Security im Netzwerk Von Gefahren und wie man ihnen begegnet. Security: Spitzfindig oder eine ernsthafte Gefahr Security: Science Fiction oder Wirklichkeit? Security: Ein Haufen Pessimisten oder Realität? Kein Anspruch auf Vollständigkeit oder Richtigkeit.
Was geht uns das an? WebPublisher Verwendete Technologien (z.B. ActiveX und Java Sicher genug?). SendMail, Webmail? Upload, Download. Abschätzen der Sicherheit beim Provider. Eigene Anlagen, Datenklau. Beratung für den Kunden WebMaster Die eigenen zu unterhaltenden Geräte Die eigenen Router, Firewals Die eigenen Server Die eigenen Datenleitungen Die eigenen Daten
Wer sind die Opfer? Kleinfirmen / Private: Angriff von Hackern die ihr eigenes Wissen verbessern möchten, oder persönlicher Racheakt. Mittelbetriebe, Grosbetriebe, Politische Institutionen: Angriff mit Ziel der Spionage um eigene Vorteile zu erlangen. ES GEHT UNS ALLE, JEDEN EINZELENEN, AN!!!
Zu schützen ist
Security: Daten Daten auf dem Server Lokale Daten Office-Dateien Datenbanken (Lokal/Online) Postoffice (Lokal/Server) Logfiles Dokumentenvorlagen Selbst erstellte Programme / Makros / Batches / Scripts Konfigurationsdaten Kennwortdateien Bookmarks, Favoriten Recent-List Cookies
Security: Software Raubkopien, Illegaler Akt Schutz der Eigenentwicklung Trojanische Pferde
Security: Hardware Zerstörung Diebstahl Manipulation Kurschluss Diebstahl Ungesicherte Verteilerschränk mit Brücken, Hubs und Routern Manipulation Kabelverbindungen Routerkonfiguration Ausfall der Stromversorgung Neustart mit Standardwerten
Security: Betriebssicherheit Läuft der Server 24 Stunden? Kann der Benutzer sich anmelden? Stehen alle Dienste zur Verfügung Sind die Daten abrufbar? Ist der Router ohne Unterbruch im Betrieb? Arbeiten die Drucker? Toner? Farbbänder? Funktioniert die Datensicherung?
Wer kann die Sicherheit gefährden
Prävention
Security: Ausbildung Administratoren Anwender Entscheidungsträger Internet WWW Internet NewsGroups Literatur Kurse Anwender Geführte Kurse Informationsaustausch durch PowerUser Entscheidungsträger Informationsanlässe Infos aus dem Internet Für Unix http://www.deter.com/UNIX/ (UNIX Security Page) nntp://comp.security.unix (Newsgroup zum Thema UNIX-Sicherheit) Für Windows NT http://www.ntsecurity.net http://www.nmrc.org/faqs/nt (Unofficial NT-Hack-FAQ Weitere Links http://oliver.efri.hr/~crv/security/bugs/list.html (Aktuelle Liste von Attaken) http://www.w3.org/Security/Faq/www-security-faq.html (Zusammenfassung) http://www.cert.dfn.de (Deutsches Forschungsnetz) http://www.cert.org (Internationales CERT Koordinationszentrum)
Security: Risikoanalyse Risiko Ri|si|ko [it.] das; -s, -s u. ...ken (österr. auch: Risken): Wagnis; Gefahr, Verlustmöglichkeit bei einer unsicheren Unternehmung. (c) Dudenverlag. Analyse Ana|ly|se [gr.-mlat.; "Auflösung"] die; -, -n: 1. systematische Untersuchung eines Gegenstandes od. Sachverhalts hinsichtlich aller einzelnen Komponenten od. Faktoren, die ihn bestimmen; Ggs. Synthese (1). 2. Ermittlung der Einzelbestandteile von zusammengesetzten Stoffen od. Stoffgemischen mit chem. oder physikal. Methoden (Chem.). Methode Beschreibung des Analysebereich Komponenten Arbeitsbereiche, Abgrenzungen Zuständigkeiten Erfassung des Risiko Szenarioanalysen: Hypothetisch Eintretbahre Ereignisse. Simulationsstudien: Wirklich nachgebildete Fälle. Risikobewertung Netzproblem oder Datenverlust? Eintrittswahrscheinlichkeit? Kosten? Auswerten der Ergebnisse Attraktivität des Betriebes als Ziel Durchführbarkeit eines Angriffs
Security: Selbstschutz Segmentieren des Netzwerkes Nur notwendige Daten auf den Server Zugangsberechtigungen festlegen Datensicherung kontrollieren
Security: Firewall Paketfilter (Router) Circuit-Relays (Proxy) OSI-Schicht 2 (Sicherung) und 3 (Netz) Sende- und Empfangsadresse Protokolle Protokoll-Ports Benutzerdefinierte Bitmasken Circuit-Relays (Proxy) OSI-Schicht 4 (Transport) Application-Gateway (Proxy) OSI-Schicht 7 (Anwendung)
Angriff Theorie Gefahren Methoden Ziel Prävention
Security: Risiko Organisation Gefahren Personalmangel in der EDV Fehlender Sicherheitsbeauftragter Zuwenig Weiterbildung Unzureichende interne Sicherheitsrichtlinien Prävention Ausbilden Testen, kontrollieren, üben Protokollieren
Security: Wissenslücke Versagen Immer kürzere Technologiezyklen Fachwissen kann nicht mehr angeeignet werden. Standardkonfigurationen werden verwendet (Gast-Account bei NT, Ungesicherte Passwortdatei bei UNIX). Desorganisation Datensicherung: Kennen die User nach einem Restore das alte Passwort noch? Funktioniert das Restore, sind die richtigen Daten gesichert
Security: Sendmail-Angriff Theorie Sendmail ist das Mailprogramm auf Unix-Servern, weit verbreitet und daher exponiert. Gefahren Da Sendmail im Root installiert ist, kann ein Programmfehler dem Hacker Root verleihen. Methoden Telnet Ziel UNIX-Befehle ausführen Prävention Installation der neusten Version. Logging-Funktionen aktivieren. Alternative Sendmail-Frontend‘s installieren.
