Projekt Janus Effektiver Perimeterschutz und Inhaltskontrolle für mobile Datenträger Axel Theilmann Michael Dwucet Jürgen Sander PRESENSE Technologies GmbH Bundesamt für Sicherheit in der Informationstechnik, CERT-Bund PRESENSE Technologies GmbH 2011 by PRESENSE Technologies GmbH
Projekt Janus - ein Überblick Perimeterschutz für mobile Datenträger Sicherheitszone im Vorfeld eines (Behörden-)Netzwerkes gefahrlose Überprüfung von mobilen Datenträgern sicherer Import von Dateien Janus ist ein Projekt im Auftrag des BSI 12. Deutscher IT-Sicherheitskongress 2
Angriffe über Wechselmedien Angriffe über Wechselmedien nehmen (wieder) zu ungerichtet: Conficker gerichtet: Stuxnet unterschiedliche Angriffsvektoren Autostart-Funktionen verwundbare Betriebssystem-Funktionen (*.lnk) Datei-Vorschauen (Linux / Nautilus) spezialisierte Hardware 12. Deutscher IT-Sicherheitskongress 3
Janus: Die Wechseldatenträgerschleuse Weiterentwicklung des Scan-PC Live-CD-System auf Linux-Basis Bedienung nach Vorbild von Kiosk-PCs redundanter Malware-Schutz & Datei-Policy 3 Workflows: Prüfen von Datenträgern Importieren von Dateien Konvertieren von Dokumenten Logging, Quarantäne, Berichte 12. Deutscher IT-Sicherheitskongress 4
12. Deutscher IT-Sicherheitskongress 5
Einsatz-Szenarien allgemeines Prüfterminal in Selbstbedienung einfachste Bedienung Nutzung im Rahmen von Zutrittskontrolle zu Gebäuden, Geländen, Sicherheitsbereichen Daten-Austausch mit externen Stellen oder Publikum Poststelle, Sekretariat, RZ-Operating 12. Deutscher IT-Sicherheitskongress 6
Einsatz-Szenarien (II) Vorschaltung vor sensitiven Bereichen Anlagen aus Industrie und Medizin besonders gesicherte, abgetrennte Netzwerke interne Nutzung im Bürobetrieb in Verbindung mit Schnittstellenkontroll- Systemen oder exklusiv 12. Deutscher IT-Sicherheitskongress 7
Janus: Technische Struktur Management-System als Web-Anwendung Systemadministrator modelliert technische Infrastruktur Netzwerk-Anbindung (TCP/IP, Mail, NTP, Logging) Netzwerk-Laufwerke IT-Sicherheitsbeauftragter modelliert Sicherheitsrichtlinien Aktualisierungs-Fristen erlaubte Dateitypen erlaubte Konversionen Anforderungen an Medien 12. Deutscher IT-Sicherheitskongress 8
Das Janus-Management-Frontend 12. Deutscher IT-Sicherheitskongress 9
Der Prüf-Vorgang Vorprüfung des Mediums 1. Vorprüfung auf Ebene des USB-Protokolls 2. Vorprüfung von Partitionierung und Dateisystems Prüfung im Rahmen des Workflows 1. Autostart-Funktion erkennen und deaktivieren 2. Erkennen und Entfernen von Auffälligkeiten (NTFS ADS, Versteckte Dateien) 3. Prüfen auf verbotene oder riskante Dateitypen 4. Prüfen mit mehreren AV-Scannern 12. Deutscher IT-Sicherheitskongress 10
Der Prüfvorgang (II) Zusatz-Dienste Zentrales Logging & Quarantäne Berichte für Benutzer und Admin / SiBe Anbindung an Schnittstellenkontroll-Systeme Sicheres Löschen von Medien Unterschiedlichste Medien USB-Sticks / Speicherkarten Optische Medien (CD, DVD) TrueCrypt-Container USB-Cryptosticks 12. Deutscher IT-Sicherheitskongress 11
Vorteile des Janus-Ansatzes Sichere Plattform gehärtetes Betriebssystem von CD Umfangreiche Prüfungsvorgänge Vorhalten spezialisierter Software Dateikonvertierung Instrumentierte Software Einfache, komfortable Arbeitsabläufe schulungsfrei immer sicherheitskonform auch für Organisationsfremde 12. Deutscher IT-Sicherheitskongress 12
Janus für die Bundesverwaltung kostenloser Sicherheitsdienst des BSI CERT- Bund für die Bundesverwaltung verfügbar seit Herbst 2010 umfangreiches Begleitmaterial zur Integration in IT-Grundschutz-Konzepte Anbindung an IT-Sicherheitsprodukte in der Bundesverwaltung (in Arbeit) Schnittstellenkontrolle: itwatch DeviceWatch USB-Cryptostick: Kanguru Defender Elite Außerhalb der Bundesverwaltung als PRESENSE Provaia erhältlich. 12. Deutscher IT-Sicherheitskongress 13
Weiterentwicklung als Kiosk-Appliance eine abgestimmte Kiosk-Hardware erhöht Sicherheit und Bedienkomfort Touchscreen Kartenleser reduzierte Schnittstellen geschütztes Boot-Laufwerk Sicherheitsfunktionen (NX-Bit, Crypto- Hardware) 12. Deutscher IT-Sicherheitskongress 14
Beispiel einer Janus-Appliance 12. Deutscher IT-Sicherheitskongress 15
Weiterentwicklung von Janus Janus ist weiterhin in aktiver Entwicklung! umfangreiche neue Features sind in Arbeit Datei-Export mit umfangreichen DLP-Features und Dokumenten-Normalisierung neue Betriebsmodi (Boot-Medien, Update) verbesserte Infrastruktur-Einbindung (z.b. ActiveDirectory) Benutzer-Authentifizierung und -autorisierung 12. Deutscher IT-Sicherheitskongress 16
Weiterentwicklung von Janus (II) Support und Updates Das BSI wird der Bundesverwaltung für 2 Jahre User-Support und Updates sowie zentral betriebene Management-Systeme bereitstellen. Hardware-Appliance Eine auf Janus zugeschnittene Kiosk- Appliance ist in der Entwicklung. 12. Deutscher IT-Sicherheitskongress 17
Janus...... erlaubt sicher und komfortabel die Prüfung von Wechselmedien auf Malware und andere Angriffsformen den Import von Dateien die Konvertierung von Dokumenten... reduziert das Risiko bei der Verwendung von PDF- und Office-Dateien... bietet sicherheitskonforme Prüf- Vorgänge in Selbstbedienung 12. Deutscher IT-Sicherheitskongress 18
Und wie ist bei Ihnen die Nutzung mobiler Datenträger geregelt? Sie finden uns an Stand F9b Kontakt Janus Kontakt PRESENSE Provaia Bundesamt für Sicherheit in der Informationstechnik Referat 121 - CERT-Bund Projekt Janus Postfach 20 03 63 53133 Bonn PRESENSE Technologies GmbH Sachsenstraße 5 D-20097 Hamburg Tel.: 022899 / 9582-222 Email: janus@bsi.bund.de www.pre-sense.de/provaia provaia@pre-sense.de 12. Deutscher IT-Sicherheitskongress 19