Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Institut für Wirtschaftsinformatik, Produktionswirtschaft und Logistik Tätigkeitsbereich Wirtschaftsinformatik

Ähnliche Präsentationen


Präsentation zum Thema: "Institut für Wirtschaftsinformatik, Produktionswirtschaft und Logistik Tätigkeitsbereich Wirtschaftsinformatik"—  Präsentation transkript:

1 Institut für Wirtschaftsinformatik, Produktionswirtschaft und Logistik Tätigkeitsbereich Wirtschaftsinformatik University of Innsbruck Information Systems Sicherheit im Netzwerk

2 Angriffe auf Softwareschwächen –Fehler in Softwareimplementierungen (häufig sog. Pufferüberlauf) können genutzt werden um Schadroutinen einzuschleusen und auszuführen –Gegenmaßnahmen: Installation aktueller Upgrades, Verwendung von Open-Source-Software (schnellere Updateverfügbarkeit). Angriffe auf konzeptionelle Schwächen der Netzwerkprotokolle –Z.B. Man-in-the-middle-Angriff: Durch Umleiten des Datenverkehrs zwischen zwei Rechnern (ARP-Spoofing, DNS-Spoofing, DNS-Cache Poisoning, …) über den Rechner des Angreifers kann der Datenverkehr mittels Sniffer-Software mitgehört und ausspioniert werden. –Besonders gefährdet sind unverschlüsselte Protokolle wie POP3, SMTP, IMAP, Telnet, HTTP –Gegenmaßnahmen: Verschlüsselung der Datenpakete, Paketfilter (Firewalls) die von außen kommende Pakete mit Quelladressen von innenliegenden Rechnern und ausgehende Datenpakte mit im Intranet nicht verwendeten Quelladressen verwerfen. Angriffe auf Dienste –Denial of Service (DoS) und Distributed-DoS (DDoS) -Attacken mit dem Ziel einen Dienst auf einem Server arbeitsunfähig zu machen. –Gegenmaßnahmen: Intrusion Detection Systeme (IDS) die frühzeitig anhand typischer Anfragemuster Attacken erkennen, Verantwortliche informieren und im Idealfall auch Gegenmaßnahmen vorschlagen oder sogar einleiten. Weitere Angriffsarten –Malware: Computerviren und Würmer, Trojanische Pferde, Dialer, Spyware –Phishing: Umleiten auf gefälschte WEB-Seiten zur Erschleichung von Zugangsdaten –Brute-Force-Attacke: Computergestütztes Durchprobieren von Paßwörtern –Sozial Engineering: Herauslocken/-finden von Zugangsdaten durch Überreden, unter Druck setzen, Datenrecherche im Internet –Gegenmaßnahmen: Antiviren-Software, Application-Layer-Firewall, verantwortungsvolle Internetnutzung University of Innsbruck / Information Systems2 Potentielle Bedrohungen in Netzwerken

3 Datenverlust: –Wichtige Daten werden absichtlich gelöscht Datenmanipulation: –Absichtliche Verfälschung von Daten z.B. in Bilanzen oder auch in Softwarecodes Unbefugter Zugriff: –Unternehmensgeheimnisse gelangen in die Hände Dritter Mißbrauch von Ressourcen: –Hard- und Software des Unternehmens werden für fremde Zwecke mißbraucht, z.B. Versenden von SPAM-Mails … Ausfallzeit: –Ständig benötigte Infrastrukturdienste sind nicht erreichbar, wodurch finanzieller (Produktionsausfall od. –Verzögerung) und auch Imageschaden entstehen kann (z.B. Nichterreichbarkeit einer Webseite) University of Innsbruck / Information Systems3 Auswirkungen von Sicherheitslücken

4 Vertraulichkeit –Nachricht ist vor dem Zugriff durch Dritte geschützt Authentizität –Der Sender einer Nachricht ist eindeutig identifizierbar Integrität –Die Nachricht blieb auf dem Weg vom Sender zum Empfänger unverändert Verbindlichkeit –Der Sender kann die Urheberschaft der Nachricht nicht leugnen, –Der Empfänger kann den Erhalt der Nachricht nicht abstreiten University of Innsbruck / Information Systems4 Anforderungsprofil „Sichere Kommunikation“

5 Technische Maßnahmen –Filterung des Datenverkehrs mittels Firewalltechnologien –Überwachung des Datenverkehrs mittels IDS/IPS- Technologien (Intrusion Detection/Prevention Systems) ‏ –Verschlüsselung des Datenverkehrs (Kryptographie) ‏ –Public Key Infrastructure (Zertifikate) ‏ –Authentifizierung (z.B. Kerberos-Protokoll) ‏ –Proxy (Stellvertreter), NAT und PAT (Network Adress/Port and Adress Translation) ‏ –Virtual Private Network (VPN) ‏ Organisatorische Maßnahmen –Benutzersensibilisierung –Unternehmensrichtlinien (z.B. Regelm. Passwortänderung, …) ‏ –Benutzerschulung University of Innsbruck / Information Systems5 Maßnahmen zur Erreichung von Sicherheit - Überblick

6 Personal- oder Desktop/Software-Firewalls –Softwareprogramme, die lokal auf dem zu schützenden Rechner installiert werden um den Datenverkehr zwischen ihm und dem Netzwerk zu dem er gehört zu kontrollieren. –Beispiele: Windows Firewall (ab XP SP2), ZoneAlarm, Norton Personal Firewall, AtGuard, … Netzwerk- oder Enterprise Firewalls –Ein Gerät das den Datenverkehr zwischen mindestens zwei Netzwerken (oft auch deutlich mehr) kontrolliert. Kann als Software auf Rechnern implementiert werden (z.B. Check-Point-Firewall 1, Microsoft ISA Server, IPCop, Endian Firewall, Shorewall, Astaro Security Linux, …), oder in Form eigenständiger Hardware („Firewall-Appliance“) die eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software umfasst (z.B. Cisco ASA (früher PIX), WatchGuard FireBox X, Astaro Security Gateway, Qtrust, …) ‏ University of Innsbruck / Information Systems6 Firewalltypen

7 Packet-Layer-Firewall (Paketfilterung) ‏ –Inspiziert nur Header bis OSI Schicht 4 (Transport-Schicht) ‏ –Pakete werden durchgelassen (route) oder verworfen (drop) ‏ –Regeln, die über route oder drop entscheiden werden vom Administrator definiert und basieren auf Quelle (IP-Adresse und Port des Senders) ‏ Ziel (IP-Adresse und Port des Empfängers) ‏ Verwendetem Protokoll (TCP und/oder UDP, sowie ICMP) ‏ Richtung des Datenstroms (Inbound oder Outbound) ‏ Stateful Inspection (Zustandsgesteuerte Filterung) ‏ –Weiterentwicklung der Packet-Layer-Firewall –Entscheidet auch anhand der Stati aktuell geöffneter Verbindungen, ob ein Paket verworfen wird. Sinnvoll z.B. für ftp (Port 21 zum Verbindungsaufbau, Port 20 für den Datentransfer) ‏ Application-Layer-Firewall (Inhaltsfilterung) ‏ –Kontrollieret den Datenverkehr bis auf die Anwendungsebene –Content-Filter: Blockierung von z.B. ActiveX und/oder JavaScripts, Sperren unerwünschter Webseiten über Schlüsselwörter, Sperren von Anwendungsprotokollen (etwa FileSharing) ‏ –Proxy: Baut stellvertretend für die LAN-Clients Verbindungen auf, nach außen ist nur die IP-Adresse des Proxys sichtbar –Web Application Firewall (WAF): Prüft Daten die via WEB-Browser an Anwendungen geschickt werden. Schutz gegen die Einschleusung gefährlichen Codes durch Techniken wie SQL-Injection, Cross Site Scripting, CommandExe, Parameter Tampering, … University of Innsbruck / Information Systems7 Firewalltechnologien

8 Ergänzen die Leistungen von Firewalls zur Erhöhung der Sicherheit von Netzwerken. Es gibt die Typen Host-basierte IDS (HIDS), Netzwerk-basierte IDS (NIDS) und Hybride IDS. Technisch gesehen verwenden IDS sogenannte Sensoren die Host-Logdaten (HIDS) oder Daten aus dem Netzwerkverkehr (NIDS) sammeln –und mit Mustern bekannter Angriffe, sog. Signaturen, vergleichen, die in Datenbanken gespeichert werden. Nachteil: Nur bereits bekannte Angriffstypen werden erkannt –oder durch heuristische Methoden versuchen, auch bisher unbekannte Angriffe zu erkennen Nachteil: Häufigere Fehlalarmierungen Bei Erkennung eines potentiell gefährlichen Musters erfolgt –die Verständigung eines Verantwortlich (IDS), –die Einleitung von Gegenmaßnahmen, etwa Sperrung oder Isolierung des vermeintlichen Eindringlings z.B. durch Aktivierung von IPS- Regeln auf einer Firewall (IPS - Intrusion Prevention System) ‏ Absolute Sicherheit ist durch keine Technologie gewährleistet! University of Innsbruck / Information Systems8 Intrusion Detection (and Prevention) Systeme

9 University of Innsbruck / Information Systems9 Abgrenzung Internet und Intranet Web-Server Appl.- Server Proprietäres Netzwerk (HOST, Datenbanken) ‏ Firewall Unternehmensteile (Filiale)‏ Partner- Unternehmen Kunden Intranet Firewall/IPS Web-Server Internet DMZ/ Extranet DMZ = DeMilitarized Zone Web-Browser Arbeitsplatz Mail-Server RAS/VPN-Server

10 Symmetrische Verschlüsselungssysteme (wenig rechenintensiv) ‏ –Für die Verschlüsselung und die Entschlüsselung der Daten wird derselbe Schlüssel verwendet –Beispiele: DES, 3DES (Tripple DES), AES-Rijndael, Twofish, … –Problem: Da alle Kommunikationspartner denselben Schlüssel verwenden, muß dieser irgendwie übertragen werden! –Typische Schlüssellängen: 56 oder 128 Bit Asymmetrische Verfahren (rechenintensiv) ‏ –Es gibt ein Schlüsselpaar: Public Key und Private Key Zur Verschlüsselung kann nur der Public Key des Empfängers, zur Entschlüsselung kann nur der Private Key des Empfängers eingesetzt werden Zur digitalen Signierung kann nur der private Key des Senders, zur Prüfung der digitalen Signatur nur der Public Key des Senders verwendet werden Der Private Key muß geheim bleiben, der Public Key ist öffentlich zugänglich => Notwendigkeit einer Public-Key-Infrastruktur –Beispiel: RSA (Rivest, Shamir und Adelman) ‏ –Typische Schlüssellängen: 512, 1024, 2048 Bit Hybride Verfahren –Setzen Asymmetrische Verfahren zur Übertragung eines gemeinsamen Schlüssels für eine symmetrische Verschlüsselung ein. –Der gemeinsame Schlüssel wird nur für eine Verbindung zur Ver- /Entschlüsselung der Daten verwendet („Session Key“). –Der Aufwand für Ver- und Entschlüsselung sowie zum Knacken eines Schlüssels ist abhängig vom Verschlüsselungsverfahren und der Schlüssellänge University of Innsbruck / Information Systems10 Verschlüsselung

11 Beim Versenden von Nachrichten kann entweder die Nachricht oder der Übertragungsweg verschlüsselt werden Nachrichtenverschlüsselung am Beispiel Pretty Good Privacy: –PGP dient dem Verschlüsseln von -Nachrichten mit asymmetrischen Verschlüsselungstechniken –Da s ohne direkte Verbindung vom Sender zum Empfänger verschickt werden, sondern über mehrere Zwischenstationen weitergeleitet werden ist keine Kanalverschlüsselung möglich Kanalverschlüsselung am Beispiel TLS/SSL: –TLS: Transport Layer Security, SSL: Secure Sockets Layer. –TLS/SSL wird als Protokoll zwischen Transportschicht (TCP) und Anwendungsschicht eingefügt um ungesicherten Anwendungsprotokollen wie HTTP, POP3, SMTP, FTP mehr Sicherheit zu ermöglichen HTTP + TLS/SSL = HTTPS –Im Internet weit verbreitet zur Absicherung von Transaktionen im Online Banking und Online Shopping –Details siehe: University of Innsbruck / Information Systems11 Nachrichten- und Kanalverschlüsselung

12 In asymmetrischen Verschlüsselungsverfahren werden digitale Zertifikate verwendet um die Authentizität eines öffentlichen Schlüssels und seinen zulässigen Anwendungs- und Geltungsbereich zu bestätigen. Eine Zertifizierungsstelle (Certificate Authority, CA) stellt digitale Zertifikate aus, die bescheinigen, daß der öffentliche Schlüssel der angegebenen Person od. Institution gehört (entspricht einem Personalausweis) ‏ –Bekannte CA‘s: Entrust, CyberTrust, RSA Security, Verisign Dadurch, daß man der Glaubwürdigkeit der CA vertraut, vertraut man auch der Echtheit des Zertifikats Zertifikatssperrlisten (Certificate Revocation Lists) enthalten Zertifikate die vor Ablauf der Gültigkeit zurückgezogen wurden Eine CA kann auch andere CA‘s autorisieren Zertifikate auszustellen Alternativer Ansatz Web of Trust: Glaubt ein Benutzer an die Authentizität eines öffentlichen Schlüssels, kann er selber ein Zertifikat erstellen, indem er diesen Schlüssel signiert. Andere Benutzer können entscheiden ob sie diesem Zertifikat vertrauen oder nicht. –Wird z.B. in der Software PGP („Pretty Good Privacy“) verwendet Details: University of Innsbruck / Information Systems12 Public Key Infrastruktur (PKI) ‏

13 University of Innsbruck / Information Systems13 Übertragung einer signierten und verschlüsselten Nachricht public key Bob private key Alice private key Bob public key Alice Verschlüsselung Nachricht Signatur Übermittlung ungesicherter Übertragungskanal 0&§(1§/=1 Nachricht Vergleich Nachricht Entschlüsselung Alice (Absender) ‏ Bob (Empfänger) ‏ Nachricht ist unverändert und von Alice Praktische Anwendung von Verschlüsselungstechnik

14 University of Innsbruck / Information Systems14 Aufgaben einer Zertifizierungsstelle (CA) ‏ 5 Nachricht versenden HP Alice (Absender)‏ Bob (Empfänger)‏ 1 Zertifikat beantragen 2 Zertifikat ausstellen 4 Nachricht schreiben und signieren 7 Signatur überprüfen 8 Zertifikat überprüfen 6 Zertifikat downloaden Revocation List - …………. 3b Zertifikat mit public key veröffentlichen 3a private key sicher verwahren Zertifizierungsstelle Nachricht ist unverändert und von Alice Zertifikat ist gültig und nicht widerrufen

15 Ziel beider Verfahren: –Vertraulicher Datenaustausch über ein öffentliches Netzwerk (z.B. das Internet) ‏ Remote Access System (RAS): –Zugang zum Firmennetz per Direkteinwahl –Z.B. Mobile Mitarbeiter via Modem/Telefonleitung Ein VPN ist ein virtuelles Kommunikationsnetzwerk das sogenannte Tunnel (=verschlüsselte Übertragungskanäle) verwendet. –Dazu werden die ursprünglichen Datenpakete (meist verschlüsselt) in ein VPN- Protokoll verpackt, separat adressiert und übertragen (entsprechend dem verwendeten Übertragungsnetz), am Endpunkt wieder entpackt (entschlüsselt) und unter Nutzung der privaten Netzwerkinfrastruktur zum Ziel weitergeleitet. –Mit VPN können über VPN-Gateways permanent entfernte LANs verbunden werden (Site-to-Site) ‏ über VPN-Client-Software beim Endbenutzer und VPN-Gateway-Software im Firmen- LAN einzelne entfernte Mitarbeiter temporär an das LAN angebunden werden (End-to- Site) ‏ –Häufig eingesetzte Tunneling Protokolle sind: IPSec (IP Security Protocol) ‏ PPTP (Point To Point Tunneling Protocoll) ‏ L2F (Layer 2 Forwarding) ‏ L2TP (Layer 2 Tunneling Protocoll) ‏ Neuerdings auch TLS/SSL University of Innsbruck / Information Systems15 Remote Access und Virtual Private Network (VPN) ‏

16 University of Innsbruck / Information Systems16 Funktionsweise von VPN Quelle:

17 University of Innsbruck / Information Systems17 IPSecPPTPL2FL2TP Protokoll-Ebene3222 StandardisiertJaNein Ja BenutzerauthentifizierungJa PaketauthentifizierungJaNein DatenverschlüsselungJa Nein SchlüsselmanagementJa (IKE) ‏ Neinn/a QoSJaNein Andere Protokolle (neben IP) tunnelbarNeinJa End-To-End-SecurityJa Nein Funktionalität wichtiger VPN-Tunnelingprotokolle Quelle: PPTP:IPSec:

18 Gefahrenpotentiale für ungesicherte Wireless-Netze: –Da die per Funk übertragenen Datenpakete jeder mithören kann ist ein illegales Mitverwenden des Internetzugangs mit den Möglichkeiten Massenversand von Spam, Ausführen von z.B. DoS Attacken, sowie ein Ausspähen persönlicher Daten (Login-Informationen, Passwörter) mit allen Konsequenzen der (illegalen) Verwendung dieser Daten möglich. Vorbeugungsmaßnahmen –Im Verwaltungstool des AccessPoint/WLAN-Routers sollten die Administrations- Standardpasswörter geändert und die Fernkonfiguration deaktiviert werden. –Firmware und Software der Gerätes sollten regelmäßig aktualisiert werden. –Service Set Identifier (SSID) sollte sinnvoll geändert werden (sollte keine Rückschlüsse auf Hardware, Einsatzzweck oder –Ort zulassen). –Ev. sollte das Broadcast der SSID deaktiviert werden Geringer Schutz, kann mittels Sniffer beim Anmelden trotzdem ausgelesen werden –MAC-Filter setzen und DHCP-Adressvergabe nur für registrierte MAC-Adressen Geringer Schutz MAC-Adressen können ausgelesen und leicht geändert werden –Die bestmögliche Verschlüsselungstechnik in Verbindung mit möglichst sicheren Pre-Shared-Keys („pass phrase“) einsetzen Schlecht: WEP (Wired Equivalent Privacy), arbeitet mit RC4 Stromchiffre – durch Analyse von einigen Datenpaketen innerhalb von Minuten entschlüsselbar Besser: WPA (Wi-Fi Protected Access) welches zusätzlichen Schutz durch dynamische Schlüssel (Temporal Key Integrity Protocol TKIP) und Benutzerauthentifizierung durch PreShared Keys (PSK) oder Extensible Authentication Protocol (EAP) bietet Am besten: WPA2 (Wi-Fi Protected Access 2) welches den Advanced Encryption Standard (AES) anstelle von RC4 verwendet und alle Vorteile von WPA enthält University of Innsbruck / Information Systems18 Sicherheit im (privaten) Wireless-LAN

19 Neuere Geräte enthalten die Funktion IP-Masquerading, manchmal auch Port-Adress-Translation (PAT) oder 1-to-n-NAT bezeichnet: –Verwenden nur eine registrierte IP-Adresse am WAN-Port und bilden die privaten IP-Adressen an den LAN-Ports über eine interne Zuordnungstabelle auf diese eine IP-Adresse ab: Vorteile: –Nur eine registrierte IP-Adresse zur Anbindung mehrerer Endgeräte nötig –Die Rechner im LAN können nicht aus dem Internet direkt adressiert werden (vergl. Proxy-Funktion) ‏ –Häufig enthalten die Geräte auch einfache Firewall-Funktionalität (Paketfilter, Contentfilter) ‏ Nachteil: –Um Rechner im LAN von außen zugänglich zu machen, muß der Serviceport dieses Rechners (z.B. Port 80 für einen WEB-Server) im Gerät statisch einer bestimmten IP-Adresse des LAN zugeordnet werden. University of Innsbruck / Information Systems19 Sicherheit im (privaten) DSL- oder Kabelrouter Registrierte Adresse am WAN-Port Interne Port-Nummer LAN-IP-Adresse z.B ……

20 Literatur: –Eckert, C.: IT-Sicherheit : Konzept - Verfahren – Protokolle, München - Wien, Oldenburg 2005 –Maier, R.; Hädrich, T.; Peinl, R.: Enterprise Knowledge Infrastructures, Springer, Berlin 2005 Links: –http://analyze.privacy.nethttp://analyze.privacy.net –http://webscan.security-check.ch/testhttp://webscan.security-check.ch/test –http://www.tcp-ip-info.de/http://www.tcp-ip-info.de/ University of Innsbruck / Information Systems20 Zum Nachlesen


Herunterladen ppt "Institut für Wirtschaftsinformatik, Produktionswirtschaft und Logistik Tätigkeitsbereich Wirtschaftsinformatik"

Ähnliche Präsentationen


Google-Anzeigen