Sicherheit in verteilten Netzwerken
Verschlüsselung, Digitale Signatur, Firewall-Systeme
Norbert Pohlmann
Vorstand Utimaco Safeware AG Security Infrastructure Mobile/Desktop Security Network Security E-Commerce Enabler Internet SecurityUtim aco S afew ar e AG 09 .07. 2 01 6
Inhalt
Sicherheitsanforderungen in verteilten Netzwerken
Sicherheitskonzepte
Verschlüsselung (Black-Box VPN-Lösung)
Digitale Signatur
Firewall-Systeme
Utim aco S afew ar e AG 09 .07. 2 01 6
Warum Sicherheit?
Fundamentaler Wandel durch die
Informationsgesellschaft
Eine zunehmende Zahl von Arbeitsabläufen
wird über IT-Systeme abgewickelt => Netzwerke als neue Angriffsziele
Der Wert von Information, die auf IT-Systemen
gespeichert sind, wächst
die Ergebnisse allein einer
Forschungs-und Entwicklungsabteilung können Werte in Millionenhöhe darstellen
Sichere und zuverlässige Zahlungen
und Transaktionen über unsichere Netze (z.B. Internet)
Utim aco S afew ar e AG 09 .07. 2 01 6
Warum Sicherheit?
Sicherheitsanforderungen
Unternehmen müssen sich selbst gegen
Wirtschaftsspionage schützen
Utim aco S afew ar e AG 09 .07. 2 01 6
Internationale Vernetzung von
Kommunikationsabläufen
Design Center CAD/CAM Büro Test Umgebung Industrie Server Workstation Server Workstation Server Workstation Server Workstation Internationales DatennetzUtim aco S afew ar e AG 09 .07. 2 01 6
Sicherheitsanforderungen an
Kommunikationsprozesse in Netzwerken
Vertraulichkeit
Schutz des vorhandenen Know-hows
Konkurrenten versuchen, Zugang zu sensiblen
Entwicklungsdaten zu erlangen
Sende- und Empfängernachweis
Gewährleistung, daß die korrekten Informationen
nachweislich empfangen worden sind Kündigung
Absender eines Dokuments muß nachweislich
identifizierbar sein Bestellung
Datenintegrität
Keine Manipulationsmöglichkeit während
der Datenübertragung
(Daten erreichen den Adressaten unverändert)
Utim aco S afew ar e AG 09 .07. 2 01 6
Sicherheitsanforderungen an
Kommunikationsprozesse in Netzwerken
Authentifizierung
Eindeutige Identifizierung und Authentisierung von Personen
Nur authorisierte Personen dürfen Zugangsrechte auf die
angeschlossenen Rechnersysteme haben
Zugangskontrolle
Unberechtigte Personen dürfen keinen Zugang auf die
zu schützenden Rechner und Netzwerke haben
Rechteverwaltung
Nur zugelassene Protokolle und Dienste zu
definierten Zeiten dürfen benutzt werden
Protokollierung
Sicherheitsrelevante Ereignisse werden festgehalten
Dokumentierte Ereignisse können als Beweis genutzt
Utim aco S afew ar e AG 09 .07. 2 01 6
Verschlüsselung mit Hilfe der Black-Box
VPN -Lösung
Design Center CAD/CAM Office Test-Umgebung Industrie Server Workstation Server Workstation Server Workstation Server Workstation Unsicheres Netz KryptoGuard KryptoGuard KryptoGuard KryptoGuard - Vertraulichkeit - Authentikation - Rechteverwaltung - Protokollierung Security Management Gesicherter Bereich SMSVPN
Utim aco S afew ar e AG 09 .07. 2 01 6
Black-Box VPN-Lösung:
Sicherheitsdienste
Vertraulichkeit von Daten (VPN)
Daten können nicht im Klartext gelesen werden
Authentifikation
Erfolgt indirekt über die Verschlüsselung
Erfolgt direkt durch Authentisierungsmethoden
Zugangskontrolle
Nur zugelassene logische Verbindungen können
hergestellt werden
Fremde haben keinen Zugang auf das Endsystem
Rechteverwaltung
Nur erlaubte Protokolle und Dienste können
verwendet werden
Protokollierung
Sicherheitsrelevante Ereignisse können festgehalten
Utim aco S afew ar e AG 09 .07. 2 01 6
Sicherheitssystem mit Packet Filter
Vorteile
Black-Box VPN Lösung
Transparente Sicherheit
einfach zu bedienen keine Änderung der
Anwendung notwendig
unabhängig von
Computer-und Betriebssystem
unterstützt alle
Kommunikationsarten: Session orientiert
(Telnet etc.)
„store and forward“
(e-mail)
Kombiniert einfache
Hand-habung mit klar definierten Verantwortlichkeiten
Nachteile
Key Management
Entweder eine Organisation
trägt die Verantwortung (i.d.R. die, die auch zahlt)
Oder alle müssen das
gleiche Produkt einsetzen
(Problem: es existiert noch keine vertrauenswürdige Infrastruktur)
Sende- und
Empfängernachweis
Muß mit anderen
Mechanismen realisiert werden
Keine Kontrolle auf
Utim aco S afew ar e AG 09 .07. 2 01 6
Digitale Signatur und
Objektverschlüsselung
Design Center CAD/CAM Office Test-Umgebung Industrie Server Server Server Server Internationales Datennetz SG SG SG E-Mail FTAM EDIFACT - Digitale Signatur Vertraulichkeit (objektorientiert) Trust Center SGUtim aco S afew ar e AG 09 .07. 2 01 6
Zertifizierungsinstanz
... ... ... Zertifikate der öffentlichen Schlüssel für alle Rechnersysteme (z.B. Directoy service) ZertifizierungsinstanzBenutzer 1 Benutzer 2 Benutzer n WS 1 WS 2 WS n
Utim aco S afew ar e AG 09 .07. 2 01 6
Digitale Signatur und
Objektverschlüsselung
Vorteile
In die Applikation integriert
Gesetzlich anerkannte Signatur
(als Signatur unter einem Dokument)
Sichert nur, was gesichert
werden soll (Auswahl möglich)
Anforderungen:
Sichere, vertrauenswürdige
Infrastruktur
Signaturgesetz
Sende- und
Empfänger-nachweis möglich
Nachteile
Keine Zugangskontrolle Keine Rechteverwaltung Nicht mit session-orientierter
Kommunikation kombinierbar
als Umschlag und
Unterschrift
Utim aco S afew ar e AG 09 .07. 2 01 6
Firewall-System
Design Center CAD/CAM Office Test-Umgebung Industrie Server Workstation Server Workstation Server Workstation Server Workstation Internationales Datennetz Application Gateway KryptoGuard KryptoGuard Firewall Firewall Firewall Firewall - Zugangskontrolle - Netzwerkebene - Benutzerebene - Rechteverwaltung- Kontrolle auf der Applikationsebene - Abschottung unsicherer Dienste - Logging und Audit
- Sicherung von Beweisen - Verbergen der internen Netzwerkstruktur Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard
Utim aco S afew ar e AG 09 .07. 2 01 6
Risiken in öffentlichen Netzen:
Was sind die Probleme ?
High-tech Spione stehlen das Know-how eines
Unternehmens und verkaufen es gewinnbringend an die Konkurrenz.
Hacker dringen in lokale Netze öffentlicher
Einrichtungen und Unternehmen ein,
manipulieren ihre Daten oder schmuggeln falsche Informationen ein.
Netzsurfer lähmen das Rechnersystem eines
Unternehmens und verursachen
wirtschaftlichen Schaden in Millionenhöhe.
Ein öffentliches Netzwerk ist keine
“Einbahnstrasse”
unsicheres Netz zu schützendes netz WS WS WS WS WS WSUtim aco S afew ar e AG 09 .07. 2 01 6
Sicherheitsziele eines Firewall-Systems
unsicheres Netz zu schützendes Netz WS WS WS WS WS WS Firewall-System
Zugangskontrolle auf der Netzebene
Zugangskontrolle auf Benutzerebene
Rechteverwaltung
Kontrolle auf der Applikationsebene
Entkopplung von unsicheren Diensten
Beweissicherung und Protokollauswertung
Alarmierung
Verbergen der internen Netzstruktur
Vertraulichkeit der Nachrichten
Common Point of Trust
Utim aco S afew ar e AG 09 .07. 2 01 6
Aufbau eines aktiven Firewall-Elementes
Logbuch Kommunikationsdaten Authentikations-modul Verarbeitungsmodul für sicherheitsrelevante Ereignisse Analyseergebnis Regelwerk zu schützendes Netz unsicheres Netz Einbindungsmodul Entscheidungs-modul A la rm Firewallschutzm odule Analysemo dul Sicherheitsrelevantes Ereignis Security Management
Utim aco S afew ar e AG 09 .07. 2 01 6
Allgemeine Arbeitsweise eines
Packet Filters
Analyse Analysemodul Header Netzwerk Header Transport Netzzugangsbene Netzzugangsebene Einbindungsmodul unsicheresNetz zu schützendesNetz
Daten
Header Netzzugang
Utim aco S afew ar e AG 09 .07. 2 01 6
Analysemöglichkeit eines Ethernet
MAC Frames (DIX 2)
Ziel-Adresse definieren Quell-Adresse definieren Packet Filter Datentyp Ziel-Adresse Quell-Adresse
Ethernet MAC (DIX2)
Utim aco S afew ar e AG 09 .07. 2 01 6 Flags Fragmentierung unterbinden
Layer 4 Protokolle definieren (TCP, UDP, ICMP, ...)
