Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Microsoft Sicherheitstechnologien Sven ThimmBjörn Schneider Microsoft Senior Presales ConsultantSenior Consultant IT-Security

Ähnliche Präsentationen


Präsentation zum Thema: "Microsoft Sicherheitstechnologien Sven ThimmBjörn Schneider Microsoft Senior Presales ConsultantSenior Consultant IT-Security"—  Präsentation transkript:

1 Microsoft Sicherheitstechnologien Sven ThimmBjörn Schneider Microsoft Senior Presales ConsultantSenior Consultant IT-Security Sven ThimmBjörn Schneider Microsoft Senior Presales ConsultantSenior Consultant IT-Security Techlevel 200

2 Agenda Das Securityproblem Patchmanagement Security Engineering Identity & Access Management Perimeter Sicherheit Security Roadmap Das Securityproblem Patchmanagement Security Engineering Identity & Access Management Perimeter Sicherheit Security Roadmap

3 Das Security Problem Sicherheitskrise der Software-Branche Quelle: securityfocus.org, Stand:

4 Das Security Problem Social Engineering Definition Nichttechnisches Ausspähen von Informationen durch Kontakt zu den Informationsträgern Sicherheitsvorkehrungen werden nicht auf technischer, sondern auf sozialer Ebene umgangen Prevention Schwachstelle Mensch (Trainings, Awareness) Beseitigung von Prozessmängeln Einsatz von geeigneten Technologien Definition Nichttechnisches Ausspähen von Informationen durch Kontakt zu den Informationsträgern Sicherheitsvorkehrungen werden nicht auf technischer, sondern auf sozialer Ebene umgangen Prevention Schwachstelle Mensch (Trainings, Awareness) Beseitigung von Prozessmängeln Einsatz von geeigneten Technologien

5 Das Security Problem Bewertung des Risikos R = Risiko Wahrscheinlichkeit einer Kompromittierung von Missbrauch B = Bedrohung Umgebung Internet, LAN, Offline Verbreitung des Systems R = Risiko Wahrscheinlichkeit einer Kompromittierung von Missbrauch B = Bedrohung Umgebung Internet, LAN, Offline Verbreitung des Systems V = Verletzlichkeit Vulnerabilities, Exploits potentielle Angriffsfläche W = Wert der Beute Daten als Ware Ruhm, Anerkennung Anrichten von Schaden z.B. Verlust von Verfügbarkeit R = B x V x W

6 Das Security Problem Software Security Pendel Einfache Benutzung Automagic Alle Features sind ON by default Große Angriffsfläche Out Of The Box Experience Features Attacks Einfache Benutzung Automagic Alle Features sind ON by default Große Angriffsfläche Out Of The Box Experience Features Attacks Usability & Features Security & Privacy Marketing Mode Marketing Mode

7 Das Security Problem Software Security Pendel Geringe connectivity Viele Sicherheitsdialoge Minimierte Angriffsfläche Oft schwieriger zu benutzen Nur schwer zu vermarkten Geringe connectivity Viele Sicherheitsdialoge Minimierte Angriffsfläche Oft schwieriger zu benutzen Nur schwer zu vermarkten Usability & Features Security & Privacy Paranoid Mode

8 Das Security Problem Software Security Pendel Kleinere Angriffsfläche Weniger Sicherheits- Dialoge, aber Transparente Einstellung Alles konfigurierbar Sicher handhabbar! Security & Privacy als Feature für den Anwender Kleinere Angriffsfläche Weniger Sicherheits- Dialoge, aber Transparente Einstellung Alles konfigurierbar Sicher handhabbar! Security & Privacy als Feature für den Anwender Usability&FeaturesSecurity&Privacy Optimum

9 Patchmanagement

10 Patchmanagement Neuer Zeitplan für Patches Sicherheits-Patches monatlich Patch-Paket an jedem 2. Dienstag im Monat , , , , , … Bessere Test- und Deployment Planung möglich Patches als Gesamtpaket oder einzeln Notfall-Patches (Exploit aufgetaucht) Sofortige Bereitstellung des Patches Verlängerter Sicherheits-Support (H1/04) Windows 2000 SP2 Windows NT4 Workstation SP6a Sicherheits-Patches monatlich Patch-Paket an jedem 2. Dienstag im Monat , , , , , … Bessere Test- und Deployment Planung möglich Patches als Gesamtpaket oder einzeln Notfall-Patches (Exploit aufgetaucht) Sofortige Bereitstellung des Patches Verlängerter Sicherheits-Support (H1/04) Windows 2000 SP2 Windows NT4 Workstation SP6a

11 Patchmanagement Rating von Security Bulletins RatingDefinitionKundenaktion Die Schwachstelle ermöglicht die Verbreitung eines Internet Wurms wie Code Red oder Nimda ohne Zutun des Anwenders Unverzügliche Installation des Patches oder Durchführung entsprechender Anweisungen Durch die Schwachstelle kann die Vertraulichkeit, Integrität, oder Verfügbarkeit von Anwenderdaten oder Prozess Systemen kompromittiert werden. Baldmöglichste Installation des Patches oder Durchführung entsprechender Anweisungen Die Schwachstelle wird bereits durch verschiedene Faktoren (z.B. Standard- konfiguration, Audits, Anwenderverhalten oder Komplexität des Angriffes) signifikant abgeschwächt. Überprüfung des Bulletins, Eignung und Einsatz des Patches überprüfen und entsprechend fortfahren gering Ausnutzung der Schwachstelle ist äußerst schwierig oder die Auswirkungen sind minimal Einplanung des Patches im nächsten standardmäßig geplanten Update Intervall

12 Patchmanagement Entstehung des Blaster Wurms Schwachstelle entdeckt / Start der Patchentwicklung Bulletin & Patch verfügbar, bisher kein Angriff Angriffs-Code wird veröffentlicht Wurm infiziert die Welt 1. Juli Juli Juli August 03 Report Schwachstelle in RPC/DDOM aufgedeckt MS startet den höchsten Notfall- prozess Level Report Schwachstelle in RPC/DDOM aufgedeckt MS startet den höchsten Notfall- prozess Level Bulletin MS wird an Kunden ausgeliefert Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden Bulletin MS wird an Kunden ausgeliefert Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden Exploit X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs- Tool MS maximiert die Anstrengungen, alle Kunden zu informieren Exploit X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs- Tool MS maximiert die Anstrengungen, alle Kunden zu informieren Wurm Blaster Wurm entdeckt Varianten und andere Viren schlagen gemeinsam zu (z.B. SoBig) Wurm Blaster Wurm entdeckt Varianten und andere Viren schlagen gemeinsam zu (z.B. SoBig) Blaster zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwareherstellern und Hackern

13 Patchmanagement Tools und Technologien Scanning Engines Hfnetchk, MBSA, Office Inventory Tool Einzelplatzlösung Office Update Windows Update, Automatic Update Unternehmenslösungen SUS 1.0 SP1 SMS 2003 Microsoft Solution for Management (MSM) Scanning Engines Hfnetchk, MBSA, Office Inventory Tool Einzelplatzlösung Office Update Windows Update, Automatic Update Unternehmenslösungen SUS 1.0 SP1 SMS 2003 Microsoft Solution for Management (MSM)

14 Patchmanagement SUS 1.0: Übersicht Firewall Untergeordneter SUS Server Bandbreiten Prüfung Windows Update Service Bandbreiten Prüfung 2.Administrator erteilt Freigabe für überprüfte Aktualisierungen 1.SUS Server prüft ob neue Aktualisierungen vorliegen 3.Freigegebene Updates werden mit untergeordneten SUS Servern synchronisiert 4.AU erhält freigegebene Aktualisierungsliste vom SUS Server 6.AU informiert bzw. installiert das Update 7.AU hält Installationshistorie fest 5.AU lädt freigegebene Aktualisierungen vom SUS Server herunter SUS Server DEMO Client GPO

15 Office Update SMS Windows Update SUS Microsoft Update Windows Update Mitte 2004 Heute Patchmanagement Microsoft Update Microsoft Update Onlinedienst und Aktualisierung für die gesamte Microsoft Software Basierend auf der SUS Infrastruktur Integriert per Design: - automatisches Scannen - Installation der Aktualisierung - Berichtauswertung Microsoft Update Onlinedienst und Aktualisierung für die gesamte Microsoft Software Basierend auf der SUS Infrastruktur Integriert per Design: - automatisches Scannen - Installation der Aktualisierung - Berichtauswertung

16 Preview SUS 2.0

17 Patchmanagement SUS 2.0 Unterstützung für zusätzliche MS Produkte Office 2003, SQL Server 2000, Exchange Server zusätzliche Unterstützung weiterer Produkte Administrative Kontrolle Möglichkeit der automatischen Deinstallation Anpassung der Client Abfrageintervalle Festlegen des Zeitpunktes bis Installation ausgeführt werden muss Zusätzliche Regeln für automatische Installation Unterstützung für zusätzliche MS Produkte Office 2003, SQL Server 2000, Exchange Server zusätzliche Unterstützung weiterer Produkte Administrative Kontrolle Möglichkeit der automatischen Deinstallation Anpassung der Client Abfrageintervalle Festlegen des Zeitpunktes bis Installation ausgeführt werden muss Zusätzliche Regeln für automatische Installation

18 Patchmanagement SUS 2.0 Ausrollen & Zielbestimmung Angepasste Synchronisation mit WU z.B. alle WinXP Patches, aber keine Win2K Inhalte Automatische Aktualisierung des SUS Clients Statusprüfung der installierten Updates Verbessertes Reporting GUI Report-Tool sammelt den Aktualisierunsstatus per Computer-Group oder per Update Ausrollen & Zielbestimmung Angepasste Synchronisation mit WU z.B. alle WinXP Patches, aber keine Win2K Inhalte Automatische Aktualisierung des SUS Clients Statusprüfung der installierten Updates Verbessertes Reporting GUI Report-Tool sammelt den Aktualisierunsstatus per Computer-Group oder per Update

19 Patchmanagement Neue Schutztechnologien Windows XP SP2 Verbesserte Firewall und Browsing sicherer Verbesserter Schutz gegen Buffer Overflows Status: Beta, RTM ca. Sommer 2004 Windows Server 2003 SP1 Rollen-basierte Sicherheitskonfiguration RAS Client Inspection (Quarantäne Technologie) Locale Inspection bei Verbindungsaufbau im LAN RTM evtl. Q Windows XP SP2 Verbesserte Firewall und Browsing sicherer Verbesserter Schutz gegen Buffer Overflows Status: Beta, RTM ca. Sommer 2004 Windows Server 2003 SP1 Rollen-basierte Sicherheitskonfiguration RAS Client Inspection (Quarantäne Technologie) Locale Inspection bei Verbindungsaufbau im LAN RTM evtl. Q4 2004

20 Patch Grösse reduzieren Patch Komplexität reduzieren Patch-Risiko minimieren Downtime reduzieren Bis Sommer 2004: Durchgängige Patch- Rollback- Fähigkeit für Windows, SQL, Exchange, Office Bis Sommer 2004: 80% Reduktion der Grösse. (Delta patching Technologie, Optimierungen in MSI 3.0) Bis Sommer 2004: 30% weniger Reboots bei Win 2003 (mit SP1). Bis 70% Reduktion bei nächster Server-Generation Bis Sommer 2004: Nur noch 2 Patch Installer. Alle Patches verhalten sich gleich und sind gleich zu installieren (SUS 2.0, MSI 3.0) Patchmanagement Patching vereinfachen Patch Automation für alle Produkte Bis Ende 2004: Alle Patches auf MS Update. Derzeit: SMS 2003 kann alle Patches für aktuelle MS Apps verteilen

21 Patchmanagement Reaktionszeit Exploits werden intelligenter Zeitspanne zwischen Erscheinen des Patches und Auftreten eines Exploits sinkt Traditionelle Software- verteilung zu zeitintensiv Ansatz Patchmanagement reicht nicht Neue Techniken müssen entwickelt werden Exploits werden intelligenter Zeitspanne zwischen Erscheinen des Patches und Auftreten eines Exploits sinkt Traditionelle Software- verteilung zu zeitintensiv Ansatz Patchmanagement reicht nicht Neue Techniken müssen entwickelt werden Blaster Welchia/ Nachi Nimda 25 SQL Slammer Tage zwischen Patch und Angriff

22 Security Engineering

23 Security Engineering Threat Modeling Klassischer Ansatz Entwickler und Tester beweisen, dass ihre Anwendung unter verschiedensten Bedingungen funktioniert. OK für geschlossene Software-Systeme Nicht OK für Systeme im Internet Threat modeling You need to think ! Anwendung zerlegen Interfaces identifizieren (Sockets, Named Pipes) Daten-Strukturen analysieren Angriffspunkte durch Datenmutation penetrieren Klassischer Ansatz Entwickler und Tester beweisen, dass ihre Anwendung unter verschiedensten Bedingungen funktioniert. OK für geschlossene Software-Systeme Nicht OK für Systeme im Internet Threat modeling You need to think ! Anwendung zerlegen Interfaces identifizieren (Sockets, Named Pipes) Daten-Strukturen analysieren Angriffspunkte durch Datenmutation penetrieren

24 Security Engineering Fehler bei der Softwareentwicklung Buffer Overruns Was kann passieren? Bluescreen System wird instabil Debugging??? Angreifer injiziert bösen Code und ist Admin! Buffer Overruns Was kann passieren? Bluescreen System wird instabil Debugging??? Angreifer injiziert bösen Code und ist Admin! Ein Buffer Ein paar Daten Pack sie zusammen { Hope theres nothing of interest here!

25 // Only allow " URLs if(url.ToUpper(CultureInfo.InvariantCulture).Left(4) == "HTTP") getStuff(url); else return ERROR; Security Engineering Das Türkisch- İ Problem Im Türkischen gibt es 4 Buchstaben für I i (U+0069) I (U+0049) ı (U+0131) İ (U+0130) Im Türkischen UC (" file ") == FİLE Im Türkischen gibt es 4 Buchstaben für I i (U+0069) I (U+0049) ı (U+0131) İ (U+0130) Im Türkischen UC (" file ") == FİLE // Do not allow "FILE://" URLs if(url.ToUpper().Left(4) == "FILE") return ERROR; getStuff(url); İ İ

26 Identity Management

27 LAN Firewall Non-AD Directory Non-AD Directory Wireless LAN UNIX App UNIX App RADIUS File Server Application Server Client Datenbank Intranet Portal Web Server Identity & Access Management Überblick VPN Gateway VPN Gateway Active Directory Meta Directory

28 Perimeter Sicherheit

29 Perimeter Sicherheit Firewall-Technologien Static-Packet-Filtering (PF) Älteste und einfachste Firewall-Technologie Statische Analyse der Network- und Transport-Header Hoher Datendurchsatz durch einfache Paketanalysen Wenig Schutz bei komplexen Konfigurationen! Keine Zuordnung von Antworten zu ihren Anfragen Probleme bei Auswertung von fragmentierten Paketen Static-Packet-Filtering (PF) Älteste und einfachste Firewall-Technologie Statische Analyse der Network- und Transport-Header Hoher Datendurchsatz durch einfache Paketanalysen Wenig Schutz bei komplexen Konfigurationen! Keine Zuordnung von Antworten zu ihren Anfragen Probleme bei Auswertung von fragmentierten Paketen

30 Perimeter Sicherheit Firewall-Technologien Stateful-Packet-Filtering (SPF) Firewall verwaltet Sitzungstabelle aller Anfragen Antworten dürfen nur nach Anfrage passieren Komplexe Protokolle verwenden dynamische Ports FTP Zugriffe (PASV u. PORT), Voice-over-IP, RPC, u.v.m. SPF können die Steuerinformationen auswerten Primäre und sekundäre Verbindung bilden eine Sitzung Automatisches Hinzufügen von dynamischen Paketfiltern möglich Stateful-Packet-Filtering (SPF) Firewall verwaltet Sitzungstabelle aller Anfragen Antworten dürfen nur nach Anfrage passieren Komplexe Protokolle verwenden dynamische Ports FTP Zugriffe (PASV u. PORT), Voice-over-IP, RPC, u.v.m. SPF können die Steuerinformationen auswerten Primäre und sekundäre Verbindung bilden eine Sitzung Automatisches Hinzufügen von dynamischen Paketfiltern möglich

