SPAM 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN DPZ O

Präsentation zum Thema: "SPAM 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN DPZ O"—  Präsentation transkript:

1 SPAM 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN DPZ O
10/2003 Andreas Ißleiber O C S C I E M T S Y S S C O I S C Y S T S M E S 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN SPAM POWER UPPER CISCO S YSTEMS LOWER POWER NORMAL Andreas Ißleiber

2 SPAM Was ist SPAM ? Unverlangt zugeschickte eMails
10/2003 Andreas Ißleiber Was ist SPAM ? Unverlangt zugeschickte s Der Begriff: Spam, eine Kurzform für "Spiced Pork And Meat", bezeichnet ein rechteckiges und in Dosen gepreßtes Frühstücksfleisch. (Sketch der britischen Komiker Monty Pyton) UCE der korrekte Begriff (Unsolicited Commercial ) UBE (Unsolicited Bulk ) 2,5 Mrd. Euro Produktivitätsverlust in 2002 für Unternehmen in der EU Starkes Interesse der Provider an Vermeidung von SPAM, da direkter finanzieller Schaden

3 SPAM 10/2003 Andreas Ißleiber Was ist SPAM ? Quasi kommerzielle Nutzung des Medium durch SPAM Größter Anteil ist die produkt-bezogene Werbung

4 SPAM 10/2003 Andreas Ißleiber Wie entsteht SPAM ? Durch Handel von Adressen. Es existieren Datenbanken, mit mehr als n*10^5 -Adressen Address-Harvester sind Programme, die Web-Seiten und News Listen nach -Adressen durchsuchen. Für einen “Werbetreibenden” ist SPAM billiger als FAX, oder Briefwerbung Juristische Grundlage noch nicht ausreichend, daher nutzen „Werbetreibende“ teilweise legal das Medium für Massenmails Anstieg der SPAM-Raten durch Problem der Rückkopplung zwischen „SPAM-Filtern“ und SPAM-Versender. Je besser die Filter, desto mehr SPAM muss versendet werden. Das wiederum verbessert die Filter und erhöht erneut die SPAM-Rate …

5 SPAM Wie “tarnt” sich SPAM ?
10/2003 Andreas Ißleiber Wie “tarnt” sich SPAM ? Pseudo-Text: Text wird mit Leerzeichen oder Zeichen, die Buchstaben ähneln, ergänzt Bsp.: z.B. V I A G R A, S*E*X oder günstiger KRED1T Einfügen von syntaktisch korrekten Zeichen z.B. in HTML Code Bsp: Zeichenkette Via<!---xyz--->gra s werden als gesamte Grafik (JPG,GIF etc.) verschickt, sodass Textfilter nicht funktionieren können Nutzung legaler adressen um „black lists“ zu umgehen Problem!: Kann nach kurzer Zeit für die "misbrauchte" Domain durch "Bounces" ( Rücksendungen) zum Kollaps des Mailserver führen, da ggf. mehr als n*10^3 s zurückkommen

6 SPAM Wie “tarnt” sich SPAM ?
10/2003 Andreas Ißleiber Wie “tarnt” sich SPAM ? Zufälliger Text im „Subject“. Dadurch werden Filter ausgehebelt, die nach „eindeutigem“ Text im Subject suchen Ähnliche -Adressen des SPAM Zieles werden ausprobiert Empfänger ist: SPAM-Absender ist: etc. Falsche Zeitangabe in der . Zeitpunkt liegt in er Zukunft, damit die beim Empfänger immer „oben“ im Folder angezeigt wird

7 SPAM SPAM bekämpfen ! Wie ? Durch Benutzerverhalten
10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Durch Benutzerverhalten vertrauliche Behandlung der eigenen -Adresse Auf Webseiten & NEWS Listen zweit- -Adressen angeben (von Fre ern etc.) Keine SPAM s beantworten Einsatz vom SPAM Filtern auf IP-Ebene beim Mailserver RBL-Listen: Real-Time Black Lists Vorteil: - Einfache Integration im Mailer - Provider wird gezwungen, etwas gegen SPAM zu unternehmen Nachteil: - Oft sind große Provider in den Listen (t-online.de etc.) - verwirrende Vielfalt an Listen

