11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme

11.11.2004 Internet-Sicherheit (1) 1

Internet-Sicherheit (1)

Teil 1:Schutz der lokalen

Daten und Systeme


Themen Bedeutung von Internet-Sicherheit Hauptrisiken bei Internet-Nutzung Möglichkeiten und Grenzen von

Firewalls, Viren- und E-Mail-Scannern

BSI/DATech-Vorschläge zu Internet-Sicherheitsmaßnahmen


Der Referent:Wolfgang Redtenbacher Leiter der BSI/DATech-

Arbeitsgruppe „Internet-Sicherheit“(BSI = Bundesamt für Sicherheit in der Informationstechnik, DATech = Deutsche Akkreditierungsstelle für Technik)

Mitglied der IETF-Arbeitsgruppen „Open PGP“ und „S/MIME“(IETF = Internet Engineering Task Force)


Wie wichtig ist Sicherheit? Ca. 9 neue Viren pro Tag, ca. 2-5 neu

entdeckte Sicherheitslücken pro Woche 1 großer Befall alle 2-6 Monate (Melissa,

ILoveYou, CodeRed, SirCam, Klez, MyDoom, Sober, ..., Bugbear, Bagle)

Jede 3. deutsche Firma erlitt im letzten Jahr Schäden durch Viren, Würmer oder Trojaner

Klez.H verursachte ca. 9 Milliarden Dollar Schaden


Hauptrisiken bei Internet-Nutzung als Client Unzureichend abgeschirmte

Transportschicht (Hacker kann sich einwählen)

Browserfehler, die von bösartigen WWW-Seiten ausgenutzt werden

E-Mail-Software, die „aktive Inhalte“ beim Empfang ausführt oder Viren ins Netz lässt


Hauptrisiken – aktuelle Beispiele für Schadsoftware Unzureichend abgeschirmte

Transportschicht: Sasser-Wurm Browserfehler: Pado-Load-A

(www.superdelotto.com) „Aktive“ Mail-Inhalte: Bugbear,

Bagle, ...


Was leistet eine Firewall? Beschränkt Verbindungen auf

freigegebene Dienste und Adressen Anrufer müssen sich

authentifizieren Lehnt „unangeforderte“

Datenpakete ab=> Schützt die Transportschicht


Was leistet ein Virenscanner? Prüft Festplatten-/Disketteninhalte

auf bekannte Viren Prüft ggf. E-Mails auf (bekannte)

Viren, bevor sie ins Postfach gelassen werden

Nimmt hinsichtlich neuer Viren gewisse Plausibilitätsprüfungen vor

=> Schützt vor bekannten Viren („Räuber- und Gendarm“-Spiel)


BSI/DATech-Vorschläge zu Internet-Sicherheitsniveauswww.datech.de/share/files/Pruefbaustein_Internet-Sicherheit.pdf

Beschränkung auf Internetzugang als Client und bekannte „Engpässe“

=> überschaubar Stufenweise Verbesserung

durch 2 Sicherheitsniveaus

http://www.datech.de/share/files/Pruefbaustein_Internet-Sicherheit.pdf

http://www.datech.de/share/files/Pruefbaustein_Internet-Sicherheit.pdf


Stufenweise Verbesserung durch 2 Sicherheitsniveaus Stufe 1: Einstieg, leicht

durchführbar, „kostenlose“ Maßnahmen

Stufe 2: „solides“ Schutzniveau, kann jedoch Kosten oder Komforteinschränkungen verursachen


A. Empfehlungen zum Schutz der Transportschicht Stufe 1: Internet-Zugang aus dem

LAN heraus wird durch Deinstallation oder (Personal) Firewall auf E-Mail und Surfen beschränkt

Stufe 2: Zentrale Maßnahme (Firewall/Router o.ä.) stellt Beschränkung auf E-Mail+Surfen in personenunabhängiger Form sicher


Transportschicht – Umsetzungsbeispiel (Stufe 2) Zentrale(r) Router/Firewall lässt

nur Ports 25/80/110 durch (= E-Mail + Surfen)

oder: „Versiegelbare“ Personal Firewall

(Bsp.: Agnitum Outpost Professional) an den Arbeitsplätzen gibt nur Ports 25/80/110 frei


B. Empfehlungen zum Schutz des Surfens Stufe 1: Nur Browser mit „guter“

Sicherheitshistorie (oder Wegfilterung „aktiver Inhalte“)

Stufe 2: Zentrale Maßnahme (Firewall/Proxy-Server o.ä.) filtert „aktive Inhalte“ aus HTTP-Datenströmen im LAN; unbeschränktes Surfen nur von „Freiwild-PCs“


Surfen –Umsetzungsbeispiel (Stufe 2) Firewall oder Proxy-Server entfernt

„aktive Inhalte“ (= <SCRIPT>-, <OBJECT>- und <APPLET>-Elemente, Event-

Handler und JavaScript-Links) beim Surfen aus dem LAN

Für unbeschränktes Surfen stehen „Freiwild-PCs“ zur Verfügung


Surfen –Was sind „Freiwild-PCs“?

PCs zum unbeschränkten Surfen, die:

physisch vom LAN getrennt sind (eigene Zentraleinheit oder spez. Einsteckkarte) und

keine schützenswerten Daten enthalten (Festplatteninhalt kann jederzeit auf den Ausgangszustand zurückgesetzt werden)


Surfen – Umsetzungsbeispiele für Freiwild-PCsJe nach Häufigkeit des Surfens: Ein oder mehrere getrennte Surf-PCs

(z.B. Bibliotheks-PCs) Schlüsselpersonen erhalten „Dual-

PCs“ (2 Zentraleinheiten mit Konsolenumschalter)

Direkter Zugriff aus dem LAN über (Firewall-geschützte!) Fernwartung auf Bildschirminhalte eines Surf-PC-Pools


C. Empfehlungen zum Schutz des E-Mail-Verkehrs Stufe 1: Nutzung eines E-Mail-

Clients, der keine „aktiven Inhalte“ (Java, JavaScript, ActiveX) ausführt

Stufe 2: Maßnahmen zur Verhinderung der (versehentlichen) Ausführung von E-Mail-Anlagen (.EXE, .PIF, .DOC usw.) per Mausklick


E-Mail - Umsetzungsbeispiel (Stufe 2) E-Mail-Client enthält wirksame

Schutzmechanismen gegen gefährliche Dateianlagen (Bsp.: KT-Mail)

oder: Gateway-Lösung schützt E-Mail-

Verkehr zentral


E-Mail – Produktbeispiele für zentralen Gateway-Schutz Sanitizer (Open Source –

Schutz eingeschränkt für Windows 2000/XP-

Clients) GFI MailSecurity Hummingbird Content-

Management-System KT-Mail/Filter-Gateway


Arbeitsweise desKT-Mail/Filter-Gateways Lässt harmlose Bestandteile

(Texte, Grafiken) durch Säubert automatisch potentiell

gefährliche Formate, wo möglich (HTML, DOC usw.)

Stellt sonstige potentiell gefährliche Formate in Quarantäne

21Internet-Sicherheit (1)11.11.2004

End-benutzer

KT-Mail/Gateway

Verbindungzum Internet

HarmloserRest-Inhalt

GefährlicheE-Mail?

Bild: Gateway-Aktion bei pot. gefährlichen E-Mail-Inhalten

Virus

Virus

Warn-Hinweis anEDV-Betreuer


Besonderheiten desKT-Mail/Filter-Gateways Läuft den Viren nicht hinterher („Räuber

und Gendarm“), sondern stopft gleich die grundlegenden Kanäle

Behandelt unbekannte Formate als potentiell gefährlich (keine Anfangslücke bei neuen Viren)

Kann häufige Formate (DOC, HTML usw.) automatisch säubern (dadurch Quarantäne nur selten nötig)

Documents

11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme