Embed Size (px)
Citation preview
10/2003
Andreas Ißleiber
S
DPZ
SPAM
SPAM
Andreas Iß[email protected]
1.) SPAM1.) SPAM
2.) Sicherheit in Netzen2.) Sicherheit in Netzen
3.) Sicherheit im FunkLAN3.) Sicherheit im FunkLAN
1.) SPAM1.) SPAM
2.) Sicherheit in Netzen2.) Sicherheit in Netzen
3.) Sicherheit im FunkLAN3.) Sicherheit im FunkLAN
2
SPAM 10/2003
Andreas Ißleiber
Was ist SPAM ?• Unverlangt zugeschickte eMails
• Der Begriff: Spam, eine Kurzform für "Spiced Pork And Meat", bezeichnet ein rechteckiges und in Dosen gepreßtes Frühstücksfleisch. (Sketch der britischen Komiker Monty Pyton)
• UCE der korrekte Begriff (Unsolicited Commercial E-Mail) UBE (Unsolicited Bulk E-Mail )
• 2,5 Mrd. Euro Produktivitätsverlust in 2002 für Unternehmen in der EU
• Starkes Interesse der Provider an Vermeidung von SPAM, da direkter finanzieller Schaden
3
SPAM 10/2003
Andreas Ißleiber
Was ist SPAM ?
• Quasi kommerzielle Nutzung des Medium eMail durch SPAM
• Größter Anteil ist die produkt-bezogene Werbung
4
SPAM 10/2003
Andreas Ißleiber
Wie entsteht SPAM ?
• Durch Handel von eMail Adressen. Es existieren Datenbanken, mit mehr als n*10^5 eMail-Adressen
• Address-Harvester sind Programme, die Web-Seiten und News Listen nach eMail-Adressen durchsuchen.
• Für einen “Werbetreibenden” ist SPAM billiger als FAX, oder Briefwerbung
• Juristische Grundlage noch nicht ausreichend, daher nutzen „Werbetreibende“ teilweise legal das Medium eMail für Massenmails
• Anstieg der SPAM-Raten durch Problem der Rückkopplung zwischen „SPAM-Filtern“ und SPAM-Versender. Je besser die Filter, desto mehr SPAM muss versendet werden. Das wiederum verbessert die Filter und erhöht erneut die SPAM-Rate …
5
SPAM 10/2003
Andreas Ißleiber
Wie “tarnt” sich SPAM ?
• Pseudo-Text: Text wird mit Leerzeichen oder Zeichen, die Buchstaben ähneln, ergänztBsp.: z.B. V I A G R A, S*E*X oder günstiger KRED1T
• Einfügen von syntaktisch korrekten Zeichen z.B. in HTML CodeBsp: Zeichenkette Via<!---xyz--->gra
• eMails werden als gesamte Grafik (JPG,GIF etc.) verschickt, sodass Textfilter nicht funktionieren können
• Nutzung legaler eMailadressen um „black lists“ zu umgehen
• Problem!: Kann nach kurzer Zeit für die "misbrauchte" Domain durch "Bounces" (eMail Rücksendungen) zum Kollaps des Mailserver führen, da ggf. mehr als n*10^3 eMails zurückkommen
6
SPAM 10/2003
Andreas Ißleiber
Wie “tarnt” sich SPAM ?
• Zufälliger Text im „Subject“. Dadurch werden Filter ausgehebelt, die nach „eindeutigem“ Text im Subject suchen
• Ähnliche eMail-Adressen des SPAM Zieles werden ausprobiert- Empfänger ist: [email protected] SPAM-Absender ist: [email protected], [email protected] etc.
• Falsche Zeitangabe in der eMail. Zeitpunkt liegt in er Zukunft, damit die eMail beim Empfänger immer „oben“ im Folder angezeigt wird
7
SPAM 10/2003
Andreas Ißleiber
SPAM bekämpfen ! Wie ?• Durch Benutzerverhalten
1) vertrauliche Behandlung der eigenen eMail-Adresse2) Auf Webseiten & NEWS Listen zweit-eMail-Adressen angeben
(von FreeMailern etc.)3) Keine SPAM eMails beantworten
• Einsatz vom SPAM Filtern auf IP-Ebene beim MailserverRBL-Listen: Real-Time Black Listshttp://mail-abuse.org/rbl/http://ordb.org
• Vorteil: - Einfache Integration im Mailer- Provider wird gezwungen, etwas gegen SPAM zu unternehmen
• Nachteil: - Oft sind große Provider in den Listen (t-online.de etc.) - verwirrende Vielfalt an Listen
8
SPAM 10/2003
Andreas Ißleiber
• Teergruben
Die eMail wird zunächst angenommen, aber mit dem Eintreffen weiterer eMails derselben Adresse innerhalb des kritischen Zeitfensters der entsprechende Netzwerkverkehr serverseitig künstlich verlangsamt
SPAM bekämpfen ! Wie ?
9
SPAM 10/2003
Andreas Ißleiber
•(quasi) Mail Proxyhttp://www.spamgourmet.com/disposableemail.pl?nobrainer=1Nachteil: Ist nur für vereinzelte Benutzer nutzbar
•WhiteLists (auf MailServer- oder Benutzerebene)Liste der Benutzer (eMail-Adressen, von denen eMail in jedem Fall empfangen werden soll
•Content-FilterDurchsucht die eMail nach bestimmten Schlüsselwörtern. Für sich allein nicht ausreichend und erzeugt häufig “Falschmeldungen”
•Zweiter MailserverÜber einen zweiten Mailserver wird die eMail auf SPAM geprüft
und übergibt die “korrekten” eMails an den “eigentlichen” Mailserver
SPAM bekämpfen ! Wie ?
10
SPAM 10/2003
Andreas Ißleiber
• Verkettung unterschiedlicher Methoden blockiert ggf. zu früh die Nachricht „false positive“
• Das Einzelergebnis jeder Filtermethode fließt in das Gesamtergebnis ein. Falsch Positiv Meldungen einzelner Methoden führen seltener zum fälschlichen Blockieren der eMail
• Eine Kombination diverser Erkennungsmethoden verbessert die SPAM-Filterqualität deutlich
Reihenschaltung
Parallelschaltung
SPAM bekämpfen ! Wie ?
•Kombination mehrerer Methoden
11
SPAM 10/2003
Andreas Ißleiber
• Bayes Filter
- z.Zt. modernste Methode (http://www.paulgraham.com/spam.html)- Bayes'sche Filter sind selbstlernend- Der Algorithmus berechnet anhand der in der E-Mail enthaltenen
Wörter die Wahrscheinlichkeit, dass es sich um Spam-Mail handelt- Worthäufigkeiten in bereits vom Benutzer klassifizierten eMails werden
erfasst- Mozilla setzt diesen Filter im Mailclient ein
http://www.mozilla.org/mailnews/spam.html- Filter für diverse Anwendungen (MUA) verfügbar unter …
http://www.paulgraham.com/filters.html- Nachteil:
Benötigt eine relativ große Menge an bereits klassifizierten eMails für eine gute Erkennungsrate
SPAM bekämpfen ! Wie ?
12
SPAM 10/2003
Andreas Ißleiber
• Spam Assassinhttp://www.spamassassin.org
• Mit SPAM Assassin wird jede eingehende Email nach bestimmten Kriterien untersucht und die SPAM Wahrscheinlichkeit durch ein Punktesystem ermittelt
• Über eigene Blacklists (RBL) können Domainen automatisch abgewiesen werden
SPAM bekämpfen ! Wie ?
SPAM: ------------- Start der SpamAssassin Auswertung ---------------SPAM: SPAM: Diese Mail ist wahrscheinlich Spam. Die Orginal-Nachricht wurdeSPAM: geaendert, so das Sie aehnliche Mails in der Zukunft besserSPAM: erkennen und blockieren koennen.SPAM: Weitere Detals finden Sie unter der URL http://SpamAssassin.org/tag/.SPAM: SPAM: Details der Inhaltsanalyse: (5.00 Punkte, 5 benoetigt)SPAM: INVALID_DATE (1.5 points) Ungueltiges Datum: Header enthaelt AM/PM-AngabeSPAM: NO_REAL_NAME (1.3 points) From: enthaelt keinen echten NamenSPAM: TO_BE_REMOVED_REPLY (0.4 points) BODY: Behauptet: "to be removed, reply via email" oder aehnlichesSPAM: SPAM_PHRASE_03_05 (1.1 points) BODY: Spam phrases score is 03 to 05 (medium)SPAM: [score: 3]SPAM: LINES_OF_YELLING (0.2 points) BODY: A WHOLE LINE OF YELLING DETECTEDSPAM: SUBJ_ALL_CAPS (0.5 points) Subject: komplett in GrossbuchstabenSPAM: SPAM: ---------------- Ende der SpamAssassin Auswertung -----------------
13
SPAM 10/2003
Andreas Ißleiber
SPAM bekämpfen ! Wie ?
Return-path: <[email protected]>Envelope-to: [email protected]: Tue, 04 Nov 2003 00:49:54 +0100Received: from [211.108.123.108] (helo=mhi.tu-graz.ac.at)
by mailer.gwdg.de with esmtp (Exim 4.20)id 1AGoSH-0006cj-5Nfor [email protected]; Tue, 04 Nov 2003 00:49:54 +0100
Received: from 179.88.131.72 by smtp.mega.co.za;Mon, 03 Nov 2003 23:47:49
Date: Mon, 03 Nov 2003 17:47:33 -0600To: [email protected]: <4cea01c3a264$4e1408f7$ffd80cdf@mqh9m4y>From: "Katina E. Hatch" <[email protected]>MIME-Version: 1.0Subject: Whateve=?ISO-8859-1?B?ciB3b3I=?=ks betterContent-Type: text/html;
charset="us-ascii"Content-Transfer-Encoding: 8bitX-Spam-Level: ++++++X-Spam-Flag: YESX-Spam-Report: Content analysis: 6.7 points, 6.0 required
2.0 DIET BODY: Lose Weight Spam0.2 HTML_MESSAGE BODY: HTML included in message0.4 HTML_70_80 BODY: Message is 70% to 80% HTML0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts2.8 HTML_IMAGE_ONLY_02 BODY: HTML: images with 0-200 bytes of words0.7 BIZ_TLD URI: Contains a URL in the BIZ top-level domain
X-Virus-Scanned: (clean) by exiscan+sophie
Beispiel Header einer SPAM eMail, erweitert durch Spam AssassinSpam Assassin benutzt dabei diverse Module und Testshttp://www.spamassassin.org/tests.html
14
SPAM 10/2003
Andreas Ißleiber
SPAM … die Zukunft …•SPAM ist in Europa nun „illegal“Seit dem 31. Oktober 2003 gibt es eine neueDatenschutzrichtlinie für EU Mitgliedsstaaten.Die Werbung über elektronische Medien ist nur nocherlaubt, wenn sie der Aufrechterhaltung bestehenderKundenbeziehungen dient oder vom Empfänger eindeutigerwünscht ist (Opt-in).Ebenfalls rechtswidrig ist das Fälschen der Absender undAntwortadressen. Die EU Mitgliedsstaaten sind ab dem 01.November dazu verpflichtet, die Richtlinien anzuwenden unddurchzusetzen. Wie sie dies gestalten, bleibt jedoch deneinzelnen Staaten überlassen.
•Neues Mailprotokoll „AMTP“ Authenticated MailTransfer Protocol auf SMTP aufbauendes Protokoll für einen authentifiziertenAustausch von Mails. Die Identität der Mailserver wird via X509-Zertifikaten überprüft
15
SPAM 10/2003
Andreas Ißleiber
Fazit zum Thema SPAM:
oEigenen eMail-Server mit SPAM Filterprogrammen ausstattenoEinsatz von SpamAssassin als FilteroeMail darf einem Benutzer nicht! Vorenthalten bleiben. DerBenutzer selbst entscheidet, was mit SPAM geschehen soll (Markierung der eMail mit SPAM Flags -> Benutzer kann selbst Filter definieren)oDarauf achten, dass der eigene eMail-Server kein „open relay“ darstelltoEinstellen von WhiteLists ermöglichenoNutzung von RBL fraglich. Ggf. zugunsten von guten Filtern darauf verzichten.oDen eigenen Benutzern ein zweite, alternative eMail-Adresse vergeben, die odann für „unsichere“ Dienste benutzt werden kann (Eintragen auf Webseiten, oNews-Listen etc.)oZentralen Virenscanner auf dem Mailserver einsetzen (Schützt zwar nicht vor oSPAM, ist aber mittlerweile unverzichtbar)
10/2003
Andreas Ißleiber
S
Sicherheit in NetzenDPZ 11/2003
Sicherh
eit
Sicherh
eit
Andreas Iß[email protected]
Sicherheit in NetzenSicherheit in NetzenSicherheit in NetzenSicherheit in Netzen
17
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
10/2000Andreas Ißleiber
LAN
Einsatz von FirewallsInternet
Firewall
Router134.76.10.254
134.76.10.253
DMZ
Öffentliche ServerWeb,Mail,DNS, etc.