8 SPAM SPAM bekämpfen ! Wie ?
10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Teergruben Die wird zunächst angenommen, aber mit dem Eintreffen weiterer s derselben Adresse innerhalb des kritischen Zeitfensters der entsprechende Netzwerkverkehr serverseitig künstlich verlangsamt

9 SPAM SPAM bekämpfen ! Wie ? (quasi) Mail Proxy
10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? (quasi) Mail Proxy Nachteil: Ist nur für vereinzelte Benutzer nutzbar WhiteLists (auf MailServer- oder Benutzerebene) Liste der Benutzer ( -Adressen, von denen in jedem Fall empfangen werden soll Content-Filter Durchsucht die nach bestimmten Schlüsselwörtern. Für sich allein nicht ausreichend und erzeugt häufig “Falschmeldungen” Zweiter Mailserver Über einen zweiten Mailserver wird die auf SPAM geprüft und übergibt die “korrekten” s an den “eigentlichen” Mailserver

10 SPAM SPAM bekämpfen ! Wie ? Kombination mehrerer Methoden
10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Reihenschaltung Kombination mehrerer Methoden Eine Kombination diverser Erkennungsmethoden verbessert die SPAM-Filterqualität deutlich Verkettung unterschiedlicher Methoden blockiert ggf. zu früh die Nachricht „false positive“ Parallelschaltung Das Einzelergebnis jeder Filtermethode fließt in das Gesamtergebnis ein. Falsch Positiv Meldungen einzelner Methoden führen seltener zum fälschlichen Blockieren der

11 SPAM SPAM bekämpfen ! Wie ? Bayes Filter
10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Bayes Filter z.Zt. modernste Methode ( Bayes'sche Filter sind selbstlernend Der Algorithmus berechnet anhand der in der enthaltenen Wörter die Wahrscheinlichkeit, dass es sich um Spam-Mail handelt Worthäufigkeiten in bereits vom Benutzer klassifizierten s werden erfasst Mozilla setzt diesen Filter im Mailclient ein Filter für diverse Anwendungen (MUA) verfügbar unter … Nachteil: Benötigt eine relativ große Menge an bereits klassifizierten s für eine gute Erkennungsrate

12 Spam Assassin http://www.spamassassin.org
10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Spam Assassin Mit SPAM Assassin wird jede eingehende nach bestimmten Kriterien untersucht und die SPAM Wahrscheinlichkeit durch ein Punktesystem ermittelt Über eigene Blacklists (RBL) können Domainen automatisch abgewiesen werden SPAM: Start der SpamAssassin Auswertung SPAM: SPAM: Diese Mail ist wahrscheinlich Spam. Die Orginal-Nachricht wurde SPAM: geaendert, so das Sie aehnliche Mails in der Zukunft besser SPAM: erkennen und blockieren koennen. SPAM: Weitere Detals finden Sie unter der URL SPAM: Details der Inhaltsanalyse: (5.00 Punkte, 5 benoetigt) SPAM: INVALID_DATE (1.5 points) Ungueltiges Datum: Header enthaelt AM/PM-Angabe SPAM: NO_REAL_NAME (1.3 points) From: enthaelt keinen echten Namen SPAM: TO_BE_REMOVED_REPLY (0.4 points) BODY: Behauptet: "to be removed, reply via " oder aehnliches SPAM: SPAM_PHRASE_03_05 (1.1 points) BODY: Spam phrases score is 03 to 05 (medium) SPAM: [score: 3] SPAM: LINES_OF_YELLING (0.2 points) BODY: A WHOLE LINE OF YELLING DETECTED SPAM: SUBJ_ALL_CAPS (0.5 points) Subject: komplett in Grossbuchstaben SPAM: Ende der SpamAssassin Auswertung

13 SPAM SPAM bekämpfen ! Wie ?
10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Beispiel Header einer SPAM , erweitert durch Spam Assassin Spam Assassin benutzt dabei diverse Module und Tests Return-path: Envelope-to: Delivery-date: Tue, 04 Nov :49: Received: from [ ] (helo=mhi.tu-graz.ac.at) by mailer.gwdg.de with esmtp (Exim 4.20) id 1AGoSH-0006cj-5N for Tue, 04 Nov :49: Received: from by smtp.mega.co.za; Mon, 03 Nov :47:49 Date: Mon, 03 Nov :47: To: Message-ID: From: "Katina E. Hatch" MIME-Version: 1.0 Subject: Whateve=?ISO ?B?ciB3b3I=?=ks better Content-Type: text/html; charset="us-ascii" Content-Transfer-Encoding: 8bit X-Spam-Level: X-Spam-Flag: YES X-Spam-Report: Content analysis: 6.7 points, 6.0 required 2.0 DIET BODY: Lose Weight Spam 0.2 HTML_MESSAGE BODY: HTML included in message 0.4 HTML_70_ BODY: Message is 70% to 80% HTML 0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts 2.8 HTML_IMAGE_ONLY_ BODY: HTML: images with bytes of words 0.7 BIZ_TLD URI: Contains a URL in the BIZ top-level domain X-Virus-Scanned: (clean) by exiscan+sophie

14 SPAM SPAM … die Zukunft … SPAM ist in Europa nun „illegal“
10/2003 Andreas Ißleiber SPAM … die Zukunft … SPAM ist in Europa nun „illegal“ Seit dem 31. Oktober 2003 gibt es eine neue Datenschutzrichtlinie für EU Mitgliedsstaaten. Die Werbung über elektronische Medien ist nur noch erlaubt, wenn sie der Aufrechterhaltung bestehender Kundenbeziehungen dient oder vom Empfänger eindeutig erwünscht ist (Opt-in). Ebenfalls rechtswidrig ist das Fälschen der Absender und Antwortadressen. Die EU Mitgliedsstaaten sind ab dem 01. November dazu verpflichtet, die Richtlinien anzuwenden und durchzusetzen. Wie sie dies gestalten, bleibt jedoch den einzelnen Staaten überlassen. Neues Mailprotokoll „AMTP“ Authenticated Mail Transfer Protocol auf SMTP aufbauendes Protokoll für einen authentifizierten Austausch von Mails. Die Identität der Mailserver wird via X509-Zertifikaten überprüft

15 SPAM Fazit zum Thema SPAM:
10/2003 Andreas Ißleiber Fazit zum Thema SPAM: Eigenen -Server mit SPAM Filterprogrammen ausstatten Einsatz von SpamAssassin als Filter darf einem Benutzer nicht! Vorenthalten bleiben. Der Benutzer selbst entscheidet, was mit SPAM geschehen soll (Markierung der mit SPAM Flags -> Benutzer kann selbst Filter definieren) Darauf achten, dass der eigene -Server kein „open relay“ darstellt Einstellen von WhiteLists ermöglichen Nutzung von RBL fraglich. Ggf. zugunsten von guten Filtern darauf verzichten. Den eigenen Benutzern ein zweite, alternative -Adresse vergeben, die dann für „unsichere“ Dienste benutzt werden kann (Eintragen auf Webseiten, News-Listen etc.) Zentralen Virenscanner auf dem Mailserver einsetzen (Schützt zwar nicht vor SPAM, ist aber mittlerweile unverzichtbar)

16 Sicherheit in Netzen DPZ 11/2003
10/2003 Andreas Ißleiber O C S C I E M T S Y S S C O I S C Y S T S M E S Sicherheit in Netzen Sicherheit POWER UPPER CISCO S YSTEMS LOWER POWER NORMAL Andreas Ißleiber

17 Sicherheit in Netzen DPZ 11/2003
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in Netzen DPZ 11/2003 10/2000 Andreas Ißleiber Einsatz von Firewalls Internet Transparente FW: Vorteil: Die bisherige Netzstruktur kann beibehalten bleiben Eine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen Router DMZ Die FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen. Ggf. Firewalls mit mehreren Ports einsetzen, damit auch andere Abteilungen getrennt geschützt werden können (Verwaltung) Firewall FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-Adresse Nachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich DMZ Öffentliche Server Web,Mail,DNS, etc. IP: GW: NAT NAT& IP Umsetung IP: GW: IP: GW: LAN NAT<->IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich. Server ist vom Internet erreichbar IP: Externe IP: GW: Lokaler Server: IP: GW: Lokaler Server: IP: GW:

18 Sicherheit in Netzen DPZ 11/2003
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in Netzen DPZ 11/2003 10/2000 Andreas Ißleiber Aufteilung der internen- und öffentlichen Dienste Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen. Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT-Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich -> Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider und via VPN ins eigene Netz Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkressourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt. Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren verschlüsselte Verfahren CHAP(MS-CHAP V2), oder Zertifikate verwendet werden DMZ ist i.d.R. selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken durch die FW geschützt Internet Firewall Firewall LAN DMZ ! öffentliche Server Web,Mail,DNS, etc. internes Netz Grundregeln auf der FW: Quelle Dienst allow / reject Ziel DMZ alle P Internet LAN alle P Internet LAN alle P DMZ Internet alle O LAN Internet alle/einige O DMZ DMZ alle O LAN

19 Sicherheit in Netzen DPZ 11/2003
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in Netzen DPZ 11/2003 10/2000 Andreas Ißleiber Typisches Scenario Übergeordneter DNS Internet DMZ Internes LAN RAS-Server greift auf die Paßwörter des PDC (1) zurück Firewall 3 2 5 1 Zentraler PDC der Domäne B RAS-Server als Mitglied der Domäne A DNS und Webserver Mailserver und PDC der Domäne A Zentraler Terminalserver 4 Erforderliche Regeln auf der FW: Quelle Dienst allow / reject Ziel Bemerkung Internet SMTP(25) P (1) Mailgateway (6) DNS(53) P (2) Zonentransfer (TCP & UDP) Internet http(80) P (2) Webzugriff LAN alle P Internet DMZ alle P Internet LAN alle O DMZ Internet alle O LAN Internet alle O DMZ DMZ alle O LAN Mailserver (PDC) in DMZ DNS & Webserver in DMZ PDC im LAN (geschützt) Clients im LAN (geschützt) RAS-Server in DMZ 1 2 3 4 5

20 Sicherheit in Netzen DPZ 11/2003
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in Netzen DPZ 11/2003 10/2000 Andreas Ißleiber Mehr Sicherheit durch VPN Internet- router VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken Einige FW sind gleichzeitig in der Lage, VPN zu Terminieren/tunneln (VPN-Gateway) Als Verschlüsselunbgsverfahren sollte IPSEC/3DES eingesetzt werden Wenn administrative Zugriffe auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung von VPN eine ideale Lösung Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server VPN Clients aus dem Internet oder Fremd-Provider VPN-Tunnel VPN-fähige Firewall DMZ LAN RAS, Einwahl- Server, CHAP Internes Netz VPN-Tunnel VPN Clients über ein Einwahlserver

21 Sicherheit in Netzen DPZ 11/2003
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in Netzen DPZ 11/2003 10/2000 Andreas Ißleiber Benutzung von "privaten" Netzadressen Rechner mit Internetzugang Rechner ohne Internetzugang (public) Server mit Internetzugang Router 1 „Private Networks“ sind IP-Adressen die nach „rfc“ im Internet nicht geroutet werden und damit für externe Netze unsichtbar sind Windows (sowie auch LINUX etc.) erlaubt die gleichzeitige Verwendung mehrer IP-Adressen Dies kann die Sicherheit erhöhen, wenn keine FW installiert ist "private networks" ersetzten jedoch nicht eine FW Bei Windows wird lediglich die erste vergebene IP-Adresse für NetBIOS verwendet, welche dann aus dem „Private Network“ kommen sollte Alle Rechner mit "private network"-Adressen sind lokal erreichbar, aber im Internet unsichtbar Clients können auch mit nur! „Private Network“ Adressen betrieben werden. Dabei können … - Web-Proxy Server - lokaler Server … die Kommunikation zum Internet aufbauen 2 3 Internet 4 Gateway (gw): 3 1 IP(1): IP(2): Gw: 2 Webserver IP(1): IP(2): Gw: IP(1): Privates Netz: Öffentliches Netz:

22 Die richtige VPN Lösung für das Institut finden …
10/2003 Andreas Ißleiber Die richtige VPN Lösung für das Institut finden … Die Beantwortung folgender Fragen sind bei der Auswahl entscheidend: Wie viele Benutzer werden das VPN in Anspruch nehmen? Wie „schnell“ ist der Internetzugang ? Welche Art des Zugangs werden die User verwenden? Verbinden sich die User zeitweise oder permanent ? Welche Zielnetze sind via VPN zu erreichen ? Wie groß ist das zu erwartende Datenvolumen? Ist eine Backup-Verbindung notwendig? Benötige ich eine Redundanz ? Wie „komplex“ ist die Integration (auch etwaiger Clients auf PCs) ? Soll das VPN eine Mischform des Zugangs ermöglichen (Site-to-Site & End-to-Site) ? Soll das VPN System skalierbar sein ? Welche Authentifizierung soll möglich sein (Zertifikate, Smartcard, PKI) ? Muss das VPN zu einer bestehenden User-Datenbank authentifizieren können (RADIUS, ADS, YP) ? Einsatz standardisierter Systeme oder „Bastel-Lösungen“ (…kann der Kollege das VPN Gateway auch administrieren ?) C O I S C M E S Y S T S C C I S O Y S M E T S S POWER CISCO UPPER S YSTEMS POWER LOWER NORMAL

23 Alternativen zu VPN SSH Standleitungen Portale C O I S C M S Y T E S S
10/2003 Andreas Ißleiber Alternativen zu VPN SSH Standardisiert Große Verbreitung Oft als „Bastellösungen“ eingesetzt, wenn „reales“ VPN dadurch ersetzt werden soll Tunneln von PPP möglich (PPP-over-SSH) Nachteile der höheren Protokolle, da Layer 7 PGPNet Standleitungen Teuer Unflexibel Einfach in der Handhabung Portale WebPortale mit Authentifizierung Server als Portal C O I S C M S Y T E S S C O I C S S Y S T E M POWER UPPER CISCO YSTEMS S LOWER POWER NORMAL

24 Sicherheit in Netzen DPZ 11/2003
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in Netzen DPZ 11/2003 10/2000 Andreas Ißleiber Personal Firewalls auf Client Systemen Vorteil: Günstiger Preis, wenn wenige Rechner geschützt werden müssen Kein "single point of failure" im Vergleich zur zentralen FW Nachteil: Jeder einzelne Rechner wird durch die "Software" Firewall belastet Keine(bzw. selten) einheitliche Policies Teilweise unzureichender Schutz vor Angriffen Kombination aus zentraler- und personal FW nicht sinnvoll FW ist nicht ohne "tiefere" Kenntnisse des Benutzers konfigurierbar Hoher Verwaltungsaufwand Betriebsystemabhängig Fazit Personal Firewalls ersetzen keine zentrale FW Sie bieten, i.d.R.nur! bei fachgerechter Konfiguration einen ausreichenden Schutz vor Angriffen

25 Sicherheit in Netzen DPZ 11/2003
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in Netzen DPZ 11/2003 10/2000 Andreas Ißleiber Fazit: Einsatz einer zentralen, redundaten Firewall Einrichtung eines VPN Gateways für die Zugänge der Benutzer auf das Internet Netz Einsatz zentraler Virenscanner Absichern eine etwaigen VPN Gateways innerhalb des Netzes Trennung von öffentlichen und internen Diensten auf Servern Einsatz von „Personal Firewalls“ auf Client PC sollte nicht (mehr) erforderlich sein Einsatz von ProxyServern (WEB-Proxy) erlaubt die Verwendung von „Private Network“ Adressen auf den Clients

26 SPAM & Sicherheit in Netzen
10/2003 Andreas Ißleiber ? C O I S C M Y S S T E S Vielen Dank! C I S C O S Y T M S E S … Fragen CISCO POWER UPPER S YSTEMS LOWER POWER NORMAL und Diskussionen! Vortrag ist unter: … zu finden

27 Sicherheit in Netzen DPZ 11/2003
10/2003 Andreas Ißleiber O C S C I E M T S Y S S C O I S C Y S T S M E S Sicherheit in Funk LANs Sicherheit POWER UPPER CISCO S YSTEMS LOWER POWER NORMAL Andreas Ißleiber

28 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Die Gefahren: Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der Hardware entwendet) Fremde „Accesspoints“ inmitten eines Netzes fangen „legale“ Benutzer ab FunkLAN hinter einer Firewall betrieben, öffnet das Netz Funk-Reichweite der Accesspoints wird unterschätzt Wardriver: Laptops mit freier Software „Netstumbler“ und „Airsnort“ in Kombination mit GPS Empfängern spüren WLANs auf Wardriving Forum Wardriver Wardriver (heise)

29 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Verfahren zur Absicherung: Wired Equivalent Privacy (WEP, WEP2) Allgemeines Bestandteil des Standards b Benutzt den RC4 Algorithmus von RSA Security Inc. Schlüsselstärken 40-Bit oder 104-Bit 24-Bit Initialisierungsvektor Vorteile von WEP In jedem b Gerät verfügbar Hardwareunterstützt Softwareunabhängig Nachteile von WEP Manuelle Schlüsselverwaltung Keine Benutzerauthentifizierung 40-Bit Schlüssel gelten als nicht sicher RC4-Algorithmus hat Designschwächen Key kann kompromittiert werden, beim „Mithören“ eines ausreichenden Datenvolumina Wird „Hardware“ (AP) gestohlen, ist auch der WEB Key in Gefahr

30 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Verfahren zur Absicherung: Wired Equivalent Privacy (WEP) IEEE i Ziel: Die aktuelle MAC zu verbessern um mehr Sicherheit zu gewährleisten WEP2 mit stärkerer Verschlüsselung Benutzerauthentifikation Fazit WEP ist besser als keine Verschlüsselung WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) WEP ist nicht zukunftssicher 1)

31 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines Microsoftspezifische Implementierung des PPTP Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung Drei Versionen: PAP, MS-CHAPv1 und MS-CHAPv2 Benutzerauthentifikation Benutzerauthentifikation notwendig Password Authentification Protocol (PAP) Challenge Handshake Protocol (CHAP) Verschlüsselung Microsoft Point to Point Encryption (MPPE) Benutzt den RC4 Algorithmus von RSA Security Inc. 40-Bit oder 104-Bit Schlüssellängen

32 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP) Vorteil von MS-PPTP Auf allen gängigen MS-Betriebssystemen verfügbar Bietet Verschlüsselung und Benutzerauthentifizierung Nachteile von MS-PPTP 40-Bit Schlüssel gelten als nicht sicher MS-CHAPv1 hat schwere Sicherheitslücken Protokoll hat Designschwächen Fazit MS-PPTP ist besser als keine Verschlüsselung MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) MS-PPTP ist nicht zukunftssicher 1)

33 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Verfahren zur Absicherung: Internet Protocol Security (IPSec) Allgemeines Erweiterung der TCP/IP Protokollsuite Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit Integraler Bestandteil von IPv6 (IPnG) Transportmodus nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) Vorteil: geringer Overhead gegenüber IPv4 Nachteil: Jeder Teilnehmer muss IPSec beherrschen Tunnelmodus Komplettes IP-Paket wird verschlüsselt Tunnel zwischen zwei Netzen möglich Vorteil: Nur Tunnelenden müssen IPSec beherrschen Nachteil: Nur Verschlüsselung zwischen den Tunnelenden

34 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Verfahren zur Absicherung: Internet Protocol Security (IPSec) Vorteile von IPSec Standard auf vielen Plattformen verfügbar Keine festgelegten Algorithmen Keine bekannten Designschwächen Nachteile von IPSec Keine Benutzerauthentifikation Clients müssen korrekt konfiguriert werden Fazit IPSec ist besser als keine Verschlüsselung IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) IPSec gilt als zukunftssicher IPSec ist i.d.R eine gute Wahl

35 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Verfahren zur Absicherung: Service Set Identifier (SSID) Allgemeines Identifier für Netzwerksegment (Netzwerkname) Muss für den Zugriff bekannt sein Vergleichbar mit einem Passwort für das Netzwerksegment Wird auch als „closed user group“ bezeichnet Vorteile Softwareunabhängig Schnell und einfach einzurichten Nachteile Muss jedem Teilnehmer bekannt sein Nur ein SSID pro AP Lässt sich in großen Netzen nicht wirklich geheim halten (offenes Geheimnis)

36 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber Verfahren zur Absicherung: Media Access Control (MAC) Address Filtering Allgemeines Filtern der MAC-Adressen der zugreifenden Clients MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server Lokal= hoher Verwaltungsaufwand, alle AP´s benötigen die gleichen MAC-Listen Zentral=einfache, zentrale Datenbasis, einfaches Management (MAC-Datanbank auf RADIUS-Server) Vorteile Software- & Clientunabhängig Keine Aktion des Benutzers notwendig Nachteile Jede berechtigte Netzwerkkarte muss erfasst werden MAC-Adressen lassen sich leicht fälschen

37 Sicherheit in FunkLANs & lokalen Netzen
10/2003 Andreas Ißleiber 3/2003, Andreas Ißleiber Überblick über diverse Sicherheitsmechanismen Klassische Sicherheitsmechanismen WEP, WEP+ MAC-Adressen Authentifikation SSID VPN mit: - PPTP - MS-PPTP - IPSec EAP-TLS & TTLS (802.1x) (Extensible Authentication Protocol - Transport Layer Security) PEAP (Protected EAP) LEAP (Lightweight EAP) Moderne Sicherheitsmechanismen als Alternativen zum VPN

