Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Präsentation von Lukas Sulzer

Veröffentlicht von:Amal Schiffbauer Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Präsentation von Lukas Sulzer"—  Präsentation transkript:

1 Präsentation von Lukas Sulzer
Proaktive sicherheit Präsentation von Lukas Sulzer Proaktive Sicherheit

2 In diesem Referat erfahren sie:
mit welchen Methoden Sie Sicherheitsprobleme vorbeugen können wie Sie die Sicherheit Ihrer in Betrieb befindlichen Client/Server-System testen welche Möglichkeiten für die Sicherheit von Netzwerkkomponenten existieren Proaktive Sicherheit

3 Defensive Programmierung
Vermeidung von Fehlern ermöglicht u.a. die gefürchteten Buffer-Overflow-Angriffe Sicherheit ihrer Programme positiv beeinflussen Skripting viele Probleme und Falscheingaben von Benutzern vorwegzunehmen Prinzip der minimalen Rechte Zugriff auf nötigen Ressourcen erhalten Vermeidung von Fehlern Ein Hauptgrund für Sicherheitslücken in Software sind Funktionsaufrufe, bei denen die übergebenen Parameter nicht oder unzureichend vom Programm getestet werden. Dies ermöglicht u.a. die gefürchteten Buffer-Overflow-Angriffe, mit den Hacker beliebige Code mit den Rechten des angegriffenen Programms auf dem Zielsystem ausführen können. Insbesondere wenn in ihrer Firma Software selbst erstellt wird, können sie die Sicherheit ihrer Programme positiv beeinflussen. Sorgen Sie dafür, dass bei jeder Funktion, die innerhalb eines Projekts erstellt wird, die übergebenen Parameter auf Plausibilität und zulässige Länge geprüft werden, bevor die Daten weiterverarbeitet werden. Sicheres Software-Engineering kostet zwar bei der Erstellung der Software mehr Zeit, spart diese dann aber am Ende ein, da Anwendung weniger Ausfallzeiten haben und hinterher weniger gepatcht werden muss. Skripting Selbst wenn Software in ihrem Unternehmen nicht selbst erstellt wird, werden sie als Administrator einige Verwaltungsaufgaben mit diverseren Skriptsprachen lösen. Versuchen Sie, bereits beim Programmieren möglichst viele Probleme und Falscheingaben von Benutzern vorwegzunehmen und in ihrem Skript zu berücksichtigen. Skripte, die auf Benutzer-Rechnern ausgeführt werden sollen, sollten möglichst nicht mit Systemrechten laufen Prinzip der minimalen Rechte Bei der Verwaltung und Konfiguration von Software sollte das Prinzip der minimalen Rechte gelten: Jede Anwendung (und jeder Benutzer) sollte nur Zugriff auf die für seine Arbeit jeweils nötigen Ressourcen erhalten. So wird das Schadenspotenzial durch einen Hackerangriff im Applikationsbereich umfassend eingeschränkt. Proaktive Sicherheit

4 Gehärtete Betriebssysteme
Non-Executable-Stack Code auf dem Stack gar nicht ausgeführt wird Das Betriebssystem prüft grundsätzlich den Code vor dem Ausführen Nur benötigte Services nicht benötigte Services deaktivieren Appliances Ist das Hardware- Äquivalent zum Deaktivieren von Services Non-Executetable-Stack Eine der besten Waffen gegen Buffer-Overflow-Angriffe ist, dass Code auf dem Stack gar nicht erst ausgeführt wird. Dies ist allerdings eine Aufgabe, die nur auf Betriebssystemebene erledigt werden kann. Allen Buffer-Overflow-Angriffen gemeinsam ist, dass der Shellcode zusammen mit den Daten übertragen wird, die den Stack zum Überlaufen bringen und die Ausführung des Shellcodes erzwingen. Prüft das Betriebssystem grundsätzlich vor dem Ausführen von Code, wo sich dieser befindet, so kann Code auf dem Stack gezielt blockiert und das entsprechende Anwendungsprogramm beendet werden. Microsoft-Betriebssysteme bieten diese Möglichkeit der Sicherung erst ab Windwos XP 64Bit Service Pack 2 im Zusammenhang mit den Intel-64-Bit-Prozessoren. Nur benötigte Services Wollen Sie einen Rechner als Webserver einsetzen, so sollten Sie alle nicht unbedingt benötigten Services auf diesem Rechner deaktivieren. Das verringert die Wahrscheinlichkeit, dass etwaige in diesen Diensten vorhandenen Sicherheitslücken von Angreifern ausgenutzt werden können. Appliances Der Sicherheitsvorteil von Software/Hardware-Appliances liegt darin, dass die Hersteller in diesen Geräten speziell modifizierte Versionen eines Betriebssystems implementieren. Diese sind ausschließlich auf die jeweilige Anwendung bzw. Hardware zugeschnitten und besitzen keine unnötigen Dienste. Sie sind somit das Hardware- Äquivalent zum Deaktivieren von Services auf normalen Rechnern. Vor allem bei Komponenten, die Sie zur Sicherung selbst einsetzen, sollten Sie darauf achten, dass die Appliances über ein gehärtetes Betriebssystem und einen gehärteten TCP/IP Stack verfügen. Proaktive Sicherheit

5 Vulnerability Assessment
Wie sicher sind ihre Client/Server-Systeme wirklich? Schwachstellen in Systemen Hacker für seine Zwecke ausnutzen könnte Gängige Praxis zur Überprüfung  selbst eine Attacke zu starten erkennen der Sicherheitslücken Ob sich Schwachstellen in ihren Systemen befinden, die ein Hacker für seine Zwecke ausnutzen könnte, erfahren sie am besten, wenn sie ihr Netz aus der Sicht des Hackers betrachten. Gängige Praxis zur Überprüfung von Netzwerken ist, mit den von Hackern und Crackern verwendeten Scannern und Tools selbst eine Attacke zu starten und die so entdeckenden Sicherheitslücken dann über vorhandene Patches zu schließen. Die Möglichkeiten, ein Vulnerability Assessment oder einen sogenannten Penetrationstest durchzuführen, sind vielfältig und hängen von den zu testenden Komponenten ab. Proaktive Sicherheit

6 … Fortsetzung verwendeten Scanner können wie folgt eingeteilt werden:
Data-Link Sniffer (Layer 2) der IP-Scanner (Layer 3) der Port-Scanner (Layer 4) ein Password-Recovery-Tool (Layer 6) Applikation-Scanner (Layer 7) Remote-Control-Tools Die hierbei verwendeten Scanner können wie folgt eingeteilt werden: Data-Link Sniffer, sie arbeiten auf Layer 2 des OSI-Schichtenmodells und ermöglichen z.B.: das Erkennen von vorhandenen MAC-Adressen, das erkennen von PPP-Passwörtern, das Finden von WLAN-SSIDs und weiterere WLAN Parameter Der IP-Scanner arbeietet auf Layer 3 und sucht nach aktiven IP-Adressen im Netz Der Port-Scanner findet gestartete Applikationen auf den Systemen und nutzt hierbei die Funktionalität der Schicht 4 des OSI-Schichtenmodell Ein Password-Recovery-Tool versucht Passwörter zu entschlüsseln und nutzt dabei überwiegend Protokolle des Presentation Layer(Layer 6) Applikation-Scanner arbeiten auf Layer 7 und überprüfen neben den Applikationsparametern auch den Dateninhalt. Remote-Control-Tools übernehmen die teilweise oder vollständige Steuerung eines entfernten Systems Proaktive Sicherheit

7 …Fortsetzung kommerzielle und Open-Source-Produkte
gleiche Software  Netz schützen Ergebnisse  konkrete Aussage Tests aktuell So wie Hacker und Cracker auch kommerzielle und Open-Source-Produkte einsetzen, um bei der Planung ihrer Angriffe geeignete Systeme zu finden, können sie genau dieselbe Software verwenden, um ihr Netz zu schützen. Solange Sie vor einem Hacker feststellen, dass ihr Netz eine undichte Stelle hat, sind sie im Vorteil. Wie bei allen Aufgaben in der IT-Sicherheit gilt auch für Vulnerability Assessments: Die Ergebnisse, die ihnen ein solcher Test liefert, können nur dann eine konkrete Aussage liefern, wenn die angewandten Tests aktuell sind. Ebenso sollten sie in ihrem Netzwerk diese Sicherheitschecks regelmäßig durchführen. Auf diese Weise können sie sich eine Datenbasis aufbauen und so überprüfen, ob zu einem früheren Zeitpunkt entdeckte Lücken ordnungsgemäß geschlossen werden konnten und ob sich eventuell neue aufgetan haben. Proaktive Sicherheit

8 Aktive Sicherheit von Netzwerkkomponenten
Wie sicher sind ihre Netzwerkkomponenten wirklich? umfassende Sicherheitspolitik muss sich auch der lokalen Netzinfrastruktur Switche, Access-Points, Multilayerswitche, Router,… Dieser Sicherheitskontext beinhaltet: den Infrastruktur-Device-Zugriff die lokale Switching-Infrastruktur die lokale Routing-Infrastruktur die Komponenten-Verfügbarkeit und –Sicherheit Wie sicher sind ihre Netzwerkkomponenten wirklich? Bisher wurden die Sicherheitsaspekte primär aus der Sicht der Client/Server- und Firewall-Systeme betrachtet. Eine umfassende Sicherheitspolitik muss sich auch der lokalen Netzinfrastruktur (Switche, Access-Points, Multilayerswitche, Router) annehmen, die die Vernetzung der Systeme erst ermöglichen. Besonders in mittleren und größeren Netzwerken muss sie integraler Bestandteil der Sicherheitsphilosophie sein. Dieser Sicherheitskontext beinhaltet: den Infrastruktur-Device-Zugriff die lokale Switching-Infrastruktur die lokale Routing-Infrastruktur die Komponenten—Verfügbarkeit und –Sicherheit Proaktive Sicherheit

9 Infrastruktur-Device-Zugriff
Folgende Funktionen stehen ihnen zur Verfügung: Zugriff auf das Device bei fehlerhafter Eingabe terminieren bzw. Sitzung automatisch bei Inaktivität unterbrechen Den administrativen Zugriff auf das Gerät Administrative Rechte für verschiedene Administratoren festlegen Die Kommunikationsverbindung über das SSL/HTTPS-Protokoll verschlüsseln Die Protokollierung aller administrativen Zugriffe auf die Komponente Die auf den Komponenten installierte Firmware gibt Ihnen hierzu umfassende Möglichkeiten. Folgende Funktionen stehen ihnen, in Abhängigkeit von der implementierten Firmware, zur Verfügung: Zugriff auf das Device bei fehlerhafter Eingabe terminieren bzw. Sitzung automatisch bei Inaktivität unterbrechen Den administrativen Zugriff auf das Gerät nur von bestimmten IP-Adressen oder über das AAA-Protokoll erlauben Administrative Rechte für verschiedene Administratoren festlegen Die Kommunikationsverbindung über das SSL/HTTPS-Protokoll verschlüsseln Die Protokollierung aller administrativen Zugriffe auf die Komponente Proaktive Sicherheit

10 Lokale Switching-Infrastruktur
Ein Switch flutet Multicast- und Broadcast-Frames auf allen Ports Bildung von VLANs  Problem einschränken Dies erfordert: Aufteilung des Userverkehrs in mehreren VLANS, Begrenzung des VLANs auf einen Switch oder Switch-Stack, Reduzierung des Multicast-Verkehrs durch Nutzung von IGMP (Internet Group Management Protocol) Ein Switch flutet Multicast- und Broadcast-Frames auf allen Ports. Dieser Mechanismus wird als Broadcastdomäne bezeichnet. Hierdurch kann eine Performanceproblem entstehen. Sie können die Brodcoastdomäne und damit den Verkehr in diesem Segment durch die Bildung von VLANs einschränken. Dies erfordert: Aufteilung des Userverkehrs in mehreren VLANS, Begrenzung des VLANs auf einen Switch oder Switch-Stack, Reduzierung des Multicast-Verkehrs durch Nutzung von IGMP (Internet Group Management Protocol) Proaktive Sicherheit