Security: Trojanisches Pferd Theorie Ein Programm mit einer reellen Funktion wird eingeschleust welches im Anhang eine unbekannte Funktion ausführt. Methoden Login-Dialog erscheint als Trojanisches Pferd. Nach der Eingabe erscheint: „falsches Passwort“. Das Pferd mailt das ergatterte Passwort weiter. Der Benutzer fühlt sich in Sicherheit. Prävention Ständige Kontrolle der Loginprocedur (File-control).
Security: Sniefer-Angriff Theorie Überwachung der Datenpakete auf Protokollebene. Methoden Einschleusen von Protokollanalyseprogramme in das Zielsystem. Bereits im Zielsystem vorhandene Programme starten. Ziel Informationen gewinnen. Zum Beispiel Kennwörter. Prävention Vorhandene Programme vor Zugriffen schützen. Unregelmässigkeiten in verlorenen Datenpaketen erkennen.
Security: Schwachstellen Basistransport- und Routingprotokolle TCP/IP, RIP, OSPF, BGP... Anwendungsprotokolle HTTP, SMTP, FTP, Telnet, NNTP... Server- / Client-Internetanwendungen WWW-, FTP-, Mail-Server/Clients Betriebssysteme Unix, Windows, OS/2, Macintosh, Linux... Hardware Router, Switch, Hub, Netzwerkkarten Menschen Administratoren, Anwender, Entscheidungsträger
Security: Adress Spoofing Methoden Mit gefälschter IP Adresse wird ein Packet einer internen Station vorgetäuscht. Ziel Überwindung von Paketfiltern. Prävention Kontrolle von Logfiles. Abgewiesene Pakete Input-Filter
Security: Internet Applikationen Bedrohung Dateitransfer (FTP, TFTP, NFS) Remote-Applikation (Telnet, rlogin, rsh, X-Window) Elektronische Post (SMTP) News (NNTP) DNS Prävention Unter anderem: Firewall
Security: Passwortattacken Gefahren Lokale Anwender Remote-Angriff Methoden „Über die Schulter gucken“ Erraten / ableiten Systematisches erraten mit Hilfe von Programmen. Protokollanalyse mit Passwortfilterung (Sniefer Angriff) Login/Passwort-Monitoring mit „Trojanischen Pferden“ oder Tastaturrecordern Ziel Zugang erreichen Prävention Anwenderausbildung über zu verwendende Passwörter Sicherheitsrichtlinien Minimallänge Alphanumerisch Lebensdauer Unbenutze Accounts sperren Einmalpasswörter Authentifikation mit Hilfe von Smart-Card‘s
Security: E-Mail Angriff Gefahren Versenden von Mails mit illegalem Inhalt. Bedrohungen, Erpressungen, Mailbomben. Prävention für den User Verwendung von Digitalen Signaturen. Verwendung von Verschlüsselungsverfahren (Sicherung des Inhalts) Prävention für den Provider Kontrolle der User welche Mails über den eigenen Server senden.
Security: CGI-Angriff Theorie Durch die Einbindung eines eigenen Skriptes kann der Hacker durch Modifikation der URL Zugriff erlangen. Ziel UNIX-Befehle auf dem Zielsystem ausführen. Prävention Filterung der Zeichen . , ; / ! auf Basis des Interpreters.
Security: Social Hacking Methode Ich bin von der Telecom und bin neu. Es ist gerade Ihr Account raus geflogen. Geben Sie mir doch bitte Username und Kennwort, dann kann ich sie schnell wieder eintragen. Sonst geht es länger und Sie müssen einen neuen Antrag stellen. Ziel Zugriff erhalten Wissen erhalten Prävention Ausbildung der Mitarbeiter
Security: Viren Theorie Programme welche ihre wahre Funktion nicht auf Anhieb preis geben. Gefahren Einschleppen über privaten Disketten Ziel Unterhaltung Zerstörung Spionage Prävention Virenprüfprogramme auf Workstation und Server Ausbildung und Sensibilisierung der Anwender
Security: Zugangsberechtigung Gefahren Physikalischer Zugang Elektronischer Zugang Prävention Genaues Konzept über die Zugangsrechte. So wenig Zutrittsberechtigungen wie möglich, soviel wie nötig.
Die Folien
Security: Anzahl Vorfälle
Security im Netz Zu schützen ist Daten Software Hardware Betriebssicherheit Tagesbetrieb Datensicherung Angriffe / Schwachstellen Schwachstellen im Programmdesign Sicherheitsrisiko Unter-nehmensorganisation Wissenslücken, Versagen Konfigurationsprobleme Zugangsberechtigung Internet Adress Spoofing Internet Applikationen Scannen Passwortattaken Sicherheitsloch E-Mail Angriff Tastaturrecorder Sniefer-Angriff Viren Sendmail-Angriff CGI-Angriff Social Hacking Altpapier Diebstahl Security im Netz Wer kann die Sicherheit gefährden Hacker: Interessierter Program-mierer ohne böse Absichten. Findet Sicherheitslöcher. Spieltrieb, Hobby, Know-How ausprobieren. Cracker: Schädigt bewusst Phreaker: Benutzt fremde Systeme zum eigenen Nutzen Mitarbeiter: Wollte sehen was passiert, Fehlbedienung, Frustrierte Mitarbeiter, Abgangsdenkzettel, Unwissenheit, Viren einschleppen Konkurenten: Spionage, Sabotage Prävention Risikoanalyse Sicherheitskonzept Ausbildung Protokollierungs- und Auditingtools Virenprüfprogramme Selbstschutz Minimierung der Privilegien Begrenzungsrouter Firewall
Security: Buchempfehlung Autor: Othmar Kyas Titel: Sicherheit im Internet (820 Seiten) Verlag: Thomson Publishing ISBN: 3-8266-4024-1 Preis: DM 79.- Autor: Anonymus Titel: hacker‘s guide (460 Seiten) Verlag: Markt&Technik ISBN: 3-8272-5460-4 Preis: DM 89.95
Security: Abkürzung / Fachwort CERT Computer Emergency Response Team, 1988 gegründete Organisation für Sicherheit im Internet. DES-Verfahren Verschlüsselung mit einem Schlüssel. FTP File Transfer Protocol. Protokoll welches ein Username und ein Passwort verlangt. Standard ist Anonymus mit E-Mail Adresse.
Security: Abkürzung / Fachwort MIME Multipurose Internet Mail Extension. MTA Message Transfer Agent. Nachrichtenserver. NNTP Network News Protocoll. PEM Privacy Enhanced Mail. Standard für Verschlüsselung im Internet. POP Post Office Protocol (in der Version 3, POP3 genannt. RFC xxx Requests for Comments. RSA Public Key-Verfahren Verfahren zur Verschlüsselung mit zwei Schlüsseln. SMTP Simple Mail Transfer Protocol. UA User Agent. Mail-Client.
Security: Der Remoteangriff Informationen sammeln Wie sieht das Netzwerk aus? Welche Schwachstellen sind zu erwarten? Wer betreibt das Netz? Woher bekommt es seine Anbindung? Befehl HOST –L –V –T ANY XY.CH Infos über die Host‘s in einem Domain. Das Erkennen des Betriebssystems hilft Lücken zu finden. Befehl FINGER Informationen zu den Usern, ihren Tätigkeiten und ihrer Herkunft. Whois-Anfrage via www.internic.net Hostname, Eigentümer des Domains, technische Kontaktperson, Name-Server für Domain. Informationen zum Administrator Name des Admins in Suchmaschinen ergibt Einblicke in sein Netz, seine Sicherheit und seine Persönlichkeit. Beiträge im Usenet: Hat er Fragen zu Sicherheitsmängel gepostet? Stellt er bei Fragen sein Netz dar? Diskutiert er über Sicherheitsrichtlinien? Ist er gut informiert, weiss er was Sicherheit bedeutet? Informationen zum Betriebssystem Telnetsession kann Informationen anzeigen. Header von E-Mails/Usenetbeiträgen geben Informationen.
Security: Die beste Sicherheit Egal welchen Einbruch Sie zu befürchten haben. Die beste Sicherheit ist immer die Ausbildung der eigenen Mitarbeiter Administratorenausbildung Anwenderausbildung