IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 24. Januar 2018 WS 2017/2018

Transkript

1 IT-Sicherheit WS 2017/2018 Jun.-Prof. Dr. Gábor Erdélyi Lehrstuhl für Entscheidungs- und Organisationstheorie, Universität Siegen Siegen, 24. Januar 2018

2 Wiederholung Biometrie Anforderungen Techniken (Handgeometrie, Iris/Retina, Gesicht, Stimme) Schema Fingerabdruckerkennung Security Impact of High Resolution Smartphone Cameras

3 Vorteile/Nachteile Vorteile: Geht nicht verloren Fälschen in der Regel schwer Besitz oder Kenntnis der Referenzwerte nicht ausreichend für Angriff Nachteile: Angreifbar, falls die erhobenen Daten über unsichere Verbindungen gesendet werden Informationelle Selbstbestimmung Gewaltsame Angriffe gegen Personen Unveränderliche Merkmale USB-Schwachstelle

4 Aufgabe Durch Kontrollen und Filterungen von Datenpaketen die Weiterleitung von solcher zu verhindern, die eine mögliche Bedrohung für die Daten und Komponenten eines Netzsegments bedeuten können.

5 Definition Besteht aus einer oder mehreren Hard- und Softwarekomponenten, die zwei Netzwerke koppeln Jegliche Verkehr zwischen den Netzwerken wird durch die Firewall geleitet Realisiert eine Sicherheitsstrategie, die Zugriffsrestriktionen und Protokollierungs- sowie Authentifikationsanforderungen umfasst. Führt Authentifikationen und Auditing gemäß der festgelegten Firewall-Policy durch.

6 Firewall Klassen Paketfilter Proxy Applikationsfilter

7 Paketfilter Sind auf ISO/OSI-Schichten 3 und 4 angesiedelt (Netzwerk, Transport) Filtert die Datenpakete nach vorgegebenen Kriterien Netzwerk - TCP/IP Daten - UDP/IP

8 Filterinformation Senderadresse Empfängeradresse Ports Optionen Acknowledgement-Bit Protokolltyp Payload Plausibilitätsprüfungen

9 Weitere Funktionen Fehlermeldung für nicht weitergeleitete Pakete Eintrag in einer Log-Datei Alarm setzen Pakete Manipulieren (NAT, PAT)

10 Erstellung von Filtertabellen Filter frühzeitig einsetzen (Absendeadresse, Sendeport) Reihenfolge Protokolle

11 Vorteile/Grenzen von Paketfiltern Vorteile: Preiswert Vorhandene Software Einfache Realisierbarkeit Transparente Nutzbarkeit Nachteile: Man in the Middle Angriffe möglich Filtert Adressen (IP, Ports), keine Benutzer Zustandslose Filter Tabellenerstellung

12 Proxy-Firewall Verbindungsaufbau: Client wendet sich an Proxy-Firewall Proxy-Firewall überprüft die Zulässigkeit des beantragten Vorteile: Verbindungsaufbaus Arbeitet herstellerunabhängig Authentifikationsfähigkeit Protokollierungsfähigkeit Keine direkte Verbindung zwischen Außenwelt und Nachteile: geschütztes Netz (Adressumsetzung) Ist auf der Transportebene (unterhalb der Anwendungen)

13 Applikationsfilter ISO/OSI Anwendungsschicht Kenntnis über Anwendungen Können dienstspezifische Kontrollen durchführen Vorteile: Differenzierte Authentifikationen und Kontrollen Es lassen sich Nutzungsprofile erstellen Angriffsversuche können protokolliert werden (Admin Meldung schicken) Lokale Kopien im lokalen Cache verwalten Nachteile: Zu große Benutzung

14 Satellitennetze Mobilfunknetze Heterogenität der Netze GSM UMTS Drahtlose Nahverkehrsnetze WLAN Bluetooth Kooplung von geräten im PAN Laptop PDA Mobiltelefon Festnetz Ethernet Glasfasernetz

15 Entwicklungsphasen 1. Phase, Netze der 2ten Generation (2G und 2.5G), GSM (Global System for Mobile Communication) GPRS (General Packet Radio Service) EDGE (Enhanced Data Rates for GSM Evolution) 2. Phase, Netze der 3ten Generation (3G), UMTS (Universal Mobile Telecommunication System) FOMA (Freedom of Multimedia Access) 3. Phase,

16 GSM 1. weltweite Anwendung chipkartenbasierter Authentifikation Größte Sicherheitsinfrastruktur weltweit In D verwenden T-Mobile (D1), Vodafone (D2), O2 und E-Plus den GSM-Standard Standarddienste: Sprachübertragung Datendienste Datenrate: 9.6 Kb/s

17 Sicherheitsdienste Luftschnittstelle Ziel: Schutz vor unautorisiertem Telefonieren Schutz von illegalem Abhören Keine feste Verbindungen Chipkartenbasierte Athentifikation Verschlüsselung der Gesprächsdaten Temporäre Teilnehmerkennung (Aufenthaltsorte zu verschleiern)

18 Zellular strukturiertes Netz GSM-Architektur Network and Switching Subsystem (NSS) - Menge von Verwaltungskomponenten Mobile Services Switching Center (MSC) Home Location Register (HLR) Visitor Location Register (VLR) Authentication Center (AC) Equipment Identification Center (EIC) Mobile Station (MS) - Moble Endgeräte SIM-Karte Basisstationssubsystem (BSS) Base Station Tranceiver Station (BTS) Base Station Controller (BSC)

19 Identifikation und Authentifikation International Mobile Subscriber Identity (IMSI) Jeder Teilnehmer eine weltweit eindeutige IMSI 15 Ziffern lang Ländercodeteil Netzkennung Teilnehmerkennung Wird vom Netzbetreiber fest zugeordnet Wird nur beim 1. Einbuchen zur Identifikation verwendet Danach Temporary Mobile Subscriber Identificator (TMSI) VLR erzeugt und sendet verschlüsselt an jedes Endsystem ein IMSI TMSI und Local Area Identifier (LAI) auf der SIM und im VLR gespeichert

20 GSM Sicherheitsprobleme Einseitige Authentifikation Bewegungsprofile Gesprächsverschlüsselung mit 64-Bit Schlüssel

21 WLAN Zugriffskontrolle Kontaktaufnahme (SSID - Service Set Identifier) offenes/geschlossenes WLAN stärkstes Signal ACL - Access Control List (MAC-Adressen) Sicherheitsprobleme Abhören Man-in-the-middle (stärkstes Signal) WLAN Scanner Laufwerkfreigabe

22 Bluetooth Bluetooth vs. IrDA Drahtlose Kommunikation - ca. 10m Ad-hoc Netze Stromverbrauch gering Interferenzen mit Geräten die im Bereich 2,4 GHz-Band senden Datenübertragung 723,2 KBit IrDA (Infrared Data Association) Anwendung: Kameras, Uhren, medizinische Geräte Drahtlose Kommunikation - max. 1m und im Winkel von max. 30 Grad Größere Sicherheit Datenübertragung 4-16 MBit