IT Security. Vorlesung an der Hochschule Karlsruhe - Technik und Wirtschaft im Sommersemester 2016 Michael Fischer und Georg Magschok

Transkript

1 IT Security Vorlesung an der Hochschule Karlsruhe - Technik und Wirtschaft im Sommersemester 2016 Michael Fischer und Georg Magschok mf@wanulator.de gio@eglikoe.de Die Vorlesung im Web:

2 Roter Faden Grundlagen-Crashkurs Überblick Safety Badaboom Security Einführung 2

3 Wegweiser Grundlagen: Crashkurs Einführung 3

4 Protokolle Standardisierte Grundlage der Kommunikation Definiert durch Syntax (Protokollpromitiven, Signale, Worte) Semantik (ihre Bedeutung) Timing (ihre Abfolge) Bieten mehr oder weniger viele Protokollfunktionen Werden zu Stapeln geschichtet Gesamtheit der von der Anwendung geforderten Funktionen erreichen Abstraktion und Austauschbarkeit Kommunikation mittels eines Protokolls stets auf der gleichen Schicht Einführung 4

5 Protokolle: Bild Applikation Präsentation Session Transport Network Applikations Layer Protocol Präsentations Layer Protocol (...) Network Applikation Präsentation Session Transport Network Data Link Data Link Data Link Data Link Physik Endsystem Physik Physik Vermittlungssystem Physik Endsystem Einführung 5

6 Ethernet / WLAN IEEE Standards 802.3/ Frames MAC Adressen 3 Bytes Organizational Unique Identifier + 3 Bytes Gerät Kommunikation über shared Medium Broadcasting Hubs vs. Switches Adresslernen, Adresstabellen Einführung 6

7 Gerät aa:bb:cc:dd:ee:ff Ethernet: Bild Switch MAC aa:bb:cc:dd:ee:ff 1 11:22:33:44:55: Port 2 Gerät 11:22:33:44:55:66 Beachte: Initialzustand Lernen durch Absender Inactivity Timeout Umlernen nach Umzug Statische Konfiguration Lernen Ausschalten Nur Adressen der Geräte im gleichen Layer 2 Netz tauchen hier auf CSMA/CD nur in Sonderfällen Einführung 7

8 IP, ARP, TCP & UDP IETF Standards IP ARP TCP UDP Verbreitete Layer 3,4 Protokolle Adressen im Header jedes Paketes v4, v6 Abbildung Layer 3 auf Layer 2 (z.b. IP auf MAC) Who-Has, Tell Ports im Header jedes Paketes Verbindungsorientiert Flußkontrolle durch Sliding Window Ports im Header jedes Paketes Verbindungslos Best Effort, geringerer Overhead, gute Eignung für Multimediaanwendungen Einführung 8

9 IP Adressen IPv4: Classless Inter Domain Routing (CIDR): A.B.C.D/Network-Bits (jeweils Bytes) z.b /30 (Netz aus 4 Adressen) IPv6 A:B:C:D:E:F:G:H (jeweils Hex-Words) Abkürzung durch Auslassen führender Nullen und :: Im URL in [] z.b. fc00:34bc::12:0/120 Routing Statisch vs. Dynamisch Tabellen, Longest Match, Metrik Einführung 9

10 TCP: Sliding Window Flußkontrolle Sendekredit Es wird stets eine der Fenstergröße entsprechende Zahl von Paketen vorgehalten Die Pakete sind durch Sequenznummern identifiziert Kommen Bestätigungen zu bereits gesendeten Paketen, so verschiebt sich das Sendefenster Fehlen Bestätigungen zu bereits gesendeten Paketen so wird im Allgemeinen die Sendefenstergröße rasch heruntergeregelt Ist nicht die Maximalgröße des Sendefensters erreicht, so wird bei erfolgreicher Bestätigung die Sendefenstergröße langsam hochgeregelt Einführung 10

11 Anwendungsprotokolle DNS Hostname auf IP Auflösung Verzeichnisfunktionen als Zusatz DNSSEC Andere Anwendungsprotokolle Binär kodiert vs. Lesbar Sehr große Vielfalt Einführung 11

12 Anwendungsprotokolle Beispiele interaktiv vorgeführt: SSH DNS SMTP HTTP Kurzer Ausblick: Wireshark Einführung 12

13 DNS: Bild V i r u s Stub Browser DNSSEC Lookaside Validation Root Server Global/Country Code Top Level Domain Owner / Authoritative Internet Domain Advertising Server Resolver / Cache Censorship Server DSL Router Game Console WLAN / LAN S c a n n e r, e t c System Stub Stub Home Client Mail Server Mail Client Printer Camera Quelle: Bert Hubert, Author of PowerDNS Einführung 13

14 Wegweiser Die Grundlagen sind nun vorbei und es geht richtig los, zunächst mit unserem Überblick Einführung 14

15 Überblick:Ursachen (Wieso?) unbeabsichtigte Ereignisse => Safety höhere Gewalt, technische Fehler, Defekte, Bedienfehler beabsichtigten Angriffe => Security Aktive Angriffe (Manipulation von Daten, Störung der Übertragung oder Speicherung, Verbreitung von Malware) Passive Angriffe (Abhören (Sniffing)), Analyse von Kommunikationsbeziehungen Einführung 15

16 Überblick: Ziele (Was?) Verfügbarkeit: IT Dienste sind für befugte Nutzer zugänglich und funktionsfähig Integrität: Daten dürfen nur von berechtigten Nutzern verändert werden Vertraulichkeit: Daten dürfen nur von Berechtigten Nutzern interpretiert werden (Zurechenbarkeit:) Man kann jederzeit feststellen, wer welchen Prozess ausgelöst hat (Rechtsverbindlichkeit:) Man kann jederzeit sicherstellen, dass Daten oder Vorgänge dritten gegenüber rechtskräftig nachgewiesen werden können. Einführung 16

17 Überblick: Methoden (Wie?) Redundanz (HA) Firewall ++ Kryptographie Policies (Faktor Mensch) Verfügbarkeit X X X Integrität X X X Vertraulichkeit X X X Zurechenbarkeit X X Rechtsverbindlichkeit * X * (Besondere Mechanismen notwendig) Einführung 17

18 Überblick: Rechtliche Grundlagen IT-Sicherheit Sorgfaltspflicht bei Unternehmen (Nachweispflicht insbesondere bei AGs) (HGB/AktG) Risikomanagement mit Ziel Geschäftskontinuität Aufbewahrungspflicht für steuerlich- /bilanzrelevante Daten Datenschutz (BDSG) betrifft Erhebung und Verarbeitung personenbezogener Daten. Bestellung eines Datenschutzbeauftragten Nachweispflicht des ordentlichen Betriebs/Protokollierung/Löschung Schutz des Fernmeldegeheimnisses (TKG) Nicht bei rein Dienstlicher Nutzung Maßnahmen müssen AN bekannt sein, keine vollständige Überwachung erlaubt. Viren Mails dürfen gefiltert werden (Abwägung der Schutzinteressen) Branchenspezifisch Z.B Banken, Pharmaunternehmen Einführung 18

19 Überblick: Rechtliche Grundlagen IT-Sicherheit II Haftungs- Ordnungs- und Strafrecht Vorsatz / Fahrlässigkeit bei Nichteinhaltung rechtlicher Verpflichtungen Verletzung des Post/Fernmeldegeheimnisses (!!! Unterdrücken/Filtern von SPAM) Computerbetrug Urkundenfälschung Datenveränderung Computersabotage Störung von Telekommunikationsanlagen 202c Vorbereiten des Ausspähens und Abfangen von Daten Uvm. Einführung 19

20 Überblick: IT Sicherheit Standards Orange Book (Trusted Computer Evaluation Criteria TCSEC) (DoD) Erster Standard von 1983 Common Criteria (ISO 15408) aus Internationalen Erfahrungen Zertifizierung verschiedener Evaluierungsstufen (EAL 0 EAL7) IT Grundschutz Katalog (BSI) IT Grundschutzhandbuch (GSHB) Einfach zu verwenden Zertifizierbar (via Selbsterklärung und Audits) ISO 27001/2 Einführung 20

21 Wegweiser Soviel zum allgemeinen Überblick Nun kommt: Safety Einführung 21

22 Ausfallsicherheit/Redundanz: Definition 1. Überreichlichkeit, Überfluß, Üppigkeit. 2. (Sprachw.) a)... mehrfache Kennzeichung derselben Information... b) stilistisch bedingte Überladung... Pleonasmus, Tautologie 3....Informationstheorie, Nachrichtentechnik... weglaßbare Elemente einer Nachricht..." (Duden, Fremdwörterbuch) Bezeichnung für die Anteile einer Nachricht, die keine Information vermitteln, also überflüssig sind. (Duden Informatik) Ziel: Verständlichkeit bei ungenauer Übertragung Bezeichnung für den Aufwand, der für den Normalbetrieb eines Systems nicht benötigt wird, der aber beim Ausfall von Komponenten oder des ges. Systems automat. die Funktionsfähigkeit sicherstellt (z.b.notstromaggregat, doppelt ausgelegte Hydraulik im Flugzeug). (Universal Lexikon) Ziel: Verfügbarkeit, Ausfallsicherheit Einführung 22

23 Redundanz: Motivation Erhöhung der Verfügbarkeit: Maximierung der Zeit, die ein System funktionsfähig ist, über einen Betrachtungszeitraum. Erhöhung der Zuverlässigkeit: Maximierung des Zeitintervalls in welchem ein System fehlerfrei arbeitet. Kosten pro Stunde, die durch Downtime verursacht wird. (Quelle: 2001, Eagle Rock Alliances, Befragung von 160 Firmen): > $5 mil. $1-$5 mil $500k-$1mil $250k-$500k $100k-$250k $50k-$100k <$50k Einführung 23

24 Ursachen für Systemausfälle (Studie von ICD) 8,7 18, ,6 28,5 Anwendungen OS Server Netz Konfiguration Einführung 24

25 Redundanz: Beispiele Flugsteuersystem: Ausfallswahrscheinlichkeit einer sicherheitskritischen Komponente: 10-9 D.h. Ein Ausfall bei einer Milliarde Flugstunden. erreicht durch: diversitäre Techniken im Aufbau, Hard- und Softwareentwurf z.b. 3-fach Abstimmung beim Slat-Flap Control System im Airbus Marketing five-nines Internet Shop Krankenhaus OP-Räume oder lebenserhaltende Maßnahmen Einführung 25

26 Redundante Auslegung von Systemen: Symmetrische Redundanz (n+m): Für N Komponenten existieren m Ersatzkomponenten Spezialfall 1:1 wird auch Doppelung genannt. Bei dem Ausfall von >1 Komponenten, steht das gesamte System nicht mehr zur Verfügung. Asymmetrische Redundanz: Die Komponenten sind nicht identisch implementiert. Statische Redundanz (aktive, funktionsbeteiligt, Fault Tolerance): Mehrere redundante Systeme führen zeitgleich die selbe Funktion aus. Z.B.: N-fach modulare Redundanz (NMR) Die Ergebnisse von N Komponenten werden einem Voter vorgelegt, der eine Mehrheitsentscheidung trifft. Üblicherweise wird N ungerade gewählt. Bei 2n+1 eingesetzten Komponenten können n Ausfälle toleriert werden Keine Unterbrechung der Verfügbarkeit bei Ausfall. Erhöhung der Zuverlässigkeit durch asymmetrische Redundanz Problem: Voter Nachteil: hoher Implementierungsaufwand Einführung 26

27 Redundante Auslegung von Systemen: Dynamische Redundanz (Standby, Hot Sparing): Nur eine Komponente führt eine Funktion aus (d.h ist aktiv oder hot ) Wenn ein Fehler festgestellt wird, übernimmt eine Reservekomponente (standby) die Funktion. Bei n redundanten Komponenten können n-1 Ausfälle toleriert werden. Spezialfall: Loadbalancing die redundanten Komponenten führen ebenfalls Funktionen aus. Ein Ausfall macht sich durch einen Leistungsabfall des Gesamtsystems bemerkbar. Problem: Fehlererkennung (aktiv, passiv), Fehlerfortpflanzung, Konvergenzzeit, Zustandssynchronisation Hybridredundanz: Kombination aus statischer und dynamischer Redundanz Einführung 27

28 Definition Verfügbarkeit Wahrscheinlichkeit des Betrieb eines Systems (ta Ausfallzeit, tb Betriebszeit): q W ( B) Wahrscheinlichkeit für den Nichtbetrieb eines Systems Es gilt p+q=1 Verfügbarkeitsstufen bezogen auf die maximale Ausfallzeit pro Jahr: t p W ( NB) b tb t t b a ta t a 99,0% 3,7 Tage Üblich 99,9% 8,8 Stunden Verfügbar 99,99% 52,6 Minuten Hochverfügbar 99,999% 5,3 Minuten Fehlerunempf. 99,9999% 32 Sekunden Fehlertolerant Einführung 28

29 Berechnung von Verfügbarkeit eines Systems Serienschaltung (q Betriebswahrscheinlichkeit, p Ausfallwahrscheinlichkeit): n q sys q i i 1 p sys 1 (1 p i ) n i 1 99,8% 99,9% 99,9% Parallelschaltung (1:1 Redundanz): q sys q i n 1 (1 ) i 1 n p sys p i i 1 99,0% 99,99% 99,0% Einführung 29

30 Beispiel: HW vs. SW: HW1 99,99% 99,9999% SW? % 99,99% HW2 Um eine hohe Verfügbarkeit zu erreichen müsste die SW Komponente eine utopische hohe Verfügbarkeit aufweisen. Nur asymmetrische Redundanz möglich da sonst die Wahrscheinlichkeit für das gleiche Verhalten der SW Komponente zu groß ist. Einführung 30

31 Fehler Ursachen Systemfehler Physikalische Fehler (äußere Einflüsse) Verschleiß Bedienungsfehler Wartungsfehler Einführung 31

32 System Analyse Hierarchisches vs. Relationales Modell: System Subsystem 1 C1 C2 Subsystem Subsystem C1 C2 C3 C4 C5 Subsystem 2 C3 C4 C5 Composed of Uses Einführung 32

33 Ausfallsicherheit im Netzwerkbereich Dabei zu betrachtende Komponenten: Stromversorgung Hardware Software LAN Infrastruktur WAN Infrastruktur Terroranschlagswahrscheinlichkeit Naturkatastrophenwahrscheinlichkeit Klima Wasserversorgung Gebäudesicherheit Zur Berechnung der Verfügbarkeit zu betrachten sind auch: Bootzeiten Konvergenzzeiten Einführung 33

34 Stromversorgung: Zur Statistik, in den USA: 15 Durchschnittliche Anzahl der Stromausfälle pro Jahr in einem IT-Department. 90% der Ausfälle < 5 Minuten 99% der Ausfälle < 60 Minuten Verfügbarkeit: 99,98% Redundanz durch: Unterbrechungsfreie Stromversorgung (USV) (kurze Zeiträume) Generatoren (längere Zeiträume) Üblicher Fehler: USV aber keine 2 Netzteile (siehe HW) Einführung 34

35 Hardware: Verschiedene Ebenen von Rechenzentrum bis Chip Berechnung der Verfügbarkeit ist schwierig wegen der Komplexität und da nicht alle Bauteilehersteller Angaben machen. Statistisch verlässliche Angaben sind erst nach 2 Jahren nach der Markteinführung zu erwarten. Redundanz durch: Parallelisierung im HW betrieb Problem: Fehlererkennung, eventuelle Umschaltzeiten, Aufwand Einführung 35

36 Software: Berechnung der Verfügbarkeit ebenfalls schwierig Abschätzung durch Analyse der Qualitätsstandards des Herstellers, Lines of Code, Statistische Information Redundanz durch: Siehe HW Verbesserung der Verfügbarkeit auch durch: Schnellere Bootzeiten SW/HW Watchdogs Methodik (Einsatz sicherer Betriebsysteme, Sprachen, SW- Entwicklungs Methoden) Einführung 36

37 HW/SW Redundanz Beispiel:: Zugriff auf gemeinsamen Datenbestand HW-Raid Übernahme der Services durch; MAC Address takeover IP Address takeover DNS reconfiguration Anwendungsumschaltung Server (aktiv) Heartbeat Server (passiv) Einführung 37

38 LAN/WAN Infrastruktur: Redundanz durch: Mehrfachauslegung von Komponenten Intelligente Verkabelung Anschlüsse an mehrere ISPs Wahl geeigneter Protokolle Einführung 38

39 Wegweiser Das war Safety Der Rest der Vorlesung handelt von Security Einführung 39

40 Badaboom Datenpannen- Ponemon Institute Jahresstudie 2008: 112 Aufwand pro betroffener Datensatz Einführung 40

41 Modeerscheinungen Einführung 41

42 Etwas Statistik Einführung 42