Cisco Networking Academy - Berner Architekten Treffen

Cisco Networking Academy
Hochschule Luzern Technik & Architektur
Prof. Dr. Bernhard Hämmerli
T direkt +41 310 59 18
[email protected], [email protected]
Bern
26. September 2010
Berner Architekten Treff BAT 16
Inhalt
1. Intro IT-Sicherheit und Spannungsfelder in der Information-Sicherheit
2. E-Banking: Ein praktische Beispiel
3. EU FP7 Projekt Parsifal: Erklärung ausgewählter Ergebnisse
Conclusions, Fragen


Folie
Schweizer Informatikgesellschaft SI, Cisco Akademie
Ausblick auf die Übungen
2, 26. September 2010
Inhalt II
Nach einer kurzen Einführung und Definition der Informationssicherheit
werden die wesentlichsten Merkmale und Spannungsfelder der IT-Sicherheit
aufgezeigt.
Anhand von E-Banking wird ein praktisches Beispiel der Komplexität der
Aufgabe gegeben, wenn moderne „Drive by Download“ und „Phishing“
bekämpft werden muss.
Ein Ausblick auf die aktuellen und künftigen Herausforderungen anhand
der Projektergebnisse der EU finanzierten Studie über den
Handlungsbedarf in Finanz IT-Systemen rundet den Vortrag ab.
Sicherheit ist ein Seitenthema: Auch für die IT-Architekten, obwohl im
BAT ausdrücklich als Themenbereich aufgeführt.
 Für Architekten trotzdem wichtig
 Workshop: 12: 50 – 13.50: Erkennen der Architektur mit OS-Intelligence
Folie
3, 26. September 2010
Intro I: „Security Shopping List“
Shoppingliste Basis
 Confidentiality (Vertraulichkeit)
 Integrity (Unverändertheit)
 Availability (Verfügbarkeit)
Shoppingliste Erweitert
 Non Repudiation (Verbindlichkeit, Nachweisbarkeit und
Nachvollziehbarkeit):
Aufzeichnungen, Archivierungen, Monitoring, Logs
 Authentication (Ursprungsnachweis, wer handelt):
Bedingt elektronische Identitäten
 Ist Voraussetzung um die Vergabe von Berechtigungen,
Autorisierung und individuelles Rights Management
 Compliance: Es werden die rechtlichen Rahmenwerke eingehalten.
Innerer Wiederspruch
Verfügbarkeit
Folie
4, 26. September 2010
Vertraulichkeit
Resilience und Disaster Recovery
Folie
5, 26. September 2010
Bildguellen
Google Image
Ist es aktuell?? Heise 10.6.2010
Exploit für neue Flash-Lücke verbreitet sich schnell
Nach Angaben mehrerer Antivirenhersteller verbreitet sich ein Exploit zum
Ausnutzen der am Wochenende gemeldeten, ungepatchten Lücke in Adobes Flash
Player und dem Reader immer schneller. Erste Webseiten nutzen den Exploit
bereits für Angriffe aus. Die Schwachstelle betrifft den Flash Player 10.0.45.2 und
frühere Versionen sowie die zusammen mit dem Reader und Acrobat 9.x
ausgelieferten Bibliothek authplay.dll.
lost+found: Sniffender Mac-Trojaner, Adware per WLAN
AT&T gibt E-Mail-Adressen von 114.000 iPad-Besitzern preis
Exploit für neue Flash-Lücke verbreitet sich schnell
Windows-Hilfe als Einfallstor für Angreifer
IBM startet Sicherheitsinitiative "Secure by Design"
09.06.2010
Alert! Google zahlt 2000 US-Dollar für Lücke in Chrome
Innenministerium legt Studie zum Identitätsdiebstahl vor
Sysinternals veröffentlicht Autoruns 10
08.06.2010
Juni-Patchday bei Microsoft
Adobe will kritische Flash-Lücke am Donnerstag stopfen
Alert! Apples Safari-Update schließt 48 Sicherheitslücken
Tool knackt verschlüsselte Sitzungsdaten
Öffentliche
Beta2010von Windows 7 Service Pack 1 im Juli
Folie
6, 26. September
Intro 2: Die Wahl des Risiko
„Healthy“ Infrastuktur Zustand
Degregation bei Ereignissen
Folie
Reslience:
Pre-Loss Vorsorge
Disaster Recovery: Post-Loss Management
7, 26. September 2010
Wo wie viel investieren, in Vorsorge
oder schnelles Recovery?
Intro 3: Weshalb ist es schwierig
Zur Komplexität:
 Die System sind offen und sehr komplex:
Flugzeug vs. IT
 Schutz ist schwieriger als Angriff: Asymmetrie des
Aufrüstens
 Psychologie & Ökonomie: Risikoverhalten, Angst
und Gier: Niemand will Sicherheit kaufen!!!
 Trend: IT wird zur Utility: Angstkauf wandelt sich
in Gier-Kauf als Option: Auto und End User Computer
 Cloud Computing: IT aus der Steckdose /Server,
Facebook, Disk etc. Sicherheit?
 wo liegt die Verantwortung: Achtung Firmen
und professionell Betreiber: Risikomanagement
kann nicht outgesourced werden!
 Enduser: Will Funktionalität, nicht Sicherheit
oder Privatheit
 Cloud Nutzung ist ein Vertrauensgeschäft, wie
Credit Karte, Grösse und Brand helfen beim
Vertrauen, Sicherheit: bei Kleingeschäften
Folie
8, 26. September 2010
Intro 4: About Information Policy
Vom Data-Messi zum I-Worker
Need to Know versus Need to Restrict
Need to know: „militärisches Informationsmanagement“:
Jeder Mitarbeiter hat genau diejenigen Informationen verfügbar, die er
zur Ausführung von seinem Job braucht, aber gar nichts mehr!
Antithese der heutigen Öffentlichkeitskultur.
 Klassifikation, individuelles Rights Management
Need to restrict: „Alles ist öffentlich, ausser es ist klassifiziert“.
Grundsätzlich dürfen alle Informationen weitergegeben werden, ausser
es ist vom Dateneigner ein Klassifikationsmerkmal (interner Gebrauch,
vertraulich geheim, streng geheim) angebracht. (Prinzip der
Bundesverwaltung, entspricht der heutigen kulturellen Tendenz.)
Herausforderung: Echt gelebte Klassifikation der Daten!
Folie
9, 26. September 2010
Intro 5: Conclusion Intro
Security ist unter anderem schwierig weil:
 Die Komplexität nur wenigen Personen eine Tiefe Einsicht erlaubt.
Mehr Verwirrung als Verständnis.
 Das Business Modell IT-Security nicht wirklich passt.
Möchten sie nach dem Auto die Bremsen separat kaufen?
 Der Aufwandes zwischen Angreifer und Verteidiger asymmetrisch ist.
Trends
 IT wird eine Utility wie ein Pult und ein Stuhl im Büro
 IT kommt aus der Steckdose
 IT Security wird sich zunehmend durch Risikomanagement, und Compliance
dominiert werden und ein Teil der Corporate Governance sein.
 User wollen Einfachheit, Geschäfte sollten professionelle Klassifikation
haben: Anti-Data-Messi
Ortsabhängige Policy eines Objektes möglich
Folie
10, 26. September 2010
Ortsabhängige Security Policy
eines elektronischen Objektes
Folie
11, 26. September 2010
About e-banking and
what has to be assured
Wissenschaftliche Begleitung
der e-Banking Studie der Detecon Schweiz
Folie
12
Assurance of E-Banking
Actual Threat Situation (1/2): Limitation on PC Security
Combining Secure and Insecure Communication Channels
General purpose computing has risks!
E-Mail Attachement
Drive-by
download
Secure Encrypted
Internet
Communication
with Authentication
e.g. PKI
Folie
13
Actual Threat Situation (2/2)
Combining Secure and Insecure Communication Channels
E-Mail
Attachement
Folie
14
Drive-by download
Example I: This would be the real
login to UBS e-banking …



Folie
15
Example II: ebanking Login Interception
- Access to login page is
intercepted and routed to
the hacker via the drop
zone
- The hacker presents
authentic looking login
pages to the client

- The hacker asks for the
client's contract number,
and starts a separate login
to the real bank
- Fake challenge and
response pages are
provided via the drop zone
and admin page, letting
the hacker login directly to
the real bank  
- After a successful login,
the hacker gives the client
a "System Down" page
Folie
16



Example III: Business Case
To counter fight such scenarios there are the following approaches:
Defence with technology (Difficult shorthand, solutions will discussed later)
Phase I:
Successful hook-up of the attacker's drop zones to allow for precise
monitoring of their activities
(reaction time reduced from hours to minutes)
Phase II: Intelligent counter-measures against the drop zones to get access
to the attackers credentials:
On-line / real-time detection of any successfully compromised client
based on the client's contract number
(a contract number is a unique identification criteria)
Phase III: The most recent success gives a few minutes of lead time to block
the contract before the account is actually attacked and any money
is stolen/transferred from the account  very successful.
