11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.
-
Upload
hanne-zielke -
Category
Documents
-
view
110 -
download
0
Transcript of 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.
![Page 1: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/1.jpg)
11.11.2004 Internet-Sicherheit (1) 1
Internet-Sicherheit (1)
Teil 1:Schutz der lokalen
Daten und Systeme
![Page 2: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/2.jpg)
11.11.2004 Internet-Sicherheit (1) 2
Themen Bedeutung von Internet-Sicherheit Hauptrisiken bei Internet-Nutzung Möglichkeiten und Grenzen von
Firewalls, Viren- und E-Mail-Scannern
BSI/DATech-Vorschläge zu Internet-Sicherheitsmaßnahmen
![Page 3: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/3.jpg)
11.11.2004 Internet-Sicherheit (1) 3
Der Referent:Wolfgang Redtenbacher Leiter der BSI/DATech-
Arbeitsgruppe „Internet-Sicherheit“(BSI = Bundesamt für Sicherheit in der Informationstechnik, DATech = Deutsche Akkreditierungsstelle für Technik)
Mitglied der IETF-Arbeitsgruppen „Open PGP“ und „S/MIME“(IETF = Internet Engineering Task Force)
![Page 4: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/4.jpg)
11.11.2004 Internet-Sicherheit (1) 4
Wie wichtig ist Sicherheit? Ca. 9 neue Viren pro Tag, ca. 2-5 neu
entdeckte Sicherheitslücken pro Woche 1 großer Befall alle 2-6 Monate (Melissa,
ILoveYou, CodeRed, SirCam, Klez, MyDoom, Sober, ..., Bugbear, Bagle)
Jede 3. deutsche Firma erlitt im letzten Jahr Schäden durch Viren, Würmer oder Trojaner
Klez.H verursachte ca. 9 Milliarden Dollar Schaden
![Page 5: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/5.jpg)
11.11.2004 Internet-Sicherheit (1) 5
Hauptrisiken bei Internet-Nutzung als Client Unzureichend abgeschirmte
Transportschicht (Hacker kann sich einwählen)
Browserfehler, die von bösartigen WWW-Seiten ausgenutzt werden
E-Mail-Software, die „aktive Inhalte“ beim Empfang ausführt oder Viren ins Netz lässt
![Page 6: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/6.jpg)
11.11.2004 Internet-Sicherheit (1) 6
Hauptrisiken – aktuelle Beispiele für Schadsoftware Unzureichend abgeschirmte
Transportschicht: Sasser-Wurm Browserfehler: Pado-Load-A
(www.superdelotto.com) „Aktive“ Mail-Inhalte: Bugbear,
Bagle, ...
![Page 7: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/7.jpg)
11.11.2004 Internet-Sicherheit (1) 7
Was leistet eine Firewall? Beschränkt Verbindungen auf
freigegebene Dienste und Adressen Anrufer müssen sich
authentifizieren Lehnt „unangeforderte“
Datenpakete ab=> Schützt die Transportschicht
![Page 8: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/8.jpg)
11.11.2004 Internet-Sicherheit (1) 8
Was leistet ein Virenscanner? Prüft Festplatten-/Disketteninhalte
auf bekannte Viren Prüft ggf. E-Mails auf (bekannte)
Viren, bevor sie ins Postfach gelassen werden
Nimmt hinsichtlich neuer Viren gewisse Plausibilitätsprüfungen vor
=> Schützt vor bekannten Viren („Räuber- und Gendarm“-Spiel)
![Page 9: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/9.jpg)
11.11.2004 Internet-Sicherheit (1) 9
BSI/DATech-Vorschläge zu Internet-Sicherheitsniveauswww.datech.de/share/files/Pruefbaustein_Internet-Sicherheit.pdf
Beschränkung auf Internetzugang als Client und bekannte „Engpässe“
=> überschaubar Stufenweise Verbesserung
durch 2 Sicherheitsniveaus
![Page 10: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/10.jpg)
11.11.2004 Internet-Sicherheit (1) 10
Stufenweise Verbesserung durch 2 Sicherheitsniveaus Stufe 1: Einstieg, leicht
durchführbar, „kostenlose“ Maßnahmen
Stufe 2: „solides“ Schutzniveau, kann jedoch Kosten oder Komforteinschränkungen verursachen
![Page 11: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/11.jpg)
11.11.2004 Internet-Sicherheit (1) 11
A. Empfehlungen zum Schutz der Transportschicht Stufe 1: Internet-Zugang aus dem
LAN heraus wird durch Deinstallation oder (Personal) Firewall auf E-Mail und Surfen beschränkt
Stufe 2: Zentrale Maßnahme (Firewall/Router o.ä.) stellt Beschränkung auf E-Mail+Surfen in personenunabhängiger Form sicher
![Page 12: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/12.jpg)
11.11.2004 Internet-Sicherheit (1) 12
Transportschicht – Umsetzungsbeispiel (Stufe 2) Zentrale(r) Router/Firewall lässt
nur Ports 25/80/110 durch (= E-Mail + Surfen)
oder: „Versiegelbare“ Personal Firewall
(Bsp.: Agnitum Outpost Professional) an den Arbeitsplätzen gibt nur Ports 25/80/110 frei
![Page 13: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/13.jpg)
11.11.2004 Internet-Sicherheit (1) 13
B. Empfehlungen zum Schutz des Surfens Stufe 1: Nur Browser mit „guter“
Sicherheitshistorie (oder Wegfilterung „aktiver Inhalte“)
Stufe 2: Zentrale Maßnahme (Firewall/Proxy-Server o.ä.) filtert „aktive Inhalte“ aus HTTP-Datenströmen im LAN; unbeschränktes Surfen nur von „Freiwild-PCs“
![Page 14: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/14.jpg)
11.11.2004 Internet-Sicherheit (1) 14
Surfen –Umsetzungsbeispiel (Stufe 2) Firewall oder Proxy-Server entfernt
„aktive Inhalte“ (= <SCRIPT>-, <OBJECT>- und <APPLET>-Elemente, Event-
Handler und JavaScript-Links) beim Surfen aus dem LAN
Für unbeschränktes Surfen stehen „Freiwild-PCs“ zur Verfügung
![Page 15: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/15.jpg)
11.11.2004 Internet-Sicherheit (1) 15
Surfen –Was sind „Freiwild-PCs“?
