1

Sicherheit, Firewallund kabelloses Internet

Großer Sitzungssaal, Landratsamt Rhön-GrabfeldB d N t dt 13 11 2008

Andreas GabrielMECKc/o Universität Würzburghttp://www.meck-online.de

Bad Neustadt, 13.11.2008

eMail von Wikipedia?

06 11 2006 09:41 Uhr06.11.2006 – 09:41 Uhr

2

Recherche bei der vermeintlichen Quelle

Des Rätsels Lösung

06.11.2006 – 16:02 Uhr

3

Ein deutschland-weites Netzwerk

Netzwerk Elektronischer Geschäftsverkehr

- 25 regionale Zentren in ganzDeutschland

- 1 Branchenzentrum „Handel“mit Sitz in Köln

- Projektträger: Deutsche Gesellschaft fürLuft- und Raumfahrt (DLR)u u d au a ( )

- Förderung durch das BMWi(Bundesministerium für Wirtschaft und Technologie)

http://www.ec-net.de

Vertreter des NEG in unserer Region

Sie erreichen uns unter: http://www meck-online de

Mainfränkisches Electronic Commerce Kompetenzzentrum

Unsere Intension Hier finden Sie unsDas MECK-Team

Sie erreichen uns unter: http://www.meck-online.de

Veran-staltungen

Bei Ihnen vor Ort

Bildquellen: www.hausnummer-online.de, www.kreativrauschen.de

… und zahlreiche Partner

4

S it J li 2000 i h ftli h Mit b it

Über meine Person:Andreas Gabriel

Seit Juli 2000 wissenschaftlicher Mitarbeiter amLehrstuhl für BWL und Wirtschaftsinformatik, Prof. Dr. R. Thome; Universität Würzburghttp://www.wiinf.uni-wuerzburg.de

Seit 2003 Mitarbeiter des Mainfränkischen ElectronicCommerce Kompetenzzentrums (MECK) –Mitglied im Netzwerk ElektronischergGeschäftsverkehr (NEG) http://www.meck-online.de

Mittelstandsberatung mit dem Schwerpunkt Informationssicherheit

Seit Mai 2006:Zertifizierung zum ISMS Auditor/Lead Auditor ISO 27001:2005 durch das British Standard Institut

http://www.ec-net.de/sicherheit

Sie erreichen uns unter: http://www.ec-net.de/Sicherheit

Begleitprojekt„Informationssicherheit“

Dr. Kai HudetzAndreas Duscha

Prof. Dr. Hans-Jürgen OttMarkus Wirth

Dagmar Lange(Projektleiterin)Prof. Dr. Günther Neef

Stephan Rogge

Andreas Gabriel

5

Branchenbeispiel Handwerk 1

17 branchenspezifische Best-Practice-Anleitungen aus dem Jahr 2007

pBranchenbeispiel Handwerk 2

Branchenbeispiel EinzelhandelBranchenbeispiel Produktion/Großhandel

Branchenbeispiel Maschinenbau 1Branchenbeispiel Maschinenbau 2Branchenbeispiel Maschinenbau 3

Branchenbeispiel SondermaschinenbauBranchenbeispiel TextilindustrieB h b i i l L i ik

Quelle: http://www.ec-net.de/EC-Net/Navigation/netz-informationssicherheit,did=236904.html

Branchenbeispiel LogistikBranchenbeispiel Öffentliche Verwaltung

Branchenbeispiel Finanzwesen/VersicherungBranchenbeispiel Gesundheitswesen

Branchenbeispiel Automatisierungs-/WartungstechnikBranchenbeispiel Informationstechnik

Branchenbeispiel AnlagenbauBranchenbeispiel Umwelt-/Geotechnik

Kenntnisse über die wesentlichen gesetzlichen Vorgaben zur IT-Sicherheit

• Über 70 % der Befragten geben

22,5%

48,7%

20 8%

40%

60%Über 70 % der Befragten geben an, die wesentlichen Vorgaben ganz oder zumindest teilweise zu kennen, die im Bereich der IT-Sicherheit für Sie gelten.

• Jeder fünfte Befragte kennt die gesetzlichen Vorgaben nicht.

20,8%

8,1%

0%

20%

ja teilweise nein weiß nicht

In Kooperation mit dem E-Commerce-Center Handel, Köln

Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit

6

Formulierung und Umsetzung eines Datensicherungskonzeptes

27,8%

47,8%

30%

40%

50%

60%Lediglich knapp die Hälfte der Befragten haben ein Datensicherungskonzept komplett formuliert und realisiert.

6,7%

17,7%

0%

10%

20%

ja teilweise nein weiß nicht

In Kooperation mit dem E-Commerce-Center Handel, Köln

Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit

Opfer klagt: „Gib mir meine Erinnerungen zurück!“

Datum:August 2008Überschrift:Gemeiner Laptop-DiebInhalt:-Laptop aus dem Auto gestohlen( B if h it !)

Quelle: http://www.bild.de

(vom Beifahrersitz!)-Alle Fotos des fünf Monate alten Babys sind ersatzlos verloren

-Trotz Suchaktion inkl. Belohnung keine Reaktion des Diebs

7

Überprüfung der Wiederherstellungdes Datenbestandes

• Jeder zweite hat zumindest einmal

27,4%

50,9%

30%

40%

50%

60%

70%Jeder zweite hat zumindest einmal überprüft, ob die Wiederherstellung des Datenbestandes mit den vorhandenen Sicherungskopien möglich ist.

• 13 % der Befragten verlassen sich auf die Möglichkeit zur Wiederherstellung ohne bisherige Überprüfung.

8,0%13,7%

0%

10%

20%

ja teilweise nein weiß nichtn = 212

Überprüfung.

In Kooperation mit dem E-Commerce-Center Handel, Köln

Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit

Länge der Aufrechterhaltung des Betriebes ohne folgende Dienste

Telefon

Eigener File-Server

E-Mail

Internetrecherche

1 2 3 4 5

Eigener Internetauftritt

Buchhaltung

Eigener Internethandel

n ≥ 156

weniger als eine Stunde

bis zu vier Stunden bis zu einem Tag bis zu einer Woche mehr als eine Woche

In Kooperation mit dem E-Commerce-Center Handel, Köln

Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit

8

Mit welchen Sicherheitsproblemen wurde Siein den letzten 18 Monaten konfrontiert?

1

2

3

Quelle: http://silicon.de

3

Wo befindet sich der „Gegner“?

50

30

15

5

1

Ang

reife

r Fremde RegierungenKonkurrentenHackerfrustrierte Mitarbeiter

Quelle: Computer Security Institute Survey

0 10 20 30 40 50 60

prozentualer Anteil

9

Wo kommen die„Gegner“ her?

Quelle: www.discoverhackistan.com

Wer ist der Gegner?

Hacker Cracker Script-KiddiesBilder: http://www.stampfenkater.de, http://image.guardian.co.uk, www.starwarped.faketrix.com; www.internetcafeciler.net; tomarpartido.weblog.com.pt

10

Beispiel füreinen „Hackerangriff“

govsarah@yahoo.com

Was ist passiert?

•Frau Palin nutze wohl ihren privaten•Frau Palin nutze wohl ihren privateneMail-Account auch für dienstlicheZwecke

•Hacker nutze den „Erinnerungs-Service“ von Yahoo, um das Loginzu erlangen und benötigte dazufolgende Informationen:

Quelle: http://www.bild.de

folgende Informationen:•Geburtsdatum•PLZ der Heimatadresse•Antwort auf die Kontrollfrage„Wo lernte ich meinen Ehemann kennen?“

11

Wie schnell findetman die Antworten?

G b t d t 11 02 1964Geburtsdatum 11.02.1964

Quelle: http://de.wikipedia.org/wiki/Sarah_PalinDauer: 30 Sekunden

PLZAlaska State Capitol BuildingP.O. Box 110001Juneau AK 99811-0001

Dauer: 2 Minuten

Quelle: http://gov.state.ak.us/govofficesJuneau, AK 99811-0001

Ehemann

Quelle: http://www.gop.com

Sie lernten sich in der Highschool kennen Dauer: ca. 60 Minuten

Informationssicherheit –Organisatorische Maßnahmen

MECK-Stufenkonzept zur Informationssicherheit

1 Ernennung einesVerantwortlichen

2Delegierung definierterVerantwortlichkeiten

3Regelmäßige Schulung der eigenen MitarbeiterOrganisatorische

Maßnahmen

12

Schulung – leider noch immer unterschätzt

Formen der Weiterbildung im Bereich Sicherheit“Formen der Weiterbildung im Bereich „Sicherheit

Quelle: Umfrage des NEG; Bereitstellung der Daten durch das ECC-Handel in Köln

Informationssicherheit –Technische Maßnahmen

MECK-Stufenkonzept zur Informationssicherheit

Betriebssystem Updates

Anti-Spyware

Anti-Dialer

Anti-Spam

4

6

5

7

Quelle: MECKveröffentlicht imKMU-plusMagazin

Datensicherung – Backup

Abwehr von Viren, Würmer & Trojaner

Sicherung des Netzwerks – Firewalls

Betriebssystem-Updates

1

3

2

13

Informationssicherheit:Das Gesamtkonzept

+ Zugriffsregelung+ Verschlüsselung+ D k t ti

veröffentlicht im Best Practice-IT Handbuch 2006

+ Dokumentationu.v.m.

Eine umfassende Lösung ist wichtig!

Sicherheitsrisiko Drucker

14

Aufbau einer IT-Sicherheits-Richtlinie

•Allgemeine RegelungenAllgemeine Regelungen•Speicherung der eigenen Daten (Ort, Umfang, Name …)•Einhaltung der Bestimmungen des BDSG•Umsetzung anderer Gesetzte im Unternehmen (Bsp.: Jugendschutz)

•Persönliche Regelungen•Private Nutzung von Firmenressource, besonders WWW und eMail•Regelmäßiger Besuch von Schulungsveranstaltungen

•EDV orientierte Regelungen•EDV-orientierte Regelungen•Umgang mit eMail („Was“ darf „Wer“ „Wann“ per eMail senden?)•Verschlüsselung•Umgang mit Viren/Würmern/Trojanern•Installation/Konfiguration von Hard- und Software•Umgang mit dem eigenen Laptop•Sicherstellung, dass alle Programme aktuelle gehalten werden

Firewall – so schützen Sie Ihr Netzwerk

ACCESSTO

HEAVENDENIED

Quelle: www.viewz.com/cartoon/ cartoon2.shtml

15

Der Gedanke hinter einer Firewall

Internet

FIREWALL

Internet

FilterGateway

Firmennetzwerk

Zwicky, E.; et al.: Einrichten von Internet Firewalls. O’Reilly

Definition des Begriffes „Port“

PortEintrittsmöglichkeit in Ihren Rechner

Port

In der Regel ist damit der physischer oder logischer Anschluss in einem Netzgemeint.

Englisch für „Anschluss“, „Kanal oder„Öffnung“

gTCP/IP-Anwendungen adressieren den Kommunikationspartner zum einen über die IP-Adresse, zum anderen über eine Port-Nummer, die den Dienst auf dem Zielrechner spezifiziert.

Quelle: http://www.glossar.de/glossar/index.htm

16

Über wie viele Ports verfügt ein PC?

100 ?500 ?

1 000 ?1.000 ?10.000 ?

Wie viele sind eswirklich?

65 535 !!65.535 !!

17

Welche Ports sollte man kennen?

25 SMTP22 SSH(20) 21 FTP

53 DNS23 Telnet

7 Ping-Befehl

80 HTTP25 SMTP

3.389 Windows-Remote-Desktop110 POP3 119 NNTP (News)

53 DNS 23 Telnet

26.000 Quake194 IRC

zwischen 1.024-65.535 ICQ

Einordnung und Klassifizierung

Di P t 0 bi 1 023 i d di• Die Ports von 0 bis 1.023 sind die so genannten "Well Known Ports" oder System-Ports.

• Die Ports von 1.024 bis 49.151 sind registrierte Ports.registrierte Ports.

• Die Ports von 49.151 bis 65.535sind die dynamischen und/oder privaten Ports, die frei verfügbar sind.

Quelle: http://www.firewallinfo.de/handbuecher/tiny_kerio_20/Anleitungtinyfirewall19.html

18

Firewall –Anforderungsanalyse

Zwingend notwendig sind Was nie passieren darfZwingend notwendig sind

mobilF ht i flöß d

Was nie passieren darf

Pausen

immer konsequent und wachsam

Furcht einflößend

abschreckendAblenkung

Personal Firewalls

• Auf jedem Client muss eine eigene Firewall installiert werden

• Dezentrale Lösung• Programmgröße: ca. 3 MB• Eng mit dem Betriebssystem

verbunden• Keine umfassende Sicherheit

garantiert!

19

HILFE – Mein Rechner wird angegriffen!

ÜbersichtPersonal Firewall

• ZoneAlarmhttp://www.zonelabs.com/store/content/home.jsp

• Norton Personal Firewall http://www.symantec.com/sabu/nis/npf

• McAfee Personal Firewallhttp://www.mcafee.com

• Outpost Firewall Pro• Outpost Firewall Prohttp://www.agnitum.com/products/outpost

• Tiny Personal Firewallhttp://www.tinysoftware.com

• Sygate Personal Firewallhttp://www.sygate.com

undviele

mehr ...

20

Bewertung„Personal Firewalls“

Quelle: http://www.freenet.de

Was ist eigentlich TCP / IP?

IP 1 2 3 4 5 6 7 8

Internet

Transport Control Protocol

Internet Protocol

TCPTransport Control Protocol1976 vom US Department of Defence eingeführt

Alternative: UDPUser Datagramm Protokoll

21

Beispielkonfiguration anhand der Protokolle

BeschreibungBeschreibungFür wen gilt diese Regel?In welche Richtung?

Für welche (Web-) Adressengilt diese Regel?

TCPUDPANY

gilt diese Regel?

Zu welchem Zeitpunkt ist dieseRegel gültig?

Erlaubnis/Verbot?

Protokollierung

Beispielkonfiguration anhand der Programme

Erlaubnis

nochProgrammliste

Verbot

nichtdefiniert

22

Meldungen &Feedback

Zone AlarmTiny Firewall

Was muss man erlauben?

# 22 SSH A fb i hlü l• # 22: SSH: Aufbau eines verschlüsselten Datenaustauschs für den externen Zugriff.

• # 80: WWW: Der Web-Server kann auf diesem Port vom Internet erreicht werden und antworten.

• # 3.389: Windows-Remote-Desktop: Hier kann eine verschlüsselte Remote-Desktop-Verbindung hergestellt werden.

Für den Rest sollte gelten: DENY ALL

23

Schwächen einer Personal Firewall

• Wird auf dem zu schützenden Rechner betrieben

• Schützt nur einen PC

• Kann relativ einfach umgangen werden

• Interaktion mit dem Betriebssystem notwendig

V b h S• Verbraucht Systemressourcen

• Nutzer hat gesteigertes Sicherheitsgefühl und wird evtl. leichtsinnig

• Warnmeldungen werden zu schnell ignoriert

Bewertung derMicrosoft-Firewall

Quelle: http://www.autsch.de

24

Absicherungdes WLAN

FrüherHeute

Stichwort: WAR – CHALKING

Wie stark ist mein WLAN?

Berechnet wird die effektive isotrope Strahlungsleistung (EIRP) (inBerechnet wird die effektive isotrope Strahlungsleistung (EIRP) (in dBm) eines WLAN-Gerätes:

+ elektrische Sendeleistung (dBm)+ Verstärkung eines zusätzlichen Verstärkers (dB) (falls vorhanden)− Dämpfung der Kabel (dB/m × Länge) Dämpfung der Kabel (dB/m × Länge)− Dämpfung der Stecker (dB) (meist vernachlässigbar)− Dämpfung eines Blitzschutzadapters (dB) (falls vorhanden)+ Gewinn der Antenne (dBi)

__________________________________________________= Äquivalente isotrope Strahlungsleistung

Quelle: http://de.wikipedia.org/wiki/WLAN

25

Wo wirdWLAN verwendet?

Einsatzgebiete für Funknetze (Quelle: Cisco-Studie)

Hardwarefür ein WLAN

Internet Access Gateway Router

(Foto: NETGEAR)

WLAN-PC-Karte

(802.11b-WLAN-Anbindung mit 11 MBit/s)

(Foto: Toshiba)

Wireless-PCI-Adapter(Foto: ALLNET)

Quelle: Zeidler

26

Aufbau einer umspannenden Infrastruktur

Quelle: Zeidler

Mögliche Störquellen

Material Beispiele Dämpfung

Holz Möbel, Decken, Zwischenwände gering

Gips Zwischenwände ohne Metallgitter gering

Glas Fensterscheiben gering

Mauersteine Wände mittel

Wasser feuchte Materialien Aquarium mittelWasser feuchte Materialien, Aquarium mittel

Beton Außenwände hoch

Gips Zwischenwände mit Metallgitter hoch

Metall Aufzugsschächte, Brandschutztüren sehr hochQuelle: Zeidler

27

Störquellen

Fresnel Zone

Im Freien sollten 80% der Fresnel-Zone frei von Hindernissen sein.

Besonders Wasseranteile spielen hier eine Rolle: z. B. Bäume (Blätter), da Wasser im 2,4-GHz-Band Energie besonders absorbiert.

Quelle: Zeidler

Aktuelle„Schreckensmeldung“

D tDatum:07. November 2008Überschrift:Experten wollen WPA geknackt habenInhalt:- Verschlüsselungsstandard WPA bei WLANs mittlerweile Standard – weil sicher

Quelle: http://www.computerwoche.de/knowledge_center/security/1878203

WLANs mittlerweile Standard – weil sicher- Erste „Gerüchte“ über den ersten erfolgreichen Angriff machen die Runde- Umstellung von WEP aus WPA kurzfristig gestoppt- Wie sicher ist nun WPA2?

28

Auf was Sieunbedingt achten müssen

Di Üb t d SSID hi d t d- Die Übertragung der SSID muss verhindert werden- Umbenennung der vorgegebenen SSID

!Dabei unbedingt die Komplexität des Passwortes beachten!- MAC-Adresse Ihrer Computer im Router eintragen- Verschlüsseln Sie unbedingt die Übertragung!

-WEP (alt/unsicher) -WPA (aktuell/rel. sicher) -WPA2 (Zukunft)- Einstellung des WLAN Sendebereiches- Einstellung des WLAN Sendebereiches- Die Sendeleistung entsprechend justieren- Das WLAN muss nicht immer in Betrieb sein- DHCP im WLAN-Router deaktivieren- Das WLAN-Router darf nur kabelbasiert konfiguriert werden- Beachten Sie bitte, dass es auch für diese Produkte Updates gibt!

Komplexität desPasswortes

Jaiss$Jbd09111

Jetzt arbeite ich schon seit drei Jahren bei der SAGEG

J a i s s d J b d STransformationder Zahlen J a i s s 3 J b d 09111der Zahlen

Transformationder Sonderzeichen

J a i s s $ J b d 09111

29

Angebot des NEG:„Studie im Bereich Social Engineering“

Wir testen Ihr Unternehmen in drei Schritten:

1. Zutritt in Ihr Firmengebäude2. (Freies) Bewegen im Gebäude3. Netzwerkzugang Hacking

Wir suchen 100 Unternehmen in ganz DeutschlandWir suchen 100 Unternehmen in ganz Deutschland,die sich dazu bereit erklären, an dieser Studie

mitzuwirken.

Download der Teilnahmebedingungenhttp://www.ec-net.de/Sicherheit

Bitte passen Sie auf!

30

Si h h it Fi ll

Vielen Dank für Ihre

Sicherheit, Firewallund kabelloses Internet

AufmerksamkeitAndreas Gabriel

MECK Würzburggabriel@meck-online.de

http://www.meck-online.de http://www.wiinf.uni-wuerzburg.de