1
Sicherheit, Firewallund kabelloses Internet
Großer Sitzungssaal, Landratsamt Rhön-GrabfeldB d N t dt 13 11 2008
Andreas GabrielMECKc/o Universität Würzburghttp://www.meck-online.de
Bad Neustadt, 13.11.2008
eMail von Wikipedia?
06 11 2006 09:41 Uhr06.11.2006 – 09:41 Uhr
2
Recherche bei der vermeintlichen Quelle
Des Rätsels Lösung
06.11.2006 – 16:02 Uhr
3
Ein deutschland-weites Netzwerk
Netzwerk Elektronischer Geschäftsverkehr
- 25 regionale Zentren in ganzDeutschland
- 1 Branchenzentrum „Handel“mit Sitz in Köln
- Projektträger: Deutsche Gesellschaft fürLuft- und Raumfahrt (DLR)u u d au a ( )
- Förderung durch das BMWi(Bundesministerium für Wirtschaft und Technologie)
http://www.ec-net.de
Vertreter des NEG in unserer Region
Sie erreichen uns unter: http://www meck-online de
Mainfränkisches Electronic Commerce Kompetenzzentrum
Unsere Intension Hier finden Sie unsDas MECK-Team
Sie erreichen uns unter: http://www.meck-online.de
Veran-staltungen
Bei Ihnen vor Ort
Bildquellen: www.hausnummer-online.de, www.kreativrauschen.de
… und zahlreiche Partner
4
S it J li 2000 i h ftli h Mit b it
Über meine Person:Andreas Gabriel
Seit Juli 2000 wissenschaftlicher Mitarbeiter amLehrstuhl für BWL und Wirtschaftsinformatik, Prof. Dr. R. Thome; Universität Würzburghttp://www.wiinf.uni-wuerzburg.de
Seit 2003 Mitarbeiter des Mainfränkischen ElectronicCommerce Kompetenzzentrums (MECK) –Mitglied im Netzwerk ElektronischergGeschäftsverkehr (NEG) http://www.meck-online.de
Mittelstandsberatung mit dem Schwerpunkt Informationssicherheit
Seit Mai 2006:Zertifizierung zum ISMS Auditor/Lead Auditor ISO 27001:2005 durch das British Standard Institut
http://www.ec-net.de/sicherheit
Sie erreichen uns unter: http://www.ec-net.de/Sicherheit
Begleitprojekt„Informationssicherheit“
Dr. Kai HudetzAndreas Duscha
Prof. Dr. Hans-Jürgen OttMarkus Wirth
Dagmar Lange(Projektleiterin)Prof. Dr. Günther Neef
Stephan Rogge
Andreas Gabriel
5
Branchenbeispiel Handwerk 1
17 branchenspezifische Best-Practice-Anleitungen aus dem Jahr 2007
pBranchenbeispiel Handwerk 2
Branchenbeispiel EinzelhandelBranchenbeispiel Produktion/Großhandel
Branchenbeispiel Maschinenbau 1Branchenbeispiel Maschinenbau 2Branchenbeispiel Maschinenbau 3
Branchenbeispiel SondermaschinenbauBranchenbeispiel TextilindustrieB h b i i l L i ik
Quelle: http://www.ec-net.de/EC-Net/Navigation/netz-informationssicherheit,did=236904.html
Branchenbeispiel LogistikBranchenbeispiel Öffentliche Verwaltung
Branchenbeispiel Finanzwesen/VersicherungBranchenbeispiel Gesundheitswesen
Branchenbeispiel Automatisierungs-/WartungstechnikBranchenbeispiel Informationstechnik
Branchenbeispiel AnlagenbauBranchenbeispiel Umwelt-/Geotechnik
Kenntnisse über die wesentlichen gesetzlichen Vorgaben zur IT-Sicherheit
• Über 70 % der Befragten geben
22,5%
48,7%
20 8%
40%
60%Über 70 % der Befragten geben an, die wesentlichen Vorgaben ganz oder zumindest teilweise zu kennen, die im Bereich der IT-Sicherheit für Sie gelten.
• Jeder fünfte Befragte kennt die gesetzlichen Vorgaben nicht.
20,8%
8,1%
0%
20%
ja teilweise nein weiß nicht
In Kooperation mit dem E-Commerce-Center Handel, Köln
Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit
6
Formulierung und Umsetzung eines Datensicherungskonzeptes
27,8%
47,8%
30%
40%
50%
60%Lediglich knapp die Hälfte der Befragten haben ein Datensicherungskonzept komplett formuliert und realisiert.
6,7%
17,7%
0%
10%
20%
ja teilweise nein weiß nicht
In Kooperation mit dem E-Commerce-Center Handel, Köln
Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit
Opfer klagt: „Gib mir meine Erinnerungen zurück!“
Datum:August 2008Überschrift:Gemeiner Laptop-DiebInhalt:-Laptop aus dem Auto gestohlen( B if h it !)
Quelle: http://www.bild.de
(vom Beifahrersitz!)-Alle Fotos des fünf Monate alten Babys sind ersatzlos verloren
-Trotz Suchaktion inkl. Belohnung keine Reaktion des Diebs
7
Überprüfung der Wiederherstellungdes Datenbestandes
• Jeder zweite hat zumindest einmal
27,4%
50,9%
30%
40%
50%
60%
70%Jeder zweite hat zumindest einmal überprüft, ob die Wiederherstellung des Datenbestandes mit den vorhandenen Sicherungskopien möglich ist.
• 13 % der Befragten verlassen sich auf die Möglichkeit zur Wiederherstellung ohne bisherige Überprüfung.
8,0%13,7%
0%
10%
20%
ja teilweise nein weiß nichtn = 212
Überprüfung.
In Kooperation mit dem E-Commerce-Center Handel, Köln
Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit
Länge der Aufrechterhaltung des Betriebes ohne folgende Dienste
Telefon
Eigener File-Server
Internetrecherche
1 2 3 4 5
Eigener Internetauftritt
Buchhaltung
Eigener Internethandel
n ≥ 156
weniger als eine Stunde
bis zu vier Stunden bis zu einem Tag bis zu einer Woche mehr als eine Woche
In Kooperation mit dem E-Commerce-Center Handel, Köln
Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit
8
Mit welchen Sicherheitsproblemen wurde Siein den letzten 18 Monaten konfrontiert?
1
2
3
Quelle: http://silicon.de
3
Wo befindet sich der „Gegner“?
50
30
15
5
1
Ang
reife
r Fremde RegierungenKonkurrentenHackerfrustrierte Mitarbeiter
Quelle: Computer Security Institute Survey
0 10 20 30 40 50 60
prozentualer Anteil
9
Wo kommen die„Gegner“ her?
Quelle: www.discoverhackistan.com
Wer ist der Gegner?
Hacker Cracker Script-KiddiesBilder: http://www.stampfenkater.de, http://image.guardian.co.uk, www.starwarped.faketrix.com; www.internetcafeciler.net; tomarpartido.weblog.com.pt
10
Beispiel füreinen „Hackerangriff“
Was ist passiert?
•Frau Palin nutze wohl ihren privaten•Frau Palin nutze wohl ihren privateneMail-Account auch für dienstlicheZwecke
•Hacker nutze den „Erinnerungs-Service“ von Yahoo, um das Loginzu erlangen und benötigte dazufolgende Informationen:
Quelle: http://www.bild.de
folgende Informationen:•Geburtsdatum•PLZ der Heimatadresse•Antwort auf die Kontrollfrage„Wo lernte ich meinen Ehemann kennen?“
11
Wie schnell findetman die Antworten?
G b t d t 11 02 1964Geburtsdatum 11.02.1964
Quelle: http://de.wikipedia.org/wiki/Sarah_PalinDauer: 30 Sekunden
PLZAlaska State Capitol BuildingP.O. Box 110001Juneau AK 99811-0001
Dauer: 2 Minuten
Quelle: http://gov.state.ak.us/govofficesJuneau, AK 99811-0001
Ehemann
Quelle: http://www.gop.com
Sie lernten sich in der Highschool kennen Dauer: ca. 60 Minuten
Informationssicherheit –Organisatorische Maßnahmen
MECK-Stufenkonzept zur Informationssicherheit
1 Ernennung einesVerantwortlichen
2Delegierung definierterVerantwortlichkeiten
3Regelmäßige Schulung der eigenen MitarbeiterOrganisatorische
Maßnahmen
12
Schulung – leider noch immer unterschätzt
Formen der Weiterbildung im Bereich Sicherheit“Formen der Weiterbildung im Bereich „Sicherheit
Quelle: Umfrage des NEG; Bereitstellung der Daten durch das ECC-Handel in Köln
Informationssicherheit –Technische Maßnahmen
MECK-Stufenkonzept zur Informationssicherheit
Betriebssystem Updates
Anti-Spyware
Anti-Dialer
Anti-Spam
4
6
5
7
Quelle: MECKveröffentlicht imKMU-plusMagazin
Datensicherung – Backup
Abwehr von Viren, Würmer & Trojaner
Sicherung des Netzwerks – Firewalls
Betriebssystem-Updates
1
3
2
13
Informationssicherheit:Das Gesamtkonzept
+ Zugriffsregelung+ Verschlüsselung+ D k t ti
veröffentlicht im Best Practice-IT Handbuch 2006
+ Dokumentationu.v.m.
Eine umfassende Lösung ist wichtig!
Sicherheitsrisiko Drucker
14
Aufbau einer IT-Sicherheits-Richtlinie
•Allgemeine RegelungenAllgemeine Regelungen•Speicherung der eigenen Daten (Ort, Umfang, Name …)•Einhaltung der Bestimmungen des BDSG•Umsetzung anderer Gesetzte im Unternehmen (Bsp.: Jugendschutz)
•Persönliche Regelungen•Private Nutzung von Firmenressource, besonders WWW und eMail•Regelmäßiger Besuch von Schulungsveranstaltungen
•EDV orientierte Regelungen•EDV-orientierte Regelungen•Umgang mit eMail („Was“ darf „Wer“ „Wann“ per eMail senden?)•Verschlüsselung•Umgang mit Viren/Würmern/Trojanern•Installation/Konfiguration von Hard- und Software•Umgang mit dem eigenen Laptop•Sicherstellung, dass alle Programme aktuelle gehalten werden
Firewall – so schützen Sie Ihr Netzwerk
ACCESSTO
HEAVENDENIED
Quelle: www.viewz.com/cartoon/ cartoon2.shtml
15
Der Gedanke hinter einer Firewall
Internet
FIREWALL
Internet
FilterGateway
Firmennetzwerk
Zwicky, E.; et al.: Einrichten von Internet Firewalls. O’Reilly
Definition des Begriffes „Port“
PortEintrittsmöglichkeit in Ihren Rechner
Port
In der Regel ist damit der physischer oder logischer Anschluss in einem Netzgemeint.
Englisch für „Anschluss“, „Kanal oder„Öffnung“
gTCP/IP-Anwendungen adressieren den Kommunikationspartner zum einen über die IP-Adresse, zum anderen über eine Port-Nummer, die den Dienst auf dem Zielrechner spezifiziert.
Quelle: http://www.glossar.de/glossar/index.htm
16
Über wie viele Ports verfügt ein PC?
100 ?500 ?
1 000 ?1.000 ?10.000 ?
Wie viele sind eswirklich?
65 535 !!65.535 !!
17
Welche Ports sollte man kennen?
25 SMTP22 SSH(20) 21 FTP
53 DNS23 Telnet
7 Ping-Befehl
80 HTTP25 SMTP
3.389 Windows-Remote-Desktop110 POP3 119 NNTP (News)
53 DNS 23 Telnet
26.000 Quake194 IRC
zwischen 1.024-65.535 ICQ
Einordnung und Klassifizierung
Di P t 0 bi 1 023 i d di• Die Ports von 0 bis 1.023 sind die so genannten "Well Known Ports" oder System-Ports.
• Die Ports von 1.024 bis 49.151 sind registrierte Ports.registrierte Ports.
• Die Ports von 49.151 bis 65.535sind die dynamischen und/oder privaten Ports, die frei verfügbar sind.
Quelle: http://www.firewallinfo.de/handbuecher/tiny_kerio_20/Anleitungtinyfirewall19.html
18
Firewall –Anforderungsanalyse
Zwingend notwendig sind Was nie passieren darfZwingend notwendig sind
mobilF ht i flöß d
Was nie passieren darf
Pausen
immer konsequent und wachsam
Furcht einflößend
abschreckendAblenkung
Personal Firewalls
• Auf jedem Client muss eine eigene Firewall installiert werden
• Dezentrale Lösung• Programmgröße: ca. 3 MB• Eng mit dem Betriebssystem
verbunden• Keine umfassende Sicherheit
garantiert!
19
HILFE – Mein Rechner wird angegriffen!
ÜbersichtPersonal Firewall
• ZoneAlarmhttp://www.zonelabs.com/store/content/home.jsp
• Norton Personal Firewall http://www.symantec.com/sabu/nis/npf
• McAfee Personal Firewallhttp://www.mcafee.com
• Outpost Firewall Pro• Outpost Firewall Prohttp://www.agnitum.com/products/outpost
• Tiny Personal Firewallhttp://www.tinysoftware.com
• Sygate Personal Firewallhttp://www.sygate.com
undviele
mehr ...
20
Bewertung„Personal Firewalls“
Quelle: http://www.freenet.de
Was ist eigentlich TCP / IP?
IP 1 2 3 4 5 6 7 8
Internet
Transport Control Protocol
Internet Protocol
TCPTransport Control Protocol1976 vom US Department of Defence eingeführt
Alternative: UDPUser Datagramm Protokoll
21
Beispielkonfiguration anhand der Protokolle
BeschreibungBeschreibungFür wen gilt diese Regel?In welche Richtung?
Für welche (Web-) Adressengilt diese Regel?
TCPUDPANY
gilt diese Regel?
Zu welchem Zeitpunkt ist dieseRegel gültig?
Erlaubnis/Verbot?
Protokollierung
Beispielkonfiguration anhand der Programme
Erlaubnis
nochProgrammliste
Verbot
nichtdefiniert
22
Meldungen &Feedback
Zone AlarmTiny Firewall
Was muss man erlauben?
# 22 SSH A fb i hlü l• # 22: SSH: Aufbau eines verschlüsselten Datenaustauschs für den externen Zugriff.
• # 80: WWW: Der Web-Server kann auf diesem Port vom Internet erreicht werden und antworten.
• # 3.389: Windows-Remote-Desktop: Hier kann eine verschlüsselte Remote-Desktop-Verbindung hergestellt werden.
Für den Rest sollte gelten: DENY ALL
23
Schwächen einer Personal Firewall
• Wird auf dem zu schützenden Rechner betrieben
• Schützt nur einen PC
• Kann relativ einfach umgangen werden
• Interaktion mit dem Betriebssystem notwendig
V b h S• Verbraucht Systemressourcen
• Nutzer hat gesteigertes Sicherheitsgefühl und wird evtl. leichtsinnig
• Warnmeldungen werden zu schnell ignoriert
Bewertung derMicrosoft-Firewall
Quelle: http://www.autsch.de
24
Absicherungdes WLAN
FrüherHeute
Stichwort: WAR – CHALKING
Wie stark ist mein WLAN?
Berechnet wird die effektive isotrope Strahlungsleistung (EIRP) (inBerechnet wird die effektive isotrope Strahlungsleistung (EIRP) (in dBm) eines WLAN-Gerätes:
+ elektrische Sendeleistung (dBm)+ Verstärkung eines zusätzlichen Verstärkers (dB) (falls vorhanden)− Dämpfung der Kabel (dB/m × Länge) Dämpfung der Kabel (dB/m × Länge)− Dämpfung der Stecker (dB) (meist vernachlässigbar)− Dämpfung eines Blitzschutzadapters (dB) (falls vorhanden)+ Gewinn der Antenne (dBi)
__________________________________________________= Äquivalente isotrope Strahlungsleistung
Quelle: http://de.wikipedia.org/wiki/WLAN
25
Wo wirdWLAN verwendet?
Einsatzgebiete für Funknetze (Quelle: Cisco-Studie)
Hardwarefür ein WLAN
Internet Access Gateway Router
(Foto: NETGEAR)
WLAN-PC-Karte
(802.11b-WLAN-Anbindung mit 11 MBit/s)
(Foto: Toshiba)
Wireless-PCI-Adapter(Foto: ALLNET)
Quelle: Zeidler
26
Aufbau einer umspannenden Infrastruktur
Quelle: Zeidler
Mögliche Störquellen
Material Beispiele Dämpfung
Holz Möbel, Decken, Zwischenwände gering
Gips Zwischenwände ohne Metallgitter gering
Glas Fensterscheiben gering
Mauersteine Wände mittel
Wasser feuchte Materialien Aquarium mittelWasser feuchte Materialien, Aquarium mittel
Beton Außenwände hoch
Gips Zwischenwände mit Metallgitter hoch
Metall Aufzugsschächte, Brandschutztüren sehr hochQuelle: Zeidler
27
Störquellen
Fresnel Zone
Im Freien sollten 80% der Fresnel-Zone frei von Hindernissen sein.
Besonders Wasseranteile spielen hier eine Rolle: z. B. Bäume (Blätter), da Wasser im 2,4-GHz-Band Energie besonders absorbiert.
Quelle: Zeidler
Aktuelle„Schreckensmeldung“
D tDatum:07. November 2008Überschrift:Experten wollen WPA geknackt habenInhalt:- Verschlüsselungsstandard WPA bei WLANs mittlerweile Standard – weil sicher
Quelle: http://www.computerwoche.de/knowledge_center/security/1878203
WLANs mittlerweile Standard – weil sicher- Erste „Gerüchte“ über den ersten erfolgreichen Angriff machen die Runde- Umstellung von WEP aus WPA kurzfristig gestoppt- Wie sicher ist nun WPA2?
28
Auf was Sieunbedingt achten müssen
Di Üb t d SSID hi d t d- Die Übertragung der SSID muss verhindert werden- Umbenennung der vorgegebenen SSID
!Dabei unbedingt die Komplexität des Passwortes beachten!- MAC-Adresse Ihrer Computer im Router eintragen- Verschlüsseln Sie unbedingt die Übertragung!
-WEP (alt/unsicher) -WPA (aktuell/rel. sicher) -WPA2 (Zukunft)- Einstellung des WLAN Sendebereiches- Einstellung des WLAN Sendebereiches- Die Sendeleistung entsprechend justieren- Das WLAN muss nicht immer in Betrieb sein- DHCP im WLAN-Router deaktivieren- Das WLAN-Router darf nur kabelbasiert konfiguriert werden- Beachten Sie bitte, dass es auch für diese Produkte Updates gibt!
Komplexität desPasswortes
Jaiss$Jbd09111
Jetzt arbeite ich schon seit drei Jahren bei der SAGEG
J a i s s d J b d STransformationder Zahlen J a i s s 3 J b d 09111der Zahlen
Transformationder Sonderzeichen
J a i s s $ J b d 09111
29
Angebot des NEG:„Studie im Bereich Social Engineering“
Wir testen Ihr Unternehmen in drei Schritten:
1. Zutritt in Ihr Firmengebäude2. (Freies) Bewegen im Gebäude3. Netzwerkzugang Hacking
Wir suchen 100 Unternehmen in ganz DeutschlandWir suchen 100 Unternehmen in ganz Deutschland,die sich dazu bereit erklären, an dieser Studie
mitzuwirken.
Download der Teilnahmebedingungenhttp://www.ec-net.de/Sicherheit
Bitte passen Sie auf!
30
Si h h it Fi ll
Vielen Dank für Ihre
Sicherheit, Firewallund kabelloses Internet
AufmerksamkeitAndreas Gabriel
MECK Wü[email protected]
http://www.meck-online.de http://www.wiinf.uni-wuerzburg.de