IT Security. Vorlesung an der Hochschule Karlsruhe - Technik und Wirtschaft im Wintersemester 2015/16 Michael Fischer und Georg Magschok

Transkript

1 IT Security Vorlesung an der Hochschule Karlsruhe - Technik und Wirtschaft im Wintersemester 2015/16 Michael Fischer und Georg Magschok mf@wanulator.de gio@eglikoe.de Die Vorlesung im Web:

2 Roter Faden Grundlagen-Crashkurs Überblick Safety Badaboom Security Einführung 2

3 Wegweiser Grundlagen: Crashkurs Einführung 3

4 Protokolle Standardisierte Grundlage der Kommunikation Definiert durch Syntax (Protokollpromitiven, Signale, Worte) Semantik (ihre Bedeutung) Timing (ihre Abfolge) Bieten mehr oder weniger viele Protokollfunktionen Werden zu Stapeln geschichtet Gesamtheit der von der Anwendung geforderten Funktionen erreichen Abstraktion und Austauschbarkeit Kommunikation mittels eines Protokolls stets auf der gleichen Schicht Einführung 4

5 Protokolle: Bild Applikation Präsentation Session Transport Network Applikations Layer Protocol Präsentations Layer Protocol (...) Network Applikation Präsentation Session Transport Network Data Link Data Link Data Link Data Link Physik Endsystem Physik Physik Vermittlungssystem Physik Endsystem Einführung 5

6 Ethernet / WLAN IEEE Standards 802.3/ Frames MAC Adressen 3 Bytes Organizational Unique Identifier + 3 Bytes Gerät Kommunikation über shared Medium Broadcasting Hubs vs. Switches Adresslernen, Adresstabellen Einführung 6

7 Gerät aa:bb:cc:dd:ee:ff Ethernet: Bild Switch MAC aa:bb:cc:dd:ee:ff 1 11:22:33:44:55: Port 2 Gerät 11:22:33:44:55:66 Beachte: Initialzustand Lernen durch Absender Inactivity Timeout Umlernen nach Umzug Statische Konfiguration Lernen Ausschalten Nur Adressen der Geräte im gleichen Layer 2 Netz tauchen hier auf CSMA/CD nur in Sonderfällen Einführung 7

8 IP, ARP, TCP & UDP IETF Standards IP ARP TCP UDP Verbreitete Layer 3,4 Protokolle Adressen im Header jedes Paketes v4, v6 Abbildung Layer 3 auf Layer 2 (z.b. IP auf MAC) Who-Has, Tell Ports im Header jedes Paketes Verbindungsorientiert Flußkontrolle durch Sliding Window Ports im Header jedes Paketes Verbindungslos Best Effort, geringerer Overhead, gute Eignung für Multimediaanwendungen Einführung 8

9 IP Adressen IPv4: Classless Inter Domain Routing (CIDR): A.B.C.D/Network-Bits (jeweils Bytes) z.b /30 (Netz aus 4 Adressen) IPv6 A:B:C:D:E:F:G:H (jeweils Hex-Words) Abkürzung durch Auslassen führender Nullen und :: Im URL in [] z.b. fc00:34bc::12:0/120 Routing Statisch vs. Dynamisch Tabellen, Longest Match, Metrik Einführung 9

10 TCP: Sliding Window Flußkontrolle Sendekredit Es wird stets eine der Fenstergröße entsprechende Zahl von Paketen vorgehalten Die Pakete sind durch Sequenznummern identifiziert Kommen Bestätigungen zu bereits gesendeten Paketen, so verschiebt sich das Sendefenster Fehlen Bestätigungen zu bereits gesendeten Paketen so wird im Allgemeinen die Sendefenstergröße rasch heruntergeregelt Ist nicht die Maximalgröße des Sendefensters erreicht, so wird bei erfolgreicher Bestätigung die Sendefenstergröße langsam hochgeregelt Einführung 10

11 Anwendungsprotokolle DNS Hostname auf IP Auflösung Verzeichnisfunktionen als Zusatz DNSSEC Andere Anwendungsprotokolle Binär kodiert vs. Lesbar Sehr große Vielfalt Einführung 11

12 Anwendungsprotokolle Beispiele interaktiv vorgeführt: SSH DNS SMTP HTTP Kurzer Ausblick: Wireshark Einführung 12

13 DNS: Bild V i r u s Stub Browser DNSSEC Lookaside Validation Root Server Global/Country Code Top Level Domain Owner / Authoritative Internet Domain Advertising Server Resolver / Cache Censorship Server DSL Router Game Console WLAN / LAN S c a n n e r, e t c System Stub Stub Home Client Mail Server Mail Client Printer Camera Quelle: Bert Hubert, Author of PowerDNS Einführung 13

14 Wegweiser Zur Ergänzung der gezeigten Protokollgrundlagen sprechen wir im Folgenden einige Netzwerktypen exemplarisch durch Einführung 14

15 Beispiel: Heimnetzwerk Wohnzimmer PC Arbeitsrechner DSL Uplink Router 100BaseTX Ethernet Server Einführung 15

16 Heimnetzwerk: wichtige Themen Dialup oder (Quasi-)Standleitung Flat-Abrechnung (selten auch Volumen- oder Zeit) verwendung vorhandener / geschenkter / preiswerter Infrastruktur Latenz / Delay werden Dienste angeboten? Firewalling dem Benutzer alles ermöglichen, aber dennoch sämtliche unerlaubten eingehenden Daten und Verbindungen abblocken, und Applikationen verbieten, die Privatsphäre zu verletzen NAT, schwierige Protokolle ftp IRC-DCC VoIP: SIP, H.323 Optional: Berücksichtigung von Verkehrscharakteristika Traffic Shaping Priorisierung Einführung 16

17 Beispiel: Unternehmen Internet Partner Telefonnetz Router DMZ-Server Telefonanlage Switches Abteilungsserver Firmenserver Vertrieb Verwaltung Entwicklungsabteilung Einführung 17

18 Beispiel: Unternehmen Access Distribution Core Einführung 18

19 Unternehmen: wichtige Themen Kosten Infrastruktur Instandhaltung Sicherheit Schutz wichtiger Daten Schutz vor Missbrauch durch Mitarbeiter Stabilität Wahl des Equipment Wahl der Lieferanten Überwachung, Fallback- / Backup-Strategien Administration Aufwand Personal Know-How Einführung 19

20 Beispiel: ISP ISP ISP ISP RZ Kunde POP POP POP Kunde Kunde Kunde Kunde Einführung 20

21 ISP: wichtige Themen Accounting Tranzparenz für den Kunden Kostenkontrolle Redundanz und Ausfallsicherheit Peerings Vermaschung Hochverfügbarkeit als Alleinstellungsmerkmal mit Kundenorientierung Kosten Infrastruktur Leitungen Personal Reichweite Vorausschauender, aber konservativer Netzausbau Dienste abseits vom reinen Internetanschluß Art, Umfang, Auslastung, Aufwand z.b. diverse IT-Outsourcing-Themen, VPNs, usw. TKÜV Vorgaben Einführung 21

22 Beispiel: Telefonie-Carrier Zentrale andere Carrier Backbone Vermittlungsstelle Co- Location Kunde Kunde Kunde Kunde Einführung 22

23 Telefonie-Carrier: wichtige Themen Ausfallsicherheit und Verfügbarkeit exakte Abrechnung dem Kunden gegenüber mit anderen Carriern Auslastungsstrategien Kapazitätsplanung Überbuchungsstrategien Centrex-Dienste Supplementary Services konservative Technologiewahl langsame Ammortisation Kompatibilität mit Normen / Standards sehr wichtig Einführung 23

24 Wegweiser Die Grundlagen sind nun vorbei und es geht richtig los, zunächst mit unserem Überblick Einführung 24

25 Überblick:Ursachen (Wieso?) unbeabsichtigte Ereignisse => Safety höhere Gewalt, technische Fehler, Defekte, Bedienfehler beabsichtigten Angriffe => Security Aktive Angriffe (Manipulation von Daten, Störung der Übertragung oder Speicherung, Verbreitung von Malware) Passive Angriffe (Abhören (Sniffing)), Analyse von Kommunikationsbeziehungen Einführung 25

26 Überblick: Ziele (Was?) Verfügbarkeit: IT Dienste sind für befugte Nutzer zugänglich und funktionsfähig Integrität: Daten dürfen nur von berechtigten Nutzern verändert werden Vertraulichkeit: Daten dürfen nur von Berechtigten Nutzern interpretiert werden (Zurechenbarkeit:) Man kann jederzeit feststellen, wer welchen Prozess ausgelöst hat (Rechtsverbindlichkeit:) Man kann jederzeit sicherstellen, dass Daten oder Vorgänge dritten gegenüber rechtskräftig nachgewiesen werden können. Einführung 26

27 Überblick: Methoden (Wie?) Redundanz (HA) Firewall ++ Kryptographie Policies (Faktor Mensch) Verfügbarkeit X X X Integrität X X X Vertraulichkeit X X X Zurechenbarkeit X X Rechtsverbindlichkeit * X * (Besondere Mechanismen notwendig) Einführung 27

28 Überblick: Rechtliche Grundlagen IT-Sicherheit Sorgfaltspflicht bei Unternehmen (Nachweispflicht insbesondere bei AGs) (HGB/AktG) Risikomanagement mit Ziel Geschäftskontinuität Aufbewahrungspflicht für steuerlich- /bilanzrelevante Daten Datenschutz (BDSG) betrifft Erhebung und Verarbeitung personenbezogener Daten. Bestellung eines Datenschutzbeauftragten Nachweispflicht des ordentlichen Betriebs/Protokollierung Schutz des Fernmeldegeheimnisses (TKG) Nicht bei rein Dienstlicher Nutzung Maßnahmen müssen AN bekannt sein, keine vollständige Überwachung erlaubt. Viren Mails dürfen gefiltert werden (Abwägung der Schutzinteressen) Branchenspezifisch Z.B Banken, Pharmaunternehmen Einführung 28

29 Überblick: Rechtliche Grundlagen IT-Sicherheit II Haftungs- Ordnungs- und Strafrecht Vorsatz / Fahrlässigkeit bei Nichteinhaltung rechtlicher Verpflichtungen Verletzung des Post/Fernmeldegeheimnisses (!!! Unterdrücken/Filtern von SPAM) Computerbetrug Urkundenfälschung Datenveränderung Computersabotage Störung von Telekommunikationsanlagen 202c Vorbereiten des Ausspähens und Abfangen von Daten Uvm. Einführung 29

30 Überblick: IT Sicherheit Standards Orange Book (Trusted Computer Evaluation Criteria TCSEC) (DoD) Erster Standard von 1983 Common Criteria (ISO 15408) aus Internationalen Erfahrungen Zertifizierung verschiedener Evaluierungsstufen (EAL 0 EAL7) IT Grundschutz Katalog (BSI) IT Grundschutzhandbuch (GSHB) Einfach zu verwenden Zertifizierbar (via Selbsterklärung und Audits) ISO 27001/2 Einführung 30

31 Wegweiser Soviel zum allgemeinen Überblick Nun kommt: Safety Einführung 31

32 Ausfallsicherheit/Redundanz: Definition 1. Überreichlichkeit, Überfluß, Üppigkeit. 2. (Sprachw.) a)... mehrfache Kennzeichung derselben Information... b) stilistisch bedingte Überladung... Pleonasmus, Tautologie 3....Informationstheorie, Nachrichtentechnik... weglaßbare Elemente einer Nachricht..." (Duden, Fremdwörterbuch) Bezeichnung für die Anteile einer Nachricht, die keine Information vermitteln, also überflüssig sind. (Duden Informatik) Ziel: Verständlichkeit bei ungenauer Übertragung Bezeichnung für den Aufwand, der für den Normalbetrieb eines Systems nicht benötigt wird, der aber beim Ausfall von Komponenten oder des ges. Systems automat. die Funktionsfähigkeit sicherstellt (z.b.notstromaggregat, doppelt ausgelegte Hydraulik im Flugzeug). (Universal Lexikon) Ziel: Verfügbarkeit, Ausfallsicherheit Einführung 32