PCs zum unbeschränkten Surfen, die:
physisch vom LAN getrennt sind (eigene Zentraleinheit oder spez. Einsteckkarte) und
keine schützenswerten Daten enthalten (Festplatteninhalt kann jederzeit auf den Ausgangszustand zurückgesetzt werden)
![Page 16: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/16.jpg)
11.11.2004 Internet-Sicherheit (1) 16
Surfen – Umsetzungsbeispiele für Freiwild-PCsJe nach Häufigkeit des Surfens: Ein oder mehrere getrennte Surf-PCs
(z.B. Bibliotheks-PCs) Schlüsselpersonen erhalten „Dual-
PCs“ (2 Zentraleinheiten mit Konsolenumschalter)
Direkter Zugriff aus dem LAN über (Firewall-geschützte!) Fernwartung auf Bildschirminhalte eines Surf-PC-Pools
![Page 17: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/17.jpg)
11.11.2004 Internet-Sicherheit (1) 17
C. Empfehlungen zum Schutz des E-Mail-Verkehrs Stufe 1: Nutzung eines E-Mail-
Clients, der keine „aktiven Inhalte“ (Java, JavaScript, ActiveX) ausführt
Stufe 2: Maßnahmen zur Verhinderung der (versehentlichen) Ausführung von E-Mail-Anlagen (.EXE, .PIF, .DOC usw.) per Mausklick
![Page 18: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/18.jpg)
11.11.2004 Internet-Sicherheit (1) 18
E-Mail - Umsetzungsbeispiel (Stufe 2) E-Mail-Client enthält wirksame
Schutzmechanismen gegen gefährliche Dateianlagen (Bsp.: KT-Mail)
oder: Gateway-Lösung schützt E-Mail-
Verkehr zentral
![Page 19: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/19.jpg)
11.11.2004 Internet-Sicherheit (1) 19
E-Mail – Produktbeispiele für zentralen Gateway-Schutz Sanitizer (Open Source –
Schutz eingeschränkt für Windows 2000/XP-
Clients) GFI MailSecurity Hummingbird Content-
Management-System KT-Mail/Filter-Gateway
![Page 20: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/20.jpg)
11.11.2004 Internet-Sicherheit (1) 20
Arbeitsweise desKT-Mail/Filter-Gateways Lässt harmlose Bestandteile
(Texte, Grafiken) durch Säubert automatisch potentiell
gefährliche Formate, wo möglich (HTML, DOC usw.)
Stellt sonstige potentiell gefährliche Formate in Quarantäne
![Page 21: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/21.jpg)
21Internet-Sicherheit (1)11.11.2004
End-benutzer
KT-Mail/Gateway
Verbindungzum Internet
HarmloserRest-Inhalt
GefährlicheE-Mail?
Bild: Gateway-Aktion bei pot. gefährlichen E-Mail-Inhalten
Virus
Virus
Warn-Hinweis anEDV-Betreuer
![Page 22: 11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme.](https://reader034.fdocuments.net/reader034/viewer/2022051515/55204d6849795902118bdecb/html5/thumbnails/22.jpg)
11.11.2004 Internet-Sicherheit (1) 22
Besonderheiten desKT-Mail/Filter-Gateways Läuft den Viren nicht hinterher („Räuber
und Gendarm“), sondern stopft gleich die grundlegenden Kanäle
Behandelt unbekannte Formate als potentiell gefährlich (keine Anfangslücke bei neuen Viren)
Kann häufige Formate (DOC, HTML usw.) automatisch säubern (dadurch Quarantäne nur selten nötig)