1 / 42

Microsoft Sicherheitstechnologien

Microsoft Sicherheitstechnologien. Sven Thimm Björn Schneider Microsoft Senior Presales Consultant Senior Consultant IT-Security v-svthim@microsoft.com v-bschne@microsoft.com. Techlevel 200. Agenda. Das Securityproblem Patchmanagement Security Engineering Identity & Access Management

yoshio-castaneda
Download Presentation

Microsoft Sicherheitstechnologien

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. MicrosoftSicherheitstechnologien Sven Thimm Björn Schneider Microsoft Senior Presales Consultant Senior Consultant IT-Security v-svthim@microsoft.com v-bschne@microsoft.com Techlevel 200

  2. Agenda • Das Securityproblem • Patchmanagement • Security Engineering • Identity & Access Management • Perimeter Sicherheit • Security Roadmap

  3. Quelle: securityfocus.org, Stand: 07.02.2004 Das Security Problem Sicherheitskrise der Software-Branche

  4. Das Security Problem Social Engineering • Definition • Nichttechnisches Ausspähen von Informationen durch Kontakt zu den Informationsträgern • Sicherheitsvorkehrungen werden nicht auf technischer, sondern auf sozialer Ebene umgangen • Prevention • Schwachstelle Mensch (Trainings, Awareness) • Beseitigung von Prozessmängeln • Einsatz von geeigneten Technologien

  5. V = Verletzlichkeit Vulnerabilities, Exploits potentielle Angriffsfläche W = Wert der Beute Daten als Ware Ruhm, Anerkennung Anrichten von Schaden z.B. Verlust von Verfügbarkeit Das Security ProblemBewertung des Risikos • R = Risiko • Wahrscheinlichkeit • einer Kompromittierung • von Missbrauch • B = Bedrohung • Umgebung • Internet, LAN, Offline • Verbreitung des Systems R = B x V x W

  6. Usability & Features Security & Privacy Das Security ProblemSoftware Security Pendel • Einfache Benutzung • “Automagic” • Alle Features sind ON by default • Große Angriffsfläche • Out Of The Box Experience • Features • Attacks Marketing Mode

  7. Usability & Features Security & Privacy Das Security ProblemSoftware Security Pendel • Geringe “connectivity” • Viele Sicherheitsdialoge • Minimierte Angriffsfläche • Oft schwieriger zu benutzen • Nur schwer zu vermarkten Paranoid Mode

  8. Usability & Features Security & Privacy Das Security ProblemSoftware Security Pendel • Kleinere Angriffsfläche • Weniger Sicherheits-Dialoge, aber • Transparente Einstellung • Alles konfigurierbar • Sicher handhabbar! • Security & Privacy als Feature für den Anwender Optimum

  9. Patchmanagement

  10. PatchmanagementNeuer Zeitplan für Patches • Sicherheits-Patches monatlich • Patch-Paket an jedem 2. Dienstag im Monat • 13.01.04, 10.02.04, 09.03.04, 13.04.04, 11.05.04, … • Bessere Test- und Deployment Planung möglich • Patches als Gesamtpaket oder einzeln • Notfall-Patches (Exploit aufgetaucht) • Sofortige Bereitstellung des Patches • Verlängerter Sicherheits-Support (H1/04) • Windows 2000 SP2 • Windows NT4 Workstation SP6a

  11. PatchmanagementRating von Security Bulletins

  12. Patchmanagement Entstehung des Blaster Wurms 1. Juli 03 16. Juli 03 25. Juli 03 11. August 03 Bulletin & Patch verfügbar, bisher kein Angriff Schwachstelle entdeckt / Start der Patchentwicklung Angriffs-Codewird veröffentlicht Wurm infiziert die Welt Report • Schwachstelle in RPC/DDOM aufgedeckt • MS startet den höchsten Notfall-prozess Level Bulletin • MS03-026 wird an Kunden ausgeliefert • Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden Exploit • X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs-Tool • MS maximiert die Anstrengungen, alle Kunden zu informieren Wurm • Blaster Wurm entdeckt • Varianten und andere Viren schlagen gemeinsam zu (z.B. “SoBig”) Blaster zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwareherstellern und Hackern

  13. PatchmanagementTools und Technologien • Scanning Engines • Hfnetchk, MBSA, Office Inventory Tool • Einzelplatzlösung • Office Update • Windows Update, Automatic Update • Unternehmenslösungen • SUS 1.0 SP1 • SMS 2003 • Microsoft Solution for Management (MSM)

  14. Patchmanagement SUS 1.0: Übersicht WindowsUpdate Service WindowsUpdate Service • SUS Server prüft ob neue Aktualisierungen vorliegen Firewall • Administrator erteilt Freigabe für überprüfte Aktualisierungen BandbreitenPrüfung BandbreitenPrüfung • Freigegebene Updates werden mit untergeordneten SUS Servern synchronisiert UntergeordneterSUS Server • AU erhält freigegebene Aktualisierungsliste vom SUS Server SUS Server BandbreitenPrüfung • AU lädt freigegebene Aktualisierungen vom SUS Server herunter UntergeordneterSUS Server • AU informiert bzw. installiert das Update DEMOClient GPO • AU hält Installationshistorie fest

