Search and Find
Service
More of the content
Security@Work - Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis
Vorwort
7
Inhaltsverzeichnis
9
1 Einleitung
14
1.1 Für wen dieses Buch interessant ist
15
1.2 Warum dieses Buch entstand
15
1.3 Was dieses Buch leistet
16
1.4 Was dieses Buch nicht bietet
18
1.5 Wie dieses Buch gelesen werden sollte
18
1.6 Konventionen im Buch
19
1.7 Randgedanken
19
Teil I Einführung in das Thema ”IT-Sicherheit“
22
2 Was ist ”IT-Sicherheit“?
24
2.1 Versuch einer Herleitung
25
2.1.1 ”Sicherheit“ im Alltag
25
2.1.2 ”IT“
28
2.2 Sicherheitsgrundbedürfnisse
32
2.2.1 Verfügbarkeit
32
2.2.2 Verlässlichkeit
33
2.2.3 Vertraulichkeit
35
2.3 Begriffsdefinition
35
3 IT-Sicherheit im Kontext
38
3.1 Der allgemeine Kontext
38
3.2 Schutzbedarf
39
3.3 Schutzziele
41
3.3.1 Integrität
43
3.3.2 Verfügbarkeit
43
3.3.3 Vertraulichkeit
44
3.3.4 Weitere Zielsetzungen
44
3.4 Schutzmaßnahmen
45
3.4.1 Konfiguration
46
3.4.2 Überwachung
46
3.4.3 Alarmierung
48
3.4.4 Reaktion
52
4 Ideen für eine Laborumgebung
56
4.1 Logische Struktur
57
4.1.1 Netzwerkzone DMZ
58
4.1.2 Netzwerkzone LAN
60
5 Bedrohungen
62
5.1 Motivation der Angreifer
62
5.1.1 Habgier
63
5.1.2 Neugier
64
5.1.3 Spionage
65
5.1.4 Vergeltung/Sabotage
66
5.1.5 Konspiration
67
5.2 Das Ebenenmodell der Bedrohungsarten
68
5.2.1 Anwendungsebene
70
5.2.2 Protokollebene
70
5.2.3 Ressourcenebene
72
5.3 Technische Bedrohungskategorien
73
5.3.1 Denial of Service
73
5.3.2 Code Injection
77
5.3.4 Spoofing und Session Hijacking
81
5.3.5 Poisoning
88
5.3.6 Flooding
88
5.3.7 Malicious Content
89
5.4 Social Engineering
94
5.5 Zusammenfassung
95
Teil II Methodische Grundlagen zur Modellierung und Umsetzung von IT-Sicherheit
98
6 Anforderungsableitung und -definition
102
6.1 Einleitung
102
6.2 Exkurs: Bundesdatenschutzgesetz (BDSG)
102
6.3 Ausgangssituation
104
6.4 Analyse von Organisation- und IT-Struktur
106
6.5 Anregungen
108
7 Sicherheitsanalyse
110
7.1 Einleitung
110
7.2 Zielsetzung
110
7.3 Vorgehensweise
111
7.4 Ist-Erhebung
111
7.5 Schutzbedarfserhebung
112
7.5.1 Ableitung von Schutzbedarfskategorien
112
7.5.2 Festlegung des Schutzbedarfs
112
7.6 Ableitung Soll-Modell
113
7.6.1 IT-Sicherheitsrichtlinie / Security-Policy
113
7.6.2 Priorisierung
115
7.6.3 Zuordnung von Maßnahmen
116
7.6.4 Restrisikoanalysen
116
7.7 Ergebnisumfang
117
8 Anwendung der Sicherheitsanalyse
120
8.1 Einführung
120
8.2 Vorgehen
120
8.3 Bedrohungs- und Gefahrenpotentialanalyse
120
8.4 Sicherheitscheck
122
8.5 Ableitung Handlungsbedarf
122
9 Überprüfung und Bewertung von IT-Sicherheit
124
9.1 Vorbemerkungen
124
9.2 Prüfung ist notwendig, Evaluierung nutzbringender!
124
9.3 Assessments
126
9.3.1 Self-Assessment
126
9.3.2 Vulnerability-Assessment
126
9.3.3 Penetration-Assessment
126
9.3.4 Risk-Assessment
127
9.4 Audits
127
9.4.1 Internes Audit
127
9.4.2 Externes Audit
127
9.5 Möglichkeiten einer Tool-Unterstützung
128
10 IT-Sicherheitskonzept
130
10.1 Überblick
130
10.1.1 Kapitel 1 und 2 – Administrativa und Überblick
131
10.1.2 Kapitel 3 – Fokus
132
10.1.3 Kapitel 4 – Systemarchitektur
132
10.1.4 Kapitel 5 – Schutzbedarf
133
10.1.5 Kapitel 6 – Anzuwendende Vorgaben
134
10.1.6 Kapitel 7 – Anforderungen
134
10.1.7 Kapitel 8 – Implementierungsvorgaben
136
10.1.8 Kapitel 9 – Restrisiken
137
10.1.10 Sonstige Konzepte und Querverweise
139
10.2 Exkurs: Erstrealisierung von IT-Sicherheit
141
11 Standards zur IT-Sicherheit und Regulatory Compliance
142
11.1 Was hat IT-Sicherheit mit Regulatory Compliance zu tun?
142
11.2 Regulatory Compliance
143
11.2.1 Allgmeine Gesetze und Regelungen in der BRD
143
11.2.2 Fachspezi.sche Gesetze und Regelungen in der BRD
145
11.2.3 Ausl¨andische Gesetze und Regelungen
148
11.2.4 Allgemeine Standards
151
11.3 Standards zur IT-Sicherheit
152
11.3.1 ISO-Standards
152
11.3.2 BSI-Standards
154
11.4 Weitere Technologie- und Methodenstandards mit Bezug zur IT-Sicherheit
157
11.4.1 Querschnittliche Methoden und Standards
157
11.4.2 NIST-Methoden und -Standards
161
11.4.3 Open Source Community / Freie Projekte
163
Teil III Etablierung einer Grundabsicherung
165
12 Methodische Vorgehensweise zur Umsetzung technischer Maßnahmen
166
12.1 Konzeption und PoC
168
12.2 Implementierung und Ausbringung
173
12.3 Betrieb
173
13 Grundlagen zur Härtung von Systemen
176
13.1 Zielsetzung
178
13.2 Betriebskonzeption
178
13.3 Konzeptionelle H¨artung des Betriebssystems
180
13.3.1 Ressourcenverwaltung
181
13.3.2 Der Kernel
184
13.3.3 Benutzerverwaltung
193
13.3.4 Berechtigungskonzepte
196
13.3.5 Installation
203
13.4 Konzeptionelle H¨artung systemnaher Dienste
208
13.5 Virtualisierung
211
13.5.1 LPAR
212
13.5.2 chroot
212
13.5.3 jails, UML, vserver
213
13.5.4 Virtuelle Hardware
214
13.5.5 Einsatzgebiete
214
14 Grundlagen zur Absicherung von Netzen
216
14.1 Netzwerkgrundlagen
219
14.1.1 Das ISO/OSI-Modell
220
14.2 Ethernet
223
14.2.1 Zugang zum Medium
223
14.2.2 Adressierung
225
14.2.3 Zugriffskontrolle
227
14.2.4 Zusammenfassung
228
14.3 TCP/IP
229
14.4 Übergreifende Absicherung von Netzen und Datenverkehr
230
14.4.1 Anbindung von Systemen an Netze
230
14.4.2 Absicherung von Endger¨aten auf Systemebene
232
14.4.3 Absicherung von Netzwerkverkehr
235
14.4.4 Absicherung des Zugangs zu Diensten und Anwendungen
237
14.4.5 Datentransfer und -haltung auf Anwendungsebene
239
14.4.6 Gedanken zum integrierten Betrieb
240
15 Querschnittsbetrachtungen zur Absicherung des Betriebs
242
15.1 Best Practices
242
15.1.1 NTARS
243
15.1.2 Think Twice
244
15.1.3 Konfigurationsänderungen
244
15.1.4 Installationen
245
15.1.5 Informationsbescha.ung
246
15.1.6 Gesunde Paranoia
246
15.2 Systems Management
247
15.2.1 Monitoring
247
15.2.2 Event Management und Resolution
248
15.2.3 Con.guration Management
249
15.2.4 Software Distribution
250
15.3 Dokumentation
252
15.3.1 Inhalte
253
15.3.2 Umfang
254
15.3.3 Aufbau und Form
255
15.3.4 Ablage
256
15.4 Information Flow Control
258
15.5 ”Externe“
260
15.5.1 Dienstleister
261
15.5.2 Mitarbeiter
262
15.6 Worst Practices
264
15.6.1 Security by Obscurity
264
15.6.2 Sorglosigkeit
265
15.6.3 Inselmentalit¨at
266
Teil IV Absicherung von Peripheriediensten
268
16 Überblick und Szenarien
270
16.1 Uberblick
270
16.2 Szenarien
271
17 Datensicherung
272
17.1 Allgemeine Anforderungen und Lösungen
272
17.1.1 Methoden und Verfahren zur Datensicherung
273
17.1.2 Datenhaltung und Kategorien von Daten
275
17.2 Anforderungen an Datensicherungsimplementierungen
275
17.2.1 Kommunikationswege
276
17.2.2 Verschlüsselung von Datensicherungsdaten
276
17.2.3 Datensicherungsserver
277
17.2.4 Datensicherungsklient
278
17.2.5 Datenhaltung
279
18 Verzeichnisdienste
280
18.1 Historie und Einsatzfelder
280
18.1.1 System- und Benutzerverwaltung
281
18.1.2 Rollen- und Berechtigungsverwaltung im Anwendungsumfeld
282
18.1.3 Benutzeranmeldung
282
18.1.4 Verwaltung von Metadaten
284
18.1.5 Next Generation Tools: Access und Identity Management
284
18.1.6 Zertifikate und Verzeichnisdienste
285
18.2 Architekturempfehlungen hinsichtlich Betriebsf uhrung
286
18.2.1 Datenladung und Platzierung von Verzeichnisdiensten
286
18.2.2 Kommunikation mit Verzeichnisdiensten
286
19 RDBMS
288
19.1 Betriebssysteme und Datenbanken
289
19.2 Kommunikation mit Datenbanken über Schnittstellen
290
19.3 Datenhaltung und Zugri.
290
19.4 Kryptologie im RDBMS-Umfeld
291
20 Interpretersprachen zur Web-Ausgabe
292
20.1 Mögliche Schwachstellen
293
20.1.1 Allgemeines
293
20.1.2 Vulnerabilities des PHP-Interpreter
293
20.1.3 Benutzereingaben
294
20.1.4 Dateinamen
294
20.1.5 Variante 1: Lokale Dateien
294
20.1.6 Variante 2: Entfernte Dateien
295
20.1.7 Eingabe von Werten mittels eval()
295
20.1.8 Umgebungs- und Laufzeitvariablen
296
20.1.9 Aufruf externer Programme
297
20.1.10 Datenbankzugri.e
298
20.2 Übergreifende Lösungsansätze
298
20.2.1 Allgemeine PHP-Kon.guration
299
20.2.2 PHP Safe Mode
300
20.2.3 Include-Dateien
301
20.2.4 Auslagern von sensitiven Daten
302
20.2.5 Filterung von Benutzereingaben
302
20.2.6 Handhabung von Benutzersitzungen
303
20.2.7 HTTP-Authentisierung
303
20.2.8 Credential-Authentisierung
304
20.2.9 Verfolgung von Benutzeraktivitäten
305
20.2.10 Berechtigungssysteme
305
21 Web Application Server
308
21.1 Einleitung
308
21.2 Plattform
308
21.3 Technische Aspekte zur Absicherung
310
21.3.1 Dislozierung in Netzwerkzonen
310
21.3.2 J2EE-Server
310
21.3.3 CVS und Entwicklungstools
311
21.4 Betriebliche Aspekte zur Absicherung
311
21.4.1 Transportwesen und Release Management
311
21.4.2 Überwachung Laufzeitverhalten
312
21.4.3 Security by Policy
312
22 Exkurs: Technische Sicherheit von Web-Inhalten
314
22.1 Aktive Inhalte
315
22.1.1 Java-Applets
315
22.1.2 JavaScript
317
22.1.3 ActiveX und Visual Basic Script
318
22.1.4 Macromedia Flash und sonstige Plug-ins
319
22.2 Dynamische Inhalte
320
Teil V Spezielle Sicherheitsdienste
323
23 Betrachtung spezieller Sicherheitsdienster
325
24 Proxy-Dienste
326
24.1 Grundfunktionalität
326
25 Content-Filter
328
25.1 Funktionsweise
328
26 Eindringlingserkennung
330
26.1 Arten von IDS
330
26.1.1 Network Based IDS
330
26.1.2 Host Based IDS
331
26.1.3 Web Based IDS
331
26.1.4 Grundlegende Architektur
331
26.2 Funktionsweisen
332
26.2.1 Signaturerkennung
332
26.2.2 Anomalieerkennung
332
26.2.3 Wirtschaftlichkeit versus Motivation
333
Teil VI Abschluss
335
27 Reflexion und Ausblick
336
Teil VII Anhänge
338
Literaturverzeichnis
340
Sachverzeichnis
342
All prices incl. VAT