Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV- 1 - 26.01.2014 Dr. Marcus Pattloch (DFN) 5. Tagung der DFN-Nutzergruppe.

Ähnliche Präsentationen


Präsentation zum Thema: "Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV- 1 - 26.01.2014 Dr. Marcus Pattloch (DFN) 5. Tagung der DFN-Nutzergruppe."—  Präsentation transkript:

1 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Dr. Marcus Pattloch (DFN) 5. Tagung der DFN-Nutzergruppe Hochschulverwaltung Februar 2001 Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen

2 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Gliederung Motivation Teil 1: Bedeutung klassischer Sicherheitsmaßnahmen Teil 2: Neue Lösungsansätze im Sicherheitsbereich Teil 3: Zusammenspiel klassischer und neuer Lösungsmöglichkeiten im Sicherheitsbereich Zusammenfassung

3 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Motivation (1) 1993 Merseburg, 1995 Kaiserslautern –zentrale Frage: braucht man getrennte Hochschul- und Verwaltungsnetze ? –Ergebnis: Integration beider Netze aus diversen Gründen sinnvoll Maßnahmen zur Absicherung wurden ergriffen –Sicherheitskonzepte –Firewalls –Einsatz kryptographischer Software Sicherheit entwickelt sich dynamisch und ist zeitabhängig !

4 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Motivation (2) Leipzig 1999, Kassel 2001 –neue Anforderungen an die Hochschulverwaltung –neue Bedrohungen der Sicherheit neue Anforderungen –sichere Vernetzung dezentrale Standorte –Nutzung spezieller Anwendungen über Firewalls –rechtliche Rahmenbedingungen (Signaturgesetz / EU-Richtlinie) neue Bedrohungen –Bedrohung von Innen –Distributed Denial of Service (DDOS) –Viren in Mail-Attachments

5 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Anforderungen und Lösungen Anforderungen / Probleme –DDOS –spektakuläre Hackerangriffe (Yahoo, Amazon, Microsoft) –Viren (Melissa, Kournikova) –Bedrohung von Innen –sichere Authentifikation –transparente Sicherheit –Sicherheit mobiler Endgeräte –dezentrale Standorte –Signaturgesetz-konform (neue) Lösungen –VPN –IPsec –PKI –LDAP –SmartCards –virtuelle Trustcenter –biometrische Verfahren –dezentrale Firewalls –zentrale Mail-Gateways

6 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Teil 1: Bedeutung klassischer Sicherheitsmaßnahmen

7 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Einspielen von Software-Patches Ziel: Schutz vor –Ausspähen eigener System –Ausspähen, Verändern und Löschen eigener Daten –Missbrauch eigener Ressourcen als Ausgangspunkt für neue Angriffe (DDOS) standardmäßig Verwendung zahlreicher Software-Pakete regelmäßige Entdeckung neuer Sicherheitslücken –Unix (z.B. sendmail) –Windows regelmäßige (unentgeltliche) Bereitstellung von Patches –Informationen z.B. vom DFN-CERT auf der Liste –Einspielen der Patches ist nicht sehr aufwendig

8 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Fallbeispiel (1) Problem: Spamming –Spamming ist ein zunehmendes Problem –Nutzer erhalten ungefragt nicht gewünschte Inhalte (z.B. Reklame) –nicht gewünschte Inhalte verschwenden personelle und technische Ressourcen Gegenmittel: Mail Spam-Filter –Kontrolle der Mail an einem zentralen Mail-Gateway –Filterung der Mails –Nicht-Zustellung potentieller Spam-Mail an Nutzer Mögliche Konsequenz –angenommene Mail muss zugestellt werden –Nutzer klagen gegen Nicht-Zustellung

9 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Fallbeispiel (2) Problem: Aufzeichnung und Auswertung von Daten Massive Angriffe auf eine Einrichtung –Schäden für die Einrichtung entstanden –Durchführung von Logging, Monitoring, Auditing –mit erheblichem Aufwand kann der Angreifer identifiziert werden –Aufgezeichnete Daten sollen als Beweismittel verwendet werden Rechtliche Situation war unberücksichtigt –Datenschutzbeauftragter untersagt Nutzung der aufgezeichneten Daten –Sperrung des Nutzers / Angreifers nicht zulässig –Angreifer klagt gegen die Einrichtung

10 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Strukturen schaffen Ziel: Schutz vor Problemen bei –Auswertung von Log-Dateien (z.B. Firewall) –Angriffen von Innen frühzeitiges Einbinden aller Beteiligten in einer Arbeitsgruppe –Hochschulleitung –Datenschützer –Betriebs-, Personalrat –IT- oder RZ-Leiter Hauptaufgaben der Arbeitsgruppe –alle Beteiligten in das Sicherheitskonzept einbinden –gemeinsames Tragen der Konzepte und Entscheidungen (vor der Umsetzung !)

11 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Schulung von Nutzern Ziel: Sicherheitskompetenz der Nutzer erhöhen –80-90 % aller Angriffe erfolgen von Innen, viele davon durch Unwissenheit Viren - trotz ständiger (medienwirksamer) Warnungen –Dateien werden ohne Kontrolle geöffnet –Programme werden ohne Kontrolle gestartet –Mail Attachments werden automatisch geöffnet bzw. gestartet Konfiguration von Browsern –Fehlverhalten aufgrund mangelnder Kenntnisse –Sicherheitsoptionen sind standardmäßig abgeschaltet –Zulassung aktiver Inhalte (Java, JavaScript, AktiveX, Cookies) dezentrale Firewalls –immer höhere (implizite) Anforderungen an Nutzer

12 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Zusammenfassung klassischer Maßnahmen Klassische Maßnahmen, z.B. –Schaffung interner Strukturen –Einspielen von Patches –Schulung von Nutzern Vorteile –relativ geringer Personalaufwand –relativ geringer finanzieller Aufwand –es kann eine solide Basissicherheit gewährleistet werden Aber: wie alle Sicherheitsmaßnahmen müssen auch diese regelmäßig durchgeführt werden!

