Wirksamkeit aktueller Massnahmen

Transkript

1 Informationssicherheit und Umgang mit IT- Risiken in der Praxis Wirksamkeit aktueller Massnahmen Christian Birchler / Thomas Lüthi, Cnlab AG 17. September 2008

2 Agenda: Sicherheit mobiler Arbeitsstationen - Vor- und Nachteile aktueller Verschlüsselungsverfahren - Integritäts-Prüfung von Arbeitsstationen Network Access Control (NAC)

3 Problemstellung Mobile Computer beinhalten häufig sensitive Daten ( s, Offline-Files, Benutzer- Credentials). Wie kann ein mobiler Computer vor unberechtigtem Zugang geschützt werden, wenn er abhanden kommt (Verlust, Diebstahl)?

4 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Verschlüsselte Harddisk Dateien verschlüsselt, temporäre Dateien enthalten Daten Geschütztes System durch Virenscanner System gemäss definierter Policy Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen Online-Zugriff z.b. durch Domain-Admin - Auslesen der NT-Hashes Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Nicht aktuelle Viren- Signaturen, Rootkits Zero-Day-Attacke Harddisk verschlüsseln Datenverschlüsselung Virenscanner einsetzten Installation aktueller Viren- Signaturen, Integritätsprüfung Harddisk-Firewall

5 Mögliche Ausnutzung / Angriffe Unberechtigter Zugang zu sensitiven Daten auf der Harddisk. Zurücksetzen von Windows Passwörtern

6 Zurücksetzen des Windows-Passwortes (Offline)

7 Lösungsansatz Diskverschlüsselung: Microsoft Bitlocker TrueCrypt Utimaco SafeGuard

8 Microsoft Bitlocker Transparente Disk-Verschlüsselung von NTFS Disks mit Verfügbar in Windows Vista und MS Server AES. Verwendet Trusted-Computing-Technik. Schlüssel können im Trusted Platform Modul (TPM) in der PC-Hardware gespeichert werden. Schlüssel werden nur freigegeben nachdem die Integrität des Systems verifiziert wurde: BIOS Master Boot Record Boot Loader Unterstützte Authentisierungen: Ohne PIN USB-Schlüssel Wiederherstellungskennwort Wiederherstellungsschlüssel Unterstützt eine zentrale Konfiguration und Schlüsselhinterlegung über das Active Directory

9 schützt schützt schützt Wiederherstellungsprozess Bitlocker Windows Vista (Enterprise und Ultimate Edition) PIN (optional) Trusted platform module Client Recovery-Passwort als Alternative zum PIN BitLocker bietet für das *Device, welches das File- System enthält. TPM 1.2 MBR Firmware Bootload. Storage Root Key USB Device Alternativ zu TPM Recovery-Passwort für Notfall-Zugang zum Device. Optionaler PIN (preboot authentication) Volume Master Key full-volume encryption key (FVEK) File system USB Device Volume Master Key FVEK File System

10 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Verschlüsselte Harddisk Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen - Online-Zugriff z.b. durch Domain-Admin - Auslesen der NT-Hashes Harddisk verschlüsseln Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Geschütztes System durch Virenscanner System gemäss definierter Policy Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Nicht aktuelle Viren- Signaturen, Rootkits Zero-Day-Attacke Virenscanner einsetzten Installation aktueller Viren- Signaturen, Integritätsprüfung Harddisk-Firewall

11 Mögliche Ausnutzung / Angriffe Unberechtigter Zugang zu sensitiven Daten auf der Harddisk. Auslesen von Benutzer- Credentials (Hashes). gegen erzwungene Bekanntgabe des Passwortes

12 Auslesen der NT-Hashes C:\gsecdump>net use z: \\struppi\tluethi Das Kennwort oder der Benutzername ist ungültig für \\struppi\tluethi. Geben Sie den Benutzernamen für "struppi" ein: ^C C:\gsecdump>gsecdump -a CNLAB\tluethi::d3492c0xxxxxxxxxxxxxxxxxxxxxxxxx:c0ea239xxxxxxxxxxxxxxxxxxxxxxxxx:::: C:\gsecdump>iam -b -h tluethi:cnlab: d3492c0xxxxxxxxxxxxxxxxxxxxxxxxx:c0ea239xxxxxxxxxxxxxxxxxxxxxxxxx IAM v1.4 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) Username: tluethi Domainname: cnlab LM hash: D3492Cxxxxxxxxxxxxxxxxxxxxxxxxx NT hash: C0EA23xxxxxxxxxxxxxxxxxxxxxxxxx LSASRV.DLL version: h. A280CB1h Checking LSASRV.DLL...skipped. (-B was specified). Trying to obtain addresses...ok! (AC = 753E7BEC, EM = 753E56E2) The current logon credentials were sucessfully changed! C:\gsecdump>net use z: \\struppi\tluethi Der Befehl wurde erfolgreich ausgeführt. C:\gsecdump>dir Z:\ :30 153'075 Bilanzgespraeche2005.pdf

13 Lösungsansatz Datenverschlüsselung Microsoft EFS TrueCrypt PGP

14 Microsoft EFS Verfügbar in allen Versionen seit Windows 2000 Encrypting File System (EFS) ist eine Erweiterung des NTFS- Dateisystems. Verschlüsselt einzelne Dateien Einfache Aktivierung über Dateieigenschaften. Jede Datei mit einem eigenen File Encryption Key (FEK) verschlüsseln. Zugang zum FEK über den EFS Key der autorisierten Users. Optional: Data-Recovery-Agent vorgesehen für Notfall-Zugriff

15 schützt schützt schützt schützt schützt PIN EFS DC User Client AUTH Cert AUTH Private Key Login Credentials User Master Key oder Benutzername, Passwort Administrator User EFS Private Key DC Private Key File Encryption Key User Master Key File DC Private Key User Master Key User Master Key User Key Store FEK + File

16 TrueCrypt Free Open Source Verschlüsselte virtuelle Laufwerke, gespeichert in einer Datei. Verschlüsselung von gesamten System-Partitionen (pre-boot authentication) von Daten USB Memory Sticks Transparenter Zugriff von allen Anwendungen mit Passwort oder Key-File Versteckte Partitionen auf verschlüsselten Laufwerken Verstecktes Betriebssystem Algorithmen: AES, Serpent, Twofish

17 TrueCrypt Hidden Volumes

18 Passwort Reset mit Boot Disk Offline Auslesen der Harddisk Zugriff über Netzwerk / Windows Zugriff durch Domänen Admins Zugriff durch lokale Admins Passwort Bekanntgabe wird erzwungen Zugriff auf Temporäre Files Auslesen des Passwort Hash Vergleich Zugriffsschutz auf Daten in verschiedenen Szenarien System ausgeschaltet System in Betrieb EFS lokaler User EFS Domain User TrueCrypt Volume TrueCrypt Hidden Volume Bitlocker (ohne PIN) Bitlocker (mit PIN) TrueCrypt System Volume ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )

19 Strukturierung und Bewertung Helfen die vorgeführten technischen Massnahmen, die Risiken von morgen besser abschätzen und kontrollieren zu können? Vollständiger gegen externe Angriffe bietet nur eine Disk-Verschlüsselung. Bitlocker bietet im Vergleich mit True Crypt eine TPM- Unterstützung sowie Integration ins AD zur Wiederherstellung. EFS kann als Ergänzung zur Disk-Verschlüsselung zum zwischen den Benutzern eingesetzt werden

20 Agenda: Sicherheit mobiler Arbeitsstationen - Vor- und Nachteile aktueller Verschlüsselungsverfahren - Integritäts-Prüfung von Arbeitsstationen Network Access Control (NAC)

21 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Verschlüsselte Harddisk Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen - Online-Zugriff z.b. durch Domain-Admin - Auslesen der NT-Hashes Harddisk verschlüsseln Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Geschütztes System durch Virenscanner System gemäss definierter Policy Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Nicht aktuelle Viren- Signaturen, Rootkits Zero-Day-Attacke Virenscanner einsetzten Installation aktueller Viren- Signaturen, Integritätsprüfung Harddisk-Firewall

22 Konventioneller Virenschutz Zentrale und dezentrale Virenscanner Internet Intranet Virenscanner Virenscanner

23 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Verschlüsselte Harddisk Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen - Online-Zugriff z.b. durch Domain-Admin - Auslesen der NT-Hashes Harddisk verschlüsseln Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Geschütztes System durch Virenscanner System gemäss definierter Policy Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Nicht aktuelle Viren- Signaturen, Rootkits Zero-Day-Attacke Virenscanner einsetzten Installation aktueller Viren- Signaturen, Integritätsprüfung Harddisk-Firewall

24 Problemstellung Internet Bedrohung der IT-Landschaft mittels Malware auf Arbeitsplätzen durch: - Nicht kontrollierbare PCs (z.b. private Notebooks) am Intranet. - PCs ohne aktuellen oder aktiven mechanismus bezüglich Trojaner, Viren, etc. Privat / ext. MA Virenscanner Firewall Intranet - PCs ohne aktuelle Sicherheits-Patches. Patchlevel

