Einführung Sicherheitsverwaltung

Einführung in die Grundlagen von Security Policies und der Sicherheitsverwaltung

Präsentation unter: https://essentials.coufal.at/network_basics/Sicherheitsverwaltung.html

Klaus Coufal

27.2.2020

Sicherheitsverwaltung

• Motivation
• Security Policies
• Sicherheitsverwaltung

Sicherheitsverwaltung: Motivation

• Sicherheitsrisiken werden ständig größer
• Welche Systeme sind welchen Bedrohungen ausgesetzt?
• Welche Systeme sind auf welchem Sicherheitslevel?
• Änderungen werden vorgenommen ohne das System erneut auf Sicherheit zu prüfen
• Alte Systeme (Betriebssysteme, Software, ...) bleiben lange nach dem EOL von Teilkomponenten noch in Betrieb
• Zertifizierung von Teilsystemen hängen vom Gesamtsystem ab

Sicherheitsverwaltung: Security Policies

• Einführung und Normen
• Ziele von Security Policies
• Arten von Security Policies
• Verantwortung für Security Policies
• Umsetzung von Security Policies

Sicherheitsverwaltung: Security Policies - Einführung

• Eine Security Policy beschreibt den erstrebten Anspruch einer Institution nach Informationssicherheit
• In einer Security Policy werden die Verhaltensweisen beschrieben, die zur Erreichung der Ziele notwendig sind (z.B. wie oft muß ein Passwort geändert werden)
• "Definition":
  Eine Sicherheitsrichtlinie ist ein Satz von Regeln, die definieren wer autorisiert ist, auf was zuzugreifen und unter welchen Bedingungen diese bzw. die Kriterien nach denen diese Autorisation gewährt oder verwehrt wird

Sicherheitsverwaltung: Security Policies - Normen

• Vorreiter BS 7799-1 (British Standard)
• ISO/IEC 27001 und ISO/IEC 27002
• ITU-Empfehlung X.800
• RFC 2196 (Site Security Handbook)
• RFC 4949 (Internet Security Glossary, Version 2)
• ISO/IEC 13335 (Management der Informationssicherheit)
• ITIL (IT Infrastructure Library, http://www.itsmf.at/)
• ISO/IEC 25010 (Softwarequalität)
• PCI-DSS (Payment Card Industry Data Security Standard; Sicherheitsstandard der Zahlungssysteme (VISA, …))

Sicherheitsverwaltung: Security Policies - Ziele

• AAA
  • Authentication (Authentisierung)
  • Authorization (Autorisierung)
  • Accounting (Zurechenbarkeit)
• CIA
  • Confidentiality (Vertraulichkeit)
  • Integrity (Unversehrtheit)
  • Availability (Verfügbarkeit)
• Das Ziel der Security Policies ist es „AAA“ von Personen und „CIA“ von Daten sowie die Nachweisbarkeit aller Änderungen (Protokollierung) sicherzustellen, sowie die Benutzer (Mitarbeiter) zu sensibilisieren und dies durch laufende Audits zu belegen und zu verbessern

Sicherheitsverwaltung: Security Policies - Arten

• Allgemeine Richtlinien (Sicherheitsziele und –strategien)
• Besondere Richtlinien für die einzelnen Einsatzgebiete (Zutrittsschutz, Zugriffsschutz, Schutz vor Verlust)

Sicherheitsverwaltung: Security Policies - Allgemeine Richtlinien

• Festlegung von Verantwortlichkeiten
• Festlegung der übergeordneten Ziele
• Auswahl geeigneter Methoden
• Mechanismen zur Kontrolle
• Schulungspläne
• Notfallpläne
• Vorgaben für besondere Richtlinien

Sicherheitsverwaltung: Security Policies - Besondere Richtlinien

• S.o.
• Einsatzbereich
• Konfigurationsdetails
• Berechtigungen
• Protokollierungsmaßnahmen
• Je nach Richtlinie weitere Maßnahmen

Sicherheitsverwaltung: Security Policies - Benutzerrichtlinien

• Umgang mit Betriebsinterna
• Umgang mit Berechtigungen
• Umgang mit neuen Medien (Internet,…)
• Beiträge der Benutzer zu Schutzsystemen
• Urheberrecht
• Konsequenzen aus Fehlverhalten

Sicherheitsverwaltung: Security Policies - Verantwortung

• Die Security Policies werden von der obersten Leitung erlassen, daher ist auch diese für die Vollständigkeit und die Einhaltung verantwortlich
• Dazu müssen alle Mitarbeiter darüber geschult werden
• Für die Umsetzung sind alle betroffenen Mitarbeiter verantwortlich

Sicherheitsverwaltung: Security Policies - Umsetzung

• Anhand von Checklisten analog zu den sonstigen Notfallplänen der Institution
• An Hand von Mustern für viele Fälle diverser einschlägiger Organisationen
• z.B.: BSI (Bundesamt für Sicherheit in der Informationstechnik)
  • IT Grundschutzkataloge
  • IT Grundschutzkompendium
• Konkrete Beispiel:
  • Universität für Bodenkultur Wien
  • Freie Universität Berlin
  • Secupedia

Sicherheitsverwaltung: Sicherheitsverwaltung

• Netzwerkmanagement zur Sicherheitsverwaltung
• Intrusion Detection/Prevention Systeme zur Sicherheitsverwaltung
• Eigenständige Lösungen z.B. von Antimalwareherstellern
• Berichte zur Sicherheitssituation

Sicherheitsverwaltung: Netzwerkmanagement (NM)

• Warum
• Anforderungen
• Einordnung in Managementsysteme
• Standards und Protokolle
• Aufbau von Managementsystemen
• OSI-NMS
• SNMP-NMS
• Webbasierendes Management

Sicherheitsverwaltung: NM - Warum

• In den 80er Jahren wurde durch das Wachstum der Netzwerke der Bedarf nach Netzwerkmanagement immer dringender. Beginnend mit „Remote Login“ wurde ein Framework zur zentralen Verwaltung der Netzwerke geschaffen, um die Administration zu vereinfachen

Sicherheitsverwaltung: NM - Anforderungen

• Faultmanagement
• Configurationmanagement
• Performancemanagement
• Accountingmanagement
• Securitymanagement

Sicherheitsverwaltung: NM - Faultmanagement

• Fehler erkennen
• Fehler lokalisieren
• Rekonfiguration zur Umgehung
• Fehler beheben
• Originalkonfiguration wiederherstellen

Sicherheitsverwaltung: NM - Configurationmanagement

• Rekonfiguration aktiver Komponenten (z.B.: Router)
• Stilllegung von Komponenten
• Aktivierung neuer Komponenten
• Erkennen neuer Komponenten

Sicherheitsverwaltung: NM - Performancemanagement

• Wie groß ist die Auslastung?
• Intensiver Datenverkehr einzelner Stationen?
• Gesamtdurchsatz?
• Flaschenhälse?
• Antwortzeiten?

Sicherheitsverwaltung: NM - Accountingmanagement

• Zugangskontrolle und Abrechnung
• Benutzerberechtigungen und deren unerlaubte Weitergabe
• Ineffiziente Nutzung des Netzes durch Benutzer
• Ausbauplanung

Sicherheitsverwaltung: NM - Securitymanagement

• Erzeugung, Verteilung und Speicherung von Verschlüsselungsinformationen (CA, PKI)
• Überwachung des Netzes
• Log-File-Analyse

Sicherheitsverwaltung: NM - Einordnung

• Anwendungsmanagement
• Informationsmanagement
• Systemmanagement
• Netzwerkmanagement
• Facilitymanagement

Sicherheitsverwaltung: NM - Anwendungsmanagement

• Anwendungen
• Globale Einstellungen (CI)
• Benutzerspezifische Einstellungen
• Installation
• Deinstallation

Sicherheitsverwaltung: NM - Informationsmanagement

• Datenbestände
• Datenbanken
• DMS - Dokumentenmanagementsysteme
• Backup and Restore

Sicherheitsverwaltung: NM - Systemmanagement

• Host
• Server
• Workstation
• PC
• NC, Thin Client, ...
• Meist inkl. NMS (Network Management System)

Sicherheitsverwaltung: NM - Netzwerkmanagement

• "Aktive" Netzwerkkomponenten
  • Hubs, Repeater, Bridge
  • Switches
  • Router
  • Appliances (Firewall, IPS, ...)
• "Passive" Netzwerkkomponenten
  • Verkabelung
  • Dokumentation
  • ...

Sicherheitsverwaltung: NM - Facilitymanagement

• Gerätemanagement
  • Fax
  • Telephonanlage
  • Zeitabrechungssysteme
  • Zugangskontrollsysteme
  • ...
• Verbindungsmanagement
  • Schaltschrank und Patchkabel
  • Glasfaserleitung
  • ...

Sicherheitsverwaltung: NM - Standards

• ISO 10164-x (x=1..22)
• SNMP (RFCs 1155, 1157, 1213, 1351..3, 1441..52, 1901..10, 2011..13, 3410..18, ... davon vieles aber DRAFT, PROPOSAL oder HISTORIC, Übersicht hier)
• CCITT X.700 (=ISO/IEC 7498-4)

Sicherheitsverwaltung: NM - Protokolle und Abkürzungen

• OSI-CMIP (Common Management Information Protocol)
• OSI-CMIS (Common Management Information Service)
• SNMP (Simple Network Management Protocol)
• RMON (Remote MONitoring)
• MIB (Management Information Base)

Sicherheitsverwaltung: NM - Aufbau

• Managementkonsole, Management Station (GUI für das Gesamtsystem)
• Managementserver (Datenbank; Sammlung von Informationen)
• Management Agents (in allen managebaren Geräten bzw. eigene Geräte, die Information sammeln)

Sicherheitsverwaltung: NM - OSI-NMS

Sicherheitsverwaltung: NM - SNMP-NMS

Sicherheitsverwaltung: NM - Webbasierend

• Verwaltung eines Geräts mit einem Webinterface

Sicherheitsverwaltung: NM - Webbasierend VT

• Keine Managementsoftware notwendig (Jede managebare Komponenten beinhaltet Webserver und die Managementkonsole ist ein Browser)
• Das Protokoll ist herstellerunabhängig
• Geringe Kosten
• Gesicherte Übertragung durch TCP

Sicherheitsverwaltung: NM - Webbasierend NT

• Sicherheit des Webservers in dem Gerät
• Keine Traps
• Geringer Funktionsumfang
• Graphische Konfiguration verleitet mehr zum Probieren
• Meist reines Konfigurationsmanagement
• Unterschiedliche GUIs an vergleichbaren Geräten

Sicherheitsverwaltung: IDS/IPS

• Mit IDS/IPS-Produkten kann ebenfalls die Sicherheit verwaltet werden, allerdings nur der Bereich, den diese überwachen
• Hybride Systeme, die nicht nur das Netz sondern auch Hosts überwachen, bieten hier mehr Möglichkeiten
• Aus den Ergebnissen der Arbeit von IDS/IPS-Systemen werden Reports erstellt, die eine der Grundlagen für Sicherheitsberichte bilden können
• Einige IDS/IPS-Systeme können auch aktiv in die Konfiguration von z.B. Firewalls eingreifen und so auch präventiv die Sicherheit verwalten

Sicherheitsverwaltung: Antimalware

• Bei den meisten Antimalherstellern (Kaspersky, Symantec, ...) gibt es Administration Software, mit deren Hilfe man die Antimalwareprodukte des jeweiligen Herstellers im gesamten Netz verwalten kann
• Damit hat man in einer zentralen Konsole alle Informationen über den Schutzzustand der Server und Clients
  • Lizenzstatus
  • Installierte Programmversion
  • Letzter Patternupdate
  • Letzter Scan und eventuelle Antimalwarefunde
• Zusätzlich ist oft noch eine zentrale Aufgabenplanung und zentrales "Eventlogging" enthalten
  • Installation
  • Updates einspielen
  • Scan durchführen
  • ...

Sicherheitsverwaltung: Bericht

• Aus allen sicherheitsrelevanten Informationen (Logfiles, Reports von IDS/IPS-Systemen, ...) wird ein Sicherheitsbericht erstellt
• Dieser stellt die Sicherheitssituation dar, dazu umfasst er
  • alle Sicherheitssysteme
  • alle sicherheitskritischen Ereignisse eines bestimmten Zeitraums
  • Empfehlungen zur Verbesserung der Situation (z.B.: Einsatz von fail2ban, ...)
• Die graphische Darstellung der Situation hilft vor allem beim Aufbereiten der Situation für die Managementebene

Quellen

• Seminarreihe Netzwerke
• S5: A Simple Standards-Based Slide Show System
• Mein Informationsportal (www.coufal.info)

Fragen

?

Danke für Ihre Aufmerksamkeit