5. Bedrohung Unautorisierte Netzzugriffe im Jahr 31 bis 40 52% 21 bis 30 25% 1 bis 10 2% 41 bis 50 6% über 50 2% über 50 41 bis 50 31 bis 40 21 bis 30 11 bis 20 1 bis 10 Die meisten Unternehmen erhalten mehrmals pro Monat unerwünschten Besuch. Quelle:WarRoom Research 11 bis 20 13%
6. 15 Angriffe auf Testrechner zwischen 25.2.01 und 1.3.01 Im Schnitt etwa 2 Versuche pro Tag
7. Im Schnitt etwa alle 8 Tage ein Sicherheitspatch bei Microsoft- Produkten
8. Auch Linux ist gegen alle Beteuerungen von "FANS" ein System mit Sicherheits- lücken Quelle: Linux Magazin 09/2002
9. Das gleiche gilt für viele nicht MS-Software! Quelle: Linux Magazin 09/2002 Sicherheitsprobleme bei Anwendungen Juni 2002
10. Schaden: Bsp. USA Die CSI/FBI Computer Crime and Security Survey weist einen Schaden von $ 5.050.000.000 pro Jahr aus. Quelle: CSI/FBI
11.
12.
13. Datenpakete Vereinfachtes Datenpaket Word Datei TCP/IP Dienst Absender: 194.37.26.28 Port: 80 Empfänger: 196.46.47.59 Port: 80 TCP Netz IP Der IP-Header ist wie ein Adresslabel, das auf das Datenpaket geklebt wird.
16. Software Fehler : Buffer Overflow Arbeitsspeicher PRG1 PRG2 10101010000010110101010101011010101101011101 10101011010101101011101 HACK-PRG input Zu erkennen: get http:// www.xnet.de /x=09653andshg tgjwu8utz64zz711645rrcx264326rt4w5tr7 t38t7z8785z4w85tz5t9 Besonders anfällig: C/C++ Programme
17. SoftwareFehler: SQL-Injection user: Kw: Programmcode: . . . Select count(userID) FROM UserTabelle where userID='user' and Passwd='kw' . . . Eingabe: ' or 1=1-- für user Resultierender Programmcode: Select count(userID) FROM UserTabelle where userID= '' or 1=1 Immer Erfüllt!
23. Sniffing 110101010101010 TCPDump Alle Datenpakete im gesamten Netzwerksegment sichtbar Router mit SMNP Und Standard Community String oder RMON enabled Telnet Session Username ......Kennwort Server Sniffing in geswitchten Netzwerken Schutz: Einsatz von Switches und verzicht auf SMNP_Protokoll
24.
25. Bsp: Onlinezahlung Ihr Online-Konto Bank mit Webangebot (Schwach geschützt ) Kto: Pin: TAN: Externer Server mit Zahlungssystem (Stark geschützt) Ihr Online-Konto Hacker Kto: Pin: TAN: Hackerserver mit Kundendatenbank
28. Firewall Ports echo 7/tcp daytime 13/tcp netstat 15/tcp qotd 17/tcp quote ftp-data 20/tcp ftp 21/tcp telnet 23/tcp smtp 25/tcp mail time 37/tcp timserver name 42/tcp nameserver whois 43/tcp nicname domain 53/tcp nameserver mtp 57/tcp bootp 67/udp finger 79/tcp pop 109/tcp postoffice pop2 109/tcp pop3 110/tcp postoffice sunrpc 111/tcp sunrpc 111/udp Intranet Firewall Die Entscheidung, welche Ports blockiert werden, hängt von den Aufgaben und der Sicherheitsphilosophie im Intr@net ab. analysiert Datenverkehr zwischen internem und externem Netz entscheidet nach vorgegebenen Regeln welche Daten weitergeleitet werden dürfen.
31. Public Key Verfahren Ö( Geheimer Text )----> 4 3q48u t2u P( 4 3q48u t2u )----> Geheimer Text oder P( Geheimer Text )-----> eir?§aht1908 Ö( eir?§aht1908 )----> Geheimer Text Beim Public Key- Verfahren gibt es einen öffentlichen und einen privaten Schlüssel. Nacheinander angewendet, können sie einen Text lesbar oder völlig unlesbar machen.
32. Verschlüsselte Nachrichten Mein öffentlicher Schlüssel Ö A : Geheimer Schlüssel P A ( tnmw9 e4 ) = Geheimer Text A B Ö A ( Geheimer Text ) = tnmw9 e4 Datenübertragung
33. VPN Zentrale Aussendient Telearbeitsplatz Datenaustausch wird verschlüsselt über „öffentliches“ Netz übertragen (Hard- und Softwarelösungen). Nieder- lassung
41. Sicherheit in Netzwerken Dem Einsatz unserer Sicherheitslösungen geht eine gründliche Sicherheitsprüfung und Schwachstellen-analyse voraus.
42.
43.
44. Virtual Private Networks Sichere Kommunikation mit Ihren Partnern, Niederlassungen und Aussenddienst. Direkter Zugriff in Ihr Firmennetz Sichere Telearbeitsplätze
Angriffe auf ein Unternehmensnetzwerk sind eine sehr reale Gefahr. Nach Untersuchungen des Marktforschungs- Unternehmens WarRoom Reseach erhalten Jahr für Jahr zwei Drittel aller Netzwerke mindestens alle 10 Tage ungebetenen Besuch. Siehe Grafik ..................................................................... Wenn der Hacker erst einmal „drin“ ist, ist der Schaden meist bereits irreversibel geworden. So weist die CSI/FBI Computer Crime and Security Survey einen Schaden von $ 5.050.000.000 pro Jahr aus.
Als 1990 Scotland Yard drei langgesuchte Hacker dingfest machte, staunten die Fahnder nicht schlecht: Innerhalb weniger Jahre waren die Profis in mehr als 70000 Netze eingedrungen. Wie aus der Grafik zu lesen ist, verursacht der Bereich interne Netzattacken denn größten Schaden. Dabei ist die Dunkelziffer laut CSI/FBI Computer Crime and Security Survey nicht einzuschätzen.
Alarmanlage fürs Firmennetz Ein IDS überprüft ständig automatisch: Datenbanken und Applikationen auf der Softwareseite sowie Firewalls, Router und Server auf der Hardwareseite. Er hat Möglichkeit einen Ernsthaften Angriff auf die zu sichernden Daten in Echtzeit zu erkennen und augenblicklich darauf zu reagieren, beispielsweise dadurch, Verbindungen zu unterbrechen und in einer entsprechend konfigurierten Log- Datei aufzuzeichnen. IDS für den Host- Bereich Host- basierte IDS überwachen Datenströme am einzelnen Arbeitsplatz, also etwa einem Netz- PC. Sie erfüllen ihre Aufgabe entweder auf der Ebene des Betriebssystems oder der Anwendung. Das IDS analysiert fortlaufend Informationen wie z.b. Benutzernamen, Passwort, Zeitpunkt, Dauer des Zugriffs und schlägt bei Verdacht Alarm. Im Allgemeinen sind Host- basierende IDS einfach vom Anwender zu konfigurieren. Ein Nachteil ist jedoch, dass Angriffe die auf einem Netzwerkprotokoll basieren nicht erkannt werden. In großen Unternehmensnetzen mit vielen verschiedenen Plattformen können Host- basierende IDS ihre Aufgabe nicht mehr erfüllen. Hier müssen alle Kommunikationsebenen und nicht nur die der Betriebsysteme oder der Anwendungen überwacht werden. Netzwerk- basierte IDS Diese Aufgabe wird von den sogenannten Netzwerk- basierenden IDS erfüllt. Sie werden zwischen Client und Server installiert und überwachen den gesamten Netzverkehr. Jedes einzelne Datenpaket wird in Echtzeit analysiert und mit zuvor erlernten Angriffsmustern (attack signatures) verglichen. Werden dabei auffällige Prozesse entdeckt, werden diese identifiziert, aufgezeichnet und unterbrochen. Ein weiterer Vorteil ist, das Netzwerk- basierende IDS nicht auf jedem Rechner installiert werden müssen und so eine wesentlich bessere Performance erreichten. Nachteil: Für jedes Angriffsmuster muss eine eigene Routine separat implementiert werden. Außerdem wird der Analysevorgang umso langsamer je mehr Muster erkannt werden sollen. Darüber hinaus klafft eine totale Überwachungslücke bei jeder neu Implementierung. Diesen Nachteil versuchen sogenannte SDSI (Sateful Dynamic Signature Inspection- Technologie) aufzufangen. Sie erlaubt es, neue Routinen dynamisch hinzuzufügen, also ohne dass dabei die Software vom Netz genommen werden muss. Die wichtigsten Anbieter von IDS sind: www . axent . com www .iss. net www . nai . com
Das A und O der Datensicherheit ist eine klar definierte Sicherheitspolitik, die individuell festlegt, was, wie, vor wem und wovor geschützt werden muss. Daraus ergeben sich Folgerungen für das verhalten der Mitarbeiter, die organisatorische Gestaltung der IT- Struktur und die Anschaffung von Hard- und Software. Im Rahmen der Risikoanalyse müssen Zugangsberechtigungen geklärt werden und die gesamte IT- Architektur einschließlich des „Faktor Mensch“ auf mögliche Sicherheitslücken überprüft werden. Bei der Auswahl einer Sicherheitsstrategie sollten zur Abschätzung der Verwundbarkeit sogenannte „Vulnerability Assessment Tools“ zum Einsatz kommen. Dann kann die Ausgewählte Strategie Implementiert werden. Dies werden im der Regel Tools der Verschlüsselungstechnologie, Zugangskontrolle, Identifizierung und Autorisierung bis hin zu Virenscanner und Firewalls sein. Ist die Implementierung abgeschlossen, gilt es ein zuverlässiges Sicherheitsmonitorring einzurichten, das durch geschultes Personal und entsprechende Technologie gewährleistet wird. Maßnahmen zur Daten- und Systemrettung markieren den Endpunkt des Datensicherheitsnetzwerks.