ITSecOrg: JUNOS Config Importer

Implementierung eines Parsers zum Importieren der JUNOS-Firewall-Konfigurationen für ein existierendes Dokumentations- und Reporting-Produkt (IT Security Organizer) im Auftrag eines Münchner Systemhauses.

Themen: Juniper JUNOS, Juniper SRX, Perl, Parser

IT Security Compliance Checking

Für einen großen deutschen Automobilhersteller führt Cactus eSecurity ein Projekt durch, dass die Implementierung eines automatisierten Security Audit Prozesses zum Ziel hat, mit dessen Hilfe alle Serversysteme im Netzwerk (weltweit > 400.000 Nutzer) auf sichere Konfiguration sowohl auf Betriebssystem- als auch auf Applikationsebene überprüft werden.
Themen: Compliance, Audit, Sicherheitsprüfungen, Automatisierung, Symantec Control Compliance Suite, nCircle Configuration Compliance Manager, Tenable SecurityCenter, AppSecInc DbProtect, McAfee MVM for Databases, akquinet SAST SystemTrack (SAP)

Wireless LAN Security

Wireless LAN oder kurz WLAN wird zunehmend in vielen Unternehmen und im Heimbereich eingesetzt. Die WLAN Technologie bietet endlich die Möglichkeit wirklich mobil zu arbeiten. Aber wie erreiche ich eine sichere Kommunikation?

Die benötigten Module sind inzwischen bereits ab Werk in vielen mobilen Geräten wie Laptops oder PDAs integriert, die Software in die meisten Betriebssysteme. An öffentlichen Plätzen wie Cafes, Hotels, Flughäfen und sogar Flugzeugen sind sogenannte Access Points installiert, die den drahtlosen Zugriff in das Internet ermöglichen. Auch in Firmen nehmen die Access Punkte, die den Zugriff auf das Firmennetzwerk erlauben, stetig zu. Die Industrie sorgt quasi für einen problemlosen Einstieg.

Im Gegensatz zum kabelgebundenen Netz kann der Zugriff auf ein WLAN, also ein kabelloses Netz, kaum kontrolliert werden. Es gibt ja kein Kabel, an das man sich anschließen muss, dass hinter einem Firmenzaun oder in einem Gebäude liegt. Das Netzwerk reicht bis zum Auto den Angreifers auf dem Parkplatz vor dem Gebäude oder eben auch auf den Balkon vom Nachbarn. Daher muss insbesondere bei drahtloser Kommunikation ein besonderes Augenmerk auf die Sicherheit gelegt werden, im Gegensatz zu dem, was uns die Werbung so gern suggeriert.

Letztendlich bewirkt dieser Umstand, dass man zum gesicherten Einsatz der Wireless Technologie einen bunten Cocktail aus den etablierten Security Technologien einsetzen sollte, denn jeder, der über entsprechende Hardware verfügt, kann in einem WLAN arbeiten oder zumindest das WLAN abhören.
Verschlüsselung

Die Vorstellung, dass jeder die im unsicher konfigurierten WLAN übertragenen Daten einfach mitlesen kann, zwingt uns dazu, die mittels WLAN zu übertragenden Daten immer zu verschlüsseln. Etablierte Methoden unterschiedlichster Stärke sind:

  • WEP – Wired Equivalent Privacy
  • WPA – Wi-Fi protected Access (mittlerweile WPA2)
  • und die diversen Tunnelprotokolle, wie IPSEC

Firewalling

Ist ein Angreifer erst einmal in einem Netz, kann er die mobilen Geräte und das Netz attackieren. Dies sind also zu schützen, der Laptop in der Regel mit einer Personal Firewall, das Firmennetz dadurch dass der Access Point in einer DMZ, also einem separaten Netzsegment der Firmenfirewall angeschlossen wird.
Authentisierung

Damit nur berechtigte Anwender zugreifen, müssen sich diese anmelden und dabei authentisieren, also dem Netz Ihre Identität beweisen. Hier können PKI Systeme, Radius und Ähnliches eingesetzt werden.

Das kann natürlich nur ein kleiner Überblick sein. Wichtig ist vor allem, dass die ergriffenen Schutzmaßnahmen in einem gesunden Verhältnis zu den Risiken stehen müssen.

Transportverschlüsselung

Verschlüsselung wird im IT-Bereich auf verschiedenen Ebenen eingesetzt. So arbeiten PGP (Pretty Good Privacy) und SSH – Secure Shell (freie Version | kommerzielle Version) auf Ebene 7 dem Application Layer und sind somit Dienst-spezifisch. SSL (Secure Socket Layer) setzt etwas tiefer an und kann somit für mehrere Applikationen wie etwa HTTP und TELNET verwendet werden.

Noch tiefer setzt IPSEC an. Auf Netzwerkebene (Layer 3) können komplette IP-Pakete eingepackt werden. IPSEC hat sich mittlerweile zum Standard für VPN-Technologie entwickelt. Eine Beschreibung der quelloffenen OpenSwan-Implementierung findet sich in unserem Howto.

All diesen Verschlüsselungsverfahren ist gemeinsam, dass der verwendete Datenverschlüsselungsalgorithmus modular austauschbar ist.

Ein Maß für die Sicherheit des Verfahrens ist die Länge des verwendeten Schlüssels. Derzeit gelten Schlüssellängen von 256 Bit für symmetrische Verfahren sowie 2048 Bit für asymetrische Verfahren als hinreichend sicher (d.h. mit den derzeit bekannten Mitteln nicht in vertretbarer Zeit und mit vertretbarem finanziellen Aufwand entschlüsselbar). Die Schlüssellänge ist aber keinesfalls der einzige Faktor zur Wahrung der Vertraulichkeit der übermittelten Daten: Key-Management und kryptologische Eigenschaften des verwendeten Algorithmus’ sind ebenfalls entscheidend.

Firewalling

Im Firewall-Bereich, einem der ältesten IT-Security-Themen, tummelt sich eine Vielzahl von Herstellern. Zu den am weitesten verbreiteten zählen:

  • Check Point
  • Juniper
  • Fortinet
  • CISCO
  • Palo Alto

FireWall-1, Marktführer mit fast 40% Marktanteil, ist ein intelligenter Paketfilter, der Zustandstabellen über bestehende Verbindungen führt und somit die Pakete nicht einzeln wie ein primitiver Paketfilter sondern im Kontext der Verbindung betrachten kann.

Die Cisco ASA Firewall ist sowohl als Appliance als auch als Service Module zur Integration in bestehende Switch-Hardware verfügbar.

Preiswertere Alternativen finden Interessierte im Linux-Bereich. Hier steht mit iptables OpenSource-Paketfilter zur Verfügung, die mittlerweile auch recht komfortabel über eine GUI (z.B. fwbuilder) konfiguriert werden können.

Betriebssysteme und Hardening

Am Arbeitsplatz kommt häufig Windows zum Einsatz. Durch Verwendung dieses de facto Standards erreicht man größtmögliche Interoperabilität mit anderen Unternehmen beim Datenaustausch.

Als Serverplattform raten wir allerdings, wenn das Know-How im Unternehmen vorhanden ist, zu stabilen und besser zu wartenden Unix-Systemen. Für sicherheitsrelevante Systeme sollte eine Standard-Unix-Installation allerdings speziell gehärtet werden. Wir unterstützen Sie aber auch beim Härten von Windows-Systemen.

Der Trend geht derzeit in Richtung Appliance – eine Komplettlösung bestehend aus Hardware, Betriebssystem und Sicherheitsapplikation – hier ist der Hersteller auch für die Sicherheit der Plattform verantwortlich