1 / 44

Sichere Netze – Konzepte und Herausforderungen

Sichere Netze – Konzepte und Herausforderungen. Institut für Kommunikationstechnik Universität Hannover, 22. Nov. 2006 Dr. Stephan Rupp Stephan.Rupp@kontron.com. Agenda. Sichere Systeme – Einführung Bedrohungen Schutzmassnahmen Die eigenen 4 Wände (Perimeterschutz) Identitätsnachweise

jorden-kent
Download Presentation

Sichere Netze – Konzepte und Herausforderungen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Sichere Netze – Konzepte und Herausforderungen Institut für KommunikationstechnikUniversität Hannover, 22. Nov. 2006Dr. Stephan RuppStephan.Rupp@kontron.com

  2. Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze

  3. Sichere Systeme – ganz abstrakt • Verfügbarkeit (Availability): • Anwendungen bzw. Dienste sollten für autorisierte Nutzer jederzeit verfügbar sein • Angriffe auf die Systemverfügbarkeit müssen verhindert oder abgewehrt können (Lastabwehr, Denial of Service, schädliche Software) • Nicht jede Software ist vertrauenswürdig! • Lösungen: Redundanz, Kapselung und Sicherheitsmodell (Rollen, Rechte und Pflichten definieren, umsetzen und einfordern) • Integrität (Integrity): • Information sollte nicht verfälscht sein • Angriffe: Identitätsdiebstahl; manipulierte Daten • Lösungen: Prüfsummen, Signatur • Vertraulichkeit (Confidentiality): • Information sollte nicht unerwünscht an Dritte gelangen (z.B. Fernmeldegeheimnis, Schutz personenbezogener Daten, firmenvertrauliche Daten) • Angriffe: Mithören, „Datendiebstahl“ • Lösungen: Zugangskontrolle, Authentisierung, Verschlüsselung CIA (für die Fans von Eselsbrücken)

  4. Sicherheitskonzepte Redundanz Kapselung Autorisierung Prüfsummen/ Signaturen Verfügbarkeit Vertraulichkeit Integrität

  5. Was ist Kapselung (Encapsulation)? Bob in einer unsicheren Umgebung Alice in einer sicheren Umgebung

  6. Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze

  7. Schreibtisch (zuhause oder im Geschäft) ? ? 1. Alle bekannten Probleme aus dem Internet Mobile Dienste: unterwegs und überall dabei 2. Und vieles mehr: • Bewegungsprofile • persönliche Daten • neue Verbreitungsmöglichkeiten für Schädlinge Vom Schreibtisch in die Westentasche – die Probleme wandern mit

  8. Mithören A B • Passive Angriffe • Mithören • Passwörter ausspionieren • Datenklau • Identitätsdiebstahl • Verhaltenmuster und Nutzer-profile erstellen • bleiben völlig unbemerkt Funktechnologien sind leicht zu belauschen! A B • Aktive Angriffe • Eingriff in die Kommunikation • Manipulation von Daten • Verbindung entführen • Boykott (Denial of Service) Manipulation • Geräte manipulieren (Daten stehlen, Malware, Vandalismus) • mit falscher Identität agieren • Übertölpeln von Nutzern (z.B. Passwörter stehlen) • Was kann mir passieren?

  9. Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze

  10. Öffentliches oder fremdes Netz = nicht vertrauens-würdig Eigenes Netz = vertrauenswürdig Vorsicht vor Hintertüren! Verhaltensregeln

  11. Stadttor Firewall Die eigenen 4 Wände = Zugangskontrolle von Aussen und Innen

  12. Vorraum: Marktplatz und Lobby Mehrstufige Kapselung OSI . . . Burg Falkenstein, Luftbild von Westen

  13. Vorraum Öffentliche Angebote werden in einen Vorraum ausgelagert Vorraum

  14. ? Was nun? An der Firewall vorbei ins Intranet Mobile Geräte: USB-Sticks, Händis, Laptops & Co • Gefahren: • Viren rein • Daten raus

  15. beglaubigtes Dokument Identitätsnachweise und Ursprungsnachweise Autorität (Ida) Dokument Nutzer (Alice) Identitäts-nachweis • Identitätsnachweise: • Geheimnis (“Ich weiss was”, z.B. UserID/Passwort, ...) • Token (“Ich hab was”, z.B. Ausweis, Chipkarte, ...) • Biometrische Merkmale (“ich bins”)

  16. Zertifikat Ida Alice Zertifikate Öffentlicher Schlüssel Autorität (Ida) Nutzer (Alice) Identitäts-nachweis Zertifikat: Ida beglaubigt, dass dieser Schlüssel Alice gehört.

  17. Nutzung von Zertifikaten Ursprungsnachweise für • Dokumente (digitale Signatur, verschlüsselte Dokumente) • Software aus vertrauenswürdigen Quellen • signierte E-Mail (Vermeidung von Spam und Manipulation) Aufbau verschlüsselter Verbindungen • z.B. für Secure Socket Verbindungen (https, SSL) Identitätsnachweise für • Server bzw. Clients für verschlüsselte Verbindungen • RAS Token (Shared Key im Token) • Kabelmodems (personalisierte Auslieferung)

  18. Dokument Signatur des Dokumentes *) Zertifikat Ursprungsnachweis für Dokumente Bob (kennt Alice nicht) Ida Alice Alice Bob vertraut dem Zertifikat von Ida und kann prüfen, dass: • das Dokument von Alice stammt • das Dokument nicht manipuliert wurde *) Signatur: mit dem privaten Schlüssel von Alice verschlüsselte Prüfsumme des Dokumentes

  19. Anfrage: sichere Verbindung Zertifikat Ida Bank Session Key (verschlüsselt) Aufbau einer verschlüsselten Verbindung Nutzer Bank z.B. Homebanking mit SSL/HTTP Der Nutzer entnimmt dem Zertifikat den öffentlichen Schlüssel der Bank. Mit dem öffentlichen Schlüssel verschlüsselt er einen symetrischen Session Key, den er der Bank übermittelt. Der Session Key wird nun für den Austausch verschlüsselter Dokumente verwendet.

  20. Software Signatur Ida ? Alice Zertifikat Signierte Trojaner? Kapselung von Software Nur vertrauenswürdige Anwendungen erhalten Zugriff auf das System und seine Resourcen. Anwendung (ausführbarer Kode) Sandbox Betriebssystem Resourcen (Netz, Dateisystem, ...) Vertrauensbeweis durch ein Zertifikat: • Software stammt aus einer vertrauenswürdigen Quelle • Software wurde nicht manipuliert.

  21. Tickets bzw. Token als Eintrittskarte Für rollenbasierende Sicherheitskonzepte, z.B. Single-Sign-On, hochverfügbare Systeme, Ticket nur einmal gültig und verfällt

  22. Geheimniskrämerei

  23. Schlüssel und Schlüsselpaare Schnelle Verfahren, aber Verteilung der Schlüssel problematisch Langsam, aber Schlüsselverteilung gelöst

  24. Vertrauensbeziehungen bei Zertifikaten • Zertifikate nach dem X.509 Standard benötigen streng hierarchische Vertrauensbeziehungen. • Zertifikate nach PGP (bzw. GnuPG) sind da flexibler. • Was wären die Vorteile bzw. Nachteile im Vergleich der Verfahren?

  25. Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze Verfügbarkeit = Redundanz + Kapselung

  26. Was ist Redundanz? Department of Redundancy Department Office hours Mo – Fr: 8am – 5pm, 9am – 6pm Tu – Mo: 9am – 4pm

  27. Was ist Kapselung? Schutzwand (Perimeter, mit Zugangskontrolle) Drinnen = vertrauenswürdig Draussen = nicht vertrauenswürdig • Immunsystem: • Viruserkennung • Anti-Virus • Anti-Worm • Antibiotika (Reset) Mikrobe Kapselung = Perimeter-basierender Schutz (ein fundamentales Konzept und ganz alter Hut)

  28. Redundanz: Grundlagen • Reicht für Desktop-PCs (nicht wirklich hochverfügbar) Zu schützen: • Zustände (States) im Prozessor • Daten im Speicher Lösungen: • Zustände: Der Anwendungssoftware überlassen (z.B.Kapselung von Transaktionen, Jounal-Files) bzw. dem Anwender überlassen (zwischendurch manuell speichern) • Daten im Speicher: Back-ups storage processor Network

  29. RAID RAID Redundante Speicher • Reicht für kleine Netze (nicht wirklich hochverfügbar) Zu schützen: • Daten im Speicher Lösung: • Redundante Speichermedien (lokalel RAID bzw. Network Attached Storage mit RAID) • Back-ups server storage processor NAS Network client

  30. Doppelt genäht hält besser (2x Redundanz) • Reicht für Systeme mittlerer Grösse ohne Disaster-Recovery • Fail-Over bzw. Switch-Over für Wartung/Updates • Schutz vor instabiler bzw. bösartiger Software (Anwendung, OS, Middleware)? Systemarchitektur • Redundante Switches (Ethernet) • Redundante Prozessoren mit synchronisiertem Arbeitsspeicher • Redundanter Speicher • Gleicher Standort • Erweiterbar mit mehr Prozessoren und Speicher RAID RAID storage processor synch switch Network client

  31. „Mated-Pairs“ in TK-Netzen • Reicht für Systeme mittlerer Grösse ohne Disaster-Recovery • Netz unterstützt Fehlerpfade unterstützen • Schutz vor instabiler bzw. bösartiger Software? Systemarchitektur • Redundante Prozessoren mit redundantem Speicher • Netz unterstützt Fail-Over (Felhlerpfad wird vorkonfiguriert) • Spezialfall der 2N Redundanz • Wird teuer für viele Systeme (2N) storage processor Network (SS7) client

  32. RAID RAID DB Server (GbE/WAN) 1 M N 1 Switch Network Einer Extra: N+1 Redundanz • Konzept: Trennung der Daten von der Anwendung (Data Base Servers), Ausfall eines Prozessors/DB Servers ohne Datenverlust • Systeme mittlerer Grosse Systemarchitektur • Redundanter Speicher (RAID, persistente Daten) • M+1 redundante Datenbank-Server mit synchronisiertem Arbeitsspeicher • N+1 redundante Prozessoren • SW-Architektur auswärts skalierbar für grosse, verteilte Systeme Processor (GbE/WAN)

  33. F1 F2 F3 F4 Redundante Datenbanken Data Base Data Base Nodes Fragments F1 F2 F3 F4 (F4) (F1) (F2) (F3) N1 N2 N3 N4 Verteilte Datenbank • Fragmente definieren (F1, F2, …) • Fragmente den Data Base Nodes mit Spiegelfragmenten zuordnen (werden im Arbeitsspeicher synchronisiert) • DB Nodes (logische) auf Data Base Server (physikalisch) verteilen • M+1 Redundanz for DB Servers Allocate Nodes to Servers Data Base Servers N1 N2 F1 F2 (F4) (F1) F3 F4 (F2) (F3) N3 N4 Server 1 Server 2

  34. N+k Redundanz mit Speichernetzen • Reicht für grosse, verteilte Systeme mit höchster Verfügbarkeit • Anwendung/Watchdog benötigt für Recovery • Schutz vor instabiler bzw. bösartiger Software? Systemarchitektur • Redundante Speicher • Redundantes Datenbank Management System (DBMS) • Redundante Prozessoren • Geographische Redundanz über Hochgeschwindigkeitsnetze • Virtualisierung der Resourcen of (Speicher und Prozessor) • Unterstützt N+k für Prozessor, DBMS und Speicher RAID SAN fibre channel/WAN DBMS … 1 N GbE/WAN Processors (GbE/WAN) … M 1 Network

  35. Fibre Channel DWDM SDH Dark Fiber Database Server Database Server Database Server Database Server LAN LAN WAN Layer 2 Appl. Logic 1 e.g. HLR Appl. Logic x Appl. Logic 1 e.g. HLR Appl. Logic x Layer 3 Signaling Network (SS7, SIGTRAN) Beispiel: N+k Redundanz im Kernnetz WAN Site 1 Site 2 SAN SAN Layer 1 Fibre Channel

  36. Vergleich Redundanzkonzepte für TK Quelle: Flexinet Workshop, Dec. 2 2005, www.flexinet-ist.org

  37. Bedrohungen für verteilte virtuelle Systeme • Gleiche Gefahren wie für verteilte isolierte Systeme. • Das Potential für Schaden ist wesentlich höher (Verlust des kompletten Systems). Jedoch: • Kann für den Schutz viel mehr investiert werden als in isolierte Systeme.

  38. Sicherheitskonzept: Zugangskontrolle Departments/ Organisations define: Authentication Role Security Policy Functions Access rights Tasks Processes Role Processes Security Policy Security Policy Security Category . . . Desired Ressource . . . Role Security Policy Authorisation Access rights Functions Tasks Processes Processes Application / Ressource Security Policy

  39. How - should access be controlled ? - secure has communication to be ? - to reverse interventions ? - to log interventions ? How, how-long, where - should data be stored ? Richtlinien (Policies) What is used ? is accessible ? Security Policy Access rights to - IT services (applications, tools) - Data - Ressources (Subnetworks, disks, ...) Administrator rights Physical access to - plants and buildings - technical equipment ... Processes - Logging, recording of interventions Log Files, Tracking - Physical access Authentication, Monitoring, ... Registration, Deregistration, ... - Backup procedures - Roll Back methods ...

  40. Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze

  41. Geschäft Zu Hause unterwegs Zukünftige Netze Netze: • öffentliche Kommunikationsnetze (heute) • Heimnetze • Gebäude • industrielle Fertigung • Fahrzeuge Benutzer: • Leute (heute) • Maschinen • Geräte & Consumer Elektronik • Sensoren & Aktuatoren

  42. Entity Entity Entity Entity High-Availability Software Frameworks (z.B. Service Availability Forum) AMF (Appl. Mgmt. Framework & Services) Service Instance regular A1 Node Node AM Framework AM Services fail over A2 ? A1 B1 Service Group User (Application) Service Component A2 B2 Kapselung? Schutz vor böswilligen und fehlerhaften Anwendungen? Service Unit HPI (HW Platform IF, Out-of-Band, d.h. unabhängig vom Betriebssystem) 1 session Domain Mapping to ATCA, SNMP Resource Resource User (OSS/OS)

  43. Herausforderungen • Künftige Netzarchitekturen erfordern mehr Flexibilität • Kein starres Netzdesign • Offen für Erweiterungen und arbeitsteilige Dienstangebote • Virtualisierung der Resourcen (Arbeitsteilung, Grids) • Maschinen als Nutzer und hoher Grad der Selbstorganisation • Keine Einbussen bzgl. Sicherheit • Anwendungen verlangen Organisation der Daten • Vorraussetzungen: Identitätsmanagement, Kennzeichnungssystem, Verzeichnisdienste • Organisation von Redundanz und Schutzmassnahmen • Sicherheitskonzepte • Definieren und durchsetzen von Rollen, Rechten und Richtlinien • Hochverfügbarkeit = Redundanz + Kapselung (unsichere Umgebungen, nicht verlässliche Komponenten) • Kapselung von Anwendungssoftware? • Miniaturisierung (grosse Konzepte für kleine Systeme)?

  44. Vielen Dank für Ihre Aufmerksamkeit! Fragen? Kontakt: Stephan.Rupp@kontron.com Votrtragsunterlagen: http://www.srupp.de

More Related