Zugangskontrolle

Zugangskontrolle
Bis hierher und nicht weiter!
Kerberos
Firewalls
Applikationsgateways
Firewall-Architekturen
Installation eines Firewall
Intrusion Detection
Zugangskontrolle
Zutritts/Zugriffskontrolle (Anlage zu §9 BDSG, Pkt. 5)
Benutzerverifikation: login-Protokolle, Smart Cards (Chipkarten),
USB-Stick (Logon Key: nur in eingestecktem Zustand ist Zugang möglich, nach Abziehen ist der Rechner gesperrt),
dial-back-Systeme mit zusätzlichem Modem
Sicherheitsprotokolle
Secure Gateways mit differenzierten Zugriffsrechten und Autentikationsmögkichktn.
Kinderschutzsysteme, z. B. Cyberpatrol, Netnanny, PICS
Kerberos
Sicherheitssystem von Athena (MIT 1983) zunächst, später DEC ® DCE; basiert auf BSD-UNIX;
Kerberos 4 und 5 (RFC 1510, für RN: zusätzliche Parameter, die das kryptographische Verfahren und die Form der
Netzadresse [nicht notwendig IP-Form] bezeichnen),
auch in Windows
Grundgedanke: in Client-Server-Systemen wollen die Clients nicht bei jedem FileServer neu ihre Berechtigung nachweisen ® zentraler Authentikationsserver
a) Teilnehmerauthentikation (mit Austausch des Sitzungsschlüssels) mittels KDC
(key distribution center, Authentikationsserver; der kennt die [geheimen] Schlüssel aller Teilnehmer, erzeugt und versendet Sitzungsschlüssel, auch für Kommunikation A ↔ B ):
(1) A → KDC
: Anforderung eines Sitzungsschlüssels für B
(2) KDC → A
: E(KAB || E(KAB)ù KB)ù KA
(3) A → B : E(KAB)ù KB
(4) A ↔ B : Kommunikation
b) Zugang zum File-Server über Kerberos-Server (TGS = ticket granting server) mit fein granulierten ACLs
(4) Kopie des Sitzungsschlüssels
(5) Server-Ticket in Nutzer-Ticket
(6) Paßwort dient als Schlüssel für Nutzer
(7) Ergebnis: mit Serverschlüssel verschlüsseltes Ticket + Sitzungsschlüssel
(8) Auch Workstation-Name im Authentikator
(9) Auch Ticket wird an File-Server geschickt
(10) - (12) Entscheidende Prüfung: Funktioniert nur, wenn die Sitzungsschlüssel des File-Servers von (2) und (4)
übereinstimmen
(13) Daten werden mit session key verschlüsselt
TGS günstig, damit nicht für jede Daten-Übertragung neu eingelogt werden muß:Ticket für TGS gilt z. B. 24 h.
Kerberos leistet "nur" Nutzer-Authentikation, Autorisierung der File-Server-Zugriffsrechte weiterhin bei diesem.
Auch für mehrere File-Server geeignet (DCE!).
Besonderheiten von Kerberos: kein Schlüssel wird im Klartext übertragen (vgl. z.B. Schritt 6),
symmetrische Chiffrierverfahren (alle Schlüssel hierfür! Vom Terminal zum Rechner wird Paßwort im Klartext übertragen) ® komplizierte Schlüsselverwaltung.
Firewalls
Schutzwall (eigentlich Brandmauer) / Schutzschild: Isolationstechnik
Werden heute in 76 % der Unternehmen eingesetzt (Dtschl. 69, USA 83)
Ziel:
Nutzung der erforderlichen Netzdienste + gleichzeitig hohe Sicherheit, wichtig auch zur Gewährleistung des Datenschutzes.
Def.: Ein oder mehrere Rechner/Router/Subnetze, die den Datenfluß zwischen Internet und
einem lokalen Netz auf der Basis vorgegebener Regeln kontrollieren/einschränken.
(die Regeln definieren Benutzerprivilegien für das RN, legen heute auch inhaltl. Prüfungen fest und definieren Angriffssignaturen bzw. -muster
Muß einzige Schnittstelle geschütztes internes - externes Netz (Internet) sein! (Interface
wird aufgeschnitten): Filter!
Wichtiger ist Schutz von außen nach innen als umgekehrt
(zugelassen sollte sein: ftp-Server, X11, telnet),
aber auch Schutz gegen andere Subnetze wichtig
(auch entfernte wie Wohnheime, 60 % der Angriffe kommen von innen, auch gegen unerwünschte Dienste):
interne Firewalls, ggf. mehrschichtige Architekturen oder Opferhost
Wehren i. allg. Penetrationsversuche ab, sollten aber auch Trojaner am Ausbrechen hindern (Leak-Test!)
Meist auf spez. Rechnern/Gateways, aber auch Personal Firewall für Home-PCs
Stateless-Firewall kontrollieren IP-Adressen u. Protokollnummern,
Stateful-Firewall prüft, ob die Datenpakete von einer Anwendung angefordert wurden,
inspizieren auch Dateninhalte (deep packet inspection) ® Protokollzustände (content security / content-Filter),
z. B. Authentikationen, Virensuchprogramme (erlaubte Daten werden nur über sie weitergegeben);
content-Filter blockieren bestimmte Anwendungen (z. B. ActiveX, Java-Skript):
„Webshield“ / „Web application Firewall“);
zusätzlich zu den Datenpaketen wird der Status der Verbindung geprüft: SPI (stateful packet inspection)
Besonders wichtig für VPN (oft in Hardware-Firewalls enthalten)
Zunehmend mit „Vorfahrtsregeln“ kombiniert
Nicht absolut sicher (vor allem, wenn auf gleichem Rechner): „Mauerspechte“
Paketfilter
(packet screen): Datenpakete werden geprüft
a) als Router in OSI-Vermittlungs(3 - IP/Internet)schicht): filtert durch Auswertung des IP-Headers IP-Adressen (Quelle
und Ziel) und
z. T. Inhalte nach innen und außen transparent (auch in Cisco-Routern, z. T. fehlerhaft!)
b) als Circuit-Level-Gateway (oder generische Proxy-Server) in Transport(4 - TCP/UDP)-Ebene (TCP/UDP-Relay):
filtert Portnrn. und damit Dienste, lizensiert Zugriffe auf das jeweils andere Netz (abh. von Anw.) mittels proxy-Dämons
für die Netzdienste,
leiten im Prinzip nur Anfragen weiter;
spezielle Portnrn. statt well-known-Ports: Clients dürfen nur auf Proxy zugreifen!), untersuchen alle Zugriffsanfragen
und entscheiden
(Filterregeln auf ACL-Basis, können auch Zeiten enthalten), bekanntestes Beispiel: SOCKS (umstritten!).
unerlaubte Kommunikationsversuche werden markiert und blockiert.
Paketfilter erkennen nur Dienste, die eindeutig Portnummern zugeordnet sind,
z. B. nicht RPC und r-Kommandos (die 65536 Portnrn. reichen für die vielen Dienste nicht aus),
nicht Nutzer/Dateinamen (nur im Header oberhalb der Transportsch. verfügbar);
RPC-Dienste nur zu filtern, wenn Verbindung zu einem Portmapper besteht, aber Portmapper-Angriff probiert alle
Ports durch (also filtern!)
Zugriffe außen ® innen möglichst vermeiden (IP-Spoofing-Gefahr!)
Dynamische Paketfilter (stateful inspection): speichern und berücksichtigen die Vorgeschichte der Verbindung
(Sockets),
lassen nur erwartete Antworten zu (wichtig bei verbindungslosem UDP ohne ACK-Bit wie NFS oder RPC)
Wichtig sind zusätzliche Protokollierungen im Filter!
Paketfilter unterbrechen die Verbindung nicht, d. h. IP-Angriffe weiter möglich!
Circuit-Relays prüfen die Endeinrichtungen, z. B. auch Zeiten und Parameter der Kommunikation.
Eine „deep packet inspection” ermöglicht das Blockieren unerwünschter Informationen [praktiziert z. B. von China]
Applikationsgateways (application layer gateway)
application level proxy in Anwendungsschicht in Form von (dedizierten) Proxy-Servern (Stellvertreter / Bevollmächtigter /
Entkoppler)
im Gateway bzw. Bastion- oder Dual-Homed-Host: vertreten die Dienste der Internet-Server,
sind Server für interne Clients und Clients für externe Server.
Keine direkte Verbindung zwischen den Netzen!
Für jede Anwendung ein spezieller Proxy, z. B. ftp-, SMTP-, HTTP-Server (kein Filter);
prüfen Inhalte aller Datenpakete (dadurch langsam), unterbrechen die Verbindung.
Toolkits verfügbar, müssen sorgfältig konfiguriert werden (über Sockets).
Aktuelle HTTP-Proxies sperren externe URLs, filtern Java, ActiveX und/oder Javascript heraus.
Nicht für alle Dienste Proxies verfügbar (z. B. NFS wegen Verlangsamung, NIS wegen Unzulässigkeit, talk wegen
Kompliziertheit und Portnummern ab 1023 [X11!])
2 Realisierungsformen für Client:
1) Client-Benutzer spricht Proxy an und teilt ihm den gewünschten echten Server mit (erfordert Belehrung)
2) Client-Software wird so modifiziert, daß sie nur den Proxy anspricht (spezielle Portnummern statt well-known-Ports
(evtl. ACL),
oft bei generischen Proxy-Servern: proxy-Dämons für die Netzdienste lizensieren Zugriffe auf das jeweils andere
Netz, Modifikationen ggf. nur bei externen Diensten.
Teilweise werden die Serverdienste selbst auf dem Firewall installiert (dadurch besser unter Kontrolle, aber hoher Administrations- und Ressourcenaufwand).
Kombinationen (meistens) mit Paketfiltern (screened Gateways), um Unterlaufen der Pakete auf IP-Ebene zu verhindern;
oft kompliziertere Strukturen (einstufige Firewalls sind nur Pseudo-Firewalls!).
Spezielle Form: Statefull Inspection (jede Verbindung wird nur einmal geprüft (dadurch schneller).
[anderes Proxy-Beispiel: Caching-Proxies, speichern Kopien aller Informationen, die sie weitergegeben haben]
Firewall-Architekturen
-
klassische Form als 3-Box-Firewall (3-stufig) mit 2 Routern (nur Paketfilter) + Software-Lösungen in Gateways
(Minimum: 2-stufig)
-
Bastion Host / Firebox / Firewall-Box: vollständiger, besonders abgesicherter Rechner statt Gateway,
einfachste Lösung: Benutzer erhält Internet-Dienste durch Einloggen auf diesem Host;
besser: reduzierte Funktionalität, z. B. keine Benutzerkennungen, mindestens zusätzlich Authentikation,
logisch vom Netz entkoppelt, Paketfilter sorgt dafür, daß nur die Bastion mit dem Internet und dem internen Netz
kommunizieren kann.
-
Dual- oder Multi-Homed-Host (multi: Abschirmung mehrerer verschiedener Netze) zwischen den Netzen
(analog routing, aber routing-Funktion deaktiviert, um zu trennen: alle Verbindungen zwischen innen und außen nur
über Host, Filter und Proxies im Host, einfachste Architektur).
Sicher und aufwändig.
Nachteile: Nutzer muß sich dort umständlich einloggen, Host braucht Benutzverwaltung, Host ist nicht durch Filterrouter geschützt.
Modifikation: Filterrouter nach außen (überwachter Host).
-
DMZ / überwachtes Grenznetz: im Firewall 3 Netzkarten: innen, außen, DMZ (Zwischennetz, völlig geschützt gegen
Zugriffe von außen:
nicht manipulierbar, für jeden Internetdienst ein Rechner dieses Netzes: übersichtlich),
evtl. mit Opferhost für nicht verfügbare/erwünschte Proxies
Varianten: mehrere DMZ-Schichten, Anschluß mehrerer interner Netze (bei unterschiedlichen Schutzbedürfnissen)
-
Desktop-Firewall auf dem zu schützenden PC (spezielle Form des application layer gateways),
z. B. Sygate (free): Software regelt den Zugriff, bildet Checksummen und fragt den Nutzer (bei weiteren Zugriffen wird
mit der Checksumme verglichen).
2006 evtl. Simulation mehrerer virtueller PC auf einem Prozessor; dann quasi Firewall-Box!
-
SPI-Firewall (stateful pocket inspection)
- high level firewalls mit vielen zusätzlichen Sicherheitsmechanismen:
Zugangskontrolle auf Netz- und Benutzerebene (nur erlaubte Verbindungen, nur berechtigte Benutzer)
Spam-Protection
intrusion detection; content security zusätzlich zur access security: Sweeper (mit Viren-Scannern/Wächtern), bei Protokollen in Proxies
Rechteverwaltung (für Protokolle, Dienste, Anwendungen, Zeiträume, evtl. unterschiedlich nach innen und außen)
Entkopplung von unsicheren Diensten (z. B. nur erwünschte sendmail zulassen)
Sandbox-Technik: Programme laufen in einer geschützten (abgeschotteten) Umgebung
Beweissicherung und Protokollauswertung
Verbergen der Netzstruktur (z. B. durch IP-Maskerade: sämtliche internen Rechner werden über die Firewall-IP-Adresse
angesprochen)
Konzelation aller Nachrichten
stateful-Funktionen;
accounting reports
syn defender (Abwehr von Syn-Attacken)
URL-Blocker für bis zu 16000 Webseiten
Informationsserver (für öffentlich zugängliche Informationen, steht vor Bastion),
Security Management Station (für ACL, Logbücher, Schlüssel; unabhig von Bastion).
- interne Firewalls zur Isolation von Subnetzen, Subnetz ggf. aufsplitten in einen freizügigen und einen restriktiven Bereich;
verschiedene Sicherheitszonen (innen meist "secure server net")
u. a. Varianten:
o physikalische Trennung von Internet und Intranet (andere Netzteile zusätzlich durch Firewall geschützt)
o AFZ (aktorenfreie Zone mit semant. Filtern, stärker als DMZ)
o Firewall in a box (Zugriffe nur über Konfigurations-Tools)
o geschlossene / offene Systeme: Minimal-Betriebssystem (meist UNIX, WindowsNT) mit selbst installierter Software
o DSL-Router mit Firewall (einfach, aber oft nicht wirksam)
o Diadem-Firewall der Universität Tübingen trennt verdächtige PCs, die verdächtig viele Übertragungen machen und
zu DoS führen könnten,
vom Rechnernetz ab (Software/Hardware- Kombination)
Dedizierte Server-Segmente
Stealth-Architektur: Firewall ohne IP-Adresse (speziell gegen IP-Spoofing, größte Gefährdung von Firewalls)
ggf. zusätzlich ein stand-by-Firewall; ggf. werden alle Anfragen an ungenutzte Ports blockiert (deny Mode).
Sicherheitsboxen
PC-Hardware-Firewalls ab ca. 150 €
Installation eines Firewalls:
Vorher Sicherheitspolicy festlegen! Firewall ist Teil der Gesamtlösung
1) Bedürfnisse ermitteln (RN-Topologie [meist heterogen!], Anwendgn., erforderl. Dienste, Risiko-Analyse)
2) Vertrauensverhältnisse in Fa. analysieren (wer arbeitet mit wem zusammen?): Behutsam auf Einschränkungen vorbereiten.
3) Richtlinien entwickeln (security policy): am besten einschränkende Grundhaltung (was nicht erlaubt ist, ist verboten),
gewünscht wird meist freizügige.
Firewalls schützen nicht gegen falsche Autorisierung!
4) Architektur festlegen (Hintertüren / backdoors / Bypässe verhindern, z. B. durch Modem-Anschluss!), FirewallHard/Software auswählen,
evtl. Betriebssystem-Hardening (überflüssige Komponenten entfernen, neueste Patches einspielen)
5) Firewall installieren, Filterregeln (z. T. kompliziert, meist bidirektional, man darf nichts vergessen!) und Proxy-Zugangsregeln formulieren
(Besonderheiten der Dienste beachten)
Beispiel für Paketfilterregeln (verallgemeinert):
Ablehnung, wenn keine gültige Regel gefunden wird, vgl. jeweils letzte Zeile; oben IP, unten TCP: außer Telnet
kein Dienst zugelassen,
A/B nach außen gerichtet, C/D nach innen, ACK verhindert Hijacking)
Beispiele für Zugangsregeln zum HTTP-Proxy (TIS):
http-gw:
userid
root
http-gw:
directory
somewhere
http-gw:
timeout
90
http-gw:
default-httpd
www.myserver.net
http-gw:
hosts
199.171.0.* -log | read write ftp |
Moderne Firewalls lernen selbst während der Installation
6) Firewall testen (ausgiebig, vor und auch noch nach Inbetriebnahme; alle Kommunikationswege beachten, bei Rechnernetz-Änderungen neu testen!),
evtl. Iteration ab 3 (meist wegen der internen Einschränkungen und wegen Änderungen).
(Test-Tools und -Strategien!),
Nur zertifizierte und interoperable Firewalls benutzen (z. B. Firewall Evaluation Report 1999 der META Group)!
Keinesfalls auf Hersteller-Standard-Installationen verlassen!
Aufwand beachten (bei Proxies mit Caches wird evtl. die Internet-Performance sogar gesteigert).
Ständige Überwachung und Wartung (ggf. remote)!
Administration nur über vertrauenswürdigen Pfad!
Es gibt keine Marktführer mit Kochrezepten.
Bekannte Software-Produkte zum Generieren/Managen von Firewalls (meist Kombinationen der Grundtypen):
+ Fa. Checkpoint (Israel, „Firewall-1“, Marktführer), anfangs weiterentwickelte dynam. Paketfilter), dann „stateful inspection“ (ständige Auswertung von Status- und Kontext-Infos. in den Proxies), content-security-Filter, durch Kombination
mehrerer Firewalls und Verschl. auch für VPN (VPN-1) geeignet, Alarm u. a.
+ Axent: Raptor Firewall (Platz 2 am Markt)
+ Sun: SunScreen EFS, proprietärer Server
+ Solstice FireWall 1 (Sun) für SunOS / Solaris / Windows NT , jetzt auch mit content security check für
HTTP/SMTP/FTP und content vectory protocol zur Prüfung von über FTP/email bezogener Software
+ CyberGuard (Distributor: BDG, umfassend, E3(B1)-Zertifikat, WinNT und UnixWare, SSL-Proxies mit Authent., Alarm,
Report-Generator, DMZ für von außen [Kunden, Lieferanten] zugängl. Server, NAT oder DNS zum Verbergen der int.
Adrn., auch Grundlage für Solstice?)
[ www.cyberguard.com/products2/frames/ ]
+ SOCKS (Linux, Freeware, Quasistandard zur Realisierung generischer Proxies, aktuell Version 5)
[www.socks.nec.com]
+ Netguard: Guardian mit stateful inspection für WinNT
+ IBM: eNetwork Firewall (AIX / WinNT)
+ Cisco: Centri (Paketfilter) und PIX (Paketfilter + Proxy für Ethernet und Tokenring), proprietär
+ Watchguard: LiveSecurity System (proprietär) und Firebox (Linux)
+ KryptoKom (Utimaco): KryptoWall, Application Gateway aus Hard- und Software mit Manager und Informationsserver
(Unix-basiert)
+ TIS (Trusted Information Systems / Network Associates): Gauntlet, für Hochschulen kostenlos mit Quellcodes)
mit Proxies für telnet, ftp, rlogin, sendmail, HTTP, X (in UNIX / C): Regel-Installation in /etc/services, /etc/inet.conf,
/usr/local/etc/netperm-table (TIS-spezifisch)
+ AltaVista Firewall 98 (DEC, UNIX / WinNT)
+ Raptor Eagle (versch. UNIX und Win NT)
+ Genua: Genugate (BSD), sehr günstig
+ Biodata: Bigfire
+ Novell: Bordermanager (NetWare, mit Gateway IPX - IP)
[ www.novell.com/text/bordermanager/ ]
+ Ukiah Netroad Firewall (
“
, WinNT)
+ Sonic: Sonic-Wall (für kleinere Netze)
+ Secure Computing: SideWinder
+ Viru Safe (Eli Shim)
u. a.
Auch Personal Firewalls :
+ Aladdin eSafe Protect 2.2 (kostenlos)
+ Norton Personal Firewall von Symantec
+ ZoneAlarm (einfach, kostenlos) warnt bei kritischen Anfragen (kommerziell: ZoneAlarmPro)
+ Outpost (einfach, kostenlos)
+ Symantec Personal Firewall 2003 (50 €, für Fortgeschrittene)
+ McAfee Firewall 4.0 (45 €, einfach)
+ Kerio Personal Firewall (kostenlos)
Teilweise unter Betriebssystem-Steuerung (UNIX, WinNT, NetWare), z. T. in System-Management integriert,
z. T. komplette Hard/Software-Lösgn. mit eingeschränktem Funktionsumfang
Verschiedene Angebote für Outbound- oder Inbound-Zugriffe (Outbound: Intra- zum Internet,
Einfache Möglichkeiten schon in Betriebssystemen, z. B. Paketfilter unter Linux (Kommandos ipchains, tcpdump)
Virenschutz / Zugangskontrolle / Verschlüsseln trotzdem nötig!
Stealth-Scanner können auch Ports hinter dem Firewall abfragen.
Auch Angriffe von innen können durch Firewalls nicht abgewehrt werden.
Erster Test in der HTW Dresden 1996: Dual-Homed-Host mit Paketfilter (Regeln mit freiem Linux-Programm ipfwadm)
und generischen Proxies mittels SOCKS .
Intrusion Detection
Grundlagen: content security, security policy.
Erkennt im Gegensatz zu Firewalls auch Angriffe von innen!
Ergänzung zu Firewalls („Feuermelder“, prüft „was?“; Firewall prüft „wer?“).
Meist mit Protokollführung kombiniert.
IDRS (intrusion detection and response system): mehr als Netzwerkscanner.
Heute erst in 15 % der deutschen Unternehmen (USA: 46)
Netz- oder Host-basiert
Meist 3 Komponenten:
1) Recognition-Engine erkennt und meldet Attacken, hat Bibliothek von Angriffsmustern, die laufend ergänzt werden
muß,
und wertet statistisch (Abweichung von Durchschnittsverhalten = Normalfall: lernfähiges Expertensystem)
oder regelbasiert (z. B. login-Wiederholungen, Port-Scan-Aufrufe, Recherchen in sensiblen Dateien)
und alle von Betriebssystemen / Datenbanken / Anwendungen erzeugten Log-Files aus
und erzeugt Verhaltensmuster (Aufzeichnung von Personenprofilen: brisant! Betriebsrat einbeziehen),
d. h. 1- bis 3-monatige Einlaufphase, Festlegen von Schwellenwerten.
2) Response-Engine mit Reaktionsmöglichkeiten:
Protokollierung (Logging), Alarmierung des Personals, Abbruch der Verbindung, Aufruf eines benutzerdefinierten
Skripts.
3) Administrator zur Konfigurierung.
Zusätzlich evtl. noch Filter, um unnötige Tests auszuschließen.
Engines ggf. mehrfach installieren (z. B. vor Subnetzen).
Beispiele: „TEIRESEIAS“ registriert unbekannte Ereignisse
„RealSecure“ von Internet Security Systems
„Netranger“ von Cisco
„Netprowler“ + “Intruder Alert“ von Axent
„Entrax Security Suite“ von Centrax
„Mantrap“ überlässt Hackern Nonsense-Daten und beobachtet/protokolliert den Angriff
„Shadow“ (US-Militär, open source): Mehrrechnersystem aus Sensor (mit Span- oder Test Access Ports und tcpdumpFiltern, ohne IP-Adresse!,
am besten in DMZ) und Analyzer (geschützt im LAN), die über SSH kommunizieren (Sensor darf selbst keine
Verbindung aufbauen!)
Windows Defender (2006)
Intrusion Prevention Systeme: protokollieren den Netzwerkverkehr und melden bzw. unterbrechen/blockieren verdächtige Aktivitäten mit Rootkit-Techniken
(fangen alle Windows-API-Aufrufe ab und protolollieren/analysieren/bewerten sie [Rating durch Vergleich mit Schwellenwerten des Regelwerks]),
enthalten Rollback-Funktion, um Schaden rückgängig machen zu können.
Intelligente (neuronale) Software-Agents zur Unterstützung des Sicherheitsmanagements:
1) Monitoring der Hitraten (besonders aktiver Zugriffe: DoS), evtl. auch von mehreren Rechnern aus
2) Monitoring des Zugriffsverhaltens, auch der eigenen Mitarbeiter auf Objekte außerhalb ihres Arbeitsbereichs
3) Monitoring der Daten-Kommunikation
4) Monitoring der Unternehmens- und Sicherheitsrichtlinien
Perzeptronen empfangen die Eingangssignale, die gewichtet werden; Vergleich mit Schwellenwerten; die Gewichte können lernend variiert werden.
Die Neuronen werden je nach Anwendung miteinander verknüpft.
Eingangssignale sind Log-Dateien, fehlgeschlagene Authentikationen, Verletzungen der Zugriffsrechte, Transferraten
und –volumen, Zugriffsraten.
Sweeper ("Feger"): content security (statt access security) in Mail- und Web-Servern:
Alarm bei Viren,
Cookies (Session-ID-Cookies, um mehrere gleichzeitig zugreifende Clients auseinanderzuhalten: müssen für verschl.
und unverschl. Seiten unterschiedl. sein),
Java-Scripts,
ActiveX-Applets (zugelassene können definiert werden),
Abwehr von URLs / Absendern / Mail-Spoofing / Spamming,
zeitweiliges Zurückhalten (Parken) großer Mails.
Verdächtiges kommt in Quarantäne.
Bei Mails werden speziell Betreffs und Anhänge (z. B. auf .vbs) geprüft.
Bei Websites Prüfung oft in Proxy-Servern.
Webwasher bzw. -filter mit URL- oder besser Media-Type-Blockern (früher Mime Types genannt):
neben audio und video wird ggf. auch http wegen Scripts untersucht;
es wird das Feld content type im HTTP-Header abgefragt.
Filtern auch Verstöße gegen Security Policy, gegen Netiquette (Pornos, Lizenzverletzungen) und Embedded Objects
(anhand der Tags <object> und <embed>).
Clean-Software verwischt Surf-Spuren beim Client.
Zukünftiger Bestandteil von IDRS:
Pseudonymisierungssysteme (pseudonymisieren personenbezogene Audit-Daten vor der Analyse, aber Aufdeckung
bei begründetem Angriffsverdacht)
Anti-Spyware: Gute Software erkennt mehr als 10000 Muster, verhindert und beseitigt Spyware-Installationen, muss
über Updates ständig aktualisiert werden.
Beispiele: Pest Patrol (USA, 40 €), Spybot Search & Destroy, Ad-aware SE Personal Edition (gratis), Windows Defender,
Antispion (Data Becker, 20 €), Spy Sweeper (30 €), AntiSpyware (Mc Afee),
Anti-Spyware-Defender (Microsoft) mit Microsoft Spynet
(jeder Nutzer gehört automatisch zum Spynet, meldet bei Spyware-Alarm die IP-Adresse sowie die Betriebssystemund Browser-Version an Microsoft).
Z. T. mit Immunisierung (verhindert erneutes Eindringen).
Gratis-Virenscanner kümmern sich i. a. nicht um Spyware (um zum Kauf von Anti-Spyware zu zwingen).
© kd rieck
febr. 2015