PROAKTIVE SICHERHEIT PRÄSENTATION VON LUKAS SULZER 1PROAKTIVE SICHERHEIT.
-
Upload
amal-schiffbauer -
Category
Documents
-
view
108 -
download
2
Transcript of PROAKTIVE SICHERHEIT PRÄSENTATION VON LUKAS SULZER 1PROAKTIVE SICHERHEIT.
PROAKTIVE SICHERHEIT 1
PROAKTIVE SICHERHEITPRÄSENTATION VON LUKAS SULZER
PROAKTIVE SICHERHEIT2
IN DIESEM REFERAT ERFAHREN SIE:
•mit welchen Methoden Sie Sicherheitsprobleme vorbeugen können
•wie Sie die Sicherheit Ihrer in Betrieb befindlichen Client/Server-System testen
•welche Möglichkeiten für die Sicherheit von Netzwerkkomponenten existieren
PROAKTIVE SICHERHEIT3
DEFENSIVE PROGRAMMIERUNG• Vermeidung von Fehlern
• ermöglicht u.a. die gefürchteten Buffer-Overflow-Angriffe
• Sicherheit ihrer Programme positiv beeinflussen
• Skripting
• viele Probleme und Falscheingaben von Benutzern vorwegzunehmen
• Prinzip der minimalen Rechte
• Zugriff auf nötigen Ressourcen erhalten
PROAKTIVE SICHERHEIT4
GEHÄRTETE BETRIEBSSYSTEME•Non-Executable-Stack• Code auf dem Stack gar nicht ausgeführt wird
• Das Betriebssystem prüft grundsätzlich den Code vor dem Ausführen
•Nur benötigte Services• nicht benötigte Services deaktivieren
•Appliances• Ist das Hardware- Äquivalent zum Deaktivieren von
Services
PROAKTIVE SICHERHEIT5
VULNERABILITY ASSESSMENT
•Wie sicher sind ihre Client/Server-Systeme
wirklich?
• Schwachstellen in Systemen
• Hacker für seine Zwecke ausnutzen könnte
•Gängige Praxis zur Überprüfung selbst eine Attacke zu starten
• erkennen der Sicherheitslücken
PROAKTIVE SICHERHEIT6
… FORTSETZUNG
• verwendeten Scanner können wie folgt eingeteilt werden:
• Data-Link Sniffer (Layer 2)
• der IP-Scanner (Layer 3)
• der Port-Scanner (Layer 4)
• ein Password-Recovery-Tool (Layer 6)
• Applikation-Scanner (Layer 7)
• Remote-Control-Tools
7
…FORTSETZUNG
•kommerzielle und Open-Source-Produkte
• gleiche Software Netz schützen
•Ergebnisse konkrete Aussage
• Tests aktuell
PROAKTIVE SICHERHEIT
PROAKTIVE SICHERHEIT8
AKTIVE SICHERHEIT VON NETZWERKKOMPONENTEN
•Wie sicher sind ihre Netzwerkkomponenten wirklich?
• umfassende Sicherheitspolitik muss sich auch der lokalen Netzinfrastruktur
• Switche, Access-Points, Multilayerswitche, Router,…
•Dieser Sicherheitskontext beinhaltet:
• den Infrastruktur-Device-Zugriff
• die lokale Switching-Infrastruktur
• die lokale Routing-Infrastruktur
• die Komponenten-Verfügbarkeit und –Sicherheit
PROAKTIVE SICHERHEIT9
INFRASTRUKTUR-DEVICE-ZUGRIFF• Folgende Funktionen stehen ihnen zur Verfügung:
• Zugriff auf das Device bei fehlerhafter Eingabe terminieren bzw. Sitzung automatisch bei Inaktivität unterbrechen
• Den administrativen Zugriff auf das Gerät
• Administrative Rechte für verschiedene Administratoren festlegen
• Die Kommunikationsverbindung über das SSL/HTTPS-Protokoll verschlüsseln
• Die Protokollierung aller administrativen Zugriffe auf die Komponente
PROAKTIVE SICHERHEIT10
LOKALE SWITCHING-INFRASTRUKTUR
•Ein Switch flutet Multicast- und Broadcast-Frames auf allen Ports
•Bildung von VLANs Problem einschränken
• Dies erfordert:
• Aufteilung des Userverkehrs in mehreren VLANS,
• Begrenzung des VLANs auf einen Switch oder Switch-Stack,
• Reduzierung des Multicast-Verkehrs durch Nutzung von IGMP (Internet Group Management Protocol)
11
DIE LOKALE ROUTING-INFRASTRUKTUR
• Nutzung des sicheren Routingprotokolls OSPF (Open Shortest Path First)
Anstelle von RIP (Routing Information Protocoll)
• Deaktivieren der Routing-Updates an den User-Ports
• Authentifizierung der dynamischen Routing-Updates von den Nachbar-Routern
PROAKTIVE SICHERHEIT
PROAKTIVE SICHERHEIT12
DIE KOMPONENTEN-VERFÜGBARKEIT UND –SICHERHEIT
• Jeder Prozess, der inaktiv ist, ist ein potenzielles Risiko weniger
• Protokolle und Hardware, die eine Verfügbarkeit garantieren sind:
• Redundante Netzteile bei systemkritischen Komponenten,
• Redundante Switch/Router-Hardware,
• Redundante physikalische Verbindung
• Redundante Routingprotokolle
VIELEN DANK FÜR EURE
AUFMERKSAMKEIT