X-WiN Confidential - DFN-Verein

Weitere Magazine

Empfehlungen

Info

38 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT stellung des Zertifikats durchgeführt. Dies wurde einmal bei der DFN-PCA in Hamburg selber und am Ende des Audits noch einmal bei einem Teilnehmer der DFN-PKI vor Ort durchgeführt. Die IT-Sicherheit wird durch die theoretische Bewertung der Sicherheitsmaßnahmen, aber auch durch konkrete Netzwerkscans und Penetration Tests überprüft. Am Ende des dreitägigen Vor-Ort Audits wurde vom Prüfer bereits vorab das Bestehen in Aussicht gestellt. Das formale positive Ergebnis war erst einige Zeit später verfügbar: Der TÜViT muss nach einem Audit erst noch interne Qualitätssicherungsmaßnahmen durchführen, bei denen ein am bisherigen Audit nicht beteiligter Mitarbeiter das gesamte Prüfergebnis noch einmal auf Plausibilität prüft. Diese interne Prüfung wird dann in einem formalen Akt mit der auch hier sogenannten Zertifizierung abgeschlossen, und es wird sogar ein Zertifikat ausgestellt: Eine Urkunde mit einer Unterschrift des Leiters der Zertifizierungsstelle (nicht zu verwechseln mit einer CA, die digitale Zertifikate ausstellt). Dieser letzte Schritt konnte dann Anfang Dezember 2012 abgeschlossen werden. Gültigkeit des Audits Jedes Zertifikat zu einem Audit hat nur eine beschränkte Gültigkeit von einem Jahr. Vor Ablauf des Jahres muss in einem erneuten Audit-Prozess nachgewiesen werden, dass die Prozesse der CA nicht inzwischen vom Prüfstandard abweichen. Deshalb wird auch im Herbst 2013 wieder ein Audit bei der DFN-PCA stattfinden. Im Prinzip sollte dieses Re-Audit keinerlei Überraschungen bieten und mit einem relativ geringen Aufwand und vor allem ohne weiteren Aufwand bei den Teilnehmern der DFN-PKI zu absolvieren sein. Vorteile für DFN-Anwender Wo bringt das Audit jetzt Vorteile? Schließlich war der Auditprozess mit nicht unerheblichen Mehraufwänden beim DFN, aber auch bei den an der DFN-PKI teilnehmenden Anwendern verbunden. Notwendige Änderungen wurden zwar so weit wie möglich in der DFN-PCA intern umgesetzt, um die Aufwände bei den Anwendern zu minimieren. Trotzdem ließen sich einige Aspekte nur durch die Änderung von Prozessen bei den Anwendern umsetzen. Umstellungen durch zwei neue Policy-Versionen, durch personengebundene Teilnehmerservice-Mitarbeiter-Zertifikate und durch geänderte Archivierungsfristen haben sicherlich auch bei den Anwendern für einige Arbeit gesorgt. Den Mehraufwänden stehen aber viele Vorteile gegenüber: Gerade in diesem sicherheitskritischen Bereich ist es sehr wertvoll, eine Bestätigung von unabhängiger Seite über die Güte der Dienstleistung zu haben. Nur eine Überprüfung der Prozesse und der eingesetzten Technik durch Dritte gewährleistet einen langfristig sicheren Betrieb. Darüber hinaus entwickeln sich die Anforderungen der Softwarehersteller weiter, so dass ein bestandenes Audit Voraussetzung für den Selbst-Betrieb einer Zertifizierungsstelle mit Browser-Verankerung ist. Damit haben wir durch den Audit-Prozess sichergestellt, dass auch in den kommenden Jahren browserverankerte Zertifikate in der DFN-PKI in der gewohnten Flexibilität und in dem hohen Volumen ausgestellt werden können. Fazit Trotz der auf den ersten Blick recht langen Dauer von eineinhalb Jahren und dem beträchtlichen Aufwand lief das Audit ohne größere Schwierigkeiten ab, was auch an dem bereits vorher realisierten hohen Sicherheitsniveau liegt. Dank der engagierten Mitarbeit der DFN-PKI-Teilnehmer konnten auch aufwändige Schritte wie der Austausch von Teilnehmerservice-Mitarbeiter-Zertifikaten in kurzer Zeit durchgeführt werden. Mit dem Audit und der Zertifizierung nach ETSI TS 102 042 hat sich die kontinuierliche Weiterentwicklung der DFN-PKI der letzten Jahre fortgesetzt, so dass wir für die Zukunft gut gerüstet sind. M „CA/Browser Forum“ Das CA/Browser Forum ist ein Konsortium von Browserherstellern und CA-Betreibern. Das CA/Browser Forum legt Richtlinien fest, nach denen browserverankerte CAs vorgehen sollen, um ein ausreichendes Sicherheits- und Vertrauensniveau für SSL-Zertifikate sicherzustellen. Ursprünglich wurde im CA/Browser Forum das Vorgehen zur Ausstellung von sogenannten „Extended Validation“-Zertifikaten definiert. Diese Regelungen hatten somit erst einmal keine Auswirkungen auf die DFN-PKI. Durch die Sicherheitsvorfälle der Jahre 2011 und 2012 bei browserverankerten CAs wurden aber auch die Aktivitäten beschleunigt, Anforderungen für nicht-EV-Zertifikate zu definieren. Am 1. Juli 2012 traten diese „Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates“ in Kraft. Die Mitglieder des CA/Browserforums verpflichteten sich selber zur sofortigen Einhaltung, andere CAs wurden anschließend durch die Anpassung der Root-Programme der Browserhersteller hierzu verpflichtet.