38 SPAM & Sicherheit in Netzen
10/2003 Andreas Ißleiber 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen (WLAN und lokale Netze) EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security) 802.1x -> Authentifizierung auf Portebene (nicht nur für FunkLANs) 802.1x bietet allein keine Verschlüsselung (erst Kombination mit „EAP“-TLS) Switchport „blockiert“ bis zur vollständigen Authentifizierung (Zutrittsregelung bereits am „Eingang“ des Netzwerkes) Layer 2 Verfahren -> Protokollunabhängig (Übertragung von AP,IPX/SPX,NetBEUI etc.) EAP-TLS & 802.1x oft als Kombination eingesetzt nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf ADS,YP,NT-Domains etc. zurückgreifen) Client Authentifizierung erfolgt auf „Link Layer“. IP-Adressen sind zu diesem Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP vergeben) 802.1x Standard:

39 SPAM & Sicherheit in Netzen
10/2003 Andreas Ißleiber 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen (WLAN und lokale Netze) 802.1X Prinzip W2K (ADS) RADIUS-Server Proxy-Server Authentication Server Supplicant oder Bittsteller YP/NIS Authenticator 802.1x fähiger L2 Switch Netz NT4 Domain Client fragt nicht direkt den RADIUS Server Bei existierendem „nicht 802.1x fähigem RADIUS Server -> „Proxy Server“

40 SPAM & Sicherheit in Netzen
3/2003, Andreas Ißleiber 10/2003 Andreas Ißleiber Moderne Sicherheitsmechanismen (WLAN und lokale Netze) VLAN: (Virtual LAN) + Durch extra „tagging“ Feld getrennt von anderen Netzwerkverkehr + Layer 2 Technik, daher Multiprotokollfähig + Auf modernen Switches nahezu überall verfügbar Komplexe Struktur Aufwendige und arbeitsintensive Integration VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit Packetfilter, Firewall erforderlich)

41 SPAM & Sicherheit in Netzen
10/2003 Andreas Ißleiber FunkLAN Client sicher machen Absicherung der Funk Clients Selbst der Einsatz von VPN enlastet nicht davor, den lokalen Rechner „sicher“ zu machen Trennen der LAN-Manager Dienste (Bindungen) Um den Zugriff im internen VLAN (vor der Authentifizierung) Fremder zu vermeiden, ist die Trennung von LM zum Funkinterface sinnvoll Laufwerksfreigaben im FunkLAN vermeiden Freigaben von Ressourcen des Clients erlauben den Zugriff Fremder auf den eigenen Client Personal Firewall auf Client Zur Absicherung des Clients ist ggf.eine Personal Firewall sinnvoll (Achtung: für IPSec FW öffnen).

42 SPAM & Sicherheit in Netzen
10/2003 Andreas Ißleiber Fazit … Die allumfassende und einfache Sicherheitslösung für LANs und FunkLANs gibt es nicht Ziel sind moderne Authentifizierungsverfahren über Layer 2 Gutes Verfahren: Zertifikate zur Authentifizierung in Kombination mit Benutzername/Passwort IPSec immer noch die sichere Lösung Offen bleiben hinsichtlich EAP-TLS (TTLS) & 802.1x zur Authentifizierung Bislang ist die Kombination aus zentraler, redundanter Firewall mit mehreren Ports und ein VPN Gateway (noch) die „sichere“ Lösung C O I S C M E S Y S T S C C I S O Y S M E T S S POWER CISCO UPPER S YSTEMS POWER LOWER NORMAL

43 SPAM & Sicherheit in Netzen
10/2003 Andreas Ißleiber Weiterführende Links und Quellen ... SPAM (Heise Verlag) Benutzer-Authentifizierung durch IEEE 802.1x WLAN Standards

44 SPAM & Sicherheit in Netzen
10/2003 Andreas Ißleiber ? C O I S C M Y S S T E S Vielen Dank! C I S C O S Y T M S E S … Fragen CISCO POWER UPPER S YSTEMS LOWER POWER NORMAL und Diskussionen! Vortrag ist unter: … zu finden