Lektion V Datensicherheit im Unternehmen

Transkript

1 Lektion V Datensicherheit im Unternehmen Schutzmechanismen zur Datensicherheit Inhalt Lektion V n Datenschutz im Unternehmen n Zugangskontrollen n Datenzugriffsrechte n Network Security n Firewall & DMZ n Übung Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

2 Inhalt Lektion V n Was ist der Unterschied zwischen Datenschutz und Datensicherheit? Datenschutz beschäftigt sich mit dem Schutz der Daten eines Betroffenen n Entscheidend ist das Recht eines Betroffenen Datensicherheit beinhaltet den Schutz von Daten (auch über deren datenschutzrechtliche Bedeutung hinaus) n Entscheidend ist das Erhalten der Daten Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Datenschutz im Unternehmen Praktischer Datenschutz umfasst alle im Unternehmen getroffenen Maßnahmen, welche vor allem den Zweck dienen Daten eines Betroffenen zu schützen vor Mißbrauch (im Unternehmen) Spionage Angriffen (intern & extern) Manipulation Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

3 Datenschutz im Unternehmen n Mißbrauch im Unternehmen: Unbefugte Weitergabe Unbefugte Personenauskünfte Nicht genehmigte Datenauskünfte n Datenspionage: Externe Datenspionage Hackerangriffe Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Datenschutz im Unternehmen n Angriffe mit dem Ziel der Datenbeschädigung: Externe Angriffe Unbeabsichtigte Beschädigung im Unternehmen n Angriffe mit dem Ziel der Datenmanipulation: Externe Datenmanipulation Schädigung des Datenbestandes Unbeabsichtigte Manipulation im Unternehmen Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

4 Zugangskontrollen Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Zugangskontrollen n Unter Zugangskontrolle werden alle Maßnahmen, Methoden und Einrichtungen verstanden, die den Zugang zu Daten nur zugangsberechtigten Personen ermöglichen. Kontrollsystem Daten Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

5 Zugangskontrollen Interface Interface: Bildet die Schnittstelle zwischen Benutzer und System Kontrollsystem Kontrollsystem: Überprüft Zusammenhang mit Benutzer und vorhanden Daten und entscheidet über weitere Schritte Datenbank Datenbank: Speichert Benutzerdaten und dessen Berechtigungen Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Zugangskontrollen Administration von Zugangskontrollsystemen Interface Kontrollsystem Administration Aktion Datenbank Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

6 Zugangskontrollen Komponenten von Zugangskontrollsystemen Interface Interfacedesign Texteingabe (Passwörter) Spracheingabe Biometrische (FA, Iris) Standort Einfach zugänglich Leicht zu bedienen Nicht zu manipulieren Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Zugangskontrollen Komponenten von Zugangskontrollsystemen Kontrollsystem Funktionen Datenabgleich Interface<->Datenbank Regelabgleich Person unbekannt Access-Funktion System starten Tür öffnen Deny-Funktion Rotes Licht Alarm auslösen Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

7 Zugangskontrollen Design von Zugangskontrollsystemen Stand-Alone Interface, Kontrollsystem und Datenbank in einem System vereinigt Gefahr einfacher Manipulation ZKS Beispiele: Türschlösser Single-Usersysteme Einfache Zugangskontrollen Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Zugangskontrollen Design von Zugangskontrollsystemen Stand-Alone ohne eigene Datenbank Interface und Kontrollsystem in einem System vereinigt Vergleichsdaten werden hinzugegeben Gefahr einfacher Manipulation Daten ZKS Beispiele: Ausweiskontrolle mit Passwort Personalausweis mit Biometrie Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

8 Zugangskontrollen Design von Zugangskontrollsystemen Zugangsnetzwerk Interface, Datenbank und Kontrollsystem bestehen aus verschiedenen Systemen Sicherheit abhängig vom Design I1 ZKS + DB I2 Beispiele: Multiuser Netzwerk Systeme Kampuskontrollsystem Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Datenzugriffsrechte Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

