10/2003 Andreas Ißleiber

1. DPZ 10/2003 Andreas Ißleiber S C I S C O S Y T E M S S C I S C O Y S T E M S 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN SPAM CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER Andreas Ißleiber aisslei@gwdg.de

2. SPAM 10/2003 Andreas Ißleiber Was ist SPAM ? • Unverlangt zugeschickte eMails • Der Begriff: Spam, eine Kurzform für "Spiced Pork And Meat", bezeichnet ein rechteckiges und in Dosen gepreßtes Frühstücksfleisch. (Sketch der britischen Komiker Monty Pyton) • UCE der korrekte Begriff (Unsolicited Commercial E-Mail) UBE (Unsolicited Bulk E-Mail ) • 2,5 Mrd. Euro Produktivitätsverlust in 2002 für Unternehmen in der EU • Starkes Interesse der Provider an Vermeidung von SPAM, da direkter finanzieller Schaden

3. SPAM 10/2003 Andreas Ißleiber Was ist SPAM ? • Quasi kommerzielle Nutzung des Medium eMail durch SPAM • Größter Anteil ist die produkt-bezogene Werbung

4. SPAM 10/2003 Andreas Ißleiber Wie entsteht SPAM ? • Durch Handel von eMail Adressen. Es existieren Datenbanken, mit mehr als n*10^5 eMail-Adressen • Address-Harvester sind Programme, die Web-Seiten und News Listen nach eMail-Adressen durchsuchen. • Für einen “Werbetreibenden” ist SPAM billiger als FAX, oder Briefwerbung • Juristische Grundlage noch nicht ausreichend, daher nutzen „Werbetreibende“ teilweise legal das Medium eMail für Massenmails • Anstieg der SPAM-Raten durch Problem der Rückkopplung zwischen „SPAM-Filtern“ und SPAM-Versender. Je besser die Filter, desto mehr SPAM muss versendet werden. Das wiederum verbessert die Filter und erhöht erneut die SPAM-Rate …

5. SPAM 10/2003 Andreas Ißleiber Wie “tarnt” sich SPAM ? • Pseudo-Text: Text wird mit Leerzeichen oder Zeichen, die Buchstaben ähneln, ergänztBsp.: z.B. V I A G R A, S*E*X oder günstiger KRED1T • Einfügen von syntaktisch korrekten Zeichen z.B. in HTML CodeBsp: Zeichenkette Via<!---xyz--->gra • eMails werden als gesamte Grafik (JPG,GIF etc.) verschickt, sodass Textfilter nicht funktionieren können • Nutzung legaler eMailadressen um „black lists“ zu umgehen • Problem!: Kann nach kurzer Zeit für die "misbrauchte" Domain durch "Bounces" (eMail Rücksendungen) zum Kollaps des Mailserver führen, da ggf. mehr als n*10^3 eMails zurückkommen

6. SPAM 10/2003 Andreas Ißleiber Wie “tarnt” sich SPAM ? • Zufälliger Text im „Subject“. Dadurch werden Filter ausgehebelt, die nach „eindeutigem“ Text im Subject suchen • Ähnliche eMail-Adressen des SPAM Zieles werden ausprobiert • Empfänger ist: aisslei@gwdg.de • SPAM-Absender ist: info@gwdg.de, einkauf@gwdg.de etc. • Falsche Zeitangabe in der eMail. Zeitpunkt liegt in er Zukunft, damit die eMail beim Empfänger immer „oben“ im Folder angezeigt wird

7. SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? • Durch Benutzerverhalten • vertrauliche Behandlung der eigenen eMail-Adresse • Auf Webseiten & NEWS Listen zweit-eMail-Adressen angeben (von FreeMailern etc.) • Keine SPAM eMails beantworten • Einsatz vom SPAM Filtern auf IP-Ebene beim MailserverRBL-Listen: Real-Time Black Listshttp://mail-abuse.org/rbl/http://ordb.org • Vorteil:- Einfache Integration im Mailer- Provider wird gezwungen, etwas gegen SPAM zu unternehmen • Nachteil:- Oft sind große Provider in den Listen (t-online.de etc.) - verwirrende Vielfalt an Listen

8. SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? • Teergruben Die eMail wird zunächst angenommen, aber mit dem Eintreffen weiterer eMails derselben Adresse innerhalb des kritischen Zeitfensters der entsprechende Netzwerkverkehr serverseitig künstlich verlangsamt

9. SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? • (quasi) Mail Proxy • http://www.spamgourmet.com/disposableemail.pl?nobrainer=1 • Nachteil: Ist nur für vereinzelte Benutzer nutzbar • WhiteLists (auf MailServer- oder Benutzerebene) • Liste der Benutzer (eMail-Adressen, von denen eMail in • jedem Fall empfangen werden soll • Content-Filter • Durchsucht die eMail nach bestimmten Schlüsselwörtern. Für • sich allein nicht ausreichend und erzeugt häufig • “Falschmeldungen” • Zweiter Mailserver • Über einen zweiten Mailserver wird die eMail auf SPAM geprüft und übergibt die “korrekten” eMails an den “eigentlichen” • Mailserver

10. SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Reihenschaltung • Kombination mehrerer Methoden • Eine Kombination diverser Erkennungsmethoden verbessert die SPAM-Filterqualität deutlich Parallelschaltung • Verkettung unterschiedlicher Methoden blockiert ggf. zu früh die Nachricht „false positive“ • Das Einzelergebnis jeder Filtermethode fließt in das Gesamtergebnis ein. Falsch Positiv Meldungen einzelner Methoden führen seltener zum fälschlichen Blockieren der eMail

11. SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? • Bayes Filter • z.Zt. modernste Methode (http://www.paulgraham.com/spam.html) • Bayes'sche Filter sind selbstlernend • Der Algorithmus berechnet anhand der in der E-Mail enthaltenen Wörter die Wahrscheinlichkeit, dass es sich um Spam-Mail handelt • Worthäufigkeiten in bereits vom Benutzer klassifizierten eMails werden erfasst • Mozilla setzt diesen Filter im Mailclient ein http://www.mozilla.org/mailnews/spam.html • Filter für diverse Anwendungen (MUA) verfügbar unter … http://www.paulgraham.com/filters.html • Nachteil: Benötigt eine relativ große Menge an bereits klassifizierten eMails für eine gute Erkennungsrate

12. SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? • Spam Assassinhttp://www.spamassassin.org • Mit SPAM Assassin wird jede eingehende Email nach bestimmten Kriterien untersucht und die SPAM Wahrscheinlichkeit durch ein Punktesystem ermittelt • Über eigene Blacklists (RBL) können Domainen automatisch abgewiesen werden SPAM: ------------- Start der SpamAssassin Auswertung --------------- SPAM: SPAM: Diese Mail ist wahrscheinlich Spam. Die Orginal-Nachricht wurde SPAM: geaendert, so das Sie aehnliche Mails in der Zukunft besser SPAM: erkennen und blockieren koennen. SPAM: Weitere Detals finden Sie unter der URL http://SpamAssassin.org/tag/. SPAM: SPAM: Details der Inhaltsanalyse: (5.00 Punkte, 5 benoetigt) SPAM: INVALID_DATE (1.5 points) Ungueltiges Datum: Header enthaelt AM/PM-Angabe SPAM: NO_REAL_NAME (1.3 points) From: enthaelt keinen echten Namen SPAM: TO_BE_REMOVED_REPLY (0.4 points) BODY: Behauptet: "to be removed, reply via email " oder aehnliches SPAM: SPAM_PHRASE_03_05 (1.1 points) BODY: Spam phrases score is 03 to 05 (medium) SPAM: [score: 3] SPAM: LINES_OF_YELLING (0.2 points) BODY: A WHOLE LINE OF YELLING DETECTED SPAM: SUBJ_ALL_CAPS (0.5 points) Subject: komplett in Grossbuchstaben SPAM: SPAM: ---------------- Ende der SpamAssassin Auswertung -----------------

