Grundlagen der Netzwerksicherheit Teil 3

Transkript

1 Grundlagen der Netzwerksicherheit Teil 3 Hamburg, 26. Februar 2014 Dominique Petersen Netzwerksicherheit Teil3 - Petersen, Busch 1

2 Agenda Seminar: Grundlagen der Netzwerksicherheit Teil 1: Funktionsweise Teil 2: Schwachstellen und Angriffe Einführung Angriffsmöglichkeiten Übung 2 Teil 3: Sicherheitsmaßnahmen 2

3 Agenda Seminar: Grundlagen der Netzwerksicherheit Teil 1: Funktionsweise Teil 2: Schwachstellen und Angriffe Einführung Angriffsmöglichkeiten Übung 2 Teil 3: Sicherheitsmaßnahmen 3

4 Schwachstellen und Angriffsmöglichkeiten Einführung Was passiert bei einem Angriff? Bei einem Angriff wird durch einen aktiven oder passiven Eingriff, eine ungewünschte Aktion mit Objekten gewährt. Ziel: Informationsgewinn Reaktionen auslösen Ressourcen nutzen 4

5 Schwachstellen und Angriffsmöglichkeiten Einführung Wer greift IT-Systeme mit welcher Motivation an? (1/2) Berufskriminelle Geld als Motivation Hacker Spaß an der Technik, Anerkennung, Herausforderung Spione (Wirtschaft, Regierung) Geld (Wirtschaft), Informationsgewinn 5

6 Schwachstellen und Angriffsmöglichkeiten Einführung Wer greift IT-Systeme mit welcher Motivation an? (2/2) Terroristen Politische Interessen Vandalen Zerstörungswut Behörden! Strafverfolgung 6

7 Schwachstellen und Angriffsmöglichkeiten Einführung Behörden-Anfragen an Google zwecks Datenlöschung 7

8 Schwachstellen und Angriffsmöglichkeiten Einführung Wert von alltäglichen Objekten im Internet Objekt Twitter Facebook Bank-Account Kosten $ / Account 1000 Accounts 25$ (<10 Freunde) 1000 Accounts 45$ (>10 Freunde) $ / Account Kompletter Satz Pers. Daten US: 5-8$ / EU: 10-24$ / Weltweit: 7$ Botnetz $ / 1 Million Accounts 67$ / 24h 9$ / 1h 8

9 Schwachstellen und Angriffsmöglichkeiten Einführung Kosten für IT-Sicherheit und Schäden Pareto-Prinzip 20% der möglichen IT-Sicherheitsmechanismen richtig eingesetzt liefern 80% Schutz vor potentiellen Bedrohungen Sensibilität für Sicherheit noch nicht überall gegeben Verhältnis zwischen Umsatz und Ausgaben für Sicherheit nicht gerechtfertigt 9

10 Schwachstellen und Angriffsmöglichkeiten Einführung Weshalb sind Angriffe möglich? Sicherheitslücken des (Software-)Systems Design-Fehler (XSS, CSRF, Zertifikate...) Fehlerhafte Implementierung (vor allem im Krypto-Bereich) Mangelhafte Konfiguration (Default Passwörter, falsch konfigurierte Firewalls/Router etc.) Validierung von Eingaben (Buffer- over/under flows, SQL Injection) Hintertüren der Hersteller (Lawful Interception etc.) 10

11 Schwachstellen und Angriffsmöglichkeiten Überblick (1/2) Passive Angriffe Aktive Angriffe Exploits Rechteausweitung Vortäuschen falscher Identitäten 11

12 Schwachstellen und Angriffsmöglichkeiten Überblick (2/2) Code-Injection Angriffe über Sonderzeichen Man-in-the-Middle 12

13 Schwachstellen und Angriffsmöglichkeiten Passive Angriffe (1/2) Abhören von Daten/Passwörtern Lauscher gelangt unmittelbar in den Besitz der Nachricht und kann sie zu seinem Zweck verwerten Abhören von Teilnehmer-Identitäten Lauscher erfährt, welche Teilnehmer verbunden sind und Daten austauschen Verkehrsflussanalyse Größenordnung, Zeitpunkt, Häufigkeit und Richtung des Datentransfers 13

14 Schwachstellen und Angriffsmöglichkeiten Passive Angriffe (2/2) Beispiel: Sniffing Tools zur Datenfluss-Analyse wie Wireshark Ziele sind Passwörter und vertrauliche Informationen Fazit: Passive Angriffe können nicht verhindert werden. Mittels geeignete Verschlüsselung können Daten jedoch für Angreifer wertlos gemacht werden. 14

15 Schwachstellen und Angriffsmöglichkeiten Aktive Angriffe (1/2) Bedrohung durch Kommunikationspartner Vortäuschen einer falschen Identität Nutzung fremder Betriebsmittel Leugnen einer Kommunikationsbeziehung Modifikation Beispiel: Veränderung der Kontonummer Boykott Beispiel: Echtzeitanwendungen Malware 15

16 Schwachstellen und Angriffsmöglichkeiten Aktive Angriffe (2/2) Beispiele Advanced Persistent Thread DDoS Fazit: Aktive Angriffe können durch geeignete Schutzmaßnahmen erkannt und die Zielerreichung verhindert werden. 16

17 Schwachstellen und Angriffsmöglichkeiten Exploits (1/2) Computerprogramm oder Script, welches Schwächen eines Rechnersystems ausnutzt, um Zugriff zu diesem zu bekommen. Exploits werden entwickelt und veröffentlicht, um Sicherheitslücken zu demonstrieren. Hersteller von Software werden damit gezwungen, möglichst schnell auf bekannt gewordene Sicherheitslücken zu reagieren. 17

18 Schwachstellen und Angriffsmöglichkeiten Exploits (2/2) Beispiel Sicherheitslücken in Browsern oder in weit verbreiteter Standardsoftware wie PDF-Readern Präparierte Dokumente verbreiten sich z.b. über gefälschte Mails oder unsichere Webseiten Fazit Bei bekannten Sicherheitslücken Alternativen verwenden (siehe BSI-Schwachstellenampel) Alle Anwendungsprogramme und das Betriebssystem aktuell halten 18

19 Schwachstellen und Angriffsmöglichkeiten Rechteausweitung Ausnutzung eines Konstruktions- oder Konfigurationsfehlers eines Programms, um einem Benutzer oder einer Anwendung unberechtigte Zugriffe, z.b. auf Ressourcen, zu gestatten Beispiel: Rootkits Verborgene Administratorrechte ursprünglich für unix-basierte Betriebssysteme (root = Admin), mittlerweile auch für andere Systeme Schutz und Handlungsempfehlungen Neuinstallation des Betriebssystems Hardwareseitiger Schreibschutz 19

20 Schwachstellen und Angriffsmöglichkeiten Vortäuschen falscher Identitäten Beispiel: Phishing Vortäuschen der vom Benutzer gewünschten Webseite. Diese wurde aber durch eine Kopie ersetzt. Ziel: Stehlen von Login-Details 20

21 Schwachstellen und Angriffsmöglichkeiten Code-Injection Angreifer schleust ausführbaren Programmcode in ein IT- System ein und führt diesen aus Problem: Fehlende Prüfung von Eingabedaten (Input Validation) Beispiel: Drive-by-Download Aufruf einer präparierten Website reicht aus Möglich, wenn Sicherheitslücken im Browser ausgenutzt werden 21

22 Schwachstellen und Angriffsmöglichkeiten Angriffe über Sonderzeichen (1/2) Angreifer schleust Sonderzeichen in eine Anwendung ein mit der Absicht von schädlichen Nebeneffekten Unzureichend gesicherte Webserver lassen Funktionsaufrufe zu, mit diesen der Angreifer u.u. auf beliebige andere Verzeichnisse zugreifen kann Beispiel: Directory Traversal Funktioniert über Eingabe der Sonderzeichen "/.." oder "..\" z.b. in URL eingebaut 22

