IT - Sicherheit Maximilian Zubke zubke@iwi.uni-hannover.de Gäste - & Doktorandenkolloquium 17. Juli 2008 Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine Konstruktionsprinzipien) Das PDCA-Modell Analysen Netzwerksicherheit Grundlegender Aufbau einer Firewall Endian Firewall System Virtual Private Network (VPN) SSH und SSL Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Zentraler sbeauftragter steam der LUH Serviceangebote vom RRZN für die im LUH-Netzwerk Maximilian Zubke # 2 1
Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine Konstruktionsprinzipien) Das PDCA-Modell Analysen Netzwerksicherheit Grundlegender Aufbau einer Firewall Endian Firewall System Virtual Private Network (VPN) SSH und SSL Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Zentraler sbeauftragter steam der LUH Serviceangebote vom RRZN für die im LUH-Netzwerk Maximilian Zubke # 3 Grundlagen der Risiken und Maßnahmen Der Hacker Was kann ich tun? 1. Suche nach Sicherheitslücken (Trojaner) 2. Nutzung von Sicherheitslücken, Ausspähen von Daten 3. Angriff auf weitere PCs (direkt vom Opfer-Computer) 1. Softwareaktualität 2. Personal Firewall 3. Viren und Spyware-Scanner Quelle: RRZN Maximilian Zubke # 4 2
Grundlagen der Allgemeine Konstruktionsprinzipien fail-safe-defaults (Erlaubnisprinzip) complete mediation (Vollständigkeitsprinzip) need-to-know (Minimale Rechtervergabe) economy of mechanism (Akzeptanz/einfache Nutzung) open design (offenes Design) Maximilian Zubke # 5 Grundlagen der DAS PDCA-Modell Problemstellung Anpassen Planen Bewertung Maßnahmen Prüfen Ausführen funktionsfähiges System Maximilian Zubke # 6 3
Grundlagen der DAS PDCA-Modell Strukturanalyse Maximilian Zubke # 7 Grundlagen der Das PDCA-Modell Bedrohungsanalyse Externe Angriffe Interne Angriffe Programmierer u.a. Vandalismus Direkter Speicherzugriff Interne Benutzer Beobachten Passworteing Logische Bomben Verfügbarkeit Speicher belegen Prozesse erzeugen Externe Benutzer / Passwort knacken Netzlast erzeugen Maximilian Zubke # 8 4
Grundlagen der Das PDCA-Modell Schutzbedarfsermittlung 1. Erfassung aller vorhandenen und projektierten IT-Systeme 2. Aufnahme der IT-Dienste 3. Zuordnung der IT-Dienste zu den einzelnen IT-Systemen 4. Klassifizierung des Schutzbedarfs für jedes IT-System Sehr hoch Gateway, Fileserver, Mailserver, Webserver Hoch Backupserver, Niedrig Printserver Maximilian Zubke # 9 Grundlagen der Das PDCA-Modell Risk Analyses (Risikoanalysen) Standardisierte Risikoanalyse Zügige Produktivitätsbereitschaft Eventuelle Sicherheitslücken Detailierte Risikoanalyse Höherer zeitlicher Aufwand Qualitativ hochwertige Strategie Maximilian Zubke # 10 5
Grundlagen der Analysen Maximilian Zubke # 11 Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine Konstruktionsprinzipien) Das PDCA-Modell Analysen Netzwerksicherheit Grundlegender Aufbau einer Firewall Endian Firewall System Virtual Private Network (VPN) SSH und SSL Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Zentraler sbeauftragter steam der LUH Serviceangebote vom RRZN für die im LUH-Netzwerk Maximilian Zubke # 12 6
Netzwerksicherheit Firewall Typen: Bridging-Firewall Routing-Firewall Proxy-Firewall Technologien: Paketfilter Stateful Inspection Contentfilter Maximilian Zubke # 13 Netzwerksicherheit Endian Firewall System Maximilian Zubke # 14 7
Netzwerksicherheit Endian Firewall System Maximilian Zubke # 15 Netzwerksicherheit VPN Verwendete Protokolle: IPsec SSL bzw. TLS PPTP PPPD Netzwerk Maximilian Zubke # 16 8
Netzwerksicherheit SSH und SSL SSH (Secure Shell) Port 22 Sowohl Software als auch Protokoll Ermöglicht authentifizierte und verschlüsselte Verbindung (z.b. SFTP) Mögliche Szenarien Secure System Administration Secure File Transfer Secure Application Tunneling SSL (Secure Socket Layer) Über oberster Transportschicht des OSI-Modells Häufig in Koop. mit HTTP und SMTP Ab Arbeitet ttransparentt Maximilian Zubke # 17 Netzwerksicherheit SSL Secure Socket Layer Maximilian Zubke # 18 9
Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine Konstruktionsprinzipien) Das PDCA-Modell Analysen Netzwerksicherheit Grundlegender Aufbau einer Firewall Endian Firewall System Virtual Private Network (VPN) SSH und SSL Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Zentraler sbeauftragter steam der LUH Serviceangebote vom RRZN für die im LUH-Netzwerk Maximilian Zubke # 19 Bundesamt für Sicherheit in der Informationstechnik Quelle: BSI-Leitfaden Maximilian Zubke # 20 10
Bundesamt für Sicherheit in der Informationstechnik Schadensszenarien Szenario1: Kein Backup Szenario2: Befall durch Computer-Viren Szenario3: Ausfall des Administrators Szenario4: Hackerangriff aus dem Internet Szenario5: Innentäter Quelle: BSI-Leitfaden Maximilian Zubke # 21 Bundesamt für Sicherheit in der Informationstechnik Schadensszenarien Gibt`s am IWI nicht! Szenario1: Kein Backup Szenario2: Befall durch Computer-Viren Szenario3: Ausfall des Administrators Szenario4: Hackerangriff aus dem Internet Szenario5: Innentäter Quelle: BSI-Leitfaden Maximilian Zubke # 22 11
Bundesamt für Sicherheit in der Informationstechnik Die häufigsten Versäumnisse Unzureichende IT-Strategie Schlechte Konfiguration von IT-Systemen Unsichere Vernetzung und Internet-Anbindung Nichtbeachtung von Sicherheitserfordernissen Schlechte Wartung von IT-Systemen Sorgloser Umgang mit Passwörtern und Sicherheitsmechanismen Mangelhafter Schutz vor Einbrechern und Elementarschäden Quelle: BSI-Leitfaden Maximilian Zubke # 23 Exkurs: Die häufigsten Versäumnisse Stand am IWI? Unzureichende IT-Strategie Schlechte Konfiguration von IT-Systemen Unsichere Vernetzung und Internet-Anbindung Nichtbeachtung von Sicherheitserfordernissen Schlechte Wartung von IT-Systemen Networkmonitoring Sorgloser Umgang mit Passwörtern und Sicherheitsmechanismen Mangelhafter Schutz vor Einbrechern und Elementarschäden Maximilian Zubke # 24 12
Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine Konstruktionsprinzipien) Das PDCA-Modell Analysen Netzwerksicherheit Grundlegender Aufbau einer Firewall Endian Firewall System Virtual Private Network (VPN) SSH und SSL Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Zentraler sbeauftragter steam der LUH Serviceangebote vom RRZN für die im LUH-Netzwerk Maximilian Zubke # 25 an der Zentraler sbeauftragter Konzeption, Umsetzung und Überwachung der Informations- und Datensicherung an der LUH Initiiert, steuert und kontrolliert den Informationssicherheitsprozess (unter Beteiligung des Sicherheitsstabs) Berichtet Präsident und Senat Vorschläge bezgl. Maximilian Zubke # 26 13
an der Zentraler sbeauftragter Maximilian Zubke # 27 an der steam der LUH Maximilian Zubke # 28 14
an der Serviceangebote vom RRZN Im Rahmen einer Landeslizenz steht der Leibniz Universität Hannover die Antivirensoftware von Sophos zur Verfügung. Das Programm kann kostenlos von Mitarbeitern und Studierenden auf universitätseigenen Rechnern und privat genutzt werden. Programm und automatische Updates werden für die Betriebssysteme Windows 98/ME/NT4, Windows 2000/ XP/2003/Vista, Mac OSX und Linux angeboten. Quelle: RRZN Maximilian Zubke # 29 an der Serviceangebote vom RRZN VPN-Nutzung des UHWLAN Quelle: RRZN Maximilian Zubke # 30 15
an der Serviceangebote vom RRZN Weitere Service Angebote zur Optimierung der RRZN-Netzschutz für Institute (Firewall) Digitale Zertifizierung durch die UH-CA (Universität Hannover Certification Authority) Abonnement von durch das DFN-CERT verschickten Warnmeldungen (bspw. Sicherheitslücken) Interner Software Update Service (WSUS) Maximilian Zubke # 31 Vielen Dank für Ihre Aufmerksamkeit Kontakt: Maximilian Zubke Königsworther Platz 1 30167 Hannover Tel: 0511/762-4978 E-Mail: zubke@iwi.uni-hannover.de Gäste - & Doktorandenkolloquium 17. Juli 2008 16