Vortrag von -...
Transcript of Vortrag von -...
Sicherheit in Rechnernetzen
Vortrag von� Rüdiger Busch
Veranstaltungsform� Vorlesung 2+2
Übersicht
� Worum es in der Vorlesung geht� Entwicklung der Sicherheit� Hacker� Sicherheitsbewusstsein� Physikalische Sicherheitsaspekte� Statistiken� Organisatorisches
Begriff der Sicherheit
� Zugriffsschutz� nicht Sicherheit bzgl. Datenverlust im eigentlichen
Sinne
Worum es geht
� Problem: zunehmende Zahl von Vernetzungen führt zu steigender Komplexität � Anfälligkeit für Fehler
� Ziel der VL ist das Aufzeigen möglicher� Fehlerquellen und Schwachpunkte� Abwehrmaßnahmen� Methoden zur Vorbeugung
Geplante Themen
� Angriffswerkzeuge und Programme� Exploits� Schutzmaßnahmen� Firewall, IDS usw.
� Sichere Übertragung� Sicherheit in Funknetzen� Kryptographie� Forensik
Geschichte
� Vor 1980� Wenige Spezialisten� Oft nur ein Benutzer pro System� Wenige Rechner pro Gebäude� Kaum Vernetzung� Typische Sicherheitsanforderung: Physischer
Zutritt� Schutz bei Mehrbenutzer Systemen� siehe UNIX und VMS
Geschichte
� Um 1985� Firmenphilosophie: "Security through Obsurity"� Sicherheitsblickrichtung: Betriebssystem� Netzwerksicherheit wird oft übersehen
� Mehrbenutzer Systeme bekommen verschlüsselte Passwörter
� Typische Benutzer:� Weiterhin wenige Spezialisten� Viele Nutzer, die nichts vom System verstehen
Geschichte
� Um 1990� Beginn allgemeiner Vernetzung� IT beginnt Träger aller Geschäftsprozesse zu
werden� Nutzerzahl steigt rapide� Benutzer werden versierter� Sicherheitsthemen eher was für "Enthusiasten"
Geschichte
� Um 1995� Internet wird dominates Netzwerk (siehe WWW)� Sicherheit unter vielen OS wird zwangsläufig
verbessert� Hacken� Erste große bekannte Vorfälle um 1996� Physikalischer Zugangsschutz verliert an Bedeutung� Angriffe vorwiegend netzbasiert
Geschichte
� Heute� Hacken = "Volkssport"� Internet ist Breitenmedium� Angreiferwerkzeuge ermöglichen auch Amateuren
massiven Schaden anzurichten
Motive der Hacker/Cracker
� Geltungsdrang - "sportlicher" Ehrgeiz� (Zer)-Störungswille� Faszination der Machtausübung� Faszination der technischen Möglichkeiten� Rachsucht� z.B. bei Entlassung aus Firma
� Neid� z.B. Wenn Firma/Projekt besonders erfolgreich
� Spionage� wirtschaftlich militärisch
...und deren Auswirkungen
� Je nach Schwere: bis zum Stillstand des Systems� Mitarbeiter können nicht mehr arbeiten� Kauf/Verkauf nicht möglich
� Zeit des Administrators� Vertrauensverlust der Benutzer (Kunden)� Verlust von Daten bzw. Geheimnissen� Information = Kapital
Hackermethoden im Wandel der Zeit
� Früher� Zufällige Löcher/Security through Obscurity� (Systematisches) erraten der Einweg-Passwörter� Viren werden hauptsächlich per Diskette und nur in
lokalen Systemen verbreitet
Hackermethoden im Wandel der Zeit
� Heute� Viren und Würmer verbreiten sich über das Internet� Probleme auf Protokollebene� Wer darf auf was zugreifen
Hackermethoden im Wandel der Zeit
� Heute - Zukunft� Probleme mit Protokoll� Protokolle mit Klartextübertragung
� Viren-Filter contra verschlüsselnden Protokollen� Java/Active X erlauben Aktivierung von
Programmen unbekannter Herkunft
Sicherheits(un)bewusstsein
� Sicherheitsbelange in Firmen werden „nebenbei“ erledigt
� Schutzmechanismen werden selten oder gar nicht auf den neusten Stand gebracht
� Annahme: Das eigene Unternehmen ist nicht von Interesse� Laut Studie des FBI waren aber zwei Drittel der
untersuchten Organisationen betroffen
Sicherheits(un)bewusstsein
� Notfallpläne liegen i.d.R. nicht vor� Annahme: Ein Angreifer sucht ein Ziel nur einmal
heim� Häufig ist jedoch das Gegenteil der Fall
� Daten werden i.d.R. Unverschlüsselt übertragen� Annahme: Eine einmalige Schulung oder das
installieren einer Firewall bietet ausreichend Schutz� Gerade in diesem Bereich ist Aktualität elementar
Sicherheitsbewusstsein
Physikalische Sicherheit
� Was bedeutet physikalische Sicherheit?� Welche Maßnahmen gibt es?
Physikalische Sicherheit
� Problem 1: Speichermedien können gestohlen werden
� Problem 2: Leitungen können angezapft werden� Problem 3: Passwortmechanismen eines
Rechners können umgangen werden� Problem 4: Abstrahlungen können aufgezeichnet
werden
Physikalische Sicherheit
� Rechner anketten� Safes für Datenträger� Türkarten, Ausweiskarten� Einbruchsschutz (Fensterscheiben, Türen)� Alarmanlagen� Videoüberwachung� Sicherheitspersonal
Speichermedien
� Speichermedien müssen unter Verschluss gehalten werden
� Backup Systeme in verschließbare Räumen stellen
� Verschlüsselung der gespeicherten Daten
Übertragunsmedium
� Verwendung von Lichtwellenleitern� Verschlüsselte Übertragung� Speziell Netzwerkmanagement
� Regelmäßige Kontrolle der Leitungen� Nicht benutzte Dosen beachten
Hardware
� Hub� Kostenkünstig, aber Datenverkehr ist leicht
abhörbar� Switch� Gute Switches haben
Hardwareadressenerkennung� Wegen aufwendiger Konfiguration meist nicht
verwendet
Rechner
� Im Optimalfall nicht zugänglich� Öffentliche Systeme sollten � nicht über Wechselmedien verfügen� angekettet und� nicht leicht zu öffnen sein
Abstrahlung
� Verschlüsselung hilft nur bedingt� Nicht abstrahlende Übertragungsmedien
verwenden (z.B. LWL)� Abstrahlung durch geeignete Maßnahmen (z.B
Abschirmung) reduzieren
Statistiken
� Untersuchung von 3289 Passwörten ergab:� 15 ein ASCII-Zeichen� 72 bestanden aus zwei ASCII-Zeichen� 464 waren drei ASCII-Zeichen lang� 477 vier Zeichen, alphanumerisch� 706 fünf Zeichen, nur Klein- und Großbuchstaben� 606 6 Zeichen, stets klein� 492 Namen oder Wörterbucheinträge
Der Klassiker
Der absolute Hit
Sicherheit kann viel Geld sparen!
Kenntnisstand
Bekannte Zwischenfälle
Alarmierungsquellen
Einsatz von IDS
Umfrage
Umfrage
Motive für Einbrüche
Quellen
� State of the Practice of Intrusion Detection Technologies, Julia Allen et al., 2000
� Verbesserung der Netzwerksicherheit durch den Einsatz von Sicherheits-Werkzeugen, Diplomarbeit von Rüdiger Busch, Uni Oldenburg, 1999
Literatur
� Maximum Security 3rd Edition, Anonymous, Sams Publishing, 2001
� Maximum Security 2nd Edition, Anonymous, Sams Publishing, 2001
� Internet Kryptographie, Richard E. Smith, Addison-Wesley, 1998
� Angewandte Kryptographie, Bruce Schneier, Addison-Wesley, 1996
Organisatorisches
� Voraussetzung für die Prüfung/ den Schein� Aktive und regelmäßige Teilnahme an Übungen� 60% erfolgreiche Bearbeitung der jeweiligen
Aufgabenstellungen� Gruppengröße max. 3� Übungsleistung fließt nicht in die Endnote ein