1 Sicherheitskonzepte erstellen

Transkript

1 Sicherheitskonzepte 1 Sicherheitskonzepte erstellen durch Analyse Lernziele: Analyse der Sicherheitsrisiken und der Unternehmensanforderungen Entwickeln von Strategien Konzepte der Sicherheitsrichtlinien Ändern der Sicherheitseinstellungen Einstellungen in den Sicherheitsrichtlinien Zuweisen von Sicherheitsvorlagen Legacy Systeme Prüfungsanforderungen von Microsoft : Prüfung Analyze business requirements for designing security. Considerations include existing policies and procedures, sensitivity of data, cost, legal requirements, end-user impact, interoperability, maintainability, scalability, and risk Analyze existing security policies and procedures. Analyze theorganizational requirements for securing data. Analyze the security requirements of different types of data. Analyze risks to security within the current IT administration structure and security practices. Design a framework for designing and implementing security. The framework should include prevention, detection, isolation, and recovery Predict threats to your network from internal and external sources Design a process for responding to incidents 19

2 Sicherheitskonzepte erstellen durch Analyse Design segmented networks Design a process for recovering services Analyze technical constraints when designing security Identify capabilities of the existing infrastructure Identify technology limitations Analyze interoperability constraints Prüfung Plan security templates based on computer role. Computer roles include SQL Server computer, Microsoft Exchange Server computer, domain controller, Internet Authentication Service (IAS) server, and Internet Information Services (IIS) server Configure security templates Configure registry and file system permissions Configure account policies Configure.pol files Configure audit policies Configure user rights assignment Configure security options Configure system services Configure restricted groups Configure event logs Deploy security templates Plan the deployment of security templates Deploy security templates by using Active Directory-based Group Policy objects (GPOs) Deploy security templates by using command-line tools and scripting Troubleshoot security template problems Troubleshoot security templates in a mixed operating system environment Troubleshoot security policy inheritance Troubleshoot removal of security template settings Quelle: Microsoft 20

3 Einführung 1.1 Einführung Sicherheit ist ein Thema, dass in den letzten Jahren immer wichtiger geworden ist. Leider gibt es die verschiedensten Interpretationen von Sicherheit, so definieren Privatanwender Sicherheit meistens nur durch einen Virenscanner. In einer Firma ist das Sicherheitskonzept in jedem Fall komplexer. Man stelle sich vor, jede Firma würde das Thema Sicherheit nur mit einem Virenscanner abhandeln, das wäre doch wirklich am Thema vorbei. Aber was ist nun Sicherheit? So einfach die Frage ist, so schwierig ist die Antwort. Sicherheit besteht aus vielen einzelnen Bausteinen, und ist in jeder Firma anders zu implementieren. Der erste Schritt zu einer sicheren Firmenumgebung ist immer die Analyse des Ist- Zustands, und deren kritische Analyse. Natürlich sind die Anforderungen für größere Firmen komplexer als die für kleinere Firmen, aus diesem Grund werden wir uns in diesem Buch immer mit den Belangen von größeren Firmen befassen, wenn es nicht ausdrücklich anders erwähnt ist. 1.2 Analyse der Sicherheitsrisiken und der Unternehmensanforderungen Wenn Sie ein Sicherheitskonzept für eine Firma erstellen möchten, sollten Sie zunächst eine Analyse der Sicherheitsrisiken und der Unternehmensanforderungen machen. Diese beiden Aspekte sind untrennbar miteinander verbunden, und sollten auch als Einheit betrachtet werden Entwickeln von Strategien für Sicherheitskonzepte und die Implementierung von Sicherheit Jedes Sicherheitskonzept ist von vielen Faktoren abhängig. Als Beispiele können wir hier folgende Faktoren aufführen: Kosten für die Sicherheit Art der Netzwerkumgebung (homogene Landschaft / heterogene Landschaft) Aktualität der Betriebssysteme Rechtliche Anforderungen Forderungen der Kunden 21

4 Sicherheitskonzepte erstellen durch Analyse Die Eigenverantwortung der Benutzer Netzwerkdesign (segmentiertes Netzwerk) und vieles mehr All diese Dinge sind die Grundlage, um ein maßgeschneidertes Sicherheitskonzept zu erstellen. Einige besonders häufig zu berücksichtigende Faktoren betrachten wir einzeln. Angriffe vermeiden Ein Sicherheitsrisiko, das zum Glück in den letzten Jahren immer ernster genommen wird, ist die Möglichkeit der Angriffe aus dem Internet. Es gibt wohl nichts Praktischeres als die elektronische Post. In kürzester Zeit können Nachrichten international verschickt und empfangen werden. Sie können einfachen Text verschicken, aber auch Anhänge mitschicken, die Daten in allen möglichen Formaten beinhalten können. birgt aber leider auch große Gefahren. Die Anhänge können mit Viren oder Trojanern verseucht sein, die Sie sich selber ohne nachzudenken auf den Rechner laden. s sollten in einem Sicherheitskonzept immer überwacht und gegebenenfalls gefiltert werden. Internet Das Internet ist das Recherchemedium schlechthin. Beinahe alle Informationen, die man benötigt, sind im World Wide Web zu finden. Viele Firmen bieten Ihre Produktpalette online an, und Sie können online Transaktionen tätigen, ohne persönlich zu erscheinen oder Schriftverkehr austauschen zu müssen. Das WWW beinhaltet ebenfalls Gefahren. Durch Techniken, die das Surfen angenehmer machen, können Sie sich sowohl Viren als auch Trojaner auf ihren Rechner laden. Ein Virenscanner ist unabdingbar, wenn im Internet gesurft wird. Downloads Ebenfalls ein Anwendungsbereich des Internets ist es, sich Daten von so genannten FTP- Servern herunterladen zu können. Software, die Sie eventuell kaufen möchten, wird als Demoversion angeboten, die Sie sich herunterladen können, genauso wie es bei vielen anderen Gelegenheiten üblich ist, sich Daten herunter zu laden. Auch Downloads haben ein hohes Gefährdungspotential. Deswegen sollte der Download 22

5 Analyse der Sicherheitsrisiken und der Unternehmensanforderungen streng überwacht werden, eventuell sollten verschiedene Downloads vollständig gesperrt werden. In jedem Fall müssen alle transferierten Dateien mit einem Virenscanner überprüft werden. All diese Dinge sind schon Gefährdung genug. Leider ist das aber noch nicht alles. Mittlerweile hat sich eine eigene Kriminalität entwickelt, die durch die offene Kommunikation über das Internet entstehen konnte. Kriminelle Energie wurde schon immer darauf verwendet, Firmengeheimnisse zu erfahren. Waren es früher Machenschaften, die persönlichen Einsatz der Kriminellen erforderten, ist nun die Möglichkeit da, die gewünschten Daten über Angriffe auf das Firmennetz zu erhalten. Auch hier gilt wieder die Regel: Was nutzt die beste Abschirmung gegenüber dem Internet, wenn das Firmennetz für jeden, der sich im Gebäude befindet, frei zugänglich ist. Natürlich müssen Sie das Netzwerk auch von innen sichern. Aber Hacker haben neue Strategien entwickelt. Sie versuchen nun, die Schnittstelle zum Internet anzugreifen, um so Zugriff auf das interne Netzwerk zu bekommen. Sie versuchen, Lücken in der Implementierung der Protokolle und der Betriebssysteme zu nutzen, um so zuzugreifen. DOS (Denial of Service) Denial of Service Attacken sind Angriffe auf einen Computer. Es werden so viele (unsinnige) Datenpakete an einen Rechner geschickt, bis der angegriffene Rechner nicht mehr verfügbar ist. DOS Attacken sind nur durch Schwachstellen im Programm, Betriebssystem oder Protokoll möglich, und daher sehr schwer zu vermeiden. Einige Arten von DOS Angriffen: Ping of Death Beim Ping of Death werden zwei Tatsachen ausgenutzt: 1. Ein IP-Paket ist maximal Bytes groß 2. Die maximale Größe eines Datenpakets im Ethernet beträgt Bytes IP-Pakete, die größer sind, werden in mehrere Fragmente aufgeteilt, damit sie im Ethernet transportiert werden können. Die Datenfragmente bekommen Einen Offsetwert (Identifikation der einzelnen Fragmente als zusammengehörig) Eine Identifikationsnummer Lediglich das erste Fragment enthält den TCP-Header und dadurch auch die Port Nummer. 23

