am Beispiel LRZ oder: Einfache Maßnahmen, um sich unbeliebt zu machen ;-) Wolfgang Hommel Leibniz-Rechenzentrum (LRZ) ZKI AK Verzeichnisdienste Leipzig, 20.03.2014
Executive summary ;-) LDAP-Server Da sind die Passworte drin Läuft bestens 2
Überblick Einordnung (nicht nur) ins Identity Management Passwortrichtlinien am LRZ: Motivation Inhalte und Akzeptanz Organisatorische und technische Umsetzung Notfall-Passwort-Management am LRZ: Motivation und Anforderungen Technische Umsetzung Mehrfaktor-Authentifizierung und Login-Monitoring 3
Passwörter im Identity Management Iden%ty(&(Access(Management Alle drin im I&AM-System? Was ist z.b. mit root-/administrator- Passworten für Server? Passworten für externe Dienste, z.b. Hersteller-Support? A1ribute Stammdaten,(dienstspezifische(Daten,( Datenquellen Studenten,(Mitarbeiter,( Gäste,(Self(Services,( Autorisierung( Freischalten(von(Diensten,(Rollen,( Provisioning von(diensten(und(systemen Authen%fizierung Passwörter,( Zer%fikate,(TokenIIds,(WebISSO,( Födera%onen DFNIAAI,(eduGAIN,( Interessiert das Thema nur die Identity Manager? 4
Passwörter: Interessengruppen Iden%ty(&(Access(Management A1ribute Stammdaten,(dienstspezifische(Daten,( (B/L) DSG Standards(/(good(prac%ces (ISO/IEC(20000I1,(ITIL(v3,( ) Datenschutz IT(Service( Management Major(Incidents Knowledge(Management Business(Con%nuity( Management Datenquellen Studenten,(Mitarbeiter,( Gäste,(Self(Services,( Autorisierung( Freischalten(von(Diensten,(Rollen,( Provisioning von(diensten(und(systemen Authen%fizierung Passwörter( Zer%fikate,(TokenIIds,(WebISSO,( Födera%onen DFNIAAI,(eduGAIN,( Management(der( Informa%onssicherheit Definierte(Zuständigkeiten Sicherheitsbewusstsein(( Zugangskontrolle Sicherheitsvorfälle Compliance Standards(/(good(prac%ces (ISO/IEC(27001,(BSI(ITIGrundschutz,( ) 5
Überblick Einordnung (nicht nur) ins Identity Management Passwortrichtlinien am LRZ: Motivation Inhalte und Akzeptanz Organisatorische und technische Umsetzung Notfall-Passwort-Management am LRZ: Motivation und Anforderungen Technische Umsetzung Mehrfaktor-Authentifizierung und Login-Monitoring 6
Motivation für Passwortleitlinien am LRZ Hintergrund Position des LRZ: LRZ gehört zur Bayerischen Akademie der Wissenschaften LRZ ist IT-Dienstleister für alle Münchner Universitäten und Hochschulen sowie einige weitere wissenschaftsnahe Einrichtungen (= Kunden) für nationales und europäisches Supercomputing Auswirkungen kompromittierter Kennungen Kunden fordern ISO/IEC 27001 / BSI IT-Grundschutz: Forschungskooperationen mit Industriepartnern Verträge zur Auftragsdatenverarbeitung Nachweis angemessener Maßnahmen im Ernstfall 7
Passwortrichtlinien am LRZ Richtlinie für Kunden/ Benutzer Zielgruppenspezifische Vorgaben: Richtlinie für Kunden und deren Benutzer Dienstanweisung für LRZ-Mitarbeiter (strikter, umfangreicher) Grundlagen Geltungsbereich Zielsetzung Passwortqualität, -ablauf, -nutzung I&AM-Kopplung Organisatorisches Dienstanweisung für LRZ-Mitarbeiter 1 2 3 4 8
Inhalte und Akzeptanz Passwortqualität: Mindestlänge Mindestanzahl pro Zeichentyp Mindestunterschiede bei Änderungen Verbot von Trivialpassworten Anderes Passwort als bei externen Diensten Passwortablauf: Zwang zur regelmäßigen Änderung Passwortnutzung: Verbot der Weitergabe Verbot der unverschlüsselten Speicherung Einsatz passwortgeschützter Screensaver Farblegende: gut akzep1ert wird hingenommen wird gehasst schwer zu sagen 9
Anfängliche Akzeptanzdefizite Regelmäßige Passwortänderung: Befürchtungen: Kunden: Supportaufwand für vergessene Passwörter Kollegen: Aufwand bei Administration von Dutzenden von Servern Realität: Weniger schlimm als erwartet; Gewöhnungseffekt. Anzahl benötigter Passwörter oft reduzierbar. Maßnahme ist in ISO/IEC 27001 und BSI IT-Grundschutz vorgegeben aber ist sie bei zentralem I&AM immer sinnvoll? Einsatz passwortgeschützter Screensaver: Moral bzgl. manueller Aktivierung könnte noch besser sein Zeitgesteuerte Aktivierung suboptimal und oft lästig 10
Organisatorische und technische Umsetzung Vor der Einführung: Abstimmung mit IT-Verantwortlichen der Kunden Mehrere Info-Veranstaltungen / Ankündigungsschreiben Im laufenden Betrieb: Mehrere Hinweis-E-Mails zu bald ablaufenden Passwörtern Nach Passwortablauf: Nur noch Self-Service-Portal nutzbar LRZ-intern: Autom. Prüfung von lokalen Passworten auf Linux-Servern Domänenintegrierte Windows-Server mit pers. Kennung 11
Wie machen es andere? Erzwungene regelmäßige Passwortänderung 3 Monate Studenten Mitarbeiter 6 Monate 12 Monate nie Quelle: http://seclists.org/educause/2014/q1/203 EDUCAUSE Security Mailingliste, Umfrage von Thomas Carter, Februar 2014 0 5 10 15 20 Anzahl Hochschulen ( =44) 12
Überblick Einordnung (nicht nur) ins Identity Management Passwortrichtlinien am LRZ: Motivation Inhalte und Akzeptanz Organisatorische und technische Umsetzung Notfall-Passwort-Management am LRZ: Motivation und Anforderungen Technische Umsetzung Mehrfaktor-Authentifizierung und Login-Monitoring 13
LRZ: Motivation für Notfall-Passwort-Management Anwendungsbereich: Funktionskennungen (Passwort mehreren Mitarbeitern bekannt) Nicht I&AM-verwaltete Kennungen (root/administrator auf Servern, Netzkomponenten usw.) Dienstlich genutzte externe Services (Herstellersupport usw.) Notfall: Passwort wird dringend dienstlich von jemandem benötigt, der es im Tagesgeschäft nicht verwendet. Beispiele: (Major Incident / Security Incident / Einsatz der Rufbereitschaft) + eigentlich zuständige Administratoren nicht verfügbar/erreichbar Unerwartete Abwesenheiten (z.b. Krankenhausaufenthalt, Todesfall) 14
LRZ: Früheres Vorgehen Ablageorte: Versiegelte Kuverts beim Abteilungsleiter Passwortlisten/USB-Sticks im Tresor des Hauptsekretariats Nachteile: Uneinheitlich, z.t. genauer Ablageort nicht jedem bekannt Zugriff hängt von Anwesenheit einzelner Personen ab Unregelmäßige Kontrolle von Aktualität und Unversehrtheit Großer Aufwand bei regelmäßiger Passwortänderung 15
LRZ: Anforderungen an eine modernere Lösung Architektur für LRZ-weiten Einsatz: AuthNZ über I&AM-System Übersichtlichkeit bei ca. 2.000 Passwort-Einträgen Nachvollziehbarer Zugriff auf Passworteinträge: Push-Benachrichtigung bei Einsichtnahme Genehmigungsworkflows je nach Nutzergruppe Effiziente Umsetzung von Passwortänderungen: Minimaler Zeitaufwand Integrierter Zufallspasswort-Generator Erinnerungen und Nachverfolgbarkeit 16
Gewähltes Produkt: Mateso Password Safe 17
Beispiel: Siegelbruch Verschickt auch E-Mail (per default) an Eigentümer des Eintrags 18
LRZ: Akzeptanz der Lösung Anfängliche Skepsis: (Damals) reines Windows-Produkt Sicherheit des Produkts? Sicherheit der Betriebsumgebung? Sicherheit der I&AM-Integration? Sicherheit des Siegelkonzepts? Intuitive Bedienbarkeit? Inzwischen: Wird ohne Klagen und rein freiwillig verwendet, Füllstand ca. 55% Integration in Prozess Mitarbeiter scheidet aus Geplant: Verpflichtende Nutzung ab 2015 19
Überblick Einordnung (nicht nur) ins Identity Management Passwortrichtlinien am LRZ: Motivation Inhalte und Akzeptanz Organisatorische und technische Umsetzung Notfall-Passwort-Management am LRZ: Motivation und Anforderungen Technische Umsetzung Mehrfaktor-Authentifizierung und Login-Monitoring 20
Multi-Faktor-Authentifizierung am LRZ Smartcards: Feitian PKI Card, ~ 8 Euro bei mind. 100 Stück Kartenleser mit Pinpad sind der eigentliche Kostenfaktor Ansteuerung unter verschiedenen OS hat Bastelpotential Google Authenticator: Auf Linux-Servern sehr einfach zu installieren Nutzung meist mit (privaten) Smartphones Praktischer Einsatz: Nur für ausgewählte Systeme mit erhöhtem Schutzbedarf Vereinfacht und Notfallzugang nicht 21
Monitoring mit LoginIDS Ungewöhnliches Nutzungsverhalten als Indikator kompromittierter Kennungen automatisch erkennen Auswertung erfolgreicher Authentifizierungen Logfile-Analyse: Auf (fast) beliebige Dienste/Systeme anwendbar Keine Prävention der Nutzung kompromittierter Kennungen Unschärfe der Nutzerprofile konfigurierbar, explizit unter Datenschutzaspekten konzipiert Informationen / Download: https://git.lrz.de/ LoginIDS https://git.lrz.de/?p=loginids.git;a=tree 22