Massnahmen Verschlüsselung und Integrität
Transcrição
Massnahmen Verschlüsselung und Integrität
Informationssicherheit und Umgang mit ITRisiken in der Praxis Wirksamkeit aktueller Massnahmen Christian Birchler / Thomas Lüthi, Cnlab AG 17. September 2008 Agenda: Sicherheit mobiler Arbeitsstationen - Vor- und Nachteile aktueller Verschlüsselungsverfahren - Integritäts-Prüfung von Arbeitsstationen Network Access Control (NAC) 17.9.2008 2 Problemstellung • Mobile Computer beinhalten häufig sensitive Daten (E-Mails, Offline-Files, BenutzerCredentials). • Wie kann ein mobiler Computer vor unberechtigtem Zugang geschützt werden, wenn er abhanden kommt (Verlust, Diebstahl)? 17.9.2008 3 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Schutz Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen Harddisk verschlüsseln Verschlüsselte Harddisk Online-Zugriff z.B. durch Domain-Admin - Auslesen der NT-Hashes Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Virenscanner einsetzten Geschütztes System durch Virenscanner Nicht aktuelle VirenSignaturen, Rootkits Installation aktueller VirenSignaturen, Integritätsprüfung System gemäss definierter Policy Zero-Day-Attacke Harddisk-Firewall 17.9.2008 4 Mögliche Ausnutzung / Angriffe • Unberechtigter Zugang zu sensitiven Daten auf der Harddisk. • Zurücksetzen von Windows Passwörtern. 17.9.2008 5 Zurücksetzen des Windows-Passwortes (Offline) http://home.eunet.no/pnordahl/ntpasswd/ 17.9.2008 6 Lösungsansatz • Diskverschlüsselung: • Microsoft Bitlocker • TrueCrypt • Utimaco SafeGuard 17.9.2008 7 Microsoft Bitlocker • Verfügbar in Windows Vista und MS Server 2008. Transparente Disk-Verschlüsselung von NTFS Disks mit AES. • Verwendet Trusted-Computing-Technik. • Schlüssel können im Trusted Platform Modul (TPM) in der PC-Hardware gespeichert werden. • Schlüssel werden nur freigegeben nachdem die Integrität des Systems verifiziert wurde: • • 17.9.2008 – BIOS – Master Boot Record – Boot Loader Unterstützte Authentisierungen: – Ohne – PIN – USB-Schlüssel – Wiederherstellungskennwort – Wiederherstellungsschlüssel Unterstützt eine zentrale Konfiguration und Schlüsselhinterlegung über das Active Directory. 8 Wiederherstellungsprozess Recovery-Passwort Recovery-Passwort für Notfall-Zugang zum Device. Optionaler PIN (preboot authentication) Client TPM 1.2 Firmware MBR als Alternative zum PIN Storage Root Key Bootload. USB Device Alternativ zu TPM Volume Master Key USB Device full-volume encryption key (FVEK) schützt BitLocker bietet Schutz für das *Device“, welches das FileSystem enthält. Trusted platform module schützt Windows Vista (Enterprise und Ultimate Edition) PIN (optional) schützt Bitlocker File system Volume Master Key FVEK File System 17.9.2008 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Schutz Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen Harddisk verschlüsseln Verschlüsselte Harddisk - Online-Zugriff z.B. durch Domain-Admin - Auslesen der NT-Hashes Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Virenscanner einsetzten Geschütztes System durch Virenscanner Nicht aktuelle VirenSignaturen, Rootkits Installation aktueller VirenSignaturen, Integritätsprüfung System gemäss definierter Policy Zero-Day-Attacke Harddisk-Firewall 17.9.2008 10 Mögliche Ausnutzung / Angriffe • Unberechtigter Zugang zu sensitiven Daten auf der Harddisk. • Auslesen von BenutzerCredentials (Hashes). • Schutz gegen erzwungene Bekanntgabe des Passwortes. 17.9.2008 11 Auslesen der NT-Hashes http://www.truesec.com/PublicStore/catalog/Downloads,223.aspx C:\gsecdump>net use z: \\struppi\tluethi Das Kennwort oder der Benutzername ist ungültig für \\struppi\tluethi. Geben Sie den Benutzernamen für "struppi" ein: ^C C:\gsecdump>gsecdump -a CNLAB\tluethi::d3492c0xxxxxxxxxxxxxxxxxxxxxxxxx:c0ea239xxxxxxxxxxxxxxxxxxxxxxxxx:::: C:\gsecdump>iam -b -h tluethi:cnlab: d3492c0xxxxxxxxxxxxxxxxxxxxxxxxx:c0ea239xxxxxxxxxxxxxxxxxxxxxxxxx IAM v1.4 - by Hernan Ochoa ([email protected], [email protected]) Username: tluethi Domainname: cnlab LM hash: D3492Cxxxxxxxxxxxxxxxxxxxxxxxxx NT hash: C0EA23xxxxxxxxxxxxxxxxxxxxxxxxx LSASRV.DLL version: 00050001h. A280CB1h Checking LSASRV.DLL....skipped. (-B was specified). Trying to obtain addresses...Ok! (AC = 753E7BEC, EM = 753E56E2) The current logon credentials were sucessfully changed! C:\gsecdump>net use z: \\struppi\tluethi Der Befehl wurde erfolgreich ausgeführt. C:\gsecdump>dir Z:\ 05.12.2005 23:30 17.9.2008 153'075 Bilanzgespraeche2005.pdf 12 Lösungsansatz • Datenverschlüsselung • Microsoft EFS • TrueCrypt • PGP 17.9.2008 13 Microsoft EFS Verfügbar in allen Versionen seit Windows 2000 • Encrypting File System (EFS) ist eine Erweiterung des NTFSDateisystems. • Verschlüsselt einzelne Dateien • Einfache Aktivierung über Dateieigenschaften. • Jede Datei mit einem eigenen File Encryption Key (FEK) verschlüsseln. • Zugang zum FEK über den EFS Key der autorisierten Users. • Optional: Data-Recovery-Agent vorgesehen für Notfall-Zugriff. 17.9.2008 14 PIN EFS Client DC AUTH Cert AUTH Private Key User schützt Login Credentials schützt User Master Key oder Benutzername, Passwort Administrator schützt User EFS Private Key schützt DC Private Key schützt File Encryption Key User Master Key File DC Private Key User Master Key User Master Key User Key Store FEK + File 17.9.2008 15 TrueCrypt Free Open Source www.truecrypt.org 17.9.2008 • Verschlüsselte virtuelle Laufwerke, gespeichert in einer Datei. • Verschlüsselung von gesamten System-Partitionen (pre-boot authentication) • Schutz von Daten USB Memory Sticks • Transparenter Zugriff von allen Anwendungen • Schutz mit Passwort oder Key-File • Versteckte Partitionen auf verschlüsselten Laufwerken • Verstecktes Betriebssystem • Algorithmen: AES, Serpent, Twofish 16 TrueCrypt Hidden Volumes 17.9.2008 17 Auslesen des Passwort Hash (√) (√) √ √ Kein Schutz Kein Schutz (Kein Schutz) EFS Domain User (√) (√) (√) Kein Schutz √ Kein Schutz Kein Schutz (Kein Schutz) TrueCrypt Volume (√) (√) (√) √ √ Kein Schutz Kein Schutz √ TrueCrypt Hidden Volume (√) (√) (√) √ √ √ Kein Schutz √ Bitlocker (ohne PIN) √ √ Kein Schutz Kein Schutz Kein Schutz Kein Schutz Kein Schutz Kein Schutz Bitlocker (mit PIN) √ √ √ Kein Schutz Kein Schutz Kein Schutz √ Kein Schutz √ √ √ Kein Schutz Kein Schutz Kein Schutz √ Kein 18 Schutz Zugriff durch lokale Admins (√) Zugriff über Netzwerk / Windows EFS lokaler User Passwort Reset mit Boot Disk Zugriff auf Temporäre Files Passwort Bekanntgabe wird erzwungen Zugriff durch Domänen Admins Offline Auslesen der Harddisk Vergleich – Zugriffsschutz auf Daten in verschiedenen Szenarien System ausgeschaltet TrueCrypt 17.9.2008 System Volume System in Betrieb Strukturierung und Bewertung Helfen die vorgeführten technischen Massnahmen, die Risiken von morgen besser abschätzen und kontrollieren zu können? • Vollständiger Schutz gegen externe Angriffe bietet nur eine Disk-Verschlüsselung. • Bitlocker bietet im Vergleich mit True Crypt eine TPMUnterstützung sowie Integration ins AD zur Wiederherstellung. • EFS kann als Ergänzung zur Disk-Verschlüsselung zum Schutz zwischen den Benutzern eingesetzt werden. 17.9.2008 19 Agenda: Sicherheit mobiler Arbeitsstationen - Vor- und Nachteile aktueller Verschlüsselungsverfahren - Integritäts-Prüfung von Arbeitsstationen Network Access Control (NAC) 17.9.2008 20 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Schutz Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen Harddisk verschlüsseln Verschlüsselte Harddisk - Online-Zugriff z.B. durch Domain-Admin - Auslesen der NT-Hashes Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Virenscanner einsetzten Geschütztes System durch Virenscanner Nicht aktuelle VirenSignaturen, Rootkits Installation aktueller VirenSignaturen, Integritätsprüfung System gemäss definierter Policy Zero-Day-Attacke Harddisk-Firewall 17.9.2008 21 Konventioneller Virenschutz Internet Zentrale und dezentrale Virenscanner Intranet Virenscanner Virenscanner 17.9.2008 22 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Schutz Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen Harddisk verschlüsseln Verschlüsselte Harddisk - Online-Zugriff z.B. durch Domain-Admin - Auslesen der NT-Hashes Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Virenscanner einsetzten Geschütztes System durch Virenscanner Nicht aktuelle VirenSignaturen, Rootkits Installation aktueller VirenSignaturen, Integritätsprüfung System gemäss definierter Policy Zero-Day-Attacke Harddisk-Firewall 17.9.2008 23 Internet Problemstellung Bedrohung der IT-Landschaft mittels Malware auf Arbeitsplätzen durch: Privat / ext. MA - Nicht kontrollierbare PCs (z.B. private Notebooks) am Intranet. Intranet - PCs ohne aktuellen oder aktiven Schutzmechanismus bezüglich Trojaner, Viren, etc. - PCs ohne aktuelle Sicherheits-Patches. 17.9.2008 Virenscanner Firewall Patchlevel 24 Lösungsansatz Trusted Computing Integritäts-Prüfung Arbeitsstationen erhalten nach erfolgreicher Integritäts-Prüfung Verbindung zum Intranet Internet Client: - Integritäts-Prüfung Tools für Integritäts-Prüfung •TPM (Bitlocker) •Trusted Network Connect (TNC) von Trusted Computing Group •Windows-Server 2008 / System Health Agents (SHA) Intranet Policy Enforcement Point •Verschiedene SHA- und SHV (Security Health Validators) Clients 17.9.2008 25 Bitlocker / TPM Implementation Client Intranet TPM – Trusted Platform Module • HW module built into most of today’s PCs • Enables a HW Root of Trust • Measures critical components during trusted boot • PTS interface allows PDP to verify configuration and remediate as necessary Compliant System TPM verified BIOS MBR Boot-Loader 17.9.2008 Client Rules TPM aktiviert •BIOS •MBR •Boot-Loader 26 TNC – Trusted Network Connect Non-compliant System Policy Enforcement Point Policy Decision Point Remediation Network Windows XP SP2 xOSHotFix 2499 xOSHotFix 9288 AV - McAfee Virus Scan 8.0 Firewall Client Rules Compliant System Windows XP SP2 OSHotFix 2499 OSHotFix 9288 AV - Symantec AV 10.1 Firewall 17.9.2008 Corporate Network Windows XP •SP2 •OSHotFix 2499 •OSHotFix 9288 •AV (one of) •Symantec AV 10.1 •McAfee Virus Scan 8.0 •Firewall 27 Microsoft Server 2008 Windows Server 2008 kennt fünf unterschiedliche Typen von Richtlinien zur Sicherheitsintegritätsprüfung. Diese Richtlinien können ClientSeitig ab Windows XP durchgesetzt werden. •Windows-Firewall •Virenschutz •Spyware-Schutz •Automatische Updates-Aktivierung •Sicherheitsupdateschutz 17.9.2008 28 Implementation MS Server 2008 – NAP Network Access Protection Policy Decision Point Enforcement Methods •Ipsec Non-compliant System Windows XP SP2 xOSHotFix 2499 xOSHotFix 9288 AV - McAfee Virus Scan 8.0 Firewall •IEEE 802.1X authentisierte netzwerkverbindung MS Server 2008 •VPN Verbindungen Compliant System Windows XP SP3 OSHotFix 2499 OSHotFix 9288 AV - Symantec AV 10.1 Firewall 17.9.2008 •DHCP Adress Konfiguration •Terminal Server Gateway Verbindungen Client Rules Windows XP •SP3 •OSHotFix 2499 •OSHotFix 9288 •AV (one of) •Symantec AV 10.1 •McAfee Virus Scan 8.0 •Firewall 29 Massnahmen um Daten zu schützen System Zustand Bedrohung / Angriff Massnahme Windows-Passwort Schutz Physischer Zugriff: - Harddisk ausbauen - Passwort zurücksetzen Harddisk verschlüsseln Verschlüsselte Harddisk - Online-Zugriff z.B. durch Domain-Admin - Auslesen der NT-Hashes Datenverschlüsselung Dateien verschlüsselt, temporäre Dateien enthalten Daten Zugriff auf temporäre Daten, bzw. auf System durch Trojaner/Viren Virenscanner einsetzten Geschütztes System durch Virenscanner Nicht aktuelle VirenSignaturen, Rootkits Installation aktueller VirenSignaturen, Integritätsprüfung System gemäss definierter Policy Zero-Day-Attacke Harddisk-Firewall 17.9.2008 30 UAC WINLOAD.EXE Selbsttest Boot Manager NTFS Boot Block NTFS Boot Sector MBR TPM Schutz: Teilweiser Schutz gegen Zero-DayAttacken: • Missbrauch von Admin-Rechten • Veränderung von geschützten Teilen des OS OSKernel • Benutzer-Interaktion für sensitive Aktionen verlangen („User Access Control“) NTOSKRNL.EXE OSLoader • für interaktive Anwendungen die erhöhte Rechte erfordern. • Treiber Applikationen mit Admin-Berechtigung Secure Startup Prinzip: White-List-Ansatz • Secure Startup (mit TPM) • Kernel-Integritätstest (Selbsttest) • Signaturüberprüfungen Zertifikat Store Benutzer Interaktion (Dialog) Trusted Computing Plattform: Ansätze davon in Windows Vista Root of Trust 17.9.2008 SignaturPrüfung 31 Schutz/Überwachung durch Bitlocker / TPM 17.9.2008 Zero-Day Exploits Inaktive MalwareDetection Software Inaktive Personal Firewalls Fehlende OS- / Application-Patchtes Angriff auf OS / Treiber Angriff durch Hardwaretausch Angriff auf BIOS, MBR, Boot-Loader Bedrohung von / durch Vergleich – Wirkung von Schutzmassnahmen gegen Bedrohungen √ √ - TNCImplementation √ √ √ √ √ √ - MS Server 2008 NAP √ √ √ - VistaMechanismen √ √ √ √ (√) 32 Danke für Ihre Aufmerksamkeit Cnlab AG Obere Bahnhofstrasse 32b 8640 Rapperswil www.cnlab.ch Christian Birchler [email protected] +41 55 214 33 40 Thomas Lüthi [email protected] +41 55 214 33 41 Präsentation verfügbar unter: http://www.cnlab.ch/en/company/publications.html 17.9.2008 33