Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Transkript

1 Folie: 1

2 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz

3 Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet Methoden, Werkzeuge, Hilfsmittel 2. Live-Demo Abhören einer Internetsitzung Angriff auf einen Webserver Angriff auf eine WEP gesicherte WLAN-Verbindung 3. Praktische Übungen Nutzen von Informationen und Werkzeugen im Internet

4 Folie: 4 Systematik von IT-Sicherheit und Datenschutz IT-Sicherheit: Schutz von Daten vor Beeinträchtigungen bei der Verarbeitung. Datenschutz: Schutz vor missbräuchlicher Verwendung personenbezogener Daten. Wahrung schutzwürdiger Belange Betroffener vor Beeinträchtigungen durch die Verarbeitung.

5 Folie: 5 Systematik von IT-Sicherheit und Datenschutz IT-Sicherheit Datenschutz immer automatisiert; nicht notwendigerweise personenbezogen immer personenbezogen; nicht notwendigerweise automatisiert

6 Folie: 6 Grundbedrohung der IT-Sicherheit Verlust der Verfügbarkeit Funktionalität von IT-Systemen Verfügbarkeit von Daten Verlust der Vertraulichkeit unbefugter Informationszugriff unbefugte Offenbarung Verlust der Integrität Verlust der Authentizität Unversehrtheit Korrektheit Vollständigkeit Zurechenbarkeit Unabstreitbarkeit

7 Folie: 7 Gefahren aus dem Internet Malicious Software ( Malware ) Hacker/Cracker pornographische oder gewaltverherrlichende Darstellungen Spam Warez sonstige ungewollte Inhalte

8 Folie: 8 Gefahren aus dem Internet Malicious Software ( Malware ) Viren Würmer Trojanische Pferde Bomben Dialer sonstige Schadsoftware Einsatz von aktuellen Scannern!

9 Folie: 9 Gefahren aus dem Internet Hacker/Cracker Unbefugtes Eindringen in Rechnersysteme Ausspähen von Daten Verändern von Daten Unautorisiere Ausnutzung von Ressourcen / Zeitdiebstahl Einsatz von Firewalls! restriktive Konfiguration von Systemdiensten!

10 Folie: 10 IT-Sicherheit und Datenschutz im Internet Firewallsysteme OSI-Referenzmodell am Beispiel TCP/IP auf Ethernetbasis application layer presentation layer Applikationsprotokolle: HTTP, FTP, SMTP, POP3, Telnet etc. session layer transport layer Transportsicherung: TCP, UDP network layer IP-Adressierung data link layer Ethernet: CSMA/CD; MAC-Adressierung physical layer Netzwerkverkabelung (z.b. Twisted-Pair/CAT.5)

11 Folie: 11 IT-Sicherheit und Datenschutz im Internet Firewallsysteme statischer Paketfilter application layer presentation layer session layer transport layer network layer data link layer physical layer

12 Folie: 12 IT-Sicherheit und Datenschutz im Internet Firewallsysteme statischer Paketfilter Vorteile: sehr schnell sehr hoher Datendurchsatz sehr einfache Realisierung (z.b. Linux Kernel 2.0/2.2 ipfwadm/ipchains) gute Absicherung auf IP/Port-Ebene für den Anwender in der Regel transparent Kontrolle der Verbindungsrichtung bei TCP-Verbindungen Nachteile: keine Richtungskontrolle bei UDP-Verbindungen keine Inhaltsprüfung möglich

13 Folie: 13 IT-Sicherheit und Datenschutz im Internet Firewallsysteme dynamischer Paketfilter Stateful Inspection Engine application layer presentation layer session layer transport layer network layer data link layer physical layer

14 Folie: 14 IT-Sicherheit und Datenschutz im Internet Firewallsysteme dynamischer Paketfilter Stateful Inspection Engine Vorteile: schnell hoher Datendurchsatz einfache Realisierung (z.b. Linux Kernel 2.4 iptables) sehr gute Absicherung auf IP/Port-Ebene für den Anwender in der Regel transparent Kontrolle der Verbindungsrichtung sowohl bei TCP- als auch bei UDP-Verbindungen Nachteile: keine Inhaltsprüfung möglich

15 Folie: 15 IT-Sicherheit und Datenschutz im Internet Firewallsysteme Proxysysteme application layer presentation layer session layer transport layer network layer data link layer physical layer

16 Folie: 16 IT-Sicherheit und Datenschutz im Internet Firewallsysteme Proxysysteme Vorteile: arbeitet auf OSI-Schicht 7 Inhaltskontrolle möglich Mechanismen zur Authentifizierung abbildbar hoch spezialisiert sehr sicher oftmals Schnittstellen zur Produkten von Drittanbietern realisierbar (z.b. Virenscanner) Nachteile: langsam für den Anwender in der Regel nicht transparent hoch spezialisiert aufwendig zu realisieren

17 Folie: 17 IT-Sicherheit und Datenschutz im Internet Konfiguration von Systemdiensten z.b. Computerverwaltung unter Windows 2000

18 Folie: 18 IT-Sicherheit und Datenschutz im Internet Konfiguration von Systemdiensten z.b. Konfiguration des Internet-Super-Daemons unter Linux (/etc/inetd.conf)

19 Folie: 19 Methoden, Werkzeuge, Hilfsmittel Methoden Sammeln von Informationen des Zielsystems Ermitteln des eingesetzten Betriebssystems Ermitteln der eingesetzten Serversoftware Suchen nach Verwundbarkeiten in den erkannten Komponenten Eindringen in das Zielsystem unter Ausnutzung der Erkenntnisse!

20 Folie: 20 Live Demo

21 Folie: 21 Versuchsaufbau Notebook 1 "Internet-Server" Notebook 2 "Internet-Client" Notebook 3 "Angreifer"

22 Folie: Angriff: Portscan auf den Zielrechner nmap -vv -O -n zieladresse.domain.tld > datei.txt Ausgabedatei Adresse des Zielrechners (IP oder FQHN) Schalter zur Unterdrückung von DNS-Anfragen Betriebssystemerkennung very verbose (detaillierte Ergebnisausgabe) Programmaufruf

23 Folie: Angriff: Portscan auf den Zielrechner Ermitteln der bereitgestellten Dienste auf dem Zielrechner Ermitteln der eingesetzten Betriebssystemversion Analyse der Daten als Grundlage für weitere Angriffe!

24 Folie: Angriff: Mitschneiden von Netzwerktransaktionen

25 Folie: Angriff: Mitschneiden von Netzwerktransaktionen

26 Folie: Angriff: Ausnutzen der gesammelten Informationen