Deutsches Forschungsnetz. IT-Sicherheit in Hochschulrechenzentren - Aktuelle Neuigkeiten & Blick in die (nahe) Zukunft - Marcus Pattloch

Slides:

Advertisements

Ähnliche Präsentationen

Deutsches Forschungsnetz. Zentren für Kommunikation und Informationstechnik in Lehre und Forschung Herbsttagung Technische Universität Ilmenau 12. September.

Advertisements

G-WiN – Kommission 3. Arbeitstreffen 27. und Berlin

Terminalserver-Dienste für die HU

Dr. P. Schirmbacher Humboldt-Universität zu Berlin Kooperationsformen von Bibliotheken, Medienzentren und Rechenzentren an Hochschulen Gliederung:

Systemverwaltung wie es Ihnen gefällt.

DINI Symposium Wiss. Publizieren in der Zukunft – Open Access, 23./ B. Diekmann Ein Dokumentenserver kostet ? Ökonomische Aspekte für Serverbetreiber.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein

Deutsches Forschungsnetz. Neues aus dem DFN Prof. Dr. Wilfried Juling ZKI Frühjahrstagung 2006 (FH München, 7.– 8. März)

Deutsches Forschungsnetz. Zentren für Kommunikation und Informationstechnik in Lehre und Forschung Herbsttagung Technische Universität Ilmenau 13. September.

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

Die Firewall Was versteht man unter dem Begriff „Firewall“?

Schwachstellenanalyse in Netzen

Das Gigabit-Wissenschaftsnetz Technisch-betriebliche Aspekte K. Ullmann, DFN-Verein Düsseldorf,

Lizenzmodelle Miete der Software ASP Nutzungslizenz.

Konfiguration eines VPN Netzwerkes

EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn eGo-NET.

Fachgerechte Bereitstellung von Geoinformationen mit Service- orientierten Infrastrukturen Niklas Panzer - PRO DV Software AG Wachtberg 24. September 2008.

Universität zu Köln IT – Zertifikat der Philosophischen Fakultät / Blockseminar Allgemeine Technologien II mit Patrick Sahle M. A. Online-Datenbanken am.

Framework für ein Intrusion Detection System

Aufgaben eines IT-Koordinators

Medien Zentrum Duisburg

Copyright ©2004 by NetUSE AG Seite: 1 Autor: Martin Seeger NUBIT 2005 IT-Security in der Praxis Martin Seeger NetUSE AG

Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen

Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.

Public-Key-Infrastruktur

Identity für GSI Michael Dahlinger, GSI

Distributed Multimedia Control Steuerung und Überwachung von Präsentationen in Netzwerken.

Simulation komplexer technischer Anlagen

Intrusion Detection Systems

Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.

Microsoft Cloud OS Auf dem Weg zum optimierten Rechenzentrum

Michael Haverbeck System Engineer

Konnektivität innen & außen

Gliederung Einleitung eID-Infrastruktur und Komponenten

Präsentation von: Tamara Nadine Elisa

Produktmanagement RimatriX & Software Solutions / Fabian Schäfer / 12

Thats IT!. Titelmasterformat durch Klicken bearbeiten Über uns Mit uns bekommen Sie: Beratung – Doing - Betreuung langjährige Erfahrung umfassende Beratung.

Logo Externer Zugang und Verknüpfungen zu easyLEARN Wissensobjekten.

Diplomverteidigung Florian Engerer loading.... Mittweida, 25. September 2003.

Christian Krause, URZ Jena Bereich P – IDM Arbeitsgruppe

Inhaltsverzeichnis: 1. Telefonie mit analog und digital

Präsentiert Management Lösungen Value Added Software GmbH, Carl-Schurz-Str. 7, Neuss

Kläranlagenzustandsbericht ÖWAV-Arbeitsbehelf Nr. 22

NeuroStrategy Ist ein hochintelligentes Werkzeug für den professionellen Trader. Es generiert Handelsanweisungen pro Titel und unterstützt nachhaltig das.

„Medienentwicklungsplanung für Schulen“

FOToN: Fibre Optic Technology Network Prof. Dr. M. Loch Prof. Dr. K. F. Klein 14. Dezember 1999.

Informations- und Kommunikationstechnik für Kooperationen, Security Hannes Passegger Produkt Marketing 04. Okt

1 DEUTSCHES ELEKTRONEN-SYNCHROTRON NOTKESTR HAMBURG PHONE FAX KDS-Anwendertreffen

Eike Schallehn, Martin Endig

1 Dipl. Ing. Wilfried Mors URZ-NURZ-Info-Tag Cisco Security Monitoring, Analysis & Response System (MARS) Cisco Security Monitoring, Analysis.

Dipl.-Inform. (FH) Mike Bach Unterschiedliche Anwendungen im Unternehmen – Warum, Wer und Wie Best-of-Breed vs. Alles aus einer Hand Dipl.-Inform. Mike.

Fachhochschule Südwestfalen

VPN – Virtual Private Network

ü Datenverlust Schadprogramme Defekte Datenträger Ursachen

Nachhaltigkeit im D-Grid Workshop, Berllin Der DFNInternet Dienst als DGI-Service1 (DGI-S1) Kurzdarstellung des Geschäftsmodells DGI-Workshop Nachhaltigkeit.

Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.

W. Hiller, B. Fritzsch, U.Schwiegelshohn C3-Grid WS Nachhaltigkeit 11./ Berlin Nachhaltigkeit im C3-Grid aus heutiger Sicht Wolfgang Hiller,

Anwendungsintegration an Hochschulen am Beispiel Identity Management

Betriebsorganisation Frontend Service- und Unterhaltskonzept

Meine Themen: Entwicklung der EDV EDV-Möglichkeiten PC-Komponenten

Schutz vor Viren und Würmern Von David und Michael.

Betriebssysteme: Theorie

IT-Dienstleistungen E-Learning Systeme Content Management 1 Fallbeispiel ILIAS: Das Repository-Objekt-Plugin „Centra“

© Handwerkskammer des Saarlandes, Hohenzollernstraße 47-49, Saarbrücken IT-Sicherheit im Handwerksunternehmen Gefahr erkannt – Gefahr gebannt! IT.

Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,

SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP R/3 Basis SerCon GmbH, Mainz

Präsentation transkript:

Deutsches Forschungsnetz

IT-Sicherheit in Hochschulrechenzentren - Aktuelle Neuigkeiten & Blick in die (nahe) Zukunft - Marcus Pattloch ZKI Herbsttagung Ilmenau

Seite 3 Inhalt Teil 1: Sicherheit im D-Grid Teil 2: Neue CERT-Dienstleistungen Teil 3: Die neue DFN-PKI Dienstleistung Teil 4: Vorführung der neuen DFN-PKI Teil 5: Zusammenfassung

Seite 4 Teil 1 Sicherheit im D-Grid

Seite 5 Sicherheit im D-Grid (1) Entwicklung und Einsatz von Firewallkonzepten in Grid-Umgebungen – Firewalls in Hochgeschwindigkeitsnetzen (Durchsatzraten im Bereich mehrerer Gbit/s) – automatisch im laufenden Betrieb konfigurierbare Firewalls – Konfiguration auf Basis von Zertifikaten (AAI)

Seite 6 Sicherheit im D-Grid (2) Grid-spezifische CERT-Dienste –Computer Notfallteams im „normalen“ Internet seit Jahren etabliert –Aber: neue Themen in Grids spezielle Grid-Anwendungen Grid-Middleware (Globus, UNICORE,...) Betriebssysteme –Ziel: CERT-Dienstleistungen um Grid- spezifische Anforderungen ergänzen

Seite 7 Aufbau einer AA-Infrastruktur im D-Grid – Authentifizierung (A1) vs. Autorisierung (A2) A1: globale (!) Bestätigung der Identität, z.B. von Nutzern, Rechnern, Diensten, Daten A2 : lokale (!) Steuerung der Zugriffs auf Ressourcen – Ausstellung von Zertifikaten für das D-Grid fast alle Grid-Anwendungen benötigen Zertifikate Grid-Zertifikate ausschließlich im Rahmen der EUGridPMA (in DE: zwei „Dienstleister“ FZK, DFN) Aufsetzen von Grid-RAs einheitliche Schnittstelle zur einfachen Beantragung von Zertifikaten im D-Grid Sicherheit im D-Grid (3)

Seite 8 Teil 2 Neue CERT-Dienstleistungen

Aufgaben eines Notfallteams Prävention –Advisories, Alarmmeldungen, Risikoanalyse –Schwachstellenanalyse, Intrusion Detection –Schulung und Ausbildung im Security Bereich –Ansprechpartner Sicherheitsfragen Reaktion –Incident Response Support –Aufarbeitung und Auswertung von Vorfällen –Koordination der Bewältigung –Zusammenarbeit mit anderen Notfallteams

Reaktion: Was wird gemeldet? Beispiele von typischen Vorfällen –Anwender meldet kompromittierten Server mit sichergestelltem Material (Artefakte) –ein anderes CERT meldet ein kompromittiertes System im Verantwortungsbereich –Portscan-Meldungen (automatisiert und manuell) –Viren- und Proxy-Meldungen (automatisiert) –Anfragen von Strafverfolgungsbehörden

Trends 1: Angreiferwissen

Trends 2: Zeitfenster Automatisierte Schwachstellensuche und - ausnutzung (Exploits) –Weniger Zeit für Systemverwalter

Trends 3: „Hacken“ gegen Geld Entstehen einer Untergrund-Ökonomie –Malware-Entwicklung gegen Geld (Exploits) –Spam Verteilung gegen Geld (via Botnet) –DDoS Angriffe gegen Geld (via Botnet) Einstieg der organisierten Kriminalität –1. Halbjahr 2004: Schutzgelderpressung mittels DDoS gegen Online-Wettbüros

Seite 14 Alle Dienste auf Basis einer gemeinsamen Datenbasis Automatisch ReaktivPräventiv Manuell Bearbeitung von Vorfällen Advisories, Patches Frühwarnung, IDS / IPS Audits, Penetration Tests, NBHW Zukunft von CERTs

Seite 15 Aufgaben der Rechenzentren lokaler Ansprechpartner für Sicherheit (Rolle) Patchmanagement u.a. auf Basis der CERT Advisories enge, frühzeitige Zusammenarbeit bei Vorfällen Nur in enger Zusammenarbeit mit den Rechenzentren sind CERTs stark!

Seite 16 Teil 3 Die neue DFN-PKI Dienstleistung

Seite 17 Zertifikate im DFN Zertifikat = digitaler Ausweis vielfältige Anwendungen von Zertifikaten Zertifizierungsstelle im DFN seit 1996 –fortgeschrittene X.509 Zertifikate / PGP derzeit Erweiterung der Dienstleistung –Synergie für Anwender, die bereits eine eigene Struktur betreiben –Einstieg wird für „kleine“ Anwender deutlich vereinfacht Pilotierung läuft erfolgreich !

Seite 18 „üblicher“ Aufwand Anzahl ausgegebener Zertifikate Aufwand für Zertifkatausgabe

Seite 19 Das Konzept - Trennung der Aufgaben Registrierungsstelle –administrative Arbeiten –verbleibt in der Hochschule –vergleichbar einer Meldestelle Zertifizierungsstelle –technisch aufwändige Arbeiten –kann an DFN ausgelagert werden –vergleichbar der Bundesdruckerei

Seite 20 Aufwand mit Auslagerung Anzahl ausgegebener Zertifikate Aufwand für Zertifkatausgabe Aufwand der Hochschule ausgelagerter Aufwand (DFN)

Seite 21 Teil 4 Vorführung der neuen DFN-PKI

Seite 22 Schritt 1 Nutzer beantragt Zertifikat

Seite 23

Seite 24

Seite 25

Seite 26

Seite 27

Seite 28 Schritt 2 Registrierungsstelle (RA)

Seite 29

Seite 30

Seite 31

Seite 32

Seite 33 Schritt 3 Nutzer erhält sein Zertifikat

Seite 34

Seite 35

Seite 36

Seite 37 Vorteile DFN-PKI Dienst hohe Qualität / Sicherheit Auslagerung der CA möglich –keine eigene Technik erforderlich, weder Hard- ware noch Software - nur ein Standard-Browser –lokaler Aufwand wird deutlich reduziert –Webschnittstelle kann nach Anforderungen der Anwender angepasst werden –Entgelt im DFNInternet enthalten Regelbetrieb ab mit Übergang auf das X-WiN (

Seite 38 DFN-Test-PKI Prozesse können „geübt“ werden DFN-Test-PKI steht allen Anwendern ab sofort zur Verfügung Regelbetrieb ab mit Übergang auf das X-WiN Bei Interesse Zugangskennung unter:

Seite 39 Teil 5 Zusammenfassung

Seite 40 Zusammenfassung Erweiterung der DFN-Dienstleistungen Abstimmung mit und Ausrichtung auf Bedarf der Hochschulen (Rechenzentren) DFN-Test-PKI steht allen Anwendern ab sofort zur Verfügung, bei Interesse Mail an: