Deutsches Forschungsnetz
IT-Sicherheit in Hochschulrechenzentren
- Aktuelle Neuigkeiten & Blick in die (nahe) Zukunft -
Marcus Pattloch ([email protected])ZKI Herbsttagung
Ilmenau - 14.9.2005
Seite 3
Inhalt
• Teil 1: Sicherheit im D-Grid• Teil 2: Neue CERT-Dienstleistungen
• Teil 3: Die neue DFN-PKI Dienstleistung• Teil 4: Vorführung der neuen DFN-PKI• Teil 5: Zusammenfassung
Seite 4
Teil 1
Sicherheit im D-Grid
Seite 5
Sicherheit im D-Grid (1)
• Entwicklung und Einsatz von Firewallkonzepten in Grid-Umgebungen–Firewalls in Hochgeschwindigkeitsnetzen
(Durchsatzraten im Bereich mehrerer Gbit/s)–automatisch im laufenden Betrieb
konfigurierbare Firewalls–Konfiguration auf Basis von Zertifikaten (AAI)
Seite 6
Sicherheit im D-Grid (2)
• Grid-spezifische CERT-Dienste– Computer Notfallteams im „normalen“ Internet
seit Jahren etabliert– Aber: neue Themen in Grids
• spezielle Grid-Anwendungen• Grid-Middleware (Globus, UNICORE, ...)• Betriebssysteme
– Ziel: CERT-Dienstleistungen um Grid-spezifische Anforderungen ergänzen
Seite 7
• Aufbau einer AA-Infrastruktur im D-Grid–Authentifizierung (A1) vs. Autorisierung (A2)
• A1: globale (!) Bestätigung der Identität, z.B. von Nutzern, Rechnern, Diensten, Daten
• A2 : lokale (!) Steuerung der Zugriffs auf Ressourcen
–Ausstellung von Zertifikaten für das D-Grid• fast alle Grid-Anwendungen benötigen Zertifikate• Grid-Zertifikate ausschließlich im Rahmen der
EUGridPMA (in DE: zwei „Dienstleister“ FZK, DFN)• Aufsetzen von Grid-RAs• einheitliche Schnittstelle zur einfachen Beantragung
von Zertifikaten im D-Grid
Sicherheit im D-Grid (3)
Seite 8
Teil 2
Neue CERT-Dienstleistungen
<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>
Aufgaben eines Notfallteams
• Prävention– Advisories, Alarmmeldungen, Risikoanalyse– Schwachstellenanalyse, Intrusion Detection– Schulung und Ausbildung im Security Bereich– Ansprechpartner Sicherheitsfragen
• Reaktion– Incident Response Support– Aufarbeitung und Auswertung von Vorfällen – Koordination der Bewältigung – Zusammenarbeit mit anderen Notfallteams
<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>
Reaktion: Was wird gemeldet?
• Beispiele von typischen Vorfällen– Anwender meldet kompromittierten Server mit
sichergestelltem Material (Artefakte)– ein anderes CERT meldet ein kompromittiertes
System im Verantwortungsbereich– Portscan-Meldungen (automatisiert und
manuell)– Viren- und Proxy-Meldungen (automatisiert)– Anfragen von Strafverfolgungsbehörden
<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>
Trends 1: Angreiferwissen
<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>
Trends 2: Zeitfenster
• Automatisierte Schwachstellensuche und -ausnutzung (Exploits)– Weniger Zeit für Systemverwalter
<Titel des Vortrags im Menü "Ansicht/Kopf- und Fußzeile..." anpassen>
Trends 3: „Hacken“ gegen Geld
• Entstehen einer Untergrund-Ökonomie– Malware-Entwicklung gegen Geld (Exploits)– Spam Verteilung gegen Geld (via Botnet)– DDoS Angriffe gegen Geld (via Botnet)
• Einstieg der organisierten Kriminalität– 1. Halbjahr 2004: Schutzgelderpressung mittels
DDoS gegen Online-Wettbüros
Seite 14
Alle Dienste auf Basis einer gemeinsamen Datenbasis
Automatisch
Reaktiv Präventiv
Manuell Bearbeitung von Vorfällen
Advisories, Patches
Frühwarnung,IDS / IPS
Audits, Penetration Tests, NBHW
Zukunft von CERTs
Seite 15
Aufgaben der Rechenzentren
• lokaler Ansprechpartner für Sicherheit (Rolle)• Patchmanagement u.a. auf Basis der CERT
Advisories• enge, frühzeitige Zusammenarbeit bei
Vorfällen
• Nur in enger Zusammenarbeit mit den Rechenzentren sind CERTs stark!
Seite 16
Teil 3
Die neue DFN-PKI Dienstleistung
Seite 17
Zertifikate im DFN
• Zertifikat = digitaler Ausweis• vielfältige Anwendungen von Zertifikaten• Zertifizierungsstelle im DFN seit 1996
– fortgeschrittene X.509 Zertifikate / PGP• derzeit Erweiterung der Dienstleistung
– Synergie für Anwender, die bereits eine eigene Struktur betreiben
– Einstieg wird für „kleine“ Anwender deutlich vereinfacht
Pilotierung läuft erfolgreich !
Seite 18
„üblicher“ Aufwand
0 1 ... 10 ... 100 ... 1.000 ... 1.000+
Anzahl ausgegebener Zertifikate
Auf
wan
d fü
r Zer
tifka
taus
gabe
Seite 19
Das Konzept - Trennung der Aufgaben
• Registrierungsstelle– administrative Arbeiten– verbleibt in der Hochschule– vergleichbar einer Meldestelle
• Zertifizierungsstelle– technisch aufwändige Arbeiten – kann an DFN ausgelagert werden– vergleichbar der Bundesdruckerei
Seite 20
Aufwand mit Auslagerung
0 1 ... 10 ... 100 ... 1.000 ... 1.000+
Anzahl ausgegebener Zertifikate
Auf
wan
d fü
r Zer
tifka
taus
gabe
Aufwand der Hochschule
ausgelagerter Aufwand (DFN)
Seite 21
Teil 4
Vorführung der neuen DFN-PKI
Seite 22
Schritt 1
Nutzer beantragt Zertifikat
Seite 23
Seite 24
Seite 25
Seite 26
Seite 27
Seite 28
Schritt 2
Registrierungsstelle (RA)
Seite 29
Seite 30
Seite 31
Seite 32
Seite 33
Schritt 3
Nutzer erhält sein Zertifikat
Seite 34
Seite 35
Seite 36
Seite 37
Vorteile DFN-PKI Dienst
• hohe Qualität / Sicherheit• Auslagerung der CA möglich
– keine eigene Technik erforderlich, weder Hard-ware noch Software - nur ein Standard-Browser
– lokaler Aufwand wird deutlich reduziert– Webschnittstelle kann nach Anforderungen der
Anwender angepasst werden– Entgelt im DFNInternet enthalten
• Regelbetrieb ab 1.1.2006 mit Übergang auf das X-WiN (www.dfn.de/pki)
Seite 38
DFN-Test-PKI
• Prozesse können „geübt“ werden• DFN-Test-PKI steht allen Anwendern ab
sofort zur Verfügung• Regelbetrieb ab 1.1.2006 mit Übergang auf
das X-WiN• Bei Interesse Zugangskennung unter:
Seite 39
Teil 5
Zusammenfassung
Seite 40
Zusammenfassung
• Erweiterung der DFN-Dienstleistungen
• Abstimmung mit und Ausrichtung auf Bedarf der Hochschulen (Rechenzentren)
• DFN-Test-PKI steht allen Anwendern ab sofort zur Verfügung, bei Interesse Mail an: