Post on 05-Apr-2015
transcript
Sichere IT Infrastrukturen –was der Entwickler wissen sollte Michael Kalbe
Sichere IT Infrastrukturen –was der Entwickler wissen sollte Michael KalbeTechnologieberater - Infrastruktur SicherheitMicrosoft Deutschland GmbHhttp://blogs.technet.com/mkalbe
Wir bauen eine Infrastruktur…
Infrastruktur Grundlage: TCP/IP IPv4
früher einfach IP, ist die vierte Version des Internet Protocols (IP). Es war die erste Version des Internet Protocols das weit verbreitet und eingesetzt wurde und bildet eine wichtige technische Grundlage des Internets. Es wurde in RFC791 im Jahr 1981 von Jon Postel definiert.
Fundamental Security Tradeoff
Sicher
Anwender-freundlich Preiswert
Suchen Sie sich Suchen Sie sich zweizwei Bedingungen aus…Bedingungen aus…
LowLow HighHigh
Ris
kR
isk
Asset ValueAsset Value
HighHigh
Risk tolerance
Risk tolerance
What?What?Me worry?Me worry?
Yes!Yes!We worry!We worry!
Security is all about risk management!
Management von Sicherheitsrisiken
Bewertung Bewerten und Evaluieren von Ressourcen Identifizieren von Sicherheitsrisiken Analysieren und Festlegen der Priorität von
Sicherheitsrisiken Sicherheitsrisiken regelmäßig beobachten und
nachverfolgen
Entwicklung und Implementierung Entwickeln der Sicherheitsoptimierung Testen der Sicherheitsoptimierung Dokumentation von Sicherheitsrichtlinien
Betrieb Neubewerten von neuen und geänderten
Ressourcen sowie Sicherheitsrisiken Stabilisieren und Bereitstellen von neuen und
geänderten Gegenmaßnahmen
Sicherheits StrategieSicherheits Strategie
Mehrstufige Verteidigung• Verwenden eines mehrschichtigen Sicherheitsmodells
– Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird – Verringert die Erfolgsaussichten eines Angriffs
Richtlinien, Verfahren und Bewusstsein
Richtlinien, Verfahren und Bewusstsein BenutzerschulungBenutzerschulung
Warum ?
OSI Schicht “8” Es existiert noch kein
Computersystem welches nicht auf Menschen angewiesen ist
Was ist also das schwächste Glied beim Angriff auf Computersysteme?
Dumpster diving
Wo gebe ich ‘was’ preis?
PasswörterPasswörter
Passwort “Cracking” auf Ebene 8
http://zdnet.com.com/2100-1105_2-5195282.htmlhttp://zdnet.com.com/2100-1105_2-5195282.html
Gutes Passwort, schlechte Implementierung
Admin password
Admin.R386W
PassSatz versus PassWort
●●●●●● ●●●●●● ●● ●●● ●●●● ●●●●●●● ●● ●●●●●●●●●●● ●● ●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
Je länger desto besser!
Mehrstufige Mehrstufige VerteidigungVerteidigung
Mehrstufige Verteidigung• Verwenden eines mehrschichtigen Sicherheitsmodells
– Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird – Verringert die Erfolgsaussichten eines Angriffs
Richtlinien, Verfahren und Bewusstsein
Richtlinien, Verfahren und Bewusstsein
Betriebssystemhärtung,Betriebssystemhärtung, Authentifizierung, Authentifizierung, Patchmanagement, HIDSPatchmanagement, HIDS
Firewall,Firewall, VPN-QuarantäneVPN-Quarantäne
Sicherheitskräfte,Sicherheitskräfte, Schlösser,Schlösser, ÜberwachungsgeräteÜberwachungsgeräte
Netzwerksegmente,Netzwerksegmente, IPSec,IPSec, NIDSNIDS
Anwendungshärtung,Anwendungshärtung, Antivirussoftware, PatchmangementAntivirussoftware, Patchmangement
Zugriffskontrolle,Zugriffskontrolle, VerschlüsselungVerschlüsselung
BenutzerschulungBenutzerschulung
Physische SicherheitPhysische Sicherheit
PerimeterPerimeter
Internes NetzwerkInternes Netzwerk
HostHost
AnwendungAnwendung
DatenDaten
Mehrstufige Verteidigung Mehrstufige Verteidigung für Entwickler?für Entwickler?
BDSG §9Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten Verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), … personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports … nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können … (Weitergabekontrolle) … ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) … nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können… (Auftragskontrolle) … gegen Zerstörung oder Verlust geschützt …(Verfügbarkeitskontrolle) zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Administrator Berechtigungen? Anwendung benötigt zwingend
Administrator Privilegien Die Lösung:
Benutzer in die Gruppe der lokalen Administratoren aufnehmen!
Dateiablage %SystemRoot% %ProgramFiles% %CommonProgramFiles% %AllUsersProfile% %UserProfile%
\Application Data \Local Settings
Implementierung von Sicherheitsmechanismen mit
Weitsicht…
Links Microsoft-Tool zur IT-Risiko-Selbsteinschätzung
http://www.microsoft.com/germany/sicherheit/tools/msrsat.mspx
Security Guidance Center http://www.microsoft.com/germany/ms/security/guidance/
default.mspx
Michael‘s Security Talk http://blogs.technet.com/mkalbe
Developing Software in Visual Studio .NET with Non-Administrative Privileges http://msdn.microsoft.com/library/en-us/dv_vstechart/html/tchDevelo
pingSoftwareInVisualStudioNETWithNon-AdministrativePrivileges.asp
How To: Secure Your Developer Workstation
http://msdn.microsoft.com/security/securecode/bestpractices/default.aspx?pull=/library/en-us/dnnetsec/html/htworkstat.asp#htworkstat_001#htworkstat_001