23 Schwachstellen und Angriffsmöglichkeiten Angriffe über Sonderzeichen (2/2) Beispiel: SQL-Injection Eingaben auf Webseiten werden meist direkt weitergeleitet als SQL- Abfrage an die Datenbank im Hintergrund Bei unzureichender Validierung kann direkt Einfluss auf die Datenbank-Abfrage genommen werden 23

24 Schwachstellen und Angriffsmöglichkeiten Man-in-the-Middle (1/2) Ein Angreifer klinkt sich in eine Kommunikation ein, um diese zu kontrollieren oder zu manipulieren 24

25 Schwachstellen und Angriffsmöglichkeiten Man-in-the-Middle (2/2) Beispiel: SSL-Downgrade bei TLS/SSL-Verbindungen handeln Server und Client den Verschlüsselungsalgorithmus und die Schlüssellänge aus Client teilt Server von ihm unterstützte Verfahren mit Server teilt das beste von ihm unterstütze Verfahren mit diese Kommunikation findet unverschlüsselt statt. Einem Angreifer kann es gelingen, rechtzeitig ein gefälschtes Paket zum Server zu senden, um diesen zu veranlassen, einen alten oder unsicheren Algorithmus zu nutzen oder die Verschlüsselung ganz zu deaktivieren. Gestiegene Chancen für Angriff auf die Verbindung! 25

26 Schwachstellen und Angriffsmöglichkeiten Fazit IT-Geräte, IT-Prozesse und die elektronischen Werte sind Wirtschaftsgüter, welche angemessen geschützt und abgesichert werden müssen. Bei einem Angriff wird durch einen aktiven oder passiven Eingriff eine ungewünschte Aktion mit Objekten gewährt. Die Sicherheit der IT liegt in der Verantwortung des Eigentümers. Wirkungs-und Handlungszusammenhang der IT-Sicherheit ist sehr komplex und braucht eine genaue Analyse und Bewertung. Die Angriffsmöglichkeiten, die Eintrittswahrscheinlichkeit und die Schäden sind sehr vielfältig und zeigen den notwendigen Handlungsbedarf auf. 26

27 Netzwerksicherheit Übung 2 Firewall 1. Jeder Seminarteilnehmer aktiviert die ESET-FW mit interaktivem Modus, d.h. er wird bei neuen Verbindungen gefragt 2. Nach einer Menge Aktionen verhält sich die ESET-FW nach einiger Zeit ruhig 3. Der Seminarleiter versucht sich auf einige Ports zu verbinden (z.b. Scan auf das Subnetz mit den PCs der Seminarteilnehmer mit nmap), was ESET-Meldungen und Nachfragen produziert 4. Jeder Teilnehmer schaut sich in den ESET-Regeln an, wie mit bestimmten Paketen verfahren wird. Der Seminarleiter erklärt dies anhand einiger Regeln. 27

28 Agenda Seminar: Grundlagen der Netzwerksicherheit Teil 1: Funktionsweise Teil 2: Schwachstellen und Angriffe Teil 3: Sicherheitsmaßnahmen 28

29 Agenda Seminar: Grundlagen der Netzwerksicherheit Teil 1: Funktionsweise Teil 2: Schwachstellen und Angriffe Teil 3: Sicherheitsmaßnahmen 29

30 Sicherheitsmaßnahmen Übersicht Organisatorisches IT-Sicherheitsleitlinie Klassifizierung von Informationen Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 30

31 Sicherheitsmaßnahmen Übersicht Organisatorisches IT-Sicherheitsleitlinie Klassifizierung von Informationen Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 31

32 Organisatorisches IT-Sicherheitsleitlinie: Überblick Grundlage zur Konzeption und Realisierung eines risikogerechten und wirtschaftlich angemessenen IT-Sicherheitskonzeptes für eine konkrete Organisation Leitlinien, aber keine Implementierung Langfristige und verbindliche Festlegung von sicherheitsbezogenen Zielen Strategien für die Umsetzung der Ziele Verantwortungsbereichen Methoden 32

33 IT-Sicherheitsleitlinie 5 Fragen zur Präzision qualitativer Sicherheitsziele Welche IT-Dienste nutzt die Organisation für ihre wesentlichen wertschöpfenden Prozesse? Welche essenziellen Aufgaben können ohne IT-Unterstützung nicht mehr durchgeführt werden? Welche wesentlichen Entscheidungen hängen von der Genauigkeit, Integrität oder Verfügbarkeit der durch die IT-Systeme verarbeiteten Information ab? Welche Daten und Dienste erfordern hohe oder höchste Vertraulichkeit? Welche Auswirkungen hätte eine gravierende Verletzung der Sicherheit (Verlust von Vertraulichkeit, Integrität und/oder Verfügbarkeit)? 33

34 IT-Sicherheitsleitlinie Weitere Schritte (1/2) Definition des angestrebten Sicherheitsniveaus Quantitative Analyse der benannten Sicherheitsziele Quantifizierung anhand des Rasters der IT-Sicherheitsziele: Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit, Verfügbarkeit Ausarbeitung einer IT-Risikomanagement-Strategie Konkrete Umsetzung der IT-Systemsicherheitsleitlinien Beispiele: die Definition grundlegender IT-Sicherheitsprozesse die Einordnung aller Verantwortlichkeiten in den IT-Sicherheitsprozess 34

35 IT-Sicherheitsleitlinie Weitere Schritte (2/2) die eingesetzte Methodik zur Bewertung der IT-Sicherheit die Umsetzung des Risikomanagements und der Qualitätssicherung die Entwicklung einer IT-Systemsicherheitsleitlinie für jedes IT-System die Etablierung einer organisationsweiten Kontinuitätsplanung die Voraussetzungen für eine sichere externe Kommunikation die Orientierung an internationalen Richtlinien und Standards die IT-Sicherheit als integraler Bestandteil im gesamten Lebenszyklus eines IT-Systems die Förderung des Sicherheitsbewusstseins aller Mitarbeiter 35

36 IT-Sicherheitsleitlinie Für KMU Empfehlung für kleine und mittlere Betriebe Einzelpunkte auswählen, um diese für die Erstellung einer kompakten IT- Sicherheitsleitlinie zu nutzen Kernaspekte ausarbeiten Wesentlichen Schritte des Unternehmens und seine wertschöpfenden Prozesse Angepasster Aufwand für das IT-Sicherheitsmanagement 36

37 Sicherheitsmaßnahmen Organisatorisches Klassifizierung von Informationen Ziel: Richtigen Umgang für alle verbindlich Beschäftigten festlegen Klassen Öffentlich: kein besonderer Schutz erforderlich Intern: Schutz durch Beschränkungen von Zugang und Zugriff Vertraulich: erhöhter Schutzbedarf; Realisierung mit Hilfe von Schließanlagen sowie Verschlüsselung. 37

38 Sicherheitsmaßnahmen Organisatorisches Umgang mit geschäftlichen Daten Beachtung von geltendem Recht und Richtlinien des Betriebs. Gespräche vertraulich halten. Informationen nur an Personen senden, die diese erhalten dürfen. Aufbewahrungsorte sensibler Informationen stets abschließen. Informationen nur mit Bedacht im Netz veröffentlichen. Betriebliche IT-Systeme nur für betriebliche Zwecke verwenden. Daten sicher löschen, Akten schreddern, Datenträger zerstören. Prinzip Aufgeräumter Schreibtisch umsetzen. 38

39 Sicherheitsmaßnahmen Übersicht Organisatorisches Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 39

40 Sicherheitsmaßnahmen Übersicht Organisatorisches Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 40

41 Sicherheitsmaßnahmen Komponentensicherheit Absicherung von Clients Servern Netzwerkkomponenten 41

42 Sicherheitsmaßnahmen Client-Sicherheit (1/2) Grundarchitektur nach BSI Ausführungskontrolle Verhindert den Start von ausführbaren Dateien Virenschutzprogramm Prüft Dateien auf der Festplatte und Wechselmedien auf schädliche Inhalte Personal Firewall Kontrolliert ein- und ausgehende Verbindungen 42

43 Sicherheitsmaßnahmen Client-Sicherheit (2/2) Gerätekontrolle Regelt, welche Geräte über externe Schnittstellen angeschlossen werden dürfen Benutzerverwaltung Gewährt einem Benutzer die Rechte, welche für die Arbeit benötigt werden Logging Erfasst Ereignisse und Meldungen zur gegenwärtigen Erkennung von Sicherheitsvorfällen. 43

44 Sicherheitsmaßnahmen Netzwerkkomponenten absichern Maßnahmen nach BSI Firewall Zutritts-, Zugangs- und Zugriffskontrolle Anti-Malware-Programme Schutz vor Ausfällen Hardware-Sicherheit Notfallvorsorge Nicht zuletzt: Schulungen des Personals 44

45 Sicherheitsmaßnahmen Exkurs: -Verschlüsselung IT-Sicherheitssituation bezüglich s Unverschlüsselt Verschlüsselt vs. Keine Beweissicherung Nicht zuverlässig < 4% verschlüsselt < 6% signiert 45

46 Exkurs: -Verschlüsselung Open PGP kurz erklärt PGP = Pretty Good Privacy (Ziemlich gute Privatsphäre) Phil Zimmermann, 1991 Echte Ende-zu-Ende-Verschlüsselung Internett Klartext Verschlüsselt 46

47 Exkurs: -Verschlüsselung Open PGP Praxis Einrichtung mittels freier Software GnuPG Add-Ons für -Clients wie Enigmail für Mozilla Thunderbird Für Windows: GPG4win als GnuPG-Distribution für Microsoft Windows Anleitung: internet-sicherheit.de/pgpzi 47

48 Exkurs: -Verschlüsselung Open PGP Praxis Schlüsselpaar Öffentlicher Schüssel Für Empfänger verschlüsseln Signatur prüfen Privater, geheimer Schlüssel Entschlüsseln Signieren Herausforderung: Verteilen der öffentlichen Schlüssel 48

49 Exkurs: -Verschlüsselung Web of Trust Netz des Vertrauens Gegenseitige Signaturen kombiniert mit individuell zugewiesenem Vertrauen PGP-Signing-Party 49

50 Exkurs: -Verschlüsselung Web of Trust Netz des Vertrauens Zuordnung: Öffentlicher Schlüssel zu bestimmter Person Beglaubigt durch eigene Unterschrift 50

51 Sicherheitsmaßnahmen Übersicht Organisatorisches Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 51

52 Sicherheitsmaßnahmen Übersicht Organisatorisches Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 52

53 Sicherheitsmaßnahmen Sichere Authentisierung Identifizierung und Authentisierung Generelle Verfahren Passwortsicherheit 53

54 Sichere Authentisierung Identifikation und Authentisierung Wenn ein Nutzer Zugang haben möchte, muss er sich dem IT-System gegenüber Identifizieren und authentisieren 54

55 Sichere Authentisierung Identifikation und Authentisierung Identifikation Überprüfung eines vorgelegten, kennzeichnenden Merkmals, z.b. des Benutzernamens. Eine Person wird eindeutig durch die Angabe von Vorname, Nachname, Geburtsort und Geburtstag identifiziert. Eine Identifikation muss immer innerhalb eines Systems (Organisation) abgesprochen sein, damit sie eindeutig ist. Für verschiedene Benutzer müssen klar definierte Regeln eingehalten werden. Beispiel: CCITT»Recommendation«X.509 bzw. ISO

56 Sichere Authentisierung Identifikation und Authentisierung Authentisierung bedeutet die Verifizierung (Überprüfung) der Echtheit bzw. der Identität. Die Überprüfung des Personalausweises einer Person ist eine solche Authentisierung. Was muss und kann z.b. identifiziert und authentisiert werden? Kommunikationspartner: z.b. Benutzer, Prozesse, Instanzen, das Security Management Kommunikationsmedien: z.b. Workstation, Serversysteme, Firewall-Elemente) Nachrichten: z.b. Mails, Dateien, Java-Applets usw. 56

57 Sichere Authentisierung Generelle Authentisierungsverfahren (1/2) Passwort-Verfahren Einfachste Authentisierungsverfahren Verschlüsselte Übermittlung erforderlich! Passwortregeln müssen eingehalten werden Einmal-Passwort Jedes Passwort wird nur einmal verwendet Zwei unterschiedliche Methoden: Passworte werden im Vorfeld bestimmt und verteilt Benutzer kann sie nach einem definierten Verfahren berechnen 57

58 Sichere Authentisierung Generelle Authentisierungsverfahren (2/2) Challenge-Response-Verfahren Benutzer muss sich spontan kryptographisch beweisen Dazu braucht er einen Schlüssel und ein Verfahren Z.B. Zufallszahl als Challenge, Signatur dieser als Response Biometrische Verfahren Identifikation und Authentisierung mittels biometrischer Merkmale Aktiv: Stimme, Unterschrift, Gestik, Tippverhalten Passiv: Fingerabdruck, Retina, Iris, Gesicht, Ohr Nutzbar als Zugangskontrolle (Pässe, Türen, USB-Token) 58

59 Sichere Authentisierung Passwortsicherheit Starke Passwörter sind kryptisch und enthalten mind. 10 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen Keine Universalschlüssel verwenden Nutzen Sie Passwort-Manager wie keepass(x) Die wichtigsten Passwörter gehören in den Kopf! Merken Sie sich Masterpasswörter mit Eselsbrücken. Passworteingabe mit Bedacht! nur an vertrauenswürdigen Rechnern nur bei SSL/TLS-Verschlüsselung (https in Adresszeile, Schloss-Symbol) 59

60 Sicherheitsmaßnahmen Übersicht Organisatorisches Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 60

61 Sicherheitsmaßnahmen Übersicht Organisatorisches Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 61

62 Sicherheitsmaßnahmen Sicherer Fernzugriff Virtual Private Network (VPN) Definition Aufbau VPN-Konzepte VPN-Gateway VPN-Client Anwendungsformen und Kriterien Beispiel: OpenVPN 62

63 Virtual Private Network Definition (1/2)»Virtual«aus Anwendersicht handelt es sich scheinbar um nur»ein«netzwerk, auch wenn sich viele reale Teilnetzwerke hinter»einem«vpn verbergen»private«die Kommunikation wird vertrauenswürdig also nicht öffentlich durchgeführt und das Risiko eines Schadens bei der Übertragung minimiert»network«eine definierte Gruppe von Rechnersystemen wird miteinander verbunden und mit Hilfe eines Protokolls (typischerweise ist das die TCP/IP- Protokollfamilie) wird kommuniziert 63

64 Virtual Private Network Definition (2/2) Ein VPN versucht, private und öffentliche Netzwerke zu kombinieren, indem das öffentliche Netzwerk als Trägernetzwerk für die private Kommunikation benutzt wird. Begriff VPN ist leider sehr unscharf geworden: Oftmals wird auch Sicherheit hinsichtlich Vertraulichkeit oder Integrität von übertragener Information VPN zugeschrieben. Dies ist nicht der Fall. VPN muss als Sicherheit nur dafür sorgen das Datenpakete nicht zum falschen Empfänger geleitet werden und umgekehrt Außerdem muss es für die Einhaltung der vorher bestimmten Wege sorgen. 64

65 Virtual Private Network Analogien 65

66 Virtual Private Network Aufbau von VPNs (1/2) Grundsätzliche Idee offene Kommunikationsinfrastruktur z.b. Internet nutzen kostengünstig, weltweit verfügbar UND allen Bedrohungen und Risiken sinnvoll entgegenwirken 66

67 Virtual Private Network Aufbau von VPNs (2/2) Sicherheitsmechanismen von VPNs Verschlüsselung (schützt Vertraulichkeit) Authentikation (gewährleistet Eindeutigkeit des Benutzers) MAC-Funktionen (sorgen für die Unversehrtheit der Daten) Tunneling (verschleiert Datentransfer) Firewalling (schützt Netzwerkressourcen) 67

68 Virtual Private Network Konzept: VPN-Gateway 68

69 Virtual Private Network Konzept: Vorteile eines VPN-Gateway Unabhängigkeit von Workstations (z.b. PCs, UNIX-Systeme, Host-Rechner) und deren Betriebssystemen (z.b. Microsoft, LINUX, VMS) Erlaubt Einrichtung von Sicherheitsfunktionen zwischen Endsystemen, in die diese ansonsten nicht integriert werden könnten (z.b. Terminals) Verringert Aufwand: Bei heterogenen Systemen (z.b. unterschiedliche Hardware, Software, Betriebssysteme) kann immer das gleiche Gateway verwendet werden Gateways sind leichter»sicher«zu realisieren als spezielle Software- Lösungen in Rechnersystemen und sie sind immer ansprechbar. Die Sicherheitseinrichtungen sind hinsichtlich der Sicherheitsqualität unabhängig von anderen Systemkomponenten und Anwendungen. 69

70 Virtual Private Network Konzept: VPN-Gateway 70

71 Virtual Private Network Konzept: Vorteile eines VPN-Clients Der VPN-Client ist kostengünstiger als die VPN-Gateway-Lösung. Der VPN-Client bietet End-to-End-Sicherheit. Das bedeutet, dass nicht nur die Verbindung zwischen verschiedenen LAN- Segmenten nach außen hin abgeschottet wird, sondern auch jede einzelne Workstation (PC) gegenüber anderen. Eine»Person«kann authentisiert werden. 71

72 Virtual Private Network Anwendungsformen (1/4) Unternehmensweites VPN 72

73 Virtual Private Network Anwendungsformen (2/4) Sichere Remote-Ankopplung 73

74 Virtual Private Network Anwendungsformen (3/4) VPNs zwischen verschiedenen Unternehmen 74

75 Virtual Private Network Anwendungsformen (4/4) Kombination der Anwendungsformen 75

76 Virtual Private Network Technologien: IPSec und SSL-VPN IPSec Sicherheitsstandard und eine Erweiterung des IP-Protokolls, das speziell für VPN entwickelt wurde Sicherheitsfunktionen erfüllen die Anforderungen für VPNs Schutz der Pakete gegen Manipulation Verschlüsselung der Pakete Schutz vor Wiedereinspielung der Pakete Schutz vor Verkehrsflussanalyse Authentisierung der Kommunikationspartner (Gateways oder Nutzer) 76

77 Virtual Private Network Technologien: IPSec und SSL-VPN SSL-VPN nutzt das TLS-Protokoll zur Herstellung einer verschlüsselten Verbindung nutzt TLS, Transport Layer Security Protocol, zur Herstellung einer sicheren, verschlüsselten Verbindung Vorteil gegenüber IPSec: Einfache Konfiguration ermöglicht Zugriff auf Netzwerk und Applikationen für mobile Anwender Beispiel: die Open-Source Lösung OpenVPN ist eine bekannte Implementierung (Übung) Kostenfrei einsetzbar 77

