Content Security. Jochen Schlichting IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Content Security

Transkript

1 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung jochen.schlichting@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1

2 Inhalt Einordnung Bedrohungen durch unerwünschte Inhalte Klassen von Malware Spam Aktive Inhalte Content Filterung bei und Webzugriffen Einsatz Ablauf Mechanismen Filterung und Schutz von sensitiven Informationen Ausblick Security Consulting GmbH, Karlsruhe Seite 2

3 Einordnung Security Consulting GmbH, Karlsruhe Seite 3

4 Einordnung beschäftigt sich mit Sicherheitsaspekten von einn- und ausgehenden Daten Erfassung, Analyse. Erkennung Verhinderung der Übertragung, Entfernung, Behebung... Übertragungswege U. a. Dateianhänge Webzugriffe U. a. Drive-by-Downloads Mobile und lokale Datenträger Sonstige Dateiübertragung Security Consulting GmbH, Karlsruhe Seite 4

5 Kritische Inhalte Malware Alias Malicious Code, Schadsoftware, bösartige Software, Computer-Viren,... Spam Alias Junk-Mail, Unsolicited Commercial , Unsolicited Bulk ,... Unerwünschte oder anstößige Inhalte Z. B. Rassismus, Pornographie, Belästigung, Mobbing,... Sensitive interne Informationen Unerwünschter Informationsabfluss Security Consulting GmbH, Karlsruhe Seite 5

6 Gefährdungen Empfang von kritischen Inhalten Gefährdung der eigenen IT-Infrastruktur Verlust von Daten Manipulation von Systemen Ausfall von Systemen Im Extremfall bis hin zur Gefährdung der Existenz der eigenen Organisation Minderung der Arbeitsproduktivität Betroffenheit und Frustration der eigenen Mitarbeiter Schadensersatzforderungen Versand von kritischen Inhalten Verlust von Geschäftsgeheimnissen Gefährdung von Geschäftspartnern, Kunden etc. Verstoß gegen Gesetze oder Rechtsvorschriften Schadensersatzforderungen, Imageverlust Security Consulting GmbH, Karlsruhe Seite 6

7 Problematik in der Praxis Quelle: Microsoft Security Intelligence Report, Volume 10, July through December 2010 Security Consulting GmbH, Karlsruhe Seite 7

8 Problematik in absoluten Zahlen Quelle: Microsoft Security Intelligence Report, Volume 10, July through December 2010 Security Consulting GmbH, Karlsruhe Seite 8

9 Bedrohungen durch unerwünschte nschte Inhalte Klassen von Malware Security Consulting GmbH, Karlsruhe Seite 9

10 Definition Computer-Virus Ein Computer-Virus ist eine nicht selbstständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. Eine nicht selbstständige Programmroutine bedeutet, dass der Virus ein Wirtsprogramm benötigt. Quelle: Security Consulting GmbH, Karlsruhe Seite 10

11 Grundelemente eines Computer- Virus Ausbreitungsteil Z. B. sich in den Bootblock eines eingelegten Datenträgers kopieren Z. B. sich selbst in eine nicht identifizierte Datei kopieren Z. B. sich selbst per an alle Adressbuchkontakte verschicken Auslöser für Schadfunktion (Trigger) Z. B. Zeitpunkt (Freitag, den 13.) Z. B. Benutzerverhalten (wenn der Benutzer eine bestimmte Datei öffnet) Z. B. Umgebung (wenn eine bestimmte Webseite online geht) Schadensroutine Z. B. Festplatte formatieren Z. B. Command&Control-Server des Angreifers im Internet kontaktieren (Rücksprung zum ursprünglichen Wirtsprogramm) Security Consulting GmbH, Karlsruhe Seite 11

12 Unterformen von Computer-Viren Datei-Viren Versteckt in Dateien mit ausführbaren Programmen Boot-Viren Versteckt im Boot-Block oder Boot-Lader auf der Festplatte Makro-Viren Versteckt im Daten-Dateien von Anwendungen mit Makro- Sprachbefehlen (typisch: Office-Makros) Stealth-Viren Mit besonderen Tarn-Mechanismen, ähnlich Rootkit-Funktionalität Polymorphe Viren Verändern bei gleicher Funktion von Infektion zu Infektion ihre Programmstruktur, um Entdeckung zu erschweren Oft in Kombination mit Verschlüsselung großer Teile des Viren- Codes Security Consulting GmbH, Karlsruhe Seite 12

13 Weitere Klassen von Malware Würmer Verbreitung aus eigener Kraft (selbst-replizierend) Unabhängig von einer Wirtsdatei Via oder über Schwachstellen anderer Netzwerkdienste Z. B. "SQL Slammer" Trojanische Pferde ( Trojaner ) Eigenständige Programme mit versteckten Schadfunktionen Rootkits Zur Verschleierung von Manipulationen im System Z. B. Unterdrückung der Anzeige von Schadcode-Prozessen Oft auch Einrichtung einer Hintertür ins System Sonderform: Hoax Kettenbrief mit Falschmeldung Verbreitung nicht selbständig, sondern über menschlichen Anwender Security Consulting GmbH, Karlsruhe Seite 13

14 Virus Hoax Virus Hoax Security Consulting GmbH, Karlsruhe Seite 14

15 Sober.c: : "Social Engineering" Wurm "Social Engineering" Wurm Security Consulting GmbH, Karlsruhe Seite 15

16 Weitere Klassen von Malware Datei-Viren Boot-Viren Makro-Viren Stealth-Viren Polymorphe Viren Würmer Trojaner Spyware Rootkits Hoax Diese Unterschiede spielen in der Praxis keine Rolle Security Consulting GmbH, Karlsruhe Seite 16

17 Malware in der Praxis Heute praktisch immer in Mischformen Kombination von Viren-, Wurm-, Trojaner- und Rootkit-Funktionalität Beispiel: Spam-Mail lockt Anwender auf eine manipulierte Webseite Drive-By-Infektion erfolgt über Schwachstelle im Browsers oder in einem Plugin oder einer Anwendung, die der Browser automatisch aufruft Z. B. PDF-Reader, Flash,... Payload der initialen Infektion ist ein Bootloader, der die Systemumgebung prüft und einen passenden Trojaner nachlädt Der Trojaner verankert sich mit Rootkit-Funktionalität im System und macht den befallenen Rechner zum Teil eines Bot-Netzes Über das Bot-Netz werden für Manipulationen anfällige Webserver gesucht und übernommen und Spam versendet Und so weiter und so fort... Abkürzungen PDF Portable Document Format Security Consulting GmbH, Karlsruhe Seite 17

18 Was ist Spam? Ein Nahrungsmittel Ein Sketch der Monty Pythons Massenpostings in den Usenet News, üblicherweise Werbung Unerwünscht empfangene s On the Junk Mail Problem (J. Postel, RFC 706, Nov. 1975!) UCE: Unsolicited Commercial UBE: Unsolicited Bulk Heute enthalten über 90% aller s Spam Abkürzungen RFC Request for Comment Quellen Antispam-Studie des BSI, 2005: Security Consulting GmbH, Karlsruhe Seite 18

19 Spam heute Spam als Geschäftsmodell Mit Spam lässt sich sehr viel Geld verdienen Wenige große Verursacher Spam zum Schnäppchenpreis Spam und Malware Spam selbst wird meist nicht zu Malware gerechnet Aber: starke Querbeziehungen zwischen Spam und Malware Spam ist (auch) Mittel für Phishing, Verbreitung von Malware etc. Botnetze sind (auch) Mittel zum Versand von Spam-Mails Technische Trends Greylisting funktioniert... noch Spammer setzen auf Einweg-IP-Adressen Gehackte Privat-PCs statt offene Relays Fast flux : Ändern der DNS-Einträge im Minutentakt Abkürzungen RFC Request for Comment Quellen Antispam-Studie des BSI, 2005: Security Consulting GmbH, Karlsruhe Seite 19

20 Warum bekomme ich Spam? Warum bekomme ich Spam? Security Consulting GmbH, Karlsruhe Seite 20

21 im WWW Malware und unerwünschte Inhalte per Webzugriff Ähnliche Problematik und ähnliche Mechanismen wie bei E- Mail, aber Zusätzlich aktive Inhalte (Java, ActiveX, Flash etc.) und Cookies Anwender wartet (inter-)aktiv auf Filter-Ergebnis Benutzerschnittstelle, z. B. Hinweise, Fortschrittsanzeige Grenzen verschwimmen HTML-formatierte s über Browser dargestellt Teilweise auch mit JavaScript etc. Inhalte erst beim Betrachten der via HTTP geladen Web-Mailer: Hintertür an SMTP-Gateways vorbei Im Unternehmen: z. B. Outlook Web Access oder inotes/domino Web Zugriff in der Regel geschützt über SSL/TLS Diverse Fre Provider Abkürzungen HTTP HyperText Transfer Protocol SMTP Simple Mail Transfer Protocol WWW World Wide Web Security Consulting GmbH, Karlsruhe Seite 21

22 Aktive Inhalte Ausführbare (aktive) Inhalte von WWW-Seiten oder s Werden auf Benutzerrechner ausgeführt, daher schwer zentral zu filtern Scriptsprachen (z. B. JavaScript, VBScript) Z. B. Script-Befehle direkt in HTML-Seite oder gar in URL <A HREF=" SRC=' Go to trusted.org</a> Herunterladbare Programmteile ( Mobile Code ) Java-Applets, ActiveX Controls Plug-Ins, Applikationen, z. B. Flash oder Videostreams Laden und Ausführen oft ohne Wissen des Benutzers Feststellung der Herkunft nicht ohne Weiteres möglich Nicht permanent auf System installiert Security Consulting GmbH, Karlsruhe Seite 22

23 Schutz gegen bösartige b Aktive Inhalte Schlechter Schutz gegen DoS auf lokalem System Sicherheitsmodelle Sandbox kontrolliert Zugriff auf System Vor allem: Java2 Standardeinstellung in Browser: keine Zugriffe JavaScript im Browser erlaubt keinen Dateizugriff ActiveX Controls haben vollen Zugriff Im kommerziellen Umfeld unbrauchbar (jenseits des Intranets) Probleme: Fehlerhaftes oder kein Sicherheitsmodell (z. B. ActiveX) Fehler in der Implementierung der Sicherheitsfunktionen Lösungsansatz: Digitale Signaturen Vor allem: Java2 Abkürzungen DoS Denial of Service Security Consulting GmbH, Karlsruhe Seite 23

24 Content Filterung bei E und Webzugriffen Einsatz Ablauf Mechanismen Security Consulting GmbH, Karlsruhe Seite 24

25 Ansätze zur Abwehr von Malware (Abschottung von Systemen) Lokale Viren -Scans Content-Filterung bei der Übertragung Gleichermaßen gegen Malware wie gegen Spam und Informationsabfluss (Verhaltensanalyse von unbekannter Software) (Awareness-Maßnahmen bei Mitarbeitern) Security Consulting GmbH, Karlsruhe Seite 25

26 Lokale Viren -Scans (Malware- Scans) On-Access-Scan Überprüfung bei Zugriff auf Dateien (lesend und/oder schreibend) On-Demand-Scan Regelmäßige Überprüfung sämtlicher Dateien Best Practice: Möglichst nicht abschaltbar! Zentrales Management der dezentralen Malware-Scanner Automatisches Update... der Malware-Signaturen... der Scan-Engine Security Consulting GmbH, Karlsruhe Seite 26

27 Malware-Scans Scans: : Generelle Problematik Es gibt keine 100%ig zuverlässige Scan-Methode Soweit möglich Scan-Software unterschiedlicher Hersteller einsetzen Reaktive Scans Basieren auf Malware-Signatur-Dateien Schutz (Erkennungsgüte) abhängig von Aktualität der Signatur-Dateien Hersteller müssen für jede neue oder entsprechend modifizierte Malware neue Signaturen bestimmen und verteilen Ansatz stößt zunehmend an seine Grenzen Proaktive Scans Heuristische Scans Können u. U. auch bisher nicht bekannte Malware erkennen Können daher aber auch vermehrt zu falsch-positiven Ergebnissen führen Erfordern mehr Ressourcen und Rechenzeit als Signatur-basierte Scans Abkürzungen URL Universal Resource Locator Security Consulting GmbH, Karlsruhe Seite 27

28 Wo Scannen und Filtern? Quelle: Security Consulting GmbH, Karlsruhe Seite 28

29 Mögliche Filterpunkte Es kann (und sollte) an unterschiedlichen Stellen gefiltert werden Soweit möglich Scan-Software unterschiedlicher Hersteller einsetzen Geeignet: alle Stellen, an denen Daten komplett vorliegen, z. B. Firewall Gateway, Proxy-Server, -Gateway etc. Zentrale Mail- und Fileserver Dezentrale PC-Arbeitsplätze Mobile Endgeräte Ungeeignet: alle Stellen, an denen Daten nicht unter Kontrolle sind oder nicht komplett vorliegen Jenseits des Unternehmensnetzes Netzwerkinfrastruktur (Router, Switches) Spam- und Malware-Filter nutzen sehr ähnliche Ansätze Häufig in einem Produkt kombiniert Security Consulting GmbH, Karlsruhe Seite 29

30 Genereller Ablauf der Filterung 1. Erfassung von Verbindungen und übertragenen Inhalten Eingehend oder ein- und ausgehend Mögliche Blockade beim Verbindungsaufbau: Black/White/Grey- Listing 2. Inhaltsanalyse und Dekomposition Mail-Header, HTTP-Header, MIME-Parts, Anhänge Entpacken von Archiven 3. Klassifikation Virenscan / Malwarescan Inhaltsfilterung In Deutschland in der Regel mitbestimmungspflichtig, Abstimmung mit Betriebs-/Personalrat erforderlich siehe Vortrag Recht Weitere Formen der Analyse 4. Aktion / Ereignis Markierung/Ergänzung, Quarantäne oder Löschung Abkürzungen MIME Multipart Internet Mail Extensions Security Consulting GmbH, Karlsruhe Seite 30

31 1. Erfassung Durch zentralen, transparenten Proxy Zwangsumleitung aller IP-Pakete durch Firewall / Paketfilter Für HTTP / SMTP, ggf. auch POP3, IMAP Durch Content-Filter als Mail-Relay Standardaufbau in Verbindung mit Firewall Firewall unterbindet direkten Mailtransfer Content-Filter im Internet als Mailserver sichtbar Auf zentralem Mailsystem Content-Filter / Virenscanner integriert in zentrale Mailserver Vorteil: auch rein interne Mails werden erfasst Nachteile: relative enge Integration in Mailsystem, ggf. Anpassungen bei Versionswechsel notwendig, zusätzliche Belastung des zentralen Mailsystems Abkürzungen IMAP Internet Message Access Protocol POP3 Post Office Protocol version 3 SMTP Simple Mail Transfer Protocol Security Consulting GmbH, Karlsruhe Seite 31

32 1. Erfassung Durch zentralen, transparenten Proxy Zwangsumleitung aller IP-Pakete durch Firewall / Paketfilter Für HTTP / SMTP, ggf. auch POP3, IMAP Durch Content-Filter als Mail-Relay Zentrale Filter sind unabdingbar Standardaufbau in Verbindung mit Firewall Firewall unterbindet direkten Mailtransfer Content-Filter im Internet als Mailserver sichtbar Auf zentralem Mailsystem Content-Filter / Virenscanner integriert in zentrale Mailserver Vorteil: auch rein interne Mails werden erfasst Nachteile: relative enge Integration in Mailsystem, ggf. Anpassungen bei Versionswechsel notwendig, zusätzliche Belastung des zentralen Mailsystems Abkürzungen IMAP Internet Message Access Protocol POP3 Post Office Protocol version 3 SMTP Simple Mail Transfer Protocol Security Consulting GmbH, Karlsruhe Seite 32

33 1. Black/White/Grey-Listing Online-Check der IP-Adresse beim Verbindungsaufbau Gegen eine Realtime Blacklist (RBL) Check bzgl. offener Proxies, Dial-up-Adressbereichen, etc. Hoher Pflegeaufwand! Wer pflegt RBLs? Gefahr von ungewollten Blockaden! Gegen eine Whitelist Nur Mailserver bekannter Unternehmen Hoher Pflegeaufwand, praktisch meist nicht durchsetzbar Greylisting Erzwungene Zeitverzögerung beim Sendeversuch als temporäre Blockade Keine Zuverlässigkeitsprobleme: Setzt lediglich vollständig SMTP-konformes Verhalten des Senders voraus bei Spam-Versand oft (noch) nicht der Fall Für den Administrator mit relativ geringem Aufwand konfigurierbar Kann in jeder der drei Formen den Mail-Server erheblich entlasten Abkürzungen IP Internet Protocol RBL Realtime Blackhole List SMTP Simple Mail Transfer Protocol Security Consulting GmbH, Karlsruhe Seite 33

34 2. Analyse der Header Auswerten aller (Mail) Headereinträge From, To, Cc, Subject, Date Mail-Adressen: To: Sehr leicht fälschbar Ungültige / gefälschte Host-/Domainnamen Ungültige / gefälschte Received-Zeilen Zeitzonen: (EST) IP-Adressen: Message-ID Maximale Anzahl an Empfängern MIME-Header-Felder (Nicht-) Vorhandensein bestimmter Header-Felder Vorsicht, um keine Mailinglisten auszusperren Abkürzungen Cc Carbon Copy EST Eastern Standard Time ID Identification IP Internet Protocol MIME Multipurpose Internet Mail Extensions Security Consulting GmbH, Karlsruhe Seite 34

35 2. Weitere Analyse und Dekomposition MIME-Parts Alternative Darstellung: Text und/oder HTML, RTF,... Anhänge S/MIME Verschlüsselung und/oder Signatur Beliebige Schachtelung möglich Dateiformate angehängter Dateien Anhand von Datei-Endung, MIME-Typ und/oder Formatprüfung Für den Administrator mit relativ geringem Aufwand konfigurierbar Archiv- und Containerformate Z. B. ZIP, RAR, TAR, CAB, JAR,... Rekursives Entpacken notwendig Kompressionsbomben sprengen Speicherplatz Rekursionsbomben entpacken unendlich oft sich zu sich selbst Abkürzungen CAB Cabinet HTML HyperText Markup Language JAR Java Archive MIME Multipurpose Internet Mail Extensions RAR (Eugene) Roshal's Archiver RTF Rich Text Format S/MIME Secure MIME TAR Tape Archive Security Consulting GmbH, Karlsruhe Seite 35

36 3. Textanalyse: Inhaltsfilterung Lexikalische Analyse / Schlüsselwörter / Muster-Suche Scannen nach bestimmten Schlüsselwörtern oder Textpassagen...impr0ve your s.x life... Für den Administrator mit relativ geringem Aufwand konfigurierbar Schnelle Eingreifmöglichkeit bei neuen Würmern Missbrauchsmöglichkeiten liegen auf der Hand Scannen nach bestimmten URLs URLs, von denen Inhalt nachgeladen werden soll Kann ggf. mit lexikalischer Analyse mit erledigt werden Scannen nach bestimmten (HTML-) Formatierungen Z. B. nur Grossbuchstaben, viele Bilder, etc. Relativ hohe Fehlerrate, schwierige eindeutige Klassifizierung Individuelle Filter? Security Consulting GmbH, Karlsruhe Seite 36

37 3. Textanalyse: Bayes Filter Statistisches Verfahren zur Spam-Klassifikation Geht zurück auf den Satz von Bayes über bedingte Wahrscheinlichkeiten Wie hoch ist die Wahrscheinlichkeit, dass eine eingehende Spam ist, wenn sie eine bestimmte Wortkombination enthält? Bewertet anhand zuvor empfangener s ( Training des Filters) Benötigt gewisse Mindestanzahl von vorklassifizierten Spam- und Nicht-Spam-Mails Kann bei jeder neu klassifizierten Mail weiter lernen Häufig mit Scoring-Verfahren kombiniert Besonders, um falsch-positive Ergebnisse zu reduzieren Unscharfe Prüfsummen des Inhalts ( fuzzy checksums ) Gewichteter Anteil des Bayes-Filters Gewichteter Anteil weiterer Filtermethoden Gewichtung und Schwellwert können individuell variiert werden Security Consulting GmbH, Karlsruhe Seite 37

38 3. Weitere Analysekriterien Typ von Dateianhängen Besonderes Augenmerk auf ausführbaren Dateitypen Problem: Was ist alles ausführbar (.cmd,.scr,.pif,...)? Multimedia lässt Grenzen verschwimmen Skript-Code in HTML-Dateien, Flash-Dateien, PDF-Dateien... Anzahl und Größe von Dateianhängen Kompletter HTTP-Strom (WAF) Virenscan / Malwarescan Zahlreiche Tools verfügbar Z. B. SpamAssassin mit diversen Plug-Ins Abkürzungen HTML HyperText Markup Language Security Consulting GmbH, Karlsruhe Seite 38

39 4. Aktion / Ereignis Behandlung der geprüften je nach Ergebnis der Klassifikation Ggf. Modifikation der geprüften Entfernung von Viren Disclaimer anfügen (von zweifelhaftem Nutzen) Markierung für lokale Filterung Subject-Tag (z. B. [VIRUS FOUND] Originalbetreff ) Erweiterte Header-Felder (z. B. X-infected: yes ) Zurückweisen, Weiterleiten, Quarantäne oder Löschen Rechtlichen Rahmen beachten Benachrichtigungsmails Erfordern genaue Planung An Absender, Empfänger und/oder Administratoren Sollte nicht selbst in Spam ausarten Security Consulting GmbH, Karlsruhe Seite 39

40 Beispiel: SpamAssassin From: To: Subject: **SPAM** =?ISO JP?B?NDAbJEI6UDBKPmUkRz80JGI/SEJOJGJMfiRkJDUkbCQ/JCRKfSRPGyhC?= =?ISO JP?B?WxskQkx+JGQkNzJIGyhCXRskQiRYJCoxWyQ3MjwkNSQkISMbKEI=?= Date: Mon, 11 Aug :04: [...] X-Spam-Prev-Subject: =?ISO JP?B?NDAbJEI6UDBKPmUkRz80JGI/SEJOJGJMfiRkJDUkbCQ/JCRKfSRPGyhC?= =?ISO JP?B?WxskQkx+JGQkNzJIGyhCXRskQiRYJCoxWyQ3MjwkNSQkISMbKEI=?= X-Spam-Flag: YES X-Spam-Checker-Version: SpamAssassin ( ) on connect.secorvo.de X-Spam-Level: ****** X-Spam-Status: Yes, score=7.0 required=2.9 tests=date_in_past_06_12, FORGED_MUA_OUTLOOK,FORGED_YAHOO_RCVD,FROM_ENDS_IN_NUMS,NO_REAL_NAME, PLING_QUERY autolearn=no version=3.0.4 X-Spam-Report: * 0.2 NO_REAL_NAME From: does not include a real name * 0.5 FROM_ENDS_IN_NUMS From: ends in numbers * 0.9 PLING_QUERY Subject has exclamation mark and question mark * 0.2 DATE_IN_PAST_06_12 Date: is 6 to 12 hours before Received: date * 2.2 FORGED_YAHOO_RCVD 'From' yahoo.com does not match 'Received' headers * 3.0 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook [...] Security Consulting GmbH, Karlsruhe Seite 40

41 Filterung und Schutz von sensitiven Informationen Security Consulting GmbH, Karlsruhe Seite 41

42 Content-Filter und Verschlüsselung sselung Unternehmens-Netz???...teile ich Ihnen mit... Arbeitsplatz-PC Q a$tlk %3ß9 8ü95??? a$tlk %3ß9 8ü95 "Internet" a$tlk %3ß9 8ü95 Zentrale Content-Filterung und Ende-zu-Ende Verschlüsselung sind unverträgliche Mechanismen Eingehend wie ausgehend Security Consulting GmbH, Karlsruhe Seite 42

43 Content-Filter und Verschlüsselung sselung Grundsätzlicher Lösungsansatz: Content-Filter beim Endpunkt der verschlüsselten Kommunikation Bei Priorität Ende-zu-Ende Verschlüsselung Dezentrales Content-Filtering und dezentraler Content-Scan Bei Priorität zentraler Content-Filter Zentrales Verschlüsselungs-Gateway kombiniert mit zentralem Content-Filter Zusatznutzen: Vereinfacht Vertretung und Delegation, Message Recovery Kann Ende-zu-Ende Verschlüsselung nicht in allen Fällen ersetzen Ansätze zum Unterbrechen einer Ende-zu-Ende-Verschlüsselung Umverschlüsseln an zentralem -Verschlüsselungs-Gateway SSL-Breaker für HTTPS-geschützte Webzugriffe Unterstützen i. d. R. keine SSL/TLS-Client-Authentifikation Erfordert Zugriff auf Schlüssel und Vertrauenskonfig. der Anwender Sicherheitstechnische und rechtliche Konsequenzen beachten! Abkürzungen HTTPS Secure HyperText Transfer Protocol SSL Secure Socket Layer TLS Transport Layer Security Security Consulting GmbH, Karlsruhe Seite 43

44 Ausblick Security Consulting GmbH, Karlsruhe Seite 44

45 Ausblick Filtern ist nicht trivial Es muss zentral und dezentral gefiltert werden Filtern von s reicht nicht aus Produkte aus verschiedenen Richtungen wachsen durch Erweiterungen zusammen Content-Filter klassisch als Unterfunktion einer Firewall Viele unterschiedliche Protokolle sind zu filtern Web Application Firewalls (WAF) nehmen an Bedeutung zu Data Leakage Prevention (DLP) als Zukunft der? Neue (und alte) Herausforderungen Nadelöhreigenschaft Skalierbarkeit, Hochverfügbarkeit Rechtliche Rahmenbedingungen beachten Vorsicht beim Blockieren Abkürzungen DLP Data Leakage Prevention, Dats Loss Prevention WAF Web Application Firewall Security Consulting GmbH, Karlsruhe Seite 45

46 Security Consulting GmbH, Karlsruhe Seite 46