Software Defined Perimeter (SDP) Bochum, 27. Januar 2017
Rainer Stecken Head of Security Services
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
Agenda 1. Wer wir sind – wer ich bin 2. Einschub: Der Angreifer weiß zu viel 3. Remote Access – Perimeter 4. Cloud Security Alliance 5. Ein Katastrophenszenario 6. Software Defined Perimeter 7. Hackathons zum Nachweis der Sicherheit 8. Software Defined Network SDN 9. Network Function Virtualization NFV 10. Weiterführende Informationen © 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
2
Wer wir sind Rainer Stecken Nr. 30 unter den Fortune 500
Diplom Biologe - CISSP
163.000 Mitarbeiter (2016)
Head of Security Services bei der Verizon Deutschland GmbH
131 Mrd $ Umsatz (2015)
Expertenrat Lagebilder der Allianz für Cybersicherheit des BSI
Vertreten in 85 Ländern
Sicherheit von MPLS Netzen
98% der Fortune 500 sind Kunden
Verizon Data Breach Investigation Report Treibe neue Sicherheitskonzepte voran.
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
3
I can see for miles Recon oder „was das Internet über Firmen verrät“ Vortrag am 25.11.2016 durch Herrn Thomas Valutis von schuelke.net
Passive Suche •
Kein Kontakt zu Zielsystemen
•
Informationen kommen aus Drittsystemen (z.B. DENIC)
Aktive Suche •
Interaktion mit den Zielen ist von normalem Traffic nicht zu unterscheiden (z.B. Browser)
•
Direkte Interaktion mit Zielsystemen
•
Mehr oder weniger aggressiv © 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
4
I can see for miles Recon oder „was das Internet über Firmen verrät“ Vortrag am 25.11.2016 durch Herrn Thomas Valutis von schuelke.net
Vorbereitung eines direkten Agiffs •
Hosts
•
Ports
•
Verwendete Software
•
Dienste
Passwörter • •
•
https://haveibeenpwned.com/ Auch als Recon-NG Modul
Pwnedlist.com
•
Teuer, aber angeblich gut
•
Wurden leider auch gepwned ;-)
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
5
Remote Access – Bunte Vielfalt, aber sicher zuviel! 1. Gemanagte Laptops 2. Gemanagte Business Mobiltelefone 3. Gemanaged Endkunden Mobiltelefone 4. Ungemanagte Endkunden Mobiltelefone 5. Öffentlich zugreifbare Anwendungen 6. Reverse Proxy 7. Forward Proxy 8. iPass © 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
6
Die Welt aktuell
Hacker Hier landet man mit dem klassischen Sicherheitsansatz © 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
7
Ein Katastrophenszenario – Was die Entwickler antrieb! NGOs/THW/ Internationale Org.
Transport
Kritische Infrastruktur
Bund, Land & Gemeinden
Wie tauscht man die richtige Information im richtigen Format mit der richtigen Person zur richtigen Zeit auf dem richtigen Gerät aus?
Gesundheitswesen
Öffentliche Sicherheit
Nationale Resourcen
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
8
The Cloud Security Alliance Mission Statement: To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
9
Software Defined Perimeter Working Group der CSA 1. Forschungsinitiative Software Defined Perimeter (SDP) wurde im Dezember 2013 gegründet 2. Ziel: Netzwerkangriffe gegen die Anwendungsinfrastruktur stoppen 3. Erste Spezifikation wurde im April 2014 veröffentlicht 4. Co-Chair: Junaid Islam, Co-Gründer der Firma Vidder 5. Mitarbeit durch Jeff Schweitzer, Chief Innovation Architect bei Verizon © 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
10
Das Problem: Perimeterlose Organisation Auflösung des traditionellen Perimeters 1. Ausgeklügelte Angriffe
Phishing Angriffe überwinden das Perimeter leicht
2. Zunehmendes Outsourcing
Viele nicht vertrauenswürdige Zugriffe aufs VPN
3. Migration in die Cloud
Applikationen werden nach außen in die Cloud verlagert
Angreifer
Cloud Organisation
Dritte Parteien Angestellte
Remote Zugriff
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
11
Die Lösung: Software-Defined Perimeter Kein Zugriff bis das Vertrauen geprüft ist
Änderung der Regeln 1. Isoliere
Isoliere kritische Anwendungen, so dass sie unsichtbar sind
2. Verifiziere
Authentifizierung, Autorisierung, Software Integrität
3. Verbinde
Verbinde Gerät mit spezifischer Anwendung. Kontinuierliche Prüfung
App
App
App
App
App
App
App
App
App
App
App
App
App
App
App
Vorstand
Angestellter
Dritter
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
12
Architektur von Software-Defined Perimeter Anforderungen 1. Isolation der Server
Controller
2. Kontrollschicht vor Zugriff
-
3. Nur autorisierte Benutzer können zugreifen
-
Verbindungsverfahren 1. Authentifizierung des Geräts, Sicherheitskontext 2. Benutzerauthentifizierung, - autorisierung
Gateways
3. Verbindungen dynamisch provisionieren
App
App
PC / Mac
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
13
Protokoll für Software-Defined Perimeter 0. Einmaliges On-Boarding Thin Client Vertrauenswurzel Kryptographische Artefakte & IDs Kontroller
1. Geräteauthentifizierung und -autorisierung SPA: Einmalpasswort mTLS & Fingerabdruck: Geräteauthentifizierung Vertrauensprüfung: Kontext-abhängige Authorisierung
-
2. Benutzerauthentifizierung und -autorisierung Authentifizierung: Integriert ins Unternehmens-SSO Authorisierung: Abgeleitet von AD/LDAP Gruppen Gateways
3. Dynamisch provisionierte Verbindungen Vertrauenswürdiger Zugriff: Nur geprüfte Geräte dürfen zugreifen Granularer Zugriff: Das Netzwerk wird nicht exponiert
App
App
PC / Mac
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
14
Vorteile Software-Defined Perimeter Vorteile von SDP 1. Maximale Sicherheit
Verhindert Attacken mit dem höchsten Risko
2. Unternehmenseinsicht
Bietet bessere Übersicht als jede andere Lösung
3. Weniger Komplexität
Ganzheitliche Sicherheitslösung
4. Vereinfacht Compliance
Regulatorische Compliance wird einfacher erreicht
Supply Chain Partner
Dienstleister, Dritte
Heimarbeiter
App
Interne Angestellte
Erste Enterprise-Grade Software Defined Perimeter (SDP) Lösung
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
15
Anwendungsfälle Software-Defined Perimeter Anwendungsfälle für SDP Sichert kritische Anwendungen in perimeterlosen, Zero-Trust Netzwerken
1. Zero-Trust Netzwerke
SaaS App
IaaS App
Manager 2. Remote Zugriff mit hohem Risiko
Gibt Hoch-Risiko Nutzern Zugriff auf kritische Anwendungen
3. Cloud Isolation
Gewinnen Sie Kontrolle über all Ihre kritischen Cloud-basierten Anwendungen zurück
Cloud Anwendungen
Angestellter
Dritter
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
App
App
App
App
App
App
App
App
Data-Center Anwendungen
16
Security Product
Kosten?
Corporate
Business Unit W1
Business Unit W2
5 11 2 1 6 6 8 2 2 6 3 1 1 8 4 1 5 2 5 4 2 4 3 1 7 2
Access Logging / Audit Access Management Anti-SPAM Anti-Virus / Symantec Computer Forensics Config Compliance CLP & DRM Directory Services Encryption - Email Encryption - Enterprise Encryption - SAP Encryption - USB Drives Federal Perdiction Idendity Management IDP & IPS Malware - Detection Managed Security Services Mobile Device Forensics Network Firewalls Web App Assessment Public Key Infrastructure SSL Certificates SM / SIEM 2-Factor Authentication Web Access Security Wireless IOS SUMMARY IN USE 79
TOTAL IN Ncoded for USE SCP Users
EVALUATE 28
IN USE 48
EVALUATE 11
IN USE 60
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
EVALUATE 31
102
x x N/A N/A x x x x x N/A N/A N/A x N/A N/A
N/A
N/A N/A 8
17
Verhinderte Angriffsformen SQL / Server Protocol Injection Session Hijack Cross Sites Scripting Object Reference Misconfiguration Clear Text Function Reference Cross Site Forgery Component Exploits URL Re-direction
APT Malware Scan the network Pass-the-hash Pass-the-ticket Password Cracking OS & Appl. exploits SQLi & injection attacks Cross Sites Scripting Directory traversal Attack backup Servers
Denial of Service Application Exploits Resource Exhaustion Bandwidth Consumption 18
Man-in-the-Middle WiFi Hot Spot Fake Site ARP Spoofing DHCP Starvation MAC Table Flood SPAN Port
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
Kosten
SDP vereinfacht die Sicherheitsanforderungen für die Mehrheit der Nutzer nachhaltig © 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
19
Onboarding eines Nutzers “User”
Controller Reg Ser ver
-
SAML IdP AD
-
Gateways
App
App
PC / Mac
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
20
Onboarding eines Nutzers
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
21
Verizon SDP Customer Demonstration
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
22
Cipher suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS: Transport Layer Security
• AES256-GCM: Advanced Encryption Standard (NIST FIPS 197) Symmetric key encryption 256-bit key, 128-bit cipher block size Galois/Counter Mode Encryption with simultaneously data authentication PC’s and servers implement GCM in hardware Negligible performance impact (~ 1%)
• EC: Elliptic Curve cryptography Smaller keys / faster math than RSA cryptography
•
DHE: Diffie-Hellman key exchange algorithm Generates the pre-master keys of GCM Ephemeral keys per session for Perfect Forward Secrecy But not client or server authentication
• SHA384:
• RSA: Public/private key pair with an X.509 certificate Client and server authentication Vidder’s implementation: 1. Certificates “pinned” to a trusted root certificate Not the hundreds of (possibly compromised) roots browsers trust 2. Employs OCSP stapling (RFC 6066) Forwards the OCSP response with TLS Server hello Reduces the load on the OCSP responder Mitigates a DoS .attack of the OCSP responder 3. Mutual TLS Authentication of the client to the server and server to the client
Secure Hash Algorithm (member of SHA-2) Generates a 384 bit hash Key Derivation Function (KDF) for generating keys from master
Videoerläuterung dazu:
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
23
Weiterführende technische Informationen
https://www.youtube.com/channel/UCmbYOWvDy0IlFna_ygq1hYQ © 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
24
Attacks on SSL/TLS Name
Date
SSLstrip DigiNotar THC-SSL-DOS BEAST CRIME Lucky 13 TIME RC4 biases BREACH
Feb 09 Sep 11 Oct 11 Apr 12 Sep 12 Feb 13 Mar 13 Mar 13 Aug 13
goto fail Triple Handshake Heartbleed BERserk Poodle Poodle++ FREAK Bar-mitzvah logjam
Feb 14 Mar 14 Apr 14 Sep 14 Oct 14 Dec 14 Mar 15 Mar 15 May 15
Attack http to https MitM forged certs DoS attack on SSL Java Applet oracle MitM SPDY compressing oracle MitM CBC padding oracle Browser JavaScript timing oidc MitM RC4 oracle Website redirect, compression MitM counterfeit key via coding error Server MitM on client cert OpenSSL bug MitM PKCS#1.5 padding MitM SSLv3 oracle MitM JavaScript timing oracle MitM negotiation 512 bit key View RC4 MtM downgrade to 512 bit key
Unauthorized
Authorized Users
SPA SPA SPA SPA SPA SPA SPA SPA SPA
No http Pinned certs Device deleted Client-based No compression GCM Client based No cypher negotiation No redirect or compression
SPA SPA SPA SPA SPA SPA SPA SPA SPA
Pinned dedicated cert Pinned dedicated cert Not single-ended SSL Not Mozilla NSS No cypher negotiation Client-based No key negotiation No RC4 No Suite negotiation
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
25
Single Packet Authorization (SPA) • History:
• SPA = UID, CTR, OTP, GMAC
Invented >10 years ago Commonly used for super user ssh access to servers Mitigates attacks by unauthorized users
• SPA in the Software Defined Perimeter Spec Based on RFC 4226, “HOTP” HMAC-based One-time Password Used for hardware/software one time password tokens SPA occurs before TLS (SSL) connection Mitigates DoS & other US attacks by unauthorized users
• Highly efficient rejection
Each client has a UID, Seed, CTR and Ex UlD = Universal ID of SDP Client CTR = hashed with seed to create OTP OTP = One Time Password GMAC = signature of UID, CTR and OTP for data authentication Seed = shared secret for OTP Ex = shared key for GMAC AES-256 OTP = HMAC [seed I I CTR] GMAC = Ex[UID II OTP II CTR] UID, OTP, CTR & GMAC are sent as clear text. Counter is increment to mitigate playback attacks
Defeats DoS & other attacks on SSL
32-bit
64-bit
32-bit
128-bit
UID
Counter
OTP
GMAC
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
26
Einordnung SDN & NFV SDN trennt für ein Netzwerk die Kontroll- und Datenschichten
NFV basiert auf Standardhardware für allgemeine Anwendung in den Bereichen Rechenleistung, Speicher und Netzwerk
Heute
Heute
SDN
Architektur einer virtuellen Netzwerk-Appliance Virtuelle Netzwerk Funktionen(VNF)
Software Kontrollschicht
Controller Software Kontrollschicht
Router Router
Netzwerk App OS OS Virtuelle HW
Datenschicht
Datenschicht
Hardware
Hypervisor Hardware
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
27
POC im Data Center Dortmund • Jan 2017
Kick-Off mit dem Produktmanagement / Vidder ➼
• Jan/ Feb 2017
Definition technischer Anforderungen, Verantwortlichkeiten, Finanzierung ➼
• Feb/ Mar 2017
HW/ SW Installation, Data Center Dortmund
• Mar 2017
Testbetrieb mit Vz Dialog (Order to Cash System)
• Apr/ May 2017
Livebetrieb mit Vz Dialog
• June 2017
Definition der nächsten Schritte in Abhängigkeit vom Produktlaunch
• Q3/Q4 2017
Untersuchungen für eventuelle Erweiterungen für SDP mit eID/FIDO
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
28
Versuch macht klug - Hackathons In den letzten 24 Monaten hat Verizon vier öffentliche HackathonVeranstaltungen unterstützt -
gefördert von der Cloud Security Alliance (CSA)
-
während jeweils zwei CSA Weltkongressen bzw. Sicherheitskonferenzen von RSA Security
-
es gab keine Regeln, alles war möglich, die gesamte Lösung war dokumentiert, veröffentlicht und an alle kommuniziert worden
-
mehr als 15 Milliarden Angriffe aus 104 Ländern gezählt
-
Kurz gesagt, es gab keine Gefährdung. Wir konnten zeigen, dass es sicher ist, geschäftskritische Anwendungen verteilt in der Verizon Cloud, AWS und Microsoft Azure zu lagern und den Zugang dazu nur durch Software Defined Perimeter zu gewähren.
Das Ergebnis? Vier Punkte für die Guten. © 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
29
Kundenhackathon zwischen 22. August – 2. September 2016 Welchen Nutzen hätte Ihre Organisation, die XYZ AG, davon, Nutzer und Geräte einfach, sicher und zuverlässig, zu verbinden und gleichzeitig netzwerkbasierte Angriffe zu verhindern? Hier wäre Ihre Chance, es herauszufinden. Wir investieren alle viel Zeit, Geld und Ressourcen, um sicherzustellen, dass unsere Dienstleistungen ein höchstes Sicherheitsniveau gewährleisten. Unsere Kunden zählen heute schon darauf, dass wir hierfür die richtigen Lösungen bereitstellen. In der dritten und vierten Augustwoche 2016 hatten wir die Möglichkeit, unsere Partnerschaft so weiterzuentwickeln, dass sie die Zukunft der vernetzten Technologielandschaft formt.
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
30
Weiterführende Informationen Cloud Security Alliance https://cloudsecurityalliance.org/group/software-defined-perimeter/ Vidder – Precision Access https://www.vidder.com/ Google / Beyond.Corp https://static.googleusercontent.com/media/research.google.com/de//pubs/archive/44860.pdf Zscaler – Private Access https://www.zscaler.com/products/zscaler-private-access Youtube – Stichwort Vidder https://www.youtube.com/channel/UCmbYOWvDy0IlFna_ygq1hYQ
© 2016 Verizon. This document is the property of Verizon and may not be used, modified or further distributed without Verizon's written permission.
31
Vielen Dank für Ihre Thank you. Aufmerksamkeit Rainer Stecken Sebrathweg 20 44149 Dortmund +49 231 972 1248