it sicherheits-bausteine im fzj

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t

Another Brick in the wall -IT Sicherheits-Bausteine im FZJ

6. Oktober 2015 | Ralph Niederberger

[email protected]

Jülich Supercomputing Centre

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t

Überblick

Das FZJ im Überblick / Gefahrenpotentiale Definition einer Security Policy Bausteine der Security Policy

Allgemeine Sicherheitsgrundsätze Firewall(s) Intrusion Detection System(e) Virenfilter Digitale Zertifikate Human Capital / IT-Security Awareness

Implementierung der Security Policy Zusammenfassung und Ausblick

6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ

2

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t

3

Das FZJ im Überblick / Gefahrenpotentiale

Bildunterschrift

6. Okt. 2015JuISD – Another Brick in the Wall

IT Sicherheits-Bausteine im FZJ

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


4

Das Forschungszentrum Jülich

Gegründed 11. Dezember 1956Gesellschafter: BRD (90%) & NRW (10%)Fläche 2,2 QuadratkilometerBilanz Erlöse 2014: 525,4 Mio. €

davon 191,6 Mio Drittmittel5.768 Beschäftigte + 907 Gastwissenschaftlerin 51 Instituten aus neun Forschungsbereichen1.614 Publikationen in begutachteten ZeitschriftenBeteiligt an 387 national geförderten Projekten2014: 138 erteilte Patente + 84 Anmeldungen

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t

Storage-Cluster JUST

6. Okt.2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ

5

Das Campus Netzwerk JuNet

Stand: 3Q/2015

VPNConcentrator

Diverse Netzwerk Server des JuNetwie DNS, DHCP, Radius, …

TSM Server

X-WiNInternet

RWTH-Aachen

JUPACE

Anbindungen TZJ für TZJ, UK, T, PT-ETN im TZJ

WLAN

Cisco ASA Firewall

JUVIS

CISCO Nexus 7000 / Force10 E1200

PTJ Aussenstellen

DWDM

LOFARdCacheServer

LOFAR Antennen

LOFAR GroningenDWDM

JUQUEENJURECA

Zentrale Switches-InfrastrukturFZJ

Campus118

Switches

CISCO

CISCO

CISCO

6 x10 Gbps

2 x10 Gbps

10 Gbps

10 Gbps

10 Gbps

10 Gbps

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


6

Netzwerkobjekte und Ressourcenca.19700 angeschlossene Systeme in mehr als 400 IP-Subnetzen

600 Router, Switches, Bridges, Concentrators, Hubs

≈14000 Workstations, PCs

diverse Supercomputer und High End ServersystemeÜber 1100 Drucker

mehrere Cluster-Systeme

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


7

Statistik

NETSTATISTICS_ended_______________________________Gesamt Anzahl NETZE : 407Vergebene IP-Adressen : 22646Anzahl Rechner ca. : 19696==========================================Subnetze mit Netzmaske 255.255.0.0: 10Subnetze mit Netzmaske 255.255.240.0: 3Subnetze mit Netzmaske 255.255.248.0: 12Subnetze mit Netzmaske 255.255.252.0: 15Subnetze mit Netzmaske 255.255.254.0: 20Subnetze mit Netzmaske 255.255.255.0: 170Subnetze mit Netzmaske 255.255.255.128: 18Subnetze mit Netzmaske 255.255.255.192: 28Subnetze mit Netzmaske 255.255.255.224: 23Subnetze mit Netzmaske 255.255.255.240: 20Subnetze mit Netzmaske 255.255.255.248: 49Subnetze mit Netzmaske 255.255.255.252: 34Subnetze mit Netzmaske 255.255.255.254: 5…..…..

Typ Anzahl=======================PC 9910PC-NOTEBOOK 3322PRINTER/MF-COPY 1125VIRT.Machine 1028ACCESSPOINT 786GEBAEUDE-MNGT 623WS 429Thin-CLIENTS 420SWITCH 340EXPRECHNER 227VoIP-EQUIPM. 181ZEITERFASSUNG 166MAINFRAME 51PRINTSERVER 68ROUTER 46TERMSERVER 16….…..

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


8

13.09.2011: 16,4 Milliarden Euro Schaden durch Netzkriminalitäthttp://www.focus.de/digital/computer/computer-16-4-milliarden-euro-schaden-durch-netzkriminalitaet_aid_664834.html

Finanzielle Schäden (Beispiele)

Statista 2015 Quelle: Bundeskriminalamt http://de.statista.com/statistik/daten/studie/38681/umfrage/finanzieller-schaden-durch-phishing/

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


9

Mummert&Partner Studie in Deutschland 2003

Die Anzahl der Attacken ist in den letzten 4 Jahren auf weit über 100.000/Jahr gestiegen60% aller interviewten Unternehmen wurden gehacked10% wussten nicht, wie85% beklagten finanzielle Verluste25% der Sicherheitslöcher für Attacken beruhten auf Fehlern durch Mitarbeiter66% aller Angriffe kamen von INNEN

Source: Cert (2003 Q1-Q3 only)

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


10

Yearly „Internet Security Threat Report“

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


11

• Vertraulichkeit von Daten und Informationen• Unbefugte haben keinen Zugriff

• Integrität von Daten• Unbefugte oder unbemerkte Veränderungen von Daten sind

ausgeschlossen• Verfügbarkeit von Daten und Systemen

• Daten und Systeme stehen verlässlich zur Verfügung, wenn sie gebraucht werden

• Authentizität der an einem Kommunikationsprozess Beteiligten• Die Kommunikationspartner sind tatsächlich diejenigen, die sie zu sein

behaupten

Was ist IT Sicherheit ?

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


12

Gefahrenpotentiale

• Informationsdiebstahl, Spionage, Neugierde• Sabotage• Denial of Service• Nicht berechtigter Zugriff auf Ressourcen

IT-Security im Unternehmensnetz

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


13

Maßnahmen zur Datensicherheit laut BDSG (Anlage zu §9 Satz 1)1. Zutrittskontrolle: gegen unbefugten Zutritt zu IT-Anlagen2. Zugangskontrolle: gegen unbefugte Benutzung von IT-Anlagen3. Zugriffskontrolle: Einhaltung der Zugriffsrechte in IT-

Systemen (Vermeidung der Ausweitung von Rechten)4. Weitergabekontrolle: Sicherung der Übertragung und

Speicherung von Daten 5. Eingabekontrolle: Sicherung einer „Beweiskette“; wer hat was

und wann eingegeben, verändert, etc.6. Auftragskontrolle: Gewährleistung einer sicheren Verarbeitung bei

Auftragsdatenverarbeitung (z.B. beim „Outsourcing“)7. Verfügbarkeitskontrolle:

Gewährleistung des Schutzes gegen Zerstörung/Verlust

8. Trennungsgebot: Gewährleistung einer getrennten Verarbeitung fürDaten, die zu verschiedenen Zwecken erhoben wurden

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


14

Schädigung einer IT-Ressource

Vorsätzliche Manipulation

TechnischesVersagen

MenschlichesFehlverhalten

Personelle und organisatorische

Mängel

Natürliche und infrastrukturelle

Katastrophen

Verlust der - Verfügbarkeit, - Integrität oder - Vertraulichkeit

von IT-Ressourcen

Quelle: BSI IT-Grundschutzhandbuch

Stromausfall, defekte Festplatte, ...

Virenbefall, Hacker-Angriffe, Diebstahl, Sabotage, ... Fehlbedienung, versehentliches Löschen, Klicken auf einen E-Mail-Anhang mit Viren, ...

fehlende oder unzureichende organisatorische Regeln, ...

Höhere Gewalt: Feuer, Flut, Erdbeben, ...

§

Min i-Comput er

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


15

Definition einer Sicherheitspolicy

Security Policy

der

Forschungszentrums

Jülich GmbH

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


16

IT-Sicherheitsregeln für den Grundschutz

• IT-Sicherheitsrichtlinie des Vorstands

Nutzer + Betreiber von IT-Systemen des FZJ

müssen an angemessener IT-Sicherheit aktiv mitarbeiten

• Orientierung an BSI-Grundschutzhandbuch

• Einteilung der Systeme in vier Schutzklassen

niedrig, mittel, hoch, sehr hoch

• Alle Systeme am FZJ-Netz sind mindestens mittel

• Für Systeme hoch oder sehr hoch : spezielle Festlegung

• Grundregel 1 Zugriff auf alle IT-Systeme nur für Befugte

(Physikalischer Schutz oder Aufsicht)

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


17

IT-Sicherheitsregeln im Einzelnen (1)• Regel zur Infrastruktur:

physikalischer Schutz vor Zugriff und Zerstörung

• Regeln zur Organisation:

IT-Systemliste, Nutzerliste (zugangsberechtigt),

Überprüfung des Sicherheitszustandes

• Regeln zum Personal:

verantwortungsvoller Systemadministrator, Nutzer, Notwendigkeit

von Aus- und Weiterbildungsmaßnahmen

• Regeln für Daten:

Zugriff, Sicherung, Antivirensoftware, Verschlüsselung für

vertrauliche und sensitive Daten

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


18

IT-Sicherheitsregeln im Einzelnen (2)

• Regel zur Hardware und Software:• IT-System und Nutzerzugang passwortgeschützt• Dienste ohne Passwortschutz bedürfen zusätzlicher Sicherung• Software in sicherheitstechnisch gutem Zustand• Schreiben von Logs• Personal Firewall empfohlen• Keine unsicheren Programme oder aus unsicheren Quellen• Privilegierte Benutzerkennungen nur verschlüsselt über Netze

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


19

IT-Sicherheitsregeln im Einzelnen (3)

• Regel zur Kommunikation: • Keine unkontrollierten Nebenpfade• Anschluss an externe Netze nur über das JSC• Alle angeschlossenen Geräte müssen angemeldet sein• Änderungen des Standort, Verwalters, Netzwerkkarte sind

unverzüglich mitzuteilen • Besondere Vorsicht bei E-Mails und deren Anhängen

(Absendertäuschung / Phishing / …)

• Regeln zur Notversorgung:• Pflicht zur unverzüglichen Information des IT-

Sicherheitsbeauftragten bei Verletzung der IT-Sicherheit

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


20

Bausteine der Security Policy

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


21

Allgemeine Sicherheitsgrundsätze

• Überwachung der in der Policy festgelegten Regeln durch:• Technische und organisatorische Maßnahmen• Fortwährende zufällige Stichproben• Log-Auswertungen• Anweisung: Tätigkeiten grundsätzlich mit minimal notwenigen

Privilegien ausführen

• Mindestens zweistufiges System: an zentraler Stelle und am Endsystem

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


22

Firewalls• Unterbinden unerwünschten Verkehr nach festgelegten

Regeln am Eingang zum Unternehmensnetz

• Anforderungen an eine Firewall: • Schnell, damit keine Zeitverzögerungen entstehen• Weitgehend freie Kommunikation (intern nach extern)• Maximale Sicherheit• Minimaler Aufwand für Sysadmins

JuNetINTERNET

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


23

Firewalls (2)

• Kommunikation vom/zum FZJ:• Intern nach extern weitgehend frei,• Extern nach intern: nur ausgewählte „sichere“ Protokolle

• Wichtig: Sicherung anderer Zugängeins Unternehmensnetz

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


24

Firewalls nach BSI

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


25

Personal Firewalls• Als zweite Sicherheits-Schranke ist, wo immer möglich, eine

Personal Firewall zu nutzen• Konfigurierbar auf persönliche Anforderungen • Weitere Einschränkung der Kommunikations-Verbindungen

möglich• Zusätzlicher Schutz gegen Innentäter• Logging auf Hostebene möglich

• Beispiele: Kaspersky Windows 7/8/10-Firewall Iptables für LINUX TCP-Wrapper Avira AntiVir (kostenlos für privat)

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


26

Intrusion Detection Systeme

• Analysiert Verkehr auf Vorkommen von Mustern, die auf Attacken hindeuten (z.B. PortScan)

• Anforderungen an Intrusion Detection Systeme (IDS):• Schnell, damit kein Verkehr übersehen wird• Immer aktuelle Viren-/Scan-Muster notwendig• Gut konfigurierbar• Prozedurale Auswertung möglich• Interaktion mit Firewall

wünschenswert

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


27

Personal IDS• Beinhaltet:

• personal Firewall• personal Virenscanner• TCP-Wrapper• File Integrity checker• Log-Auswerte-Tools in Verbindung mit zentralem

Log-server• …..

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


28

Intrusion Prevention Systeme (IPS)• Ist ebenfalls ein Intrusion Detection System• Analysiert Verkehr auf Vorkommen von Mustern, die auf Attacken

hindeuten (z.B. PortScan)• Wird im Kommunikationsstrom platziert; leitet somit Daten erst weiter,

wenn Überprüfung erfolgt ist. Proaktiv, statt Reaktiv• Anforderungen an Intrusion Prevention Systeme:

• Schnell, damit Verkehr nicht übermäßig behindert• Immer aktuelle Viren-/Scan-Muster notwendig• Gut konfigurierbar• Automatik erforderlich, nachträgliche prozedurale

Auswertung möglich• Interaktion mit Firewall wünschenswert

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


29

Vulnerability Assessment Scanner (Nessus)• Ziel: Schneller als der Hacker sein

• Erlaubt Überprüfung von Rechnern auf Sicherheitslücken• Automatisches Muster-Update • Automatische Generierung von Schwachstellen-Reports• Überprüfung auf Anfrage bzw. automatisch

für am Firewall freigeschaltete Rechner

• Versand an den zuständigen Sysadmin

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


30

Zentraler Virenscanner

• E-Mail nur über zentralen Mailserver zentraler Virenscanner (z Zt. Trend Micro Viruswall)

• ausgehende Mail über zentrales Mailrelay zentraler Virenscanner nutzbar

• Arbeitsweise:• Entfernen des infizierten Anhangs • Mail wird ohne Virus weitergeleitet (inkl. Info über entfernten Virus)• Keine Virusinfo an Absender (Absender-Masquerading)

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


31

personal Virenscanner

• Kaspersky, andere• Notwendig, da :

• externe POP-Server• externe IMAP-Server • externe Webmail-Server• Ferner:

CD / DVD, USB-Stick, sonstiger File-Austausch, lokale Mail, Freigaben, Owncloud / Sciebo

• Vorteile unterschiedlicher Scanner:• Zwei sehen mehr als Einer (z.B. Personal Virusscanner erkennt

Virus, den zentraler VS noch nicht erkennt)• Virusupdate-Zeiten unterschiedlich

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


32

Zertifikate

• Zertifikate dienen dazu E-Mails zu signieren, und/oder zu verschlüsseln, sowie die Authentizität des von Senders und/oder Empfängers zu garantieren

• Verschlüsselung der Kommunikation zwischenServer und Client

• Daher zwei Arten von Zertifikaten: persönliche Zertifikate (E-Mail) + Server-Zertifikate

• Zertifikatsanforderung Online möglich • Erteilung bei persönlicher Vorsprache• Monatliche Widerrufsliste für Zertifikate• Re-Zertifizierung möglich, solange Zertifikat gültig

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


33

Sicherheits-Recording (FZJ-CERT intern)

Security Information Server bietet eine Übersichtsliste mit Informationen über

fortlaufende Vorfallsnummer, Vorfallsart, Datum und Uhrzeit, Melder, Status und Kurzbeschreibung

Web-basiert mit Links zu Detail-Infos (z.B. Trouble Ticket System (TTS)

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


34

• Zentrale Datenbank aller am Netz angeschlossenen Komponenten

• Zentraler Logserver akkumuliert und korreliert Logs• Zentrale Verwaltung und Analyse der Kaspersky Virus

Meldungen• Zentrales Internet Web-Proxy Cluster• Zentrale Flow-Analyse

Weitere Sicherheitsbausteine

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


35

Zusätzliche zentrale/dezentrale Maßnahmen

• Zentrale Maßnahmen können prinzipiell keinen vollständigen Schutz garantieren !

• „Lücken“ in zentralen Schutzmaßnahmen:• Viren von externen E-Mail-Konten• Mitgebrachte Datenträger (Disketten) und Laptops• Bring-Your-Own-Devices durch Direktanschluss vollwertige interne

Kommunikations-Teilnehmer• Verschlüsselte Kommunikation wird von uns nicht aufgebrochen

• Jedes einzelne IT-System im Netz muss durch angemessene technische Maßnahmen geschützt werden:

• Jedes kompromittierte IT-System kann Ausgangspunkt für Angriffe auf weitere Systeme im Internet sein

• Jedes IT-System kann Ziel interner Angriffe sein• „angemessen“ richtet sich nach Schutzbedarf/Risikoklasse

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


36

Human Capital / IT-Security Awareness

• Mit den vorgestellten Bausteinen lässt sich ein Unternehmen gänzlich abschotten

• Dies kann aber nicht Sinn einer IT-Sicherheits-Policy sein. Wissenschaft benötigt (im Vergleich zu kommerziellen Umgebungen) einen hohen Bedarf und größere Vielfalt an Anwendungen und Protokollen bzgl. der externen Kommunikation. Ein gewisser Zugriff muss daher gewährleistet werden. (siehe „Lücken“ aus Folie zuvor)

• Mitarbeiter brauchen den Zugriff. Sie machen Fehler aus Unwissenheit, aus Fahrlässigkeit, aus Missachtung

• Hier greifen z.B.• Mitarbeiterschulung, • Rechtekontrolle,• IT-Security Awareness

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


37

IT Sicherheitspersonal

• IT-Sicherheitsbeauftragter• FZJ-CERT• IT-Beauftragte• Kaspersky- Administratoren/Verantwortliche• IT-Dienstleister• IT-Administratoren• und jeder Nutzer selbst

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


38

Putting things together

„Niemand hat die Absicht eine Mauer zu bauen.“

DDR-Staats- und Parteichef Walter Ulbricht am 15. Juni 1961 in einer Pressekonferenz.

„Niemand hat die Absicht eine Mauer zu bauen.“

R.Niederberger, E.Grünter: „Die neue JuNet Firewall“, 40. ZAM-Informationsforum, Sep. 2001

„Niemand hat die Absicht eine Mauer zu bauen.

R.Niederberger, JuISD, Okt. 2015

Aber es kann helfen und lebt sich sicherer.“

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


39

IT Sicherheitsstruktur im FZJ

Routermit ACLs

Router

Flow-Collector

L2/L3 Switches

Inst1

Inst2

Inst3

Inst4

Web-Proxies

Log-Server

DMZ2-n

DMZ1

TheINTERNET

Zentraler Viren-Scanner

IDS

Flow-Sensor

Firewall

Security Information Server

TTS

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t

Another brick in the wallFZJ version


40

All in all, we just need another brick in the wallHey, SecTeam, keep the hackers away from our home

SecTeam, keep script kiddys away from our homeNo dark riders in our networksWe do need some traffic control

All in all, let’s insert just another brick in the wall

We do need IT education

Mitg

lied

der H

elm

holtz

-Gem

eins

chaf

t


41

The end

“Sure, I‘m paranoid.

But am I paranoid enough? “

The Security managerInternet - Everyday

???

it sicherheits-bausteine im fzj

Documents