440 likes | 629 Views
Sichere Netze – Konzepte und Herausforderungen. Institut für Kommunikationstechnik Universität Hannover, 22. Nov. 2006 Dr. Stephan Rupp Stephan.Rupp@kontron.com. Agenda. Sichere Systeme – Einführung Bedrohungen Schutzmassnahmen Die eigenen 4 Wände (Perimeterschutz) Identitätsnachweise
E N D
Sichere Netze – Konzepte und Herausforderungen Institut für KommunikationstechnikUniversität Hannover, 22. Nov. 2006Dr. Stephan RuppStephan.Rupp@kontron.com
Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze
Sichere Systeme – ganz abstrakt • Verfügbarkeit (Availability): • Anwendungen bzw. Dienste sollten für autorisierte Nutzer jederzeit verfügbar sein • Angriffe auf die Systemverfügbarkeit müssen verhindert oder abgewehrt können (Lastabwehr, Denial of Service, schädliche Software) • Nicht jede Software ist vertrauenswürdig! • Lösungen: Redundanz, Kapselung und Sicherheitsmodell (Rollen, Rechte und Pflichten definieren, umsetzen und einfordern) • Integrität (Integrity): • Information sollte nicht verfälscht sein • Angriffe: Identitätsdiebstahl; manipulierte Daten • Lösungen: Prüfsummen, Signatur • Vertraulichkeit (Confidentiality): • Information sollte nicht unerwünscht an Dritte gelangen (z.B. Fernmeldegeheimnis, Schutz personenbezogener Daten, firmenvertrauliche Daten) • Angriffe: Mithören, „Datendiebstahl“ • Lösungen: Zugangskontrolle, Authentisierung, Verschlüsselung CIA (für die Fans von Eselsbrücken)
Sicherheitskonzepte Redundanz Kapselung Autorisierung Prüfsummen/ Signaturen Verfügbarkeit Vertraulichkeit Integrität
Was ist Kapselung (Encapsulation)? Bob in einer unsicheren Umgebung Alice in einer sicheren Umgebung
Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze
Schreibtisch (zuhause oder im Geschäft) ? ? 1. Alle bekannten Probleme aus dem Internet Mobile Dienste: unterwegs und überall dabei 2. Und vieles mehr: • Bewegungsprofile • persönliche Daten • neue Verbreitungsmöglichkeiten für Schädlinge Vom Schreibtisch in die Westentasche – die Probleme wandern mit
Mithören A B • Passive Angriffe • Mithören • Passwörter ausspionieren • Datenklau • Identitätsdiebstahl • Verhaltenmuster und Nutzer-profile erstellen • bleiben völlig unbemerkt Funktechnologien sind leicht zu belauschen! A B • Aktive Angriffe • Eingriff in die Kommunikation • Manipulation von Daten • Verbindung entführen • Boykott (Denial of Service) Manipulation • Geräte manipulieren (Daten stehlen, Malware, Vandalismus) • mit falscher Identität agieren • Übertölpeln von Nutzern (z.B. Passwörter stehlen) • Was kann mir passieren?
Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze
Öffentliches oder fremdes Netz = nicht vertrauens-würdig Eigenes Netz = vertrauenswürdig Vorsicht vor Hintertüren! Verhaltensregeln
Stadttor Firewall Die eigenen 4 Wände = Zugangskontrolle von Aussen und Innen
Vorraum: Marktplatz und Lobby Mehrstufige Kapselung OSI . . . Burg Falkenstein, Luftbild von Westen
Vorraum Öffentliche Angebote werden in einen Vorraum ausgelagert Vorraum
? Was nun? An der Firewall vorbei ins Intranet Mobile Geräte: USB-Sticks, Händis, Laptops & Co • Gefahren: • Viren rein • Daten raus
beglaubigtes Dokument Identitätsnachweise und Ursprungsnachweise Autorität (Ida) Dokument Nutzer (Alice) Identitäts-nachweis • Identitätsnachweise: • Geheimnis (“Ich weiss was”, z.B. UserID/Passwort, ...) • Token (“Ich hab was”, z.B. Ausweis, Chipkarte, ...) • Biometrische Merkmale (“ich bins”)
Zertifikat Ida Alice Zertifikate Öffentlicher Schlüssel Autorität (Ida) Nutzer (Alice) Identitäts-nachweis Zertifikat: Ida beglaubigt, dass dieser Schlüssel Alice gehört.
Nutzung von Zertifikaten Ursprungsnachweise für • Dokumente (digitale Signatur, verschlüsselte Dokumente) • Software aus vertrauenswürdigen Quellen • signierte E-Mail (Vermeidung von Spam und Manipulation) Aufbau verschlüsselter Verbindungen • z.B. für Secure Socket Verbindungen (https, SSL) Identitätsnachweise für • Server bzw. Clients für verschlüsselte Verbindungen • RAS Token (Shared Key im Token) • Kabelmodems (personalisierte Auslieferung)
Dokument Signatur des Dokumentes *) Zertifikat Ursprungsnachweis für Dokumente Bob (kennt Alice nicht) Ida Alice Alice Bob vertraut dem Zertifikat von Ida und kann prüfen, dass: • das Dokument von Alice stammt • das Dokument nicht manipuliert wurde *) Signatur: mit dem privaten Schlüssel von Alice verschlüsselte Prüfsumme des Dokumentes
Anfrage: sichere Verbindung Zertifikat Ida Bank Session Key (verschlüsselt) Aufbau einer verschlüsselten Verbindung Nutzer Bank z.B. Homebanking mit SSL/HTTP Der Nutzer entnimmt dem Zertifikat den öffentlichen Schlüssel der Bank. Mit dem öffentlichen Schlüssel verschlüsselt er einen symetrischen Session Key, den er der Bank übermittelt. Der Session Key wird nun für den Austausch verschlüsselter Dokumente verwendet.
Software Signatur Ida ? Alice Zertifikat Signierte Trojaner? Kapselung von Software Nur vertrauenswürdige Anwendungen erhalten Zugriff auf das System und seine Resourcen. Anwendung (ausführbarer Kode) Sandbox Betriebssystem Resourcen (Netz, Dateisystem, ...) Vertrauensbeweis durch ein Zertifikat: • Software stammt aus einer vertrauenswürdigen Quelle • Software wurde nicht manipuliert.
Tickets bzw. Token als Eintrittskarte Für rollenbasierende Sicherheitskonzepte, z.B. Single-Sign-On, hochverfügbare Systeme, Ticket nur einmal gültig und verfällt
Schlüssel und Schlüsselpaare Schnelle Verfahren, aber Verteilung der Schlüssel problematisch Langsam, aber Schlüsselverteilung gelöst
Vertrauensbeziehungen bei Zertifikaten • Zertifikate nach dem X.509 Standard benötigen streng hierarchische Vertrauensbeziehungen. • Zertifikate nach PGP (bzw. GnuPG) sind da flexibler. • Was wären die Vorteile bzw. Nachteile im Vergleich der Verfahren?
Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze Verfügbarkeit = Redundanz + Kapselung
Was ist Redundanz? Department of Redundancy Department Office hours Mo – Fr: 8am – 5pm, 9am – 6pm Tu – Mo: 9am – 4pm
Was ist Kapselung? Schutzwand (Perimeter, mit Zugangskontrolle) Drinnen = vertrauenswürdig Draussen = nicht vertrauenswürdig • Immunsystem: • Viruserkennung • Anti-Virus • Anti-Worm • Antibiotika (Reset) Mikrobe Kapselung = Perimeter-basierender Schutz (ein fundamentales Konzept und ganz alter Hut)
Redundanz: Grundlagen • Reicht für Desktop-PCs (nicht wirklich hochverfügbar) Zu schützen: • Zustände (States) im Prozessor • Daten im Speicher Lösungen: • Zustände: Der Anwendungssoftware überlassen (z.B.Kapselung von Transaktionen, Jounal-Files) bzw. dem Anwender überlassen (zwischendurch manuell speichern) • Daten im Speicher: Back-ups storage processor Network
RAID RAID Redundante Speicher • Reicht für kleine Netze (nicht wirklich hochverfügbar) Zu schützen: • Daten im Speicher Lösung: • Redundante Speichermedien (lokalel RAID bzw. Network Attached Storage mit RAID) • Back-ups server storage processor NAS Network client
Doppelt genäht hält besser (2x Redundanz) • Reicht für Systeme mittlerer Grösse ohne Disaster-Recovery • Fail-Over bzw. Switch-Over für Wartung/Updates • Schutz vor instabiler bzw. bösartiger Software (Anwendung, OS, Middleware)? Systemarchitektur • Redundante Switches (Ethernet) • Redundante Prozessoren mit synchronisiertem Arbeitsspeicher • Redundanter Speicher • Gleicher Standort • Erweiterbar mit mehr Prozessoren und Speicher RAID RAID storage processor synch switch Network client
„Mated-Pairs“ in TK-Netzen • Reicht für Systeme mittlerer Grösse ohne Disaster-Recovery • Netz unterstützt Fehlerpfade unterstützen • Schutz vor instabiler bzw. bösartiger Software? Systemarchitektur • Redundante Prozessoren mit redundantem Speicher • Netz unterstützt Fail-Over (Felhlerpfad wird vorkonfiguriert) • Spezialfall der 2N Redundanz • Wird teuer für viele Systeme (2N) storage processor Network (SS7) client
RAID RAID DB Server (GbE/WAN) 1 M N 1 Switch Network Einer Extra: N+1 Redundanz • Konzept: Trennung der Daten von der Anwendung (Data Base Servers), Ausfall eines Prozessors/DB Servers ohne Datenverlust • Systeme mittlerer Grosse Systemarchitektur • Redundanter Speicher (RAID, persistente Daten) • M+1 redundante Datenbank-Server mit synchronisiertem Arbeitsspeicher • N+1 redundante Prozessoren • SW-Architektur auswärts skalierbar für grosse, verteilte Systeme Processor (GbE/WAN)
F1 F2 F3 F4 Redundante Datenbanken Data Base Data Base Nodes Fragments F1 F2 F3 F4 (F4) (F1) (F2) (F3) N1 N2 N3 N4 Verteilte Datenbank • Fragmente definieren (F1, F2, …) • Fragmente den Data Base Nodes mit Spiegelfragmenten zuordnen (werden im Arbeitsspeicher synchronisiert) • DB Nodes (logische) auf Data Base Server (physikalisch) verteilen • M+1 Redundanz for DB Servers Allocate Nodes to Servers Data Base Servers N1 N2 F1 F2 (F4) (F1) F3 F4 (F2) (F3) N3 N4 Server 1 Server 2
N+k Redundanz mit Speichernetzen • Reicht für grosse, verteilte Systeme mit höchster Verfügbarkeit • Anwendung/Watchdog benötigt für Recovery • Schutz vor instabiler bzw. bösartiger Software? Systemarchitektur • Redundante Speicher • Redundantes Datenbank Management System (DBMS) • Redundante Prozessoren • Geographische Redundanz über Hochgeschwindigkeitsnetze • Virtualisierung der Resourcen of (Speicher und Prozessor) • Unterstützt N+k für Prozessor, DBMS und Speicher RAID SAN fibre channel/WAN DBMS … 1 N GbE/WAN Processors (GbE/WAN) … M 1 Network
Fibre Channel DWDM SDH Dark Fiber Database Server Database Server Database Server Database Server LAN LAN WAN Layer 2 Appl. Logic 1 e.g. HLR Appl. Logic x Appl. Logic 1 e.g. HLR Appl. Logic x Layer 3 Signaling Network (SS7, SIGTRAN) Beispiel: N+k Redundanz im Kernnetz WAN Site 1 Site 2 SAN SAN Layer 1 Fibre Channel
Vergleich Redundanzkonzepte für TK Quelle: Flexinet Workshop, Dec. 2 2005, www.flexinet-ist.org
Bedrohungen für verteilte virtuelle Systeme • Gleiche Gefahren wie für verteilte isolierte Systeme. • Das Potential für Schaden ist wesentlich höher (Verlust des kompletten Systems). Jedoch: • Kann für den Schutz viel mehr investiert werden als in isolierte Systeme.
Sicherheitskonzept: Zugangskontrolle Departments/ Organisations define: Authentication Role Security Policy Functions Access rights Tasks Processes Role Processes Security Policy Security Policy Security Category . . . Desired Ressource . . . Role Security Policy Authorisation Access rights Functions Tasks Processes Processes Application / Ressource Security Policy
How - should access be controlled ? - secure has communication to be ? - to reverse interventions ? - to log interventions ? How, how-long, where - should data be stored ? Richtlinien (Policies) What is used ? is accessible ? Security Policy Access rights to - IT services (applications, tools) - Data - Ressources (Subnetworks, disks, ...) Administrator rights Physical access to - plants and buildings - technical equipment ... Processes - Logging, recording of interventions Log Files, Tracking - Physical access Authentication, Monitoring, ... Registration, Deregistration, ... - Backup procedures - Roll Back methods ...
Agenda • Sichere Systeme – Einführung • Bedrohungen • Schutzmassnahmen • Die eigenen 4 Wände (Perimeterschutz) • Identitätsnachweise • Geheimniskrämerei • Hochverfügbare Systeme • Herausforderungen für künftige Netze
Geschäft Zu Hause unterwegs Zukünftige Netze Netze: • öffentliche Kommunikationsnetze (heute) • Heimnetze • Gebäude • industrielle Fertigung • Fahrzeuge Benutzer: • Leute (heute) • Maschinen • Geräte & Consumer Elektronik • Sensoren & Aktuatoren
Entity Entity Entity Entity High-Availability Software Frameworks (z.B. Service Availability Forum) AMF (Appl. Mgmt. Framework & Services) Service Instance regular A1 Node Node AM Framework AM Services fail over A2 ? A1 B1 Service Group User (Application) Service Component A2 B2 Kapselung? Schutz vor böswilligen und fehlerhaften Anwendungen? Service Unit HPI (HW Platform IF, Out-of-Band, d.h. unabhängig vom Betriebssystem) 1 session Domain Mapping to ATCA, SNMP Resource Resource User (OSS/OS)
Herausforderungen • Künftige Netzarchitekturen erfordern mehr Flexibilität • Kein starres Netzdesign • Offen für Erweiterungen und arbeitsteilige Dienstangebote • Virtualisierung der Resourcen (Arbeitsteilung, Grids) • Maschinen als Nutzer und hoher Grad der Selbstorganisation • Keine Einbussen bzgl. Sicherheit • Anwendungen verlangen Organisation der Daten • Vorraussetzungen: Identitätsmanagement, Kennzeichnungssystem, Verzeichnisdienste • Organisation von Redundanz und Schutzmassnahmen • Sicherheitskonzepte • Definieren und durchsetzen von Rollen, Rechten und Richtlinien • Hochverfügbarkeit = Redundanz + Kapselung (unsichere Umgebungen, nicht verlässliche Komponenten) • Kapselung von Anwendungssoftware? • Miniaturisierung (grosse Konzepte für kleine Systeme)?
Vielen Dank für Ihre Aufmerksamkeit! Fragen? Kontakt: Stephan.Rupp@kontron.com Votrtragsunterlagen: http://www.srupp.de