25 Lösungsansatz Trusted Computing Integritäts-Prüfung Arbeitsstationen erhalten nach erfolgreicher Integritäts-Prüfung Verbindung zum Intranet Tools für Integritäts-Prüfung TPM (Bitlocker) Trusted Network Connect (TNC) von Trusted Computing Group Windows-Server 2008 / System Health Agents (SHA) Client: - Integritäts-Prüfung Policy Enforcement Point Internet Intranet Verschiedene SHA- und SHV (Security Health Validators) Clients

26 Bitlocker / TPM Implementation Client Intranet TPM Trusted Platform Module HW module built into most of today s PCs Enables a HW Root of Trust Measures critical components during trusted boot PTS interface allows PDP to verify configuration and remediate as necessary Compliant System TPM verified BIOS MBR Boot-Loader Client Rules TPM aktiviert BIOS MBR Boot-Loader

27 TNC Trusted Network Connect Policy Enforcement Point Policy Decision Point Non-compliant System Windows XP SP2 xoshotfix 2499 xoshotfix 9288 AV - McAfee Virus Scan 8.0 Firewall Remediation Network Compliant System Windows XP SP2 OSHotFix 2499 OSHotFix 9288 AV - Symantec AV 10.1 Firewall Corporate Network Client Rules Windows XP SP2 OSHotFix 2499 OSHotFix 9288 AV (one of) Symantec AV 10.1 McAfee Virus Scan 8.0 Firewall

28 Microsoft Server 2008 Windows Server 2008 kennt fünf unterschiedliche Typen von Richtlinien zur Sicherheitsintegritätsprüfung. Diese Richtlinien können Client- Seitig ab Windows XP durchgesetzt werden. Windows-Firewall Virenschutz Spyware- Automatische Updates-Aktivierung Sicherheitsupdateschutz

29 Implementation MS Server 2008 NAP Network Access Protection Enforcement Methods Policy Decision Point Non-compliant System Windows XP SP2 xoshotfix 2499 xoshotfix 9288 AV - McAfee Virus Scan 8.0 Firewall Ipsec IEEE 802.1X - authentisierte netzwerkverbindung MS Server 2008 Compliant System Windows XP SP3 OSHotFix 2499 OSHotFix 9288 AV - Symantec AV 10.1 Firewall VPN Verbindungen DHCP Adress Konfiguration Terminal Server Gateway Verbindungen Client Rules Windows XP SP3 OSHotFix 2499 OSHotFix 9288 AV (one of) Symantec AV 10.1 McAfee Virus Scan 8.0 Firewall

30 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Verschlüsselte Harddisk Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen - Online-Zugriff z.b. durch Domain-Admin - Auslesen der NT-Hashes Harddisk verschlüsseln Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Geschütztes System durch Virenscanner System gemäss definierter Policy Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Nicht aktuelle Viren- Signaturen, Rootkits Zero-Day-Attacke Virenscanner einsetzten Installation aktueller Viren- Signaturen, Integritätsprüfung Harddisk-Firewall

31 Secure Startup OS- Loader OS- Kernel UAC TPM Zertifikat Store Trusted Computing Plattform: Ansätze davon in Windows Vista Benutzer Interaktion (Dialog) Prinzip: White-List-Ansatz Secure Startup (mit TPM) Kernel-Integritätstest (Selbsttest) Signaturüberprüfungen für interaktive Anwendungen die erhöhte Rechte erfordern. Treiber Benutzer-Interaktion für sensitive Aktionen verlangen ( User Access Control ) Applikationen mit Admin-Berechtigung NTOSKRNL.EXE WINLOAD.EXE Selbsttest : Teilweiser gegen Zero-Day- Attacken: Missbrauch von Admin-Rechten Veränderung von geschützten Teilen des OS Boot Manager NTFS Boot Block NTFS Boot Sector MBR Root of Trust Signatur Prüfung

32 Bedrohung von / durch Angriff auf BIOS, MBR, Boot-Loader Angriff durch Hardwaretausch Angriff auf OS / Treiber Fehlende OS- / Application-Patchtes Inaktive Personal Firewalls Inaktive Malware- Detection Software Zero-Day Exploits Vergleich Wirkung von massnahmen gegen Bedrohungen /Überwachung durch Bitlocker / TPM TNC- Implementation MS Server 2008 NAP Vista- Mechanismen ( )

33 Danke für Ihre Aufmerksamkeit Cnlab AG Obere Bahnhofstrasse 32b 8640 Rapperswil Christian Birchler Thomas Lüthi Präsentation verfügbar unter: