ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45...
Transcript of ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45...
![Page 1: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/1.jpg)
Zur SicherheitslageHergen Harnisch
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 1/46
![Page 2: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/2.jpg)
„Die Digitalisierung prägen drei zentrale Charakteristika, aus denen sichdie Herausforderungen für die Informations und CyberSicherheitergeben.
1 Technologische Durchdringung und Vernetzung:Alle physischen Systeme werden von IT erfasst und schrittweisemit dem Internet verbunden.
2 Komplexität:Die Komplexität der IT nimmt durch vertikale und horizontaleIntegration in die Wertschöpfungsprozesse erheblich zu.
3 Allgegenwärtigkeit:Jedes System ist praktisch zu jeder Zeit und von jedem Ort überdas Internet erreichbar.“
(aus: BSILagebericht 2014)
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 2/46
![Page 3: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/3.jpg)
Programm
Dienstag 17.11.15
09:1510:45 Sicherheitslage10:4511:15 Pause
11:1512:45 TLS/SSL Verschlüsselung & Authentifizierung
Mittwoch 18.11.15
09:1510:30 Kerberos11:0011:30 Pause
11:1512:45 NFS – v4 mit Kerberos
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 3/46
![Page 4: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/4.jpg)
Angriffsmotive & typen
”Traditionelles”:
Mobile IT
Sicherheitsvorfälle
AmplificationAttacks:NTPDNS
DNS:HintergrundVeränderungen LUHWindows
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 4/46
![Page 5: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/5.jpg)
Advanced Persistent Threat
Seite 4
...Raketentechnik hat viele
Interessenten...
Big Brother
Seite 5
Kriminelle Angriffe
Seite 6
ErpressungBetrugSPAM
...
Hacktivism
Politisch Motivierte
Angriffe
Seite 7
Quelle: Vortrag Ralf Gröper auf DFNBT in 10/2015
![Page 6: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/6.jpg)
Angriffsmotive & typenAdvanced Persistent Threat
Zielgerichtete Angriffe zumZwecke der Wirtschafts &Wissenschaftsspionage
BSILagebericht 2014
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 8/46
![Page 7: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/7.jpg)
Angriffsmotive & typenAdvanced Persistent Threat
„Im Fokus von APTAngriffen stehen vorrangig die Rüstungsindustrie,Hochtechnologiebranchen wie Automobilbau, Schiffsbau undRaumfahrt, Forschungseinrichtungen sowie die öffentlicheVerwaltung.“ (BSILagebericht 2014)
„sehr hohen Ressourceneinsatz, erhebliche technische Fähigkeiten“
schwer zu verhindern
schwer festzustellen
Dauer von mehreren Monaten bis Jahre
nicht jeder im Fokus aber auch indirekte Wege, unklare Fallzahl
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 9/46
![Page 8: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/8.jpg)
Wer greift wie an?
Seite 9
APT Big Brother Kriminell Hacktivism Unbekannt
Malware x x x
Abhöhren x x
Defacement x x x
Phishing x x
DDoS x x x
Quelle: Vortrag Ralf Gröper auf DFNBT in 10/2015
![Page 9: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/9.jpg)
”Traditionelles”:Desktops/Notebooks: Drive-By-Downloads
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 15/46
![Page 10: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/10.jpg)
”Traditionelles”:Desktops/Notebooks
eigentlich keine wirklich neue Entwicklung (vgl. SiTa 11/2012)
DriveByDownloads dominieren
Spam wird zunehmend malicous
direkte Angriffe kaum noch
Malware installiert Rootkit, PC wird zum Bot
Updates von OS und Applikationen wichtig
Trends & Veränderungen 2012:
Zweck ist weniger Bot, mehr Abgriff von Passwörtern / IDs
rausgehenden Traffic an Firewall zu filtern & loggen ist wichtig
mehr Filterung auf Applikationsebene (z.B. Proxy)
neuer: deutlich mehr Zeit zwischen Infektion und Auffälligkeit
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 16/46
![Page 11: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/11.jpg)
”Traditionelles”:Server: Angriff auf Serverdienste
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 17/46
![Page 12: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/12.jpg)
”Traditionelles”:Server
Angriffe erfolgen über
die angebotenen Applikationen (insbesondere WebServer)
RemoteZugänge (z.B. sshBruteforce)
ServerManagementZugänge (KVM over IP, IPMI)
Gegenmaßnahmen:
Applikation absichern . . .
Zugriff auf Applikation einschränken
Teile der Applikation (z.B. KonfigSeite) im Zugriff einschränken
Abschotten der Managementzugänge
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 18/46
![Page 13: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/13.jpg)
”Traditionelles”:Social Engenieering
häufig „malicous spam“:Virus ist nicht in Mail sondern in verlinkter Webseite
PhishingAttacken auf LUHNutzer: einige wenige antworten
schwierig: malicous Bewerbung an Personalabteilung
inzwischen auch per Telefon,beachte: AnruferNummer nicht verlässlich
Auslegen eines USBSticks (typischer Pentest)
−→ vielfältigster und erfolgreichster Angriffsvektor
−→ am schwierigsten zu verhindern
−→ bei zielgerichteten APTAngriffen besonders häufig
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 19/46
![Page 14: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/14.jpg)
”Traditionelles”:Social Engenieering: Bsp. Watering-Hole-Angriff
Eigenarten und Interesse des Opfers werden bewusst eingesetzt:
Opfer liest häufiger Webseite seines TennisClubs
Angreifer hackt TennisClubSeite(häufig eher HobbySeite, leichter hackbar)
TennisClubSeite wird malicious (evt. nur für Opfer)
Angreifer wartet auf nächsten Besuch . . .
Für zielgerichtete APTAngriffe beliebt.
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 20/46
![Page 15: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/15.jpg)
Mobile ITHat mehrere Aspekte:
zunehmende Komplexität auf „embedded Devices“
Nutzung von CloudDiensten sowie Apps
häufig private Endgeräte
zunehmend Notebooks statt Desktops
hier betrachtet: Smartphones & Tablets
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 22/46
![Page 16: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/16.jpg)
Mobile ITAngreifbarkeit
private (Mit) Nutzung, selten Profiltrennung
native Apps statt Webseiten
teilweise Apps mit fragwürdiger Qualität
enthaltene CloudNutzung
Rooting teilweise durch Hacks
reduzierte Software: auch bzgl. SicherheitsTools
vorallem aber: veraltete SoftwareBugs auf alten Versionen nicht gefixtkein Update oder Upgrade durch HandyHersteller
Besondere Gefahren:mobil & WLANNetze, PCAnschluss, persönliche Infos, PWs & TANs
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 23/46
![Page 17: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/17.jpg)
Mobile ITveraltete Mobil-Software
iOSnoch relativ gute Unterstützung älterer Geräte
Androidsehr heterogen durch Trennung OS und GeräteHersteller
z.B. WebkitProbleme in Android ≤ 4.3
Altgeräte noch im VerkaufAndroid 2.3 auf eBookReader Tolino Shine (bis 10/2015)Abverkauf älterer Geräte mit veraltetem OS als Angebote
=⇒ schützenswere Daten nur bei sehr reduziertem Einsatz . . .
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 24/46
![Page 18: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/18.jpg)
Sicherheitsvorfällexcodeghost
Infektion über Bande mit Multiplikator:
malicious XcodeEntwicklungsumgebung für iOS:erstellte Apps enthalten Schadcode
Download lokaler XcodeKopien durch Entwickler
Einstellen infizierter Apps in AppStore
Installation auf iOSGeräte aus „vertrauenswürdiger“ Quelle
−→ Löschen oder Aktualisieren betroffener Apps notwendig
−→ AppSignatur, vertrauenswürdige Quelle, TrustedComputing ??