SICHERHEIT | DFN Mitteilungen Ausgabe 84 | 39 Sicherheit aktuell Text: Heike Ausserfeld, Dr. Ralf Gröper (DFN-Verein) IPv6 in der DFN-PKI Im Rahmen der DFN-Betriebstagung wurde Anfang März 2009 das neue DFN-CERT Portal bereitgestellt. Über dieses Portal erhalten Anwender einfachen Zugriff auf die Dienste, die im Rahmen des DFN-CERT zur Verfügung gestellt werden. Im ersten Schritt wurden die bekannten „Automatischen Warnmeldungen“ funktional erweitert und in das Portal integriert. Einen ausführlichen Bericht hierzu gibt es in diesen DFN-Mitteilungen. M Interne Hostnamen in der DFN-PKI Viele Einrichtungen haben interne Server-Strukturen, für die Zertifikate mit Namen ausgestellt werden, die nur eine interne Bedeutung haben: Beispielsweise CN=exchange.local oder CN=mail, oder aber interne IP-Adressen wie 10.0.0.1. Bis 2012 konnten diese Namen in der DFN-PKI und bei kommerziellen Zertifizierungsstellen uneingeschränkt verwendet werden. Dieses Vorgehen ist in Zukunft durch die Baseline Requirements des CA/Browser Forums nicht mehr zulässig. Daher werden seit der Version 2.3 der Policy der DFN-PKI vom 26.6.2012 Server-Zertifikate mit solchen Namen automatisch nur noch mit einem Ablaufdatum bis zum 01.11.2015 ausgestellt. Bereits ausgestellte Zertifikate dieser Art müssen durch die DFN-PCA spätestens am 01.10.2016 gesperrt werden. Diese Regelung betrifft nicht nur die DFN-PKI, sondern auch alle anderen CAs mit einer Browser-Verankerung. Für die DFN-Anwender bedeutet das, dass sie ihre internen Dienste, die nicht mit weltweit auflösbaren FQDNs oder mit registrierten IP-Adressen versehen sind, ab 2015 nicht mehr mit im Browser verankerten Zertifikaten versehen können. Ein allgemeingültiger Migrationspfad für Anwender, die solche Zertifikate verwenden, kann nicht angegeben werden, aber der DFN und die DFN-PCA unterstützen die Anwender natürlich dabei, eine für ihre Einrichtung passende Lösung zu finden. M Vertipper-Domains Dem DFN-CERT wurden im März 2013 mehrere bei der Denic registrierte ‚Vertipper‘- Domains gemeldet. Diese beziehen sich auf unterschiedliche Einrichtungen und sind immer in der gleichen Art aufgebaut: rz-*. de, also beispielsweise „rz-uni-musterstadt. de“. Die Domains wurden von zwei bekannten Domain-Grabbern registriert und werden hauptsächlich bei Sedo vermarktet. Eine mögliche Gefahr besteht, falls die Domains auf einen Server zeigen, auf dem beispielsweise eine Phishing-Seite oder SSH-Zugang eingerichtet ist und die eingegebenen Daten unbedarfter Nutzer aufgezeichnet werden. Die betroffenen Einrichtungen wurden vom DFN-CERT informiert und können über das Widerspruchsverfahren bei der Denic die Löschung bzw. Übernahme der Domains beantragen. M Netzwerkdrucker als DDoS-Waffe Im April wurde dem DFN-CERT die Beteiligung von mehreren IP-Adressen an DDoS-Angriffen gemeldet. Die Untersuchung zeigte, dass unter diesen IP-Adressen Drucker und ähnliche Geräte mit (Web-)Konfigurationsschnittstellen vom öffentlichen Internet heraus erreichbar waren. Diese Schnittstellen stellen eine hohe Einbruchsgefahr dar, da sie oftmals in der Werkskonfiguration mit bekannten Standard-Benutzernamen und Passwörtern versehen sind und zudem häufig ausnutzbare Schwachstellen enthalten. Solche von außen erreichbare Geräte werden mit hoher Wahrscheinlichkeit angegriffen, da sie von Suchmaschinen indiziert werden und somit mittels einer einfachen Suchmaschinen-Abfrage gefunden werden können. Mit dem Netzwerkprüfer im DFN-CERT Portal können Anwender im Voraus erkennen, welche Systeme in ihren Netzen von außen sichtbar sind und so Drucker und ähnliche Systeme durch entsprechende Firewall-Regeln gegen derartige Angriffe schützen. M Kontakt Wenn Sie Fragen oder Kommentare zum Thema „Sicher heit im DFN“ haben, schicken Sie bitte eine Mail an sicherheit@dfn.de.
Seite 1 und 2: Deutsches Forschungsnetz Mitteilung
Seite 3 und 4: Niels Hersoug and Matthew Scott, DA
Seite 5 und 6: DFN Mitteilungen Ausgabe 84 | 5 Inh
Seite 7 und 8: WISSENSCHAFTSNETZ | DFN Mitteilunge
Seite 19 und 20: INTERNATIONAL | DFN Mitteilungen Au
Seite 27 und 28: CAMPUS | DFN Mitteilungen Ausgabe 8
Seite 29 und 30: CAMPUS | DFN Mitteilungen Ausgabe 8
Seite 31 und 32: SICHERHEIT | DFN Mitteilungen Ausga
Seite 37: SICHERHEIT | DFN Mitteilungen Ausga
Seite 41 und 42: RECHT | DFN Mitteilungen Ausgabe 84
Seite 51 und 52: DFN-VEREIN | DFN Mitteilungen Ausga
Seite 53 und 54: DFN-VEREIN | DFN Mitteilungen Ausga

X-WiN Confidential - DFN-Verein

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?