Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL DPZ SPAM Andreas Ißleiber 1.) SPAM 2.)

Ähnliche Präsentationen


Präsentation zum Thema: "10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL DPZ SPAM Andreas Ißleiber 1.) SPAM 2.)"—  Präsentation transkript:

1 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL DPZ SPAM Andreas Ißleiber 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN

2 2 SPAM 10/2003 Andreas Ißleiber Was ist SPAM ? Unverlangt zugeschickte s Der Begriff: Spam, eine Kurzform für "Spiced Pork And Meat", bezeichnet ein rechteckiges und in Dosen gepreßtes Frühstücksfleisch. (Sketch der britischen Komiker Monty Pyton) UCE der korrekte Begriff (Unsolicited Commercial ) UBE (Unsolicited Bulk E- Mail ) 2,5 Mrd. Euro Produktivitätsverlust in 2002 für Unternehmen in der EU Starkes Interesse der Provider an Vermeidung von SPAM, da direkter finanzieller Schaden

3 3 SPAM 10/2003 Andreas Ißleiber Was ist SPAM ? Quasi kommerzielle Nutzung des Medium durch SPAM Größter Anteil ist die produkt- bezogene Werbung

4 4 SPAM 10/2003 Andreas Ißleiber Wie entsteht SPAM ? Durch Handel von Adressen. Es existieren Datenbanken, mit mehr als n*10^5 -Adressen Address-Harvester sind Programme, die Web-Seiten und News Listen nach -Adressen durchsuchen. Für einen Werbetreibenden ist SPAM billiger als FAX, oder Briefwerbung Juristische Grundlage noch nicht ausreichend, daher nutzen Werbetreibende teilweise legal das Medium für Massenmails Anstieg der SPAM-Raten durch Problem der Rückkopplung zwischen SPAM-Filtern und SPAM-Versender. Je besser die Filter, desto mehr SPAM muss versendet werden. Das wiederum verbessert die Filter und erhöht erneut die SPAM-Rate …

5 5 SPAM 10/2003 Andreas Ißleiber Wie tarnt sich SPAM ? Pseudo-Text: Text wird mit Leerzeichen oder Zeichen, die Buchstaben ähneln, ergänzt Bsp.: z.B. V I A G R A, S*E*X oder günstiger KRED1T Einfügen von syntaktisch korrekten Zeichen z.B. in HTML Code Bsp: Zeichenkette Via gra s werden als gesamte Grafik (JPG,GIF etc.) verschickt, sodass Textfilter nicht funktionieren können Nutzung legaler adressen um black lists zu umgehen Problem!: Kann nach kurzer Zeit für die "misbrauchte" Domain durch "Bounces" ( Rücksendungen) zum Kollaps des Mailserver führen, da ggf. mehr als n*10^3 s zurückkommen

6 6 SPAM 10/2003 Andreas Ißleiber Wie tarnt sich SPAM ? Zufälliger Text im Subject. Dadurch werden Filter ausgehebelt, die nach eindeutigem Text im Subject suchen Ähnliche -Adressen des SPAM Zieles werden ausprobiert -Empfänger ist: -SPAM-Absender ist: Falsche Zeitangabe in der . Zeitpunkt liegt in er Zukunft, damit die beim Empfänger immer oben im Folder angezeigt wird

7 7 SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Durch Benutzerverhalten 1)vertrauliche Behandlung der eigenen -Adresse 2)Auf Webseiten & NEWS Listen zweit- -Adressen angeben (von Fre ern etc.) 3)Keine SPAM s beantworten Einsatz vom SPAM Filtern auf IP-Ebene beim Mailserver RBL-Listen: Real-Time Black Lists Vorteil: - Einfache Integration im Mailer - Provider wird gezwungen, etwas gegen SPAM zu unternehmen Nachteil: - Oft sind große Provider in den Listen (t-online.de etc.) - verwirrende Vielfalt an Listen

8 8 SPAM 10/2003 Andreas Ißleiber Teergruben Die wird zunächst angenommen, aber mit dem Eintreffen weiterer s derselben Adresse innerhalb des kritischen Zeitfensters der entsprechende Netzwerkverkehr serverseitig künstlich verlangsamt SPAM bekämpfen ! Wie ?

9 9 SPAM 10/2003 Andreas Ißleiber (quasi) Mail Proxy Nachteil: Ist nur für vereinzelte Benutzer nutzbar WhiteLists (auf MailServer- oder Benutzerebene) Liste der Benutzer ( -Adressen, von denen in jedem Fall empfangen werden soll Content-Filter Durchsucht die nach bestimmten Schlüsselwörtern. Für sich allein nicht ausreichend und erzeugt häufig Falschmeldungen Zweiter Mailserver Über einen zweiten Mailserver wird die auf SPAM geprüft und übergibt die korrekten s an den eigentlichen Mailserver SPAM bekämpfen ! Wie ?

10 10 SPAM 10/2003 Andreas Ißleiber Verkettung unterschiedlicher Methoden blockiert ggf. zu früh die Nachricht false positive Das Einzelergebnis jeder Filtermethode fließt in das Gesamtergebnis ein. Falsch Positiv Meldungen einzelner Methoden führen seltener zum fälschlichen Blockieren der Eine Kombination diverser Erkennungsmethoden verbessert die SPAM- Filterqualität deutlich Reihenschaltung Parallelschaltung SPAM bekämpfen ! Wie ? Kombination mehrerer Methoden

11 11 SPAM 10/2003 Andreas Ißleiber Bayes Filter -z.Zt. modernste Methode (http://www.paulgraham.com/spam.html)http://www.paulgraham.com/spam.html -Bayes'sche Filter sind selbstlernend -Der Algorithmus berechnet anhand der in der enthaltenen Wörter die Wahrscheinlichkeit, dass es sich um Spam-Mail handelt -Worthäufigkeiten in bereits vom Benutzer klassifizierten s werden erfasst -Mozilla setzt diesen Filter im Mailclient ein -Filter für diverse Anwendungen (MUA) verfügbar unter … -Nachteil: Benötigt eine relativ große Menge an bereits klassifizierten s für eine gute Erkennungsrate SPAM bekämpfen ! Wie ?

12 12 SPAM 10/2003 Andreas Ißleiber Spam Assassin Mit SPAM Assassin wird jede eingehende nach bestimmten Kriterien untersucht und die SPAM Wahrscheinlichkeit durch ein Punktesystem ermittelt Über eigene Blacklists (RBL) können Domainen automatisch abgewiesen werden SPAM bekämpfen ! Wie ? SPAM: Start der SpamAssassin Auswertung SPAM: SPAM: Diese Mail ist wahrscheinlich Spam. Die Orginal-Nachricht wurde SPAM: geaendert, so das Sie aehnliche Mails in der Zukunft besser SPAM: erkennen und blockieren koennen. SPAM: Weitere Detals finden Sie unter der URL SPAM: SPAM: Details der Inhaltsanalyse: (5.00 Punkte, 5 benoetigt) SPAM: INVALID_DATE (1.5 points) Ungueltiges Datum: Header enthaelt AM/PM-Angabe SPAM: NO_REAL_NAME (1.3 points) From: enthaelt keinen echten Namen SPAM: TO_BE_REMOVED_REPLY (0.4 points) BODY: Behauptet: "to be removed, reply via " oder aehnliches SPAM: SPAM_PHRASE_03_05 (1.1 points) BODY: Spam phrases score is 03 to 05 (medium) SPAM: [score: 3] SPAM: LINES_OF_YELLING (0.2 points) BODY: A WHOLE LINE OF YELLING DETECTED SPAM: SUBJ_ALL_CAPS (0.5 points) Subject: komplett in Grossbuchstaben SPAM: SPAM: Ende der SpamAssassin Auswertung

13 13 SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Return-path: Envelope-to: Delivery-date: Tue, 04 Nov :49: Received: from [ ] (helo=mhi.tu-graz.ac.at) by mailer.gwdg.de with esmtp (Exim 4.20) id 1AGoSH-0006cj-5N for Tue, 04 Nov :49: Received: from by smtp.mega.co.za; Mon, 03 Nov :47:49 Date: Mon, 03 Nov :47: To: Message-ID: From: "Katina E. Hatch" MIME-Version: 1.0 Subject: Whateve=?ISO ?B?ciB3b3I=?=ks better Content-Type: text/html; charset="us-ascii" Content-Transfer-Encoding: 8bit X-Spam-Level: X-Spam-Flag: YES X-Spam-Report: Content analysis: 6.7 points, 6.0 required 2.0 DIET BODY: Lose Weight Spam 0.2 HTML_MESSAGE BODY: HTML included in message 0.4 HTML_70_80 BODY: Message is 70% to 80% HTML 0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts 2.8 HTML_IMAGE_ONLY_02 BODY: HTML: images with bytes of words 0.7 BIZ_TLD URI: Contains a URL in the BIZ top-level domain X-Virus-Scanned: (clean) by exiscan+sophie Beispiel Header einer SPAM , erweitert durch Spam Assassin Spam Assassin benutzt dabei diverse Module und Tests

14 14 SPAM 10/2003 Andreas Ißleiber SPAM … die Zukunft … SPAM ist in Europa nun illegal Seit dem 31. Oktober 2003 gibt es eine neue Datenschutzrichtlinie für EU Mitgliedsstaaten. Die Werbung über elektronische Medien ist nur noch erlaubt, wenn sie der Aufrechterhaltung bestehender Kundenbeziehungen dient oder vom Empfänger eindeutig erwünscht ist (Opt-in). Ebenfalls rechtswidrig ist das Fälschen der Absender und Antwortadressen. Die EU Mitgliedsstaaten sind ab dem 01. November dazu verpflichtet, die Richtlinien anzuwenden und durchzusetzen. Wie sie dies gestalten, bleibt jedoch den einzelnen Staaten überlassen. Neues Mailprotokoll AMTP Authenticated Mail Transfer Protocol auf SMTP aufbauendes Protokoll für einen authentifiziertenSMTP Austausch von Mails. Die Identität der Mailserver wird via X509-Zertifikaten überprüft

15 15 SPAM 10/2003 Andreas Ißleiber Fazit zum Thema SPAM: oEigenen -Server mit SPAM Filterprogrammen ausstatten oEinsatz von SpamAssassin als Filter o darf einem Benutzer nicht! Vorenthalten bleiben. Der Benutzer selbst entscheidet, was mit SPAM geschehen soll (Markierung der mit SPAM Flags -> Benutzer kann selbst Filter definieren) oDarauf achten, dass der eigene -Server kein open relay darstellt oEinstellen von WhiteLists ermöglichen oNutzung von RBL fraglich. Ggf. zugunsten von guten Filtern darauf verzichten. oDen eigenen Benutzern ein zweite, alternative -Adresse vergeben, die odann für unsichere Dienste benutzt werden kann (Eintragen auf Webseiten, oNews-Listen etc.) oZentralen Virenscanner auf dem Mailserver einsetzen (Schützt zwar nicht vor oSPAM, ist aber mittlerweile unverzichtbar)

16 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Sicherheit in Netzen DPZ 11/2003 Sicherheit Andreas Ißleiber Sicherheit in Netzen

17 17 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 10/2000 Andreas Ißleiber LAN Einsatz von Firewalls Internet Firewall Router DMZ Öffentliche Server Web,Mail,DNS, etc. IP: GW: IP: GW: Transparente FW: Vorteil : Die bisherige Netzstruktur kann beibehalten bleiben Eine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-Adresse Nachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich NAT IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich IP: GW: NAT NAT& IP Umsetung Lokaler Server: IP: GW: Lokaler Server: IP: GW: Server ist vom Internet erreichbar IP: Externe IP: GW: DMZ Die FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen. Ggf. Firewalls mit mehreren Ports einsetzen, damit auch andere Abteilungen getrennt geschützt werden können (Verwaltung) Sicherheit in Netzen DPZ 11/2003

18 18 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen DMZ LAN internes Netz Firewall Aufteilung der internen- und öffentlichen Dienste Internet öffentliche Server Web,Mail,DNS, etc. ! Firewall Grundregeln auf der FW: QuelleDienst allow / rejectZiel DMZalle Internet LANalle Internet LANalle DMZ Internetalle LAN Internetalle/einige DMZ DMZalle LAN Grundregeln auf der FW: QuelleDienst allow / rejectZiel DMZalle Internet LANalle Internet LANalle DMZ Internetalle LAN Internetalle/einige DMZ DMZalle LAN 10/2000 Andreas Ißleiber 1)Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen 2)File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen. Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen 3)Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT- Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich -> Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden 4)RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider und via VPN ins eigene Netz 5)Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkressourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt. 6)Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren verschlüsselte Verfahren CHAP(MS-CHAP V2), oder Zertifikate verwendet werden 7)DMZ ist i.d.R. selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken durch die FW geschützt Sicherheit in Netzen DPZ 11/2003

19 19 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Typisches Scenario DMZ Internes LAN Internet Mailserver und PDC der Domäne A Firewall Übergeordneter DNS Erforderliche Regeln auf der FW: QuelleDienst allow / rejectZiel Bemerkung InternetSMTP(25) (1) Mailgateway (6)DNS(53) (2) Zonentransfer (TCP & UDP) Internethttp(80) (2) Webzugriff LANalle Internet DMZalle Internet LANalle DMZ Internetalle LAN Internetalle DMZ DMZalle LAN Erforderliche Regeln auf der FW: QuelleDienst allow / rejectZiel Bemerkung InternetSMTP(25) (1) Mailgateway (6)DNS(53) (2) Zonentransfer (TCP & UDP) Internethttp(80) (2) Webzugriff LANalle Internet DMZalle Internet LANalle DMZ Internetalle LAN Internetalle DMZ DMZalle LAN DNS und Webserver 5 RAS-Server als Mitglied der Domäne A RAS-Server greift auf die Paßwörter des PDC (1) zurück Zentraler PDC der Domäne B Mailserver (PDC) in DMZ DNS & Webserver in DMZ PDC im LAN (geschützt) Clients im LAN (geschützt) RAS-Server in DMZ Zentraler Terminalserver 10/2000 Andreas Ißleiber Sicherheit in Netzen DPZ 11/2003

20 20 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Mehr Sicherheit durch VPN DMZLAN RAS, Einwahl- Server, CHAP Internes Netz VPN-fähige Firewall VPN Clients über ein Einwahlserver VPN Clients aus dem Internet oder Fremd-Provider Internet- router VPN-Tunnel 10/2000 Andreas Ißleiber 1)VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen 2)IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken 3)Einige FW sind gleichzeitig in der Lage, VPN zu Terminieren/tunneln (VPN-Gateway) 4)Als Verschlüsselunbgsverfahren sollte IPSEC/3DES eingesetzt werden 5)Wenn administrative Zugriffe auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung von VPN eine ideale Lösung 6)Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server Sicherheit in Netzen DPZ 11/2003

21 21 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Benutzung von "privaten" Netzadressen Internet Rechner mit Internetzugang Rechner ohne Internetzugang (public) Server mit Internetzugang Router IP(1): IP(2): Gw: IP(1): Webserver IP(1): IP(2): Gw: Privates Netz: Öffentliches Netz: Gateway (gw): /2000 Andreas Ißleiber Private Networks sind IP-Adressen die nach rfc im Internet nicht geroutet werden und damit für externe Netze unsichtbar sind Windows (sowie auch LINUX etc.) erlaubt die gleichzeitige Verwendung mehrer IP-Adressen Dies kann die Sicherheit erhöhen, wenn keine FW installiert ist "private networks" ersetzten jedoch nicht eine FW Bei Windows wird lediglich die erste vergebene IP-Adresse für NetBIOS verwendet, welche dann aus dem Private Network kommen sollte Alle Rechner mit "private network"-Adressen sind lokal erreichbar, aber im Internet unsichtbar Clients können auch mit nur! Private Network Adressen betrieben werden. Dabei können … - Web-Proxy Server - lokaler Server … die Kommunikation zum Internet aufbauen Sicherheit in Netzen DPZ 11/2003 1

22 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Die richtige VPN Lösung für das Institut finden … VPN Die Beantwortung folgender Fragen sind bei der Auswahl entscheidend: Wie viele Benutzer werden das VPN in Anspruch nehmen? Wie schnell ist der Internetzugang ? Welche Art des Zugangs werden die User verwenden? Verbinden sich die User zeitweise oder permanent ? Welche Zielnetze sind via VPN zu erreichen ? Wie groß ist das zu erwartende Datenvolumen? Ist eine Backup-Verbindung notwendig? Benötige ich eine Redundanz ? Wie komplex ist die Integration (auch etwaiger Clients auf PCs) ? Soll das VPN eine Mischform des Zugangs ermöglichen (Site-to-Site & End-to-Site) ? Soll das VPN System skalierbar sein ? Welche Authentifizierung soll möglich sein (Zertifikate, Smartcard, PKI) ? Muss das VPN zu einer bestehenden User-Datenbank authentifizieren können (RADIUS, ADS, YP) ? Einsatz standardisierter Systeme oder Bastel-Lösungen (…kann der Kollege das VPN Gateway auch administrieren ?) 10/2003 Andreas Ißleiber

23 CISCO S YSTEMS CISCOYSTEMS CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Alternativen zu VPN SSH Standardisiert Große Verbreitung Oft als Bastellösungen eingesetzt, wenn reales VPN dadurch ersetzt werden soll Tunneln von PPP möglich (PPP-over-SSH) Nachteile der höheren Protokolle, da Layer 7 PGPNet Standleitungen Teuer Unflexibel Einfach in der Handhabung Portale WebPortale mit Authentifizierung Server als Portal VPN 10/2003 Andreas Ißleiber

24 24 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Personal Firewalls auf Client Systemen 10/2000 Andreas Ißleiber Vorteil: Günstiger Preis, wenn wenige Rechner geschützt werden müssen Kein "single point of failure" im Vergleich zur zentralen FW Nachteil: Jeder einzelne Rechner wird durch die "Software" Firewall belastet Keine(bzw. selten) einheitliche Policies Teilweise unzureichender Schutz vor Angriffen Kombination aus zentraler- und personal FW nicht sinnvoll FW ist nicht ohne "tiefere" Kenntnisse des Benutzers konfigurierbar Hoher Verwaltungsaufwand Betriebsystemabhängig Fazit Personal Firewalls ersetzen keine zentrale FW Sie bieten, i.d.R.nur! bei fachgerechter Konfiguration einen ausreichenden Schutz vor Angriffen Sicherheit in Netzen DPZ 11/2003

25 25 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Fazit: 10/2000 Andreas Ißleiber Einsatz einer zentralen, redundaten Firewall Einrichtung eines VPN Gateways für die Zugänge der Benutzer auf das Internet Netz Einsatz zentraler Virenscanner Absichern eine etwaigen VPN Gateways innerhalb des Netzes Trennung von öffentlichen und internen Diensten auf Servern Einsatz von Personal Firewalls auf Client PC sollte nicht (mehr) erforderlich sein Einsatz von ProxyServern (WEB-Proxy) erlaubt die Verwendung von Private Network Adressen auf den Clients Sicherheit in Netzen DPZ 11/2003

26 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber … Fragen Vielen Dank! und Diskussionen! Vortrag ist unter: … zu finden ? ?

27 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Sicherheit in Netzen DPZ 11/2003 Sicherheit Andreas Ißleiber Sicherheit in Funk LANs

28 28 Die Gefahren: Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der Hardware entwendet) Fremde Accesspoints inmitten eines Netzes fangen legale Benutzer ab FunkLAN hinter einer Firewall betrieben, öffnet das Netz Funk-Reichweite der Accesspoints wird unterschätzt Wardriver: Laptops mit freier Software Netstumbler und Airsnort in Kombination mit GPS Empfängern spüren WLANs auf Wardriving Forum Wardriver Wardriver (heise) Wardriving Forum Wardriver Wardriver (heise) Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber

29 29 Verfahren zur Absicherung: Wired Equivalent Privacy (WEP, WEP2) Allgemeines Bestandteil des Standards b Benutzt den RC4 Algorithmus von RSA Security Inc. Schlüsselstärken 40-Bit oder 104-Bit 24-Bit Initialisierungsvektor Nachteile von WEP Manuelle Schlüsselverwaltung Keine Benutzerauthentifizierung 40-Bit Schlüssel gelten als nicht sicher RC4-Algorithmus hat Designschwächen Key kann kompromittiert werden, beim Mithören eines ausreichenden Datenvolumina Wird Hardware (AP) gestohlen, ist auch der WEB Key in Gefahr Vorteile von WEP In jedem b Gerät verfügbar Hardwareunterstützt Softwareunabhängig Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber

30 30 IEEE i Ziel: Die aktuelle MAC zu verbessern um mehr Sicherheit zu gewährleisten WEP2 mit stärkerer Verschlüsselung Benutzerauthentifikation Fazit WEP ist besser als keine Verschlüsselung WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher 1) WEP ist nicht zukunftssicher 1) Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: Wired Equivalent Privacy (WEP)

31 31 Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines Microsoftspezifische Implementierung des PPTP Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung Drei Versionen: PAP, MS-CHAPv1 und MS-CHAPv2 Verschlüsselung Microsoft Point to Point Encryption (MPPE) Benutzt den RC4 Algorithmus von RSA Security Inc. 40-Bit oder 104-Bit Schlüssellängen Benutzerauthentifikation Benutzerauthentifikation notwendig Password Authentification Protocol (PAP) Challenge Handshake Protocol (CHAP) Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber

32 32 Vorteil von MS-PPTP Auf allen gängigen MS-Betriebssystemen verfügbar Bietet Verschlüsselung und Benutzerauthentifizierung Fazit MS-PPTP ist besser als keine Verschlüsselung MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher 1) MS-PPTP ist nicht zukunftssicher Nachteile von MS-PPTP 40-Bit Schlüssel gelten als nicht sicher MS-CHAPv1 hat schwere Sicherheitslücken Protokoll hat Designschwächen 1) Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP)

33 33 Verfahren zur Absicherung: Internet Protocol Security (IPSec) Allgemeines Erweiterung der TCP/IP Protokollsuite Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit Integraler Bestandteil von IPv6 (IPnG) Transportmodus nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) Vorteil: geringer Overhead gegenüber IPv4 Nachteil: Jeder Teilnehmer muss IPSec beherrschen Tunnelmodus Komplettes IP-Paket wird verschlüsselt Tunnel zwischen zwei Netzen möglich Vorteil: Nur Tunnelenden müssen IPSec beherrschen Nachteil: Nur Verschlüsselung zwischen den Tunnelenden Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber

34 34 Vorteile von IPSec Standard auf vielen Plattformen verfügbar Keine festgelegten Algorithmen Keine bekannten Designschwächen Fazit IPSec ist besser als keine Verschlüsselung IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) IPSec gilt als zukunftssicher IPSec ist i.d.R eine gute Wahl Nachteile von IPSec Keine Benutzerauthentifikation Clients müssen korrekt konfiguriert werden Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: Internet Protocol Security (IPSec)

35 35 Verfahren zur Absicherung: Service Set Identifier (SSID) Allgemeines Identifier für Netzwerksegment (Netzwerkname) Muss für den Zugriff bekannt sein Vergleichbar mit einem Passwort für das Netzwerksegment Wird auch als closed user group bezeichnet Nachteile Muss jedem Teilnehmer bekannt sein Nur ein SSID pro AP Lässt sich in großen Netzen nicht wirklich geheim halten (offenes Geheimnis) Vorteile Softwareunabhängig Schnell und einfach einzurichten Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber

36 36 Verfahren zur Absicherung: Media Access Control (MAC) Address Filtering Allgemeines Filtern der MAC-Adressen der zugreifenden Clients MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server Lokal= hoher Verwaltungsaufwand, alle AP´s benötigen die gleichen MAC-Listen Zentral=einfache, zentrale Datenbasis, einfaches Management (MAC-Datanbank auf RADIUS-Server) Nachteile Jede berechtigte Netzwerkkarte muss erfasst werden MAC-Adressen lassen sich leicht fälschen Vorteile Software- & Clientunabhängig Keine Aktion des Benutzers notwendig Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber

37 37 Überblick über diverse Sicherheitsmechanismen WEP, WEP+ MAC-Adressen Authentifikation SSID VPN mit: - PPTP - MS-PPTP - IPSec EAP-TLS & TTLS (802.1x) (Extensible Authentication Protocol - Transport Layer Security) PEAP (Protected EAP) LEAP (Lightweight EAP) 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen als Alternativen zum VPN Moderne Sicherheitsmechanismen als Alternativen zum VPN Klassische Sicherheitsmechanismen Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber

38 38 Moderne Sicherheitsmechanismen (WLAN und lokale Netze) EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security) 3/2003, Andreas Ißleiber x -> Authentifizierung auf Portebene (nicht nur für FunkLANs) x bietet allein keine Verschlüsselung (erst Kombination mit EAP-TLS) - Switchport blockiert bis zur vollständigen Authentifizierung (Zutrittsregelung bereits am Eingang des Netzwerkes) - Layer 2 Verfahren -> Protokollunabhängig (Übertragung von AP,IPX/SPX,NetBEUI etc.) - EAP-TLS & 802.1x oft als Kombination eingesetzt - nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf ADS,YP,NT-Domains etc. zurückgreifen) - Client Authentifizierung erfolgt auf Link Layer. IP-Adressen sind zu diesem Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP vergeben) 10/2003 Andreas Ißleiber 802.1x Standard: SPAM & Sicherheit in Netzen

39 39 Moderne Sicherheitsmechanismen (WLAN und lokale Netze) 802.1X Prinzip 3/2003, Andreas Ißleiber 10/2003 Andreas Ißleiber RADIUS-Server W2K (ADS) YP/NIS NT4 Domain 802.1x fähiger L2 Switch Supplicant oder Bittsteller Authenticator Authentication Server Proxy-Server Client fragt nicht direkt den RADIUS Server Bei existierendem nicht 802.1x fähigem RADIUS Server -> Proxy Server Netz SPAM & Sicherheit in Netzen

40 40 3/2003, Andreas Ißleiber + Durch extra tagging Feld getrennt von anderen Netzwerkverkehr + Layer 2 Technik, daher Multiprotokollfähig + Auf modernen Switches nahezu überall verfügbar - Komplexe Struktur - Aufwendige und arbeitsintensive Integration - VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit Packetfilter, Firewall erforderlich) 10/2003 Andreas Ißleiber Moderne Sicherheitsmechanismen (WLAN und lokale Netze) VLAN: (Virtual LAN) SPAM & Sicherheit in Netzen

41 41 FunkLAN Client sicher machen Absicherung der Funk Clients Selbst der Einsatz von VPN enlastet nicht davor, den lokalen Rechner sicher zu machen Trennen der LAN-Manager Dienste (Bindungen) Um den Zugriff im internen VLAN (vor der Authentifizierung) Fremder zu vermeiden, ist die Trennung von LM zum Funkinterface sinnvoll Personal Firewall auf Client Zur Absicherung des Clients ist ggf.eine Personal Firewall sinnvoll (Achtung: für IPSec FW öffnen). Laufwerksfreigaben im FunkLAN vermeiden Freigaben von Ressourcen des Clients erlauben den Zugriff Fremder auf den eigenen Client 10/2003 Andreas Ißleiber SPAM & Sicherheit in Netzen

42 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Fazit … oDie allumfassende und einfache Sicherheitslösung für LANs und FunkLANs gibt es nicht oZiel sind moderne Authentifizierungsverfahren über Layer 2 oGutes Verfahren: Zertifikate zur Authentifizierung in Kombination mit Benutzername/Passwort oIPSec immer noch die sichere Lösung oOffen bleiben hinsichtlich EAP-TLS (TTLS) & 802.1x zur Authentifizierung oBislang ist die Kombination aus zentraler, redundanter Firewall mit mehreren Ports und ein VPN Gateway (noch) die sichere Lösung 10/2003 Andreas Ißleiber SPAM & Sicherheit in Netzen

43 43 Weiterführende Links und Quellen... SPAM (Heise Verlag) Benutzer-Authentifizierung durch IEEE 802.1x WLAN Standards 10/2003 Andreas Ißleiber SPAM & Sicherheit in Netzen

44 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber … Fragen Vielen Dank! und Diskussionen! Vortrag ist unter: … zu finden ? ?


Herunterladen ppt "10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL DPZ SPAM Andreas Ißleiber 1.) SPAM 2.)"

Ähnliche Präsentationen


Google-Anzeigen