Transcription

IT-Sicherheit [email protected] Mitasch, Thomas-Krenn.AGWebinar, 16. Juli 2020

Über michChristoph Mitaschseit 2005 bei der Thomas-Krenn.AGNiederlassung ÖsterreichDiplomstudiumComputer- und MediensicherheitErfahrung in Web Operations,Linux und HACyber-Security-Practitioner (v1)2

Thomas-Krenn.AG2002 gegründetStandort Freyung, BayernServer- und Storage-SystemeFlexibilität bei Kundenanfragen3

AgendaHome-Office bei der Thomas-Krenn.AGder häusliche ArbeitsplatzRemote Zugang DesktopPasswörter und 2FATelefonie/VOIP und Kommunikations-ToolsTragbare IT-Systeme (Notebook, Smartphone)Sensibilisierung der Mitarbeiter4

AgendaHome-Office bei der Thomas-Krenn.AGder häusliche ArbeitsplatzRemote Zugang DesktopPasswörter und 2FATelefonie/VOIP und Kommunikations-ToolsTragbare IT-Systeme (Notebook, Smartphone)Sensibilisierung der Mitarbeiter5

Home Office bei der Thomas-Krenn.AGGroßteil der Mitarbeiter von März bis Juni im Home-OfficeVirtueller Desktop (VDI) schon seit 2013 durchgängig im EinsatzInternet-Bandbreite hat ausgereicht, symmetrisch wichtigzeitweise über 100 Desktop Sitzungen parallel von externBandbreite/Latenz beim Mitarbeiter auch relevantGrundsatz für externen Zugriff:MFA/2FA, Passwort alleine reicht nichtkeinerlei unverschlüsselte Verbindungen6

Home Office bei der Thomas-Krenn.AGTelefonie mit gewohnter Nebenstelle via App am Handy oder VDIDesktop möglichKommunikations-Tool für Instant Messaging und Video-Konferenzen Headset sehr wichtigRichtlinien von HR und DSB für Home-Officez.B. keine Dokumente zu Hause ausdrucken„Gesunde Distanz zur Kaffeemaschine. (ca. 12 Schritte)“ ;-)E-Mail Spoofing-Schutz verbessertzusätzliche Sensibilisierung der Mitarbeiter für IT-Sicherheit„Cyber-Kriminelle nutzen Corona-Krise vermehrt aus“7

AgendaHome-Office bei der Thomas-Krenn.AGder häusliche ArbeitsplatzRemote Zugang DesktopPasswörter und 2FATelefonie/VOIP und Kommunikations-ToolsTragbare IT-Systeme (Notebook, Smartphone)Sensibilisierung der Mitarbeiter8

9Quelle: https://www.flickr.com/photos/apes abroad/5416445001

Der häusliche Arbeitsplatz10

Der häusliche ArbeitsplatzIT-Grundschutz BausteineINF.8 Häuslicher Arbeitsplatzplus Umsetzungshinweise zum Baustein INF.9 (von 02/2020)OPS.1.2.4 e node.htmlTipps vom /BSI/Cyber-Sicherheit/Themen/empfehlung home office.pdf? blob publicationFile&v 9Fenster und Türen abschließenVerschlüsselung der DatenträgerVertrauliche Dokumente entsorgen (Media Disposal)Clean Desk Policy11

Der häusliche Arbeitsplatz12

AgendaHome-Office bei der Thomas-Krenn.AGder häusliche ArbeitsplatzRemote Zugang DesktopPasswörter und 2FATelefonie/VOIP und Kommunikations-ToolsTragbare IT-Systeme (Notebook, Smartphone)Sensibilisierung der Mitarbeiter13

Remote Zugang DesktopWo läuft Desktop?Firmen-Netzam PC/Notebook zu HauseCloudZugriff auf Desktop in Firma/CloudRDP, VPN, TeamviewerVDI ClientAnbindung von lokalem Desktop ans Firmen-Netzwerkunverschlüsselt NEINSSH Tunneling als temporäre LösungVPN (Layer 2/3) optimal14

Remote Zugang DesktopRDP (Remote Desktop Protocol)v10 mit Windows 10 (Update 1511) und Server 2016 TP 4TCP-Port 3389, seit v8 auch UDP 3389 (schneller)seit v5.2(Vista) TLS 1.0 SupportDesktop soll nie offen im Internet sein (ohne Firewall und VPN)offene RDP Zugänge werden weiterverkauftlaut FBI wird RDP für 70-80% aller Ransomware Angriffe verwendetsobald ein Angreifer einen Rechner innerhalb des Firmennetzes kontrolliert, kann er mitMan-in-the-Middle potentiell weitere RDP-Zugangsdaten abgreifenvia Downgrade-Attacke kann man Zugangsdaten erbeutenviele Windows-Systeme akzeptieren die unzureichende Verschlüsselung"Standard RDP Security“Quelle: b.html15

Remote Zugang DesktopRDP (Remote Desktop Protocol)selbstsignierte Zertifikate problematisch„In einer ordentlich konfigurierten IT-Landschaft sollten derartigeWarnungen eine Ausnahme darstellen, die einen Anruf bei der ITAbteilung rechtfertigt.“Enhanced RDP Security Standard RDP in TLS-TunnelOptimal ist: Enhanced RDP Security mit NLA (Network LevelAuthentication) und CredSSP-Protokoll (Credential SecuritySupport Provider)RDP-Authentifizierung ohne NLA offenbart Benutzernamendes Systems und erleichtert Brute-Force-AngriffeNachteile NLArdesktop nicht out-of-the-box, freerdp schonPasswortänderung beim Login nicht möglich, falls esabgelaufen ist16Quelle: nen/2017/2017 11 07 Vollmer Angriffe auf RDP.pdf

Remote Zugang DesktopRDP (Remote Desktop Protocol)ohne NLA (Network Level Authentication)mit NLA17

Remote Zugang DesktopRDP (Remote Desktop Protocol)Wie kann man RDP Modus testen: # nmap -P0 -p 3389 --script rdp-enum-encryption 192.168.x.xStarting Nmap x.xx ( ) at 2020-05-06 15:00 CEST Nmap scan report for 192.168.x.xHost is up (0.00046s latency).PORTSTATE SERVICE3389/tcp open ms-wbt-server rdp-enum-encryption: Security layer CredSSP: SUCCESSzum Testen ob RDP Standard Security erlaubt wird:xfreerdp /sec:rdp /v: IP /u:/sec force protocol security. proto can be one of rdp, tls or nla.mstsc.exe„enablecredsspsupport:i:0“ in ./Documents/Default.rdp setzten (Zurücksetzen nach Test!)18

Remote Zugang DesktopRDP (Remote Desktop Protocol)Gruppenrichtlinie für RDP Client und ServerClient: Computer Configuration\Policies\Administrative Templates\Windows Components\Terminal Services\RemoteDesktop Connection Client\Configure server authentication for clientServer: Computer\Policies\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security19

Remote Zugang DesktopRDP (Remote Desktop Protocol)Zugriff über zentralen GatewayAlternative zu direkten ZugriffMS RDS oder VMware UAGOSS Apache Guacamole–RDP, VNC, SSHMehr RDP Infos bei HeiseArtikelserieplus Webinarhttps://heise.de/-470004820Quelle: a-RDP-Best-Practices-4-4-4711807.html

AgendaHome-Office bei der Thomas-Krenn.AGder häusliche ArbeitsplatzRemote Zugang DesktopPasswörter und 2FATelefonie/VOIP und Kommunikations-ToolsTragbare IT-Systeme (Notebook, Smartphone)Sensibilisierung der Mitarbeiter21

Passwörter und 2FAPasswort-RichtlinienBSI IT-Grundschutz ORP.4.A23„IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel desPassworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. EsMÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zuerkennen.“NIST.SP.800-63bMicrosoft Password Guidance, 2016Specops Password AuditorFreewareQuelle: ord-auditor/overview/Quelle: t/uploads/2016/06/Microsoft Password Guidance-1.pdf22

Passwörter und 2FAPasswort-RichtlinienTechnische UmsetzungAD Domain Policyverschiedenen Richtlinien im AD mit:Fine-Grained Password Policy (FGPP)Password-Filter DLL–––Azure AD Password ProtectionSpecops Password Policy via GPO(kostenpflichtig)Lithnet Password Protection forActive Directory (LPP)Quelle: dllQuelle: mises-operations23

Passwörter und 2FA2FA für Home-Office Zugang umso wichtigerfür RDP, VDI, Web, VPN sinnvollSmartcard für RDP in Windows integriertklassiches 2FA mit TOTP, HOTP nicht in Windows integriertAzure MFA von Microsoftfür Terminal-Services seit Server 2012 R2 nur mehr via Remote Desktop Gateway (RDG)kann auch an internen RADIUS-Server angebunden werdenlokaler MFA-Server per 1.7.2019 nicht mehr für Neuinstallationen verfügbarviele Features von verwendeter Lizenz abhängigSSO mit sehr vielen Third-Party-Apps24

Passwörter und 2FADuo MFA von CiscoDuo Free: bis 10 User kostenlosAbo-Modelle mit Preis pro User/MonatDuo Authentication for Windows Logonauch für RDP-Login25Quelle: https://www.duo.com

Passwörter und 2FAPrivacyIDEAWebinterface für Token-VerwaltungOpenSourceflexible Anbindung via RADIUS, SAML und LDAP-Proxykostenpflichtiger Windows Credential Providereigene App für Software-Token (SHA1/SHA256/SHA512)Vielzahl an Token wird unterstütztmit Authentication Policy „otppin userstore“ können nahezu beliebigeApps MFA-fähig gemacht werden („Passwort OTP“)26Quelle: ial-provider/

AgendaHome-Office bei der Thomas-Krenn.AGder häusliche ArbeitsplatzRemote Zugang DesktopPasswörter und 2FATelefonie/VOIP und Kommunikations-ToolsTragbare IT-Systeme (Notebook, Smartphone)Sensibilisierung der Mitarbeiter27

Telefonie/VOIP und Kommunikations-ToolsKlassische Telefonanlage im Home-Officeoft nur Weiterleitung der DW an Handy/Festnetz als Option?VOIPZugriff auch im Home-Office möglichVOIP-Server sollte nicht offen im Internet stehenVerschlüsselung soweit möglich verwendenLimitierung auf fixe IP-Adressen oder via VPN(vorallem ohne Verschlüsselung)Session Initiation Protocol (SIP): TCP/UDP Port 5060, 5061(TLS)Real-time Transport Protocol (RTP) und Secure RTP (SRTP), UDP, Port 1024Schlüsselaustauch von SRTP erfolgt via SDP/SIPAlternative dazu ist DTLS (TLS over UDP)28Quelle: 01/Grafik Verschl%C3%BCsselung VoIP Gespr%C3%A4che 13 02.png

Telefonie/VOIP und Kommunikations-ToolsKommunikations-ToolsOn Premise und Open Source:Openfire Server: XMPP-Server für Instant Messagingz.b. Spark oder Pidgin als Client– TLS möglich, Chat-Verlauf und IM-Account Passwort unverschlüsseltNextcloud Talk–WebRTC mit Peer-to-Peer (4-6 TN), High Performance Backend kostenpflichtig– End-to-end encryption (E2EE) ohne High-performance Backend (HPB)– HPB kann selbst gehostet werden– Video Verification für DokumenteJitsi Meeting––––Quelle: https://onsip.com1:1 Meetings mit DTLS-SRTP für Audio, Video verschlüsseltgrößere Meetings auf Jitsi Videobridge zentral entschlüsseltE2EE in Arbeit mit neuem insertable stream API von ChromeQuelle: https://github.com/nextcloud/spreed/#scalability29

Telefonie/VOIP und Kommunikations-ToolsGehostete Lösungen für UnternehmenseinsatzBSI Kompendium Videokonferenzsysteme (vom 14.4.2020)Microsoft TeamsSkype for Business wurde integriert, keine On-Premise Optionseit Ende März ist auch ein Chat/Anruf von Teams an Skype-User möglichviele Unternehmensfeatures, Telefonanlage auch integrierbar, kein E2EEZoomVideo-Konferenz (max. 300 Teilnehmer, dzt 9 Videos gleichzeitig) wird noch 2020 auf 49 gleichzeitige Videos erhöhtfür Video-Konferenzen, bis zu 49 Videos gleichzeitigrasant gewachsen, einige Sicherheitsprobleme, z.B. Zoom-BombingE2EE seit Juni optional möglichGoogle Meetkein E2EE, 16 gleichzeitige Videos30Quelle: eenshots-22923.html

Telefonie/VOIP und Kommunikations-ToolsNicht speziell für UnternehmenseinsatzSkypeDesktop-Sharing, Video-Konferenz (max. 50 Teilnehmer, 9 Videos gleichzeitig)alle übertragenen Daten verschlüsselt, private Schlüssel liegen bei Microsoft, kein E2EEWhatsAppVideo-Konferenz mit max. 4 Teilnehmern, in aktuellster Version 8 TeilnehmerVideo nur via Smartphone-App, nicht in Web-Whatsappfür Unternehmenseinsatz nur bedingt zu empfehlensiehe https://heise.de/-3082090E2EE, Nachrichten auch am Smartphone verschlüsselt gespeichertBackups in GDrive/iCloud unverschlüsseltTelegram, Signalfreie Alternative zu WhatsApp, E2EE-Option31Quelle: https://www.igniterealtime.org und lls-now-support-8-participants

AgendaHome-Office bei der Thomas-Krenn.AGder häusliche ArbeitsplatzRemote Zugang DesktopPasswörter und 2FATelefonie/VOIP und Kommunikations-ToolsTragbare IT-Systeme (Notebook, Smartphone)Sensibilisierung der Mitarbeiter32

Tragbare IT-Systeme (Notebook, Smartphone)BSI IT-Grundschutz Bausteine/Maßnahmen:INF.9.M5 Zeitnahe VerlustmeldungINF.9.M6 Entsorgung von vertraulichen InformationenINF.9.M9 Verschlüsselung tragbarer IT-Systeme und DatenträgerINF.9.M10 Einsatz von DiebstahlsicherungenINF.9.M11 Verbot der Nutzung unsicherer UmgebungenOPS.1.2.7 Verkauf/Aussonderung von ITSYS.3.2.2 Mobile Device Management33

Tragbare IT-Systeme (Notebook, Smartphone)Bring your own device (BYOD) oder firmeneigene Hardwareseit MS Exchange 2010 gibt es ActiveSync Quarantänemit Remote WipeMS Intunesehr umfassende cloudbasierte LösungLizenzierung nur über Abo-Modell möglichVMware Workspace ONEUnified Endpoint Management (UEM)Airwatch wurde integriertOPSWAT end-point compliance checkLizenzierung pro User/Gerät34Quelle: activesync-particular-user-on-exchange-2013-2016

AgendaHome-Office bei der Thomas-Krenn.AGder häusliche ArbeitsplatzRemote Zugang DesktopPasswörter und 2FATelefonie/VOIP und Kommunikations-ToolsTragbare IT-Systeme (Notebook, Smartphone)Sensibilisierung der Mitarbeiter35

Sensibilisierung der e/IT-Notfallkarte/it-notfallkarte node.htmlCheckliste Home-Office mit 7 khoffice frage1 node.htmlAwareness gerade im Home-Office umsowichtiger36

„If you think technology can solve your security problems, then youdon't understand the problems and you don't understand thetechnology.“ Bruce Schneier, 200037

Produkte und Lösungen von Thomas KrennProdukte und ents/zero-thin-clients.htmlWebinare zu dem truktur#buylocal n-mittelstand/38

Vielen Dank für IhreAufmerksamkeit!39

Telefonie/VOIP und Kommunikations-Tools _ Klassische Telefonanlage im Home-Office _ oft nur Weiterleitung der DW an Handy/Festnetz als Option? _ VOIP _ Zugriff auch im Home-Office möglich _ VOIP-Server sollte nicht offen im Internet stehen _ Verschlüsselung soweit möglich