Sichere IT Infrastrukturen – was der Entwickler wissen sollte Michael Kalbe

Sichere IT Infrastrukturen – was der Entwickler wissen sollte Michael Kalbe Technologieberater - Infrastruktur Sicherheit Microsoft Deutschland GmbH http://blogs.technet.com/mkalbe

Wir bauen eine Infrastruktur… <Vortragstitel> Wir bauen eine Infrastruktur… TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Infrastruktur Grundlage: TCP/IP <Vortragstitel> Infrastruktur Grundlage: TCP/IP IPv4 früher einfach IP, ist die vierte Version des Internet Protocols (IP). Es war die erste Version des Internet Protocols das weit verbreitet und eingesetzt wurde und bildet eine wichtige technische Grundlage des Internets. Es wurde in RFC791 im Jahr 1981 von Jon Postel definiert. TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Fundamental Security Tradeoff <Vortragstitel> Fundamental Security Tradeoff Sicher Suchen Sie sich zwei Bedingungen aus… Anwender-freundlich Preiswert TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Security is all about risk management! <Vortragstitel> Security is all about risk management! High Yes! We worry! Risk Risk tolerance What? Me worry? High Low Asset Value TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Management von Sicherheitsrisiken <Vortragstitel> Management von Sicherheitsrisiken Bewertung Bewerten und Evaluieren von Ressourcen Identifizieren von Sicherheitsrisiken Analysieren und Festlegen der Priorität von Sicherheitsrisiken Sicherheitsrisiken regelmäßig beobachten und nachverfolgen Entwicklung und Implementierung Entwickeln der Sicherheitsoptimierung Testen der Sicherheitsoptimierung Dokumentation von Sicherheitsrichtlinien Betrieb Neubewerten von neuen und geänderten Ressourcen sowie Sicherheitsrisiken Stabilisieren und Bereitstellen von neuen und geänderten Gegenmaßnahmen Im Management von Sicherheitsrisiken sind die drei Hauptprozesse definiert, durch deren Implementierung die Sicherheit eines Unternehmens eingerichtet und aufrechterhalten werden kann. Die drei Prozesse sind: Bewertung – In dieser Phase werden relevante Informationen aus der Umgebung der Organisation gesammelt, um eine Sicherheitsbewertung durchzuführen. Sie müssen genügend Daten erfassen, um den aktuellen Zustand der Umgebung effektiv analysieren zu können. Anschließend bestimmen Sie, wie gut die Informationsressourcen der Organisation vor möglichen Bedrohungen geschützt sind. Dann entwerfen Sie einen Sicherheitsaktionsplan, der bei der Implementierung ausgeführt werden soll. Entwicklung und Implementierung – Der Schwerpunkt in dieser Phase liegt auf der Ausführung des Sicherheitsaktionsplanes, um die in der Bewertung definierten empfohlenen Änderungen zu implementieren. Außerdem wird ein Notfallplan für Sicherheitsrisiken entwickelt. Betrieb – In dieser Phase nehmen Sie Änderungen und Aktualisierungen vor, um die Sicherheit der Umgebung zu gewährleisten. Im Rahmen der Betriebsprozesse werden Eindringversuche und Strategien für die Reaktion auf Sicherheitsvorfälle ausgeführt, die die Zielsetzungen der Implementierung eines Sicherheitsprojekts in der Organisation verfestigen sollen. In dieser Phase werden auch Überwachungsaktionen ausgeführt, um die Betriebsbereitschaft und Sicherheit der Infrastruktur sicherzustellen. Weitere Details des Managements von Sicherheitsrisiken finden Sie in Microsoft Solutions Guide for Securing Windows 2000 Server unter www.microsoft.com (nur auf Englisch verfügbar). TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

<Vortragstitel> Sicherheits Strategie TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Mehrstufige Verteidigung <Vortragstitel> Mehrstufige Verteidigung Verwenden eines mehrschichtigen Sicherheitsmodells Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird Verringert die Erfolgsaussichten eines Angriffs Richtlinien, Verfahren und Bewusstsein Warum ? Benutzerschulung TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

OSI Schicht “8” Es existiert noch kein Computersystem welches nicht auf Menschen angewiesen ist Was ist also das schwächste Glied beim Angriff auf Computersysteme?

<Vortragstitel> Dumpster diving And, after all this, there is always the dumpster. Dumpster diving, also known as trashing, is another popular method of social engineering. A huge amount of information can be collected through company dumpsters. The LAN Times listed the following items as potential security leaks in our trash: “company phone books, organizational charts, memos, company policy manuals, calendars of meetings, events and vacations, system manuals, printouts of sensitive data or login names and passwords, printouts of source code, disks and tapes, company letterhead and memo forms, and outdated hardware.” These sources can provide a rich vein of information for the hacker. Phone books can give the hackers names and numbers of people to target and impersonate. Organizational charts contain information about people who are in positions of authority within the organization. Memos provide small tidbits of useful information for creating authenticity. Policy manuals show hackers how secure (or insecure) the company really is. Calendars are great – they may tell attackers which employees are out of town at a particular time. System manuals, sensitive data, and other sources of technical information may give hackers the exact keys they need to unlock the network. Finally, outdated hardware, particularly hard drives, can be restored to provide all sorts of useful information. TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

<Vortragstitel> Wo gebe ich ‘was’ preis? Social engineering attacks are not of course just confined to computer systems in offices and similar organizations. They can also be directed at members of the public. Here there is no attempt to finger a specific mark; rather, it is a question of setting up something that potentially appeals to a number of people and making it realistic enough to fool them. A classic example is the ATM or "hole in the wall" machine for withdrawing money. ATM crackers set up a dummy ATM in a mall where there was high volume of people. The ATM scanned ATM cards that were inserted and prompted for the PIN number — which was then captured and recorded along with the card information. It then returned the card and generated a "SORRY — OUT OF SERVICE" message. By using this simple technique, the crackers were able to collect information from several thousand ATM cards, which they subsequently used to make unauthorized withdrawals. What if someone was to do the same thing with publicly available terminals? How many people would "sign in" and reveal their access authorizations? It all comes down to education and the need for people — in all walks of life — to be aware of the value of their passwords and the information and systems that those password are protecting. At the moment, the social engineer is more aware of this value than his/her target is. Also: A variation on the phone theme is the pay phone or ATM. Hackers really do shoulder surf and obtain credit card numbers and PINs this way. (It happened to a friend of mine in a large US airport.) People always stand around phone booths at airports, so this is a place to be extra cautious. TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

<Vortragstitel> Passwörter TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Passwort “Cracking” auf Ebene 8 http://zdnet.com.com/2100-1105_2-5195282.html

Gutes Passwort, schlechte Implementierung Admin password Admin.R386W

PassSatz versus PassWort <Vortragstitel> PassSatz versus PassWort ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Pass phrases are long strings Example: “This is the best presentation I have ever seen!” Very strong protection against attacks Easy to remember, a bit longer to type Sometimes break older applications Passwords are short complex strings Example: “@Rag0Rnrul3z” Hard to remember Often difficult to type Not resistant against current attacks Obvious substitutions are quickly broken Summary: Long easily-remembered phrases are better than short complex ones ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Je länger desto besser!

<Vortragstitel> Mehrstufige Verteidigung TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Mehrstufige Verteidigung <Vortragstitel> Mehrstufige Verteidigung Verwenden eines mehrschichtigen Sicherheitsmodells Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird Verringert die Erfolgsaussichten eines Angriffs Richtlinien, Verfahren und Bewusstsein Physische Sicherheit Daten Zugriffskontrolle, Verschlüsselung Anwendungshärtung, Antivirussoftware, Patchmangement Anwendung Betriebssystemhärtung, Authentifizierung, Patchmanagement, HIDS Host Internes Netzwerk Netzwerksegmente, IPSec, NIDS Perimeter Firewall, VPN-Quarantäne Sicherheitskräfte, Schlösser, Überwachungsgeräte Benutzerschulung TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

<Vortragstitel> Mehrstufige Verteidigung für Entwickler? TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

BDSG §9 Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten Verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), … personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports … nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können … (Weitergabekontrolle) … ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) … nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können… (Auftragskontrolle) … gegen Zerstörung oder Verlust geschützt …(Verfügbarkeitskontrolle) zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Administrator Berechtigungen? <Vortragstitel> Administrator Berechtigungen? Anwendung benötigt zwingend Administrator Privilegien Die Lösung: Benutzer in die Gruppe der lokalen Administratoren aufnehmen! TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

Dateiablage %SystemRoot% %ProgramFiles% %CommonProgramFiles% %AllUsersProfile% %UserProfile% \Application Data \Local Settings

Implementierung von Sicherheitsmechanismen mit Weitsicht…

<Vortragstitel> Links Microsoft-Tool zur IT-Risiko-Selbsteinschätzung http://www.microsoft.com/germany/sicherheit/tools/msrsat.mspx Security Guidance Center http://www.microsoft.com/germany/ms/security/guidance/default.mspx Michael‘s Security Talk http://blogs.technet.com/mkalbe Developing Software in Visual Studio .NET with Non-Administrative Privileges http://msdn.microsoft.com/library/en-us/dv_vstechart/html/tchDevelopingSoftwareInVisualStudioNETWithNon-AdministrativePrivileges.asp How To: Secure Your Developer Workstation http://msdn.microsoft.com/security/securecode/bestpractices/default.aspx?pull=/library/en-us/dnnetsec/html/htworkstat.asp#htworkstat_001#htworkstat_001 TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit