290 likes | 429 Views
Sicherheit in vernetzten Systemen. Prof. Dr. Eduard Heindl, Heindl Internet AG, Tübingen Prof. für eBusiness Technologie, FH-Furtwangen. Die Heindl Internet AG. Gründung 1995, AG seit 2000 Content Management Programmierung Internetauftritte Beratung Schulung Portale. www.heindl.de.
E N D
Sicherheit in vernetzten Systemen Prof. Dr. Eduard Heindl, Heindl Internet AG, Tübingen Prof. für eBusiness Technologie, FH-Furtwangen
Die Heindl Internet AG • Gründung 1995, AG seit 2000 • Content Management • Programmierung • Internetauftritte • Beratung • Schulung • Portale www.heindl.de
Bastion Host Digitale Signatur Intrusion Detection Notstrom Versorgung Demilitarisierte Zone DMZ Kontrolle am Eingang Kein Hintereingang Nicht einsehbar 2. Firewall Port mit Fallgitter Stabile Plattform Tunnel? Bildquelle: http://www.donjon.de/glossar/b/burgen_uebersicht.htm
Was ist anders? • Schnelligkeit > Virenausbreitung • Volumen > 50GBit/s (DDOS auf yahoo) • Softwarearchitektur > Einheitliches BS • Anwenderwissen > über 50% Webuser • Feinde > nicht nur „Hacker“
Die Informationsschichten • Physikalische Schicht • Leitungen • WLAN • Netzwerk • ISDN • TCP/IP • Application • HTTP • HTML • JAVA • Mail
Physikalische Schicht • WLAN – Wireless LAN • Funkübertragung -> kann ausserhalb abgehört werden • Wardriving im Großraum Stuttgart brachte erschreckende Resultate • Default Einstellung der Systeme ist „unverschlüsselt“ • 128Bit Verschlüsselung ist relativ sicher http://www.bsi.bund.de/literat/doc/wlan/wlan.pdf
WLAN Maßnahmen • Ändern Sie das Passwort • Ändern Sie den Adress-Bereich • Setzen Sie einen SSID* Namen • Schalten Sie das SSID Broadcast ab • Setzen Sie MAC-Filter • Schalten Sie die WEP*-Verschlüsselung ein *Service Set Identifier *Wired Equivalent Privacy http://www.gowireless.ch/wirelesssicherheit.html
ISDN • ISDN wird irrtümlich von vielen als sicher eingeschätzt • ISDN sendet alle Daten in Klartext über die Leitung und (Richt-) Funkstrecken • ISDN Erlaubt über die Telefonanlage vielfältige Angriffe • Verschlüsseltes ISDN ist möglich
ISDN schützen ElcroDat
TCP/IP4.0 • IP 4.0 kennt keine protokolleigene Verschlüsselung • IP 6.0 kann verschlüsselt arbeiten, ist aber nicht verbreitet • Probleme IP 4.0 • Protokoll mit vielen Angriffspunkten • Implementierung nicht fehlerfrei • Filter erfordern Erfahrung
Firewall Internet Filtert auf Paket und Dienstebene
Konfiguration Firewall • Voraussetzung ist ein genaues Wissen um die Schutzbedürfnisse • Paketfilter anhand Absender Empfänger • Dienstefilter auf TCP Ebene (Port) • Contentfilter • Erfordert Proxy • Virenschutz zentral • Spam-Mailfilter • KISS Keep It Simple and Stupid
Digitale Signatur • Eine eindeutige Identifikation ist nur mit einer digitalen Signatur möglich! • Authentifikation • Nichtabstreitbare Kommunikation • Verschlüsselung möglich • Veränderungen können erkannt werden • Schlüssellänge min 1024Bit
Probleme bei Signaturen • Endkunden besitzen keine Signatur • Herausgeber der Signaturen sind nicht etabliert • Signaturen für Server werden häufig fasch eingesetzt -> Fehlermeldung im Browser • Abstumpfung der Nutzer • Signaturen verlieren ihren Wert
Tunnel Signaturen und VPN
Trojaner • Gefährdung durch versteckte Funktionen • Aufbau eines Mailrelais • FTP-Zugang • Webserver • Dailer • Alle Funktionen, die Software zur Verfügung stellen kann
Bekämpfung Trojaner • Keine unbekannte Software installieren • Bekannte Trojaner können durch Virenschutzprogramme entfernt werden • Neue (alte?) Trojaner können eine Ruhezeit haben • Digitale Signatur von Software erforderlich • Problem: Alte Software unter WinXP wird zurückgewiesen -> Abstumpfung
Spam Mail • 25% der US Bürger wollen E-Mailnutzung einschränken, Grund Spam! • Belästigung durch Inhalt • Belästigung durch Zeitverlust • Gefahr des Übersehens von relevanter Mail • Überlastung von Mailboxen möglich
Spam Bekämpfung • Hauptquelle von Mailadressen ist das WWW • Eigene Adresse nicht publizieren • Adresse nur als Bild publizieren • mailto Funktion entfernen • Filter • Klassische Filter scheitern an Tricks • Zu scharfe Filter entfernen gewünschte Mails • Zentrale Filtersysteme: cloudmark.com
Spam Quelltext <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=iso-8859-1"> <META content="MSHTML 6.00.2800.1264" name=GENERATOR></HEAD> <BODY><B>Von:</B> Lina Huerta [linahuertaqj@ipactive.de]<BR><B>Gesendet:</B> Dienstag, 28. Oktober 2003 19:24<BR><B>An:</B> eduard@heindl.de<BR><B>Betreff:</B> -'th*e da^y has com"e.. qtugrxdplxlvn<BR> <CENTER><FONT face=verdana size=+3>T<KBRAFGDOENAEK>he on<KUZHWKPMDJARG>ly sol<KXDTJVDBAQDJF>utio<KUAVCYICWDSREYT>n t<KEUHOZMCHBGDM>o P<KNTOUOJCFPTUKQ>en<KPQOQHQCZKZR>is E<KRSOQKPCZZVBIW>nl<KLMXPBGBVLSD>arge<KBJXNTQXBOGINBT>ment</FONT> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=iso-8859-1"> <META content="MSHTML 6.00.2800.1264" name=GENERATOR></HEAD> <BODY><B>Von:</B> Lina Huerta [linahuertaqj@ipactive.de]<BR><B>Gesendet:</B> Dienstag, 28. Oktober 2003 19:24<BR><B>An:</B> eduard@heindl.de<BR><B>Betreff:</B> -'th*e da^y has com"e.. qtugrxdplxlvn<BR> <CENTER><FONT face=verdana size=+3>T<KBRAFGDOENAEK>heon<KUZHWKPMDJARG>ly sol<KXDTJVDBAQDJF>utio<KUAVCYICWDSREYT>n t<KEUHOZMCHBGDM>o P<KNTOUOJCFPTUKQ>en<KPQOQHQCZKZR>is E<KRSOQKPCZZVBIW>nl<KLMXPBGBVLSD>arge<KBJXNTQXBOGINBT>ment</FONT>
Kreuzungen • Spam Mail mit Trojaner • W32.Sober Mailtext: Neue Variante vom Sobig Wurm im Netz aufgetaucht!Sie müssen Ihre Einstellung so ändern, das bei Ihnen der Wurm nicht mehrlauffähig ist. Wie das geht, entnehmen Sie bitte dem Anhang. Der Wurm selbst ist als ausführbare Datei (z.B. .exe, .pif, .scr) angefügt. Quelle: domainfactory.de
Der Browser • Die Schnittstelle des Endbenutzers • Integration sehr unterschiedlicher Fähigkeiten • Probleme • Datenschutz • Plugins • Fake-Pages
Ein kleiner Test • Was sieht der Server? http://www.anti-trojan.net/at.asp?l=de&t=publicinfos • Browsercheck http://www.heise.de/ct/browsercheck/demos.shtml
Test bei Anti-Trojan Alle Ports geschlossen
Was tun? • Konfiguration des Browsers vornehmen • Keine unbekannte Software annehmen • Eigene Daten nur angeben, wenn ausreichender Datenschutz vereinbart ist • Keine Passworte in ungeschützten Verbindungen eingeben • Keine internen Passworte im Web verwenden
Vielen Dank für Ihre Aufmerksamkeit Vortrag steht ab 1.11.03 unter heindl.de/eduard-heindl