Gemeinsame Systemgruppe IfI/b-it

You are here: aktuelles » en » networksecurity

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
en:networksecurity [2017-04-11 16:34]
Torsten Steinhäuser [II. Sicherheitsprogramm]
en:networksecurity [2017-04-13 15:49] (current)
Torsten Steinhäuser
Line 1: Line 1:
-FIXME **This page is not fully translated, yet. Please help completing the translation.**\\ //(remove this paragraph once the translation is finished)// 
- 
 **Please note, this translation is for your convenience only.** **Please note, this translation is for your convenience only.**
  
Line 193: Line 191:
  
  
-===Zugangsregelungen=== +===Access regulations=== 
-Zum Schutz der Netzinfrastruktur sind alle Bestandteile des Gesamtnetzes vor unberechtigtem Zugriff zu schützen. Angefangen bei Steckdosenüber die Verkabelung bis hin zu aktiven Netzkomponenten wie Switches und RouterDie Schnittstelle zum Benutzer ist die Steckdose. An eine Steckdose dürfen nur die dafür zugelassenen Rechner angeschlossen werden. ​  +To protect the network infrastructureall parts of the network are to be secured against unauthorized accessBeginning with power outletsover cables up to the active network components like switches and routersThe interface to the user is the power outletOnly specified computers are to be connected to a power outlet.
- +
-===Regelung der Netznutzung und -überwachung=== +
-In diesem Abschnitt werden zunächst Verfahren und Vorgehensweisen beschriebenmit denen die Netzüberwachung erfolgtAnschließend wird dargelegt, welche Reaktionsmechanismen vorgesehen sindEs erfolgt dabei keine Kontrolle von Inhalten oder von Verbindungsdaten,​ mit Ausnahme der Untersuchung einer Anomalie, jedoch nur, wenn ein hinreichend begründeter Verdacht auf  einen Angriff oder Missbrauch vorliegt. +
- +
-==Registrierung== +
-Jedes System, das an das Institutsnetz angeschlossen werden soll, muss vorab registriert werdenBei der Registrierung werden folgende Daten erfasst:+
  
-  * Netzwerkadressen auf  OSI Schicht 2 und 3 +===Regulations for network usage and surveillance=== 
-  * DNS-Informationen +This section describes methods and practices by which the network surveillance is conducted. Furthermorereactions to threats will be explained. There will be no surveillance of content or connection datawith an exception for investigating anomaliesthough only if there is reasonable suspicion suggesting ​an attack or misuse.
-  * Beschreibung des Systemswie etwa HerstellerHardware, Betriebssystem +
-  * Zugehörigkeit zu einer Arbeitsgruppe,​ Standort, Kontaktperson +
-  * Liste von Ports, an denen das System betrieben werden darf, alternativ ein VLAN +
-  * Besonderheiten,​ wie etwa experimentelle Netzwerkprotokolle+
  
-==Blockierung von unerwünschtem Verkehr== +==Registration== 
-Einige Netzkomponenten ermöglichen mit Hilfe von Zugriffslisten (ACL) gezielt Verkehr anhand von Netzwerkadressen und Netzprotokollen zu blockieren. Beim Übergang zwischen dem Institutsnetz und dem restlichen Universitätsnetz,​ also insbesondere dem Internet-Zugang,​ werden ACL eingesetzt, um die im Sicherheitsprogramm definierten Zugangsrestriktionen umzusetzen. Da in den ACL  Zugangsrechte über IP-Adressen definiert werden, sind bei der Einrichtung von Sicherheitszonen Aspekte der IP-Adressraum Strukturierung zu berücksichtigen.+Every system that is to be connected to the institute'​s network has to be preemptively registeredThe following information will be collected on registration:​
  
-Dieser Mechanismus wird auch verwendetum den Verkehrsfluss innerhalb des internen Netzes zwischen VLANs zu kontrollierenEntsprechend sind auch bei der Definition von VLANs Restriktionen hinsichtlich der IP-Adressraum Strukturierung zu beachten.+ * Network addresses on OSI layers 2 and 3 
 + * DNS information 
 + * Description of the systeme.gmanufacturer,​ hardware, operating system 
 + * Membership in a work group, location, contact person 
 + * List of ports the system may be used on, alternatively a VLAN 
 + * Distinct features, e.g. usage of experimental network protocols
  
-Auf allen Rechnern werden darüber hinaus diejenigen Dienstedie auf dem Rechner nicht zulässig sinddurch Sperrung der entsprechenden Schicht-4 Ports unterbunden.+==Blocking unwanted traffic== 
 +Some network components allow to block traffic based on network addresses and protocols via ACLs. When switching from the institute'​s network to the rest of the university networkespecially when accessing the internetACLs are used to enforce the access restrictions defined by the security program. Since the ACLs define access rights based on IP addresses, aspects of IP address ranges are to be considered when creating security zones.
  
