Upload
hanne-zielke
View
106
Download
0
Embed Size (px)
Citation preview
11.11.2004 Internet-Sicherheit (1) 1
Internet-Sicherheit (1)
Teil 1:Schutz der lokalen
Daten und Systeme
11.11.2004 Internet-Sicherheit (1) 2
Themen Bedeutung von Internet-Sicherheit Hauptrisiken bei Internet-Nutzung Möglichkeiten und Grenzen von
Firewalls, Viren- und E-Mail-Scannern
BSI/DATech-Vorschläge zu Internet-Sicherheitsmaßnahmen
11.11.2004 Internet-Sicherheit (1) 3
Der Referent:Wolfgang Redtenbacher Leiter der BSI/DATech-
Arbeitsgruppe „Internet-Sicherheit“(BSI = Bundesamt für Sicherheit in der Informationstechnik, DATech = Deutsche Akkreditierungsstelle für Technik)
Mitglied der IETF-Arbeitsgruppen „Open PGP“ und „S/MIME“(IETF = Internet Engineering Task Force)
11.11.2004 Internet-Sicherheit (1) 4
Wie wichtig ist Sicherheit? Ca. 9 neue Viren pro Tag, ca. 2-5 neu
entdeckte Sicherheitslücken pro Woche 1 großer Befall alle 2-6 Monate (Melissa,
ILoveYou, CodeRed, SirCam, Klez, MyDoom, Sober, ..., Bugbear, Bagle)
Jede 3. deutsche Firma erlitt im letzten Jahr Schäden durch Viren, Würmer oder Trojaner
Klez.H verursachte ca. 9 Milliarden Dollar Schaden
11.11.2004 Internet-Sicherheit (1) 5
Hauptrisiken bei Internet-Nutzung als Client Unzureichend abgeschirmte
Transportschicht (Hacker kann sich einwählen)
Browserfehler, die von bösartigen WWW-Seiten ausgenutzt werden
E-Mail-Software, die „aktive Inhalte“ beim Empfang ausführt oder Viren ins Netz lässt
11.11.2004 Internet-Sicherheit (1) 6
Hauptrisiken – aktuelle Beispiele für Schadsoftware Unzureichend abgeschirmte
Transportschicht: Sasser-Wurm Browserfehler: Pado-Load-A
(www.superdelotto.com) „Aktive“ Mail-Inhalte: Bugbear,
Bagle, ...
11.11.2004 Internet-Sicherheit (1) 7
Was leistet eine Firewall? Beschränkt Verbindungen auf
freigegebene Dienste und Adressen Anrufer müssen sich
authentifizieren Lehnt „unangeforderte“
Datenpakete ab=> Schützt die Transportschicht
11.11.2004 Internet-Sicherheit (1) 8
Was leistet ein Virenscanner? Prüft Festplatten-/Disketteninhalte
auf bekannte Viren Prüft ggf. E-Mails auf (bekannte)
Viren, bevor sie ins Postfach gelassen werden
Nimmt hinsichtlich neuer Viren gewisse Plausibilitätsprüfungen vor
=> Schützt vor bekannten Viren („Räuber- und Gendarm“-Spiel)
11.11.2004 Internet-Sicherheit (1) 9
BSI/DATech-Vorschläge zu Internet-Sicherheitsniveauswww.datech.de/share/files/Pruefbaustein_Internet-Sicherheit.pdf
Beschränkung auf Internetzugang als Client und bekannte „Engpässe“
=> überschaubar Stufenweise Verbesserung
durch 2 Sicherheitsniveaus
11.11.2004 Internet-Sicherheit (1) 10
Stufenweise Verbesserung durch 2 Sicherheitsniveaus Stufe 1: Einstieg, leicht
durchführbar, „kostenlose“ Maßnahmen
Stufe 2: „solides“ Schutzniveau, kann jedoch Kosten oder Komforteinschränkungen verursachen
11.11.2004 Internet-Sicherheit (1) 11
A. Empfehlungen zum Schutz der Transportschicht Stufe 1: Internet-Zugang aus dem
LAN heraus wird durch Deinstallation oder (Personal) Firewall auf E-Mail und Surfen beschränkt
Stufe 2: Zentrale Maßnahme (Firewall/Router o.ä.) stellt Beschränkung auf E-Mail+Surfen in personenunabhängiger Form sicher
11.11.2004 Internet-Sicherheit (1) 12
Transportschicht – Umsetzungsbeispiel (Stufe 2) Zentrale(r) Router/Firewall lässt
nur Ports 25/80/110 durch (= E-Mail + Surfen)
oder: „Versiegelbare“ Personal Firewall
(Bsp.: Agnitum Outpost Professional) an den Arbeitsplätzen gibt nur Ports 25/80/110 frei
11.11.2004 Internet-Sicherheit (1) 13
B. Empfehlungen zum Schutz des Surfens Stufe 1: Nur Browser mit „guter“
Sicherheitshistorie (oder Wegfilterung „aktiver Inhalte“)
Stufe 2: Zentrale Maßnahme (Firewall/Proxy-Server o.ä.) filtert „aktive Inhalte“ aus HTTP-Datenströmen im LAN; unbeschränktes Surfen nur von „Freiwild-PCs“
11.11.2004 Internet-Sicherheit (1) 14
Surfen –Umsetzungsbeispiel (Stufe 2) Firewall oder Proxy-Server entfernt
„aktive Inhalte“ (= <SCRIPT>-, <OBJECT>- und <APPLET>-Elemente, Event-
Handler und JavaScript-Links) beim Surfen aus dem LAN
Für unbeschränktes Surfen stehen „Freiwild-PCs“ zur Verfügung
11.11.2004 Internet-Sicherheit (1) 15
Surfen –Was sind „Freiwild-PCs“?
PCs zum unbeschränkten Surfen, die:
physisch vom LAN getrennt sind (eigene Zentraleinheit oder spez. Einsteckkarte) und
keine schützenswerten Daten enthalten (Festplatteninhalt kann jederzeit auf den Ausgangszustand zurückgesetzt werden)
11.11.2004 Internet-Sicherheit (1) 16
Surfen – Umsetzungsbeispiele für Freiwild-PCsJe nach Häufigkeit des Surfens: Ein oder mehrere getrennte Surf-PCs
(z.B. Bibliotheks-PCs) Schlüsselpersonen erhalten „Dual-
PCs“ (2 Zentraleinheiten mit Konsolenumschalter)
Direkter Zugriff aus dem LAN über (Firewall-geschützte!) Fernwartung auf Bildschirminhalte eines Surf-PC-Pools
11.11.2004 Internet-Sicherheit (1) 17
C. Empfehlungen zum Schutz des E-Mail-Verkehrs Stufe 1: Nutzung eines E-Mail-
Clients, der keine „aktiven Inhalte“ (Java, JavaScript, ActiveX) ausführt
Stufe 2: Maßnahmen zur Verhinderung der (versehentlichen) Ausführung von E-Mail-Anlagen (.EXE, .PIF, .DOC usw.) per Mausklick
11.11.2004 Internet-Sicherheit (1) 18
E-Mail - Umsetzungsbeispiel (Stufe 2) E-Mail-Client enthält wirksame
Schutzmechanismen gegen gefährliche Dateianlagen (Bsp.: KT-Mail)
oder: Gateway-Lösung schützt E-Mail-
Verkehr zentral
11.11.2004 Internet-Sicherheit (1) 19
E-Mail – Produktbeispiele für zentralen Gateway-Schutz Sanitizer (Open Source –
Schutz eingeschränkt für Windows 2000/XP-
Clients) GFI MailSecurity Hummingbird Content-
Management-System KT-Mail/Filter-Gateway
11.11.2004 Internet-Sicherheit (1) 20
Arbeitsweise desKT-Mail/Filter-Gateways Lässt harmlose Bestandteile
(Texte, Grafiken) durch Säubert automatisch potentiell
gefährliche Formate, wo möglich (HTML, DOC usw.)
Stellt sonstige potentiell gefährliche Formate in Quarantäne
21Internet-Sicherheit (1)11.11.2004
End-benutzer
KT-Mail/Gateway
Verbindungzum Internet
HarmloserRest-Inhalt
GefährlicheE-Mail?
Bild: Gateway-Aktion bei pot. gefährlichen E-Mail-Inhalten
Virus
Virus
Warn-Hinweis anEDV-Betreuer
11.11.2004 Internet-Sicherheit (1) 22
Besonderheiten desKT-Mail/Filter-Gateways Läuft den Viren nicht hinterher („Räuber
und Gendarm“), sondern stopft gleich die grundlegenden Kanäle
Behandelt unbekannte Formate als potentiell gefährlich (keine Anfangslücke bei neuen Viren)
Kann häufige Formate (DOC, HTML usw.) automatisch säubern (dadurch Quarantäne nur selten nötig)