scanner, LAN Sniffer, WLAN Sniffer, Passwort Cracker, Angriffs-Tools, Trojanische Pferde,... Beispiele für Scan-Tools Nessus: GFI LANguard: ISS: p0f: Bildquellen: Security Consulting GmbH, Karlsruhe Seite 31

32 Penetrationstests Durchführung hrung Security Audits 5. Prinzipielle Überprüfungen Remote Access und Partneranbindungen Internet Router Firewall Ethernet 1. Audit aus dem Internet auf Router, Firewall, DMZ und LAN Web-Server Mail-Relay 2. Audit aus DMZ auf Firewall und LAN DMZ 3. Audit aus dem LAN auf Firewall und DMZ Daten bank Server Server LAN Client Client Client 4. Audit im LAN (ausgewählte Systeme) Security Consulting GmbH, Karlsruhe Seite 32

33 Penetrationstests Beispiel Nessus Penetrationstests: Beispiel Nessus Links: Nessus: Security Consulting GmbH, Karlsruhe Seite 33

34 Penetrationstests Beispiel Nessus Penetrationstests: Beispiel Nessus Links: Nessus: Security Consulting GmbH, Karlsruhe Seite 34

35 Intrusion Detection und Honeypots Links zu IDS Network Intrusion Detection mit Linux (deutschsprachig): Intrusion Detection FAQ: Snort - The Open Source Network Intrusion Detection System: RAID International Symposium on Recent Advances in Intrusion Detection: Prelude Hybrid IDS: Security Consulting GmbH, Karlsruhe Seite 35

36 Signatur Analyse Suche nach bekannten Angriffsmustern ( Attack Signatures ) Prozesse (bestimmte Kommandos,...) Resultate (bestimmte Zustände,...) Effizient! Bildquellen: Security Consulting GmbH, Karlsruhe Seite 36

37 Statistische (heuristische) Analyse Sucht nach Abweichungen von normalen Aktivitäten Damit sind auch unbekannte Attacken zu erkennen Anzahl Fehlalarme durch rechtmäßige Aktivitäten hoch Bildquellen: Security Consulting GmbH, Karlsruhe Seite 37

38 Integritäts ts-analyse Prüfung Erkennung Manipulation? Problem Echtzeit Existierende Dateien werden auf Veränderungen geprüft Änderungen können sicher erkannt werden Aber ist Änderung gleich Manipulation? Echtzeit-Anwendung bisher schwierig Bildquellen: Security Consulting GmbH, Karlsruhe Seite 38

39 Nutzen und Grenzen IDS Intrusion Detection ermöglicht die Beobachtung des Netzwerkes Noch immer viele False Positives Es gibt zahlreiche Stellen zu überwachen IDS kann nicht ein Sicherheitskonzept ersetzen... die Sicherheit des gesamten Netzwerkes automatisch sichern (IPS?) IDS kann genau abgegrenzte, besonders sensitive Bereiche überwachen Weiterführende Literatur Lance Spitzner: Honeypots - Tracking Hackers, Boston 2002 Security Consulting GmbH, Karlsruhe Seite 39

40 Honeypot Honeypots sollen Angreifer anlocken bzw. ablenken Ziele Exponiert Überwacht Kein produktiver Einsatzzweck Simulieren aber produktive Systeme Erkennen von möglichen Angriffen und Angreifern Ggf. Einleten von Gegenmaßnahmen Einschätzung der Bedrohungslage Nach fünf Minuten am Internet der erste Angriffsversuch... Studieren von Methoden der Angreifer Frühzeitige Entdeckung von neuer Malware Typische Betreiber Forschungsprojekte Anti-Viren-Industrie Bildquellen: Security Consulting GmbH, Karlsruhe Seite 40

41 Exkurs: Honeynet - GenIII Quelle: The Honeynet Project Links: Security Consulting GmbH, Karlsruhe Seite 41

42 Links Security Consulting GmbH, Karlsruhe Seite 42

43 Empfehlungen Grundlagen beachten Netzsegmentierung Einsatz sicherer Protokolle Security Audits sind ein sehr effektives Werkzeug... müssen regelmäßig (z. B. jährlich) wiederholt werden WLAN Zusätzliche Verschlüsselung WPA2 AES-CCMP IPsec SSH, SSL, PPTP mit 14 Zeichen langen guten Passwörtern,... WLAN außerhalb des durch eine FW geschützten Firmennetzes Personal Firewall auf den Wireless Clients IDS, Honeypots Sehr aufwändig: daher nur in dedizierten Umgebungen Security Consulting GmbH, Karlsruhe Seite 43