Microsoft sicherheitstechnologien
Download
1 / 42

Microsoft Sicherheitstechnologien - PowerPoint PPT Presentation


  • 78 Views
  • Uploaded on

Microsoft Sicherheitstechnologien. Sven Thimm Björn Schneider Microsoft Senior Presales Consultant Senior Consultant IT-Security [email protected] [email protected] Techlevel 200. Agenda. Das Securityproblem Patchmanagement Security Engineering Identity & Access Management

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Microsoft Sicherheitstechnologien' - yoshio-castaneda


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Microsoft sicherheitstechnologien
MicrosoftSicherheitstechnologien

Sven Thimm Björn Schneider

Microsoft Senior Presales Consultant Senior Consultant IT-Security

[email protected] [email protected]

Techlevel 200


Agenda
Agenda

  • Das Securityproblem

  • Patchmanagement

  • Security Engineering

  • Identity & Access Management

  • Perimeter Sicherheit

  • Security Roadmap


Das security problem sicherheitskrise der software branche

Quelle: securityfocus.org, Stand: 07.02.2004

Das Security Problem Sicherheitskrise der Software-Branche


Das security problem social engineering
Das Security Problem Social Engineering

  • Definition

    • Nichttechnisches Ausspähen von Informationen durch Kontakt zu den Informationsträgern

    • Sicherheitsvorkehrungen werden nicht auf technischer, sondern auf sozialer Ebene umgangen

  • Prevention

    • Schwachstelle Mensch (Trainings, Awareness)

    • Beseitigung von Prozessmängeln

    • Einsatz von geeigneten Technologien


Das security problem bewertung des risikos

V = Verletzlichkeit

Vulnerabilities, Exploits

potentielle Angriffsfläche

W = Wert der Beute

Daten als Ware

Ruhm, Anerkennung

Anrichten von Schaden

z.B. Verlust von Verfügbarkeit

Das Security ProblemBewertung des Risikos

  • R = Risiko

    • Wahrscheinlichkeit

      • einer Kompromittierung

      • von Missbrauch

  • B = Bedrohung

    • Umgebung

      • Internet, LAN, Offline

    • Verbreitung des Systems

R = B x V x W


Das security problem software security pendel

Usability

&

Features

Security

&

Privacy

Das Security ProblemSoftware Security Pendel

  • Einfache Benutzung

    • “Automagic”

    • Alle Features sind ON by default

  • Große Angriffsfläche

  • Out Of The Box Experience

    • Features

    • Attacks

Marketing Mode


Das security problem software security pendel1

Usability

&

Features

Security

&

Privacy

Das Security ProblemSoftware Security Pendel

  • Geringe “connectivity”

  • Viele Sicherheitsdialoge

  • Minimierte Angriffsfläche

  • Oft schwieriger zu benutzen

  • Nur schwer zu vermarkten

Paranoid Mode


Das security problem software security pendel2

Usability

&

Features

Security

&

Privacy

Das Security ProblemSoftware Security Pendel

  • Kleinere Angriffsfläche

  • Weniger Sicherheits-Dialoge, aber

    • Transparente Einstellung

    • Alles konfigurierbar

    • Sicher handhabbar!

  • Security & Privacy als Feature für den Anwender

Optimum



Patchmanagement neuer zeitplan f r patches
PatchmanagementNeuer Zeitplan für Patches

  • Sicherheits-Patches monatlich

    • Patch-Paket an jedem 2. Dienstag im Monat

      • 13.01.04, 10.02.04, 09.03.04, 13.04.04, 11.05.04, …

    • Bessere Test- und Deployment Planung möglich

    • Patches als Gesamtpaket oder einzeln

  • Notfall-Patches (Exploit aufgetaucht)

    • Sofortige Bereitstellung des Patches

  • Verlängerter Sicherheits-Support (H1/04)

    • Windows 2000 SP2

    • Windows NT4 Workstation SP6a


Patchmanagement rating von security bulletins
PatchmanagementRating von Security Bulletins


Patchmanagement entstehung des blaster wurms
Patchmanagement Entstehung des Blaster Wurms