−→ WLANSperrung nicht hilfreich, da Mobilfunk:QuarantäneWLAN wäre gut
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 26/46
![Page 19: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/19.jpg)
SicherheitsvorfälleRemote-Root-Login
Auffälligkeit erfolgreicher RemoteRootLogin aus Russland
Probleme
gleiches RootPW auf allen Systemen, lange nicht geändertNFSv3 für HomeVerzeichnisse, kein KerberosCrossMounts auch mit ProgrammDateienVermischung von ServerFunktionen (teils über Shares)Webserver mit UserContent (Skripte)durch Cloning gleiche HostKeys
Ursache „nur “ Fehlkonfiguration in PAMModulen
Folge Statt kompletter Neuinstallation Neuaufsetzen betroffenerArbeitsplätze, sukzessive Problembehebung
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 27/46
![Page 20: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/20.jpg)
SicherheitsvorfälleRemote RDP-Login
Auffälligkeit selbst festgestellte RemoteLogins
Probleme keines ursächlich:
keine Firewall, Irrtum darüberkeine AdminVertretung, Admin abwesendVermischung Labor und BüroPCsVertrauensstellung des AD mit Nachbarinstituten
Ursache unklar, evt. APT
Folge Komplette Neuinstallation der InstitutsIT
Prüfung der DatendateienPCInstallation mittels PXE & Softwareverteilung recht zügigneues AD, neuer DC
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 28/46
![Page 21: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/21.jpg)
SicherheitsvorfälleWebserver
Auffälligkeit von extern gemeldete malicious Website
Ursache veraltetes CMS in einem vhost mit
1 bel. PHPCode auf Webserver ausführbar2 bel. Programme als User wwwdata3 Rechteausweitung auf root ist erfahrungsgemäß zu
unterstellen
Probleme neben veralteter Software
„Multiserver“: Web, Mail, SSH, DNSmangelnde Einsicht & unzureichende SecurityResponse
Folge Probleme nur unzureichend behoben,unnötige Sicherheitsrisiken bleiben
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 29/46
![Page 22: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/22.jpg)
AmplificationAttacks:
Reflection
1 Angreifer befragt (UDP) Dienst mit gefälschter AbsenderIP
2 Dienst antwortet an falsche AbsenderIP
−→ „Angriff“ unbekannten Ursprungs
Amplification
Kleine Anfrage erzeugt große Antwort:−→ Verstärkungseffekt dDoSAngriff
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 31/46
![Page 23: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/23.jpg)
AmplificationAttacks: NTPNTP: Protokoll für die ZeitSynchronisation vom Zeitserver
AmplificationAttack über monlistAbfrage:
monlist: Liste der letzten 600 Anfragenden
Verstärkung um bis zu × 200:1 Paket mit 234 Bytes 100 Pakete mit ≥ 48 kBytes
MaßnahmenNeben Sperrung eingehender NTPAnfragen noch je Gerät:
keine unnötigen Anfragen zulassenStandardNTPDaemon schwierig zu konfigurierenOpenntpd einfachere Alternative
dezentrale NTPServer sind überflüssig
Clients sollten selbst NTPDienst nicht anbieten
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 32/46
![Page 24: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/24.jpg)
AmplificationAttacks: DNSÜber offene Resolver sind verschiedene Angriffe möglich:
Last auf angegriffenem DNSServer durch reguläre Anfrage
Amplification durch große AntwortPakete (z.B. DNSSEC)z.B. 60 BytesAnfragepaket 4kAntwort (× 70)
Maßnahmen
Verlagerung dezentrale autoritativer Daten auf zentrale Server
Sperrung eingehender DNSAnfragen bis auf zentrale DNSServer
Absicherung von WindowsDNSServer (Teil eines DC)
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 33/46
![Page 25: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/25.jpg)
DNS: Hintergrundautoritativer DNS-Server
Stellt Informationen über bestimmte Domains fürs Internet bereit, z.B.
unter uni-hannover.de
www.uni-hannover.de. IN A 130.75.2.151
oder zu IPs in 130.75.*.*151.2.75.130.in-addr.arpa. IN PTR
cmsv023.rrzn.uni-hannover.de.
Delegiert ggf. auf andere autoritative DNSServer, z.B.
auf f.nic.de für unsere Domainuni-hannover.de. IN NS dns1.uni-hannover.de.
auf w.arin.net für unsere IPs75.130.in-addr.arpa. IN NS dns1.uni-hannover.de.
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 35/46
![Page 26: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/26.jpg)
DNS: Hintergrundrekursiver DNS-Server
Löst für Clients durch „Abklappern“ auf und speichert zwischen (Cache):
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 36/46
![Page 27: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/27.jpg)
DNS: Veränderungen LUHTrennung autoritativ und rekursiv
früher dns1|2 für beide DNSServerartenzukünftig Trennung (reduziert Angreifbarkeit & Poisoning)
dns1|2 als rekursive DNSServer für LUHClientsns1|2 als autoritative DNSServer für das Internet
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 37/46
![Page 28: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/28.jpg)
DNS: Veränderungen LUHDezentrale autoritative „Sub“-DNS-Server
aber eigentlich unschönnach Ablauf von TTL Probleme, sogar für Mail (MX)
Aufwand, z.B. bzgl. neuer GatewayFirewall;wg. Aufwands keine Unterstützung für DNSSEC & DFNSecondary
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 38/46
![Page 29: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/29.jpg)
DNS: Veränderungen LUHAndere Zonen als uni-hannover.de
Werden für Forschungsverbünde, Konferenzen etc. besorgt:
über Rechenzentrum beim DFN
bei anderem Registrar/Hostermeist dort auch der DNSServerselten selbstgehostetes DNS
zentrale Registrierung
über Rechenzentrum zu günstigen Konditionen (neu)
Besitz oder AdminC ist LUH, zentrale DNSServer der LUH
möglich: Zertifikate aus der DFNPKIGlobal, MailService
. . . aber bitte beachten: macht Arbeit, DomainInflation vermeiden
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 39/46
![Page 30: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/30.jpg)
DNS: Veränderungen LUHDNSSEC – Vorteile
DNSSEC ist eine Absicherung von DNSEintragungen überPublic/PrivateKeyMethoden und (signierter) Delegierung
Signatur von DNSEinträgen verhindert Spoofing
Keine Verschlüsselung oder Absicherung gegen falscheLameDelegations
Aber auch zusätzlicher Nutzen
DANE: Prüfung von Schlüsseln/Zertifikaten über DNSSEC,z.B. zwischen MailServern (dabei ohne CATrusts)
Verlässlichkeitvon DiensteServerZuordnungen (SRV)von ConfigSuchen (AutoconfigFunktionen)
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 40/46
![Page 31: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/31.jpg)
DNS: Veränderungen LUHDNSSEC – Umsetzung
rekursivPrüfung auf dns1|2, eher problemlos
autoritativSchwierig: Fehler entspricht in Wirkung vollständigem Serverausfall
Signatur auf HiddenMaster im Rechenzentrum,Keymanagement/rollover wichtig
dezentrale „Schatten“DNSServer problematisch:institutsinterne Views −→ abschaltenWindowsAD auf .uni-hannover.de
−→ migrieren zu .intern, d.h. neuaufsetzen
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 41/46
![Page 32: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/32.jpg)
DNS: WindowsDNS in Windows-ADs
Rechenzentrum empfiehlt schon lange .intern:example.uni-hannover.de. example.intern.
WindowsDNS ist rein intern, unabhängig vom InternetDNS:keine gleichen Einträge mit unterschiedlicher Auflösung
kann (und sollte!) auf zentralen DNSServern delegiert werden,dns1|2 und nicht DC als DNSServer für Clients
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 42/46
![Page 33: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/33.jpg)
DNS: WindowsHost-Benennung DNS vs. Windows
im DNS hierarchisch, unproblematisch (insb. unter Linux)
unter Windows mit AD oder flach, WindowsTools zeigen eher nurComputernamen (z.B. viele pc1 in SophosEC)
Daher Empfehlung (bei PXEWindowsinstallation automatisch):
DNS pc1.luis.uni-hannover.de
Windows Computername=luis-pc1 AD=luis.intern
Algorithmus: left( left(OE_OHNEMINUS,6) + ’’ + RDN ,15)
vgl. http://www.luis.uni-hannover.de/win-dns.html
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 44/46
![Page 34: ZurSicherheitslage - Leibniz Universität Hannover...Programm Dienstag 17.11.15 09:15 10:45 Sicherheitslage 10:45 11:15 Pause 11:15 12:45 TLS/SSL Verschlüsselung & Authentifizierung](https://reader033.fdocument.pub/reader033/viewer/2022050409/5f8692b8aefac76ed948bd82/html5/thumbnails/34.jpg)
Hausaufgabenüberprüfen Sie administrative Zugänge
wer kennt PW, wann zuletzt geändertpersonalisierte Logins, ggf. vorgeschaltetunterschiedliche PWs je Gerät (auch je PC beim Administrator!)
NTPServer abbauen, NTPKonfigurationen prüfen
DNS ins Rechenzentrum verlagern, Rekursion abbauen,WindowsDomains unter .intern oder .local zentral anmelden
Trennung von Diensten, keine SinglePasswortPolicy,Abgabe von Diensten an uns?
PatchManagement, kein XP mehr auf InternetRechnern
Aktualisieren der sec-*@ou.uni-hannover.deVerteiler
Hergen Harnisch, Zur Sicherheitslage, 17. November 2015 Seite 46/46