Sicherheit in verteilten Netzwerken Verschlüsselung, Digitale Signatur, Firewall-Systeme

Transkript

1 Sicherheit in verteilten Netzwerken Verschlüsselung, Digitale Signatur, Firewall-Systeme Norbert Pohlmann Vorstand Utimaco Safeware AG Mobile/Desktop Security Security Infrastructure Internet Security Network Security E-Commerce Enabler

2 Inhalt Sicherheitsanforderungen in verteilten Netzwerken Sicherheitskonzepte Verschlüsselung (Black-Box VPN-Lösung) Digitale Signatur Firewall-Systeme Utimaco Safeware AG Kombinierte Lösungen

3 Warum Sicherheit? Fundamentaler Wandel durch die Informationsgesellschaft Eine zunehmende Zahl von Arbeitsabläufen wird über IT-Systeme abgewickelt => Netzwerke als neue Angriffsziele Der Wert von Information, die auf IT-Systemen gespeichert sind, wächst die Ergebnisse allein einer Forschungsund Entwicklungsabteilung können Werte in Millionenhöhe darstellen Utimaco Safeware AG Sichere und zuverlässige Zahlungen und Transaktionen über unsichere Netze (z.b. Internet) Mangelndes Unrechtsbewußtsein

4 Warum Sicherheit? Sicherheitsanforderungen Unternehmen müssen sich selbst gegen Wirtschaftsspionage schützen Einhaltung von Datenschutzgesetzen Utimaco Safeware AG

5 Internationale Vernetzung von Kommunikationsabläufen Test Umgebung CAD/CAM Büro Workstation Workstation Internationales Datennetz Utimaco Safeware AG Workstation Industrie Workstation Design Center

6 Sicherheitsanforderungen an Kommunikationsprozesse in Netzwerken Utimaco Safeware AG Vertraulichkeit Schutz des vorhandenen Know-hows Konkurrenten versuchen, Zugang zu sensiblen Entwicklungsdaten zu erlangen Sende- und Empfängernachweis Gewährleistung, daß die korrekten Informationen nachweislich empfangen worden sind Kündigung Absender eines Dokuments muß nachweislich identifizierbar sein Bestellung Datenintegrität Keine Manipulationsmöglichkeit während der Datenübertragung (Daten erreichen den Adressaten unverändert) Virenschutz

7 Sicherheitsanforderungen an Kommunikationsprozesse in Netzwerken Utimaco Safeware AG Authentifizierung Eindeutige Identifizierung und Authentisierung von Personen Nur authorisierte Personen dürfen Zugangsrechte auf die angeschlossenen Rechnersysteme haben Zugangskontrolle Unberechtigte Personen dürfen keinen Zugang auf die zu schützenden Rechner und Netzwerke haben Rechteverwaltung Nur zugelassene Protokolle und Dienste zu definierten Zeiten dürfen benutzt werden Protokollierung Sicherheitsrelevante Ereignisse werden festgehalten Dokumentierte Ereignisse können als Beweis genutzt werden

8 Verschlüsselung mit Hilfe der Black-Box VPN -Lösung Test-Umgebung CAD/CAM Office Workstation VPN Workstation Gesicherter Bereich Unsicheres Netz - Vertraulichkeit - Authentikation - Rechteverwaltung - Protokollierung Utimaco Safeware AG Workstation Industrie SMS Security Management Workstation Design Center

9 Black-Box VPN-Lösung: Sicherheitsdienste Utimaco Safeware AG Vertraulichkeit von Daten (VPN) Daten können nicht im Klartext gelesen werden Authentifikation Erfolgt indirekt über die Verschlüsselung Erfolgt direkt durch Authentisierungsmethoden Zugangskontrolle Nur zugelassene logische Verbindungen können hergestellt werden Fremde haben keinen Zugang auf das Endsystem Rechteverwaltung Nur erlaubte Protokolle und Dienste können verwendet werden Protokollierung Sicherheitsrelevante Ereignisse können festgehalten und analysiert werden

10 Sicherheitssystem mit Packet Filter Utimaco Safeware AG Vorteile Black-Box VPN Lösung Transparente Sicherheit einfach zu bedienen keine Änderung der Anwendung notwendig unabhängig von Computerund Betriebssystem unterstützt alle Kommunikationsarten: Session orientiert (Telnet etc.) store and forward ( ) Kombiniert einfache Handhabung mit klar definierten Verantwortlichkeiten Nachteile Key Management Entweder eine Organisation trägt die Verantwortung (i.d.r. die, die auch zahlt) Oder alle müssen das gleiche Produkt einsetzen (Problem: es existiert noch keine vertrauenswürdige Infrastruktur) Sende- und Empfängernachweis Muß mit anderen Mechanismen realisiert werden Keine Kontrolle auf Anwendungsebene

11 Digitale Signatur und Objektverschlüsselung Test-Umgebung Trust Center CAD/CAM Office SG SG FTAM EDIFACT Internationales Datennetz - Digitale Signatur Vertraulichkeit (objektorientiert) Utimaco Safeware AG SG Industrie SG Design Center

12 Zertifizierungsinstanz Trust Center Zertifizierungsinstanz... Zertifikate der öffentlichen Schlüssel für alle Rechnersysteme (z.b. Directoy service) Utimaco Safeware AG Benutzer 1 Benutzer 2 Benutzer n WS 1 WS 2 WS n......

13 Digitale Signatur und Objektverschlüsselung Utimaco Safeware AG Vorteile In die Applikation integriert Gesetzlich anerkannte Signatur (als Signatur unter einem Dokument) Sichert nur, was gesichert werden soll (Auswahl möglich) Anforderungen: Sichere, vertrauenswürdige Infrastruktur Signaturgesetz Sende- und Empfängernachweis möglich Nachteile Keine Zugangskontrolle Keine Rechteverwaltung Nicht mit session-orientierter Kommunikation kombinierbar als Umschlag und Unterschrift

14 Firewall-System Test-Umgebung Workstation - Zugangskontrolle - Netzwerkebene - Benutzerebene - Rechteverwaltung - Kontrolle auf der Applikationsebene - Abschottung unsicherer Dienste - Logging und Audit - Sicherung von Beweisen - Verbergen der internen Netzwerkstruktur CAD/CAM Office Workstation Application Gateway Firewall Firewall Application Gateway Internationales Datennetz Application Application Gateway Gateway Firewall Firewall Utimaco Safeware AG Workstation Industrie Workstation Design Center

15 Ein öffentliches Netzwerk ist keine Einbahnstrasse Risiken in öffentlichen Netzen: Was sind die Probleme? WS High-tech Spione stehlen das Know-how eines Unternehmens und verkaufen es gewinnbringend an die Konkurrenz. Hacker dringen in lokale Netze öffentlicher Einrichtungen und Unternehmen ein, manipulieren ihre Daten oder schmuggeln falsche Informationen ein. WS WS unsicheres Netz zu schützendes netz WS WS Utimaco Safeware AG Netzsurfer lähmen das Rechnersystem eines Unternehmens und verursachen wirtschaftlichen Schaden in Millionenhöhe. WS

16 Sicherheitsziele eines Firewall-Systems Zugangskontrolle auf der Netzebene Zugangskontrolle auf Benutzerebene WS WS WS Rechteverwaltung Kontrolle auf der Applikationsebene Entkopplung von unsicheren Diensten Beweissicherung und Protokollauswertung WS unsicheres Netz Firewall-System WS Common Point of Trust Utimaco Safeware AG Alarmierung Verbergen der internen Netzstruktur Vertraulichkeit der Nachrichten zu schützendes Netz WS

17 Alarm Aufbau eines aktiven Firewall-Elementes unsicheres Netz Einbindungsmodul zu schützendes Netz Kommunikationsdaten Analysemodul Analyseergebnis Authentikationsmodul Entscheidungsmodul Regelwerk Sicherheitsrelevantes Ereignis Utimaco Safeware AG Logbuch Verarbeitungsmodul für sicherheitsrelevante Ereignisse Firewallschutzm odule Security Management

18 Allgemeine Arbeitsweise eines Packet Filters Analysemodul Analyse Header Netzzugang Header Netzwerk Header Transport Daten Einbindungsmodul Netzzugangsbene Netzzugangsebene Utimaco Safeware AG unsicheres Netz zu schützendes Netz

19 Analysemöglichkeit eines Ethernet MAC Frames (DIX 2) Ethernet MAC (DIX2) Packet Filter Ziel-Adresse Ziel-Adresse definieren Quell-Adresse Quell-Adresse definieren Datentyp Datentyp definieren Utimaco Safeware AG

20 Analysemöglichkeit eines IP-Frames IP-Frame Packet Filter Attribute Version Headerlänge Service Type Gesamtlänge (in Bytes) Fragmentierung unterbinden Identifikation Flags Fragment- Offset Layer 4 Protokolle definieren (TCP, UDP, ICMP,...) Time To Live Protokoll Header- Prüfsumme IP Quell-Adresse definieren Quell-IP-Adresse IP Ziel-Adresse definieren Ziel-IP-Adresse Source-Routing Utimaco Safeware AG IP-Optionen (falls vorhanden) IP Daten (UDP-/TCP-Frame) Füllzeichen

21 Analysemöglichkeit eines TCP-Frames TCP-Frame Packet Filter Quell-Port Ziel-Port Ziel-Port definieren Sequenznummer Quell-Port definieren Quittungsnummer Richtung des Verbindungsaufbaus Headerlänge Reserviert Code Bits Fenstergröße Prüfsumme Urgent Zeiger Utimaco Safeware AG Optionen (falls vorhanden) TCP Daten Füllzeichen

22 Application Gateway Application Gateway Benutzer-Authentikation Security Management Application Gateway Telnet Proxy FTP Proxy n-dienst Proxy TCP/IP-Treiber TCP/IP-Treiber Security Management Utimaco Safeware AG Netzwerktreiber unsicheres Netz Netzwerktreiber zu schützendes Netz SMS

23 FTP Proxy Application Gateway Authentikation Benutzer Profil Datei-Filter WS Kommando-Filter Logbuch Port 21 commands Port 21 Utimaco Safeware AG Port 20 Daten Port 20 (passiver Support) FTP Proxy

24 High-level Security Firewall-System Einfache Regeln Gegenseitiger Schutz unsicheres Netz Geschachtelte Sicherheit Verschiedene Betriebssysteme Application Gateway Utimaco Safeware AG Unterschiedliche Einbindungs- und Analysemöglichkeiten Separates Security Management zu schützendes Netz Screened Subnet SMS

25 Firewall-System Vorteile Nachteile Jede Organisation ist für interne Sicherheit selbst verantwortlich Kein unerlaubter Zugang auf zu schützende Rechner Datenintegrität und Vertraulichkeit müssen mit anderen Mitteln realisiert werden Keine Verfügbarkeit Rechteverwaltung Beweissicherung Kein Sende- und Empfängernachweis möglich Utimaco Safeware AG als Firewall und Pförtner

26 Kombinationsmöglichkeiten Test Umgebung Trust-Center CAD/CAM Büro SG SG Application Application Gateway Gateway - Digitale Signatur - Vertraulichkeit (objektorientiert) Application Internationales Datennetz Application - Vertraulichkeit (kommunikationsorientiert) - Authentifizierung - Zugangskontrolle - Logging Gateway Gateway Utimaco Safeware AG SG Industrie - Zugangskontrolle - Netzwerkebene - Benutzerebene - Zugangsrechte-Verwaltung - Kontrolle auf der Applikationsebene - Abschottung unsicherer Dienste - Logging und Audit - Sicherung von Beweisen - Geheimhaltung der internen Netzwerkstruktur SG Design Center

27 Zusammenfassung Lösungen für sichere Netzwerke sind vorhanden Kombination verschiedener Konzepte gewährleistet, daß alle Sicherheitsanforderungen erfüllt werden Organisationen mit eigener Verantwortung können unabhängig agieren Utimaco Safeware AG Es besteht die Notwendigkeit, daß jeder seinen Schutzbedarf kennt

28 Utimaco Safeware AG Your global partner for IT security Utimaco Safeware AG