Aspekte der Zugriffsicherheit am Beispiel der Entwicklung eines Authentifizierungsserversystems Thomas Fieder Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus
RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Inhalt 1.Elemente des Authentifizierungsserversystems 2.Lizenzserversysteme 3.Firewalling 4.Sicherheitsaspekte am Beispiel eines Authentifizierungsserversystems 5.Fazit und Ausblick
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Elemente des Authentifizierungsserversystems Web-Authentifizierungsserver LDAP-Server Lizenzserver Firewall
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Inhalt 1.Elemente des Authentifizierungsserversystems 2.Lizenzserversysteme 3.Firewalling 4.Sicherheitsaspekte am Beispiel eines Authentifizierungsserversystems 5.Fazit und Ausblick
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Lizenzserversysteme – Software-Lizenzen Software-Lizenz: Vertrag zwischen Hersteller oder Vertreiber der Software und Endnutzer der Lizenz Meistens in End User License Agreement (EULA) geregelt Muss zur Nutzung des Produktes vom Endnutzer akzeptiert werden Privatpersonen: Standarddokument Unternehmen: Mögliches Ergebnis von Verhandlungen Rechte und Pflichten des Käufers und Herstellers/Vertreibers festgelegt
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Lizenzserversysteme – Lizenzmanagement Zu Beginn der 1980er Jahre – keine große Bedeutung Entwicklung von Kopierschutzmaßnahmen, z. B. rechnergebundene Lizenz Sehr umständlich für Mitarbeiter Veröffentlichung der ersten Lizenzmanagement Software (1987/1988) Lizenz nun über das Netzwerk als floating license verfügbar Einfacher Überblick über Lizenzen Verhinderung von Unter- bzw. Überlizenzierung
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Lizenzserversysteme - Lizenzmodelle Rechnergebundene Lizenz (node-locked license) Lizenz an einen Rechner gebunden Zum Rechner gehörende Seriennummer Benutzergebundene Lizenz (named user license) Lizenz an Benutzer gebunden Von mehreren Rechnern aus nutzbar Netzwerklizenz (floating license) Lizenz für bestimmte Anzahl gleichzeitiger Aufrufe verfügbar Weder an Rechner noch an Benutzer gebunden Kann auf mehr Rechnern installiert werden, als Lizenzen vorhanden sind
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Lizenzserversysteme – Lizenzierung an der RWTH Aachen Drei zentrale Lizenzserver Solaris-Betriebssystem Windows-Betriebssystem Linux-Betriebssystem Vom Rechenzentrum betrieben Teil eines Clusters Geschützt durch Firewall der RWTH Aachen Zugriff nur aus dem Netz der RWTH Aachen Möglichkeit der Sperrung von IP-Adressen Überwachungssysteme (XYmon, Nagios) Lizenzverwaltung durch FLEXnet, rlm, Olicense
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Inhalt 1.Elemente des Authentifizierungsserversystems 2.Lizenzmanagement 3.Firewalling 4.Sicherheitsaspekte am Beispiel eines Authentifizierungsserversystems 5.Fazit und Ausblick
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Firewalling Firewall sichert und kontrolliert Übergang zwischen zu schützendem und unsicherem Netz Idee Trennung zweier Netze Zulassen nur von definierten Verbindungen
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Firewalling - Paketfilter Kontrolliert und analysiert Pakete auf Netzzugangs-, Internet- und Transportschicht Überprüfung anhand definierter Regeln Netzzugangsschicht Quell- und Zieladresse werden überprüft Internetschicht Kontrolle abhängig von Protokoll ICMP: Prüfen und eventuelles blockieren von Kommandos Transportschicht Überprüfung von Portnummern (TCP/UDP) Kontrolle welche Dienste adressiert werden (z. B. Port 20/21 FTP)
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Firewalling – Application Gateway Arbeitet auf Anwendungsebene Überprüfung anhand definierter Regeln Bestimmte Application Gateways für bestimmte Protokolle Analysiert und überprüft die Befehle der Protokolle und die übertragenen Daten Blockierung einzelner Befehle (z. B. POST bei HTTP) oder bestimmter URLs (HTTP) Verringerung des maximalen Datendurchsatzes und Erhöhung der Latenzzeit zum Abruf von Informationen
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Firewalling – Externe Firewall Kontrolliert und überprüft Kommunikation zweier Netze Wird auf einem externen System betrieben Alle ein- und ausgehenden Verbindungen erfolgen über die externe Firewall Nur die nötigsten Programme sollten auf dem System betrieben werden Nutzt Paketfilter und Application Gateways Redundanter Aufbau in Unternehmen Verbindung etwas langsamer
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Firewalling – Personal-Firewall Arbeitet auf dem zu schützenden System Paketfilter Anwendungsfilter Gezielte Blockierung der Kommunikation einzelner Anwendungen Zusätzlicher Angriffspunkt Für Privantanwender dennoch sinnvoll In Unternehmen zusätzlich zu einer externen Firewall auf Endgeräten nutzbar
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Inhalt 1.Elemente des Authentifizierungsserversystems 2.Lizenzmanagement 3.Firewalling 4.Sicherheitsaspekte am Beispiel eines Authentifizierungsserversystems 5.Fazit und Ausblick
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Sicherheitsaspekte eines Authentifizierungsserversystems Aufbau: Zugriff nur aus dem Netz der RWTH Aachen und für Hochschulen aus NRW
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Sicherheitsaspekte eines Authentifizierungsserversystems Gefahren: Öffnung eines Ports zur Kommunikation mit einem Dienst Benutzername-Passwort Authentifizierung Vergabe eines schwachen Passwortes Datenbank zur Speicherung der Nutzerdaten Einbruch in die Datenbank SQL-Injection Programme zur Authentifizierung und zur Bereitstellung einer Lizenz
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Sicherheitsaspekte eines Authentifizierungsserversystems Sicherheitsaspekte: Einsatz einer Firewall zur Begrenzung des Zugriffes auf das Netz der RWTH Aachen und der Hochschulen aus NRW Einsatz von Application Gateways um z. B. manipulierte (interne) IP-Adressen zu erkennen Öffnung nur von benötigten Ports Eingesetzte Programme auf dem aktuellsten Stand halten Nutzung des HTTPS-Protokolls Passwortvorgaben Filterung von Benutzereingaben oder Übergabe an einen schon kompilierten Befehl
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Inhalt 1.Elemente des Authentifizierungsserversystems 2.Lizenzmanagement 3.Firewalling 4.Sicherheitsaspekte am Beispiel eines Authentifizierungsserversystems 5.Fazit und Ausblick
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Fazit Zugriff nur auf benötigte Komponenten und Ports zulassen Realisierung durch Firewall Erreichbarkeit des Systems nur über VPN Einspielen von Patches Virenscanner Vorgabe von Passwortrichtlinien 100-prozentiger Schutz jedoch nie gewährleistet
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Ausblick Entwicklung eines Authentifizierungsserversystems Entwicklung eines geeigneten Firewall-Setups Steuerung der Firewall zur zeitlich begrenzten Bereitstellung einer Lizenz Überprüfung einer möglichen Integration von TIM zur Identifikation der Nutzer Mögliche Anbindung mittels Shibboleth
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Vielen Dank für Ihre Aufmerksamkeit!
Lehrstuhl und Institut für Allgemeine Konstruktionstechnik des Maschinenbaus RWTH Aachen – Univ.-Prof. Dr.-Ing. Jörg Feldhusen Ende der Bildschirmpräsentation