• Save
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Upcoming SlideShare
Loading in...5
×
 

Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk

on

  • 577 views

Vortrag FH-Frankfurt

Vortrag FH-Frankfurt

Statistics

Views

Total Views
577
Views on SlideShare
576
Embed Views
1

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 1

https://xingmodules.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk Presentation Transcript

  • Sicherheitsfunktionen in aktuellen Betriebssystemen Dr. Udo Ornik
  • CV-Short: Udo Ornik
    • 43y, married, 4 children
    • Finished study 1990 with PhD in physics
    • Subject: Numerical Simulation of Nuclear Collisions and cosmological expansion
    • Afterwards PhD 1y Assistent in MR
    • LANL, Sao Paolo, Kiew
    • 3y GSI
    • 1995 founded IT-company together with 3 Colleagues ->now 9 coworkers
    • Position:Managing Director
    • Network, Programming, training, eSecurity,Computerforensic and maintainance for small and intermediate business
    • Paralell i worked as a lecturer for several educational facilitys
    • Last 3 years i teached 2 days /week classes of now occupations like IT-Businessman or Specialized Computer Managers:
    • network operations systems and programming languages
  • Course: Operating Systems and Networks
    • Networks
      • ISO/ISO-Model
      • Transmission Media &Technologies
      • Topologie
      • Network standarts
      • Routing and Bridging
      • LAN,WAN,…
      • Client-Server Model
      • Protocols
      • Network OS
      • Homogenous and heterogenous networks
      • Planning Networks by Requirement and System specifications
      • Network Troubleshooting
      • Network Security
    • Operating Systems
      • Historical approach
      • Hardware basics
      • 8/16/32/64 bit Systems
      • Hardware Layer/(G)UI
      • Storage Management
      • I/O Systems
      • OS-Buildup Blocks
      • (Multi) user&tasking
      • Embedded and Distributed Systems
      • Features of Actual OS
      • Security Aspects
  • Inhalt
    • Problemstellung
    • Grundelemente Sicherheit
    • Sicherheitsphilosophien OS
    • Lokale Sicherheit
      • Passwörter
      • NTFS, JFS
      • EFS
      • Zugriffsrechte
      • Sicherheitsrichlinien
    • Netzwerksicherheit
      • Asymetrische Verschlüsselung
      • PK-Algebra
      • Beispiel Kerberos
      • Beispiel SSL
      • PKI
      • VPN
      • Wrapper
      • Firewall
    • Sicherheitstools
    • Vergleich der Sicherheitsfunktionen
    • Literatur
  • Untergrund 15 Angriffe auf Testrechner zwischen 25.2.01 und 1.3.01 Im Schnitt etwa 2 Versuche pro Tag
  • Im Schnitt etwa alle 4,5 Tage ein Sicherheitspatch bei Microsoft- Produkten
  • Auch Linux ist ein System mit vielen Sicherheits- lücken Quelle: Linux Magazin 09/2002
  • Grundelemente der Sicherheit
    • Zugriffschutz
    • Integrität und Authentizität
    • Backup/Recovery
    • Systemstabilität/Verfügbarkeit
  • Unix(Linux) Betriebsystem Kernel Kernelpatches der Distributoren & Module Standart Programm- pakete der Distributoren Paketauswahl des Users BSDs: FreeBSD 5.1 FreeBSD 4.8 FreeBSD 4.7 OpenBSD 3.2 NetBSD 1.6 i386 + Packages NetBSD 1.6.1 Linux Debian 3.1beta 'Sarge' CD Debian 3.1beta 'Sarge' DVD Debian 3.0r1 'Woody' Mandrake Linux 9.1 Mandrake MN Firewall Green Shoe Linux 9.0 Knoppix 3.3 kmLinux 4.0 Conectiva Linux 9 Crux 1.2 Gentoo 1.4 Gnoppix 0.5.5-2 Lycoris Desktop/ LX Bonzai Linux 2.1 Morphix 0.4-1 Quantian 0.4 Slackware AIX, IRIX, Solaris, SCO, …
  • Windows 2000+ Betriebssystem Microsoft Kernel Von Microsoft bereitgestellte Patches, Servicepacks Vom Betriebssystem bereitgestellte Anwendungen Userspezifische Anwendungen auch von Drittanbietern Windows NT WS/Server Windows 2000 WS/Server Windows XP Home/WS/Server Windows 2003 Server
  • Sicherheitsphilosophie Unix/Linux
    • Unix: Funktionen werden soweit möglich in separaten Anwendungen zur Verfügung gestellt.
    • Linux: Open Source, dh. die Quellcodes liegen einem kritischen Publikum zur Bewertung vor und werden dadurch ständig sicherheitstechnisch optimiert
  • Linux Probleme
    • Hauptproblem Superuser (root): kann tun, was er will.
    • Programme (Daemons), welche root-Rechten arbeiten und über das Netzwerk ansprechbar sind können über Programmierfehler manipuliert werden
    • Mangelnde organisatorische Sicherheit
  • Sicherheitsphilosophie: Microsoft
    • Sicherheit berücksichtigt die Organisationsstruktur des Unternehmens (AD, Sicherheitsrichtlinien, zentrales Management)
    • Automatische Bereitstellung von Updates
  • Microsoft Security II
    • Thrustworthy Computing Initiative
    • SD 3 +Kommunikation
      • Design : Reduktion von Fehlern und Anfälligkeiten im Code
      • Standartwerte : auf Sicher statt einfach
      • Bereitstellung: Tools zur Verbesserung der Sicherheit von Anwendungen und Daten
      • Kommunikation : Security Response Center
  • Microsoft Probleme
    • Viele Funktionen noch nicht technisch ausgereift und mit Sicherheitsmängeln behaftet
    • Verbreitungsgrad macht Angriffe auf Microsoft-Systeme besonders lohnenswert
    • Viren brauchen (haben) für weltweite Verbreitung „kritische Dichte“
  • Sicherheit Mac
    • OS X basiert auf Unix BSD Kernel
    • Sicherheitsrelevante Funktionen in etwa analog Linux
    • Besonderheiten:
      • root ist per default deaktiviert
      • Benutzerverwaltung mit Vergabe von Benutzerrechten
      • .mac Backup als Webservice
  • Weitere Ansätze
    • Trusted Solaris
    • Novell
      • “ Secure by Default“
      • Novell International Cryptographic Infrastructure (NICI)
    • Speziell gehärtete Linux-Varianten (Engarde, Immunix, HP-Secure-OS-Software-for-Linux, task hardening von Debian)
  • Passwortschutz/Anmeldung
    • Zugriff auf Password nur durch System
    • Kerberos
    • Ausführen als
    • Gastzugang
    • Smartcard logon
    • Shadow Mechanismus
    • PAM/MD5 Hashing
    • su/sudo
    • Restricted shell
    • Smartcard logon
    Microsoft Linux
  • NTFS/JFS
    • NTFS
    • Rechtevergabe auf Dateiebene
    • JFS –ähnliche Funktionen zur Wiederherstellung von Dateisystem
    • Mehr Kategorien als Linux
    • EFS auf Dateiebene
    • JFS
    • Linux 4 FS Alternativen: Ext2 Ext3, ReiserFS, XFS, and JFS
    • Rechtevergabe auf Dateiebene
    Daten Partition Journal Aufzeichnung der Aktion
  • Windows Rechtevergabe
  • Linux Rechte
  • ACE (Access Control Entry) (Netzwerkressource)
  • ACL (Access Control Lists) ACE
  •  
  • Asymetrische Verschlüsselung
    • Paar aus öffentlichem (Ö) und privaten (P) Schlüssel
    • Ö,P können als mathematische Operatoren betrachtet werden
    • P (Text) =Text`
    • Ö (Text) =Text“
    • P ist strikt geheim zu halten (Zusätzlicher KW-Schutz)
    • Ö wird veröffentlicht
  • Public Key Algebra Ö A , P A – öffentlicher und privater Schlüssel von A T=beliebiger alphanumerischer Text PW=Kennwort Ö(T)=T‘ P(PW)(T)=T‘‘ ÖP=Ö(P(T))=T PÖ=P(Ö(T))=T Sichere Kommunikation A mit B: A: Ö B (T1)=T1‘ --  senden nach B B: P B (T1‘)= T B: Ö A (T2)=T2‘ --  senden nach A A: P A (T2‘)= T2 Kommutativgesetz
  • Kerberos ksd Physikalisch geschützte Maschine mit Kerberos daemon Client Anfrage nach Ticket Rückgabe des Tickets(T) Verschlüsselung mit P client (Passworteingabe) T‘=P Client (PW)(T) Bsp:Telnet demon bittet um Applikation Ticket auf Remote Server Überprüfung T=Ö Client (T‘)= Ö Client (P Client (PW)(T))=T Rückgabe zeitlich begrenztes App-Ticket ktelnetd Verbindung mit Telnet Server
  • Sicherheitsfunktionen aus Protokollsicht Hardware Anwendung TCP IP SSL Kryptochip Palladium Firewall PKI IPSec PPTP
  • SSL Hardware Hardware S ecure S ocket L ayer HTTP FTP Telnet SSL TCP IP HTTP FTP Telnet SSL TCP IP Eine zusätzliche Schicht zwischen Client und TCP
  • Kerberos oder SSL
    • Keine Onlineverbindung zu dritter Partei notwendig
    • sichere Verbindung ohne Kennwortaustausch
    • Ideal für Web-Kommunikation
    • Key-Revocation Server hoch verfügbar
    • SSL-Zertifikat muss gespeichert sein und kann deshalb gecrackt werden
    • Public SSL-Zertifikate kosten Geld
    • Tickets, die nach relativ kurzer Zeit verfallen
    • Keine Keywort-Revokation (Widerruf)Server
    • Kerberos basiert nur auf Kennwort
    • Kerberos kostenlos/Open Source
    SSL Kerberos
  • SSH
    • Verschlüsselte Variante von Telnet
    • Möglichkeit auch Programme remote auszuführen:
    • Bsp: ssh hostadresse ls –l
    • SCP zusätzliche Funktion Bsp: scp user@host1:file1 user@host2:file2
  • PKI CA: Bereitstellung von Zertifikaten Gültigkeitsdauer Besitzer Ein Zertifikat enthält u.a.: Signatur: SHA-1 oder MD5 des öffentlichen Schlüssels Öffentlicher Schlüssel Zertifikat = P CA (Zerttext) Ö CA (Zertifikat)=Ö CA P CA (Zerttext)
  • Hash-Funktion/Integrität
    • Erzeugt ein Message Digest, eine „eindeutige Kennung“ einer Nachricht
    • Wie seh ich gehasht aus ?
    • MD5: b0b522e2e1a35415e7efe1bd12429213
    • Wie seh ich gehasht aus
    • MD5: f18037cc2d93768928ca8f10973630fc
  • PKI: Vergleich Windows/Linux
    • Installation Zertifikatsdienste
    • Möglichkeit zur Installation einer Root-CA/Unter-CA
    • AD-Integration
    • openssl-paket
    • Bsp: Privatekey:
    • openssl genrsa -des3 -out ffname 1024
    Microsoft Linux
  • VPN/IPSec ? ? ? VPN1 Adapter VPN2 Adapter Tunnelmodus Datenpaket Absender VPN1 Empfänger VPN2 Netz 1 Netz 2 Absender Netz 1 Im Transport Modus nur Daten verschlüsselt PPTP – Microsoft L2F - Cisco L2TP – N-TUNNEL IPSec- neuer Standart in IPV6 integriert
  • Wrappers
    • Grundlegende Idee:
      • Die Informationen, die ein netzwerkfähiges Programm erreichen, werden begrenzt
    • Zwei verbreitete Techniken:
      • TCP Wrapper
      • Socks
  • TCP-Wrapper
    • Doppeltes reverse lookup
    • Access Control Listen (/etc/hosts.allow + /etc/hosts.deny)
    • Erweiterte Verwendung von Syslog
    • Zusätzliche Kommandos
    • Anwendungen auf bestimmte Interfaces reduzieren
  • Socks
    • Ein System hinter der Firewall zum Zugriff auf das Internet
  • Internetverbindungsfirewall vs. IPTables
    • Internetverbindungsfirewall (Desktop) mit rudimentären Funktionen
    • Filter auf TCP/IP ebene
    • Grafische Oberfläche
    • Echte Firewall in den Linux Kernel kompiliert
    • Filter auf TCP/IP Ebene
    • Script mit Regeln
  • Sicherheitstools
    • Baseline Security Analyzer
    • Windows Update
    • Wiederherstellung gestoppter Dienste
    • Systemmonitor, Warnungen
    • Ständiges Überprüfen der System DLLs im Hintergrund
    • SFC: Integrität der geschützten Dateien nach Installation
    • IIS Lockdown tool
    • Scanner : Nessus, Nmap, Satan, Strobe,…
    • Datenintegrität : MD5, Tripwire, Hobgoblin, …
    • Auditing: Syslog, Swatch, Watcher
    Microsoft Linux
  • Weitere Besonderheiten Windows 2003
    • Software Restriction Policy kann Anwendungen auf Rechnern innerhalb der Domaine untersagen
    • Secure bei Default : IIS 6.0 und viele andere Diente standartmässig deaktiviert
    • Netzwerkfreigaben mit erweiterten Zugriffrechten
    • Keine Konten mit leerem Kennwort
    • SMB verschlüsselt
  •  
  • Vergleich der Sicherheitsfunktionen gnupgp,openssl,md5 Zertifikatsdienste Integrität/Authentizität dump,amanda backup, … MS-Backup , Systemwiederherstellung Backup / Recovery JFS, Software Raid 1-5 NTFS 5/EFS, Software Raid 0,1 und 5 Dateisystem TCP-Wrapper Portfilter Internetsicherheit IPTables Internetverbindungsfirewall Firewalls PPTP,IPSEC (FreeSWan) PPTP,L2TP,IPSEC VPN Kerberos, DES, Smartcard PAP,CHAP,Kerberos, DES,…,Smartcard Authentifizierung Su,sudo,setgid,setuid Ausführen als … su Alles oder nichts Flexibel Anpassbar Zugriffsebenen Config files der Anwendungen Konto,Kennwort, User, Computer, Anwendung Sicherheitsrichtlinien passwd u. shadow, PAM, NIS+ Kerberos Objektzugriff, Domainkonzept (AD) Netzanmeldung Syslog Ereignisanzeige Überwachung Unix Windows Merkmal
  • Links und Literatur
    • Vernetzte IT-Systeme, Medien-Institute Bremen, 1998
    • Hacker‘s guide, anonymous, Markt und Technik Verlag,1999
    • TCP/IP-Netzwerk Administration, Craig Hunt, OReilly
    • Linux Howtos, Marco Budde, MITP Verlag 1999
    • Windows 2000 Network Services, Shinder,Hinkle, MITP Verlag, 2000
  • Links und Literatur II
    • Linux Firewalls, Robert Ziegler, Markt und Technik, 2000
    • http://www.faqs.org/docs/Linux-HOWTO/SSL-RedHat-HOWTO.html#ss2.3
    • tecChannel 04/2002,02/2003,04/2003