Sichere IT Infrastrukturen –was der Entwickler wissen sollte Michael Kalbe

Sichere IT Infrastrukturen –was der Entwickler wissen sollte Michael KalbeTechnologieberater - Infrastruktur SicherheitMicrosoft Deutschland GmbHhttp://blogs.technet.com/mkalbe

Wir bauen eine Infrastruktur…

Infrastruktur Grundlage: TCP/IP IPv4

früher einfach IP, ist die vierte Version des Internet Protocols (IP). Es war die erste Version des Internet Protocols das weit verbreitet und eingesetzt wurde und bildet eine wichtige technische Grundlage des Internets. Es wurde in RFC791 im Jahr 1981 von Jon Postel definiert.

Fundamental Security Tradeoff

Sicher

Anwender-freundlich Preiswert

Suchen Sie sich Suchen Sie sich zweizwei Bedingungen aus…Bedingungen aus…

LowLow HighHigh

Ris

kR

isk

Asset ValueAsset Value

HighHigh

Risk tolerance

Risk tolerance

What?What?Me worry?Me worry?

Yes!Yes!We worry!We worry!

Security is all about risk management!

Management von Sicherheitsrisiken

Bewertung Bewerten und Evaluieren von Ressourcen Identifizieren von Sicherheitsrisiken Analysieren und Festlegen der Priorität von

Sicherheitsrisiken Sicherheitsrisiken regelmäßig beobachten und

nachverfolgen

Entwicklung und Implementierung Entwickeln der Sicherheitsoptimierung Testen der Sicherheitsoptimierung Dokumentation von Sicherheitsrichtlinien

Betrieb Neubewerten von neuen und geänderten

Ressourcen sowie Sicherheitsrisiken Stabilisieren und Bereitstellen von neuen und

geänderten Gegenmaßnahmen

Sicherheits StrategieSicherheits Strategie

Mehrstufige Verteidigung• Verwenden eines mehrschichtigen Sicherheitsmodells

– Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird – Verringert die Erfolgsaussichten eines Angriffs

Richtlinien, Verfahren und Bewusstsein

Richtlinien, Verfahren und Bewusstsein BenutzerschulungBenutzerschulung

Warum ?

OSI Schicht “8” Es existiert noch kein

Computersystem welches nicht auf Menschen angewiesen ist

Was ist also das schwächste Glied beim Angriff auf Computersysteme?

Dumpster diving

Wo gebe ich ‘was’ preis?

PasswörterPasswörter

Passwort “Cracking” auf Ebene 8

http://zdnet.com.com/2100-1105_2-5195282.htmlhttp://zdnet.com.com/2100-1105_2-5195282.html

Gutes Passwort, schlechte Implementierung

Admin password

Admin.R386W

PassSatz versus PassWort

●●●●●● ●●●●●● ●● ●●● ●●●● ●●●●●●● ●● ●●●●●●●●●●● ●● ●●●●●●●●●●●●●●

●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●

Je länger desto besser!

Mehrstufige Mehrstufige VerteidigungVerteidigung

Mehrstufige Verteidigung• Verwenden eines mehrschichtigen Sicherheitsmodells

– Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird – Verringert die Erfolgsaussichten eines Angriffs

Richtlinien, Verfahren und Bewusstsein

Richtlinien, Verfahren und Bewusstsein

Betriebssystemhärtung,Betriebssystemhärtung, Authentifizierung, Authentifizierung, Patchmanagement, HIDSPatchmanagement, HIDS

Firewall,Firewall, VPN-QuarantäneVPN-Quarantäne

Sicherheitskräfte,Sicherheitskräfte, Schlösser,Schlösser, ÜberwachungsgeräteÜberwachungsgeräte

Netzwerksegmente,Netzwerksegmente, IPSec,IPSec, NIDSNIDS

Anwendungshärtung,Anwendungshärtung, Antivirussoftware, PatchmangementAntivirussoftware, Patchmangement

Zugriffskontrolle,Zugriffskontrolle, VerschlüsselungVerschlüsselung

BenutzerschulungBenutzerschulung

Physische SicherheitPhysische Sicherheit

PerimeterPerimeter

Internes NetzwerkInternes Netzwerk

HostHost

AnwendungAnwendung

DatenDaten

Mehrstufige Verteidigung Mehrstufige Verteidigung für Entwickler?für Entwickler?

BDSG §9Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten Verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), … personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports … nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können … (Weitergabekontrolle) … ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) … nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können… (Auftragskontrolle) … gegen Zerstörung oder Verlust geschützt …(Verfügbarkeitskontrolle) zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Administrator Berechtigungen? Anwendung benötigt zwingend

Administrator Privilegien Die Lösung:

Benutzer in die Gruppe der lokalen Administratoren aufnehmen!

Dateiablage %SystemRoot% %ProgramFiles% %CommonProgramFiles% %AllUsersProfile% %UserProfile%

\Application Data \Local Settings

Implementierung von Sicherheitsmechanismen mit

Weitsicht…

Links Microsoft-Tool zur IT-Risiko-Selbsteinschätzung

http://www.microsoft.com/germany/sicherheit/tools/msrsat.mspx

Security Guidance Center http://www.microsoft.com/germany/ms/security/guidance/

default.mspx

Michael‘s Security Talk http://blogs.technet.com/mkalbe

Developing Software in Visual Studio .NET with Non-Administrative Privileges http://msdn.microsoft.com/library/en-us/dv_vstechart/html/tchDevelo

pingSoftwareInVisualStudioNETWithNon-AdministrativePrivileges.asp

How To: Secure Your Developer Workstation

http://msdn.microsoft.com/security/securecode/bestpractices/default.aspx?pull=/library/en-us/dnnetsec/html/htworkstat.asp#htworkstat_001#htworkstat_001