Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Firewalls

Transkript

1 TU Braunschweig Institut für Betriebssysteme und Rechnerverbund Sicherheit in Netzen und verteilten Systemen Kapitel 7: Verfügbarkeit und Zugangskontrolle Wintersemester 2002/2003 Überblick Firewalls Zweck Komponenten Konfigurationen Andere Zugriffschutzmechanismen Intrusion Detection Systems Lösungen für Telearbeitsplatze Virtual Private Networks Datensicherheit bei mobilen Geräten 7-2 Firewalls Vergleich mit Burgtor / Burggraben einer mittelalterlichen Burg: Erlaubt Eintritt nur an bestimmter Stelle Verhindert, dass Angreifer an weitere Verteidigungsanlagen herankommt Sorgt dafür, dass System nur an einem bewachten Punkt verlassen werden kann Grenze zwischen unsicherem und vertrauenswürdigem Netz Meist: zwischen Internet und 7-3

2 Firewalls - Aufgaben Durchlass von akzeptablem Netzverkehr Verkehr ist akzeptabel, wenn er der Sicherheitspolitik des Betreibers genügt Die Sicherheitspolitik ist eine Menge von Filterregeln Je mehr Möglichkeiten die Angabe von Filterregeln bietet, desto feiner kann Netzverkehr beschrieben und unterschieden werden Aber: desto schwieriger wird es auch, unerwünschten Verkehr garantiert zu beschränken 7-4 Was ein Firewall kann... Den Datenverkehr analysieren, z.b. Filterregeln basierend auf IP-Adresse und/oder Portnummer Filterregeln basierend auf den Inhalten der Pakete (also Auswertung höherer Schichten) Nicht akzeptablen Verkehr beschränken (=verwerfen) Den Netzverkehr protokollieren Zusätzlich evtl. Analyse und Intrusion Detection 7-5 Was ein Firewall nicht kann... Kein Schutz gegen bösartige Insider Kein Schutz gegen Verkehr, der gar nicht durch Firewall geht (z.b. Modemzugang) Zusätzliche Netzzugänge sollten daher vermieden werden oder ebenfalls über Firewall geroutet sein Speichermedien (CD-ROM, Disketten,...) sind wahrscheinliche Mittel, um relevante Informationen zu transportieren Kein Schutz gegen unbekannte Bedrohungen Kein wirklicher Schutz gegen Viren / Würmer / Trojanische Pferde Denn diese stellen reguläre Daten dar, die übertragen werden Firewalls können nur funktionieren, wenn sie Teil einer betreiberweiten Sicherheitsarchitektur sind! 7-6

3 Architektur von Firewalls Ein Firewall kann aus verschiedenen logischen Komponenten bestehen: Paketfilter Circuit Level Gateway Application Gateway (Proxy Server) Realisierung in Routern Bastion Hosts Die einzelnen Komponenten müssen jedoch nicht unbedingt physikalisch auf verschiedenen Rechnern laufen 7-7 Paketfilter Analysieren Netzverkehr auf der Transport- und Netzwerkschicht Filterung anhand IP- Adresse, Portnummer und Protokoll Als Paketfilter werden meist Router verwendet Paketfilter arbeiten sehr schnell Paketfilter sind transparent für den Benutzer Internet Paketfilter 7-8 Vor- / Nachteile von Paketfiltern Vorteile Zugriff auf Netzdienste geschieht völlig transparent Die meisten Router unterstützen die Angabe von Filterregeln, sodass keine teure Zusatzhardware nötig ist Nachteile Konfiguration sehr schwierig Nachweis, ob das System wirklich nur gewünschten Verkehr durchlässt, ist oft schwer zu erbringen 7-9

4 Proxy Server = Application Gateways Erlauben Zugriff auf Dienste des Internet Zugriffe laufen nicht direkt, sondern mit dem Proxy Server als Mittelsmann ab Kontrolle kann auf der Anwendungsebene stattfinden; d.h., evtl. können einzelne Anwendungskommandos verboten werden 7-10 Warum Proxy Server? Direkter Zugang zu Diensten im Internet bedenklich Einfache Lösung: nur ein gesicherter Rechner / Bastion Host wird ans Internet angeschlossen Aber: alle Benutzer müssten sich auf diesem Rechner einloggen, um die Dienste zu nutzen Proxy Server ermöglicht die Benutzung dieses gesicherten Rechners, aber ist transparent für den Benutzer 7-11 Vor- / Nachteile von Proxy Servern Vorteile Transparenter Zugriff auf viele Dienste Erlauben/Verbieten bestimmter Aktionen kann auf Anwendungsebene geschehen Protokollierung wird einfacher Nachteile Für viele Dienste ist keine Proxy-Funktionalität vorhanden Installation von Proxy-Modulen für Dienste kann Sicherheitslücken öffnen Z.T. müssen die Anwendungen Proxy-Funktionalität besitzen, um überhaupt einen Proxy-Dienst zu nutzen (also sind nicht alle Dienste transparent) Proxy Server können ebenfalls nicht (oder nur teilweise) feststellen, ob die übertragenen Nutzdaten böse sind (also Viren, Würmer oder trojanische Pferde beinhalten) 7-12

5 Circuit Level Gateway Es werden zwei TCP-Verbindungen aufgebaut. TCP-Segmente werden von einer zur anderen übergeben. Es findet keine Kontrolle auf Anwendungsebene statt. Sicherheit besteht in der Auswahl der zuzulassenden Verbindungen. Anwendung: für sichere Verbindungen nach draußen, geringerer Overhead als beim Application Gateway 7-13 Bastion Host Bastion Host repräsentiert das nach außen Bastion Host ist den Angriffen aus dem Internet ausgesetzt Sicherheit äußerst wichtig Konfiguration sollte möglichst einfach und übersichtlich sein Jeder unnötige Dienst sollte entfernt werden Es muss mit Angriffen gerechnet werden Regelmäßiger Test auf Sicherheitslöcher mit entspr. Werkzeugen (etwa SAINT, Nessus, u.a.) Entfernung aller Entwicklungs- und Installationswerkzeuge (Compiler, Make-Tools, etc.) 7-14 Firewall-Konfigurationen Oftmals bestehen Firewalls aus Kombinationen dieser Komponenten, die auf verschiedene Art und Weise angeordnet werden Bekannte Konfigurationen: Dual-Homed Firewall Screened-Host Firewall Screened-Subnet Firewall 7-15

6 Dual-Homed Host Firewall Dual-Homed Host = Rechner, der mit zwei Netzwerken verbunden ist Hier: Internet und Keine direkte Verbindung zw. Inter- und Kommunikation nur von / zu Bastion Host möglich Oft in einem Rechner vereint Proxy-Funktionalität Aber: Single Point of Failure Paketfilter Internet Ba stio n Host 7-16 Screened Host Firewall Bastion Host hat nur noch Verbindung zum Ist also kein Dual-Homed Host mehr Zusätzlicher Router als Paketfilter am Übergang Internet / Wird der Paketfilter überlistet, ist der Angreifer im Single Point of Failure Internet Paketfilter Ba stio n Host 7-17 Screened Subnet Firewall Zwei Paketfilter/Router, dazwischen liegt die DeMilitarisierte Zone (DMZ) = Perimeter Network Bastion Host liegt in der DMZ Angreifer müssen nun also DREI Systeme überwinden, um Zugriff auf das zu bekommen Lösung des Single Point of Failure -Problems Internet Exte rior Ro ute r Perim eter Network Interior Router Ba stion Host 7-18

7 Intrusion Detection Systeme (IDS) Network IDS (NIDS) eigenständiges System mit speziellem TCP/IP Stack überprüft alle Pakete/Datenströme auf verdächtige Signaturen oder illegale Paketparameter (zu lange Pakete, unsinnige Werte in Paketköpfen, etc.) Host IDS (HIDS) Installiert auf einer Maschine Überprüft Veränderungen von Dateien und Rechten Mögliche Maßnahmen bei Einbruchsverdacht: Rekonfiguration von Firewall/Router NT Event/syslog: Ereignis in (zentraler) Logdatei /SMS an zuständige Person SNMP-Events an Management Applikation 7-19 Honeypots und Honeynets Honigtöpfe: Systeme mit absichtlich geöffneten Schwachstellen und Diensten, Gefahr: Übernahme dieser Systeme dient als Plattform zum Angriff der Produktivsysteme Anderer Ansatz: Simulierte Dienste und Systeme Honeynets: ganzes Netzwerk von Honeypot Systemen (realistischeres Szenario für Angreifer) Sollen von Produktivsystemen ablenken Da wenig Verkehrsaufkommen auf Honeypots herrscht ist Analyse von Angriffen einfacher Logdateien sind kürzer und übersichtlicher Wissensbeschaffung über neue Angriffsmethoden und Werkzeuge: Lerne den Feind kennen! 7-20 Honeypots und Honeynets Open Source: Snort ( Argus Kommerzielle Produkte: Network Associates, Cybercop Sting Tripwire, Tripwire Fred Cohen and Associates, Deception Toolkit Recourse Technologies, ManTrap 7-21

8 Sicherheitsscanner Werkzeuge zur Überprüfung der Sicherheitseinstellungen bei Firewalls und IDS Portscanner Bsp: Nessus ( Saint ISS 7-22 Remote Access Solutions Welche Applikationen sollen benutzt werden? Welche Art von Benutzer? Wieviele Benutzer? Welche Art der Verbindung soll genutzt werden? Point-to-Point (Modem/ISDN-Einwahl ins Firmennetz), über das öffentliche Telefonnetz VPN (Virtual Private Network), Einwahl über einen beliebigen Internetprovider Sicherheit Worauf ist zu achten, welche Möglichkeiten gibt es 7-23 Authentifizierung der Benutzer Lokale Authentifizierung: PAP (Password Authentification Protocol) oder CHAP (Challenge Authentification Protocol) bei PPP / PPTP Externe RADIUS Authentifizierung (Remote Access DIal-up User Server) Zentrale Benutzeradministration auf RADIUS Server Externe Windows NT od. Novell Benutzer Authentifizierung Zentrale Benutzer/Rechteadministration auf NT/2000 oder Novell 7-24

9 Point-to-Point Direkte Verbindung über Telefonleitung zum Server (Modem- oder ISDN-Verbindung) Point-to-Point Protocol (PPP, RFC 1661) Authentifizierung über PAP (Password Authentification Protocol) oder CHAP (Challenge Authentification Protocol) VPN Server Modem Telefonnetz Modem Client 7-25 Point-to-Point PAP sendet unverschlüsselte Passwörter und sollte daher NICHT benutzt werden CHAP sendet Key Challenge Nachrichten, die mit MD5 verschlüsselt wurden Datenverschlüsselung möglich (sollte genutzt werden) PPP Encryption Control Protocol (ECP, RFC 1962) Der Server sollte keine unverschlüsselten Verbindungen zulassen Optional Datenkompression PPP Compression Control Protocol (CCP, RFC 1968) 7-26 Virtual Private Network Verbindung über Internet (Dial-Up oder dediziert) Client VPN Connection beliebige VPN Tunnel Internetverbindung, ISP VPN Server etwa über Modem/ISDN- Internet Einwahl, oder DSL; keine dedizierte Leitung notwendig günstiger Verschlüsselter VPN-Tunnel zwischen VPN- Client und Server 7-27

10 IPSec für VPN IPsec (secure Internet Protocol) wird als Tunneling- Protokoll verwendet Optional in IPv4, integriert in IPv6 Schlüsselaustausch über Internet Key Exchange (IKE) Authentifizierung über Authentification Header (AH) Paket MD5 oder SHA-1 Verschlüsselte IP-Pakete in Encapsulating Security Payload (ESP) Paketen DES oder 3DES IP-Header und IP-Daten verschlüsselt; Späher können also keinerlei Information über die interne Netzstruktur des VPN erkennen 7-28 PPTP für VPN Point-to-Point Tunneling Protocol (PPTP): Microsofts Äquivalent zu IPsec Authentifizierung (PAP/CHAP) Datenverschlüsselung (RSA RC4 Cipher) Optional Datenkompression PPTP tunnelt eine PPP-Verbindung 7-29 Weitere VPN-Protokolle Transport Layer Security (TLS, RFC2246) Ursprung in SSL (Secure Socket Layer) Verschlüsselt TCP-Verbindungen Layer 2 Tunneling Protocol (L2TP, RFC2661) Tunnelt PPP über UDP (oder andere nicht-ip Protokolle) Daher alle Protokolle möglich, die über PPP übertragen werden können Security: L2TP mit IPsec möglich (Internet Draft) 7-30

11 VPN-Server in der DMZ VPN Connection VPN Tunnel Internet Exte rio r Ro ute r VPN Se rve r Perim eter Network Interior Router 7-31 Sichere Daten auf mobilen Geräten Telearbeitsplätze oder Laptops, die über VPN oder RAS auf das zugreifen, speichern oftmals sensible Unternehmensdaten Neuentwicklungen Studien Interne Daten über Personal oder Unternehmensstrukturen Daher sollten diese Daten möglichst so abgelegt werden, dass der Zugriff für Späher sehr schwer oder gar unmöglich ist 7-32 Passwort = Sicherheit? Bei alleiniger Verwendung von passwortgeschützten Anmeldungen ins Betriebssystem besteht KEIN DATENSCHUTZ! Bsp: durch Hochfahren von Diskette kann man auf Dateien anderer zugreifen Mit speziellem Linux auf Diskette kann man etwa auf NTFS, FAT oder EXT2 Partitionen zugreifen Mit NTFSDOS kann man von DOS aus NTFS-Partitionen lesen Daher: vertrauliche Daten sollten verschlüsselt auf der Platte abgelegt sein, dann kann zwar noch auf die Partition zugegriffen, aber die Inhalte sind unlesbar 7-33

12 Kategorien von verschlüsselten Dateisystemen Ins Betriebssystem / Dateisystem integriert Einzelne Dateien / Ordner können verschlüsselt werden Add-On stellt Verschlüsselungsfunktion für Dateien bereit Art Archivierungsprogramm mit Verschlüsselungsfunktionalität Add-On stellt Partition bereit Eine komplette Partition wird verschlüsselt und dem System bereitgestellt Partition wird entweder in einer Datei im unverschlüsselten Dateisystem abgelegt oder Als eigene Partition auf der Festplatte 7-34 Beispiele Encrypting File System (EFS), Win2K Im Betriebssystem integriert System erzeugt File Encryption Key (FEK, Pseudozufallszahl) Jede Benutzer hat ein Public/Private Key Pair Dateiinhalte werden mit FEK verschlüsselt (DESX), FEK wird mit Public Key verschlüsselt an Dateiende abgelegt Public/Private Keys der Benutzer werden im Domain Controller oder auf der lokalen Maschine abgelegt Dateien können nur vom Benutzer ODER vom sog. Recovery Agent (Domain-Administrator oder lokaler Administrator) dekodiert werden FEK wird daher immer als Kopie verschlüsselt mit dem Public Key des Recovery Agent abgelegt Recovery Agents sollten ihren Private Key auf einer Diskette (o.ä.) speichern und vom System löschen 7-35 Beispiele Scramdisk (scramdisk.clara.net) Freie Software für Win-Plattform Source-Code verfügbar Auf Sektorebene verschlüsselte Daten Steganographische Option: Ablage der Daten in WAV-Datei Aus Passphrase des Benutzers (während des Hochfahrens des Systems einzugeben) wird über MD5 Schlüssel berechnet Mehrere Algorithmen zur Auswahl: 3DES, DES64 Blowfish IDEA64 MISTY TEA 7-36

13 Beispiele Loopback Encrypted Filesystem Linux Verschlüsseltes Dateisystem (über /dev/loop* angesprochen, daher der Name) Gespeichert in einer einzelnen Datei im normalen Dateisystem Mehrere Verschlüsselungsverfahren möglich: XOR, DES, twofish, blowfish, cast128, serpent, MARS, RC6, DFC, IDEA 7-37