Sichere Verwaltungs EDV

Transkript

1 Sichere Verwaltungs EDV Rainer W. Gerling Sichere Verwaltungs EDV 11/99 1 Sicherheitsmaßnahmen Strukturierte Verkabelung um Abhören des Netzes (Sniffer) zu erschweren. Absicherung des Internetanschlusses über einen Firewallrechner. Kopplung von Betriebsstätten über Virtuelle Private Netze. Verschlüsselung und Digitale Signatur der . Keine Übertragung wichtiger Passworte (Telnet, POP3, IMAP, SAP usw.) im Klartext über Netzwerkkabel. Verschlüsselte Ablage der sensiblen Dateien auf den Fileservern. SAP Sicherung Sichere Verwaltungs EDV 11/99 2 Rainer W. Gerling November

2 Netzwerktopologien Bustopologie (Koaxialkabel) Sterntopologie (Twisted Pair) Welt Welt Sichere Verwaltungs EDV 11/99 3 Packet Filter Internet Router LAN Packet Filter für Quell- und Zieladressen Filter für Quell- und Zielports Nur Dienste mit festen Port Nummern Deny Filter oder Pass Filter Funktionalität im Router Sichere Verwaltungs EDV 11/99 4 Rainer W. Gerling November

3 IP Filtering: minimale Regeln Broadcast Netzwerke: und Lokale Netzwerke: Die eigenen lokalen IP Adressen Reservierte Private Netzwerke (RFC 1597): (reserviert) (loopback) (reserviert) (reserviert) Sichere Verwaltungs EDV 11/99 5 Sperrung von Ports Diese Ports sollten laut CERT Empfehlung mindestens im Router gesperrt werden. Port-Nr & Service DNS Zone transfers tftpd link SunRPC & NFS smb BSD Unix "r"-befehle lpd uucpd Openwindows SAP X Window System Sichere Verwaltungs EDV 11/99 6 Rainer W. Gerling November

4 Firewalls Internet externer Server R Auf der Firewall: Proxys für alle erlaubten Dienste (ftp, telnet...). Kein IP Forwarding, keine Anwendungen Dummy Dateien (/etc/passwd) für Hacker... SMTP und NNTP nur zwischen den beiden Servern HTTP nur über Proxy-Server Firewall lokaler Server Sichere Verwaltungs EDV 11/99 7 Bastion Internet Paketfilter/ Router Internes Netz Bastion nach c t Sichere Verwaltungs EDV 11/99 8 Rainer W. Gerling November

5 IP Tunneling Kopplung der beiden LANs durch einen Tunnel. Der Tunnel wird durch Verschlüsselung erzeugt. Sichere Verbindungen durchs Internet werden möglich. LAN 1 LAN 2 Beispiele: 1. Secure Socket Layers 2. Private Communication Technology 3. Secure Shell 4. Verschlüsselnde Router 5. Firewall-Systeme eines Herstellers Sichere Verwaltungs EDV 11/99 9 Virtuelle Private Netzwerke Räumlich getrennte Teile eines Netzes werden über verschlüsselte Verbindungen zusammengeführt. Die Verschlüsselung kann geschehen: in dem Endgerät Protokoll-Stack (IPv6, IPsec, SSL) Anwendung (ssh, SSL, PCT) in der Kommunikationseinrichtung Modem Router in dem Firewall Sichere Verwaltungs EDV 11/99 10 Rainer W. Gerling November

6 Virtuelle Private Netze Netz A Crypto- Router ISDN Internet Netz B Firewall Router Router Netz C Sichere Verwaltungs EDV 11/99 11 Secure Shell rlogin, rsh und rcp verwenden nur die IP-Nummer zur Authentisierung SSH ersetzt sie durch slogin, ssh und scp mit RSA basierter Authentisierung und Leitungsverschlüsselung sshd übernimmt den Service. Jeder Host benötigt seinen privaten Schlüssel und die öffentlichen Schlüssel der anderen Hosts. Es gibt Win32, WinCE, Macintosh, Palmpilot, und Java Klienten Sichere Verwaltungs EDV 11/99 12 Rainer W. Gerling November

7 Wie SSH funktioniert ssh-klient rlogin Klient-Proxy rsh rcp smtp 25 nntp 119 pop 110 (ftp 20) http 80 X Server-Proxy smtp 25 nntp 119 pop 110 (ftp 20) http 80 X11... ssh-daemon rlogin rsh rcp Sichere Verwaltungs EDV 11/99 13 Secure Socket Layer (SSL) WWW-Server Internet Mit SSL wird die Kommunikation verschlüsselt Nur Verschlüsselung ohne Authentisierung Verschlüsselung mit Passwortabfrage WWW-Browser Verschlüsselung mit kryptographischer Authentisierung Internet Explorer und Netscape können SSL Sichere Verwaltungs EDV 11/99 14 Rainer W. Gerling November

8 SSL konkret Apache WWW-Server mit OpenSSL/ModSSL für Unix, demnächst auch Win 95/NT kostenlos, über 50% aller WWW-Server sind Apache Microsoft IIS/PWS kostenlos für Win 9x/NT Tiny SSL (nur Win 9x und Win NT, kostenlos) Fortify für Netscape kostenlos, Netscape ab Version 3.x 128 Bit Verschlüsselung TC-Connect-128 von Trustcenter (SSL Proxy) Stunnel auf Server und Client Seite Sichere Verwaltungs EDV 11/99 15 Mailtransport POP/IMAP Firewall SMTP Internet POP/IMAP Passworte im Klartext Abhören der Sichere Verwaltungs EDV 11/99 16 Rainer W. Gerling November

9 Sichere Abholung STunnel Klient verschlüsselt POP3/IMAP übertragen Passworte im Klartext STunnel ist ein Programm für Unix/Win32 Outlook (Express) und Netscape Messenger können das direkt. STunnel Server Sichere Verwaltungs EDV 11/ verschlüsselung Privacy Enhanced Mail (Mailtrust) definiert in RFC Pretty Good Privacy (2.6.3ia/6.0.2i) Programm von P. Zimmerman De Facto Standard kommerziell: NAI (früher McAfee) S/MIME Standard vom RSADSI Netscape Messenger und MS Outlook (Express) Sichere Verwaltungs EDV 11/99 18 Rainer W. Gerling November

10 Pretty Good Privacy 6 Algorithmen: Asymmetrische Verschlüsselung: RSA 2048/DH 4096/SSA Symmetrische Verschlüsselung: IDEA 128/Cast 128/3DES 168 Hashfunktion: MD5/SHA/RIPEMD-160 Schlüsselbeglaubigung: Web of Trust; Trustcenter ist möglich (CSK) Schlüsselformat: OpenPGP, X509 Mailformat: OpenPGP (RFC 2440) Quelle: Sichere Verwaltungs EDV 11/99 19 Privacy Enhanced Mail Algorithmen: Asymmetrische Verschlüsselung: RSA 1024 Symmetrische Verschlüsselung: DES-CBC 56 Hashfunktion: MD2, MD5 Schlüsselbeglaubigung: Trustcenter Schlüsselformat: X.509 Mailformat: RFC Sichere Verwaltungs EDV 11/99 20 Rainer W. Gerling November

11 S/MIME Algorithmen: Asymmetrische Verschlüsselung: RSA 512 Symmetrische Verschlüsselung: RC2 40 Hashfunktion: MD5, SHA-1 Schlüsselbeglaubigung: Trustcenter Schlüsselformat: X.509 Mailformat: PKCS #7 (PEM konvertierbar) Quelle: Sichere Verwaltungs EDV 11/ verschlüsselung 40 Bit RC2 512 Bit RSA Sichere Verwaltungs EDV 11/99 22 Rainer W. Gerling November

12 Aufbau einer Empf. Abs. Empf. Abs. Empf. Abs. hilmo Nachrichtentext Nachrichtentext Zufallsschlüssel gfhq1 mit dem Privater Schlüssel des Absenders verschlüsselt Dig. Sig. Mit dem Zufallsschlüssel verschlüsselt shwehixkmekdmmdhsklazgehsj mit dem öffentlichen Schlüssel des 1. Empfängers verschlüsselt mit dem öffentlichen Schlüssel des 2. Empfängers verschlüsselt Sichere Verwaltungs EDV 11/99 23 Die Schlüsselverwaltung per Client per Papier erzeugt Schlüsselpaar und schickt den öffentlichen Schlüssel an das Trustcenter Trustcenter prüft und zertifiziert den öffentlichen Schlüssel Anfrage Antwort KeyServer verteilt die öffentlichen Schlüssel Sichere Verwaltungs EDV 11/99 24 Rainer W. Gerling November

