Post on 06-Apr-2015
Zentrales Management der Netzwerksicherheit im UnternehmensnetzKlaus P. Steinbrecher© 2008 KPS Consulting LLC
Bedrohungen im Netzwerk◦ Innere Bedrohungen◦ Äußere Bedrohungen
Abwehr äußerer Bedrohungen Policy Manager
◦ Vorläufer von Policy Managern◦ Nachteile der bisherigen Tools◦ Zukünftige Entwicklung von Policy Managern◦ Nicht zu erwartende Entwicklungen
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 2
Innere Bedrohungen◦ Unerlaubter Datenzugriff durch Mitarbeiter◦ Überhöhte administrative Rechte◦ Racheakte
Äußere Bedrohungen◦ Neugier◦ Vandalismus◦ Wirtschaftsspionage◦ Erpressung
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 3
Innere Bedrohungen basieren meist nicht auf Schadsoftware (Malware) oder technischen Zugriffen, sondern Verletzungen von logischen Zugriffsberechtigungen
Ein Eindringen ins Netzwerk ist nicht notwendig
Technische Lösungen (signaturbasierte Erkennung von Malware am Gateway, technische Blockaden durch Firewalls) fallen als Lösungsansätze aus
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 4
Einzige technische Gegenmittel für innere Bedrohungen sind nicht im Netzwerk, sondern am lokalen System:◦ Deaktivierung aller nicht notwendigen
Schnittstellen◦ Einschränkung der administrativen Rechte◦ Einschränkung der erlaubten Programme
Diese Gegenmittel können zentral über Group Policies gesteuert werden, dies wird aber meist vernachlässigt
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 5
Gegen Innere Bedrohungen helfen vorwiegend organisatorische Maßnahmen im Netzwerk
◦ Saubere Netzwerkarchitektur◦ Konsequente Rechteverwaltung◦ Konsequente Password Policy◦ Auditing aller Zugriffe◦ Sofortige Reaktion bei unerlaubten Zugriffen
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 6
Bisherige Art der Äußeren Bedrohungen◦ Viren◦ Würmer◦ Denial of Service Angriffe
Bisherige Zielsetzung der Äußeren Bedrohungen◦ Schnelle Verbreitung◦ Zugriffsblockade
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 7
Bisherige Reaktion gegen Äußere Bedrohungen
◦ Abschirmung des Netzwerks nach außen durch Firewalls und Intrusion Detection Systeme (IDS)
◦ Malware-Erkennung am Server (z.B. Mail-Gateway)
◦ Signaturbasierte Erkennung von Schadsoftware (Malware)
◦ Client-Systeme waren meist nicht gesichert
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 8
Urheber der Äußeren Bedrohungen in den letzten fünf Jahren:◦ Wandlung von Vandalismus und Profilierungssucht
(Einzelgänger) zur organisierten Kriminalität (finanzkräftige Organisationen)
◦ Internationalisierung und Globalisierung◦ Größere finanzielle Ressourcen für die
Entwicklung von Schadsoftware (Malware)◦ Nahezu unlimitierte technische und personelle
Ressourcen für die Entwicklung von Malware◦ „Wettrüsten“ zwischen Malware-Industrie und IT
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 9
Konsequenzen des Wettrüstens
◦ Lawinenartige Zunahme von Malware-Varianten
◦ „Blended Threats“
◦ Malware-Signaturen verlieren an Wirksamkeit
◦ Extrem kurze Reaktionszeiten (Zero Day Exploits)
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 10
Änderung der Zielsetzung
◦ Zielsetzung ist die Erlangung von Daten, die finanziellen Gewinn versprechen, nicht mehr die Zerstörung von Daten
◦ Dazu müssen Programme lokal installiert werden, welche die Daten finden und absenden
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 11
Änderung des Eindringens◦ Anwender müssen lokal ein Schadprogramm
installieren◦ Nach der Installation des ersten Programms
können andere herunter geladen und installiert werden
◦ Eine Firewall (selbst mit Stateful Inspection) verhindert das nicht, da die Verbindung aus dem Netz heraus aufgebaut wird
◦ Am besten geeignet sind Webseiten und E-Mail
08.12.2008Klaus P. Steinbrecher, KPS Consulting LLC 12
Konsequenzen für das Ausführen von Programmen
◦ Administrative Rechte zur Installation von Software auf Clients müssen eingeschränkt werden können
◦ Es muss möglich sein, White Lists und Black Lists zu verwalten, die das Ausführen von Programmen, Skripten usw. erlauben oder sperren
08.12.2008Klaus P. Steinbrecher, KPS Consulting LLC 13
Konsequenzen für die Kommunikation von Programmen
◦ Abhängig von den installierten Programmen darf ein System nur über bestimmte Ports und Protokolle kommunizieren
◦ Dazu ist die Installation und Konfiguration einer lokalen Firewall auf jedem System im Netzwerk notwendig
08.12.2008Klaus P. Steinbrecher, KPS Consulting LLC 14
Auswirkungen auf die Netzwerkadministration◦ Statt wenigen Firewalls sind Tausende zu
konfigurieren◦ Dazu müssen, ähnlich wie Group Policies im
Directory, Firewall Policies für die Firewalls erstellt werden
◦ Dies kann nur durch zentrale Tools, sogenannte Policy Manager, geschehen
08.12.2008Klaus P. Steinbrecher, KPS Consulting LLC 15
Vorläufer von Policy Managern◦ Bisher gab es bereits zentrale Konsolen z.B. für
die Konfiguration und die Signatur-Updates von Virenscannern
◦ Firewalls konnten bisher in eingeschränktem Umfang z.B. durch Group Policies konfiguriert werden
◦ Die Ausführung von Programmen konnte bisher auch durch Group Policies gesteuert werden
08.12.2008Klaus P. Steinbrecher, KPS Consulting LLC 16
Nachteile der bisherigen Tools◦ Security-relevante Einstellungen wurden auf vielen
verschiedenen System und Konsolen verwaltet◦ Die meisten Produkte waren nicht Betriebssystem-
übergreifend◦ Integration mit Verzeichnisdiensten war mangelhaft◦ System-Patches wurden nicht verwaltet◦ Reporting war mangelhaft◦ Granularität war nicht ausreichend
08.12.2008Klaus P. Steinbrecher, KPS Consulting LLC 17
Zukünftige Entwicklung von Policy Managern
◦ Zentrale Konsolen für die Verteilung von Security Patches und Signatur-Updates
◦ Administration von Security Patches, Firewalls, Virenscannern in derselben Konsole
◦ Integration mit Verzeichnisdiensten◦ Umfassendes Reporting◦ Unterstützung mehrerer Betriebssysteme
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 18
Nicht zu erwartende Entwicklungen
◦ Wegfall der Firewalls am Netzwerk-Perimeter
◦ Wegfall der Virenscanner an den verschiedenen Gateways (E-Mail, Groupware, Intranet)
◦ Kombination der Abwehr von Inneren Bedrohungen und Äußeren Bedrohungen
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 19
Klaus P. Steinbrecher, MBA MCDBA, MCITP, MCSE:Security, MCT
KPS Consulting LLC ksteinbrecher@kpsconsulting.org
http://www.kpsconsulting.org
Mobil: +49-(0)172-820-0417 Fax: +1-505-212-0438
08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 20