IP Quell-Adresse definieren
IP Ziel-Adresse definieren Packet Filter Attribute
Version Header-länge Service Type Identifikation Protokoll Time To Live Quell-IP-Adresse
IP-Optionen (falls vorhanden) Füllzeichen
IP Daten (UDP-/TCP-Frame) Header-Prüfsumme Gesamtlänge (in Bytes) IP-Frame Fragment-Offset Ziel-IP-Adresse Source-Routing
Utim aco S afew ar e AG 09 .07. 2 01 6 Ziel-Port definieren Quell-Port definieren
Richtung des Verbindungsaufbaus
Packet Filter Header-länge Reser-viert Code Bits Quell-Port Sequenznummer
Prüfsumme Urgent Zeiger
Fenstergröße
Ziel-Port
Optionen (falls vorhanden) Füllzeichen
TCP Daten Quittungsnummer TCP-Frame
Utim aco S afew ar e AG 09 .07. 2 01 6
Application Gateway
Netzwerktreiber TCP/IP-Treiber Netzwerktreiber FTP Proxy Telnet Proxy n-Dienst Proxy Application Gateway Security Management TCP/IP-Treiber Benutzer-Authentikation unsicheresNetz zu schützendesNetz
Application
Gateway
SMS Security Management
Utim aco S afew ar e AG 09 .07. 2 01 6
FTP Proxy
Logbuch Application Gateway FTP Proxy commands Daten Benutzer Profil (passiver Support) WS Server Datei-Filter Kommando-Filter Port 21 Port 21 Authentikation Port 20 Port 20Utim aco S afew ar e AG 09 .07. 2 01 6
High-level Security Firewall-System
Einfache Regeln
Gegenseitiger Schutz
Geschachtelte Sicherheit
Verschiedene
Betriebssysteme
Unterschiedliche
Einbindungs- und
Analysemöglichkeiten
Separates Security
Management
Screened Subnet unsicheres Netz zu schützendes Netz Application Gateway KryptoGuard KryptoGuard SMS Utim aco S afew ar e AG 09 .07. 2 01 6
Firewall-System
Vorteile
Jede Organisation ist für interne
Sicherheit selbst verantwortlich
Kein unerlaubter Zugang auf zu
schützende Rechner
Rechteverwaltung Beweissicherung
Nachteile
Datenintegrität und
Vertraulich-keit müssen mit anderen Mitteln realisiert werden
Keine Verfügbarkeit
Kein Sende- und
Empfänger-nachweis möglich
als Firewall und Pförtner
Utim aco S afew ar e AG 09 .07. 2 01 6
Kombinationsmöglichkeiten
Design Center CAD/CAM Büro Test Umgebung Industrie Server Server Server Server SG SG SG SG Trust-Center Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard Internationales Datennetz - Digitale Signatur - Vertraulichkeit (objektorientiert) - Vertraulichkeit (kommunikationsorientiert) - Authentifizierung - Zugangskontrolle - Logging - Zugangskontrolle - Netzwerkebene - Benutzerebene - Zugangsrechte-Verwaltung- Kontrolle auf der Applikationsebene - Abschottung unsicherer Dienste - Logging und Audit
- Sicherung von Beweisen - Geheimhaltung der internen Netzwerkstruktur
Utim aco S afew ar e AG 09 .07. 2 01 6
Zusammenfassung
Lösungen für sichere Netzwerke sind vorhanden
Kombination verschiedener Konzepte
gewährleistet, daß alle Sicherheitsanforderungen
erfüllt werden
Organisationen mit eigener Verantwortung
können unabhängig agieren
Es besteht die Notwendigkeit, daß jeder seinen
Utim aco S afew ar e AG 09 .07. 2 01 6