13 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Teil 2: Neue Lösungsansätze im Sicherheitsbereich

14 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV PKI (1) Ziele von Public Key Infrastrukturen (PKI) –Aufbau einer Basis für authentische Kommunikation –geeignet in offenen Netzen mit vielen Teilnehmern (Skalierbarkeit) –technische & organisatorische Infrastruktur für Schlüssel und Zertifikate –Grundkonzept asymmetrische Verschlüsselung Betrieb einer PKI –Generierung von Zertifikaten und/oder Schlüsseln –Bereitstellung aktueller "Schwarzer Listen (CRL)" –Directory Infrastruktur zur Verteilung öff. Schlüssel und Zertifikate –DFN-PCA als PKI im Wissenschaftsbereich

15 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV PKI (2) Betrieb einer Signaturgesetz-konformen PKI –hohe Anforderungen an bauliche Maßnahmen –hohe technische Anforderungen (z.B. SmartCards) –Umfangreiche Prozedur zur Anerkennung als SigG-konforme Zertifizierungsstelle Alternative: virtuelles Trustcenter –Beispiel "VIRTUALTRUST" der Deutschen Post –Betrieb einer Zertifizierungsstelle für einen Dritten in dessen Namen –nach Außen hin nur als Zertifizierungsstelle des Dritten erkennbar –eigener Personalaufwand kann erheblich reduziert werden

16 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV PKI (3) Kosten virtuelles Trustcenter (am Beispiel VIRTUALTRUST) –Einmalkosten: mehrere 100TDM –laufende Kosten: TDM / Jahr –Kosten für SmartCards: ca. 50 DM / Jahr / Stück unterstützte Anwendungen –z.B. VIRTUALTRUST für Mail: Lotus & Outlook –eigene Anwendungen müssen aufwendig zertifiziert werden teuer zeitaufwendig –weitere Anwendungen in Vorbereitung

17 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV IPsec Ziel: Realisierung von Sicherheit auf Netz-/Transportebene Vorteil –Verfahren sind für die Nutzer transparent sein Nachteile –keine nutzerspezifische Authentifizierung –alle an der Kommunikation beteiligten Systeme müssen IPsec unterstützen –hohe finanzielle Investitionen in die Infrastruktur erforderlich Ferguson / Schneier: "A cryptographic evaluation of IPsec" –IPsec is far better than any IP security protocol so far –... we do not believe that it will ever result in a secure operational system. It is far too complex...

18 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV biometrische Verfahren Ziel: vereinfachte bzw. sicherere Authentifikation von Personen verschiedene praktische Realisierungen –Handfläche –Finger –Auge –Stimme Vorteile –kein Merken komplizierter Passwörter –Identifikationsmedium trägt man immer bei sich Nachteil –Fehlertoleranz der Systeme nicht für alle Anwendungen geeignet

19 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV SmartCards Ziel: sehr sichere Speicherung geheimer Schlüssel SmartCard –Chipkarte mit integriertem Mikroprozessor –keine einfache Speicherkarte Vorteile –sehr hohe Sicherheit, da geheime Informationen die Karte nicht verlassen können –kein Merken komplizierter Passwörter Nachteile –noch häufige Kompatibilitätsprobleme –noch aufwendige Integration in bestehende Arbeitsumgebungen –aufwendige Infrastruktur zwischen den Lesegeräten erforderlich

20 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Teil 3: Zusammenspiel klassischer und neuer Lösungsmöglichkeiten im Sicherheitsbereich

21 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Einordnung der Lösungsansätze bis zu einem ein bis drei mehr als drei Fachpersonal für Thema Sicherheit DM/a für Investitionen in Sicherheit Nutzerschulung virtuelles Trustcenter Patches eigenes Trustcenter IPsec SmartCards inkl. Infrastruktur biometr. Verfahren inkl. Infrastruktur Strukturen schaffen

22 Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV Zusammenfassung es existieren neue Anforderungen im Sicherheitsbereich –neue Lösungsansätze sind vorhanden oder in der Entwicklung –klassische Maßnahmen verlieren dadurch jedoch keinesfalls an Bedeutung stufenweises Vorgehen abhängig von Ressourcen –erst klassische Maßnahmen –wenn zusätzliche Ressourcen frei sind: Analyse der weiteren Anforderungen –dann Implementierung neuer Lösungsansätze neue Lösungsansätze können Sicherheitsniveau verbessern, aber –Bereitstellung von eigenem Fachpersonal und finanziellen Ressourcen nötig –Folge-/Pflegeaufwand bedenken (Sicherheit ist zeitabhängig!) Ohne ausreichende personelle und finanzielle Ressourcen gibt es auf Dauer keine Sicherheit !


Herunterladen ppt "Verein zur Förderung eines Deutschen Forschungsnetzes mp/SecVerw 5.HV- 1 - 26.01.2014 Dr. Marcus Pattloch (DFN) 5. Tagung der DFN-Nutzergruppe."

Ähnliche Präsentationen


Google-Anzeigen