Folie
17
Example IV: Business Case
To counter fight such scenarios there are the following approaches:
Whenever the attackers were successful, there are several options:
a) Denial of Money transfer: Whenever attacker wants to use their power, they
will need an account to transfer the money to: Counter fighting this transfer
by rules and amount monitoring is very successful.
Attacker will earn (normal business) and are discouraged by too much
obstacles and income cut.
 this is equivalent to destroy the business model of the attackers. The
investment per crown must be increased such that e-crime is no more
beneficial.
b) Repression: Through exchange of criminal money transfer information and
demanding as a country from political side criminal prosecution, justice and
cooperation, the pressure to the e-crime will be much higher. (we are
fighting for ...)
c) Counter reaction through attacking the criminal’s server: Works but it is not
really beneficial ...
Folie
18
Lessons Learnt
Botnets cannot be efficiently stopped at this point in time and mid-term
(seems to become a fact of life)
Client PCs remain inherently insecure what ever accurate virus protection
might be installed
Only a minority of servers could have been shut-down with the support of
the ISPs and/or local law enforcement agencies
For certain jurisdiction, it is deemed impossible to get the attackers arrested
even though their identity might be revealed
Strong authentication of users is not strong enough to prevent highly
sophisticated hacking attacks with interception
19
Folie
19
Challenges banks face
Policy makers
The co-operation between the local law enforcement agencies need to be
improved in order to arrest the culprits in due course of time
The sensitivity for this issue needs to be raised – all parties might become
victims, there are no exceptions
Individual Banks
The transfer of money to inappropriate beneficiaries have to be stopped by
technical means (transaction signing, re-confirmation of new beneficiaries via
different channels or with smart tokens, …)
Banking organisation should create awareness on an international scale
amongst their members
Banks should build-up non-competitive channels to efficiently manage incidents
against their e-service offerings again on an international scale
Folie
20
What this means in respect
to assurance?
Assurance
Assurance of specific IT-processes is not sufficient:
Additionally should be assured:
The devices including all applications and the operating system ??
Business side of the process: Let them do, but don’t pay off
 destruction of the business model
The human aspects as user and its behaviour: Awareness
The legal process for prosecution
Assurance is definitely the right direction to go, but far more challenging than
a single project!
21
Folie
21
Parsifal EU Project
Vorstellung ausgewählter Ergebnisse
www.parsifal-project-eu
Siehe auch 6-seitige Zusammenfassung in den Beilagen
Folie
22
Overall Conclusions and Recommendations
Before Parsifal: Thematic Workshop September 2007
About Parsifal: Protection and Trust in Financial Infrastructure
Type Co-ordination Action, Duration 18 Month, Start September 1, 2008
Related Projects: Comifin (Strep), Think Trust Advisory Board, RISEPTIS.
5 Partner: Acris GmbH (Switzerland) Atos Origin SAE (Spain), Avoco Secure
LTD (UK), @bc (Germany), EDGE International BV (The
Netherlands), Waterford Institute of Technology (Ireland)