11 Die Lokale Routing-Infrastruktur
Nutzung des sicheren Routingprotokolls OSPF (Open Shortest Path First) Anstelle von RIP (Routing Information Protocoll) Deaktivieren der Routing-Updates an den User-Ports Authentifizierung der dynamischen Routing-Updates von den Nachbar-Routern Bei der Nutzung von dynamischen Routingprotokollen sollten sie die sicherheitstechnischen Protokollparameter anwenden, wie: Nutzung des sicheren Routingprotokolls OSPF (Open Shortest Path First) anstelle des unsicheren Protokolls RIP (Routing Information Protocoll) im lokalen Netzwerk Deaktivieren der Routing-Updates an den User-Ports; dadurch wird beim Sniffern in dem Netzwerk die Bekanntgabe der Netzstruktur verhindert Authentifizierung der dynamischen Routing-Updates von den Nachbar-Routern Proaktive Sicherheit

12 Die Komponenten-Verfügbarkeit und –Sicherheit
Jeder Prozess, der inaktiv ist, ist ein potenzielles Risiko weniger Protokolle und Hardware, die eine Verfügbarkeit garantieren sind: Redundante Netzteile bei systemkritischen Komponenten, Redundante Switch/Router-Hardware, Redundante physikalische Verbindung Redundante Routingprotokolle Der letze Punkt behandelt kurz die Aspekte der Redundanz von Netzwerkgeräten. Auch auf diesen Komponenten ist es erforderlich, nicht benötigte Dienste (z.B. TELNET und http bei Nutzung von SSL/HTTPS) zu deaktivieren und somit Angriffsmöglichkeiten auf die Infrastruktur einzuschränken. Jeder Prozess, der inaktiv ist, ist ein potenzielles Risiko weniger. Verfügbarkeit ist ein wichtiger Bestandteil in einem Sicherheitskontext. Wenn bestimmte Dienste im Netzwerk nicht mehr erreichbar sind, ist mitunter der wirtschaftliche Schaden genauso hoch wie bei einem Virenangriff. Protokolle und Hardware, die eine Verfügbarkeit garantieren sind: Redundante Netzteile bei systemkritischen Komponenten, Redundante Switch/Router-Hardware, Redundante physikalische Verbindung Redundante Routingprotokolle Proaktive Sicherheit

13 VIELEN DANK FÜR EURE AUFMERKSAMKEIT

Herunterladen ppt "Präsentation von Lukas Sulzer"

Ähnliche Präsentationen

Print-, Fax- und File-Server Lösung für ein Homeoffice

Print-, Fax- und File-Server Lösung für ein Homeoffice
Einführung/Praxisbeispiel:

Einführung/Praxisbeispiel:
Tuning Tools für Windows

Tuning Tools für Windows
Routing – Routing Protokolle

Routing – Routing Protokolle
Neue VPN-Technologien für Remote Access und WLAN

Neue VPN-Technologien für Remote Access und WLAN
Präsentation von Daniel Hörl

Präsentation von Daniel Hörl
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Firewalls.

Firewalls.
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009

Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
Enno Rehling und Roger Butenuth, Uni-GH Paderborn: Arminius: Software für Linux-basierte SCI-Cluster Arminius: Software für Linux-basierte SCI-Cluster.

Enno Rehling und Roger Butenuth, Uni-GH Paderborn: Arminius: Software für Linux-basierte SCI-Cluster Arminius: Software für Linux-basierte SCI-Cluster.
Windows auf öffentlichen PCs

Windows auf öffentlichen PCs
Von Torsten Burmester Hauke Buder Matthias Kaluza

Von Torsten Burmester Hauke Buder Matthias Kaluza
Microsoft Windows 2000 Terminal Services

Microsoft Windows 2000 Terminal Services
JAVA RMI.

JAVA RMI.
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
GAP Generic Access Profile. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.

GAP Generic Access Profile. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Terminalserver am RRZE

Terminalserver am RRZE
Einführung in die Technik des Internets

Einführung in die Technik des Internets

Ähnliche Präsentationen

Google-Anzeigen