Research Institute for Computer Science Trattnerhof 2, A-1010 Wien http://www.rics.at Zukunftsbezirk Donaustadt INTERNET & Security Dr. Manfred Wöhrl Manfred.Woehrl@rics.at Vorstellung R.I.C.S. EDV-GmbH Versuchsanstalt für Datenverarbeitung an der HTBLVA-5, Spengergasse staatlich 1987 privatwirtschaftlich 1998 Research Institute for Computer Science Serverfarm im City-Netz Waidhofen/Ybbs 2000 Stadtbüro in Wien, Zentrale in Wien seit 2003 Trattnerhof 2, A-1010 Wien, Top 203 und Top 207 1
Vorstellung Kurzpräsentation R.I.C.S. EDV-GmbH INTERNET&Netzwerk - Kompetenz - INTERNET-Labor - Firmenpartnerschaften (z.b.: TÜV, Datentechnik) Kerngeschäft: SECURITY - Firewalls & VPNs (Consulting, Installation und Support) - INTERNET in höchstem QoS (Spezialkonfigurationen & Training) - Tiger-Team Überprüfungen (Zertifizierte Sachverständige) 2
Beispiel Kosten durch Ausfall SLA von 99% 87 Stunden Ausfall/Jahr! 26 Millionen Dollar Verlust pro Jahr! Sicherheitsrisiken allgemein 3
Statistik INTERNET- Einzel-Zugang: Dr.Wöhrl Modem Wählverbindung z.b. ISDN Host Internet Modem Service- Provider 4
Lauschangriff im INTERNET Telefonsteckdose 2-Draht-Leitung Wählamt Modem Modem Spezialprogramm zur Erkennung und Protokollierung spezieller Protokolle im INTERNET-Datenverkehr Allgemeine Security-Überlegungen Outsiders Insiders Die 80:20 Regel 5
Sicherheitsbedarf Healthcare Internet Banking Secure Repository e.g., DS, PKI Extended Supply Chain Kosten B2B EDI over Net B2B Collaboration High Risk Online Ordering Catalog Sales Limited Data Lookup Medium Risk Corporate Web Presence BrochureWare Low Risk Securitybedarf Dr.Wöhrl INTERNET-Systemsicherheit Das 3-Bein der INTERNET-Security K-Pläne Orgware Zutrittskontrolle Zugriffskontrolle Chip Technologie Hardware Chip-Card Firewalls Software PGP Operating System 6
Dr.Wöhrl INTERNET-Systemsicherheit Security - Problem Nr. 1 7
Hacker-Trends Komplexität der Hacker-Tools Notwendiges technisches Wissen Nächster Schritt: Confusing IDS 8
Dr.Wöhrl INTERNET-Systemsicherheit Gefährdungen im Netzwerk Passive Angriffe Abhören der Daten (CSMA/CD!) Verkehrsflußanalyse Aktive Angriffe Wiederholung/Verzögerung eines Datenpaketes Einfügen/Löschen von Daten SPOOFING Suchen/Ausnutzen von Systemfehlern Boykott/Lahmlegen des Kommunikationssystems Dr.Wöhrl INTERNET-Systemsicherheit Software-Attacken Viren Selbstreproduzierende Codefragmente Würmer Vollständige Programme, suchen sich Wirte Trojanische Pferde Code-Fragmente, stabil in einem User- Programm Falltüren Unerlaubte Zutrittspunkte Bomben Zeit-oder Ereignisgesteuerte Programme 9
Beispiel Virenstatisik Statistik generiert am: 22.04.2004, 00:01:01 Uhr <Letzte 24 Stunden> ----------------------------------------- 1. I-Worm.Netsky.Q... 15331 (-21%) 2. 02. I-Worm.Netsky.D... 4588 (-16%) 3. 03. I-Worm.Netsky.B... 2041 (-02%) 4. 04. I-Worm.Netsky.Y... 1784 (+197%) 5. 05. I-Worm.Sober.F... 1763 (-25%) 6. 06. I-Worm.Netsky.C... 856 (-22%) 7. 07. I-Worm.Netsky.R... 776 (-18%) 8. 08. Dialer... 382 (-09%) 9. 09. I-Worm.Mydoom.F... 125 (no entry last period) 10. 10. I-Worm.Moodown.C... 108 (no entry last period) Quelle: ISPA/circa Beispiel Virenstatisik Statistik generiert am: 22.04.2004, 00:01:01 Uhr <Letzte 7 Tage> ----------------------------------------- 1. I-Worm.Netsky.Q... 74199 (+309062%) 2. 02. I-Worm.Netsky.P... 35835 (+18%) 3. 03. I-Worm.Netsky.D... 30613 (+338%) 4. 04. I-Worm.Sober.F... 15639 (+244%) 5. 05. I-Worm.Netsky.B... 15524 (+195%) 6. 06. I-Worm.Netsky.R... 8014 (+370%) 7. 07. I-Worm.Netsky.C... 6678 (+144%) 8. 08. I-Worm.Netsky.Y... 2422 (+00%) 9. 09. Dialer... 2192 (+45%) 10. 10. I-Worm.Bagle.J... 822 (no entry last period) Quelle: ISPA/circa 10
TCP-Connection 3-Wege-Handshaking Normaler Verbindungsaufbau Verwendet werden die Flags im TCP-Header Connection (TCP/IP-Session) Angriffsvarianten Aktiver Port-Scan Es kommt zu keinem Datentransfer 11
Angriffsvarianten Aktiver Port-Scan zufällig P o r t s Simple port walk IP addresses Angriffsvarianten Aktiver Port-Scan Port-Scan imlog der Firewall! 12
Angriffsvarianten Half-Open-Port-Scan SYN-Flooding DoS-Attacke! Angriffsvarianten FIN-Stealth-Scan Designfehler im TCP/IP- Protokoll Unterschiedliche Implementierung Im TCP/IP-Stack Ein Angreifer erkennt eine Maschine UND daß der Port NICHT offen ist! 13
14
Defacement Defacement Quelle: http://www.attrition.org/ 15
Defacement Defacement Datenschutzgesetz 16
Defacement Staff costs Three staff were involved in recovering from the incident: a system programmer, a web programmer and a backup operator. The time spent by each of these staff and the wage costs thereby incurred are shown in the table. Quelle: http://www.ja.net/cert/janet-cert/prevention/case-studies/web_deface.html 17
Dr.Wöhrl INTERNET-Systemsicherheit Kosten Sicherheit Ziel: Ausgewogene Lösung Server Security is Back again PC Server PC Server PC Server PC NC NC 18
Internet Crypt Filial-LAN... PC Firmen-LAN... PC Ethernet Ethernet Server Server Virtual-Private-Network Security-Architekturen Teleworker & Remote-User APPS-Tunnel ISP Internet SEC-Tunnel Router Firewall Remote-User: z.b. SOHO Teleworker: Mobile-Users Firmen LAN 19
Security-Architekturen Intranet Enterprise Security Extranets DMZ Geschäftspartner Produktion VPN Lager Internet VPN Lieferanten Marketing VPN Filialen EDV-Abteilung Außendienst Hybrid-System Grundbegriffe Command Console Sensor Sensor Network Based Sensor Host Based Sensor Hybrid 20
SSL http kontra https Source: SSL http kontra https Intelligent Security- SSL Accelerator...any Firewall... the first step 21
Zutrittskontrolle SecurID-Card PKI! Securitychecks Tigerteam 22
Securitychecks Tigerteam Von außen oder von innen Sensitiv oder aggressiv Aus technischer und/oder organisatorischer Sicht Tigerteam Outsourcing? Sachverständigengutachten Das Problem: Securityzertifikat (Problem: Akkreditierung) Securitychecks Tigerteam External Security Survival Overview : Pauschalpreis: 1.200,- Internal Security Survival Overview : (pro Messpunkt ) Nahpauschale (bis 2 h Fahrzeit v. Wien): 2.000,- Fernpauschale (ab 2 h Fahrzeit v. Wien): 2.250,- Präsentation und Lösungsberatung: (pro Messpunkt ) Nahpauschale (bis 2 h Fahrzeit v. Wien): 500,- Fernpauschale (ab 2 h Fahrzeit v. Wien): 750,- InDepthsAnalysis : 2 4 Tage Tagessatz: 1.500,- Ausfertigung als Gutachten: 15% Aufschlag 23
Conclusio Security ist ein Prozeß!! Nicht eine Person! Nicht ein Produkt!... und Firewalls, VPNs und IDS sind nur ein Teil der Security!!! Security... it s not just VPNs. it s not just Firewalls. it s not just Intrusion Detection.... It s being able to sleep at night. INTERNET-Security Zusammenfassung Rethinking the Future If you think you re good, you re dead! Success in the past has no implication for success in the future. Michael Hammer 24
R.I.C.S. EDV-GmbH Research Institute for Computer Science A-1010 Wien, Trattnerhof 2 Tel.: +43 664 3078688, E-Mail: office@rics.at E-Mail: office@rics.at Für Anfragen stehen wir gerne zur Verfügung! Danke für Ihre Aufmerksamkeit Web: http://www.rics.at 25