31 Perimeter Sicherheit Firewall-Technologien Was bedeutet heutzutage TCP Port 80? Laut iana.org : Hypertext Transfer Protokoll In der Realität : Universal Firewall Bypass Protokoll Viele Unternehmen haben Port 80 an ihrer Firewall geöffnet Viele Anwendungen tunneln ihre Daten über Port 80/HTTP Wie kann man dann die Protokollintegrität sicherstellen? Einsatz von Application-Layer-Filtering (ALF) Umsetzung als protokollspezifischer Proxy-Server Umsetzung als transparente Datenstromfilter Was bedeutet heutzutage TCP Port 80? Laut iana.org : Hypertext Transfer Protokoll In der Realität : Universal Firewall Bypass Protokoll Viele Unternehmen haben Port 80 an ihrer Firewall geöffnet Viele Anwendungen tunneln ihre Daten über Port 80/HTTP Wie kann man dann die Protokollintegrität sicherstellen? Einsatz von Application-Layer-Filtering (ALF) Umsetzung als protokollspezifischer Proxy-Server Umsetzung als transparente Datenstromfilter

32 Perimeter Sicherheit ALF Funktionalitäten (HTTP) Filterung anhand von Informationen wie… Hostheader gibt Auskunft über das Ziel Dateiendung gibt Auskunft über den Datentyp Benutzerkennung, User-Agent, Mime-Type protokollspezifischer Befehle PUT, DELETE, MOVE, OPTIONS, PROPFIND, POLL, … Filterung von bekannten Angriffssignaturen URL Encoding Probleme, Folder Traversal Bugs /scripts/..%255c../winnt/system32/cmd.exe?/c+… Buffer Overruns in eingesetzten Webserver /default.ida?xxxxxxxxx…xxxxxxxxx+SHELLCODE Filterung anhand von Informationen wie… Hostheader gibt Auskunft über das Ziel Dateiendung gibt Auskunft über den Datentyp Benutzerkennung, User-Agent, Mime-Type protokollspezifischer Befehle PUT, DELETE, MOVE, OPTIONS, PROPFIND, POLL, … Filterung von bekannten Angriffssignaturen URL Encoding Probleme, Folder Traversal Bugs /scripts/..%255c../winnt/system32/cmd.exe?/c+… Buffer Overruns in eingesetzten Webserver /default.ida?xxxxxxxxx…xxxxxxxxx+SHELLCODE

33 Perimeter Sicherheit ISA Server 2004 Künftige Firewall-, VPN- und Cache-Lösung Status: Beta 2 (englisch und deutsch) Stateful- und Application-Layer-Filterung ALF: HTTP, SMTP, FTP, DNS, POP3, RPC… Deep Content Inspection Erweitert VPN Dienst von Windows Server VPN- und Quarantänenetzwerke Multi-Networking Support Verbesserte GUI Künftige Firewall-, VPN- und Cache-Lösung Status: Beta 2 (englisch und deutsch) Stateful- und Application-Layer-Filterung ALF: HTTP, SMTP, FTP, DNS, POP3, RPC… Deep Content Inspection Erweitert VPN Dienst von Windows Server VPN- und Quarantänenetzwerke Multi-Networking Support Verbesserte GUI

34 ISA Server 2004

35 Perimeter Sicherheit Vergleich ISA Server 2004 vs Netzwerk- topologien Unlimitierte Anzahl von Netzwerken und Topologien Ein internes und ein externes Netzwerk sowie eine DMZ Sicherheits- richtlinien Sicherheitsrichtlinien für jedes Netzwerk Eine Sicherheitsrichtlinie für alle Netzwerke NetzwerkroutingNAT oder Routing in alle Netzwerke Ausschließlich NAT ins interne Netzwerk (LAT) Content Inspection Komplette Stateful Inspection auf allen Netzwerken + ALF Stateful Inspection nur von und zum internen Netzwerk (LAT) VPN FilterungStateful-Filterung des VPN Traffics möglich Keine Stateful-Filterung des VPN Traffics ArchitekturPerformance-optimierte Multilayer Fliltering Engine Parallele Web-Proxy- und Firewall Dienste ManagementKomplett überarbeitetes User- Interface Standard MMC Plug-In VPN SupportPPTP, L2TP IPSec + IPSec Tunnel Mode (NAT Traversal) PPTP, L2TP IPSec

