1.0
Transcription
1.0
Der Feind in meiner Tasche Firewallkonzepte vs. Mobile Geräte Kristian Köhntopp [email protected] Copyright ©2003 by NetUSE AG 1 Der Feind in meiner Tasche • Aufgaben und Positionierung von Firewalls – Traditionelle Sicht auf das Netzwerk • Neue Gefährdungen – Wie sieht ein aktuelles Netz wirklich aus? • Konsequenzen – Neue Angriffe • Neue Sicherungsmaßnahmen – Wie kann sich eine Installation gegen diese Angriffe zur Wehr setzen? Copyright ©2003 by NetUSE AG 2 Aufgaben und Leistungen einer Firewall • Choke Point – Trennt Zonen • unterschiedlicher Administration • unterschiedlicher Sicherheitslevels „ Böses“ Internet „ Gutes“ Intranet Das ist nicht die Wahrheit! – Ist Meßpunkt • Art, Menge und Gültigkeit von Netzverkehr ? Trust Boundary Copyright ©2003 by NetUSE AG 3 Trust Boundary • Feste Grenzlinie – „ dort hört die Firma auf“ • Aller Verkehr passiert die Trust Boundary – Prüfung auf Legalität – Dekontamination – Zentrales Verzeichnis aller Außenkommunikation – Zentrale Administration der Kommunikation Copyright ©2003 by NetUSE AG 4 Strukturierung der Kommunikation • Firewall als Strukturbildner – Abtrennung von Bereichen unterschiedlicher • Gefährdung • Funktion • Wichtigkeit Dialup DMZ Server Intranet DMZ (Dienste für Internet) ExtranetKontakte Idealbild - auch nicht die Wahrheit... Copyright ©2003 by NetUSE AG 5 Die wahre Netzwerktopologie • Bedürfnis nach Flexibilität • Aufweichung der Grenzen – VPN Tunnel – „ virtuelle“ VPNs ??? WaveLAN GPRS, UMTS VPN • ssh Tunnel + Citrix/VNC – Geräte Im-/Export – Wireless Techniken • GPRS, WLAN, Bluetooth Copyright ©2003 by NetUSE AG VPN „ Böses“ Internet „ Gutes“ Turnschuh- Intranet Netzwerk Näher an der Realität 6 Tunnel und andere Löcher I • VPN Tunnel – offizielle Löcher – Endpunkte authentisiert – Kommunikation verschlüsselt – Endpunkte sind effektiv Rechner im LAN DSL ungeschützt • aber: Standort außerhalb der Firewall! • VPN Client nur sinnvoll mit Firewall und Integritätsprüfung! Copyright ©2003 by NetUSE AG 7 Tunnel und andere Löcher II • Selbstbau-VPN Tunnel io.example.com – ssh • -L 8080:10.11.12.13:80 • -l <user> • io.example.com – „ Logge Dich auf io.example.com als User ein“ – Tunnele die lokale 8080 an 10.11.12.13, Port 80 – „ Mache das Intranet von draußen zugänglich“ Copyright ©2003 by NetUSE AG ssh http ssh http 80 808 0 10.11.12.13 8 Tunnel und andere Löcher III • „ Protokoll in Protokoll“ – SOAP • „ HTTP is a very RPC-like protocol that is simple, widely deployed, and more likely to function in the face of firewalls than any other protocol known to man.“ (http://msdn.microsoft.com/msdnmag/issues/0300/soap/default.aspx) • POST /string_server/Object17 HTTP/1.1 Host: 209.110.197.2 Content-Type: text/xml Content-Length: 152 SOAPMethodName: urn:strings-com:IString#reverse <Envelope> <Body> <m:reverse xmlns:m='urn:strings-com:IString'> <theString>Hello, World</theString> </m:reverse> </Body> </Envelope> Copyright ©2003 by NetUSE AG 9 Mobile Geräte I • Typische Probleme: – Backup? – Update? – Software-Installation? • Welche Geräte gehören zu meinem Administrationsbereich? • Laptop • Palm + Palm Sized PC • Mobiltelefon – Java – Windows CE? • USB Stick – Wann sind sie da? – Wo waren sie inzwischen? – Sind sie kontaminiert? Copyright ©2003 by NetUSE AG 10 Mobile Geräte II • „ Der Mitarbeiter hat sich SQL-Slammer auf dem Laptop zu Hause eingefangen und die Infektion nicht bemerkt.