Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum

Transkript

1 Regelwerk für die Planung und Konzipierung sicherer Datennetze Dr. Herbert Blum 12. Deutscher IT-Sicherheitskongress Bonn,

2 7 Anwendung 6 Darstellung 5 Sitzung Anwendung Datensicherheit in Netzen 3 Vermittlung 2 Verbindung 1 Bitübertragung Transport 4 Transport Schutzmechanismen auf Anwendungsebene Firewalls Schutz vor Malware Intrusion Detection Kryptographie (Verschlüsselung, Signatur) Schutzmechanismen auf Transportebene Netzsegmentierung (VLANs) Authentifizierung (IEEE 802.1x) Überwachung der MAC/IP-Bindung MAC- und IP-ACL-Listen... Folie 2

3 Beispiel für Angriff auf Transportebene: ARP-Spoofing Folie 3

4 Mögliche Gegenmaßnahmen VLAN-Management Durch Segmentierung des Netzes wird verhindert, dass ein Rechner aus der falschen Arbeitsgruppe den Datenstrom auf sich umlenkt Bietet umso höheren Schutz, je feiner die Segmentierung Begrenzender Faktor: Port-Zahl des Switches (1 VLAN pro Port) Problem: VLAN-Management bei Geräten versch. Hersteller Überwachung der MAC-IP-Zuordnung Verhindert, dass eine MAC-Adresse unter zwei verschiedenen IP-Adressen auftritt Problem: viele Switches beherrschen keine dynamische ARPInspection Folie 4

5 Grundlegende Fragestellungen Welchen Bedrohungen sind Netzwerke ausgesetzt? Welche Maßnahmen wirken diesen Bedrohungen entgegen? Welche Anforderungen müssen Netzelemente erfüllen, um in Szenarien mit definiertem Schutzbedarf eingesetzt werden zu können? Folie 5

6 Regelwerk als HTML-Anwendung Folie 6

7 Gefährdungen der Netzintegrität auf Transportebene ARP-relevante Angriffe (z.b. ARP-Spoofing) MAC-relevante Angriffe (z.b.: MAC-Flooding und -Spoofing) VLAN-Angriffe (z.b. VLAN-Hopping) Missbrauch des Spanning-Tree-Protokolls (STP) (z.b. Umleitung des Datenverkehrs durch unberechtigtes Übernehmen der Root-Bridge-Funktion) IP-relevante Angriffe (z.b. IP-Spoofing, Manipulation der IPHeader) Missbrauch des Internet Control Message Protocolls (ICMP) (z.b. Man-in-the-Middle-Attacke durch ICMP-Route Redirect) Folie 7

8 Ausschnitt aus der Bedrohungsmatrix Gefährdung: ARP-Spoofing Folie 8

9 Netzwerkszenarien Bedrohung von Netzkomponenten abhängig von: Typ und Funktion des Gerätes und Einsatzort im Netz Beispiel: Unterschiedliche Bedrohungen eines Switches im Edge-Bereich (mit angeschlossenen Endgeräten) im Backbone (physikalischem Zugriff der Nutzer weitgehend entzogen) Konkrete Betrachtung zweier Netzwerkszenarien: Hausnetz (kleine und mittlere Organisationen) Campusnetz (größere Organisationen) Folie 9

10 Szenario 1: Hausnetz einer kleineren/mittleren Organisation Folie 10

11 Szenario 2: Campusnetz einer größeren Organisation Folie 11

12 Funktionale Auswahlkriterien Aus den Netzwerkszenarien ergibt sich folgende Auswahl zu betrachtender aktiver Netzwerkelemente: Medienkonverter LWL-Ethernet auf Kupfer-Ethernet Wellenlängenmultiplexer (WDM) Layer-2 Ethernet-Switches Layer-3 Ethernet-Switches/Router Kategorisierung der funktionalen Auswahlkriterien nach Netzwerktyp: Hausnetz (kleinere oder mittlere Organisation) Campusnetz (größere Organisation) sowie Einsatzort: Primärbereich (Backbone, Wurzel der Baumtopologie) Sekundärbereich (vertikale Stockwerkverteiler) Tertiär- oder Edge-Bereich (horizontale Etagenverteiler) Folie 12

13 Tabelle der funktionalen Anforderungen Folie 13

14 Bewertung der Funktionalitäten Die Bewertung der Gerätefunktionen erfolgt in der Tabelle nach den Kategorien: notwendig (d.h. unverzichtbar) wünschenswert (d.h. hilfreich aber nicht unverzichtbar; Funktionalität ggf. durch andere Maßnahmen ersetzbar) nicht relevant (d.h Funktion spielt im betrachteten Einsatzszenario keine Rolle) Ergebnis der Bewertung nach Gerätefunktionalitäten: Einschränkung der Vielzahl von Typen, Herstellern und Modellreihen auf die für das spezielle Einsatzszenario funktional geeigneten Geräte als Grundlage der anschließenden Sicherheitsbewertung. Folie 14

15 Sicherheitskriterien Bewertung der gemäß Einsatzszenario funktional geeigneten Geräte hinsichtlich ihrer speziellen Sicherheitseigenschaften. Kategorisierung hinsichtlich ihrer Eignung zum Einsatz in Netzen bzw. Netzsegmenten der Schutzbedarfsklassen normal, hoch und sehr hoch. Bezogen auf ein Unternehmensnetz könnten sich diese Kategorien auf folgende Arten von Daten beziehen: normal: z.b. Auftragsabwicklung, Korrespondenz hoch: z.b. Personaldaten, Buchhaltung sehr hoch: z.b. streng vertrauliche Entwicklungsdaten Weitere Differenzierung der Sicherheitseigenschaften hinsichtlich ihrer Relevanz bzgl. der Sicherheitsziele: Vertraulichkeit Integrität Verfügbarkeit Folie 15

16 Kriterienkatalog: Sicherheitsfunktionen geordnet nach Netzwerkprotokollen Folie 16

17 Kriterienkatalog: Sicherheitseigenschaften von Netzwerkelementen Folie 17

18 Kategorisierung der Sicherheitsfunktionen Die im Kriterienkatalog verwendeten Symbole kategorisieren die Sicherheitsfunktionen der Netzwerkelemente gemäß folgendem Schema: ++: notwendig, d.h. unverzichtbar +: hilfreich, d.h. das Sicherheitsziel unterstützend, kann jedoch auch durch andere Sicherheitsmaßnahmen (z.b. organisatorischer Art) ersetzt werden o: neutral, d.h. das Sicherheitsziel weder unterstützend noch ihm entgegenwirkend - : diese Funktionalität hätte negative Auswirkungen auf das Schutzziel Folie 18

19 Anwendung des Regelwerkes bei der Planung von Datennetzen 1. Schutzbedarfsanlyse: Erhebung des Schutzbedarfs der im Netz oder in verschiedenen Netzsegmenten verarbeiteten Daten 2. Bedrohungsanalyse: an Hand der Bedrohungsmatrix Identifizierung von Gefährdungen der Netzsicherheit, insbesondere in Bezug auf das vorliegende Netzwerkszenario 3. Funktionale Vorauswahl: mit Hilfe der funktionalen Auswahlkriterien Festlegung der notwendigen Geräteeigenschaften unter den Gesichtspunkten Einsatzszenario Einsatzort (z.b. hohe Performanz im Backbone-Bereich) Einsatzort-spezifische Bedrohungen (z.b. Spanning-Tree im Edge-Bereich) 4. Klassifizierung nach Schutzniveau: auf Grundlage des Kriterienkatalogs für die Sicherheitsmerkmale und dem im 1. Schritt ermittelten Schutzbedarf Festlegung der geeigneten Netzkomponenten aus der in Schritt 3 getroffenen Vorauswahl Folie 19

20 Planungs- und Revisionstool für Datennetze als Java-Anwendung Regelwerk für sichere Datennetze als Java-Applikation präsentiert von Christian Eichinger (FH Oberösterreich): Postersession, Mittwoch, den , 18:30 Uhr Folie 20

21 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Herbert Blum Godesberger Allee D Bonn Telefon: +49 (0) Fax: +49(0) Folie 21