Rohde & Schwarz SIT - IHK Nürnberg für Mittelfranken
Rohde & Schwarz SIT - IHK Nürnberg für Mittelfranken
Rohde & Schwarz SIT - IHK Nürnberg für Mittelfranken
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Rohde</strong> & <strong>Schwarz</strong> <strong>SIT</strong><br />
Verschlüsselung in der Praxis<br />
<strong>IHK</strong> <strong>Nürnberg</strong><br />
It-sa 2013<br />
Dirk Kretzschmar<br />
Leiter Vertrieb und Entwicklung Kryptosysteme<br />
<strong>Rohde</strong> & <strong>Schwarz</strong> GmbH<br />
Am Studio 3<br />
12489 Berlin
<strong>Rohde</strong> & <strong>Schwarz</strong> <strong>SIT</strong> GmbH<br />
Überblick<br />
ı Gegründet 1991<br />
ı in Adlershof seit 2001<br />
ı 130 Mitarbeiter (Mathematiker, Informatiker und<br />
Ingenieure)<br />
ı Standorte in Berlin und Stuttgart<br />
ı 100%ige Tochter der <strong>Rohde</strong> & <strong>Schwarz</strong><br />
ı Gesicherte, behördlich geprüfte Produktion in den<br />
Werken von <strong>Rohde</strong> & <strong>Schwarz</strong><br />
ı Weltweiter Service, Support und Vertrieb durch die<br />
<strong>Rohde</strong> & <strong>Schwarz</strong> - Gruppe
<strong>Rohde</strong> & <strong>Schwarz</strong> <strong>SIT</strong> ist seit 2004<br />
IT-Sicherheitspartner der Bundesregierung
<strong>Rohde</strong> & <strong>Schwarz</strong> <strong>SIT</strong>:<br />
Der Experte <strong>für</strong> IT-Sicherheit<br />
ı Lösungen <strong>für</strong><br />
Unternehmen<br />
Kritische Infrastruktur<br />
Öffentlichen Sektor<br />
Militär<br />
ı Produktsegmente<br />
Ende-zu-Ende - Absicherung<br />
Netzwerkkommunikations-Sicherheit<br />
Netzwerkinfrastruktur-Sicherheit<br />
ı Technologie<br />
Kryptografische Kompetenz<br />
Eigenentwickelte Hardware<br />
Software-definierte Kryptografie
Lösungen <strong>für</strong><br />
l<br />
Unternehmen<br />
l Hochtechnologie<br />
l Finanzsektor<br />
l Dienstleistungen<br />
ı Öffentlicher Sektor<br />
Regierung, Ministerien<br />
Verwaltung<br />
(Bund, Länder, Kommunen)<br />
Auslandsvertretungen<br />
BOS<br />
l<br />
Kritische Infrastruktur<br />
l<br />
Militärische Organisationen<br />
l<br />
l<br />
l<br />
Versorger<br />
(Energie, Wasser etc.)<br />
Transport und Verkehr<br />
Kommunikation<br />
l<br />
l<br />
l<br />
l<br />
Marine<br />
Luftwaffe<br />
Heer<br />
Streitkräftebasis
Agenda<br />
Ende-zu-Ende -<br />
Kommunikationsschutz<br />
Netzwerk-<br />
Kommunikationsschutz<br />
Netzwerk-<br />
Infrastrukturschutz
Selected areas of vulnerability by Cyber Attacks<br />
Company<br />
Access<br />
In- out traffic<br />
Network Transport<br />
Data<br />
Storage<br />
Company<br />
HQ<br />
network<br />
Public<br />
Network,<br />
Leased Lines,<br />
Internet<br />
Company<br />
Subsidiary<br />
network<br />
Business<br />
Partner<br />
network<br />
Mobile Voice<br />
Communication<br />
Cloud<br />
Services<br />
AFCEA Meeting Lisbon Sep 12th, 2013
Selected areas of vulnerability by Cyber Attacks<br />
Company<br />
Access<br />
In- out traffic<br />
Company<br />
HQ<br />
network<br />
Public<br />
Network,<br />
Leased Lines,<br />
Internet<br />
Company<br />
Subsidiary<br />
network<br />
Business<br />
Partner<br />
network<br />
Cloud<br />
Services<br />
AFCEA Meeting Lisbon Sep 12th, 2013
Next Generation Firewall<br />
– Thread Prevention<br />
AFCEA Meeting Lisbon Sep 12th, 2013
Next Generation Firewall<br />
– App/Protocol selection<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
AFCEA Meeting Lisbon Sep 12th, 2013
Imagine we had this….<br />
X-Ray Safety<br />
AFCEA Meeting Lisbon Sep 12th, 2013
Passagierkontrollen am Flughafen als Modell <strong>für</strong><br />
Internet- und Cloud-Firewalls<br />
Person ok?<br />
17/09/2012 19:10<br />
Person von A nach B<br />
Gepäck ok?<br />
17/09/2012 19:10<br />
Person von A nach B<br />
Gepäck ok?<br />
17/09/2012 19:10<br />
Person von A nach B<br />
Firewall 1. Generation Firewall 2. Generation Firewall 3. Generation
Firewalls der dritten Generation können Internetund<br />
Cloud Anwendungen erkennen<br />
ı Permanentes Monitoring Ihres gesamten Internet-, Intranet- und Cloud-<br />
Datenverkehrs auf Anwendungsebene<br />
z.B. Facebook, Dropbox, Amazon Web Services<br />
ı Mögliche Behandlung der Anwendungen<br />
Durchlassen<br />
Zurückweisen oder Pakete stillschweigend löschen<br />
Zugriff protokollieren<br />
ı Nutzergruppen- und benutzerfeine Rechtevergabe<br />
Z.B. Vertrieb nutzt Dropbox, Entwicklung nicht<br />
ı Maximale Sicherheit <strong>für</strong> kritische Bereiche durch Applikations-Whitelisting
Selected areas of vulnerability by Cyber Attacks<br />
Network Transport<br />
Company<br />
HQ<br />
network<br />
Public<br />
Network,<br />
Leased Lines,<br />
Internet<br />
Company<br />
Subsidiary<br />
network<br />
Business<br />
Partner<br />
network<br />
AFCEA Meeting Lisbon Sep 12th, 2013
Carrier Ethernet – Vernetzung kann<br />
Ihre Betriebskosten reduzieren<br />
ı Ethernet Service “verlängert” lokales Netzwerk (LAN) einfach auf<br />
andere Standorte<br />
ı Keine separaten IP-Subnetze erforderlich<br />
ı Leichter Wechsel des Carriers möglich<br />
ohne IP Neukonfiguration<br />
Carrier Ethernet<br />
Standort 2<br />
Rechenzentrum<br />
Standort 1<br />
Firmensitz
Carrier Ethernet – Verschlüsselung lässt<br />
sich transparent ins WAN integrieren<br />
ı Sicherheit ist transparent <strong>für</strong> alle Netzwerkgeräte<br />
ı Geringere Latenz als bei IP-Verschlüsselung<br />
ı Volle Bandbreite bleibt erhalten<br />
ı Auch <strong>für</strong> mehr als zwei Standorte<br />
geeignet (Multipunkt-Konzept)<br />
Carrier Ethernet<br />
Standort 2<br />
Rechenzentrum<br />
Standort 1<br />
Firmensitz
Netzwerk-Kommunikationssicherheit<br />
ı Effiziente Verschlüsselung von Verbindungen über<br />
öffentliche Netze (z.B. Internet, MPLS)<br />
Wide Area Networks<br />
Metropolitan Area Networks<br />
Satcom Networks<br />
ı Trennung von Netzwerk- und Verschlüsselungs-Geräten<br />
Sicherheitsvorteil: Ist der Router/Switch gehackt, bleibt<br />
die Verschlüsselung noch intakt<br />
Betriebskostenvorteil: unabhängiges Management von<br />
Router/Switch und Verschlüsselungsgerät
Ethernet encryption secures hardwired and wireless<br />
environments<br />
Fiber connections<br />
between and<br />
within sites<br />
Data center<br />
interconnection<br />
Radio relay and<br />
satellite links<br />
Rail control<br />
networks<br />
Bank CCTV<br />
networks<br />
• VoIP, VCF,<br />
database<br />
queries<br />
• Carrier/Metro<br />
Ethernet<br />
1 GbE/10 GbE<br />
• Radio relay/<br />
microwave<br />
transmission,<br />
satellite hops<br />
• Barriers,<br />
interlockings,<br />
signals<br />
switches<br />
• Video<br />
surveillance,<br />
access control<br />
Confidentiality<br />
Integrity<br />
15.10.2013 R&S <strong>SIT</strong>Line ETH Ethernet Encryptor 18
Selected areas of vulnerability by Cyber Attacks<br />
Company<br />
HQ<br />
network<br />
Public<br />
Network,<br />
Leased Lines,<br />
Internet<br />
Company<br />
Subsidiary<br />
network<br />
Business<br />
Partner<br />
network<br />
Mobile Voice<br />
Communication<br />
AFCEA Meeting Lisbon Sep 12th, 2013
Beispiel Ende-zu-Ende Sicherheit: innovative<br />
Smartphones sind ein leichtes Opfer <strong>für</strong> Angreifer<br />
Wireless interface<br />
Communication services<br />
Browser<br />
Baseband processor<br />
Multimedia player<br />
Operation system<br />
3rd party Apps<br />
User<br />
Remote<br />
Smart card<br />
SIM card<br />
Hardware interface<br />
Memory<br />
Firmware<br />
USB<br />
Quelle: Dr. Jens Heider, Rachid El<br />
Khayari (Fraunhofer Institut <strong>SIT</strong>)
Eigene Mitarbeiter und Smartphones bilden die<br />
größten IT Security Risiken in Unternehmen<br />
Multiple entries are possible, n = 202<br />
Source: IDC study: IT Security in Germany, 2011
Angriffspunkte zum Abhören der mobilen<br />
Gespräche in IP Netzen (VoIP)<br />
auf dem Mobilgerät<br />
auf der Basisstation<br />
im Internet<br />
IP / Internet<br />
auf dem WLAN Router<br />
auf dem VoIP-Server
Alternativen <strong>für</strong> mobile Sprach-Verschlüsselung<br />
Überblick Sicherheitsarchitekturen <strong>für</strong> Endgeräte<br />
hoch<br />
Spezielles<br />
“Krypto-Handy”<br />
Verschlüsselung extern<br />
- Standard-Endgerät<br />
- Offene App ohne Krypto<br />
- Schlüssel und Klartext nicht<br />
auslesbar<br />
Sicherheitsniveau<br />
MicroSD - Lösung<br />
- Smartcard<br />
- Gehärtetes Betriebssystem<br />
App<br />
Verschlüsselungs-App<br />
- Verschlüsselung per SW<br />
- Standard-Endgerät<br />
- Schlüssel und Klartext<br />
angreifbar<br />
niedrig<br />
Aktualität der Lösung<br />
hoch
Smartphones nutzen, die auf den Markt kommen<br />
Smartphones erreichen derartigen<br />
Mehrwert und Beliebtheitsgrad, dass<br />
viele Nutzer sich ein Leben ohne<br />
kaum vorstellen können<br />
Vielzahl an Smartphones<br />
adressieren sehr<br />
persönliche Nutzerverhalten
Hohe Flexibilität kombiniert mit leichter Bedienung<br />
Die Lösung besteht aus:<br />
Smartphones & Laptops<br />
(iPhones, Androids, Windows 7)<br />
TopSec Phone<br />
App<br />
TopSec Mobile<br />
l Optional: R&S ® VoIP-SERVER S110<br />
l Optional: TopSec Admin
Ende-zu-Ende Sprachverschlüsselung auf nicht<br />
gehärteten Plattformen (iPhone, Android)<br />
TopSec Mobile<br />
TopSec Mobile<br />
Verbunden via<br />
Bluetooth ®<br />
TopSec<br />
Phone App<br />
Verschlüsselte<br />
Sprache<br />
Internet<br />
Verbunden via<br />
Bluetooth ®<br />
LTE, UMTS,<br />
EDGE, Wi-Fi<br />
VoIP<br />
Server<br />
ı Verschlüsselung von TopSec Mobile zu TopSec Mobile (Ende-zu-Ende)<br />
ı Algorithmus, Schlüssel und Klartext sind nie im kommerziellen Gerät verfügbar<br />
ı Spyware im Smartphone kann nur verschlüsselte (nutzlose) Sprache abgreifen
Faustregeln <strong>für</strong> den Basisschutz vor Internet-<br />
Spionage<br />
Ende-zu-Ende -<br />
Kommunikationsschutz<br />
Mobile Geräte<br />
l<br />
l<br />
l<br />
Standard-Apps <strong>für</strong><br />
Standard-Aufgaben<br />
Ins Firmennetz und<br />
Internet nur über<br />
Zwangs-VPN<br />
Externer<br />
Sicherheitsanker <strong>für</strong><br />
gefährdete Dienste<br />
Netzwerk-<br />
Kommunikationsschutz<br />
Standortvernetzung<br />
l<br />
IP oder Ethernet mit<br />
separaten Appliances<br />
verschlüsseln<br />
Netzwerk-<br />
Infrastrukturschutz<br />
Internet- und Cloud-<br />
Nutzung<br />
l<br />
l<br />
Firewall mit<br />
Anwendungserkennung<br />
einsetzen<br />
Anwendungszugriff je<br />
nach Benutzergruppe<br />
freigeben
Faustregeln <strong>für</strong> den Basisschutz vor Internet-<br />
Spionage<br />
ı Mobile Geräte<br />
Standard-Apps <strong>für</strong> Standard-Aufgaben<br />
Ins Firmennetz und Internet nur über Zwangs-VPN<br />
Externer Sicherheitsanker <strong>für</strong> gefährdete Dienste<br />
ı Internet- und Cloud-Nutzung<br />
Firewall mit Anwendungserkennung<br />
Anwendungszugriff nach Benutzergruppen freigeben<br />
ı Standortvernetzung<br />
IP oder Ethernet durch separate Appliances verschlüsseln<br />
ı Mehr Info und Kontakt:<br />
www.sit.rohde-schwarz.com
Mehr Info und Kontakt:<br />
www.sit.rohde-schwarz.com
Change language