“ • „ Das Gerät war im Suspend, der SQLSlammer noch aktiv. Im Firmennetz ist das Gerät aufgewacht, hat eine neue IP per DHCP bekommen, und dann von dort das Firmennetz infiziert.“ Copyright ©2003 by NetUSE AG 11 Spontane Vernetzung I • Mobiltelefone sind universell und datenfähig • Je restriktiver die Firewall, desto wahrscheinlicher kommt es zu spontaner Vernetzung an der Firewall vorbei. IRDA GPRS, UMTS – „ Wenn das Attachment wieder nicht durch den Viruswall kommt, lade ich das eben kurz über das Handy. Stell es mal schnell auf Deinen Webserver.“ -- Bei einem Kunden mitgehört Copyright ©2003 by NetUSE AG 12 Spontane Vernetzung II • With a hand-held scanner, researchers were able to pick up information from company wireless networks by simply driving around the streets of London. • The research identified that 63 per cent of the networks surveyed were left on default configuration, which clearly identifying the company owning the data and where it was coming from. WLAN „ Access Point? Laptop und WLAN-Karte reichen aus.“ – http://theregister.co.uk/content /55/29337.html, 18-Feb-2003 Copyright ©2003 by NetUSE AG 13 U-Boote und Trojaner I • Spyware – Unterhaltungsprogramme – Grußkarten – P2P FilesharingProgramme • aber: – Druckertreiber??? – Mehr und mehr Komponenten melden Daten zurück an den Hersteller. Copyright ©2003 by NetUSE AG „ Nach Hause telefonieren“ – „ In einer 'Erklärung', die während der Treiberinstallation für einen DeskJetDrucker angezeigt wird, beansprucht der Hersteller Hewlett-Packard die 'Eigentumsrechte' an den Verbrauchsund Statusdaten des Druckers. 'Der Drucker übermittelt in regelmäßigen Abständen Status- und Verbrauchsinformationen an Hewlett-Packard', heißt es in der Erklärung.“ -- (http://www.heise.de/newsticker/data/ tig-15.02.03-001/) 14 • Aktiver Content – an unerwarteten Stellen: • Mail mit Javascript • Mobiltelefone mit Java und Active-X • Unerwartete Funktionalität – Mobiltelefone mit Kamera • in Umkleideräumen? • Deshalb hat die Firma "Physical", die in Hongkong eine Kette von Fitness-Studios betreibt, nun ein Handy-Verbot für ihre Umkleideräume erlassen - aus Angst, Kunden zu verlieren. "Wenn jemand [...] ein Foto macht und es ins Internet stellt, ist das nicht besonders gut für unsere Mitglieder und ihre Privatsphäre", kommentierte die Firmensprecherin Mira Chan gegenüber Reuters. – Copyright ©2003 by NetUSE AG http://www.heise.de/tp/deutsch/inhalt/ te/14077/1.html 15 Mobile Sicherheit I • Inventar- und Aktivitätskontrolle – Welche Geräte sind in meinem Netz aktiv? – Was machen die? – Ist das (noch) normal? Copyright ©2003 by NetUSE AG • Netzwerkkomponenten überwachen – MAC-Binding – Arp-Watch • Oder gleich ein IDS: – Netzwerkaktivität überwachen 16 Mobile Sicherheit II • Überwachung von Geräten, die aus dem Netz entfernbar sind: – Anwendungsintegrität – Ausführungskontrolle • Auch disconnected! • IDS + lokaler Systemsensor – Black ICE Defender • Oder gleich TCPA – nur signierte Programme können ausgeführt werden – Entscheidend (wie bei jedem Kryptosystem): • Wer kontrolliert die Schlüssel? Copyright ©2003 by NetUSE AG 17 Sind Firewalls überflüssig? • Sind Firewalls überflüssig? – Definitiv nein. • Sind Firewalls ausreichend? – Definitiv immer weniger. • Strategiewechsel: – „ Defense in depth.“ Copyright ©2003 by NetUSE AG • Strategie für die nächsten Jahre: – Jede Maschine muß sich selbst verteidigen können. – Dennoch muß das ganze Setup zentral administriert werden können. – All das muß auch funktionieren, wenn die Geräte vorübergehend aus dem Netz entfernt 18 werden.