Zentrales Management der Netzwerksicherheit im Unternehmensnetz Klaus P. Steinbrecher © 2008 KPS...

Bedrohungen im Netzwerk◦ Innere Bedrohungen◦ Äußere Bedrohungen

Abwehr äußerer Bedrohungen Policy Manager

◦ Vorläufer von Policy Managern◦ Nachteile der bisherigen Tools◦ Zukünftige Entwicklung von Policy Managern◦ Nicht zu erwartende Entwicklungen

08.12.2008Klaus P. Steinbrecher© 2008 KPS Consulting LLC 2

Innere Bedrohungen◦ Unerlaubter Datenzugriff durch Mitarbeiter◦ Überhöhte administrative Rechte◦ Racheakte

Äußere Bedrohungen◦ Neugier◦ Vandalismus◦ Wirtschaftsspionage◦ Erpressung


Innere Bedrohungen basieren meist nicht auf Schadsoftware (Malware) oder technischen Zugriffen, sondern Verletzungen von logischen Zugriffsberechtigungen

Ein Eindringen ins Netzwerk ist nicht notwendig

Technische Lösungen (signaturbasierte Erkennung von Malware am Gateway, technische Blockaden durch Firewalls) fallen als Lösungsansätze aus


Einzige technische Gegenmittel für innere Bedrohungen sind nicht im Netzwerk, sondern am lokalen System:◦ Deaktivierung aller nicht notwendigen

Schnittstellen◦ Einschränkung der administrativen Rechte◦ Einschränkung der erlaubten Programme

Diese Gegenmittel können zentral über Group Policies gesteuert werden, dies wird aber meist vernachlässigt


Gegen Innere Bedrohungen helfen vorwiegend organisatorische Maßnahmen im Netzwerk

◦ Saubere Netzwerkarchitektur◦ Konsequente Rechteverwaltung◦ Konsequente Password Policy◦ Auditing aller Zugriffe◦ Sofortige Reaktion bei unerlaubten Zugriffen


Bisherige Art der Äußeren Bedrohungen◦ Viren◦ Würmer◦ Denial of Service Angriffe

Bisherige Zielsetzung der Äußeren Bedrohungen◦ Schnelle Verbreitung◦ Zugriffsblockade


Bisherige Reaktion gegen Äußere Bedrohungen

◦ Abschirmung des Netzwerks nach außen durch Firewalls und Intrusion Detection Systeme (IDS)

◦ Malware-Erkennung am Server (z.B. Mail-Gateway)

◦ Signaturbasierte Erkennung von Schadsoftware (Malware)

◦ Client-Systeme waren meist nicht gesichert


Urheber der Äußeren Bedrohungen in den letzten fünf Jahren:◦ Wandlung von Vandalismus und Profilierungssucht

(Einzelgänger) zur organisierten Kriminalität (finanzkräftige Organisationen)

◦ Internationalisierung und Globalisierung◦ Größere finanzielle Ressourcen für die

Entwicklung von Schadsoftware (Malware)◦ Nahezu unlimitierte technische und personelle

Ressourcen für die Entwicklung von Malware◦ „Wettrüsten“ zwischen Malware-Industrie und IT


Konsequenzen des Wettrüstens

◦ Lawinenartige Zunahme von Malware-Varianten

◦ „Blended Threats“

◦ Malware-Signaturen verlieren an Wirksamkeit

◦ Extrem kurze Reaktionszeiten (Zero Day Exploits)


Änderung der Zielsetzung

◦ Zielsetzung ist die Erlangung von Daten, die finanziellen Gewinn versprechen, nicht mehr die Zerstörung von Daten

◦ Dazu müssen Programme lokal installiert werden, welche die Daten finden und absenden


Änderung des Eindringens◦ Anwender müssen lokal ein Schadprogramm

installieren◦ Nach der Installation des ersten Programms

können andere herunter geladen und installiert werden

◦ Eine Firewall (selbst mit Stateful Inspection) verhindert das nicht, da die Verbindung aus dem Netz heraus aufgebaut wird

◦ Am besten geeignet sind Webseiten und E-Mail

08.12.2008Klaus P. Steinbrecher, KPS Consulting LLC 12

Konsequenzen für das Ausführen von Programmen

◦ Administrative Rechte zur Installation von Software auf Clients müssen eingeschränkt werden können

◦ Es muss möglich sein, White Lists und Black Lists zu verwalten, die das Ausführen von Programmen, Skripten usw. erlauben oder sperren


Konsequenzen für die Kommunikation von Programmen

◦ Abhängig von den installierten Programmen darf ein System nur über bestimmte Ports und Protokolle kommunizieren

◦ Dazu ist die Installation und Konfiguration einer lokalen Firewall auf jedem System im Netzwerk notwendig


Auswirkungen auf die Netzwerkadministration◦ Statt wenigen Firewalls sind Tausende zu

konfigurieren◦ Dazu müssen, ähnlich wie Group Policies im

Directory, Firewall Policies für die Firewalls erstellt werden

◦ Dies kann nur durch zentrale Tools, sogenannte Policy Manager, geschehen


Vorläufer von Policy Managern◦ Bisher gab es bereits zentrale Konsolen z.B. für

die Konfiguration und die Signatur-Updates von Virenscannern

◦ Firewalls konnten bisher in eingeschränktem Umfang z.B. durch Group Policies konfiguriert werden

◦ Die Ausführung von Programmen konnte bisher auch durch Group Policies gesteuert werden


Nachteile der bisherigen Tools◦ Security-relevante Einstellungen wurden auf vielen

verschiedenen System und Konsolen verwaltet◦ Die meisten Produkte waren nicht Betriebssystem-

übergreifend◦ Integration mit Verzeichnisdiensten war mangelhaft◦ System-Patches wurden nicht verwaltet◦ Reporting war mangelhaft◦ Granularität war nicht ausreichend


Zukünftige Entwicklung von Policy Managern

◦ Zentrale Konsolen für die Verteilung von Security Patches und Signatur-Updates

◦ Administration von Security Patches, Firewalls, Virenscannern in derselben Konsole

◦ Integration mit Verzeichnisdiensten◦ Umfassendes Reporting◦ Unterstützung mehrerer Betriebssysteme


Nicht zu erwartende Entwicklungen

◦ Wegfall der Firewalls am Netzwerk-Perimeter

◦ Wegfall der Virenscanner an den verschiedenen Gateways (E-Mail, Groupware, Intranet)

◦ Kombination der Abwehr von Inneren Bedrohungen und Äußeren Bedrohungen


Klaus P. Steinbrecher, MBA MCDBA, MCITP, MCSE:Security, MCT

KPS Consulting LLC [email protected]

http://www.kpsconsulting.org

Mobil: +49-(0)172-820-0417 Fax: +1-505-212-0438


Zentrales Management der Netzwerksicherheit im Unternehmensnetz Klaus P. Steinbrecher © 2008 KPS...

Documents

Transcript of Zentrales Management der Netzwerksicherheit im Unternehmensnetz Klaus P. Steinbrecher © 2008 KPS...