36 Perimeter Sicherheit Fazit der Filterungstechnologien Paketfilter sind Mittel zur groben Datenfilterung Einfach anwendbar durch einheitliche Protokolle Gut geeignet, um Kommunikation zu Blocken ALFs beherrschen intelligente Datenfilterung Portnummern sind nicht mehr aussagekräftig Viele Angriffe finden auf Anwendungsebene statt Sind ALFs eine 100%ige Schutzmöglichkeit? FW ist blind gegen clientseitige Verschlüsselung Intelligentere FW-Hacks wie z.B. VPN over SSL Paketfilter sind Mittel zur groben Datenfilterung Einfach anwendbar durch einheitliche Protokolle Gut geeignet, um Kommunikation zu Blocken ALFs beherrschen intelligente Datenfilterung Portnummern sind nicht mehr aussagekräftig Viele Angriffe finden auf Anwendungsebene statt Sind ALFs eine 100%ige Schutzmöglichkeit? FW ist blind gegen clientseitige Verschlüsselung Intelligentere FW-Hacks wie z.B. VPN over SSL

37 H1 04 H2 04 Zukunft Heute Erweiterter Support Monatliche Patch Releases Basis- Sicherheits- richtlinien Aufbau einer Community SMS 2003 Erweiterter Support Monatliche Patch Releases Basis- Sicherheits- richtlinien Aufbau einer Community SMS 2003 Windows XP SP2 mit verbessertem Patching SUS 2.0 Microsoft Update Breitentrainings ISA Server 2004 Standard Edition Windows XP SP2 mit verbessertem Patching SUS 2.0 Microsoft Update Breitentrainings ISA Server 2004 Standard Edition Windows Server 2003 SP1 mit neuen Sicherheits- technologien Next generation inspection ISA Server 2004 Enterprise Edition Windows Server 2003 SP1 mit neuen Sicherheits- technologien Next generation inspection ISA Server 2004 Enterprise Edition NGSCB Windows hardening Weiterführende Sicherheits- technologien auf BS-Level NGSCB Windows hardening Weiterführende Sicherheits- technologien auf BS-Level Security Roadmap

38 Die richtigen Schritte zu effizienter Sicherheit Implementierung einer Patchmanagement-Strategie Standardisierung der Serverplattform auf Windows Server 2003 Upgrade der Laptops & Remote Systeme auf Windows XP Erstellung eines Security Plans Durchführung eines Security Audits

39 Literatur Windows Sicherheit – Das Praxisbuch Weltner, Wilke, Schneider erschienen bei Microsoft Press Writing Secure Code – 2 Michael Howard, David LeBlanc erscheinen bei Microsoft Press Bill Gates: Required reading at Microsoft Windows Sicherheit – Das Praxisbuch Weltner, Wilke, Schneider erschienen bei Microsoft Press Writing Secure Code – 2 Michael Howard, David LeBlanc erscheinen bei Microsoft Press Bill Gates: Required reading at Microsoft

40 Links Neuer Security Bulletin Release Prozess: Security Bulletins: /bulletin/ Schweizer Security Webseite: Leitfaden zur Sicherheitspatch-Verwaltung /showArticle.asp?siteid= ISA Server 2004 Beta Webseite Neuer Security Bulletin Release Prozess: Security Bulletins: /bulletin/ Schweizer Security Webseite: Leitfaden zur Sicherheitspatch-Verwaltung /showArticle.asp?siteid= ISA Server 2004 Beta Webseite

41

42 Ihr Potenzial. Unser Antrieb.


Herunterladen ppt "Microsoft Sicherheitstechnologien Sven ThimmBjörn Schneider Microsoft Senior Presales ConsultantSenior Consultant IT-Security"

Ähnliche Präsentationen


Google-Anzeigen