Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

ATM Security ATM Workshop TFH Wildau 23.September 1998 Dipl.-Ing. Frank Schönhoff.

Veröffentlicht von:Dietrich Wern Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "ATM Security ATM Workshop TFH Wildau 23.September 1998 Dipl.-Ing. Frank Schönhoff."—  Präsentation transkript:

1 ATM Security ATM Workshop TFH Wildau 23.September 1998 Dipl.-Ing. Frank Schönhoff

2 Einleitung zSicherheit ist im Zuge der zunehmenden Vernetzung und Komplexität der Netze eine zentrale Anforderung zSicherheit muß sich durch alle Protokoll- ebenen ziehen & den Nutzer einschließen, d.h. ganzheitliche Betrachtung zbreites Spektrum an Sicherheitsgesichts- punkten und Sichten (User, Betreiber,...)

3 Sicherheitsanforderungen zVertraulichkeit der übertragenen und gespeicherten Daten zDatenintegrität, Schutz der Daten zReproduzierbarkeit aller Dienstnutzungen, Feststellung der Verantwortlichkeiten zVerfügbarkeit der zugesicherten Dienste

4 Betrachtungsweisen zAnwender / Kunde yDienstaktivierung yVerfügbarkeit ykorrekte Funktionen ynachvollziehbares Billing yDatensicherheit und - integrität, Privacy yMöglichkeit der Anonymität z Betreiber / Operator ykorrekte Funktionen Netz und Management yVerhinderung der unberechtigten Dienst- nutzung, Zuordung der Dienstnutzung yNachvollziehbarkeit aller Aktivitäten

5 Gefahren zpotentielle Verletzungen von Sicherheitsnormativen zGefahrenquellen yunbeabsichtigte Angriffe, Fehlbedienungen yadministrative Mängel (z.B. fehlende Paßwörter, keine Beschränkungen) ygezielte Angriffe auf Systeme (Änderungen an Konfigurationen, Billing,...) und Daten

6 Gefahren (Generic Threats) zMasquerade (Spoofing) Versuch sich als jemand anderes auszugeben, als man tatsächlich ist (z.B. ATM Adresse) zEavesdropping Abhören der Kommunikation (relativ schwierig) zUnauthorized access Illegaler Zugang zu Systemen und Diensten (z.B. Systemzugang, ELAN-Mitgliedschaft)

7 Gefahren (Fortsetzung) zLoss or corruption of information Veränderung des Dateninhaltes zRepudiation Abstreiten eines Sachverhaltes (z.B. Teilnahme an einem bestimmten Datenaustausch) zForgery Vortäuschen einer anderen Datenquelle zDenial of Service Verweigerung der Diensterbringung

8 Einwirkungen der Gefahren

9 Problemstellung im ATM zATM bietet neben der Übertragungstechnologie eine Netzwerkprotokollumgebung mit den entsprechenden Angriffspunkten: yAdressierung ySignalisierung yRouting zderzeit Securityaspekte kaum standardisiert und nur zum Teil praktisch realisiert (herstellerabhängig)

10 Angriffspunkte zfolgende Beispiele sollen Angriffspunkte veranschaulichen yATM-Adressen ySignalisierung yLANE-Dienste

11 Problem ATM-Adressen zAdresse sollte weltweit eindeutig sein zAdresse ist aber manipulierbar zProblem: z.B. Vertraulichkeit eingeschränkt durch Spoofing zkeine eindeutige Identifikation eines Kommunikationspartners anhand seiner ATM NSAP Adresse

12 Problem Signalisierung zAuf- und Abbau von Verbindungen über Signalisierung züber manipulierte Setups lassen sich gezielt Verbindungen zu nicht autorisierten System herstellen oder fremde Verbindungen unterbrechen zProblem: z.B. Vertraulichkeit, Verfügbarkeit

13 Problem LANE-Dienste zLANE-Dienste stellen Möglichkeit der Bildung virtueller LANs unabhängig von der physischen Netzstruktur zur Verfügung zin den LANE-Spezifikationen ist keine Authentifikation der angeschlossenen Systeme vorgesehen, damit kann jeder Nutzer sich an das virtuelle Ethernet oder Token Ring anschließen zdie daraus resultierende Sicherheitslücke ist nicht mit der im Ethernet identisch

14 Praxisbeispiele, Lösungen zZugriffsschutz auf ATM-Systeme zEinschränkung der automatischen Registrierung zNSAP-Verbindungsfilter zVerschlüsselungstechniken zVerfügbarkeit / Sicherheit LANE-Dienste zLogging

15 Zugriffsschutz zBenutzerauthentifizierung yBenutzername / Paßwort yweitere Merkmale, z.B. SecureID-Karte zNMS Authentifikation yATM Adresse der NMS yIP-Adresse der NMS yELAN-Zugehörigkeit bei Inbandmanagement ySNMP Communities

16 Beschränkung der automatischen Registrierung zILMI ermöglicht u.a. komfortablen Adreßaustausch zwischen Switch und Endsystem zRisiken: yUmzug erschwert Identifikation eines Systems yPlug and Play für beliebige Endsysteme zdedizierte Abschaltung von ILMI für Risikoports (unkontrollierter Zugang)

17 NSAP Filter zATM arbeitet verbindungsorientiert und adressiert Calls mit NSAP Adressen zgezieltes Erlauben und Unterdrücken von Calls ermöglicht Einschränkung von Kommunikationsbeziehungen zwischen bestimmten Endsystemen

18 Verschlüsselung zder einzelne VC ist im ATM in der Regel schwer abhörbar (direkte Eingriff ins Netz erforderlich, hohe Geschwindigkeit, LWL) zzusätzlich ist aber eine Verschlüsselung bei Nutzung eines Providers sinnvoll und praktisch realisiert (derzeit bis 622 Mbps)

19 Verfügbarkeit der LANE-Dienste zLANE-Dienste stellen bis zur aktuell implementierten LANE 1.0 Single Point of Failure dar zverschiedene Hersteller bieten proprietäre Redundanzprotokolle sowohl auf Client- und/oder Serverseite zzum Teil auch Lastverteilung und damit höhere Skalierbarkeit der Dienste

20 Sicherheit der LANE-Dienste zlt. Standard keine Einschränkung des Join bei direktem Zugriff auf den LES zDefinition von geschlossenen ELANs anhand von NSAP-Adressen

21 Logging zdas Aufzeichnen und Melden von Aktivitäten am System ist elementare Funktion zum Aufdecken von Sicherheitsdefiziten und Angriffen zz.B. Eventlogging mittels Traps und Aufzeichnung im Syslogfile eines NMS zDefinition von Alarmen

22 Standardisierung zATM-Forum arbeitet in spezieller Arbeitsgruppe (AF-SEC) an Spezifikationen zur Sicherheit im ATM zderzeit aktuelles Dokument ATM Security Framework 1.0 zdarin wird versucht, das Problemfeld zusammenzufassen, nicht aber die konkrete technische Lösung vorzugeben

23 Standardisierung (Forts.) zDefinition verschiedener Dienste zUser Plane yAccess Control (definierter Zugriff auf Verbindungen) yAuthentifikation (überprüft Identität von Rufendem und Gerufenem, verhindert Spoofing, Benutzung symmetrischer {z.B. DES} oder unsymmetrischer Schlüssel {RSA}

24 Standardisierung (Forts.) zUser Plane yVertraulichkeit (Verschlüsselung) yIntegrität (Sicherung der AAL-SDU mit verschlüsselter Signature, dabei Fehlererkennung und / oder -behebung) zControl Plane yAuthentifizierung (Überprüfung der Quelle einer Signalisierungsmessage)

25 Vielen Dank für Ihre Aufmerksamkeit.

Herunterladen ppt "ATM Security ATM Workshop TFH Wildau 23.September 1998 Dipl.-Ing. Frank Schönhoff."

Ähnliche Präsentationen

Anmeldung/Kostenkontrolle in Verbindung mit dem USB Karten-Leser

Anmeldung/Kostenkontrolle in Verbindung mit dem USB Karten-Leser
Einer der Dienste im Internet

Einer der Dienste im Internet
2. Link Layer Lernziele: Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.

2. Link Layer Lernziele: Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Firewalls.

Firewalls.
Verbandsgemeinde Bitburg-Land

Verbandsgemeinde Bitburg-Land
ASP - Software zum Mieten

ASP - Software zum Mieten
Möglichkeiten und Grenzen von Firewall-Systemen

Möglichkeiten und Grenzen von Firewall-Systemen
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.

2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.
Anwendungsverteilung und räumliche Ausdehnung

Anwendungsverteilung und räumliche Ausdehnung
Von Torsten Burmester Hauke Buder Matthias Kaluza

Von Torsten Burmester Hauke Buder Matthias Kaluza
Passwörter.

Passwörter.
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Sicherheitstechniken im M-Commerce Seminar Agentenbasierte Systeme Steffen Kernchen.

Sicherheitstechniken im M-Commerce Seminar Agentenbasierte Systeme Steffen Kernchen.
ATM LAN Emulation Prof. Dr. W. Riggert. 2 Inhalt Das Tutorial ist in drei Abschnitte gegliedert. Abschnitt 1 behandelt die Frage, warum LAN Emulation.

ATM LAN Emulation Prof. Dr. W. Riggert. 2 Inhalt Das Tutorial ist in drei Abschnitte gegliedert. Abschnitt 1 behandelt die Frage, warum LAN Emulation.
IKS – Informations und Kommunikations-systeme

IKS – Informations und Kommunikations-systeme
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken

Ähnliche Präsentationen

Google-Anzeigen