Deutsches Forschungsnetz

IT-Sicherheit in Hochschulrechenzentren

- Aktuelle Neuigkeiten & Blick in die (nahe) Zukunft -

Marcus Pattloch (sicherheit@dfn.de)ZKI Herbsttagung

Ilmenau - 14.9.2005

Seite 3

Inhalt

• Teil 1: Sicherheit im D-Grid• Teil 2: Neue CERT-Dienstleistungen

• Teil 3: Die neue DFN-PKI Dienstleistung• Teil 4: Vorführung der neuen DFN-PKI• Teil 5: Zusammenfassung

Seite 4

Teil 1

Sicherheit im D-Grid

Seite 5

Sicherheit im D-Grid (1)

• Entwicklung und Einsatz von Firewallkonzepten in Grid-Umgebungen–Firewalls in Hochgeschwindigkeitsnetzen

(Durchsatzraten im Bereich mehrerer Gbit/s)–automatisch im laufenden Betrieb

konfigurierbare Firewalls–Konfiguration auf Basis von Zertifikaten (AAI)

Seite 6

Sicherheit im D-Grid (2)

• Grid-spezifische CERT-Dienste– Computer Notfallteams im „normalen“ Internet

seit Jahren etabliert– Aber: neue Themen in Grids

• spezielle Grid-Anwendungen• Grid-Middleware (Globus, UNICORE, ...)• Betriebssysteme

– Ziel: CERT-Dienstleistungen um Grid-spezifische Anforderungen ergänzen

Seite 7

• Aufbau einer AA-Infrastruktur im D-Grid–Authentifizierung (A1) vs. Autorisierung (A2)

• A1: globale (!) Bestätigung der Identität, z.B. von Nutzern, Rechnern, Diensten, Daten

• A2 : lokale (!) Steuerung der Zugriffs auf Ressourcen

–Ausstellung von Zertifikaten für das D-Grid• fast alle Grid-Anwendungen benötigen Zertifikate• Grid-Zertifikate ausschließlich im Rahmen der

EUGridPMA (in DE: zwei „Dienstleister“ FZK, DFN)• Aufsetzen von Grid-RAs• einheitliche Schnittstelle zur einfachen Beantragung

von Zertifikaten im D-Grid

Sicherheit im D-Grid (3)

Seite 8

Teil 2

Neue CERT-Dienstleistungen

<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>

Aufgaben eines Notfallteams

• Prävention– Advisories, Alarmmeldungen, Risikoanalyse– Schwachstellenanalyse, Intrusion Detection– Schulung und Ausbildung im Security Bereich– Ansprechpartner Sicherheitsfragen

• Reaktion– Incident Response Support– Aufarbeitung und Auswertung von Vorfällen – Koordination der Bewältigung – Zusammenarbeit mit anderen Notfallteams

<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>

Reaktion: Was wird gemeldet?

• Beispiele von typischen Vorfällen– Anwender meldet kompromittierten Server mit

sichergestelltem Material (Artefakte)– ein anderes CERT meldet ein kompromittiertes

System im Verantwortungsbereich– Portscan-Meldungen (automatisiert und

manuell)– Viren- und Proxy-Meldungen (automatisiert)– Anfragen von Strafverfolgungsbehörden

<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>

Trends 1: Angreiferwissen

<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>

Trends 2: Zeitfenster

• Automatisierte Schwachstellensuche und -ausnutzung (Exploits)– Weniger Zeit für Systemverwalter

<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>

Trends 3: „Hacken“ gegen Geld

• Entstehen einer Untergrund-Ökonomie– Malware-Entwicklung gegen Geld (Exploits)– Spam Verteilung gegen Geld (via Botnet)– DDoS Angriffe gegen Geld (via Botnet)

• Einstieg der organisierten Kriminalität– 1. Halbjahr 2004: Schutzgelderpressung mittels

DDoS gegen Online-Wettbüros

Seite 14

Alle Dienste auf Basis einer gemeinsamen Datenbasis

Automatisch

Reaktiv Präventiv

Manuell Bearbeitung von Vorfällen

Advisories, Patches

Frühwarnung,IDS / IPS

Audits, Penetration Tests, NBHW

Zukunft von CERTs

Seite 15

Aufgaben der Rechenzentren

• lokaler Ansprechpartner für Sicherheit (Rolle)• Patchmanagement u.a. auf Basis der CERT

Advisories• enge, frühzeitige Zusammenarbeit bei

Vorfällen

• Nur in enger Zusammenarbeit mit den Rechenzentren sind CERTs stark!

Seite 16

Teil 3

Die neue DFN-PKI Dienstleistung

Seite 17

Zertifikate im DFN

• Zertifikat = digitaler Ausweis• vielfältige Anwendungen von Zertifikaten• Zertifizierungsstelle im DFN seit 1996

– fortgeschrittene X.509 Zertifikate / PGP• derzeit Erweiterung der Dienstleistung

– Synergie für Anwender, die bereits eine eigene Struktur betreiben

– Einstieg wird für „kleine“ Anwender deutlich vereinfacht

Pilotierung läuft erfolgreich !

Seite 18

„üblicher“ Aufwand

0 1 ... 10 ... 100 ... 1.000 ... 1.000+

Anzahl ausgegebener Zertifikate

Auf

wan

d fü

r Zer

tifka

taus

gabe

Seite 19

Das Konzept - Trennung der Aufgaben

• Registrierungsstelle– administrative Arbeiten– verbleibt in der Hochschule– vergleichbar einer Meldestelle

• Zertifizierungsstelle– technisch aufwändige Arbeiten – kann an DFN ausgelagert werden– vergleichbar der Bundesdruckerei

Seite 20

Aufwand mit Auslagerung

0 1 ... 10 ... 100 ... 1.000 ... 1.000+

Anzahl ausgegebener Zertifikate

Auf

wan

d fü

r Zer

tifka

taus

gabe

Aufwand der Hochschule

ausgelagerter Aufwand (DFN)

Seite 21

Teil 4

Vorführung der neuen DFN-PKI

Seite 22

Schritt 1

Nutzer beantragt Zertifikat

Seite 23

Seite 24

Seite 25

Seite 26

Seite 27

Seite 28

Schritt 2

Registrierungsstelle (RA)

Seite 29

Seite 30

Seite 31

Seite 32

Seite 33

Schritt 3

Nutzer erhält sein Zertifikat

Seite 34

Seite 35

Seite 36

Seite 37

Vorteile DFN-PKI Dienst

• hohe Qualität / Sicherheit• Auslagerung der CA möglich

– keine eigene Technik erforderlich, weder Hard-ware noch Software - nur ein Standard-Browser

– lokaler Aufwand wird deutlich reduziert– Webschnittstelle kann nach Anforderungen der

Anwender angepasst werden– Entgelt im DFNInternet enthalten

• Regelbetrieb ab 1.1.2006 mit Übergang auf das X-WiN (www.dfn.de/pki)

Seite 38

DFN-Test-PKI

• Prozesse können „geübt“ werden• DFN-Test-PKI steht allen Anwendern ab

sofort zur Verfügung• Regelbetrieb ab 1.1.2006 mit Übergang auf

das X-WiN• Bei Interesse Zugangskennung unter:

pki@dfn.de

Seite 39

Teil 5

Zusammenfassung

Seite 40

Zusammenfassung

• Erweiterung der DFN-Dienstleistungen

• Abstimmung mit und Ausrichtung auf Bedarf der Hochschulen (Rechenzentren)

• DFN-Test-PKI steht allen Anwendern ab sofort zur Verfügung, bei Interesse Mail an:

pki@dfn.de