33 Redundanz: Motivation Erhöhung der Verfügbarkeit: Maximierung der Zeit, die ein System funktionsfähig ist, über einen Betrachtungszeitraum. Erhöhung der Zuverlässigkeit: Maximierung des Zeitintervalls in welchem ein System fehlerfrei arbeitet. Kosten pro Stunde, die durch Downtime verursacht wird. (Quelle: 2001, Eagle Rock Alliances, Befragung von 160 Firmen): > $5 mil. $1-$5 mil $500k-$1mil $250k-$500k $100k-$250k $50k-$100k <$50k Einführung 33

34 Ursachen für Systemausfälle (Studie von ICD) 8,7 18, ,6 28,5 Anwendungen OS Server Netz Konfiguration Einführung 34

35 Redundanz: Beispiele Flugsteuersystem: Ausfallswahrscheinlichkeit einer sicherheitskritischen Komponente: 10-9 D.h. Ein Ausfall bei einer Milliarde Flugstunden. erreicht durch: diversitäre Techniken im Aufbau, Hard- und Softwareentwurf z.b. 3-fach Abstimmung beim Slat-Flap Control System im Airbus Marketing five-nines Internet Shop Krankenhaus OP-Räume oder lebenserhaltende Maßnahmen Einführung 35

36 Redundante Auslegung von Systemen: Symmetrische Redundanz (n+m): Für N Komponenten existieren m Ersatzkomponenten Spezialfall 1:1 wird auch Doppelung genannt. Bei dem Ausfall von >1 Komponenten, steht das gesamte System nicht mehr zur Verfügung. Asymmetrische Redundanz: Die Komponenten sind nicht identisch implementiert. Statische Redundanz (aktive, funktionsbeteiligt, Fault Tolerance): Mehrere redundante Systeme führen zeitgleich die selbe Funktion aus. Z.B.: N-fach modulare Redundanz (NMR) Die Ergebnisse von N Komponenten werden einem Voter vorgelegt, der eine Mehrheitsentscheidung trifft. Üblicherweise wird N ungerade gewählt. Bei 2n+1 eingesetzten Komponenten können n Ausfälle toleriert werden Keine Unterbrechung der Verfügbarkeit bei Ausfall. Erhöhung der Zuverlässigkeit durch asymmetrische Redundanz Problem: Voter Nachteil: hoher Implementierungsaufwand Einführung 36

37 Redundante Auslegung von Systemen: Dynamische Redundanz (Standby, Hot Sparing): Nur eine Komponente führt eine Funktion aus (d.h ist aktiv oder hot ) Wenn ein Fehler festgestellt wird, übernimmt eine Reservekomponente (standby) die Funktion. Bei n redundanten Komponenten können n-1 Ausfälle toleriert werden. Spezialfall: Loadbalancing die redundanten Komponenten führen ebenfalls Funktionen aus. Ein Ausfall macht sich durch einen Leistungsabfall des Gesamtsystems bemerkbar. Problem: Fehlererkennung (aktiv, passiv), Fehlerfortpflanzung, Konvergenzzeit, Zustandssynchronisation Hybridredundanz: Kombination aus statischer und dynamischer Redundanz Einführung 37

38 Definition Verfügbarkeit Wahrscheinlichkeit des Betrieb eines Systems (ta Ausfallzeit, tb Betriebszeit): q W ( B) Wahrscheinlichkeit für den Nichtbetrieb eines Systems Es gilt p+q=1 Verfügbarkeitsstufen bezogen auf die maximale Ausfallzeit pro Jahr: t p W ( NB) b tb t t b a ta t a 99,0% 3,7 Tage Üblich 99,9% 8,8 Stunden Verfügbar 99,99% 52,6 Minuten Hochverfügbar 99,999% 5,3 Minuten Fehlerunempf. 99,9999% 32 Sekunden Fehlertolerant Einführung 38

39 Berechnung von Verfügbarkeit eines Systems Serienschaltung (q Betriebswahrscheinlichkeit, p Ausfallwahrscheinlichkeit): n q sys q i i 1 p sys 1 (1 p i ) n i 1 99,8% 99,9% 99,9% Parallelschaltung (1:1 Redundanz): q sys q i n 1 (1 ) i 1 n p sys p i i 1 99,0% 99,99% 99,0% Einführung 39

40 Beispiel: HW vs. SW: HW1 99,99% 99,9999% SW? % 99,99% HW2 Um eine hohe Verfügbarkeit zu erreichen müsste die SW Komponente eine utopische hohe Verfügbarkeit aufweisen. Nur asymmetrische Redundanz möglich da sonst die Wahrscheinlichkeit für das gleiche Verhalten der SW Komponente zu groß ist. Einführung 40

41 Fehler Ursachen Systemfehler Physikalische Fehler (äußere Einflüsse) Verschleiß Bedienungsfehler Wartungsfehler Einführung 41

42 System Analyse Hierarchisches vs. Relationales Modell: System Subsystem 1 C1 C2 Subsystem Subsystem C1 C2 C3 C4 C5 Subsystem 2 C3 C4 C5 Composed of Uses Einführung 42

43 Ausfallsicherheit im Netzwerkbereich Dabei zu betrachtende Komponenten: Stromversorgung Hardware Software LAN Infrastruktur WAN Infrastruktur Terroranschlagswahrscheinlichkeit Naturkatastrophenwahrscheinlichkeit Klima Wasserversorgung Gebäudesicherheit Zur Berechnung der Verfügbarkeit zu betrachten sind auch: Bootzeiten Konvergenzzeiten Einführung 43

44 Stromversorgung: Zur Statistik, in den USA: 15 Durchschnittliche Anzahl der Stromausfälle pro Jahr in einem IT-Department. 90% der Ausfälle < 5 Minuten 99% der Ausfälle < 60 Minuten Verfügbarkeit: 99,98% Redundanz durch: Unterbrechungsfreie Stromversorgung (USV) (kurze Zeiträume) Generatoren (längere Zeiträume) Üblicher Fehler: USV aber keine 2 Netzteile (siehe HW) Einführung 44

45 Hardware: Verschiedene Ebenen von Rechenzentrum bis Chip Berechnung der Verfügbarkeit ist schwierig wegen der Komplexität und da nicht alle Bauteilehersteller Angaben machen. Statistisch verlässliche Angaben sind erst nach 2 Jahren nach der Markteinführung zu erwarten. Redundanz durch: Parallelisierung im HW betrieb Problem: Fehlererkennung, eventuelle Umschaltzeiten, Aufwand Einführung 45

46 Software: Berechnung der Verfügbarkeit ebenfalls schwierig Abschätzung durch Analyse der Qualitätsstandards des Herstellers, Lines of Code, Statistische Information Redundanz durch: Siehe HW Verbesserung der Verfügbarkeit auch durch: Schnellere Bootzeiten SW/HW Watchdogs Methodik (Einsatz sicherer Betriebsysteme, Sprachen, SW- Entwicklungs Methoden) Einführung 46

47 HW/SW Redundanz Beispiel:: Zugriff auf gemeinsamen Datenbestand HW-Raid Übernahme der Services durch; MAC Address takeover IP Address takeover DNS reconfiguration Anwendungsumschaltung Server (aktiv) Heartbeat Server (passiv) Einführung 47

48 LAN/WAN Infrastruktur: Redundanz durch: Mehrfachauslegung von Komponenten Intelligente Verkabelung Anschlüsse an mehrere ISPs Wahl geeigneter Protokolle Einführung 48

49 Wegweiser Das war Safety Der Rest der Vorlesung handelt von Security Einführung 49

50 Badaboom Datenpannen- Ponemon Institute Jahresstudie 2008: 112 Aufwand pro betroffener Datensatz Einführung 50

51 Modeerscheinungen Einführung 51

52 Etwas Statistik Einführung 52