TelekomForum KompetenzTag Mobilisierung von Firmendaten neue Herausforderung für die IT Sicherheit Prof. Dr. Andreas Steffen andreas.steffen@zhwin.ch Andreas Steffen, 24.11.2004, TelekomForum.ppt 1
Datenkommunikation in einer mobilen Welt "Road Warrior" Public WLAN Hotspot Firmen Netzwerk VPN Gateway Internet GSM GPRS UMTS Mitarbeiter ADSL Kabel Andreas Steffen, 24.11.2004, TelekomForum.ppt 2
KompetenzTag Mobilisierung von Firmendaten Globale Bedrohungen Andreas Steffen, 24.11.2004, TelekomForum.ppt 3
Novartis a Global Player Andreas Steffen, 24.11.2004, TelekomForum.ppt 4
How many hops to www.novartis.com? traceroute to www.novartis.com (164.109.68.201) 1 edugw.zwhin.ch (160.85.160.1) 2 intfw.zhwin.ch (160.85.111.1) 3 winfh1.zhwin.ch (160.85.105.1) 4 130.59.38.93 (130.59.38.93) 5 rtrzusw1-a4-0-1135.switch.ch (130.59.38.250) Zurich 6 swiez2-g6-1.switch.ch (130.59.33.249) 7 swiix1-g2-3.switch.ch (130.59.36.250) 8 zch-b1-geth4-1.telia.net (213.248.79.189) 9 ffm-bb2-pos0-3-1.telia.net (213.248.79.185) Frankfurt 10 prs-bb2-pos0-2-0.telia.net (213.248.64.197) Paris 11 ldn-bb2-pos0-2-0.telia.net (213.248.64.165) London 12 nyk-bb2-pos6-0-0.telia.net (213.248.65.94) New York 13 nyk-i1-pos2-0.telia.net (213.248.82.22) 14 so-0-1-0.edge1.newyork1.level3.net (209.244.160.161) 15 ge-2-1-0.bbr2.newyork1.level3.net (64.159.4.149) 16 unknown.level3.net (64.159.3.254) 17 gige7-0.ipcolo1.washington1.level3.net (64.159.18.3) Washington 18 unknown.level3.net (209.246.46.90) 19 gigabitethernet7-0.dca2c-fcor-rt2.netsrv.digex.net (164.109.3.94) 20 vlan28.dca2c-fdisc-sw1-msfc1.netsrv.digex.net(164.109.3.166) 21 164.109.92.14 (164.109.92.14) 22 164.109.68.201 (164.109.68.201) Webserver Andreas Steffen, 24.11.2004, TelekomForum.ppt 5
Bekannte Fälle von Industrie-Spionage Airbus, 1994, Fax und Telefon abgehört durch die NSA McDonnell-Douglas gewann einen Auftrag über 6 Milliarden $US mit der Saudi Arabian National Airline. Grund: Aufdeckung von Schmiergeldern. Thomson-CSF, 1994, Kommunikation abgehört durch NSA/CIA Thomson-CSF verlor einen Grossauftrag mit Brasilien über ein Radarsystem zur Überwachung des Regenwalds an Raytheon. Geschätzter Schaden verursacht durch Industrie-Spionage: 10 Milliarden Euro pro Jahr allein in Deutschland. Quelle: European Commission Final Report on ECHELON, July 2001 Überwachung des Internets Der gesamte Internet-Verkehr der USA wird durch die National Security Agency (NSA) systematisch nach gewissen Schlüsselwörtern gescannt. Andreas Steffen, 24.11.2004, TelekomForum.ppt 6
KompetenzTag Mobilisierung von Firmendaten Lokale Bedrohungen Andreas Steffen, 24.11.2004, TelekomForum.ppt 7
WLAN War Driving Andreas Steffen, 24.11.2004, TelekomForum.ppt 8
WLAN War Driving mit NetStumbler NetStumbler erhältlich von http://www.netstumbler.com Laptop oder PDA, optional mit GPS ausgerüstet Andreas Steffen, 24.11.2004, TelekomForum.ppt 9
WLAN War Driving Karte von Zürich 700 Access Points an einem Nachmittag erfasst. 70% der Netze ohne WEP Verschlüsselung Quelle: Tages-Anzeiger, Oct. 14 2002 Andreas Steffen, 24.11.2004, TelekomForum.ppt 10
Sniffing is easy! Andreas Steffen, 24.11.2004, TelekomForum.ppt 11
Cain & Abel Password Recovery Tool VPN mit IKE Aggressive Mode Cain & Abel erhältlich von http://www.oxid.it ARP Cache Poisoning, HTTPS Man-in-the-Middle Attacken Andreas Steffen, 24.11.2004, TelekomForum.ppt 12
KompetenzTag Mobilisierung von Firmendaten Effektiver Schutz durch Virtual Private Networks Andreas Steffen, 24.11.2004, TelekomForum.ppt 13
Virtual Private Networks Road Warrior VPN Client 10.3.0.2 10.1.0.5 10.2.0.3 Internet 55.66.x.x Firmen- Hauptsitz VPN Tunnel VPN Tunnel Zweigstelle 10.1.0.0/16 10.2.0.0/16 VPN Gateway 11.22.33.44 VPN Gateway 55.66.77.88 Zuverlässige Authentisierung Starke Verschlüsselung Absolute Datenintegrität Andreas Steffen, 24.11.2004, TelekomForum.ppt 14
Der Road Warrior Remote Access Fall Firmennetz 10.1.0.0/16 VPN Gateway 11.22.33.44 Internet IPsec Tunnel Virtuelle IP 10.3.0.2 55.66.x.x Dynamische IP Road Warrior Mobile Benutzer melden sich am VPN Gateway des Firmennetzes mit dynamischer IP Adresse an, die durch den ISP vergeben wird. Die sichere Benutzerauthentisierung basiert bevorzugt auf X.509 Zertifikaten, die meist durch die Firma selbst vergeben werden. Eine innere virtuelle IP Adresse, die jedem mobilen Benutzer statisch oder dynamisch zugewiesen wird, erleichtert das Routing. Andreas Steffen, 24.11.2004, TelekomForum.ppt 15
VPN Knackpunkt - Benutzerauthentisierung Username / Passwort Wörterbuchattacken Einmal-Passwörter Token: SecureID, etc. Public Key Algorithmen Chipkarten, Zertifikate, Public Key Infrastruktur Biometrische Methoden Fingerabdruck, Iris-Scan, Stimme, Gesicht, etc. Andreas Steffen, 24.11.2004, TelekomForum.ppt 16