  15. PatchmanagementMicrosoft Update Microsoft Update Office Update Windows Update Windows Update Mitte 2004 Heute • Microsoft Update • Onlinedienst und Aktualisierung für die gesamte Microsoft Software • Basierend auf der SUS Infrastruktur • Integriert per Design:- automatisches Scannen- Installation der Aktualisierung- Berichtauswertung SMS SUS

  16. Preview SUS 2.0

  17. PatchmanagementSUS 2.0 • Unterstützung für zusätzliche MS Produkte • Office 2003, SQL Server 2000, Exchange Server • zusätzliche Unterstützung weiterer Produkte • Administrative Kontrolle • Möglichkeit der automatischen Deinstallation • Anpassung der Client Abfrageintervalle • Festlegen des Zeitpunktes bis Installation ausgeführt werden muss • Zusätzliche Regeln für automatische Installation

  18. PatchmanagementSUS 2.0 • Ausrollen & Zielbestimmung • Angepasste Synchronisation mit WU • z.B. alle WinXP Patches, aber keine Win2K Inhalte • Automatische Aktualisierung des SUS Clients • Statusprüfung der installierten Updates • Verbessertes Reporting • GUI Report-Tool sammelt den Aktualisierunsstatus per Computer-Group oder per Update

  19. PatchmanagementNeue Schutztechnologien • Windows XP SP2 • Verbesserte Firewall • Email und Browsing sicherer • Verbesserter Schutz gegen Buffer Overflows • Status: Beta, RTM ca. Sommer 2004 • Windows Server 2003 SP1 • Rollen-basierte Sicherheitskonfiguration • RAS Client Inspection (Quarantäne Technologie) • Locale Inspection bei Verbindungsaufbau im LAN • RTM evtl. Q4 2004

  20. PatchmanagementPatching vereinfachen Bis Sommer 2004: Nur noch 2 Patch Installer. Alle Patches verhalten sich gleich und sind gleich zu installieren (SUS 2.0, MSI 3.0) Patch Komplexität reduzieren Bis Sommer 2004: Durchgängige Patch-Rollback- Fähigkeit für Windows, SQL, Exchange, Office Patch-Risiko minimieren Bis Sommer 2004: 80% Reduktion der Grösse. (Delta patching Technologie, Optimierungen in MSI 3.0) Patch Grösse reduzieren Bis Sommer 2004: 30% weniger Reboots bei Win 2003 (mit SP1). Bis 70% Reduktion bei nächster Server-Generation Downtime reduzieren Bis Ende 2004: Alle Patches auf “MS Update”. Derzeit: SMS 2003 kann alle Patches für aktuelle MS Apps verteilen Patch Automation für alle Produkte

  21. 331 180 151 25 SQL Slammer Nimda Blaster Welchia/ Nachi PatchmanagementReaktionszeit • Exploits werden intelligenter • Zeitspanne zwischen Erscheinen des Patches und Auftreten eines Exploitssinkt • Traditionelle Software-verteilung zu zeitintensiv • Ansatz Patchmanagement reicht nicht • Neue Techniken müssen entwickelt werden Tage zwischen Patch und Angriff

  22. Security Engineering

  23. Security Engineering Threat Modeling • Klassischer Ansatz „Entwickler und Tester beweisen, dass ihre Anwendung unter verschiedensten Bedingungen funktioniert.“ • OK für „geschlossene“ Software-Systeme • Nicht OK für Systeme im Internet • “Threat modeling”  You need to think N ! • Anwendung “zerlegen” • Interfaces identifizieren (Sockets, Named Pipes) • Daten-Strukturen analysieren • Angriffspunkte durch Datenmutation penetrieren

  24. Security Engineering Fehler bei der Softwareentwicklung • Buffer Overruns • Was kann passieren? •  Bluescreen •  System wird instabil Debugging??? •  Angreifer injiziert bösen Code und ist Admin! Ein Buffer Ein paar Daten Pack sie zusammen { Hope there’s nothing of interest here!

  25. Security Engineering Das “Türkisch-İ Problem” • Im Türkischen gibt es 4 Buchstaben für “I” • i (U+0069) I (U+0049) ı (U+0131) İ (U+0130) • Im Türkischen UC ("file") == FİLE İ // Do not allow "FILE://" URLs if(url.ToUpper().Left(4) == "FILE") return ERROR; getStuff(url);  // Only allow "HTTP://" URLs if(url.ToUpper(CultureInfo.InvariantCulture).Left(4) == "HTTP") getStuff(url); else return ERROR; 

  26. Identity Management

  27. Client UNIX App Non-AD Directory Identity & Access Management Überblick Wireless LAN RADIUS VPN Gateway LAN Email Datenbank Application Server File Server Web Server Intranet Portal Firewall Meta Directory Active Directory

  28. Perimeter Sicherheit

  29. Perimeter SicherheitFirewall-Technologien • Static-Packet-Filtering (PF) • Älteste und einfachste Firewall-Technologie • Statische Analyse der Network- und Transport-Header • Hoher Datendurchsatz durch einfache Paketanalysen • Wenig Schutz bei komplexen Konfigurationen! • Keine Zuordnung von Antworten zu ihren Anfragen • Probleme bei Auswertung von fragmentierten Paketen

  30. Perimeter SicherheitFirewall-Technologien • Stateful-Packet-Filtering (SPF) • Firewall verwaltet Sitzungstabelle aller Anfragen • Antworten dürfen nur nach Anfrage passieren • Komplexe Protokolle verwenden dynamische Ports • FTP Zugriffe (PASV u. PORT), Voice-over-IP, RPC, u.v.m. • SPF können die Steuerinformationen auswerten • Primäre und sekundäre Verbindung bilden eine Sitzung • Automatisches Hinzufügen von dynamischen Paketfiltern möglich

  31. Perimeter SicherheitFirewall-Technologien • Was bedeutet heutzutage TCP Port 80? • Laut iana.org : „Hypertext Transfer Protokoll“ • In der Realität : „Universal Firewall Bypass Protokoll“ • Viele Unternehmen haben „Port 80“ an ihrer Firewall geöffnet • Viele Anwendungen tunneln ihre Daten über Port 80/HTTP • Wie kann man dann die Protokollintegrität sicherstellen? • Einsatz von Application-Layer-Filtering (ALF) • Umsetzung als protokollspezifischer Proxy-Server • Umsetzung als transparente Datenstromfilter

  32. Perimeter Sicherheit ALF Funktionalitäten (HTTP) • Filterung anhand von Informationen wie… • Hostheader  gibt Auskunft über das Ziel • Dateiendung  gibt Auskunft über den Datentyp • Benutzerkennung, User-Agent, Mime-Type • protokollspezifischer Befehle • PUT, DELETE, MOVE, OPTIONS, PROPFIND, POLL, … • Filterung von bekannten Angriffssignaturen • URL Encoding Probleme, Folder Traversal Bugs • /scripts/..%255c../winnt/system32/cmd.exe?/c+… • Buffer Overruns in eingesetzten Webserver • /default.ida?xxxxxxxxx…xxxxxxxxx+SHELLCODE

  33. Perimeter Sicherheit ISA Server 2004 • Künftige Firewall-, VPN- und Cache-Lösung • Status: Beta 2 (englisch und deutsch) • Stateful- und Application-Layer-Filterung • ALF: HTTP, SMTP, FTP, DNS, POP3, RPC… • Deep Content Inspection • Erweitert VPN Dienst von Windows Server • VPN- und Quarantänenetzwerke • Multi-Networking Support • Verbesserte GUI

  34. ISA Server 2004

  35. Perimeter SicherheitVergleich ISA Server 2004 vs. 2000

  36. Perimeter Sicherheit Fazit der Filterungstechnologien • Paketfilter sind Mittel zur groben Datenfilterung • Einfach anwendbar durch einheitliche Protokolle • Gut geeignet, um Kommunikation zu „Blocken“ • ALFs beherrschen intelligente Datenfilterung • Portnummern sind nicht mehr aussagekräftig • Viele Angriffe finden auf Anwendungsebene statt • Sind ALFs eine 100%ige Schutzmöglichkeit? • FW ist blind gegen clientseitige Verschlüsselung • Intelligentere „FW-Hacks“ wie z.B. VPN over SSL http://foo.de/vpn.pl?data=[VPNProtokoll]

  37. Security Roadmap Heute H1 04 H2 04 Zukunft • Erweiterter Support • Monatliche Patch Releases • Basis-Sicherheits-richtlinien • Aufbau einer Community • SMS 2003 • Windows XP SP2 mit verbessertemPatching • SUS 2.0 • Microsoft Update • Breitentrainings • ISA Server 2004 Standard Edition • Windows Server 2003 SP1 mit neuen Sicherheits-technologien • Next generation inspection • ISA Server 2004 Enterprise Edition • NGSCB Windows hardening • WeiterführendeSicherheits-technologienauf BS-Level

  38. Implementierung einer Patchmanagement-Strategie Standardisierung der Serverplattform auf Windows Server 2003 Upgrade der Laptops & Remote Systeme auf Windows XP Erstellung eines Security Plans Durchführung eines Security Audits Die richtigen Schritte zu effizienter Sicherheit

  39. Literatur • Windows Sicherheit – Das Praxisbuch Weltner, Wilke, Schneidererschienen bei Microsoft Press • Writing Secure Code – 2Michael Howard, David LeBlancerscheinen bei Microsoft PressBill Gates: „Required reading at Microsoft“

  40. Links • Neuer Security Bulletin Release Prozess:http://www.microsoft.com/technet/security/bulletin/revsbwp.asp • Security Bulletins:http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/ • Schweizer Security Webseite:http://www.microsoft.com/switzerland/de/security • Leitfaden zur Sicherheitspatch-Verwaltunghttp://www.microsoft.com/germany/ms/technetdatenbank/showArticle.asp?siteid=600262 • ISA Server 2004 Beta Webseitehttp://www.microsoft.com/isaserver/beta/default.asp

  41. Ihr Potenzial. Unser Antrieb.

More Related