PROAKTIVE SICHERHEIT 1

PROAKTIVE SICHERHEITPRÄSENTATION VON LUKAS SULZER

PROAKTIVE SICHERHEIT2

IN DIESEM REFERAT ERFAHREN SIE:

•mit welchen Methoden Sie Sicherheitsprobleme vorbeugen können

•wie Sie die Sicherheit Ihrer in Betrieb befindlichen Client/Server-System testen

•welche Möglichkeiten für die Sicherheit von Netzwerkkomponenten existieren

PROAKTIVE SICHERHEIT3

DEFENSIVE PROGRAMMIERUNG• Vermeidung von Fehlern

• ermöglicht u.a. die gefürchteten Buffer-Overflow-Angriffe

• Sicherheit ihrer Programme positiv beeinflussen

• Skripting

• viele Probleme und Falscheingaben von Benutzern vorwegzunehmen

• Prinzip der minimalen Rechte

• Zugriff auf nötigen Ressourcen erhalten

PROAKTIVE SICHERHEIT4

GEHÄRTETE BETRIEBSSYSTEME•Non-Executable-Stack• Code auf dem Stack gar nicht ausgeführt wird

• Das Betriebssystem prüft grundsätzlich den Code vor dem Ausführen

•Nur benötigte Services• nicht benötigte Services deaktivieren

•Appliances• Ist das Hardware- Äquivalent zum Deaktivieren von

Services

PROAKTIVE SICHERHEIT5

VULNERABILITY ASSESSMENT

•Wie sicher sind ihre Client/Server-Systeme

wirklich?

• Schwachstellen in Systemen

• Hacker für seine Zwecke ausnutzen könnte

•Gängige Praxis zur Überprüfung selbst eine Attacke zu starten

• erkennen der Sicherheitslücken

PROAKTIVE SICHERHEIT6

… FORTSETZUNG

• verwendeten Scanner können wie folgt eingeteilt werden:

• Data-Link Sniffer (Layer 2)

• der IP-Scanner (Layer 3)

• der Port-Scanner (Layer 4)

• ein Password-Recovery-Tool (Layer 6)

• Applikation-Scanner (Layer 7)

• Remote-Control-Tools

7

…FORTSETZUNG

•kommerzielle und Open-Source-Produkte

• gleiche Software Netz schützen

•Ergebnisse konkrete Aussage

• Tests aktuell

PROAKTIVE SICHERHEIT

PROAKTIVE SICHERHEIT8

AKTIVE SICHERHEIT VON NETZWERKKOMPONENTEN

•Wie sicher sind ihre Netzwerkkomponenten wirklich?

• umfassende Sicherheitspolitik muss sich auch der lokalen Netzinfrastruktur

• Switche, Access-Points, Multilayerswitche, Router,…

•Dieser Sicherheitskontext beinhaltet:

• den Infrastruktur-Device-Zugriff

• die lokale Switching-Infrastruktur

• die lokale Routing-Infrastruktur

• die Komponenten-Verfügbarkeit und –Sicherheit

PROAKTIVE SICHERHEIT9

INFRASTRUKTUR-DEVICE-ZUGRIFF• Folgende Funktionen stehen ihnen zur Verfügung:

• Zugriff auf das Device bei fehlerhafter Eingabe terminieren bzw. Sitzung automatisch bei Inaktivität unterbrechen

• Den administrativen Zugriff auf das Gerät

• Administrative Rechte für verschiedene Administratoren festlegen

• Die Kommunikationsverbindung über das SSL/HTTPS-Protokoll verschlüsseln

• Die Protokollierung aller administrativen Zugriffe auf die Komponente

PROAKTIVE SICHERHEIT10

LOKALE SWITCHING-INFRASTRUKTUR

•Ein Switch flutet Multicast- und Broadcast-Frames auf allen Ports

•Bildung von VLANs Problem einschränken

• Dies erfordert:

• Aufteilung des Userverkehrs in mehreren VLANS,

• Begrenzung des VLANs auf einen Switch oder Switch-Stack,

• Reduzierung des Multicast-Verkehrs durch Nutzung von IGMP (Internet Group Management Protocol)

11

DIE LOKALE ROUTING-INFRASTRUKTUR

• Nutzung des sicheren Routingprotokolls OSPF (Open Shortest Path First)

Anstelle von RIP (Routing Information Protocoll)

• Deaktivieren der Routing-Updates an den User-Ports

• Authentifizierung der dynamischen Routing-Updates von den Nachbar-Routern

PROAKTIVE SICHERHEIT

PROAKTIVE SICHERHEIT12

DIE KOMPONENTEN-VERFÜGBARKEIT UND –SICHERHEIT

• Jeder Prozess, der inaktiv ist, ist ein potenzielles Risiko weniger

• Protokolle und Hardware, die eine Verfügbarkeit garantieren sind:

• Redundante Netzteile bei systemkritischen Komponenten,

• Redundante Switch/Router-Hardware,

• Redundante physikalische Verbindung

• Redundante Routingprotokolle

VIELEN DANK FÜR EURE

AUFMERKSAMKEIT