IP: 134.76.10.2GW: 134.76.10.254
IP: 134.76.10.1GW: 134.76.10.254
•Transparente FW:Vorteil: Die bisherige Netzstruktur kann beibehalten bleibenEine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen
•FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-AdresseNachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich
•NAT<->IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich.
192.168.1.254
IP: 192.168.1.1GW: 192.168.1.254
NAT NAT& IP Umsetung
Lokaler Server: IP: 134.76.10.3GW: 134.76.10.254
Lokaler Server: IP: 192.168.1.2GW: 192.168.1.254
Server ist vom Internet erreichbarIP: 192.168.1.2Externe IP: 134.76.10.3GW: 192.168.1.254
•DMZDie FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen. Ggf. Firewalls mit mehreren Ports einsetzen, damit auch andere Abteilungen getrennt geschützt werden können (Verwaltung)
Sicherheit in NetzenDPZ 11/2003
18
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
DMZ LAN
internes Netz
Firewall
Aufteilung der internen- und öffentlichen Dienste
Internet
öffentliche ServerWeb,Mail,DNS, etc.
!
Firewall
Grundregeln auf der FW:
Quelle Dienst allow / reject ZielDMZ alle InternetLAN alle InternetLAN alle DMZInternet alle LANInternet alle/einige DMZDMZ alle LAN
Grundregeln auf der FW:
Quelle Dienst allow / reject ZielDMZ alle InternetLAN alle InternetLAN alle DMZInternet alle LANInternet alle/einige DMZDMZ alle LAN
10/2000Andreas Ißleiber
1) Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen
2) File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen. Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen
3) Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT-Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich-> Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden
4) RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider und via VPN ins eigene Netz
5) Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkressourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt.
6) Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren verschlüsselte Verfahren CHAP(MS-CHAP V2), oder Zertifikate verwendet werden
7) DMZ ist i.d.R. selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken durch die FW geschützt
Sicherheit in NetzenDPZ 11/2003
19
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
Typisches Scenario
DMZInternes
LAN
Internet
Mailserver und PDC derDomäne A
Firewall
Übergeordneter DNS
1
23
4
Erforderliche Regeln auf der FW:
Quelle Dienst allow / reject Ziel BemerkungInternet SMTP(25) (1) Mailgateway(6) DNS(53) (2) Zonentransfer (TCP & UDP)Internet http(80) (2) WebzugriffLAN alle InternetDMZ alle InternetLAN alle DMZInternet alle LANInternet alle DMZDMZ alle LAN
Erforderliche Regeln auf der FW:
Quelle Dienst allow / reject Ziel BemerkungInternet SMTP(25) (1) Mailgateway(6) DNS(53) (2) Zonentransfer (TCP & UDP)Internet http(80) (2) WebzugriffLAN alle InternetDMZ alle InternetLAN alle DMZInternet alle LANInternet alle DMZDMZ alle LAN
DNS und Webserver
5
RAS-Server alsMitglied der Domäne A
RAS-Server greift auf diePaßwörter des PDC (1) zurück
Zentraler PDC derDomäne B
1
2
3
4
5
Mailserver (PDC) in DMZ
DNS & Webserver in DMZ
PDC im LAN (geschützt)
Clients im LAN (geschützt)
RAS-Server in DMZ
Zentraler Terminalserver
10/2000Andreas Ißleiber
Sicherheit in NetzenDPZ 11/2003
20
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
Mehr Sicherheit durch VPN
DMZ LAN
RAS, Einwahl-Server, CHAP Internes Netz
VPN-fähige Firewall
VPN Clients über ein Einwahlserver
VPN Clients aus dem Internet oderFremd-Provider
Internet-router
VPN-Tunnel
VPN-Tunnel
10/2000Andreas Ißleiber
1) VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen
2) IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken
3) Einige FW sind gleichzeitig in der Lage, VPN zu Terminieren/tunneln (VPN-Gateway)
4) Als Verschlüsselunbgsverfahren sollte IPSEC/3DES eingesetzt werden
5) Wenn administrative Zugriffe auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung von VPN eine ideale Lösung
6) Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server
Sicherheit in NetzenDPZ 11/2003
