Sicherheit in verteilten Netzwerken - Prof. Norbert Pohlmann

Sicherheit in verteilten Netzwerken

Verschlüsselung, Digitale Signatur, Firewall-Systeme

Norbert Pohlmann

Vorstand Utimaco Safeware AG Security Infrastructure Mobile/Desktop Security Network Security E-Commerce Enabler Internet Security

Utim aco S afew ar e AG 09 .07. 2 01 6

Inhalt



Sicherheitsanforderungen in verteilten Netzwerken



Sicherheitskonzepte



Verschlüsselung (Black-Box VPN-Lösung)



Digitale Signatur



Firewall-Systeme

 Utim aco S afew ar e AG 09 .07. 2 01 6

Warum Sicherheit?



Fundamentaler Wandel durch die

Informationsgesellschaft

 Eine zunehmende Zahl von Arbeitsabläufen

wird über IT-Systeme abgewickelt => Netzwerke als neue Angriffsziele

 Der Wert von Information, die auf IT-Systemen

gespeichert sind, wächst

 die Ergebnisse allein einer

Forschungs-und Entwicklungsabteilung können Werte in Millionenhöhe darstellen

 Sichere und zuverlässige Zahlungen

und Transaktionen über unsichere Netze (z.B. Internet)

Utim aco S afew ar e AG 09 .07. 2 01 6

Warum Sicherheit?



Sicherheitsanforderungen

 Unternehmen müssen sich selbst gegen

Wirtschaftsspionage schützen

 Utim aco S afew ar e AG 09 .07. 2 01 6

Internationale Vernetzung von

Kommunikationsabläufen

Design Center CAD/CAM Büro Test Umgebung Industrie Server Workstation Server Workstation Server Workstation Server Workstation Internationales Datennetz

Utim aco S afew ar e AG 09 .07. 2 01 6

Sicherheitsanforderungen an

Kommunikationsprozesse in Netzwerken



Vertraulichkeit

 Schutz des vorhandenen Know-hows

 Konkurrenten versuchen, Zugang zu sensiblen

Entwicklungsdaten zu erlangen



Sende- und Empfängernachweis

 Gewährleistung, daß die korrekten Informationen

nachweislich empfangen worden sind Kündigung

 Absender eines Dokuments muß nachweislich

identifizierbar sein Bestellung



Datenintegrität

 Keine Manipulationsmöglichkeit während

der Datenübertragung

(Daten erreichen den Adressaten unverändert)

 Utim aco S afew ar e AG 09 .07. 2 01 6

Sicherheitsanforderungen an

Kommunikationsprozesse in Netzwerken



Authentifizierung

 Eindeutige Identifizierung und Authentisierung von Personen

 Nur authorisierte Personen dürfen Zugangsrechte auf die

angeschlossenen Rechnersysteme haben



Zugangskontrolle

 Unberechtigte Personen dürfen keinen Zugang auf die

zu schützenden Rechner und Netzwerke haben



Rechteverwaltung

 Nur zugelassene Protokolle und Dienste zu

definierten Zeiten dürfen benutzt werden



Protokollierung

 Sicherheitsrelevante Ereignisse werden festgehalten

 Dokumentierte Ereignisse können als Beweis genutzt

Utim aco S afew ar e AG 09 .07. 2 01 6

Verschlüsselung mit Hilfe der Black-Box

VPN -Lösung

Design Center CAD/CAM Office Test-Umgebung Industrie Server Workstation Server Workstation Server Workstation Server Workstation Unsicheres Netz KryptoGuard KryptoGuard KryptoGuard KryptoGuard - Vertraulichkeit - Authentikation - Rechteverwaltung - Protokollierung Security Management Gesicherter Bereich SMS

VPN

 Utim aco S afew ar e AG 09 .07. 2 01 6

Black-Box VPN-Lösung:

Sicherheitsdienste



Vertraulichkeit von Daten (VPN)

 Daten können nicht im Klartext gelesen werden



Authentifikation

 Erfolgt indirekt über die Verschlüsselung

 Erfolgt direkt durch Authentisierungsmethoden



Zugangskontrolle

 Nur zugelassene logische Verbindungen können

hergestellt werden

 Fremde haben keinen Zugang auf das Endsystem



Rechteverwaltung

 Nur erlaubte Protokolle und Dienste können

verwendet werden



Protokollierung

 Sicherheitsrelevante Ereignisse können festgehalten

Utim aco S afew ar e AG 09 .07. 2 01 6

Sicherheitssystem mit Packet Filter

Vorteile

 Black-Box VPN Lösung

 Transparente Sicherheit

 einfach zu bedienen  keine Änderung der

Anwendung notwendig

 unabhängig von

Computer-und Betriebssystem

 unterstützt alle

Kommunikationsarten:  Session orientiert

(Telnet etc.)

 „store and forward“

(e-mail)

 Kombiniert einfache

Hand-habung mit klar definierten Verantwortlichkeiten

Nachteile

 Key Management

 Entweder eine Organisation

trägt die Verantwortung (i.d.R. die, die auch zahlt)

 Oder alle müssen das

gleiche Produkt einsetzen

(Problem: es existiert noch keine vertrauenswürdige Infrastruktur)

 Sende- und

Empfängernachweis

 Muß mit anderen

Mechanismen realisiert werden

 Keine Kontrolle auf

 Utim aco S afew ar e AG 09 .07. 2 01 6

Digitale Signatur und

Objektverschlüsselung

Design Center CAD/CAM Office Test-Umgebung Industrie Server Server Server Server Internationales Datennetz SG SG SG E-Mail FTAM EDIFACT - Digitale Signatur Vertraulichkeit (objektorientiert) Trust Center SG

Utim aco S afew ar e AG 09 .07. 2 01 6

Zertifizierungsinstanz

... ... ... Zertifikate der öffentlichen Schlüssel für alle Rechnersysteme (z.B. Directoy service) Zertifizierungsinstanz

Benutzer 1 Benutzer 2 Benutzer n WS 1 WS 2 WS n

 Utim aco S afew ar e AG 09 .07. 2 01 6

Digitale Signatur und

Objektverschlüsselung

Vorteile

 In die Applikation integriert

 Gesetzlich anerkannte Signatur

(als Signatur unter einem Dokument)

 Sichert nur, was gesichert

werden soll (Auswahl möglich)

 Anforderungen:

 Sichere, vertrauenswürdige

Infrastruktur

 Signaturgesetz

 Sende- und

Empfänger-nachweis möglich

Nachteile

 Keine Zugangskontrolle  Keine Rechteverwaltung  Nicht mit session-orientierter

Kommunikation kombinierbar

als Umschlag und

Unterschrift

Utim aco S afew ar e AG 09 .07. 2 01 6

Firewall-System

Design Center CAD/CAM Office Test-Umgebung Industrie Server Workstation Server Workstation Server Workstation Server Workstation Internationales Datennetz Application Gateway KryptoGuard KryptoGuard Firewall Firewall Firewall Firewall - Zugangskontrolle - Netzwerkebene - Benutzerebene - Rechteverwaltung

- Kontrolle auf der Applikationsebene - Abschottung unsicherer Dienste - Logging und Audit

- Sicherung von Beweisen - Verbergen der internen Netzwerkstruktur Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard

 Utim aco S afew ar e AG 09 .07. 2 01 6

Risiken in öffentlichen Netzen:

Was sind die Probleme ?

 High-tech Spione stehlen das Know-how eines

Unternehmens und verkaufen es gewinnbringend an die Konkurrenz.

 Hacker dringen in lokale Netze öffentlicher

Einrichtungen und Unternehmen ein,

manipulieren ihre Daten oder schmuggeln falsche Informationen ein.

 Netzsurfer lähmen das Rechnersystem eines

Unternehmens und verursachen

wirtschaftlichen Schaden in Millionenhöhe.

Ein öffentliches Netzwerk ist keine

“Einbahnstrasse”

unsicheres Netz zu schützendes netz WS WS WS WS WS WS

Utim aco S afew ar e AG 09 .07. 2 01 6

Sicherheitsziele eines Firewall-Systems

unsicheres Netz zu schützendes Netz WS WS WS WS WS WS Firewall-System

 Zugangskontrolle auf der Netzebene

 Zugangskontrolle auf Benutzerebene

 Rechteverwaltung

 Kontrolle auf der Applikationsebene

 Entkopplung von unsicheren Diensten

 Beweissicherung und Protokollauswertung

 Alarmierung

 Verbergen der internen Netzstruktur

 Vertraulichkeit der Nachrichten

Common Point of Trust

 Utim aco S afew ar e AG 09 .07. 2 01 6

Aufbau eines aktiven Firewall-Elementes

Logbuch Kommunikationsdaten Authentikations-modul Verarbeitungsmodul für sicherheitsrelevante Ereignisse Analyseergebnis Regelwerk zu schützendes Netz unsicheres Netz Einbindungsmodul Entscheidungs-modul A la rm Firewallschutzm odule Analysemo dul Sicherheitsrelevantes Ereignis Security Management

Utim aco S afew ar e AG 09 .07. 2 01 6

Allgemeine Arbeitsweise eines

Packet Filters

Analyse Analysemodul Header Netzwerk Header Transport Netzzugangsbene Netzzugangsebene Einbindungsmodul unsicheres

Netz zu schützendes_Netz

Daten

Header Netzzugang

 Utim aco S afew ar e AG 09 .07. 2 01 6

Analysemöglichkeit eines Ethernet

MAC Frames (DIX 2)

Ziel-Adresse definieren Quell-Adresse definieren Packet Filter Datentyp Ziel-Adresse Quell-Adresse

Ethernet MAC (DIX2)

Utim aco S afew ar e AG 09 .07. 2 01 6 Flags Fragmentierung unterbinden

Layer 4 Protokolle definieren (TCP, UDP, ICMP, ...)

IP Quell-Adresse definieren

IP Ziel-Adresse definieren Packet Filter Attribute

Version Header-länge Service Type Identifikation Protokoll Time To Live Quell-IP-Adresse

IP-Optionen (falls vorhanden) Füllzeichen

IP Daten (UDP-/TCP-Frame) Header-Prüfsumme Gesamtlänge (in Bytes) IP-Frame Fragment-Offset Ziel-IP-Adresse _{Source-Routing}

 Utim aco S afew ar e AG 09 .07. 2 01 6 Ziel-Port definieren Quell-Port definieren

Richtung des Verbindungsaufbaus

Packet Filter Header-länge Reser-viert Code Bits Quell-Port Sequenznummer

Prüfsumme Urgent Zeiger

Fenstergröße

Ziel-Port

Optionen (falls vorhanden) Füllzeichen

TCP Daten Quittungsnummer TCP-Frame

Utim aco S afew ar e AG 09 .07. 2 01 6

Application Gateway

Netzwerktreiber TCP/IP-Treiber Netzwerktreiber FTP Proxy Telnet Proxy n-Dienst Proxy Application Gateway Security Management TCP/IP-Treiber Benutzer-Authentikation unsicheres

Netz zu schützendes_Netz

Application

Gateway

SMS Security Management

 Utim aco S afew ar e AG 09 .07. 2 01 6

FTP Proxy

Logbuch Application Gateway FTP Proxy commands Daten Benutzer Profil (passiver Support) WS Server Datei-Filter Kommando-Filter Port 21 Port 21 Authentikation Port 20 Port 20

Utim aco S afew ar e AG 09 .07. 2 01 6

High-level Security Firewall-System



Einfache Regeln



Gegenseitiger Schutz



Geschachtelte Sicherheit



Verschiedene

Betriebssysteme



Unterschiedliche

Einbindungs- und

Analysemöglichkeiten



Separates Security

Management

Screened Subnet unsicheres Netz zu schützendes Netz Application Gateway KryptoGuard KryptoGuard SMS

 Utim aco S afew ar e AG 09 .07. 2 01 6

Firewall-System

Vorteile

 Jede Organisation ist für interne

Sicherheit selbst verantwortlich

 Kein unerlaubter Zugang auf zu

schützende Rechner

 Rechteverwaltung  Beweissicherung

Nachteile

 Datenintegrität und

Vertraulich-keit müssen mit anderen Mitteln realisiert werden

 Keine Verfügbarkeit

 Kein Sende- und

Empfänger-nachweis möglich

als Firewall und Pförtner

Utim aco S afew ar e AG 09 .07. 2 01 6

Kombinationsmöglichkeiten

Design Center CAD/CAM Büro Test Umgebung Industrie Server Server Server Server SG SG SG SG Trust-Center Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard Application Gateway KryptoGuard KryptoGuard Internationales Datennetz - Digitale Signatur - Vertraulichkeit (objektorientiert) - Vertraulichkeit (kommunikationsorientiert) - Authentifizierung - Zugangskontrolle - Logging - Zugangskontrolle - Netzwerkebene - Benutzerebene - Zugangsrechte-Verwaltung

- Kontrolle auf der Applikationsebene - Abschottung unsicherer Dienste - Logging und Audit

- Sicherung von Beweisen - Geheimhaltung der internen Netzwerkstruktur

 Utim aco S afew ar e AG 09 .07. 2 01 6

Zusammenfassung



Lösungen für sichere Netzwerke sind vorhanden



Kombination verschiedener Konzepte

gewährleistet, daß alle Sicherheitsanforderungen

erfüllt werden



Organisationen mit eigener Verantwortung

können unabhängig agieren



Es besteht die Notwendigkeit, daß jeder seinen

Utim aco S afew ar e AG 09 .07. 2 01 6

Utimaco Safeware AG

Your global partner for IT security

www.utimaco.com

info.de@utimaco.de