Deutsches Forschungsnetz

Transkript

1 Deutsches Forschungsnetz

2 IT-Sicherheit in Hochschulrechenzentren - Aktuelle Neuigkeiten & Blick in die (nahe) Zukunft - Marcus Pattloch (sicherheit@dfn.de) ZKI Herbsttagung Ilmenau

3 Inhalt Teil 1: Sicherheit im D-Grid Teil 2: Neue CERT-Dienstleistungen Teil 3: Die neue DFN-PKI Dienstleistung Teil 4: Vorführung der neuen DFN-PKI Teil 5: Zusammenfassung Seite 3

4 Teil 1 Sicherheit im D-Grid Seite 4

5 Sicherheit im D-Grid (1) Entwicklung und Einsatz von Firewallkonzepten in Grid-Umgebungen Firewalls in Hochgeschwindigkeitsnetzen (Durchsatzraten im Bereich mehrerer Gbit/s) automatisch im laufenden Betrieb konfigurierbare Firewalls Konfiguration auf Basis von Zertifikaten (AAI) Seite 5

6 Sicherheit im D-Grid (2) Grid-spezifische CERT-Dienste Computer Notfallteams im normalen Internet seit Jahren etabliert Aber: neue Themen in Grids spezielle Grid-Anwendungen Grid-Middleware (Globus, UNICORE,...) Betriebssysteme Ziel: CERT-Dienstleistungen um Gridspezifische Anforderungen ergänzen Seite 6

7 Sicherheit im D-Grid (3) Aufbau einer AA-Infrastruktur im D-Grid Authentifizierung (A1) vs. Autorisierung (A2) A1: globale (!) Bestätigung der Identität, z.b. von Nutzern, Rechnern, Diensten, Daten A2 : lokale (!) Steuerung der Zugriffs auf Ressourcen Ausstellung von Zertifikaten für das D-Grid fast alle Grid-Anwendungen benötigen Zertifikate Grid-Zertifikate ausschließlich im Rahmen der EUGridPMA (in DE: zwei Dienstleister FZK, DFN) Aufsetzen von Grid-RAs einheitliche Schnittstelle zur einfachen Beantragung von Zertifikaten im D-Grid Seite 7

8 Teil 2 Neue CERT-Dienstleistungen Seite 8

9 Aufgaben eines Notfallteams Prävention Advisories, Alarmmeldungen, Risikoanalyse Schwachstellenanalyse, Intrusion Detection Schulung und Ausbildung im Security Bereich Ansprechpartner Sicherheitsfragen Reaktion Incident Response Support Aufarbeitung und Auswertung von Vorfällen Koordination der Bewältigung Zusammenarbeit mit anderen Notfallteams

10 Reaktion: Was wird gemeldet? Beispiele von typischen Vorfällen Anwender meldet kompromittierten Server mit sichergestelltem Material (Artefakte) ein anderes CERT meldet ein kompromittiertes System im Verantwortungsbereich Portscan-Meldungen (automatisiert und manuell) Viren- und Proxy-Meldungen (automatisiert) Anfragen von Strafverfolgungsbehörden

11 Trends 1: Angreiferwissen

12 Trends 2: Zeitfenster Automatisierte Schwachstellensuche und - ausnutzung (Exploits) Weniger Zeit für Systemverwalter

13 Trends 3: Hacken gegen Geld Entstehen einer Untergrund-Ökonomie Malware-Entwicklung gegen Geld (Exploits) Spam Verteilung gegen Geld (via Botnet) DDoS Angriffe gegen Geld (via Botnet) Einstieg der organisierten Kriminalität 1. Halbjahr 2004: Schutzgelderpressung mittels DDoS gegen Online-Wettbüros

14 Zukunft von CERTs Reaktiv Präventiv Manuell Automatisch Bearbeitung von Vorfällen Frühwarnung, IDS / IPS Advisories, Patches Audits, Penetration Tests, NBHW Alle Dienste auf Basis einer gemeinsamen Datenbasis Seite 14

15 Aufgaben der Rechenzentren lokaler Ansprechpartner für Sicherheit (Rolle) Patchmanagement u.a. auf Basis der CERT Advisories enge, frühzeitige Zusammenarbeit bei Vorfällen Nur in enger Zusammenarbeit mit den Rechenzentren sind CERTs stark! Seite 15

16 Teil 3 Die neue DFN-PKI Dienstleistung Seite 16

17 Zertifikate im DFN Zertifikat = digitaler Ausweis vielfältige Anwendungen von Zertifikaten Zertifizierungsstelle im DFN seit 1996 fortgeschrittene X.509 Zertifikate / PGP derzeit Erweiterung der Dienstleistung Synergie für Anwender, die bereits eine eigene Struktur betreiben Einstieg wird für kleine Anwender deutlich vereinfacht Pilotierung läuft erfolgreich! Seite 17

18 üblicher Aufwand Aufwand für Zertifkatausgabe Anzahl ausgegebener Zertifikate Seite 18

19 Das Konzept - Trennung der Aufgaben Registrierungsstelle administrative Arbeiten verbleibt in der Hochschule vergleichbar einer Meldestelle Zertifizierungsstelle technisch aufwändige Arbeiten kann an DFN ausgelagert werden vergleichbar der Bundesdruckerei Seite 19

20 Aufwand mit Auslagerung Aufwand der Hochschule Aufwand für Zertifkatausgabe ausgelagerter Aufwand (DFN) Anzahl ausgegebener Zertifikate Seite 20

21 Teil 4 Vorführung der neuen DFN-PKI Seite 21

22 Schritt 1 Nutzer beantragt Zertifikat Seite 22

23 Seite 23

24 Seite 24

25 Seite 25

26 Seite 26

27 Seite 27

28 Schritt 2 Registrierungsstelle (RA) Seite 28

29 Seite 29

30 Seite 30

31 Seite 31

32 Seite 32

33 Schritt 3 Nutzer erhält sein Zertifikat Seite 33

34 Seite 34

35 Seite 35

36 Seite 36

37 Vorteile DFN-PKI Dienst hohe Qualität / Sicherheit Auslagerung der CA möglich keine eigene Technik erforderlich, weder Hardware noch Software - nur ein Standard-Browser lokaler Aufwand wird deutlich reduziert Webschnittstelle kann nach Anforderungen der Anwender angepasst werden Entgelt im DFNInternet enthalten Regelbetrieb ab mit Übergang auf das X-WiN ( Seite 37

38 DFN-Test-PKI Prozesse können geübt werden DFN-Test-PKI steht allen Anwendern ab sofort zur Verfügung Regelbetrieb ab mit Übergang auf das X-WiN Bei Interesse Zugangskennung unter: Seite 38

39 Teil 5 Zusammenfassung Seite 39

40 Zusammenfassung Erweiterung der DFN-Dienstleistungen Abstimmung mit und Ausrichtung auf Bedarf der Hochschulen (Rechenzentren) DFN-Test-PKI steht allen Anwendern ab sofort zur Verfügung, bei Interesse Mail an: Seite 40