Parsifal Project objectives
1. Bringing together CFI and TSD research stakeholders in order to establish and
nurture relationships between the financial sector stakeholders and the ICT
TSD RTD communities
2. Contributing to the understanding of CFI challenges
3. Developing longer term visions, research roadmaps, CFI scenarios and best
practice guides
4. Co-ordinating the relevant research work, knowledge and experiences.
Folie
23
Initial Workshop: Background
Workshop March 16/17 in Frankfurt, Germany
Many Topics: Payment, Settlement, Stocks, BCM/DRP, Identity, Rating …
Participants: ca. 70% executives and experts from CFI, ca. 30% academic and research
Stakeholder Group Parsifal 100 experts from very senior to topic experts
Market specific challenges: Identified by Parsifal / Break out group topics:
Group 1: Controlling Instant On Demand Business in CFI:
Authentication, Identity Management, Resilience and Denial of Service
Group 2: Entitlement Management and Securing Content in the Perimeterless Financial
Environment: Identity, Policy, Privacy and Audit
[ 1,2 ] Identity is a s a new currency, it is absolutely essential
Group 3: Business Continuity and Control in an Interconnected and Interdependent
Service Landscape: Compliance, Protecting Critical Processes
Description of status on international FI
- Operational: Strong activities on BCM, Dependability, (Inter-)Dependencies
probably not sufficient ready for new and upcoming issues
- Regulation: Toooo strong activities on regulation: Risk of conformity in risk evaluation
- Strategic & Research: ???????? (not sufficiently provided in CIP Financial Services)
Folie
24
Conclusions on Structures
Attack and Defence Structure (Mapping Scenarios and Challenges)
 Need to align the structure, known means
 Public Private Partnership integrated in a global context
Folie
25
Business Continuity and Control
in an Interconnected and Interdependent
Service Landscape.
Recommendation 7/8
Design and implementation of secure platforms and
applications
 Secure platforms and backup platforms, including new levels of
virtualized worlds
 Secure applications (including legacy): design, implementation
and operation
Application performance auditing: Application foot-printing
 Alternate secure communication channel (vs. virtualization)
 Data centre dependencies analysis
 Establishment of adequate and well networked coordination
response teams
Folie
26
Business Continuity and Control
in an Interconnected and Interdependent
Service Landscape.
Recommendation 8/8
Model Definition
 Testing, design and implementation of secure platform, applications and
infrastructure (including simulation)
through trustworthy exercises between CIP Sector and
governments
 Extensions of BCM and DRP Models including regular tests and
evaluations and simulation
The extensions are amongst others:
 risk sharing models
 end-to-end communication models; end point security
 modelling complexity and volume of transaction in a reasonable way
Folie
27
Overall Conclusions and Recommendations
Conclusions Parsifal Project
-
Attack and Defence Structure must be aligned through Public
Private Partnership, global cooperation and regulation as well inter
corporation collaboration (main business competition, security is in
spite of this a collaboration domain)
-
IDM is an essential critical infrastructure: it needs beside of
the base infrastructure a link to the authorisation system,
which should handle each object separately including an
associated object specific security-policy
see e.g.: www.avocosecure.com
-
Common metrics and method to assess risks and common
exercises on supra national, i.e. regional continental and global
scale are required
-
Global agreement on standards and process to face a global
challenges (Airtraffic, Climate Change) are urgently needed e.g.
definition of threshold for criticality and risks
Folie
28
CEPS: Uses the result of Parsifal
Goals




Defining policy options on C(I)IP
Shaping a public-private partnership: opportunities and challenges.
CI and CII: a Transatlantic perspective
Risk assessment and CIP and CIIP-related issues in EU policy making
Increase Resilience
See www.ceps.be Taskforce CIP
Folie
29
Fragen
Folie
30, 26. September 2010
Abspann
Regionale Cisco Akademie
www.ccna.ch
Schweizer Informatikgesellschaft
www.s-i.ch
Folie
31
Schweizer Informatik Gesellschaft I
Folie
32
Schweizer Informatik Gesellschaft II
Fachgruppen, Alumni, SI-CHIP
-
Accessibility
CHOOSE: Swiss Group for Object-Oriented Systems and Environment
DBTA Informationssysteme
Digital Heritage
donna informatica: Informatikerinnen in der Schweiz
Freelancers
Informatik & Gesellschaft
IT-Compliance
Metadaten
Networking
SAUG: Swiss APL User Group
SGAICO: Swiss Group for Artificial Intelligence and Cognitive Science
SIGRA
SigMo: Swiss Informatics Group for Modelling
SI-SE: Software Engineering
Software Ergonomics
Folie
33, 26. September 2010
NIS Labs: Network and Information Security
Networking Lab
Information Security Lab
 Aufbau und Konfiguration
von Netzwerk und Dienste
 Versuche über relevante
Security Askpekte
 Modernes und
umfangreiches Equipment
 Aktuelle Security Themen
 Flexible Laborumgebung
 Aktuelle Technologien und
Services
Fachwissen im Bereich
Netzwerk und Security
Einsatz in Bachelor Ausbildung
und Weiterbildungs Kurse
Folie
T&A Bachelor Module, CAS CCNA, CAS CCNP, CCNA Security
MAS IT Network Manager, MAS Information Security
34, 26. September 2010
Weg zum Network Professional
Building Scalable
Internetworks
Implementing
Secured Converged
Wide-Area Networks
Network
Fundamentals
CCNA
Security
Routing Protocols and
Concepts
Network
Professional
Building Multilayer
Switched Networks
Optimizing
Converged Networks
LAN Switching and
Wireless
Accessing the WAN
CCNP
CCNP
Network
Specialist
Security
Network
Associate
CCNA
Exploration
Network
Technician
IT Technician
Folie
35, 26. September 2010
Cisco Packet
Tracer
Netzwerk Wissen und Fachkenntnis der Studenten
Übersicht Kursangebot Luzern
Der MAS IT Network Manager setzt sich aus zwei CAS-Programmen
(Teil 1 und 2), weiteren Modulen und einer MAS-Arbeit (Teil 3)
zusammen:
- Teil 1: CAS CCNA
Grundlegende Netzwerk-Kenntnisse
- Teil 2: CAS CCNP
Fortgeschrittene Netzwerk-Kenntnisse
- Teil 3: Management in ICT
Führungs-, Leitungs- und
Organisationskenntnisse
Die MAS-Arbeit gehört zum dritten
Teil der Ausbildung
Folie
36 36, 26. September 2010
MAS-Arbeit (8 ECTS)
MAS, Teil 3
Management
ICT
(15 ECTS)
CAS, Teil 1
CCNA
(20 ECTS)
CAS, Teil 2
CCNP
(20 ECTS)
Vorschau Übung
Nicola Lardieri
Thomas Hospenthal
Philippe Schnyder
Folie
37
ZPKs Organigramm der wichtigsten Personen
Direktion
Finanzen und HR
Dienste und Sicherheit
Dr. Juri Steiner
Direktor
Sonja Kellerhals
Leiterin
Alain Krähenbühl
Leiter Dienste und Sicherheit
Ursina Barandun
Betriebsdirektorin
Brigitte Haas
Kasse
Informatik
Hausdienst
Sicherheitsdienst
Elsbeth Mommsen-Mühlethaler
Kasse
Martin Gasser
Leiter Informatik
Selim Memedi
Leiter Hausdienste
Martin Schneider
Leiter Sicherheit
Sicherheitsbeauftragter
Yvonne Mommsen Butera
Kasse
Christian Gfeller
Informatik
Christian Marmy
Hausdienste
Carole Hänsler
Projektleiterin Ausstellungen
Marianne Suter
Direktionsassistentin
Anita Rohrbach
Direktionsassistentin Betrieb
Folie
38, 26. September 2010
Hanna Pulver
Finanzen und Personal
Henriette Steffen
Kasse
Bruno Perdoni
Sicherheitsdienst
Michel Riard
Sicherheitsdienst
Stelleninserat
Stellen Angebot 1
Per 1. Juli 2010 bieten wir einer/einem jüngere/n Windows Server System Administrator/in eine
interessante Stelle als
Informatikerin / Informatiker 80% - 100%
Sie sind verantwortlich für den störungsfreien Betrieb der Microsoft-Serversysteme sowie der
Clientumgebung mit ca. 150 Arbeitsplätzen. Sie arbeiten als Mitglied eines motivierten, kleinen Teams in
den Bereichen Server-Überwachung, Server-Konfiguration und betreiben nebst der Systemumgebung
des Zentrums auch die Systemumgebung unseres Partners Kunstmuseum Bern. Das spannende und
lebendige Arbeitsumfeld erfordert viel Flexibilität, Engagement und Selbständigkeit.
Teamfähigkeit, weitsichtiges Denken und Verantwortungsbewusstsein sind für Sie keine Fremdwörter.
Für eine erfolgreiche Tätigkeit benötigen Sie:
Eine technische Ausbildung als Informatiker
Sehr gute Kenntnisse in Microsoft Server Produkten (MCSA)
Fachkenntnisse in den Gebieten IIS, Apache, Webtechnologien, Datenbanken (MS SQL, MySQL)
Linux Kenntnisse sind wünschenswert
Folie
39, 26. September 2010
Folie
40, 26. September 2010
Es wird spannend um 12:50h:
Bitte nehmen Sie teil!
Nicola Lardieri
Thomas Hospenthal
Philippe Schnyder
Folie
41