9 Datenzugriffsrechte Zugriffsrechte auf Daten bei Multi-User-Systemen Jede Datei ist einem Benutzer (und/oder einer Gruppe)zugeordnet Der Zugriff auf eine Datei wird gewährleistet, wenn diese dem Benutzer oder einem Mitglied seiner Gruppe gehört Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Datenzugriffsrechte Jede Datei verfügt über den Kontrolldatensatz eines ZKS Das ZKS ist im Normalfall ein untergeordnetes System (Betriebssystem) Betriebssystem Benutzer Datei Benutzer Gruppe Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

10 Datenzugriffsrechte n Datei-Attribute lesen schreiben ausführen n Zu jeder Datei zugeordnet Datei Benutzer Gruppe Lesen Schreiben Ausführen Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Datenzugriffsrechte n Datei-Attribute lesen schreiben ausführen n Attribute für Benutzer und Gruppe getrennt Geregelte Zugriffsrechte Datei Benutzer Gruppe Lesen Schreiben Ausführen Lesen Schreiben Ausführen Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

11 Datenzugriffsrechte n Datei-Attribute lesen schreiben ausführen n Attribute für Benutzer und Gruppe getrennt n Attribute für Superuser zur Administration Datei Benutzer Gruppe Superuser Lesen Schreiben Ausführen Lesen Schreiben Ausführen Lesen Schreiben Ausführen Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Datenzugriffsrechte n Zugriffsdesign Superuser (root) Gruppe Sysadmin Gruppe Applikationsadmin Gruppe Applikationsoperatoren Gruppe Endbenutzer Systemadministratoren Applikationsadministratoren Applikationsüberwacher (Operating) Benutzer Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

12 Datenzugriffsrechte n Beispieldesign Unix (Selbstnotizen) Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Network Security Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

13 Network Security Standardnetzwerk: Komponenten Router Routerswitch Routerswitch Router Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Network Security Redundanznetzwerk: Routerswitch Router Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

14 Network Security Redundanznetzwerk mit WAN-Anbindung: Routerswitch Router Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Network Security Redundanznetzwerk Schichtenmodell: Obere Netzebene Schnelle Verteilung Mittlere Netzebene Administration & IT Sec Untere Netzebene Zugang Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

15 Network Security n Aufgaben der Netzebenen Obere Netzebene n Schnelle Verteilung n Adressresolution (Routing Tables) n (2GBit Anbindung) Untere Netzebene n Zugang der Endgeräte n MAC Adress Resolution (ARP) Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Network Security n Mittlere Netzebene Routing n RIP Security n Accesslisten n Firewall n VPN Administration des Netzwerkes n Netzlastbeobachtung Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

16 Network Security n Mittlere Netzebene Aufbau eines VPNs durch Accesslisten Die Buchhaltung eines Unternehmens ist mit anderen Abteilungen über 2 Stockwerke verteilt. Aus Sicherheitsgründen bedarf es eines eigenen Netzwerkes. Stockwerk A Stockwerk B Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Network Security n Mittlere Netzebene Aufbau eines VPNs durch Accesslisten Unternehmensnetzwerk /16 Buchhaltung /24 S0 1. Konfiguration des Routers durch Accesslisten 2. Konfiguration des es mit VPN Funktionalität eth0 eth0 Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

17 Network Security n Mittlere Netzebene Aufbau eines VPNs durch Accesslisten ACCES-LIST Nummer {PERMIT DENY} protokoll {Quelladresse Quellmaske ANY} {Zieladresse Zielmaske ANY} [Details] Beispiel Buchhaltung S0: Access-List 1 DENY ALL ANY Access-List 1 DENY ALL ANY ETH1,ETH2 Access-List 1 DENY ALL ANY Access-List 1 DENY ALL ANY Access-List 1 PERMIT ANY Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Network Security n Mittlere Netzebene Firewall n Routing Funktionalität n Accesslisten n Packet Analyse n Proxy n Virenfilter n NAT n Socks Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

18 Network Security n Mittlere Netzebene - Firewall Routing Funktionalität n Jede Firewall routet Packete an Hand von Filtermechanismen Accesslisten n Accesslisten als Basis für Filterregeln n Grundfunktionalität der Firewall n CUT-Through Funktionalität Packet Analyse n Store-Forward Funktionalität n Analyse der TCP/IP Packete nach Regeln n Semantische Analyse Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Network Security n Mittlere Netzebene - Firewall Proxy Funktionalität Proxy n Packetanalyse n Kontextanalyse n Pufferung Virenfilter n Spezielle Kontextanalyse auf Viren Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

19 Network Security n Mittlere Netzebene - Firewall NAT Funktionalität NAT n Network Adress Translation n Umsetzung von IP-Adressen Socks n Netzwerkumsetzung mit Anmeldung & Authentifizierung Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Network Security n Mittlere Netzebene - Firewall n Standardprodukt NAT Packetanalyse Accesslisten Proxy/ Socksserver Routing Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

20 Network Security Network Security: Obere Netzebene Schnelle Verteilung Firewall Mittlere Netzebene Administration & IT Sec VPN Untere Netzebene Zugang Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Firewall & DMZ n Firewall n Stärke einer Firewall ist abhänig von Design Wo steht die Firewall in dem Netzwerk Funktionskonzept Welche Dienste leistet die Firewall Sicherheitslücken Sind Sicherheitslücken bekannt Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

21 Firewall & DMZ n Firewall Design n Einfache Version NAT Proxy Packet Filter Bei Durchbruch der Firewall ist das Netz ungeschützt Arbeitstation Arbeitstation Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Firewall & DMZ n Firewall Design n Einfache Version mit separatem Proxyserver NAT Packet Filter Bei Durchbruch der Firewall ist das Netz ungeschützt Arbeitstation Arbeitstation Proxy Server Proxy Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

22 Firewall & DMZ n Firewall Design Einfache Firewalldesigns sind abhänig von der Stärke des Firewallsystems Beim Durchbruch der Firewall ist das Netzwerk ungeschützt Lösung: Demilitarisierte Zone (DMZ) n Lösungen mit mehreren Firewalls Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Firewall & DMZ n DMZ Design (Standard) Proxy Interne Firewall Proxy Externe Firewall Webserver Webserver Arbeitstation Arbeitstation Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

23 Firewall & DMZ n DMZ Design Mehrere Proxies ohne Umgehung FTP Proxy HTTP Proxy Proxys können auch auf den Firewalls liegen Arbeitstation Arbeitstation Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Firewall & DMZ n DMZ Design DMZ Software-Umsetzung mit einer Firewall Multiplexer FTP Proxy HTTP Proxy Arbeitstation Arbeitstation Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

24 Firewall & DMZ n DMZ Adminstration Administration über Konsolen in der DMZ Firewall FTP-Server ADM Konsole Firewall Webserver Ethernet Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Firewall & DMZ n DMZ Adminstration Administration über Konsolen im Unternehmens-LAN Firewall Firewall Webserver FTP-Server - Zugang über VPN - Sicherheit abhänig von DMZ-Konzept Ethernet ADM Konsole Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)

25 Übungsaufgabe 1 n Lagerverwaltung Online Das Sportgeschäft SKI&FLY möchte zur Erweiterung des Kundenangebotes den Kunden die Möglichkeit geben Artikel, welche sich auf Lager befinden Online zu reservieren. Diese Daten sind z.z. auf einem Internen Datenbankserver für die normale Lagerhaltung zur Verfügung gestellt. Sie werden nun aufgefordert das Sicherheitskonzept für diese Unternehmung zu erstellen. Präsentieren Sie Ihre Ergebnisse vor Ihrem Kunden und nennen Sie bei Komponenten auch geeignete Anbieter oder Produktbeispiele Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c) Übungsaufgabe 2 Lagerverwaltung Online Ihr Unternehmen soll auf Grund eines hohen Sabotagerisikos mit einem modernen Zugangskontrollsystem ausgestattet werden. Sie wurden mit der technischen Planung beauftragt und sollen nun Ihre Ideen dem Vorstand präsentieren. Vorlesung DsDs - BA Stuttgart M.Memmesheimer (c)