Erfahrungen in der Netzwerksicherheit. Torsten Krüger Lead Security Consultant

Transkript

1 Erfahrungen in der Netzwerksicherheit Torsten Krüger Lead Security Consultant

2 Inhalt des Vortrages Informationssicherheit / Datenschutz Durchsetzung von Sicherheit Ansprüche und Wirklichkeit Beispiele für Optimierung von Sicherheit 12/19/2006 Seite 2

3 Datenschutz und Informationssicherheit Datenschutz betrifft den Schutz personenbezogener Daten Informationssicherheit betrifft den Schutz wichtiger Unternehmensinterner Informationen Organisatorische und technische Maßnahmen, die der Informationssicherheit dienen, dienen gleichzeitig auch dem Datenschutz. Unternehmenssicherheit betrifft den Schutz von Personen und Objekten. 12/19/2006 Seite 3

4 Zuständigkeiten Serveradministration Betriebsrat Management Datenschutzbeauftragter Sicherheitsbeauftragter Netzadministration 12/19/2006 Seite 4

5 12/19/2006 Seite 5 Grundlegende Themenkomplexe bei Sicherheitsprojekten Organisatorische Themen Technische Themen Risikomanagement Risikomanagement Applikationen Applikationen Infrastruktur Infrastruktur Datensicherung Datensicherung Notfallvorsorge Notfallvorsorge Personal Personal Server Server Clients Clients Netzwerke Netzwerke Telekommunikation Telekommunikation Weitere Module Weitere Module IS Organisation IS Organisation Intranet, Firewall, Internet Intranet, Firewall, Internet Sicherheit = Integrität + Authentisierung + Vertraulichkeit + Verfügbarkeit

6 Angemessenheit hoch Funktionalität Sicherheit erweitert Basis gering minimal 12/19/2006 Seite 6

7 Gängige Standards für eine Security Policy (1) Der British Standard BS 7799 befasst sich hauptsächlich mit dem Aufbau eines IT-Sicherheitsmanagements und seiner Verankerung in der Organisation. BS 7799 BS 7799 Part II BS7799 BS Leitfaden zum Management von Informationssicherheit (ISO 17799) Sicherheitspolitik Organisation der Sicherheit Einstufung und Kontrolle der Werte Personelle Sicherheit Physische und umgebungsbezogene Sicherheit Management der Kommunikation und des Betriebs Zugangskontrolle zu Systemen Systementwicklung und Wartung Management des kontinuierlichen Geschäftsbetriebs Einhaltung der Verpflichtungen BS Spezifikation für Informationssicherheits-Managementsysteme (ISMS) Anwendung, Implementation und konkrete Umsetzung des Standards im Unternehmen. Grundlage für eine Zertifizierung Teil 2 wurde von der ISO noch nicht übernommen. 12/19/2006 Seite 7

8 Gängige Standards für eine Security Policy (2) Das IT-Grundschutzhandbuch beschreibt detailliert Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT-System zu beachten sind. Es umfasst: Standardsicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf, eine Darstellung der pauschal angenommenen Gefährdungslage, ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe, eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen IT-Sicherheitsniveaus und eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs. Quelle: BSI (Bundesamt für Sicherheit in der Informationstechnik) 12/19/2006 Seite 8

9 Anspruch und Wirklichkeit (1) Anspruch: Systemunabhängigkeit, oder doch nicht ganz...?! Weitgehende Unabhängigkeit von den Rechnersystemen, solange der Verkehr auf TCP/IP basiert. Wirklichkeit Viele Angriffe zielen jedoch auf herstellerspezifische Implementierung des TCP/IP Stacks oder auf systemspezifische Dienste. Abhängigkeit von verwendeten Netzwerkkomponenten: Komponenten müssen Abhör- und Analysefunktionen unterstützen 12/19/2006 Seite 9

10 Anspruch und Wirklichkeit (2) Anspruch: Zentrale Installation Einige wenige Sicherheitssysteme an zentralen Stellen im Netzwerk genügen, den wesentlichen Netzverkehr zu überwachen. Keine explizite Identifizierung der schützenswerten Systeme notwendig. Wirklichkeit: Vor allem in stark segmentierten Netzwerken ist das Finden dieser Stellen extrem schwierig, manchmal sogar unmöglich. 12/19/2006 Seite 10

11 Anspruch und Wirklichkeit (3) Anspruch: Eindeutige Erkennung Bekannte Signaturen werden zwar erkannt, problematisch ist oft die Interpretation, also die Unterscheidung zwischen normaler Dienstanfrage und einem Angriff. (False Positives, False Negatives) Wirklichkeit: Unterlaufen der Signaturerkennung durch Ausnutzung verschiedener Protokollimplementierungen oder durch andere Angriffe gegen das Sicherheitssystem, wie z.b. Erzeugen hoher Netzlast. 12/19/2006 Seite 11

12 Anspruch und Wirklichkeit (4) Anspruch: Echtzeitfähigkeit Alarmmeldungen innerhalb weniger Sekundenbruchteile Wirklichkeit: Kapazitätsgrenze bei der Auswertung ist oft schnell erreicht. Pakete werden dann ungeprüft durchgelassen. Weder Zeit noch Kapazität, um Pakete zu archivieren und Mustererkennung über längere Zeiträume durchzuführen. 12/19/2006 Seite 12

13 Qualitätsmerkmale von Sicherheitssystemen im Netzwerk Wissensvorsprung bei Schwachstellen z.b. (ISS X-Force) Integrationsmöglichkeiten in bestehende Management-Systeme Beweissicherung relevanter Events Integration von sonstigen IT-Systemen Angriffsbekämpfung, Logging (Erkennung) Vorfallsbehandlung (Forensische Analyse) Komplexität bei der Implementierung, Pflege, Wartung und Betrieb Lastverteilung / Skalierung Rollenkonzepte 12/19/2006 Seite 13

14 Beispiel: - Technologie Erhöhung des Nutzens von Intrusion Detection...sucht nach Schwachstellen im Netz und füllt Datenbank Scanner Datenbank...ist Rechner verwundbar für diesen Angriff??? Korrelationsmodul Verschiedene Arten der Alarmierung (IDS) und Reaktionen (IPS) möglich mit wenig Fehlalarmen IDS-Sensor...IDS Sensor erkennt Angriffe IDS = Intrusion Detection System IPS = Intrusion Prevention System 12/19/2006 Seite 14

15 Beispiel: Technologie Virtualisierung von Servern z.b. Solaris TM 10 Operating Environment Sicherheit mit Virtualisierung => optimales Recovery, Spezielles VM - Hardening möglich from: 12/19/2006 Seite 15

16 Fazit zur 100 % Sicherheit Man ist stets bemüht sich sicher aufzustellen jedoch erwischt es einen immer von hinten. Beispiele: Default-Passwörter (Netzwerk) End to End Kryptografie (Viren) Parallelbetrieb bei Authentifizierung (Zugangsschutz) Demotivierte Mitarbeiter (Social Hacking) SSO = Cookie Diebstahl (Vereinfachungsproblem) Vorfall erkann = Was nun? (Eskalation) 12/19/2006 Seite 16

17 You can t buy Security! You must build it! Vielen Dank für f r Ihre Aufmerksamkeit! Torsten Krüger 12/19/2006 Seite 17