Policy Manager für die Netzwerk-Sicherheit 31.03.2017 Policy Manager für die Netzwerk-Sicherheit Zentrales Management der Netzwerksicherheit im Unternehmensnetz Klaus P. Steinbrecher © 2008 KPS Consulting LLC Version 1.1 Mit Anregungen und Antworten auf Fragen und Kommentare der Teilnehmer des Vortrags bei 7-it am 8.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Übersicht Bedrohungen im Netzwerk Abwehr äußerer Bedrohungen 31.03.2017 Übersicht Bedrohungen im Netzwerk Innere Bedrohungen Äußere Bedrohungen Abwehr äußerer Bedrohungen Policy Manager Vorläufer von Policy Managern Nachteile der bisherigen Tools Zukünftige Entwicklung von Policy Managern Nicht zu erwartende Entwicklungen Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Bedrohungen im Netzwerk 31.03.2017 Bedrohungen im Netzwerk Innere Bedrohungen Unerlaubter Datenzugriff durch Mitarbeiter Überhöhte administrative Rechte Racheakte Äußere Bedrohungen Neugier Vandalismus Wirtschaftsspionage Erpressung Innere Bedrohungen Unerlaubter Datenzugriff durch Mitarbeiter Neugier Adressenhandel Knowhow-Diebstahl Überhöhte administrative Rechte Konfigurationsfehler (Schlamperei, mangelndes Knowhow) Mangelndes Sicherheitsverständnis Persönliches Geltungsbedürfnis Racheakte Logic Bombs von Programmierern oder Administratoren Wutanfälle und Racheakte anderer Mitarbeiter Äußere Bedrohungen Einbruch in fremde Systeme, um sie zu „durchsuchen“, interne Unterlagen zu lesen „Selbstbestätigung“ (sich selbst beweisen, wie gut man ist) Vandalismus Profilierungssucht (anderen beweisen, wie gut man ist) Ideologisch „motivierte“ Datenlöschung oder Manipulation Wirtschaftsspionage Vorteil bei Verhandlungen, Ausspähen der gegnerischen Strategie, „Trade Secrets“ Ausspähen von Knowhow, Forschungsergebnissen, Konstruktionsunterlagen Ausspähen von Kontaktinformationen, Kundeninformationen für eigenen Gebrauch oder zum Verkauf Erpressung Verschlüsselung von Inhalten, um „Lösegeld“ für Schlüssel zu erpressen Infizierung von spezifischen Systemen, um „Schutzsoftware“ zu verkaufen Allgemeines „Freisetzen“ von Schädlingen, um Schutzsoftware-Umsatz anzukurbeln Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

31.03.2017 Innere Bedrohungen Innere Bedrohungen basieren meist nicht auf Schadsoftware (Malware) oder technischen Zugriffen, sondern Verletzungen von logischen Zugriffsberechtigungen Ein Eindringen ins Netzwerk ist nicht notwendig Technische Lösungen (signaturbasierte Erkennung von Malware am Gateway, technische Blockaden durch Firewalls) fallen als Lösungsansätze aus Innere Bedrohungen kommen von Personen und Systemen, die bereits Zugriff im Netzwerk haben – ein Eindringen ist nicht mehr notwendig. Damit haben sie die größte Hürde zum Datenzugriff bereits überwunden. An dieser Stelle können Sie auf Daten zugreifen, die für Sie nicht bestimmt sind, wenn sie bereits zu große Rechte haben (fehlende oder unzulängliches Sicherheitskonzept, unzulängliche Umsetzung, mangelnde Sorgfalt) sie sich höhere Rechte verschaffen können (manuell durch Lücken im Sicherheitskonzept oder dessen Umsetzung, durch Social Engineering) sie durch Tools auf die Daten zugreifen können (Kennwort-Cracker, Keylogger, Netzwerkmonitoring) In all diesen Fällen sind technische Lösungsansätze an der Netzwerkperipherie unwirksam! Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

31.03.2017 Innere Bedrohungen Einzige technische Gegenmittel für innere Bedrohungen sind nicht im Netzwerk, sondern am lokalen System: Deaktivierung aller nicht notwendigen Schnittstellen Einschränkung der administrativen Rechte Einschränkung der erlaubten Programme Diese Gegenmittel können zentral über Group Policies gesteuert werden, dies wird aber meist vernachlässigt Die Gegenmittel gegen Innere Bedrohungen sind nur zu einem geringen Grad technischer Natur und dann vorwiegend am lokalen System: Deaktivierung von Laufwerken Deaktivierung von USB-Ports Deaktivierung von Parallel- und seriellen Schnittstellen Deaktivierung von WLAN-Adaptern Deaktivierung der Bluetooth-Schnittstelle Deaktivierung der Infrarot-Schnittstelle entweder systemweit oder benutzerabhängig. Ebenso können die administrativen Rechte von Benutzern eingeschränkt werden (Group Policy, UAC) Zusätzlich können die ausführbaren Programme per White List oder Black List kontrolliert werden, entweder systemweit oder benutzerabhängig Dies setzt ein durchdachtes Sicherheitskonzept und eine zentrale Steuerung voraus, was aber in der Praxis beides meist vernachlässigt wird. Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

31.03.2017 Innere Bedrohungen Gegen Innere Bedrohungen helfen vorwiegend organisatorische Maßnahmen im Netzwerk Saubere Netzwerkarchitektur Konsequente Rechteverwaltung Konsequente Password Policy Auditing aller Zugriffe Sofortige Reaktion bei unerlaubten Zugriffen Saubere Netzwerkarchitektur Überschaubar Keine Protokollvielfalt Standardisierte Namensgebung An organisatorischen Notwendigkeiten ausgerichtet Kein Peer-to-Peer Zugriff Konsequente Logische Segmentierung Überschaubare Directory- und Domänenstruktur Konsequente Rechteverwaltung Least Privilege Prinzip Aufteilung der Administratorenrechte auf verschiedene tätigkeitsorientierte Rollen Benutzung von Skripten zur Rechteverwaltung Konsequente Password Policy Komplexität Regelmäßige Änderung Änderung von Service-Kennworten wo möglich Integrierte Security bei Datenbankzugriffen, wo möglich Applikations-Logins bei Datenbankzugriffen, wo möglich Auditing aller Zugriffe Auf Netzwerkebene (z.B. WLAN) Auf Systemebene Auf Share-Ebene Auf Datenbankebene Sofortige Reaktion bei unerlaubten Zugriffen Monitoring der Audit-Logs Reaktionsplan Regelmäßige Audits des Auditing Dies sind vorwiegende planerische und organisatorische Maßnahmen, die keine zusätzlichen Tools oder besondere technische Vorgehensweisen benötigen. Es sind lediglich Wille und Knowhow zur Umsetzung notwendig. Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Äußere Bedrohungen Bisherige Art der Äußeren Bedrohungen 31.03.2017 Äußere Bedrohungen Bisherige Art der Äußeren Bedrohungen Viren Würmer Denial of Service Angriffe Bisherige Zielsetzung der Äußeren Bedrohungen Schnelle Verbreitung Zugriffsblockade „Traditionell“ (bis vor ca. 5 Jahren) kamen die äußeren Bedrohungen vorwiegend von halbwüchsigen Vandalen, die kein wirtschaftliches Interesse verfolgten, sondern aus Neugier oder Prahlerei innerhalb ihrer Kreise handelten. Die Zielsetzung war meist einfach das Überwinden der Verteidigungsmaßnahmen, Daten wurden meist nur kopiert um im Bekanntenkreis nachzuweisen, dass man erfolgreich eingebrochen war. Aus denselben Beweggründen wurden geknackte Logins und Passwörter in den einschlägigen Foren veröffentlicht. Eine weitere Dimension im „Hacker-Wettbewerb“ war die Geschwindigkeit, mit der ein Schädling sich verbreiten konnte – je schneller desto besser. Als dritte Möglichkeit hatten Denial of Service-Angriffe, bei denen ein Server blockiert wurde, dasselbe Ziel – „bester“ in den Hackerkreisen zu sein. Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Äußere Bedrohungen Bisherige Reaktion gegen Äußere Bedrohungen 31.03.2017 Äußere Bedrohungen Bisherige Reaktion gegen Äußere Bedrohungen Abschirmung des Netzwerks nach außen durch Firewalls und Intrusion Detection Systeme (IDS) Malware-Erkennung am Server (z.B. Mail-Gateway) Signaturbasierte Erkennung von Schadsoftware (Malware) Client-Systeme waren meist nicht gesichert Da diese Hacker praktisch nie in den angegriffenen Firmen arbeiteten, mussten sie immer erst in das Netzwerk eindringen. Die Folge war eine konsequente Abschirmung der Netzwerke nach außen durch Firewalls und IDS. Client-Systeme wurden nicht gesichert, da man sich darauf verließ, dass die Abwehr an der Peripherie erfolgreich sein würde. Die benutzten Tools kamen mit monatlichen Signatur-Updates aus, in den meisten Monaten gab es weniger als 1000 neue Schädlinge. Zwischen dem Bekanntwerden einer Sicherheitslücke und ihrem Ausnützen durch Hacker vergingen Wochen oder Monate. Erst als er Webzugriff und der Emailverkehr von und nach außen auch in den meisten Firmen Standard wurde (nach 2000), wurden wenigstens Virenscanner auch an den Clients eingesetzt: Emailverkehr mit webbasierten Clients ließ über den Port 80, der an der Firewall offen bleiben musste, auf diesem Weg Schädlinge ins Firmennetz. Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

31.03.2017 Äußere Bedrohungen Urheber der Äußeren Bedrohungen in den letzten fünf Jahren: Wandlung von Vandalismus und Profilierungssucht (Einzelgänger) zur organisierten Kriminalität (finanzkräftige Organisationen) Internationalisierung und Globalisierung Größere finanzielle Ressourcen für die Entwicklung von Schadsoftware (Malware) Nahezu unlimitierte technische und personelle Ressourcen für die Entwicklung von Malware „Wettrüsten“ zwischen Malware-Industrie und IT In jüngerer Zeit wandelte sich die Motivation von Vandalismus und Profilierungssucht zur organisierten Kriminalität Weniger Neugier Weniger Profilierungssucht Weniger Vandalismus Vorwiegend von Gewinnstreben beherrscht Dies resultierte darin, dass die nun zur Verfügung stehenden finanziellen Ressourcen es ermöglichten, professionelle Programmierer in Vollzeit anzustellen und ihnen hochwertiges Arbeitsgerät zur Verfügung zu stellen. Die Produktivität der kriminellen Hacker ist heute bedeutend höher als die der früheren Amateure. Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Äußere Bedrohungen Konsequenzen des Wettrüstens 31.03.2017 Äußere Bedrohungen Konsequenzen des Wettrüstens Lawinenartige Zunahme von Malware-Varianten „Blended Threats“ Malware-Signaturen verlieren an Wirksamkeit Extrem kurze Reaktionszeiten (Zero Day Exploits) Die Konsequenzen der höheren Produktivität: Die höhere Professionalität und Produktivität der Schadsoftware-Programmierer ermöglicht es heute, in einer Woche mehr neue Schadprogramme auf den Markt zu bringen als vor 3 Jahren im eine ganzen Jahr. Es ist inzwischen auch möglich, bekannt werdende Sicherheitslücken immer schneller auszunutzen – seit zwei Jahren gibt es den „Zero-Day-Exploit“, d.h. am selben Tag, an dem eine Sicherheitslücke bekannt wird, wird sie bereits durch neu geschriebene Schadprogramme ausgenutzt, bevor die Signatures der Antivirus-Hersteller aktualisiert sind und bevor die Firmen oder Privatbenutzer eine Chance haben, ihre Sicherheitssoftware zu aktualisieren.. Zusätzlich besitzen Schadprogramme seit 2-3 Jahren die Möglichkeit, sich selbst so zu verändern, dass Signaturen unwirksam werden, weil sie Software nach ihrem „Aussehen“ überprüfen. Statt dessen muss Schadsoftware immer mehr danach identifiziert werden, wie sie sich „verhält“ (heuristische Erkennung). Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Äußere Bedrohungen Änderung der Zielsetzung 31.03.2017 Äußere Bedrohungen Änderung der Zielsetzung Zielsetzung ist die Erlangung von Daten, die finanziellen Gewinn versprechen, nicht mehr die Zerstörung von Daten Dazu müssen Programme lokal installiert werden, welche die Daten finden und absenden Die Zielsetzung der Hacker wandelte sich seit ca. 2002 von der Profilierung in der Peer-Group zur Sammlung und wirtschaftlichen Ausbeutung von Daten. Das Eindringen in ein Netzwerk und möglicher Vandalismus (Festplatte formatieren, Webseite verändern) war nicht mehr ausreichend, es mussten Daten gesucht und identifiziert und an eine Sammelstelle gesendet werden. Dazu wurde die Installation bedeutend komplexerer Programem auf den lokalen Systemen notwendig. Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Äußere Bedrohungen Änderung des Eindringens 31.03.2017 Äußere Bedrohungen Änderung des Eindringens Anwender müssen lokal ein Schadprogramm installieren Nach der Installation des ersten Programms können andere herunter geladen und installiert werden Eine Firewall (selbst mit Stateful Inspection) verhindert das nicht, da die Verbindung aus dem Netz heraus aufgebaut wird Am besten geeignet sind Webseiten und E-Mail Die Methoden zum Eindringen ins Netzwerk änderten sich: Über Email und – zunehmend – Zugriffe auf Webseiten werden Schadprogramme installiert, die dann aus dem Netzwerk heraus neue Schadprogramem nachladen und gesammelte Daten abschicken. Dadurch dass das ursprüngliche Programm durch einen Benutzer (entweder durch Öffnen einer Email oder Zugriff auf eine infizierte Webseite) „legal“ installiert wird, ist ein gewaltsames Eindringen ins Netzwerk von außen nicht mehr notwendig. Sogenannte „Stateful Inspection“ Firewalls, die Zugriffe von außen verhinderten, aber Zugriffe aus dem Netzwerk ins Internet zuließen, wurden damit wirkungslos. Der Zugang zum Web über Port 80 (oder irgend einen anderen Port eines Proxy-Servers) ist ein offenes Tor für alle Schadsoftware, das nicht durch Firewalls oder Intrusion Detection Systeme geschlossen werden kann. Klaus P. Steinbrecher, KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Abwehr Äußerer Bedrohungen 31.03.2017 Abwehr Äußerer Bedrohungen Konsequenzen für das Ausführen von Programmen Administrative Rechte zur Installation von Software auf Clients müssen eingeschränkt werden können Es muss möglich sein, White Lists und Black Lists zu verwalten, die das Ausführen von Programmen, Skripten usw. erlauben oder sperren Wenn der Emailzugang und der Webzugriff zugelassen werden muss, gibt es nur die Möglichkeit, die Ausführung von Schadprogrammen innerhalb des Netzwerks zu verhindern. Dazu muss die Wahrscheinlichkeit der unbewussten „legalen“ Installation von Schadsoftware durch Benutzer dadurch verhindert werden, dass sie ihre administrativen Rechte, einschließlich des Rechtes zur Installation von Software auf der lokalen Workstation, möglichst gering gehalten werden. User Account Control in Windows Vista ist ein erster Ansatz. Für den Fall, dass Schadsoftware diese erste Hürde überwindet und installiert wird, muss das Ausführen von bekannten Programmen anhand von Black Lists verhindert werden. Wo möglich, z.B. in sehr homogenen Umgebungen wo viele Workstations identisch konfiguriert sind (Call Center, o.ä.) , kann man über White Lists das Ausführen bestimmter Programme erlauben und die Ausführung aller anderen Programme sperren. Klaus P. Steinbrecher, KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Abwehr Äußerer Bedrohungen 31.03.2017 Abwehr Äußerer Bedrohungen Konsequenzen für die Kommunikation von Programmen Abhängig von den installierten Programmen darf ein System nur über bestimmte Ports und Protokolle kommunizieren Dazu ist die Installation und Konfiguration einer lokalen Firewall auf jedem System im Netzwerk notwendig Da alle Schadprogramme sowohl zum Nachladen anderer Schadprogramme als auch zum Versenden ausgespähter Daten mit der Außenwelt kommunizieren müssen, muss an jeder Workstation dafür gesorgt werden, dass nur bestimmte zugelassene Programm über bestimmte zugelassene Ports und Protokolle nach außen kommunizieren dürfen. Das ist die Funktionalität einer klassischen Firewall, die damit von der Netzwerk-Peripherie (Gateways) auf jede einzelne Workstation und jeden einzelnen Server migriert ist. Sämtliche Windows-Versionen seit Windows XP (2001) besitzen diese Funktionalität von Hause aus. Leider wird sie selten genutzt. Klaus P. Steinbrecher, KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Abwehr Äußerer Bedrohungen 31.03.2017 Abwehr Äußerer Bedrohungen Auswirkungen auf die Netzwerkadministration Statt wenigen Firewalls sind Tausende zu konfigurieren Dazu müssen, ähnlich wie Group Policies im Directory, Firewall Policies für die Firewalls erstellt werden Dies kann nur durch zentrale Tools, sogenannte Policy Manager, geschehen Da es nicht möglich ist, Hunderte oder Tausende von Firewalls manuell zu konfigurieren, muss dies von einer zentralen Stelle aus geschehen. Diese zentralen Konfigurations- und Administrations-Tools sind als Policy Manager bekannt. Klaus P. Steinbrecher, KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Policy Manager Vorläufer von Policy Managern 31.03.2017 Policy Manager Vorläufer von Policy Managern Bisher gab es bereits zentrale Konsolen z.B. für die Konfiguration und die Signatur-Updates von Virenscannern Firewalls konnten bisher in eingeschränktem Umfang z.B. durch Group Policies konfiguriert werden Die Ausführung von Programmen konnte bisher auch durch Group Policies gesteuert werden Klaus P. Steinbrecher, KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Policy Manager Nachteile der bisherigen Tools 31.03.2017 Policy Manager Nachteile der bisherigen Tools Security-relevante Einstellungen wurden auf vielen verschiedenen System und Konsolen verwaltet Die meisten Produkte waren nicht Betriebssystem- übergreifend Integration mit Verzeichnisdiensten war mangelhaft System-Patches wurden nicht verwaltet Reporting war mangelhaft Granularität war nicht ausreichend Group Policies im Active Directory sind allerdings auf die Windows-Welt beschränkt und setzen ein Knowhow voraus, das viele Administratoren nicht besitzen. In eine typischen Fall würde man eine zentrale Konsole für den Virenscanner und Anti-Spyware benutzen, und separate Group Policies, mit denen man die Ausführung bestimmter Programme unterbinden und die Client- und Server-Firewalls konfigurieren kann. Einige Virenscanner-Produkte (McAfee, F-Secure, andere) bringen ein paar Jahren ihre eigene Firewall mit, welche von der selben Konsole aus konfiguriert werden kann und die Windows-Firewall ersetzt. Klaus P. Steinbrecher, KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Policy Manager Zukünftige Entwicklung von Policy Managern 31.03.2017 Policy Manager Zukünftige Entwicklung von Policy Managern Zentrale Konsolen für die Verteilung von Security Patches und Signatur-Updates Administration von Security Patches, Firewalls, Virenscannern in derselben Konsole Integration mit Verzeichnisdiensten Umfassendes Reporting Unterstützung mehrerer Betriebssysteme Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

Policy Manager Nicht zu erwartende Entwicklungen 31.03.2017 Policy Manager Nicht zu erwartende Entwicklungen Wegfall der Firewalls am Netzwerk-Perimeter Wegfall der Virenscanner an den verschiedenen Gateways (E-Mail, Groupware, Intranet) Kombination der Abwehr von Inneren Bedrohungen und Äußeren Bedrohungen Firewalls am Netzwerk-Perimeter werden deswegen nicht wegfallen, da dann die Netzwerk-Komponenten (Router, Switches, usw.) in keiner Weise gegen Angriffe (Eindringen zur Re-Konfiguration oder einfach Denial of Service) geschützt wären. Mit den vielen Sicherheitslöchern in ihren Betriebssystemen wäre das Risiko zu hoch. Außerdem ist heute die Benutzung von privaten Netzwerken und Network Address Translation (NAT) Standard; diese Adressumsetzung ist ein nicht zu unterschätzender Sicherheitsfaktor. Reine NAT-Appliances sind so gut wie unbekannt, diese Aufgabe wird typischerweise von einer Kombination aus Router und Firewall an der Netzwerkperipherie übernommen. Auch mit der Installation von Virenscannern auf allen Netzwerk-Clients und –Servern sind die Scanner an der Peripherie beibehalten worden: 90% der Schädlinge bereits vor dem Eindringen ins Netzwerk auszufiltern ist besser, als sie erst ins Netz zu lassen und diese Aufgabe dann den Clients zu überlassen: Einerseits haben sie weniger Ressourcen und verlieren deshalb schneller an Performance und können leichter überwältigt werden (viele Client-Scanner scannen standardmäßig nur Dateien bis zu einer bestimmten Größe – in größeren Dateien können Schädlinge dann eindringen). Andererseits besteht eine viel höhere Wahrscheinlichkeit, dass Clients entweder fehlkonfiguriert sind oder ihre Antivirus-Software nicht auf dem aktuellen Stand ist (z.B. nach 4 Wochen Urlaub oder bei Notebooks, die schon länger nicht mehr am Firmennetzwerk waren). Die Kombination zur Administration von Maßnahmen zur Abwehr von inneren Bedrohungen (organisatorische Maßnahmen, z.B. Rechteverwaltung) und äußeren Bedrohungen (vorwiegend technische Maßnahmen wie Port-/Protokoll-/Firewall-Konfiguration) in einer einzigen Konsole macht auch keinen Sinn: Sowohl die Voraussetzungen beim erforderlichen Knowhow der Administratoren als auch die Aufgabenverteilung in der Praxis ist bei mittelgroßen und großen Firmen zu verschieden. Bei kleineren Firmen fehlt meist der Wille als auch das notwendige Knowhow zu solchen Maßnahmen ganz. Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC

31.03.2017 Kontaktinformation Klaus P. Steinbrecher,  MBA MCDBA, MCITP, MCSE:Security, MCT KPS Consulting LLC ksteinbrecher@kpsconsulting.org http://www.kpsconsulting.org Mobil: +49-(0)172-820-0417 Fax: +1-505-212-0438 Klaus P. Steinbrecher © 2008 KPS Consulting LLC 08.12.2008 Klaus P. Steinbrecher, KPS Consulting LLC