-==Monitoring,​ Erkennung von Anomalien== +This mechanism is also used to control traffic between the VLANs inside the institute'​s networkThuswhen defining VLANsrestrictions in regards to IP address ranges are to be considered.
-Jeder Port von aktiven Netzkomponenten unterliegt einer regelmäßigen Überwachung seiner Management-InformationDiese liefern etwa Daten zur Auslastung, Fehlerindikatoren sowie Angaben zu über diesen Port erreichbaren Systemen auf Basis von Netzwerkadressen. Diese Daten werden automatisiert analysiert und dienen zur Erkennung von anomalen Verkehrsmustern. Zusätzlich werden punktuell RMON-basierte Werkzeuge oder vergleichbare Hilfsmittel eingesetzt, mit denen Ende-zu-Ende Verkehrsdaten erfasst und statistisch ausgewertet werden. Weiterhin werden auf besonders sensitiven Systemen, beispielsweise Servern im öffentlichen Sicherheitsbereich,​ Werkzeuge genutzt, mit denen Zugriffe auf nicht freigegebene Ports erkannt werden. Die Erkennung von Anomalien setzt voraus, dass ungewöhnliche Verkehrsmuster,​ die auch im Normalbetriebbeispielsweise während einer Datensicherung auftretenim Vorfeld erfasst werden.+
  
-==Maßnahmen bei Erkennung von Anomalien== +All services which are prohibited on a computer are blocked on every computer by blocking the proper level-4 ports.
-Um frühzeitig auf eventuelle Angriffe reagieren zu können und um Schäden zu vermeiden, die durch ein Fehlverhalten einzelner Rechner entstehen können, werden im Kernnetz sowie im differenzierten Bereich bei Erkennung von vorab nicht erfassten ungewöhnlichen Verkehrsmustern sowie bei unbekannten oder nicht freigegebenen Netzadressen auf einem Netzsegment die entsprechenden Ports im Switch automatisch gesperrt. Außerhalb des Kernnetzes sowie bei Server-Ports werden Alarme ausgelöst und die Entscheidung,​ ob der Port gesperrt wird, wird durch das technische Personal getroffen.+
  
-Da sich auch im normalen Betrieb im Netzverkehr erhebliche Schwankungen zeigenist die automatisierte Erkennung von Anomalien mit großen Unsicherheiten behaftetDie Schwellebevor ein Port gesperrt wirdmuss daher recht hoch gesetzt werden.+==Monitoringdetection of anomalies== 
 +Every port of active network components will be monitored regularly via its management informationThese provide information about workloadpossible damages as well as connected systems based on network addresses. This data is analysed automatically and is used to detect anomalous traffic. AdditionallyRMON-based tools or similar are used to analyse end-to-end traffic data. Furthermore,​ especially sensitive systems, e.g. servers in the public security area, are monitored with further tools to monitor access to non-permitted ports. In order to detect anomalies it is necessary to preemptively detect uncommon traffic patterns, which may also occur during regular operations, e.g. during backups.
  
-===Risiko-Management=== +==Measures after detecting anomalies== 
-Da durch die oben beschriebenen Maßnahmen Risiken zwar reduziertjedoch nicht ausgeschlossen werden können, ist es notwendig, Vorkehrungen zu treffendie mögliche Schäden eingrenzen.+To react quickly to possible attacks and to prevent damages which might be caused by erroneous behaviour of single computerscomputers in the core and differentiated security zones exhibiting signs of anomalous traffic get the offending ports blocked automatically. Outside the core network as well as on server-portsan alarm is sent and the technical staff will decide whether or not to block the port.
  
-==Funktionskontrolle== +Since fluctuations in network traffic also occur during regular operationautomatic detection of anomalies is very error proneThe threshold that needs to be passed before a port is automatically blocked thus has to be set rather high.
-Die Festlegung von Schwellwerten für Alarme oder allgemeinerdie Festlegung dessen, was als normaler Netzverkehr betrachtet wird, erweist sich in der Praxis als recht schwierigBevor solche Festlegungen getroffen werden, ist eine Lernphase vorzuschalten,​ in der über einen längeren Zeitraum eine Anpassung der Schwellwerte erfolgt, ohne eine Port-Sperrung auszulösen.+
  
-Ebenso muss in der Praxis überprüft werden, in wie weit durch ACLs die gewünschten Effekte erzielt werden. Leider gibt es keine Werkzeuge, die eine derartige Funktionskontrolle unterstützen  ​+===Risk management=== 
 +The above measures reduce risksbut cannot completely eliminate them. Thus it is necessary to take precautions ​in order to reduce potential damages.
  
-Durch die hier vorgeschlagene dezentrale Implementierung des Sicherheitsprogramms muss darüber hinaus sichergestellt werdendass die Kommunikation zwischen den verschiedenen Sicherheitsverantwortlichen funktioniert und die Schnittstellen zwischen den einzelnen Zuständigkeitsbereichen klar definiert sindDies ist Aufgabe der administrativen Netzkoordinatoren.+==Function control== 
 +Defining thresholds for alarmsor rather, defining what is considered to be regular network traffic, is rather difficult in practiceBefore such decisions are made, a learning phase is to be had, during which the thresholds are adjusted as to prevent accidental blocking of ports.
  
-==Reaktionsplan erstellen== +Furthermorethe effectiveness of the ACLs have to be tested in practiceRegrettablythere are no tools that to automate this process.
-Es ist unumgänglichdass ein Aktionsplan erstellt wird, wie auf einen Angriff reagiert werden sollDazu ist es erforderlich,​ die möglichen Risiken zu klassifizieren und deren Auswirkungen vorab zu schätzen Dann ist festzulegenwelche Aktionen im einzelnen unternommen werden und zu welchem Zeitpunkt die Nutzer bei einem Verdacht auf einen Angriff informiert werden.+
  
-===Datenschutz=== +Due to the security program'​s decentralized implementation proposed herethe communication between the various security officers must be efficient and the areas of responsibilities clearThis is the responsibility of the administrative coordinators.
-Im Rahmen der Netzüberwachung fallen eine Vielzahl von Daten andie zwar nicht unmittelbar einem einzelnen Nutzer zugeordnet werden können, die jedoch über die Netzadressen häufig einen indirekten Rückschluss auf den betreffenden Arbeitsplatz und damit letztlich auf  einen Mitarbeiter zulassenGrundsätzlich unterscheiden sich diese Daten nicht von solchen, die auch auf den einzelnen Rechnern durch betriebssysteminterne Funktionen erfasst und abgefragt werden können. Somit sind auf diese Daten die gleichen Regelungen anzuwenden, wie sie in der Benutzerordnung für die Datenverarbeitungsanlagen am Institut für Informatik definiert sind.+
  
-==Welche Daten werden erhoben ?== +==Creating a plan of action== 
-Die Verfahren zur Netzüberwachung müssen im einzelnen daraufhin geprüft werden, ob Daten anfallen, die der Datenschutzregelung unterliegenProblematisch gestalteten sich dabei insbesondere solche Verfahren, bei denen ein Verkehrsprofil erstellt wirdHier muss durch eine Anonymisierung sichergestellt werdendass Verkehrsprofile nicht arbeitsplatzbezogen aufgestellt werden.+It is inevitable to create a plan of action on how to react to an attackTherefor it is necessary to classify potential risks and their results preemptively. Actions to be taken in case of an attack have to be definedFinallyit has to be agreed on when to inform users about a possible attack.
  
-==Wer hat Zugriff auf diese Daten ?== +===Data protection=== 
-Grundsätzlich muss der Zugriff auf  Netzverkehrsdaten auf das betrieblich notwendige Maß beschränkt sein. Die Dezentralisierung des Netzbetriebes hat hier den Vorteildass auch die Datenerfassung auf  kleinere Einheiten beschränkt wird. Es kann somit als Regel aufgestellt werdendass Betriebspersonal nur Zugriffsrechte auf Verkehrsdaten solcher Teilnetze (VLANs) erhält, für die sie unmittelbar zuständig sindLediglich die im einzelnen benannten Netzverantwortlichen erhalten im Rahmen ihrer Zuständigkeiten Zugriffsrechte auf Verkehrsdaten anderer Netzbereiche.+Network surveillance creates a plethora of datawhich can not be directly associated with any userbut which may indirectly identify workplaces and therefore potentially employees via network addressesThese information do not basically differ from those that can be gathered and queried via the operating system. Therefore, the same rules defined in the terms of service apply to them.
  
- +==What data is gathered?​== 
 +The measures for network surveillance have to be auditioned to check if gathered data is subject to the data protection regulations. Procedures which create a personalized profile of network traffic are especially problematic. These profiles have to be anonymized, so they are cannot be traced to a single workplace.
  
-[1] Zugriffslisten werden auch als Access ​Control Lists bezeichnet und im weiteren mit ACL benanntEin einzelner Eintrag (Regel) ​in einer ACL wird als Access Control List Entry (ACEbezeichnet.+==Who may access this data?== 
 +Access ​to this data is to be granted only in so far as is necessary for operationThe network operation'​s decentralization is helpful here, as the gathered information encompass a smaller scope. Thus, a rule can be in place to restrict operations staff to traffic data of subnetworks ​(VLANsthey'​re immediately responsible for. Only the specifically named network officers are granted access to the data of other parts of the network.