Wer drin ist ist drin! -- Netzwerksicherheit

Transkript

1 Wer drin ist ist drin! -- Netzwerksicherheit

2 Agenda Wer ist ASAPCOM? Bedrohungspotential Wer geht bei Ihnen ein und aus? Motivation Positiv oder Negativ? Was kann passieren? viel sehr viel Methoden Werkzeuge - Verfahren Hier wird Ihnen geholfen

3 UNTERNEHMEN Unternehmenszweck Dienstleistungen im Bereich Netzwerktechnologie und IT-Security Rechtsform GmbH Gründung 1999 in Heilbronn Standorte Heilbronn Köln Mitarbeiter 20 an beiden Standorten Mitgliedschaften ITSMF

4 Wo liegt das Problem? Primärer Fokus in der Öffentlichkeit ist die Abwehr externer Bedrohungen - Hacker, Viren, Trojaner, DOS, usw mit FW, Intrusion Detection, Oftmals geringes Bewusstsein und wenig Schutzmaßnahmen gegen interne Angriffe - eigene Mitarbeiter - Partner, Kunden, Lieferanten, Dienstleister Priorität für Security nicht immer hoch Lt. KMPG und IDC(2011)kommt aber ein nicht unbedeutender Teil der Angriffe auf Unternehmen von innen Sicher ist, dass nichts sicher ist. Selbst das nicht. Joachim Ringelnatz

5 Kennen Sie Ihre Kollegen/Mitarbeiter?

6 Motive für interne Angriffe / Risiken Verschaffung von persönlichen Vorteilen Wirtschaftsspionage Neugierde: Was geht denn so. Ehrgeiz von Hobby-Hackern Erpressung Sabotage / Schädigung des Unternehmens Mobbing Enttäuschung / Benachteiligung Risiken durch Übermotivation (eigener WLAN AP, un-managed Switch, ) Technikbegeisterte Admins

7 Interne Angriffe: Bedrohung Mit internen Angriffen können Daten umgeleitet, abgehört oder manipuliert werden - ARP-Spoofing - Man-In-The-Middle Attacken ARP Angriffe ist der problemlose Einstieg in das Hacking Wer eine IP Adresse bekommen hat hat die erste Hürde genommen - Angriffe auf der MAC Ebene sind viel einfacher als auf L3 (IP) Funktioniert auch bei verschlüsselten Verbindungen wenn Zertifikate unsicher sind - SSL, SSH

8 Und so funtioniert s (1/4): Ausgangsssituation: Die Adressen der Netzwerkkarten (MAC-Adressen) sind ordnungsgemäß im ARP-Cache der jeweiligen Rechner gespeichert. IP IP (S) MAC MAC (S) Switch IP IP (C) MAC MAC (C) Client C Server S

9 Und so funtioniert s (2/4): Angreifer A schließt sein Notebook an das Netzwerk an und ermittelt die MAC Adressen der anderen angeschlossenen Rechner IP IP (S) MAC MAC (S) IP IP (C) MAC MAC (C) IP IP IP (C) IP (C) MAC MAC MAC MAC (C) (C) IP (S) IP (S) MAC (S) (S)

10 Und so funtioniert s (3/4): Die MAC Adresse des Angreifers wird den IP Adressen der anderen Rechner zugeordnet und in der ARP Caches und Forwarding-Tabellen der Switche gespeichert. IP IP (S) MAC MAC (A) IP IP (C) MAC MAC (A) IP IP IP IP (C) (C) IP IP (S) (S) MAC MAC MAC MAC (C) (C) MAC (S)

11 Und so funtioniert s (4/4): Angreifer A leitet die Kommunikation zwischen den PC s über seinen Computer um. IP IP (S) MAC MAC (A) Switch IP IP (C) MAC MAC (A) Client C Server S Angreifer A IP IP (C) IP (S) MAC MAC (C) MAC (S)

12 Wer ist verdächtig betroffen..? Jeder, der Zugang zu dem Netzwerk hat, kann interne Angriffe ausführen, ohne zu riskieren, dass dies bekannt wird. Betroffen sind alle Unternehmen, die sensible Daten verarbeiten - Banken, Versicherungen, Maschinenbauer und Behörden. Die Angriffssoftware ist im Internet verfügbar incl. Anleitung und leicht zu bedienen - z.b. bei Heise.de (siehe Anhang) - DSNIFF - Cain & Abel Interne Angriffe werden von den Unternehmen oft verschwiegen - Negatives Image

13 Beherrschen SIE Ihr Netz oder?

14 So fing alles an... Dann kam das hier!

15 Es geht (nicht) - einfach NEIN zu sagen Besser ist JA zu sagen. aber die Kontrolle zu behalten Nein - kein ipad Nein - kein Smartphone Nein - kein eigener Laptop Nein - keine.. Ja zum eigenen ipad Ja zu Social Web Ja zum Virtuellen Desktop Ja zu....aber: Können Sie es sich leisten JA zusagen?