21
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
Benutzung von "privaten" Netzadressen
Internet
Rechner mit InternetzugangRechner ohne Internetzugang(public) Server mit InternetzugangRouter
1
2
3
4
IP(1): 192.168.1.1IP(2): 134.76.10.11Gw: 134.76.10.254
IP(1): 192.168.1.2
WebserverIP(1): 192.168.1.3IP(2): 134.76.10.13Gw: 134.76.10.254
2
3
Privates Netz: 192.168.1.0Öffentliches Netz: 134.76.10.0
Gateway (gw): 134.76.10.254
10/2000Andreas Ißleiber
• „Private Networks“ sind IP-Adressen die nach „rfc“ im Internet nicht geroutet werden und damit für externe Netze unsichtbar sind
• Windows (sowie auch LINUX etc.) erlaubt die gleichzeitige Verwendung mehrer IP-Adressen
• Dies kann die Sicherheit erhöhen, wenn keine FW installiert ist
• "private networks" ersetzten jedoch nicht eine FW
• Bei Windows wird lediglich die erste vergebene IP-Adresse für NetBIOS verwendet, welche dann aus dem „Private Network“ kommen sollte
• Alle Rechner mit "private network"-Adressen sind lokal erreichbar, aber im Internet unsichtbar
• Clients können auch mit nur! „Private Network“ Adressen betrieben werden. Dabei können …
- Web-Proxy Server- lokaler eMail Server
… die Kommunikation zum Internet aufbauen
Sicherheit in NetzenDPZ 11/2003
1
S
Die richtige VPN Lösung für das Institut finden …
VPN
Die Beantwortung folgender Fragen sind bei der Auswahl entscheidend:
Wie viele Benutzer werden das VPN in Anspruch nehmen? Wie „schnell“ ist der Internetzugang ? Welche Art des Zugangs werden die User verwenden? Verbinden sich die User zeitweise oder permanent ? Welche Zielnetze sind via VPN zu erreichen ? Wie groß ist das zu erwartende Datenvolumen? Ist eine Backup-Verbindung notwendig? Benötige ich eine Redundanz ? Wie „komplex“ ist die Integration (auch etwaiger Clients auf PCs) ? Soll das VPN eine Mischform des Zugangs ermöglichen
(Site-to-Site & End-to-Site) ? Soll das VPN System skalierbar sein ? Welche Authentifizierung soll möglich sein (Zertifikate, Smartcard, PKI) ? Muss das VPN zu einer bestehenden User-Datenbank authentifizieren können
(RADIUS, ADS, YP) ? Einsatz standardisierter Systeme oder „Bastel-Lösungen“ (…kann der
Kollege das VPN Gateway auch administrieren ?)
10/2003
Andreas Ißleiber
Alternativen zu VPN
SSH Standardisiert Große Verbreitung Oft als „Bastellösungen“ eingesetzt, wenn „reales“ VPN dadurch ersetzt
werden soll Tunneln von PPP möglich (PPP-over-SSH) Nachteile der höheren Protokolle, da Layer 7
PGPNet
Standleitungen Teuer Unflexibel Einfach in der Handhabung
Portale WebPortale mit Authentifizierung Server als Portal
VPN 10/2003
Andreas Ißleiber
24
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
Personal Firewalls auf Client Systemen
10/2000Andreas Ißleiber
• Vorteil:Günstiger Preis, wenn wenige Rechner geschützt werden müssenKein "single point of failure" im Vergleich zur zentralen FW
• Nachteil:Jeder einzelne Rechner wird durch die "Software" Firewall belastetKeine(bzw. selten) einheitliche PoliciesTeilweise unzureichender Schutz vor AngriffenKombination aus zentraler- und personal FW nicht sinnvollFW ist nicht ohne "tiefere" Kenntnisse des Benutzers konfigurierbarHoher VerwaltungsaufwandBetriebsystemabhängig
Fazit
• Personal Firewalls ersetzen keine zentrale FW
• Sie bieten, i.d.R.nur! bei fachgerechter Konfiguration einen ausreichenden Schutz vor Angriffen
Sicherheit in NetzenDPZ 11/2003
25
Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
Fazit:
10/2000Andreas Ißleiber
• Einsatz einer zentralen, redundaten Firewall
• Einrichtung eines VPN Gateways für die Zugänge der Benutzer auf das Internet Netz
• Einsatz zentraler Virenscanner
• Absichern eine etwaigen VPN Gateways innerhalb des Netzes
• Trennung von öffentlichen und internen Diensten auf Servern
• Einsatz von „Personal Firewalls“ auf Client PC sollte nicht (mehr) erforderlich sein
• Einsatz von ProxyServern (WEB-Proxy) erlaubt die Verwendung von „Private Network“ Adressen auf den Clients
Sicherheit in NetzenDPZ 11/2003
S
SPAM & Sicherheit in Netzen 10/2003
Andreas Ißleiber
… Fragen… FragenVielen Dank!Vielen Dank!
und Diskussionen!und Diskussionen!
Vortrag ist unter: http://www.gwdg.de/~aisslei… zu finden
??
10/2003
Andreas Ißleiber
S
Sicherheit in NetzenDPZ 11/2003
Sicherh
eit
Sicherh
eit
Andreas Iß[email protected]
Sicherheit in Funk LANsSicherheit in Funk LANsSicherheit in Funk LANsSicherheit in Funk LANs
28
Die Gefahren:
• Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der Hardware entwendet)
• Fremde „Accesspoints“ inmitten eines Netzes fangen „legale“ Benutzer ab
• FunkLAN hinter einer Firewall betrieben, öffnet das Netz
• Funk-Reichweite der Accesspoints wird unterschätzt
• Wardriver: Laptops mit freier Software „Netstumbler“ und „Airsnort“ in Kombination mit GPS Empfängern spüren WLANs aufWardriving ForumWardriverWardriver (heise)
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
29
Verfahren zur Absicherung: Wired Equivalent Privacy (WEP, WEP2)
Allgemeines• Bestandteil des Standards 802.11b• Benutzt den RC4 Algorithmus von RSA Security Inc.• Schlüsselstärken 40-Bit oder 104-Bit• 24-Bit Initialisierungsvektor
Nachteile von WEP• Manuelle Schlüsselverwaltung• Keine Benutzerauthentifizierung• 40-Bit Schlüssel gelten als nicht sicher• RC4-Algorithmus hat Designschwächen• Key kann kompromittiert werden, beim „Mithören“ eines
ausreichenden Datenvolumina• Wird „Hardware“ (AP) gestohlen, ist auch der WEB Key in Gefahr
Vorteile von WEP• In jedem 802.11b Gerät verfügbar• Hardwareunterstützt• Softwareunabhängig
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
30
IEEE 802.11i• Ziel: Die aktuelle 802.11 MAC zu verbessern um mehr
Sicherheit zu gewährleisten• WEP2 mit stärkerer Verschlüsselung• Benutzerauthentifikation
Fazit• WEP ist besser als keine Verschlüsselung• WEP ist anfällig gegen Kryptoanalyse und gilt als
nicht sicher1)
• WEP ist nicht zukunftssicher
1) http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
Verfahren zur Absicherung: Wired Equivalent Privacy (WEP)
31
Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines
• Microsoftspezifische Implementierung des PPTP• Ermöglicht das Tunneln von Point-to-Point Protocol (PPP)
Verbindungen über TCP/IP über eine VPN-Verbindung• Drei Versionen: PAP, MS-CHAPv1 und MS-CHAPv2
Verschlüsselung• Microsoft Point to Point Encryption (MPPE)• Benutzt den RC4 Algorithmus von RSA Security Inc.• 40-Bit oder 104-Bit Schlüssellängen
Benutzerauthentifikation• Benutzerauthentifikation notwendig• Password Authentification Protocol (PAP)• Challenge Handshake Protocol (CHAP)
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
32
Vorteil von MS-PPTP• Auf allen gängigen MS-Betriebssystemen verfügbar• Bietet Verschlüsselung und Benutzerauthentifizierung
Fazit• MS-PPTP ist besser als keine Verschlüsselung• MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als
nicht sicher1)
• MS-PPTP ist nicht zukunftssicher
Nachteile von MS-PPTP• 40-Bit Schlüssel gelten als nicht sicher• MS-CHAPv1 hat schwere Sicherheitslücken• Protokoll hat Designschwächen
1) http://www.counterpane.com/pptp.html
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP)
33
Verfahren zur Absicherung: Internet Protocol Security (IPSec) Allgemeines
• Erweiterung der TCP/IP Protokollsuite• Paket von Protokollen für Authentifizierung, Datenintegrität,
Zugriffskontrolle und Vertraulichkeit• Integraler Bestandteil von IPv6 (IPnG)
Transportmodus• nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten)• Vorteil: geringer Overhead gegenüber IPv4• Nachteil: Jeder Teilnehmer muss IPSec beherrschen
Tunnelmodus• Komplettes IP-Paket wird verschlüsselt• Tunnel zwischen zwei Netzen möglich• Vorteil: Nur Tunnelenden müssen IPSec beherrschen• Nachteil: Nur Verschlüsselung zwischen den Tunnelenden
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
34
Vorteile von IPSec• Standard auf vielen Plattformen verfügbar• Keine festgelegten Algorithmen• Keine bekannten Designschwächen
Fazit• IPSec ist besser als keine Verschlüsselung• IPSec unterstützt als sicher geltende Algorithmen (z.B.
Blowfish, IDEA, MD5, SHA)• IPSec gilt als zukunftssicher • IPSec ist i.d.R eine gute Wahl
Nachteile von IPSec• Keine Benutzerauthentifikation• Clients müssen korrekt konfiguriert werden
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
Verfahren zur Absicherung: Internet Protocol Security (IPSec)
35
Verfahren zur Absicherung:Service Set Identifier (SSID) Allgemeines
• Identifier für Netzwerksegment (Netzwerkname)• Muss für den Zugriff bekannt sein• Vergleichbar mit einem Passwort für das Netzwerksegment• Wird auch als „closed user group“ bezeichnet
Nachteile• Muss jedem Teilnehmer bekannt sein• Nur ein SSID pro AP• Lässt sich in großen Netzen nicht wirklich geheim halten
(offenes Geheimnis)
Vorteile• Softwareunabhängig• Schnell und einfach einzurichten
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
36
Verfahren zur Absicherung:Media Access Control (MAC) Address Filtering Allgemeines
• Filtern der MAC-Adressen der zugreifenden Clients • MAC-Adresslisten entweder lokal in den APs oder zentral
auf einem RADIUS-ServerLokal= hoher Verwaltungsaufwand, alle AP´s benötigen die gleichen MAC-ListenZentral=einfache, zentrale Datenbasis, einfaches Management (MAC-Datanbank auf RADIUS-Server)
Nachteile• Jede berechtigte Netzwerkkarte muss erfasst werden• MAC-Adressen lassen sich leicht fälschen
Vorteile• Software- & Clientunabhängig• Keine Aktion des Benutzers notwendig
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
37
Überblick über diverse Sicherheitsmechanismen
WEP, WEP+
MAC-Adressen Authentifikation
SSID
VPN mit:- PPTP- MS-PPTP
- IPSec
EAP-TLS & TTLS (802.1x)(Extensible Authentication Protocol - Transport Layer Security)
PEAP (Protected EAP)
LEAP (Lightweight EAP)
3/2003, Andreas Ißleiber
Moderne Sicherheitsmechanismenals Alternativen zum VPNModerne Sicherheitsmechanismenals Alternativen zum VPN
Klassische SicherheitsmechanismenKlassische Sicherheitsmechanismen
Sicherheit in FunkLANs & lokalen Netzen
10/2003
Andreas Ißleiber
38
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)
EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security)
3/2003, Andreas Ißleiber
- 802.1x -> Authentifizierung auf Portebene (nicht nur für FunkLANs)
- 802.1x bietet allein keine Verschlüsselung (erst Kombination mit „EAP“-TLS)
- Switchport „blockiert“ bis zur vollständigen Authentifizierung (Zutrittsregelung bereits am „Eingang“ des Netzwerkes)
- Layer 2 Verfahren -> Protokollunabhängig (Übertragung von AP,IPX/SPX,NetBEUI etc.)
- EAP-TLS & 802.1x oft als Kombination eingesetzt
- nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf ADS,YP,NT-Domains etc. zurückgreifen)
- Client Authentifizierung erfolgt auf „Link Layer“. IP-Adressen sind zu diesem Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP vergeben)
10/2003
Andreas Ißleiber
802.1x Standard: http://standards.ieee.org/getieee802/802.1.html
SPAM & Sicherheit in Netzen
39
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)
802.1X Prinzip
3/2003, Andreas Ißleiber
10/2003
Andreas Ißleiber
RADIUS-ServerW2K (ADS)
YP/NIS
NT4 Domain
802.1x fähigerL2 Switch
Supplicant oder Bittsteller
Authenticator
Authentication Server Proxy-Server
Client fragt nicht direkt den RADIUS Server Bei existierendem „nicht 802.1x fähigem RADIUS Server -> „Proxy Server“
Netz
SPAM & Sicherheit in Netzen
40
3/2003, Andreas Ißleiber
+ Durch extra „tagging“ Feld getrennt von anderen Netzwerkverkehr
+ Layer 2 Technik, daher Multiprotokollfähig
+ Auf modernen Switches nahezu überall verfügbar
- Komplexe Struktur
- Aufwendige und arbeitsintensive Integration
- VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit Packetfilter, Firewall erforderlich)
10/2003
Andreas Ißleiber
Moderne Sicherheitsmechanismen (WLAN und lokale Netze)
VLAN: (Virtual LAN)
SPAM & Sicherheit in Netzen
41
FunkLAN Client sicher machen Absicherung der Funk Clients
• Selbst der Einsatz von VPN enlastet nicht davor, den lokalen Rechner „sicher“ zu machen
Trennen der LAN-Manager Dienste (Bindungen)• Um den Zugriff im internen VLAN (vor der Authentifizierung)
Fremder zu vermeiden, ist die Trennung von LM zum Funkinterface sinnvoll
Personal Firewall auf Client• Zur Absicherung des Clients ist ggf.eine Personal Firewall
sinnvoll (Achtung: für IPSec FW öffnen).
Laufwerksfreigaben im FunkLAN vermeiden• Freigaben von Ressourcen des Clients erlauben den Zugriff
Fremder auf den eigenen Client
10/2003
Andreas Ißleiber
SPAM & Sicherheit in Netzen
S
Fazit …
o Die allumfassende und einfache Sicherheitslösung für LANs und FunkLANs gibt es nicht
o Ziel sind moderne Authentifizierungsverfahren über Layer 2
o Gutes Verfahren: Zertifikate zur Authentifizierung in Kombination mit Benutzername/Passwort
o IPSec immer noch die sichere Lösung
o Offen bleiben hinsichtlich EAP-TLS (TTLS) & 802.1x zur Authentifizierung
o Bislang ist die Kombination aus zentraler, redundanter Firewall mit mehreren Ports und ein VPN Gateway (noch) die „sichere“ Lösung
10/2003
Andreas Ißleiber
SPAM & Sicherheit in Netzen
43
Weiterführende Links und Quellen ...
SPAM (Heise Verlag)http://www.heise.de/ct/03/17/134/
Benutzer-Authentifizierung durch IEEE 802.1xhttp://www.networkworld.de/artikel/index.cfm?id=68657&pageid=0&pageart=detail
WLAN Standardshttp://wiss.informatik.uni-rostock.de/standards/http://www.bachert.de/info/wireless.htm
10/2003
Andreas Ißleiber
SPAM & Sicherheit in Netzen
S
SPAM & Sicherheit in Netzen 10/2003
Andreas Ißleiber
… Fragen… FragenVielen Dank!Vielen Dank!
und Diskussionen!und Diskussionen!
Vortrag ist unter: http://www.gwdg.de/~aisslei… zu finden
??
![Power Point 2016を起動する(開く)方法 vol.6 · PPT7 Power . Power Point 2016Ëi?YJÿZ (H < ) p16 r Power PointJ PPT7 Power rPower Point, r Power Point] Power Point 2016Ëi?YJÿZ](https://img.pdfslide.org/doc/110x75/5f63e2e263096f53954b2791/power-point-2016eiei-vol6-ppt7-power-power-point.jpg)