6 Sicherheitskonzepte erstellen durch Analyse Beim Ping of Death wird nun das letzte Fragment manipuliert, so dass es größer wird. Damit entsteht ein IP-Paket, das die maximale Größe von Bytes überschreitet. Beim Empfang eines solchen Pakets wird ein Buffer-Overflow ausgelöst, und der attackierte Rechner ist lahmgelegt. Ping Flooding Ping Flooding ist eine sehr einfache Attacke, die das nützliche Programm Ping einfach nur zweckentfremdet. Mit Ping wird überprüft, ob ein bestimmter Rechner im Netzwerk erreichbar ist. Jeder Ping, der einen Rechner erreicht, wird beantwortet. Normalerweise werden nur eine begrenzte Anzahl an Anfragen geschickt, bei Windows werden jeweils 4 Pings abgesetzt. Beim Ping Flooding dagegen wird ein Host mit sehr vielen Ping-Anfragen bombardiert, die er alle beantworten muss. Damit ist das System sehr schnell überlastet. Land TCP ist ein verbindungsorientiertes Kommunikationsprotokoll, das bedeutet, dass eine Sitzung mit der Gegenstelle aufgebaut wird, bevor Daten gesendet werden. Das bedeutet, dass der Absender zunächst spezielle IP-Pakete (SYN) an den Empfänger sendet und eine Verbindung ankündigt. Wenn der Zielhost bereit ist, sendet er wiederum eine Antwort zurück (ACK). Der Sendehost quittiert diese Antwort (ACK). Erst danach beginnt die Datenübertragung. Bei einem Land-Angriff wird nun ein SYN Paket gesendet, bei dem Sender- und Empfängeradresse gleich sind. Der Zielhost versucht nun dauernd, die SYN Pakete zu beantworten. Damit ist er nach kürzester Zeit überlastet und nicht mehr erreichbar. OOB (Nuken) OOB (Out of Band) ist eigentlich ein nützliches Feature von TCP. Es erlaubt, dass Datenpakete auch in falscher Reihenfolge gesendet werden können. Da bei Microsoft Systemen fast immer die NetBEUI-Funktionalität aktiviert ist, konnte OOB hier als Attacke verwendet werden, das sogenannte Nuken. Wenn am Port 135 oder 139 Daten mit einem speziellen UDP-Paket eintreffen, die nicht genau der Norm entsprechen, stürzt das System sofort ab. Mittlerweile gibt es aber für alle Betriebssysteme entsprechende Patches. Smurf Bei einer Smurf-Attacke werden Pings an eine Broadcastadresse gesendet. In dieser Konstellation antwortet jeder Rechner mit mindestens vier Pings. 24

7 Analyse der Sicherheitsrisiken und der Unternehmensanforderungen Wenn nun die Absenderadresse des Ping gefälscht ist, und die Adresse des Opfers enthält, wird das Opfer nun in kürzester Zeit mit Pings überfordert und wird den Dienst quittieren. Dieser Angriff ist schon seit längerem auch unter dem Namen ICMP-Storm bekannt. Mail-Bombe Die Mail-Bombe ist schon ein Klassiker unter den DOS-Attacken. Der Empfänger erhält eine Vielzahl an gleichen s, damit wird das Herunterladen der Mails schon zum Engpass. Auch der Server (SMTP-Server), an den die Mails geschickt werden, ist von der Attacke betroffen. In der Mail-Bombe ist die Empfängeradresse sehr oft in der Empfängerliste eingetragen. Der SMTP-Server hat dementsprechend viel zu tun, alle Mails zu erstellen und zuzustellen. Damit ist er in vielen Fällen lahmgelegt. Port-Scanning Port-Scanning geht in vielen Fällen einer DOS-Attacke voraus. Mit einem Port-Scan findet man heraus, welche Dienste alle auf einem Server bereitgestellt werden. Dazu versucht das Port-Scan-Programm einfach bekannte Server- Ports zu öffnen. Reagiert das System auf die Anfrage, weiß das Programm, dass dort ein Serverprogramm läuft. So erlangt der Hacker Kenntnis darüber, welche Programme laufen. Wenn der Hacker Kenntnis über die offenen Ports erlangt hat, kann er DOS-Attacken starten. Deswegen ist es von extremer Wichtigkeit, keine offenen Ports zu haben. Ein Firewall schließt die Ports und gibt uns die Möglichkeit, nur die Ports zu öffnen, die absolut benötigt werden. All diese Angriffe sind nur zu vermeiden, wenn eine professionelle Firewall im Unternehmen eingesetzt wird. Microsoft bietet mit dem ISA Server 2004 eine Firewall, die allen Anforderungen gerecht wird. Angriffe aus dem internen Netzwerk Leider sind die Gefahren aus dem Internet nicht die einzigen Gefahren. Laut aktuellen Studien kommt der Großteil der Angriffe aus dem internen Netzwerk. Also müssen Sie auch für die Sicherheit im internen Netzwerk sorgen, und dafür, dass die Benutzer nur gerade die Rechte haben, die sie benötigen, um ihre Aufgaben zu bewältigen. 25

8 Sicherheitskonzepte erstellen durch Analyse Reaktionen auf Angriffe Nicht in allen Fällen lassen sich Angriffe vermeiden. Falls es zu einem Angriff gekommen sein sollte, obwohl Sie weitgehend für die Sicherheit gesorgt haben, sollten Sie einen Notfallplan parat haben. In einem solchen Notfallplan können Sie festlegen, welche Schritte sofort einzuleiten sind. Der Notfallplan sollte außerdem folgende Punkte enthalten: Wer ist verantwortlich? Welche Kollegen sind für die Erstreaktion verantwortlich, welche Kollegen müssen in jedem Fall zu Rate gezogen werden, auch wenn sie momentan nicht anwesend sind. Welche Erstreaktionen müssen erfolgen? Je nach Art des Angriffs müssen Erstreaktionen erfolgen, um den momentanen Stand nicht noch zu verschlimmern. Welche Dokumentationen müssen sofort erstellt werden? Bei einem Angriff muss der Status Quo festgehalten werden, um bei fehlgeschlagenen Rettungsversuchen auf diesen Stand zurückkehren zu können. Welche Maßnahmen erfolgen danach? Wie können die Auswirkungen des Angriffs beseitigt werden. Im Idealfall konnten Sie auf diese Weise einen definierten Weg erarbeiten, den bereits erfolgten Angriff gegenstandslos zu machen. Im nächsten Schritt sollten Sie daraus Konsequenzen ziehen. Solche Konsequenzen können beispielsweise sein: Erhöhung der Sicherheit aufgrund des Angriffs Schulung der Mitarbeiter, um solche Attacken in Zukunft zu vermeiden Der Notfallplan kann natürlich nicht statisch sein, er sollte jederzeit angepasst werden können, um auf aktuell auftretende Ereignisse zu reagieren. Wiederherstellen des Ausgangszustands Um nach einem Angriff den Ausgangszustand wiederherstellen zu können, müssen Sie bereits vorher einiges in die Wege geleitet haben, zum Beispiel: Backupstrategie Genaue Aufzeichnungen der Funktionen (Rollen) aller Computer Schattenkopien Dies ist der letzte Schritt, der nach einem Angriff zu erfolgen hat. 26

9 Analyse der Sicherheitsrisiken und der Unternehmensanforderungen Segmentierte Netzwerke Segmentierte Netzwerke finden wir in beinahe allen Firmen. Segmentierte Netzwerke bedeutet, dass einzelne Teile des kompletten Firmennetzwerks durch technische Geräte abgetrennt werden. Solche Geräte können sein Router Firewall, NAT-Rechner und Proxy RAS-Server Die Segmentierung von Netzwerken ist eine gute Möglichkeit, die Sicherheit zu erhöhen. Leider wird durch die Segmentierung auch der freie Datenfluss gehemmt, und es können weitere administrative Maßnahmen nötig sein, damit eine Kommunikation stattfinden kann. Abbildung 1.1: Segmentierung Segmentierung durch Router Eine Segmentierung durch einen Router trennt physische Subnetze voneinander. Mit einem Router kann die Kommunikation eingeschränkt werden, es können also Filter gesetzt werden. 27

10 Sicherheitskonzepte erstellen durch Analyse Abbildung 1.2: Routing Segmentierung durch Firewall, NAT und Proxy Eine Schnittstelle zum Internet sollte immer mit einer Firewall ausgestattet sein. NAT (Network Adress Translating) ist natürlich immer ein Teilstück, da in den internen Netzwerken nicht mit öffentlichen IP-Adressen gearbeitet wird. Eine einfache Firewallmöglichkeit könnte folgendermaßen aussehen: Abbildung 1.3: Firewall 28

11 Analyse der Sicherheitsrisiken und der Unternehmensanforderungen Viele Firewalls haben noch die Proxyfunktionalität dabei. Ein Proxy ist ein Speicher, in dem Informationen zwischengespeichert werden. Dies ist gerade bei der Internetkommunikation von Vorteil, denn so können die Sites auf den Proxy gespeichert werden, was bedeutend kürzere Ladezeiten mit sich bringt, und außerdem Internetbandbreite spart. Häufig wird auch mit einem Perimeternetzwerk gearbeitet. Abbildung 1.4: Perimeternetzwerk 29

12 Sicherheitskonzepte erstellen durch Analyse Hier gibt es zwei Firewalls, die ein öffentlich zugängliches Perimeternetzwerk abschirmen. Dies ist die komplexeste, aber auch die sicherste Lösung, um sowohl das Perimeternetzwerk als auch das interne Netzwerk zu schützen. Segmentierung durch einen RAS-Server Oft treffen wir auch auf eine Segmentierung durch einen RAS-Server. In diesem Fall haben Computer, die nicht im Netzwerk physisch angesiedelt sind, die Möglichkeit, auf das Firmennetzwerk zuzugreifen. Es kann sich hierbei um Mitarbeiter im Homeoffice handeln, um Außendienstmitarbeiter, oder um komplette Partnerfirmen, die Zugriff auf das interne Netzwerk benötigen. Prinzipiell stellt sich hier die Frage, ob die Kommunikation durch RAS (Telefonverbindung) oder VPN (Internet) hergestellt wird. Möglich sind alle Kombinationen. Abbildung 1.5: RAS und VPN 30

13 Implementieren von Sicherheit durch Sicherheitsrichtlinien 1.3 Implementieren von Sicherheit durch Sicherheitsrichtlinien Microsoft hat ein sehr effektives Konzept für die Sicherheit der Server, nämlich die Sicherheitsvorlagen. Sicherheitsvorlagen sind Sätze von Sicherheitseinstellungen, die genau nach den Sicherheitsvorgaben definiert, und bei Bedarf den entsprechenden Servern zugewiesen werden können. Windows Server 2003 kennt verschiedene Sicherheitsvorlagen, die verschiedene Sicherheitsstufen beinhalten. Bei der Installation werden Grundeinstellungen getroffen, die die Basissicherheit des Betriebssystems definieren. Diese Grundeinstellungen sind in Form einer Vorlage (*.inf-datei) im Ordner %systemroot%\security\templates abgelegt. Betrachten können Sie alle diese Vorlagen, indem Sie in einer MMC das Snap-In Sicherheitsvorlagen hinzufügen. Für die Installationssicherheit kommen nur zwei Vorlagen in Frage: SETUP SECURITY.INF Abbildung 1.6: Setup Security Diese Sicherheitsvorlage wird automatisch bei der Installation zugewiesen. Sie enthält die 31