Identity und Access Management Lektion 3

1

Agenda • • • • • •

Treiber für IAM Konzepte für das IAM Authentisierung und Autorisierung Passwortmanagement Risiken für die Netzwerksicherheit Beispiele für sichere Netzwerk-Architekturen (Firewalls, DMZ, VPN, ...) • Best Practice Massnahmen für die Netzwerksicherheit (organisatorisch)

2

Identity und Access Management

3

Diskussion

Diskussion

• Was verstehen Sie unter Identity und Access Management (IAM)? • Welche Risiken im IAM gibt es?

4

Begriffe – eine kurze Repetition • Identität: „ ... völlige Übereinstimmung einer Person oder Sache mit dem, was sie ist oder als was sie bezeichnet wird.” [Quelle: Brockhaus] • Authentisierung: Wie beweise ich auf elektronischem Weg, wer ich bin? • Autorisierung: Die Gewährung von Rechten an einen Benutzer. • Nachvollziehbarkeit: Die Nachvollziehbarkeit definiert das Mass, in wie weit und zweifelsfrei Handlungen von Benutzern oder Systemen aufgezeichnet (Logging) werden müssen.

5

Access Management • Das Access Management regelt den Zugriff eines Subjekts auf ein Objekt - es beinhaltet also die Authentisierung, aber auch die Autorisierung. • Dies bedeutet, dass der Zugriff auf die Ressourcen gesteuert werden muss. • Typische Protokolle zur Authentisierung von Benutzern sind: Kerberos, HTTP Basic Auth, SAML.

6

Identity Management • Das Identity Management regelt die Erstellung, Speicherung, • Synchronisation und Löschung von Identitäten. • Es ist wichtig zu verstehen, dass in diesem Bereich die organisatorischen Anforderungen weit schwieriger zu erfüllen sind, als die technischen. • Für die Speicherung und den Zugriff auf Identitäten wird häufig ein LDAP Service verwendet. • Um Identitäten in verschiedenen Verzeichnissen zu synchronisieren und bereitzustellen wird häufig ein Metadirectory verwendet.

7

IAM Übersicht • Quelle: http://gartner.com/it/content/500300/500380/ iamroadmap2.pdf

8

Treiber für IAM • Kosteneinsparung • Personalaufwand (IT/SecurityAdministration, Helpdesk) • Vereinheitlichte IAM Architektur • Mitnutzung für nicht IT Themen (el. Zutrittskontrolle, Smartphones, Karten) • Effektivere Dienstleistungserbringung • Verbesserte SLAs (z.B. Garantie für die Dauer einer bestimmten Provisionierung nach Eingang des Antrags) • Verbesserte Produktivität (frühere Nutzbarkeit von Diensten)

9

Treiber für IAM • Wettbewerbsvorteile • „Self-Service“ Lösungen, personalisierte Portale, Outsourcing-Möglichkeiten, verbessere Kundenbindung • Verbesserte Benutzerfreundlichkeit

• Vereinfachtes Reporting (Security Administration) • IT Risikomangement • • • • •

Vereinfachtes Audit Management Zeitnahe Terminierung von Konten bzw. Rechten Konsistente Anwendung und Prüfung von Policies Bessere Rollentrennung und Granularität(„need to know“) Vorbeugende Risikoerkennung (z.B. Betrug)

10

Treiber für IAM • Breitere Nutzbarkeit von starker Authentisierung • Bessere Nachvollziehbarkeit von Aktivitäten (Logging/ Audit) • Compliance(regulatorisch, gesetzlich, vertraglich) • • • • •

SOX/EuroSOX/Basel II Datenschutzgesetz ISO/IEC 27001 (siehe Lektion 1) Wirtschaftsprüfer Rating Agenturen

11

Komponenten im IAM

12

Angriffsmöglichkeiten • Angriffe auf Passwörter oder Credentials • • • • • • •

Passwort Sniffing Brute force attack (Passwort) Phishing und Pharming Social Engineering / Targeted Attacks Diebstahl von Authentisierungsmitteln Man-in-the-middle Angriffe Man-in-the-browser Angriffe

13

Angriffsmöglichkeiten • Angriffe auf die Benutzernamen: • Username enumeration: Welche Benutzernamen sind gültig? • Username Guessing: Wie lautet der Benutzername meines Opfers?

• Privilege Escalation • Übernahme eines anderen Sessions Kontexts • Erhöhung der Rechte durch Ausnutzen eines Anwendungsfehlers

14

Identity Management

15

Definitionen • ISO/IEC: Identity Management (IdM) umfasst • Die sichere Verwaltung von Identitäten • den Identifikationsprozess einer Einheit (inkl. optionaler Authentisierung) • Eine „Einheit“ kann alles sein, was eindeutig als solche erkannt werden kann (Person, Tier, Gerät, Objekt, Gruppe, Organisation, etc.) • Einheiten können mehrere Identitäten haben, die in verschiedenen Kontexten verwendet werden können. • Die Information, die mit der Identifikation einer Einheit innerhalb eines bestimmten Kontexts verbunden ist. Quelle: ISO/IEC JTC 1/SC 27/WG 5 „A framework for IdM“

16

IdM Konzepte • Isolierte Benutzer und Berechtigungsnachweise pro Anwendung • Die Identitäten werden direkt in der Anwendung gespeichert und auch dort verwaltet.

• Zentralisierte Benutzerverwaltung • Single SignOn (SSO) Identitätsdomäne (z.B. Kerberos, .NetPassport) • Meta-Verzeichnisse (Synchronisation von Identitäten über verschiedene Domänen) • Gemeinsame Benutzeridentität/Zertifikat für alle Services (PKI)

17

IdM Konzepte • Föderales Model mit einer virtuellen Identitätsdomäne • Trennung des „Identity Service Provider“ vom IT-Service Provider (z.B. SAML,Liberty Alliance, Shibboleth)

• Benutzerzentrierte Modelle • z.B. OpenID, CardSpace, Passwort Stores (virtuelles SSO) • Verwendung eines „Personal Authentication Device“ (HW oder SW

18

IdM Konzepte • The pure identity paradigm ‐ creation, management and deletion ofidentities without regard to access or entitlements; • The user access (log‐on) paradigm ‐ a smart card and its associated data that a customer uses to log on to a service or services (a traditional view); • The service paradigm ‐ a system that delivers personalized, role‐based, online, on‐demand, multimedia (content), presence‐based services to users and their devices. Quelle: http://en.wikipedia.org/wiki/Identity_management

19

Access Management

20

Authentisierung Berechtigungs-DB „Access Control“

„Logon“ 2

Subjekt

1

3

Referenzmonitor

5

Objekt

4 Benutzer, Prozess, Batchjob, ...

Audit Trail Prüfspur Protokoll

21

Authentisierung • Authentifikation, Authentisierung • Identifizierung und Sicherstellung, dass man auch das Subjekt (Organisation, Programm, ...) ist, das man vorgibt zu sein, zur Erlangung von Berechtigungen. • Zwei Schritte nötig: • Identifizierung, Erkennung ohne Vorwissen • Überprüfung (Verifikation) der Identität • Authentisierung kann auf mehrere Arten erfolgen: • Durch Wissen „logische“ Merkmale • Durch Besitz

„physische“ Merkmale

• Durch Merkmale

„biometrische“ Merkmale

• Werden mehrere dieser Verfahren kombiniert, so spricht man von „starker Authentisierung“ 22

Übung

Diskussion

• Was für Subjekte können authentisiert werden? • Durch was können diese Subjekte authentisiert werden?

23

Autorisierung: DAC • Für die Autorisierung müssen folgende beiden Prinzipien beachtet werden: • Prinzip der minimalen Zugriffsrechte (Least Privilege): Es dürfen nur genau so viele Rechte erteilt werden, wie für die Erfüllung einer Aufgabe notwendig sind. • Need to know: Jeder Mitarbeiter soll genau so viel wissen, wie er für die Erfüllung seiner Arbeit benötigt. • 4-Augen Prinzip: Besonders heikle Aufgaben müssen durch zwei Rollen/Benutzer ausgeführt werden.

24

Autorisierung: DAC • DAC - „Discretionary Access Control“ • Benutzerbestimmbare Zugriffskontrolle • Eigentümer (owner) eines Objektes ist für dessen Schutz verantwortlich • Rechte werden für einzelne Objekte vergeben bzw. zurückgenommen • Rechte können weitergegeben werden • Keine Festlegung von systemweiten Eigenschaften • Modellierung inkonsistenter Rechte möglich (z.B. Ausführungsrecht erteilt, Leserecht entzogen) • Realisierung durch • Passworte • ACL (Access Control List)

25

Autorisierung: DAC owner group other

- rwx rwx rwx userid groupid dateiname d l b c p

= = = = = =

file directory link (Verknüpfung) block device character device pipe

r w x s S

= = = = = =

nicht gesetzt read write execute setuid setuid, aber kein w (für owner und group) T = setuid, aber kein w (für owner und other) t = sticky bit (nur owner darf file löschen) Abbildung: Thierry Perroud

26

Autorisierung: MAC • MAC - „Mandatory Access Control“ • Systembestimmte (regelbasierte) Zugriffskontrolle • Systembestimmte Rechte können durch benutzerbestimmte weiter eingeschränkt werden (aber nicht aufgehoben) • Rechte können nicht weitergegeben werden • Realisierung durch • Dienste des Betriebssystems • Betriebssystemerweiterungen, spezielle Versionen (z.B. trusted solaris, SMACK, SELinux, Pitbull LX, GRSecurity Patch)

27

Autorisierung: MAC

Quelle: Computer Security Basics, O‘Reilly

28

Autorisierung: RBAC • RBAC - „Role Based Access Control“ • Jeder Benutzer wird einer „Rolle“ (oder Gruppe) zugeordnet (Bsp.: Administrator, Gast, Backupadmin, FIBUMitarbeiter, ...) • Eine Rolle besteht aus einem od. mehreren Profilen (= Zusammenstellung von speziellen Rechten auf Objekte • Dieses Vorgehen bietet Vorteile bezüglich der klaren Trennung von Aufgabenbereichen und erleichtert das Needto-know Prinzip, das Monitoring sowie generell die Verwaltung. • Die Verwaltung eines Benutzers mit mehreren Rollen kann aber sehr aufwändig werden.

29

Autorisierung: RBAC

ROLES

USERS

RIGHTS PROFILES

AUTHORIZATIONS

COMMANDS SECURITY ATTRIBUTES

30

Autorisierung: 4-Augen Prinzip • 4-Augen-Prinzip: • Systemkritische Operationen müssen durch zwei Rollen/ Benutzer ausgeführt werden.

• Mögliche Umsetzung: • Gleichzeitiges Logon: Beide Benutzer loggen sich gleichzeitig auf die Maschine ein. Erst dann kann ein bestimmter Befehl ausgeführt werden. • Workflow: Benutzer1 aktiviert einen Befehl, der von Benutzer2 zu einem späteren Zeitpunkt ausgeführt werden kann. • Organisatorisch: Beide Benutzer „kontrollieren“ sich physisch gegenseitig bei der Arbeit.

31

Benutzerverwaltung • Aspekte der Benutzerverwaltung • Erteilen von Zugriffsrechten („wer - wem - welche“) • Umgang mit „Externen“ (Beratern, Lieferanten, Kunden, ...) • Umgang mit Personalwechsel • Versetzung • Pensionierung • Kündigung (geordnet oder im Streit) • ... • Abgabe von „Schlüsseln“ aller Art (auch elektronischen!) • Sperren von Konten, Entziehen von Rechten, ... • Aufheben von E-Mail-Adressen

• Benutzerverwaltung sollte in einer Richtlinie geregelt werden! 32

Passwortschutz • Weit verbreitet, sehr häufiges Angriffsziel • Angriffsarten • Direktes In-Erfahrung-Bringen • Notizzettel am Monitor • „social engineering“ • ... • Selektives Durchprobieren • Vergleich mit Listen „häufiger“ Passworte („Wörterbuchattacken“) • Namen, Geburtstage, „Administrator“, „Passwort“, ... • Systematisches Durchprobieren („brute-force-Attack“) • Erfolg abhängig vom gewählten Alphabet und der Länge

33

Passwortmanagement • Probleme: • Vielzahl von Passwörtern benötigt -> „single-sign-on“ • „Gute“ Passwörter sind schwer zu merken

• Massnahmen: • Lange Passwörter • Grosse Zeichensätze • Sperren von Zugängen nach wenigen erfolglosen Versuchen • Logging • Ausbildung der Benutzer • Richtlinien erlassen und durchsetzen • Technische Massnahmen (Länge, Gültigkeitsdauer, ...)

34

Protokollierung (Logging), Monitoring • Sicherstellen der Nachvollziehbarkeit • „Buchführung“ der Verwendung von Systemressourcen als Grundlage für Nachvollziehbarkeit (Forensik), Troubleshooting, Tuning, ... • Accounting, Protokollierung und Monitoring sollten im Rahmen einer Richtlinie geregelt werden!

35

Netzwerksicherheit

36

Übung

Welche Risiken sehen Sie in folgenden Netzwerkdiagramm?

37

Übung

38

Attacken im Netzwerk • Durch die starke Vernetzung und das örtlich unabhängige Arbeiten sind die Risiken im Bereich Netzwerk enorm gestiegen: • Angriffe auf Netzwerkebene wie DDOS, Portscans, Angriffe auf Dienste, Man-in-the-middle Attacken, etc. • Mobile Geräte wie Laptops, Smartphones und Handhelds. • Abhören von Netzwerk Verkehr (Sniffing). • Würmer, die sich über das Netzwerk verbreiten

• Die Anforderungen an die technischen Massnahmen sind sehr hoch.

39

Attacken im Netzwerk • • • • • • • • • • •

Passives Sniffen Automatisierte Attacken (Bsp. Nessus) (Distributed) denial of service (DDOS) SYN Flooding Portscanning HTTP Connect Attacken DNS Attacken IP-Spoofing / Paket Generation OS Fingerprinting MAC Spoofing Session Hijacking

40

Firewall • Menge von Netzwerkkomponenten - realisiert in Hardware und/oder Software - die zwei Netzwerke mit unterschiedlichem Sicherheitsbedarf verbindet. • Ziele: • • • • •

Zugangskontrolle Rechteverwaltung Beweissammlung und -sicherung Alarmierung Verbergen von Netzwerkstrukturen

41

Firewall • Eine Firewall trennt zwei Netzwerke mit unterschiedlichem Schutzbedarf voneinander. • Im vorliegenden Fall schützt die Firewall das lokale Netzwerk vor dem Internet.

42

DMZ - De-Militarized Zone • Bedarf, einzelne Rechner „von aussen“ zugreifbar zu machen • Webserver, Mailserver, etc.

• Der Betrieb solcher Rechner im internen Netz ist unerwünscht.

43

VPN - Virtual Private Network • Verbindung zweier Rechner, so dass ein anderes Netzwerk (typischerweise das Internet) als Transportweg benutzt wird.

44

Netzzonen und Firewalls

45

Firewall - Typen • Im wesentlichen zwei Typen im Gebrauch • Paketfilter (Layer 3 und 4) • Anwendungsfilter, Proxies (Layer-7)

• Realisierung • Hardware (dedizierte Geräte, Funktion eines Routers, ...) • Software (Teil des Betriebssystems, eigenständiges Produkt, ...) • Kombination

46

Paketfilter • Ein Paketfilter filtert Pakete aufgrund dieser Eigenschaften: • Quell- und Zieladresse • Verwendetes Protokoll (Portnummer) • Zustand der Verbindung (nur falls stateful)

47

Paketfilter

Ebene

3+4

Protokollbeispiele

Geräte

HTTP, SMTP, FTP

Application Level Gateway

7

Application

6

Presentation

5

Session

4

Transport

TCP, UDP

Firewall

3

Network

IP, ICMP

Router, Firewall

2

Data Link

Ethernet, Token Ring

Switch, Bridge

1

Physical

Hub, Repeater

48

Application Level Gateway • Ein Applicaction Level Gateway versteht die Logik des zu filternden Protokolls und kann deshalb bösartige oder unerwünschte Befehle dieses Protokolls ausfiltern. • Er agiert auf Layer 7 des OSI Stacks. • Eine Web Application Firewall ist ein typisches Beispiel.

49

Application Level Gateways

Ebene 7

Protokollbeispiele

Geräte

HTTP, SMTP, FTP

Application Level Gateway

7

Application

6

Presentation

5

Session

4

Transport

TCP, UDP

Firewall

3

Network

IP, ICMP

Router, Firewall

2

Data Link

Ethernet, Token Ring

Switch, Bridge

1

Physical

Hub, Repeater

50

Firewall - Grenzen • Firewalls schützen NICHT: • Gegen Angriffe von innen: Netzverkehr „hinter“ einer Firewall wird nicht überwacht. • Gegen Malware: Schutz kann zwar mit der Funktionalität einer Firewall kombiniert werden, eine Firewall an sich schützt aber nicht vor Malware (dazu braucht es komplexe inhaltliche Analysen). • Gegen Umgehung: Wenn es gelingt, die Firewall zu umgehen und einen anderen Netzzugang zu benutzen, der nicht geschützt ist (z.B. via Modem), so ist die Firewall wirkungslos.

51

Firewall - Grenzen • Bei falscher Konfiguration: Falsch konfigurierte Firewall sind weitgehend wirkungslos (Restriktionen werden in der Praxis meist immer nur aufgehoben). Dauernde Überwachung und Pflege ist nötig.

• Oft geben Firewalls ein falsches Sicherheitsgefühl!

52

Übung

nmap Scan

53

Übung • Machen Sie einen nmap Scan gegen das System 10.0.0.111 • Verbinden Sie sich auf deneb.lab42.info, Port 2020, Username ffhs-1 bis ffhs-6, privateKey/publicKey aus Lektion 2. • Öffnen Sie das Terminal, verschaffen Sie sich root Rechte (sudo nmap -PN -sT 10.0.0.111) • -PN verzichtet auf ein Ping, -sT führt einen Standard TCP Connect() Scan durch.

54

Übung • Beantworten Sie die folgenden Fragen: • • • • •

Was für ein System haben Sie gescannt? Welche Ports sind offen? Was versteckt sich hinter diesen Ports? Welche Ports sind aus Sicherheitssicht am bedenklichsten? Welche Ports könnten durch eine Konfigurationsänderung eingeschränkt werden?

• Zu nmap: • Scannen Sie auf udp Ports • Wo können Sie die Bedeutung der einzelnen Ports nachschlagen? • Was für Scanmöglichkeiten aus Sicht von TCP gibt es?

55

Übung • • • • • • • • • • • • • • • •

7/tcp open echo 19/tcp open chargen 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 513/tcp open login 514/tcp open shell 993/tcp open imaps 995/tcp open pop3s 3306/tcp open mysql

56

IDS - Intrusion Detection Systems • Viele Einbrüche (und Versuche) werden oft gar nicht erkannt • Schlecht geschützte Netze werden auch nicht überwacht • Netzwerkbetrieb ist anspruchsvoll, laufend Überwachen: • • • •

Auslastung Laufende Prozesse und Dienste Angemeldete Benutzer Komplexität der Verkehrsmuster

57

IDS - Intrusion Detection Systems • Ein Intrusion Detection System (IDS) dient der Erkennung von Angriffen. • Es gibt Netzwerk basierte IDS (NIDS) und hostbasierte IDS (HIDS). • IDS können entweder anhand von Signaturen (Mustern), statistischen Anomalien oder heuristischen Methoden Angriffe erkennen. • IDS sind sehr aufwändig in der Konfiguration und im Betrieb, da sie regelmässig neu eingestellt werden müssen, um keine Fehlalarme zu machen oder Angriffe nicht zu erkennen. • Nächster Schritt: IPS (Intrusion Prevention Systems)

58

Honeypot - Honeynet • Honeynet, Honeypot: Angreifer auf „falsche Fährte“ locken. • Low Interaction Server Honeypot: Das Programm emuliert einen oder mehrere verwundbare Serverdienste und zeichnet Zugriffe darauf auf. • High Interaction Server Honeypot: Dies sind vollständige Server mit dem Zweck einen Angreifer anzulocken und sein Verhalten aufzuzeichnen.

59

Honeypot - Honeynet

60

Viren- und Spamschutz • Ohne einen gut konfigurierten und aktuellen Viren- und Spamschutz lässt sich kaum mehr arbeiten. • Der Viren- und Spamfilter muss ebenfalls mehrstufig eingebaut sein. Falls möglich, sollte auf dem äusseren Schutzring ein anderes Produkt als auf dem Endgerät verwendet werden. • Die Signaturen müssen mehrmals täglich aktualisiert werden, stündlich ist ein guter Wert, insbesondere für Gateways.

61

Viren- und Spamschutz • Der Virenschutz sollte alle Daten, die in die Firma gelangen oder die Firma verlassen scannen. • Der klassische, Signatur basierte Scanner muss mit zusätzlichen Technologien wie Heuristik, Reputationsoder Verhaltensbasierten Massnahmen ergänzt werden.

62

Grenzen des Virenschutzes • Der Viren- und Spamschutz hat aber enge Grenzen in seinen Möglichkeiten: • Gezielte Angriffe können in der Regel nur schlecht erkannt werden. • Selbst der beste Virenschutz hat ca. 70% Treffer bei sehr aktueller Malware. • Um Geräte im Firmenumfeld zu schützen, braucht es nebst einer Definitive Software Library auch einen Schutz der Programme. So bietet sich eine digitale Signatur an, um nur autorisierte Software auszuführen.

63

Übung

Prüfen von aktueller Malware

64

Übung • Eine aktuelle Malware wird auf virustotal.com und threatexpert.com geprüft. • Die Erkennungsrate der verschiedenen Virenscanner wird ausgewertet. • Es gibt nicht einen Virenscanner, der immer besser ist. • Generell ist zu sagen, dass die Signatur basierten Scanner an ihre Grenzen stossen. • Bei der Analyse mit Malware ist sehr grosse Vorsicht geboten! • Gibt es in einer Firma eine Security Gruppe, so sind eigene Aktivitäten in jedem Fall zu unterlassen.

65

Best-Practice Massnahmen Netzwerksicherheit • Inventar und Klassifizierung aller Hard- und Software • IP Adressvergabe zeitnah dokumentieren. • Regelmässige Prüfung der einzelnen Netzwerkzonen auf unbekannte Geräte hin. • Regelmässige Vulnerability Scans der Netzwerkzonen. • Penetration Tests auf bestimmte Geräte. • Regelmässige Auswertung der Logfiles.

66

Best-Practice Massnahmen Netzwerksicherheit • Einhalten von Least Privilege bei der Vergabe von Firewall Rules. Es sollten nur einzelne Ports und diese nur für Punkt zu Punkt Verbindungen erlaubt werden. Wird davon abgewichen, müssen kompensierende Massnahmen getroffen werden. • Das Netzwerk muss dokumentiert sein. • Regelmässiges Audit der Firewall-Regeln.

67

Firewall Policy • Eingehende Verbindungen: • minimal halten - nur die geschäftlich notwendigen Verbindungen wie z.B. VPN Access.

• Abgehende Verbindungen einschränken: • Für ausgehende Protokolle Proxyserver verwenden. • Nur HTTP(S), SMTP zulassen von den jeweiligen Proxy Systemen zulassen, alle anderen Ports schliessen.

• Falls Server in der DMZ: nur eingehend auf Dienst zulassen (Bsp. HTTP). „Ein Server ist ein Server“, abgehende Verbindungen - falls überhaupt - dürfen nur Punkt zu Punkt erfolgen.

68

Wireless LAN • • • • • • • •

Kein Wireless-LAN in sehr heiklen Netzwerkzonen. Ändern Sie die Default-Passwörter der Access-Points! Kein Broadcast der ESSID. MAC-Adressen Filter einsetzen. Nur Infrastruktur-Modus zulassen. Persönliche Authentisierung. WPA2 Verschlüsselung Gegenseitige Geräte-Authentisierung (EAP).

69

Notfall und Backup • Überwachen Sie ihr Netzwerk und analysieren Sie die Logs regelmässig. • Wie sieht die Notfall-Planung für aktive Komponenten im Netz aus? • Konfigurationen von Routern, Layer-3 Switches und Firewalls gehören auch ins Backup!

70

Organisatorische Massnahmen ... • Erlassen Sie ein Nutzungsrichtlinie (Benutzung Internet, Email, Hard- und Software, PDA, Speichermedien, Smartphone) und kommunizieren Sie diese den Mitarbeitenden. • Bestimmen Sie die Verantwortlichkeiten für den Betrieb (inkl. Stellvertretungsregelung) des Netzes. • Prozess für die Änderung und Produktivsetzung von Firewall-Regeln einführen

71

Fragen und Diskussion

72