13. SPAM 10/2003 Andreas Ißleiber SPAM bekämpfen ! Wie ? Beispiel Header einer SPAM eMail, erweitert durch Spam Assassin Spam Assassin benutzt dabei diverse Module und Tests http://www.spamassassin.org/tests.html Return-path: <k_hatchrz@mega.co.za> Envelope-to: aisslei@gwdg.de Delivery-date: Tue, 04 Nov 2003 00:49:54 +0100 Received: from [211.108.123.108] (helo=mhi.tu-graz.ac.at) by mailer.gwdg.de with esmtp (Exim 4.20) id 1AGoSH-0006cj-5N for aisslei@gwdg.de; Tue, 04 Nov 2003 00:49:54 +0100 Received: from 179.88.131.72 by smtp.mega.co.za; Mon, 03 Nov 2003 23:47:49 Date: Mon, 03 Nov 2003 17:47:33 -0600 To: aisslei@gwdg.de Message-ID: <4cea01c3a264$4e1408f7$ffd80cdf@mqh9m4y> From: "Katina E. Hatch" <k_hatchrz@mega.co.za> MIME-Version: 1.0 Subject: Whateve=?ISO-8859-1?B?ciB3b3I=?=ks better Content-Type: text/html; charset="us-ascii" Content-Transfer-Encoding: 8bit X-Spam-Level: ++++++ X-Spam-Flag: YES X-Spam-Report: Content analysis: 6.7 points, 6.0 required 2.0 DIET BODY: Lose Weight Spam 0.2 HTML_MESSAGE BODY: HTML included in message 0.4 HTML_70_80 BODY: Message is 70% to 80% HTML 0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts 2.8 HTML_IMAGE_ONLY_02 BODY: HTML: images with 0-200 bytes of words 0.7 BIZ_TLD URI: Contains a URL in the BIZ top-level domain X-Virus-Scanned: (clean) by exiscan+sophie

14. SPAM 10/2003 Andreas Ißleiber SPAM … die Zukunft … • SPAM ist in Europa nun „illegal“ • Seit dem 31. Oktober 2003 gibt es eine neue • Datenschutzrichtlinie für EU Mitgliedsstaaten. • Die Werbung über elektronische Medien ist nur noch • erlaubt, wenn sie der Aufrechterhaltung bestehender • Kundenbeziehungen dient oder vom Empfänger eindeutig • erwünscht ist (Opt-in). • Ebenfalls rechtswidrig ist das Fälschen der Absender und • Antwortadressen. Die EU Mitgliedsstaaten sind ab dem 01. • November dazu verpflichtet, die Richtlinien anzuwenden und • durchzusetzen. Wie sie dies gestalten, bleibt jedoch den • einzelnen Staaten überlassen. • Neues Mailprotokoll „AMTP“ Authenticated Mail • Transfer Protocol • auf SMTP aufbauendes Protokoll für einen authentifizierten • Austausch von Mails. Die Identität der Mailserver wird via • X509-Zertifikaten überprüft

15. SPAM 10/2003 Andreas Ißleiber Fazit zum Thema SPAM: • Eigenen eMail-Server mit SPAM Filterprogrammen ausstatten • Einsatz von SpamAssassin als Filter • eMail darf einem Benutzer nicht! Vorenthalten bleiben. Der • Benutzer selbst entscheidet, was mit SPAM geschehen soll • (Markierung der eMail mit SPAM Flags -> Benutzer kann selbst Filter definieren) • Darauf achten, dass der eigene eMail-Server kein „open relay“ darstellt • Einstellen von WhiteLists ermöglichen • Nutzung von RBL fraglich. Ggf. zugunsten von guten Filtern darauf verzichten. • Den eigenen Benutzern ein zweite, alternative eMail-Adresse vergeben, die • dann für „unsichere“ Dienste benutzt werden kann (Eintragen auf Webseiten, • News-Listen etc.) • Zentralen Virenscanner auf dem Mailserver einsetzen (Schützt zwar nicht vor • SPAM, ist aber mittlerweile unverzichtbar)

16. Sicherheit in NetzenDPZ 11/2003 10/2003 Andreas Ißleiber S C I S C O S Y T E M S S C I S C O Y S T E M S Sicherheit in Netzen Sicherheit CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER Andreas Ißleiber aisslei@gwdg.de

17. DMZ IP: 134.76.10.2 GW: 134.76.10.254 Öffentliche ServerWeb,Mail,DNS, etc. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in NetzenDPZ 11/2003 10/2000Andreas Ißleiber Einsatz von Firewalls Internet • Transparente FW:Vorteil: Die bisherige Netzstruktur kann beibehalten bleibenEine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen Router 134.76.10.254 • DMZDie FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen. Ggf. Firewalls mit mehreren Ports einsetzen, damit auch andere Abteilungen getrennt geschützt werden können (Verwaltung) Firewall 134.76.10.253 192.168.1.254 • FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-AdresseNachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich NAT NAT& IP Umsetung IP: 134.76.10.1 GW: 134.76.10.254 IP: 192.168.1.1 GW: 192.168.1.254 LAN • NAT<->IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich. Server ist vom Internet erreichbar IP: 192.168.1.2 Externe IP: 134.76.10.3 GW: 192.168.1.254 Lokaler Server: IP: 134.76.10.3 GW: 134.76.10.254 Lokaler Server: IP: 192.168.1.2 GW: 192.168.1.254

18. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in NetzenDPZ 11/2003 10/2000Andreas Ißleiber Aufteilung der internen- und öffentlichen Dienste • Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen • File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen. Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen • Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT-Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich-> Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden • RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider und via VPN ins eigene Netz • Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkressourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt. • Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren verschlüsselte Verfahren CHAP(MS-CHAP V2), oder Zertifikate verwendet werden • DMZ ist i.d.R. selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken durch die FW geschützt Internet Firewall Firewall LAN DMZ ! öffentliche ServerWeb,Mail,DNS, etc. internes Netz Grundregeln auf der FW: Quelle Dienst allow / reject Ziel DMZ alle P Internet LAN alle P Internet LAN alle P DMZ Internet alle O LAN Internet alle/einige O DMZ DMZ alle O LAN

19. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in NetzenDPZ 11/2003 10/2000Andreas Ißleiber Typisches Scenario Übergeordneter DNS Internet DMZ InternesLAN RAS-Server greift auf diePaßwörter des PDC (1) zurück Firewall 3 2 5 1 Zentraler PDC derDomäne B RAS-Server als Mitglied der Domäne A DNS und Webserver Mailserver und PDC derDomäne A Zentraler Terminalserver 4 Erforderliche Regeln auf der FW: Quelle Dienst allow / reject Ziel Bemerkung Internet SMTP(25) P (1) Mailgateway (6) DNS(53) P (2) Zonentransfer (TCP & UDP) Internet http(80) P (2) Webzugriff LAN alle P Internet DMZ alle P Internet LAN alle O DMZ Internet alle O LAN Internet alle O DMZ DMZ alle O LAN Mailserver (PDC) in DMZ DNS & Webserver in DMZ PDC im LAN (geschützt) Clients im LAN (geschützt) RAS-Server in DMZ 1 2 3 4 5

20. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in NetzenDPZ 11/2003 10/2000Andreas Ißleiber Mehr Sicherheit durch VPN Internet- router • VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen • IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken • Einige FW sind gleichzeitig in der Lage, VPN zu Terminieren/tunneln (VPN-Gateway) • Als Verschlüsselunbgsverfahren sollte IPSEC/3DES eingesetzt werden • Wenn administrative Zugriffe auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung von VPN eine ideale Lösung • Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server VPN Clients aus dem Internet oder Fremd-Provider VPN-Tunnel VPN-fähige Firewall DMZ LAN RAS, Einwahl- Server, CHAP Internes Netz VPN-Tunnel VPN Clients über ein Einwahlserver

21. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in NetzenDPZ 11/2003 10/2000Andreas Ißleiber Benutzung von "privaten" Netzadressen Rechner mit Internetzugang Rechner ohne Internetzugang (public) Server mit Internetzugang Router 1 • „Private Networks“ sind IP-Adressen die nach „rfc“ im Internet nicht geroutet werden und damit für externe Netze unsichtbar sind • Windows (sowie auch LINUX etc.) erlaubt die gleichzeitige Verwendung mehrer IP-Adressen • Dies kann die Sicherheit erhöhen, wenn keine FW installiert ist • "private networks" ersetzten jedoch nicht eine FW • Bei Windows wird lediglich die erste vergebene IP-Adresse für NetBIOS verwendet, welche dann aus dem „Private Network“ kommen sollte • Alle Rechner mit "private network"-Adressen sind lokal erreichbar, aber im Internet unsichtbar • Clients können auch mit nur! „Private Network“ Adressen betrieben werden. Dabei können … - Web-Proxy Server - lokaler eMail Server • … die Kommunikation zum Internet aufbauen 2 3 Internet 4 Gateway (gw): 134.76.10.254 3 1 IP(1): 192.168.1.1 IP(2): 134.76.10.11 Gw: 134.76.10.254 2 Webserver IP(1): 192.168.1.3 IP(2): 134.76.10.13 Gw: 134.76.10.254 IP(1): 192.168.1.2 Privates Netz: 192.168.1.0 Öffentliches Netz: 134.76.10.0

22. VPN 10/2003 Andreas Ißleiber Die richtige VPN Lösung für das Institut finden … • Die Beantwortung folgender Fragen sind bei der Auswahl entscheidend: • Wie viele Benutzer werden das VPN in Anspruch nehmen? • Wie „schnell“ ist der Internetzugang ? • Welche Art des Zugangs werden die User verwenden? • Verbinden sich die User zeitweise oder permanent ? • Welche Zielnetze sind via VPN zu erreichen ? • Wie groß ist das zu erwartende Datenvolumen? • Ist eine Backup-Verbindung notwendig? • Benötige ich eine Redundanz ? • Wie „komplex“ ist die Integration (auch etwaiger Clients auf PCs) ? • Soll das VPN eine Mischform des Zugangs ermöglichen (Site-to-Site & End-to-Site) ? • Soll das VPN System skalierbar sein ? • Welche Authentifizierung soll möglich sein (Zertifikate, Smartcard, PKI) ? • Muss das VPN zu einer bestehenden User-Datenbank authentifizieren können (RADIUS, ADS, YP) ? • Einsatz standardisierter Systeme oder „Bastel-Lösungen“ (…kann der Kollege das VPN Gateway auch administrieren ?) S C I S O C Y S T E M S S C I S C O Y S T E M S CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER

23. VPN 10/2003 Andreas Ißleiber • Alternativen zu VPN • SSH • Standardisiert • Große Verbreitung • Oft als „Bastellösungen“ eingesetzt, wenn „reales“ VPN dadurch ersetzt werden soll • Tunneln von PPP möglich (PPP-over-SSH) • Nachteile der höheren Protokolle, da Layer 7 PGPNet Standleitungen • Teuer • Unflexibel • Einfach in der Handhabung • Portale • WebPortale mit Authentifizierung • Server als Portal S C S I O C Y S T E M S C S I C O Y S T E M S CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER

24. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in NetzenDPZ 11/2003 10/2000Andreas Ißleiber Personal Firewalls auf Client Systemen • Vorteil:Günstiger Preis, wenn wenige Rechner geschützt werden müssenKein "single point of failure" im Vergleich zur zentralen FW • Nachteil:Jeder einzelne Rechner wird durch die "Software" Firewall belastetKeine(bzw. selten) einheitliche PoliciesTeilweise unzureichender Schutz vor AngriffenKombination aus zentraler- und personal FW nicht sinnvollFW ist nicht ohne "tiefere" Kenntnisse des Benutzers konfigurierbarHoher VerwaltungsaufwandBetriebsystemabhängig • Fazit • Personal Firewalls ersetzen keine zentrale FW • Sie bieten, i.d.R.nur! bei fachgerechter Konfiguration einen ausreichenden Schutz vor Angriffen

25. Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Sicherheit in NetzenDPZ 11/2003 10/2000Andreas Ißleiber Fazit: • Einsatz einer zentralen, redundaten Firewall • Einrichtung eines VPN Gateways für die Zugänge der Benutzer auf das Internet Netz • Einsatz zentraler Virenscanner • Absichern eine etwaigen VPN Gateways innerhalb des Netzes • Trennung von öffentlichen und internen Diensten auf Servern • Einsatz von „Personal Firewalls“ auf Client PC sollte nicht (mehr) erforderlich sein • Einsatz von ProxyServern (WEB-Proxy) erlaubt die Verwendung von „Private Network“ Adressen auf den Clients

26. SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber ? S C S I C O S Y T E M S S C S I C O Y S T E M S Vielen Dank! … Fragen CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER und Diskussionen! Vortrag ist unter: http://www.gwdg.de/~aisslei … zu finden

27. Sicherheit in NetzenDPZ 11/2003 10/2003 Andreas Ißleiber S C I S C O S Y T E M S S C I S C O Y S T E M S Sicherheit in Funk LANs Sicherheit CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER Andreas Ißleiber aisslei@gwdg.de

28. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Die Gefahren: • Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der Hardware entwendet) • Fremde „Accesspoints“ inmitten eines Netzes fangen „legale“ Benutzer ab • FunkLAN hinter einer Firewall betrieben, öffnet das Netz • Funk-Reichweite der Accesspoints wird unterschätzt • Wardriver: Laptops mit freier Software „Netstumbler“ und „Airsnort“ in Kombination mit GPS Empfängern spüren WLANs aufWardriving ForumWardriverWardriver (heise)

29. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: Wired Equivalent Privacy (WEP, WEP2) • Allgemeines • Bestandteil des Standards 802.11b • Benutzt den RC4 Algorithmus von RSA Security Inc. • Schlüsselstärken 40-Bit oder 104-Bit • 24-Bit Initialisierungsvektor • Vorteile von WEP • In jedem 802.11b Gerät verfügbar • Hardwareunterstützt • Softwareunabhängig • Nachteile von WEP • Manuelle Schlüsselverwaltung • Keine Benutzerauthentifizierung • 40-Bit Schlüssel gelten als nicht sicher • RC4-Algorithmus hat Designschwächen • Key kann kompromittiert werden, beim „Mithören“ eines ausreichenden Datenvolumina • Wird „Hardware“ (AP) gestohlen, ist auch der WEB Key in Gefahr

30. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: Wired Equivalent Privacy (WEP) • IEEE 802.11i • Ziel: Die aktuelle 802.11 MAC zu verbessern um mehr Sicherheit zu gewährleisten • WEP2 mit stärkerer Verschlüsselung • Benutzerauthentifikation • Fazit • WEP ist besser als keine Verschlüsselung • WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) • WEP ist nicht zukunftssicher 1) http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

31. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP) • Allgemeines • Microsoftspezifische Implementierung des PPTP • Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung • Drei Versionen: PAP, MS-CHAPv1 und MS-CHAPv2 • Benutzerauthentifikation • Benutzerauthentifikation notwendig • Password Authentification Protocol (PAP) • Challenge Handshake Protocol (CHAP) • Verschlüsselung • Microsoft Point to Point Encryption (MPPE) • Benutzt den RC4 Algorithmus von RSA Security Inc. • 40-Bit oder 104-Bit Schlüssellängen

32. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP) • Vorteil von MS-PPTP • Auf allen gängigen MS-Betriebssystemen verfügbar • Bietet Verschlüsselung und Benutzerauthentifizierung • Nachteile von MS-PPTP • 40-Bit Schlüssel gelten als nicht sicher • MS-CHAPv1 hat schwere Sicherheitslücken • Protokoll hat Designschwächen • Fazit • MS-PPTP ist besser als keine Verschlüsselung • MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) • MS-PPTP ist nicht zukunftssicher 1) http://www.counterpane.com/pptp.html

33. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: Internet Protocol Security (IPSec) • Allgemeines • Erweiterung der TCP/IP Protokollsuite • Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit • Integraler Bestandteil von IPv6 (IPnG) • Transportmodus • nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) • Vorteil: geringer Overhead gegenüber IPv4 • Nachteil: Jeder Teilnehmer muss IPSec beherrschen • Tunnelmodus • Komplettes IP-Paket wird verschlüsselt • Tunnel zwischen zwei Netzen möglich • Vorteil: Nur Tunnelenden müssen IPSec beherrschen • Nachteil: Nur Verschlüsselung zwischen den Tunnelenden

34. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung: Internet Protocol Security (IPSec) • Vorteile von IPSec • Standard auf vielen Plattformen verfügbar • Keine festgelegten Algorithmen • Keine bekannten Designschwächen • Nachteile von IPSec • Keine Benutzerauthentifikation • Clients müssen korrekt konfiguriert werden • Fazit • IPSec ist besser als keine Verschlüsselung • IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) • IPSec gilt als zukunftssicher • IPSec ist i.d.R eine gute Wahl

35. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung:Service Set Identifier (SSID) • Allgemeines • Identifier für Netzwerksegment (Netzwerkname) • Muss für den Zugriff bekannt sein • Vergleichbar mit einem Passwort für das Netzwerksegment • Wird auch als „closed user group“ bezeichnet • Vorteile • Softwareunabhängig • Schnell und einfach einzurichten • Nachteile • Muss jedem Teilnehmer bekannt sein • Nur ein SSID pro AP • Lässt sich in großen Netzen nicht wirklich geheim halten (offenes Geheimnis)

36. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber Verfahren zur Absicherung:Media Access Control (MAC) Address Filtering • Allgemeines • Filtern der MAC-Adressen der zugreifenden Clients • MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server • Lokal= hoher Verwaltungsaufwand, alle AP´s benötigen die gleichen MAC-Listen • Zentral=einfache, zentrale Datenbasis, einfaches Management (MAC-Datanbank auf RADIUS-Server) • Vorteile • Software- & Clientunabhängig • Keine Aktion des Benutzers notwendig • Nachteile • Jede berechtigte Netzwerkkarte muss erfasst werden • MAC-Adressen lassen sich leicht fälschen

37. Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber 3/2003, Andreas Ißleiber Überblick über diverse Sicherheitsmechanismen Klassische Sicherheitsmechanismen • WEP, WEP+ • MAC-Adressen Authentifikation • SSID • VPN mit:- PPTP- MS-PPTP • - IPSec • EAP-TLS & TTLS (802.1x)(Extensible Authentication Protocol - Transport Layer Security) • PEAP (Protected EAP) • LEAP (Lightweight EAP) Moderne Sicherheitsmechanismen als Alternativen zum VPN

38. SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen (WLAN und lokale Netze) • EAP-TLS& 802.1X: (Extensible Authentication Protocol - Transport Layer Security) • 802.1x -> Authentifizierung auf Portebene (nicht nur für FunkLANs) • 802.1x bietet allein keine Verschlüsselung (erst Kombination mit „EAP“-TLS) • Switchport „blockiert“ bis zur vollständigen Authentifizierung (Zutrittsregelung bereits am „Eingang“ des Netzwerkes) • Layer 2 Verfahren -> Protokollunabhängig (Übertragung von AP,IPX/SPX,NetBEUI etc.) • EAP-TLS & 802.1x oft als Kombination eingesetzt • nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf ADS,YP,NT-Domains etc. zurückgreifen) • Client Authentifizierung erfolgt auf „Link Layer“. IP-Adressen sind zu diesem Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP vergeben) • 802.1x Standard: http://standards.ieee.org/getieee802/802.1.html

39. SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen (WLAN und lokale Netze) • 802.1X Prinzip W2K (ADS) RADIUS-Server Proxy-Server Authentication Server Supplicant oder Bittsteller YP/NIS Authenticator Netz 802.1x fähigerL2 Switch NT4 Domain • Client fragt nicht direkt den RADIUS Server • Bei existierendem „nicht 802.1x fähigem RADIUS Server -> „Proxy Server“

40. SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen (WLAN und lokale Netze) • VLAN: (Virtual LAN) + Durch extra „tagging“ Feld getrennt von anderen Netzwerkverkehr + Layer 2 Technik, daher Multiprotokollfähig • + Auf modernen Switches nahezu überall verfügbar • Komplexe Struktur • Aufwendige und arbeitsintensive Integration • VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit Packetfilter, Firewall erforderlich)

41. SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber FunkLAN Client sicher machen • Absicherung der Funk Clients • Selbst der Einsatz von VPN enlastet nicht davor, den lokalen Rechner „sicher“ zu machen • Trennen der LAN-Manager Dienste (Bindungen) • Um den Zugriff im internen VLAN (vor der Authentifizierung) Fremder zu vermeiden, ist die Trennung von LM zum Funkinterface sinnvoll • Laufwerksfreigaben im FunkLAN vermeiden • Freigaben von Ressourcen des Clients erlauben den Zugriff Fremder auf den eigenen Client • Personal Firewall auf Client • Zur Absicherung des Clients ist ggf.eine Personal Firewall sinnvoll (Achtung: für IPSec FW öffnen).

42. SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber Fazit … • Die allumfassende und einfache Sicherheitslösung für LANs und FunkLANs gibt es nicht • Ziel sind moderne Authentifizierungsverfahren über Layer 2 • Gutes Verfahren: Zertifikate zur Authentifizierung in Kombination mit Benutzername/Passwort • IPSec immer noch die sichere Lösung • Offen bleiben hinsichtlich EAP-TLS (TTLS) & 802.1x zur Authentifizierung • Bislang ist die Kombination aus zentraler, redundanter Firewall mit mehreren Ports und ein VPN Gateway (noch) die „sichere“ Lösung S C I S O C Y S T E M S S C I S C O Y S T E M S CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER

43. SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber Weiterführende Links und Quellen ... SPAM (Heise Verlag) http://www.heise.de/ct/03/17/134/ Benutzer-Authentifizierung durch IEEE 802.1x http://www.networkworld.de/artikel/index.cfm?id=68657&pageid=0&pageart=detail WLAN Standards http://wiss.informatik.uni-rostock.de/standards/ http://www.bachert.de/info/wireless.htm

44. SPAM & Sicherheit in Netzen 10/2003 Andreas Ißleiber ? S C S I C O S Y T E M S S C S I C O Y S T E M S Vielen Dank! … Fragen CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER und Diskussionen! Vortrag ist unter: http://www.gwdg.de/~aisslei … zu finden