16 Lösungsansätze Möglich aber aufwändig: Physikalischer Schutz (bauliche Maßnahmen): Oft nicht machbar Konfiguration ohne /restriktivem DHCP: Leicht zu umgehen Nicht benutzte Ports abschalten: Hoher Admin-Aufwand löst aber nicht das Problem Statische ARP-Tabellen reine Theorie Sicherlich sinnvoller: MAC Based Network Access Control 802.1X: standardisierte Methode für die Authentifizierung und Autorisierung Sicherheit leben: Prozesse, Schulung, Verhalten,.

17 MAC Based Network Access Control Primärer Zugang zum Netz durch Autorisierung der MAC Adresse Neue Geräte werden erkannt und gemeldet- der Zugang fremder Geräte wird unterbunden Arbeitet unabhängig von den Herstellern, Produkten und Zugangstechnologien - LAN; WLAN; VPN - SNMP Zentrale Konfiguration - Sensoren in den Niederlassungen Geringer Admin-Aufwand

18 MAC Based Network Access Control Authenticator / Mgmt Sensor Sensor

19 MAC Based Network Access Control Zentralisiertes MAC Address Management Unautorisierte Endgeräte werden ausgeschlossen Bestandslisten werden auf dem neuesten Stand gehalten. Adressänderungen werden protokolliert und lassen sich zurückverfolgen. Erkennung, Lokalisierung und Abwehr von ARP-Spoofing / Flooding MAC-Adresskonflikten IP-Adresskonflikten (Qualitätssicherung) Hersteller unabhängig

20 Alternative: 802.1X IEEE 802.1X:Generelle Methode für die Authentifizierung und Autorisierung Netzwerkzugang: physischen Port im LAN, einem logischen IEEE 802.1Q VLAN oder WLAN Der Standard empfiehlt das Extensible Authentication Protocol (EAP) oder das PPP-EAP-TLS Authentication Protocol zur Authentifizierung.

21 802.1X So sieht es aus: Wired Wireless Access Portal Policy Authors & Administrators Mgmt Dashboard Auth-Informations Quellen: - Active Directory - Novell edirectory - Sun Directory - Oracle Internet Directory - LDAP - Kerberos - RSA SecurID - RADIUS and other Token Based Services - Proxy VPN Auth-Server Firewall Corporate Resources Guest Manager Reports Audit & Compliance Officers

22 802.1X Endgerät muss 802.1X (EAPoL) sprechen können - Mobile Endgeräte mit zusätzlicher Software WLAN-AP oder Switch/Router müssen konfiguriert werden Authentication Server: befindet sich im vertrauenswürdigen Netz - z.b. RADIUS Grenzen der Version mehrere Endgeräte pro Port Herstellerspezifische Erweiterungen - Drucker, WEBCams, Maschinen, IP-Tel,.? - Anfällig gegenüber MAC-Adress-Spoofing Version 2010 wird von den wenigsten Herstellern unterstützt

23 Management Mythos: IT Abteilung ist verantwortlich für Security Security Regelkreis Mangel an Verständnis über einen ganzheitlichen Ansatz Security ist eine Management Angelegenheit welche eine technische Lösung beinhalten kann Sicherheitskonzept in Übereinstimmung mit den Firmenzielen Realistische, erreichbare und finanzierbare Ziele setzen Bewusstsein aller schulen Regelkreis kein Zustand Sicht von außen ist notwendig für einen 360 Ansatz Nur mit einem Systemhaus zusammen umsetzbar wir stehen bereit!

24 Vielen Dank für Ihr Interesse.

25 Appendix

26 dsniff- Suite of MITM tools MITM = Man-in-the-Middle includes : dsniff password sniffer arpspoof Arp cache poisoning Macof flood switch with MAC addresses dnsspoof DNS cache poisoning webmitm HTTP / HTTPS MITM Tcpkill Kills TCP connections tcpnice Slows down TCP connection

27 More dsniff Tools Also includes : filesnarf graps files from NFS traffic mailsnarf grabs s from SMTP and POP3 traffic msgsnarf grabs messages from IM traffic AIM, ICQ, IRC, MSN, Yahoo) urlsnarf grabs URLS from HTTP traffic webspy sends sniffed URL s from HTTP to local browser to spy on web traffic sshmitm MITM on SSHv1 captures ssh passwords.