78 Sicherheitsmaßnahmen Übersicht Organisatorisches Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 78

79 Sicherheitsmaßnahmen Übersicht Organisatorisches Komponentensicherheit Sichere Authentisierung Sicherer Fernzugriff Netzwerkabsicherung 79

80 Sicherheitsmaßnahmen Netzwerkabsicherung System- und Netzwerküberwachung Virenschutz (Client-/Server-Konzept) Firewalls IDS/IPS/IRS SIEM-Systeme Monitoring 80

81 Netzwerksicherheit im Handwerk 7 Fragen zur Beantwortung von Betrieben 1. Wer darf was? 2. Was passiert, wenn Hardware ausfällt? 3. Wer ist für Updates zuständig? 4. Was hat alles Internetzugriff? 5. Was ist aus dem Internet erreichbar? 6. Was passiert, wenn Daten verloren gehen? 7. Sind die Betriebsdaten sicher verwahrt? zur Diskussion 81

82 Netzwerksicherheit Übung 3 OpenVPN 1. Im Firefox auf gehen und externe IP-Adresse nachsehen 2. Auf der Konsole traceroute ausführen und anhand Hostnamen schauen, worüber Verkehr geht 3. OpenVPN gemäß Anleitung einrichten in Windows muss eine Konfigurationsdatei manuell bearbeitet werden 4. OpenVPN starten und mittels Webseite oben die jetzige externe IP- Adresse überprüfen 5. Mittels Traceroute die neuen Routen anschauen 82

83 Netzwerksicherheit Übung 4 (1/2) -Verschlüsselung mit PGP Jeder Teilnehmer startet Thunderbird und richtet einen Test-Account mit den ausgeteilten Daten ein, sodass er Mails empfangen und senden kann. Jeder Teilnehmer schickt seinem Nachbarn eine Mail und schaut die empfangene Mail im Quelltext an (ist alles im Klartext) Jeder generiert mittels Enigmail einen PGP-Schlüssel für seine - Adresse, während der Seminarleiter einige Dinge erklärt Die Nachbarn tauschen ihren öffentlichen PGP-Schlüssel aus (USB-Stick oder Shared-Laufwerk?) und importieren diesen in Enigmail 83

84 Netzwerksicherheit Übung 4 (2/2) Jeder Teilnehmer schickt seinem Nachbarn nun eine signierte Mail und schaut die empfangene Mail im Quelltext an immer noch Klartext, aber teilweise signiert Jeder Teilnehmer schickt seinem Nachbarn nun eine signierte und verschlüsselte Mail und schaut die empfangene Mail im Quelltext an verschlüsselt, aber z.b. Subject nicht Evtl. kann jeder Teilnehmer andere öffentliche Schlüssel noch signieren und damit vertrauen Schritt-für-Schritt-Anleitung als separater Foliensatz 84

85 Ergänzung: Ports mit Beschreibung Nr. Beschreibung 21 FTP (Datenübertragung und Dateiverwaltung ) 22 SSH ( Netzwerkverbindung) 25 SMTP ( -Versand via Mail Transfer Agent) 80 HTTP (Datenübertragung ) 110 POP3 ( -Übertragung) 143 IMAP (Mail-Management) Legende: nur unverschlüsselt generell verschlüsselt Eine Liste aller standardisierten Ports finden Sie z.b. unter: 85 Nr. Beschreibung 443 HTTPS ( Datenübertragung) 587 SMTP ( -Versand via Mail Submission Agent) 993 IMAPS ( Mail-Management) 995 POP3S ( -Übertragung) 3306 MYSQL (Datenbanksystem) 8080 HTTP alternativ (Datenübertragung )

86 Qualifizierungsseminar II für IT-Sicherheitsbotschafter Thema: Schwachstellen, Angriffsmöglichkeiten, Sicherheitsmaßnahmen Vielen Dank für Ihre Aufmerksamkeit. Fragen? Dominique Petersen Deborah Busch Institut für Internet-Sicherheit if(is) Westfälische Hochschule 86