1. Juli 03

16. Juli 03

25. Juli 03

11. August 03

Bulletin & Patch verfügbar,

bisher kein Angriff

Schwachstelle entdeckt / Start der Patchentwicklung

Angriffs-Codewird veröffentlicht

Wurm infiziert die Welt

Report

  • Schwachstelle in RPC/DDOM aufgedeckt

  • MS startet den höchsten Notfall-prozess Level

Bulletin

  • MS03-026 wird an Kunden ausgeliefert

  • Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden

Exploit

  • X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs-Tool

  • MS maximiert die Anstrengungen, alle Kunden zu informieren

Wurm

  • Blaster Wurm entdeckt

  • Varianten und andere Viren schlagen gemeinsam zu (z.B. “SoBig”)

Blaster zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwareherstellern und Hackern


Patchmanagement tools und technologien
PatchmanagementTools und Technologien

  • Scanning Engines

    • Hfnetchk, MBSA, Office Inventory Tool

  • Einzelplatzlösung

    • Office Update

    • Windows Update, Automatic Update

  • Unternehmenslösungen

    • SUS 1.0 SP1

    • SMS 2003

  • Microsoft Solution for Management (MSM)


Patchmanagement sus 1 0 bersicht
Patchmanagement SUS 1.0: Übersicht

WindowsUpdate Service

WindowsUpdate Service

  • SUS Server prüft ob neue Aktualisierungen vorliegen

Firewall

  • Administrator erteilt Freigabe für überprüfte Aktualisierungen

BandbreitenPrüfung

BandbreitenPrüfung

  • Freigegebene Updates werden mit untergeordneten SUS Servern synchronisiert

UntergeordneterSUS Server

  • AU erhält freigegebene Aktualisierungsliste vom SUS Server

SUS Server

BandbreitenPrüfung

  • AU lädt freigegebene Aktualisierungen vom SUS Server herunter

UntergeordneterSUS Server

  • AU informiert bzw. installiert das Update

DEMOClient GPO

  • AU hält Installationshistorie fest


Patchmanagement microsoft update
PatchmanagementMicrosoft Update

Microsoft Update

Office Update

Windows Update

Windows Update

Mitte 2004

Heute

  • Microsoft Update

    • Onlinedienst und Aktualisierung für die gesamte Microsoft Software

    • Basierend auf der SUS Infrastruktur

    • Integriert per Design:- automatisches Scannen- Installation der Aktualisierung- Berichtauswertung

SMS

SUS



Patchmanagement sus 2 0
PatchmanagementSUS 2.0

  • Unterstützung für zusätzliche MS Produkte

    • Office 2003, SQL Server 2000, Exchange Server

    • zusätzliche Unterstützung weiterer Produkte

  • Administrative Kontrolle

    • Möglichkeit der automatischen Deinstallation

    • Anpassung der Client Abfrageintervalle

    • Festlegen des Zeitpunktes bis Installation ausgeführt werden muss

    • Zusätzliche Regeln für automatische Installation


Patchmanagement sus 2 01
PatchmanagementSUS 2.0

  • Ausrollen & Zielbestimmung

    • Angepasste Synchronisation mit WU

      • z.B. alle WinXP Patches, aber keine Win2K Inhalte

    • Automatische Aktualisierung des SUS Clients

  • Statusprüfung der installierten Updates

  • Verbessertes Reporting

    • GUI Report-Tool sammelt den Aktualisierunsstatus per Computer-Group oder per Update


Patchmanagement neue schutztechnologien
PatchmanagementNeue Schutztechnologien

  • Windows XP SP2

    • Verbesserte Firewall

    • Email und Browsing sicherer

    • Verbesserter Schutz gegen Buffer Overflows

    • Status: Beta, RTM ca. Sommer 2004

  • Windows Server 2003 SP1

    • Rollen-basierte Sicherheitskonfiguration

    • RAS Client Inspection (Quarantäne Technologie)

    • Locale Inspection bei Verbindungsaufbau im LAN

    • RTM evtl. Q4 2004


Patchmanagement patching vereinfachen
PatchmanagementPatching vereinfachen

Bis Sommer 2004: Nur noch 2 Patch Installer. Alle Patches verhalten sich gleich und sind gleich zu installieren (SUS 2.0, MSI 3.0)

Patch Komplexität reduzieren

Bis Sommer 2004: Durchgängige Patch-Rollback- Fähigkeit für Windows, SQL, Exchange, Office

Patch-Risiko minimieren

Bis Sommer 2004: 80% Reduktion der Grösse. (Delta patching Technologie, Optimierungen in MSI 3.0)

Patch Grösse reduzieren

Bis Sommer 2004: 30% weniger Reboots bei Win 2003 (mit SP1). Bis 70% Reduktion bei nächster Server-Generation

Downtime reduzieren

Bis Ende 2004: Alle Patches auf “MS Update”. Derzeit: SMS 2003 kann alle Patches für aktuelle MS Apps verteilen

Patch Automation für alle Produkte


Patchmanagement reaktionszeit

331

180

151

25

SQL Slammer

Nimda

Blaster

Welchia/ Nachi

PatchmanagementReaktionszeit

  • Exploits werden intelligenter

  • Zeitspanne zwischen Erscheinen des Patches und Auftreten eines Exploitssinkt

  • Traditionelle Software-verteilung zu zeitintensiv

  • Ansatz Patchmanagement reicht nicht

  • Neue Techniken müssen entwickelt werden

Tage zwischen Patch und Angriff


Security engineering

Security Engineering


Security engineering threat modeling
Security Engineering Threat Modeling

  • Klassischer Ansatz „Entwickler und Tester beweisen, dass ihre Anwendung unter verschiedensten Bedingungen funktioniert.“

  • OK für „geschlossene“ Software-Systeme

  • Nicht OK für Systeme im Internet

  • “Threat modeling”  You need to think N !

    • Anwendung “zerlegen”

    • Interfaces identifizieren (Sockets, Named Pipes)

    • Daten-Strukturen analysieren

    • Angriffspunkte durch Datenmutation penetrieren


Security engineering fehler bei der softwareentwicklung
Security Engineering Fehler bei der Softwareentwicklung

  • Buffer Overruns

  • Was kann passieren?

    •  Bluescreen

    •  System wird instabil Debugging???

    •  Angreifer injiziert bösen Code und ist Admin!

Ein Buffer

Ein paar Daten

Pack sie zusammen

{

Hope there’s nothing

of interest here!


Security engineering das t rkisch problem
Security Engineering Das “Türkisch-İ Problem”

  • Im Türkischen gibt es 4 Buchstaben für “I”

    • i (U+0069) I (U+0049) ı (U+0131) İ (U+0130)

  • Im Türkischen UC ("file") == FİLE

İ

// Do not allow "FILE://" URLs

if(url.ToUpper().Left(4) == "FILE")

return ERROR;

getStuff(url);

// Only allow "HTTP://" URLs

if(url.ToUpper(CultureInfo.InvariantCulture).Left(4) == "HTTP")

getStuff(url);

else

return ERROR;



Identity access management berblick

Client

UNIX

App

Non-AD

Directory

Identity & Access Management Überblick

Wireless LAN

RADIUS

VPN

Gateway

LAN

Email

Datenbank

Application Server

File Server

Web Server

Intranet Portal

Firewall

Meta Directory

Active Directory



Perimeter sicherheit firewall technologien
Perimeter SicherheitFirewall-Technologien

  • Static-Packet-Filtering (PF)

    • Älteste und einfachste Firewall-Technologie

    • Statische Analyse der Network- und Transport-Header

      • Hoher Datendurchsatz durch einfache Paketanalysen

    • Wenig Schutz bei komplexen Konfigurationen!

      • Keine Zuordnung von Antworten zu ihren Anfragen

      • Probleme bei Auswertung von fragmentierten Paketen


Perimeter sicherheit firewall technologien1
Perimeter SicherheitFirewall-Technologien

  • Stateful-Packet-Filtering (SPF)

    • Firewall verwaltet Sitzungstabelle aller Anfragen

    • Antworten dürfen nur nach Anfrage passieren

    • Komplexe Protokolle verwenden dynamische Ports

      • FTP Zugriffe (PASV u. PORT), Voice-over-IP, RPC, u.v.m.

      • SPF können die Steuerinformationen auswerten

      • Primäre und sekundäre Verbindung bilden eine Sitzung

    • Automatisches Hinzufügen von dynamischen Paketfiltern möglich


Perimeter sicherheit firewall technologien2
Perimeter SicherheitFirewall-Technologien

  • Was bedeutet heutzutage TCP Port 80?

    • Laut iana.org : „Hypertext Transfer Protokoll“

    • In der Realität : „Universal Firewall Bypass Protokoll“

      • Viele Unternehmen haben „Port 80“ an ihrer Firewall geöffnet

      • Viele Anwendungen tunneln ihre Daten über Port 80/HTTP

  • Wie kann man dann die Protokollintegrität sicherstellen?

    • Einsatz von Application-Layer-Filtering (ALF)

      • Umsetzung als protokollspezifischer Proxy-Server

      • Umsetzung als transparente Datenstromfilter


Perimeter sicherheit alf funktionalit ten http
Perimeter Sicherheit ALF Funktionalitäten (HTTP)

  • Filterung anhand von Informationen wie…

    • Hostheader  gibt Auskunft über das Ziel

    • Dateiendung  gibt Auskunft über den Datentyp

    • Benutzerkennung, User-Agent, Mime-Type

    • protokollspezifischer Befehle

      • PUT, DELETE, MOVE, OPTIONS, PROPFIND, POLL, …

  • Filterung von bekannten Angriffssignaturen

    • URL Encoding Probleme, Folder Traversal Bugs

      • /scripts/..%255c../winnt/system32/cmd.exe?/c+…

    • Buffer Overruns in eingesetzten Webserver

      • /default.ida?xxxxxxxxx…xxxxxxxxx+SHELLCODE


Perimeter sicherheit isa server 2004
Perimeter Sicherheit ISA Server 2004

  • Künftige Firewall-, VPN- und Cache-Lösung

    • Status: Beta 2 (englisch und deutsch)

  • Stateful- und Application-Layer-Filterung

    • ALF: HTTP, SMTP, FTP, DNS, POP3, RPC…

    • Deep Content Inspection

  • Erweitert VPN Dienst von Windows Server

    • VPN- und Quarantänenetzwerke

  • Multi-Networking Support

  • Verbesserte GUI



Perimeter sicherheit vergleich isa server 2004 vs 2000
Perimeter SicherheitVergleich ISA Server 2004 vs. 2000


Perimeter sicherheit fazit der filterungstechnologien
Perimeter Sicherheit Fazit der Filterungstechnologien

  • Paketfilter sind Mittel zur groben Datenfilterung

    • Einfach anwendbar durch einheitliche Protokolle

    • Gut geeignet, um Kommunikation zu „Blocken“

  • ALFs beherrschen intelligente Datenfilterung

    • Portnummern sind nicht mehr aussagekräftig

    • Viele Angriffe finden auf Anwendungsebene statt

  • Sind ALFs eine 100%ige Schutzmöglichkeit?

    • FW ist blind gegen clientseitige Verschlüsselung

    • Intelligentere „FW-Hacks“ wie z.B. VPN over SSL

http://foo.de/vpn.pl?data=[VPNProtokoll]


Security roadmap
Security Roadmap

Heute

H1 04

H2 04

Zukunft

  • Erweiterter Support

  • Monatliche Patch Releases

  • Basis-Sicherheits-richtlinien

  • Aufbau einer Community

  • SMS 2003

  • Windows XP SP2 mit verbessertemPatching

  • SUS 2.0

  • Microsoft Update

  • Breitentrainings

  • ISA Server 2004 Standard Edition

  • Windows Server 2003 SP1 mit neuen Sicherheits-technologien

  • Next generation inspection

  • ISA Server 2004 Enterprise Edition

  • NGSCB Windows hardening

  • WeiterführendeSicherheits-technologienauf BS-Level


Die richtigen schritte zu effizienter sicherheit

Implementierung einer Patchmanagement-Strategie

Standardisierung der Serverplattform auf Windows Server 2003

Upgrade der Laptops & Remote Systeme auf Windows XP

Erstellung eines Security Plans

Durchführung eines Security Audits

Die richtigen Schritte zu effizienter Sicherheit


Literatur
Literatur

  • Windows Sicherheit – Das Praxisbuch Weltner, Wilke, Schneidererschienen bei Microsoft Press

  • Writing Secure Code – 2Michael Howard, David LeBlancerscheinen bei Microsoft PressBill Gates: „Required reading at Microsoft“


Links
Links

  • Neuer Security Bulletin Release Prozess:http://www.microsoft.com/technet/security/bulletin/revsbwp.asp

  • Security Bulletins:http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/

  • Schweizer Security Webseite:http://www.microsoft.com/switzerland/de/security

  • Leitfaden zur Sicherheitspatch-Verwaltunghttp://www.microsoft.com/germany/ms/technetdatenbank/showArticle.asp?siteid=600262

  • ISA Server 2004 Beta Webseitehttp://www.microsoft.com/isaserver/beta/default.asp



ad