13 Trustcenter GmbH ( Kunde schickt Zertifikatanforderung TC schickt verschlüsselte Kontrollnummer per und Antrag per Papier Kunde schickt Antrag mit eingetragener Kontrollnummern plus Identitätsnachweis (z.b. PostIdent) TC schickt und veröffentlicht Zertifikat Sichere Verwaltungs EDV 11/99 25 Empfehlung Verschlüsselte mit PGP gleichzeitig Nutzung von PGPdisk möglich Schlüsselserver von NAI da Unterstützung für ein Trustcenter Keine Recovery Mechanismen für Unverschlüsselte Speicherung (Ausdruck/Archiv) der wichtigen Nachrichten im Vorgang Sichere Verwaltungs EDV 11/99 26 Rainer W. Gerling November

14 Datenträgerverschlüsselung Verschlüsselung der Festplatte oder einer Partition. Nur auf lokalen Platten Ideal zur Notebook Sicherung Dateiverschlüsselung auf lokalen Laufwerken oder auf Netzwerkresourcen verschlüsselt nur was nötig ist. Im Netz eventuell Betriebssystem übergreifend Container Dateien enthalten Laufwerk Sichere Verwaltungs EDV 11/99 27 Datenträgerverschlüsselung Anwendung Dateien Betriebssystem Pakete Sektoren Netzwerk Festplatte Fileserver Disketten Dateiverschlüsselung Festplattenverschlüsselung Sichere Verwaltungs EDV 11/99 28 Rainer W. Gerling November

15 Windows 95/98 kommerzielle Systeme ScamDisk (mit Quellcode) Bestcrypt PGPDisk Unix Crypto File System TCFS siehe siehe c t c t 19/ /1998 Seite Seite Datei- und Laufwerks- Verschlüsselung Windows NT kommerzielle Systeme TorDisk BestCrypt Shade PGPDisk in in NT 5 Standard Macintosh CryptFile PGPDisk Sichere Verwaltungs EDV 11/99 29 Dateiverschlüsselung Dateiverschlüsselung ist bei Dateiablage auf Fileservern unerlässlich Betriebssystemübergreifend Schlüsselmanagement Festplattenverschlüsselung ist bei Standalone- Rechnern und Notebooks sinnvoll bringt im Netz nichts gute Verschlüsselung in der Anwendung Sichere Verwaltungs EDV 11/99 30 Rainer W. Gerling November

16 Aufstellung der Server Applikationsserver Datenbankserver Router/Bridge Datenverkehr zwischen Datenbank- und Applikationsserver muß lokal bleiben! Zugriffskontrolle über Paketfilter im Router Bridge nur im lokalen Netz oder hinter Firewall. Sichere Verwaltungs EDV 11/99 31 Sicherheit im SAP R/3 Authentisierung aller Benutzer durch Passwörter ausgefeiltes R/3 Berechtigungskonzept Tätigkeitsprotokollierung (activity logging) Schutz der Kommunikation zwischen SAP- GUI und Anwendungsserver durch Komprimierung der Daten Secure Network Communications (SNC) Sichere Verwaltungs EDV 11/99 32 Rainer W. Gerling November

17 GSS-API in SAP R/3 Workprocess Komprimierung SNC R/3 Server SAP-GUI Netzinterface GSS-API Secude GSS-API Secude Sichere Verwaltungs EDV 11/99 33 Aussichten Chipkartenleser werden Standard (HBCI) Digitale Signaturen in Chipkarten PGP ab Version 7 (Mitte 2000) Signaturgesetz Biometrie für PC Anwendungen: Fingerabdruck Dezentrale Speicherung Integration in Chipkarte Foto: BiometriX Sichere Verwaltungs EDV 11/99 34 Rainer W. Gerling November

18 In der MPG I Neuverkabelung nur strukturiert Firewalls im Einsatz wo erforderlich Dateiverschlüsselung mit Safesolution unter DOS/Win 3.1x Utimaco LanCrypt unter Win 9x und NT Verschlüsselung mit PGP 6.0.2i Integration in Pegasus Mail mit QDPGP Trustcenter und DH/DSS Schlüssel Unter Unix: Gnu Privacy Guard Sichere Verwaltungs EDV 11/99 35 In der MPG II VPN Intranet über SSL von zentralem Server in Göttingen IMAP Server über SSL teilweise im Einsatz Testbetrieb POP3 über SSL Secure Shell im Einsatz SAP unter Windows 3.1 ist nichts möglich mit NT Einführung (11/99) auch Secude geplant Sichere Verwaltungs EDV 11/99 36 Rainer W. Gerling November