Tjenester for sensitive data ved UiO - TSD Espen Grøndahl IT-sikkerhetssjef, UiO
Agenda Om USIT Bakgrunn for prosjektene TSD 1.0 TSD 2.0 Noen utvalgte utfordringer Angrep på terminal servere Kjøring av vilkårlig kode i sikrede miljø
USIT - Universitetets senter for informasjonsteknologi En avdeling i sentraladministrasjonen ved UiO ~240 åv, ~250 mill. omsetning 2012 Leverer IT-tjenester for UiO og for UH sektoren FS, Cristin, Samordnaopptak med mer.
Om UiOs IT-systemer noen tall 84% Windows, 12% Mac OS X og 4% Linux ( på klient-siden ) Windows 2008 og Red Hat Enterprise Linux på server-siden. 6008 ansatte, 27414 studenter ( kilde: wikipedia ) 21000+ ip er på fastnettet, opp mot 12000 på trådløst pr. uke. Overgang til IP-telefoni. Pt. ca.1000 skal opp mot 11000. X * 10Gb internett forbindelse 50 000 000 logglinjer på sentral syslog server pr. døgn. Ingen brannmurer.
Bakgrunn UiO har en åpen nettstruktur, med fokus på automatisert og sentralisert drift. Bra sikkerhet vi har blitt herdet av å være åpne. Det meste av UiOs virke er åpen informasjon, og en ytterligere sikring og nedlåsing av infrastrukturen ville være et hinder for de fleste Det foregår en del behandling av denne type data på frittstående utstyr, eller det opereres i grenseland risikomessig på eksisterende infrastruktur Vi så derfor behovet for å lage noe annet for de som hadde behov som ikke lett lot seg dekke på eksisterende løsninger Løsninger ble etterspurt av flere miljøer
TSD 1.0 To prosjekter ble startet etter en noe treg start Sikker behandling av sensitive data Windows terminal-server løsning for kontorstøtte Office pakken, SPSS med mer. Multiplattform to-faktor pålogging vha. engangskode og passord. Brukergrupper: ernæringsforskere, rusmiddelforskere, m.fl. Filsluse mellom sikker og usikker sone. Sikker lagring av sensitive data Linux løsning sikker filserver for de med stort lagringsbehov Brukergrupper: genetiske data, MR scan, video og lyd opptak Løsningene ble bygget på minimumsbudsjett, og innebar en del prøving og feiling. Ble senere slått sammen under paraplyen TSD 1.0
TSD 1.0 Bygget som helt separat infrastruktur Egen hardware, egne switcher, eget mgmt. Nett Det er ingen veier inn som ikke krever to-faktor Bygget på Vmware ESX Benytter noe lagring fra usikker sone benytter da kryptert filsystem Kryptert backup Gammeldags nøkkelhåndtering passord på papirark i to separate safer.
TSD 1.0 logisk skisse - windows
TSD 1.0 logisk skisse - linux
TSD 1.0 erfaringer The devil is in the details Kryptert filsystem Kryptert filoverføring ( av flere TB ) Nøkkelhåndtering / passord mgmt. Sikre at ALLE bakveier er stengt Sikker destruksjon av data Jus og lovverk databehandleravtaler, risikovurderinger, dokumentasjon, sporbarhet Pt. Ca. 30 TB data inne.
TSD 2.0 TSD 1.0 gav vann på mølla, stort udekket behov. Ansatt egen prosjektleder og teknisk ressurs. Skal konsolidere og bygge mer skalerbar løsning skal potensielt dekke et nasjonalt behov. Bygge et mini UiO med utvalgte tjenester Oppstart i vår/vinter første leveranse til jul. Flere store prosjekter er interessenter GenAp, Elixir, Norsk kostholdsregister m.fl.
TSD 2.0 - teknologi KVM virtualisering FreeBSD pf brannmur med oath autentisering (kun) IPv6 på innsiden SSH / GPG TSM kryptert backup Ett Windows 2008 domene, Linux aut. mot dette.
TSD 2.0 konsept skisse
TSD 2.0 ( 1.0 ) Sikkert nettskjema
Noen utvalgte utfordringer. Sikring av RDP i to-sone løsninger Det er ikke nok å skru av klipp og lim Kjøring av vilkårlig kode i en host prosess Hvordan forvandle Microsoft Excel til din egen lille sandkasse TCP over smb / nfs Andre triks
Sikring av RDP i to-sone løsninger Kjent konsept, sikker sone og sikring av forbindelsen. Skru av klipp og lim, printere, usb og diskmapping. Holder det?
Virtual channels / RDP Konsept i RDP protokollen for å overføre data Kan misbrukes til å lage tunneler over RDP ala. SSH port forwarding Rdp2tcp http://rdp2tcp.sourceforge.net/ http://www.ossir.org/paris/supports/2010/2010-12- 14/rdp2tcp.pdf Nicolas Collignon Lar deg overføre hva du vil over RDP, selv etter å ha sikret via vanlige metoder. Krever kjøring av rdp2tcp.exe på innsiden.
TCP over RDP - hvordan sikre? Sett rettigheter på RDP-TCP i Remote Desktop Session Host Configuration RDP-tcp -> properties -> security -> advanced Legg til DENY på Virtual Channels for utvalgte brukere eller grupper NB: Dette brekker trolig Citrix. Andre metoder: AppLocker på Terminal Server, sperr kjøring fra alt annet en sikre kilder. Hindrer kjøring av rdp2tcp.exe..nesten.
Kjøring av vilkårlig kode i sikrede omgivelser Software Restriction Policies AppLocker Hindrer/tillater kjøring av applikasjoner basert på hash, signering eller filsti. Kan brukes til mye; lisenstelling, sperring av malware, debugging, sikring av Terminal Servere. Sperring av cmd.exe ( kan omgåes med en bitte liten patch. )
Kjøring av kode i Excel Kode ligger i VB macro Macro kaller win api for å allokere minne. Dekoder data fra VB til minneområdet Lager en ny tråd Peker denne på det nye området Starter tråden Usikker på kilden det finnes flere varianter av disse teknikkene. Mange inspirert av Skape ( metasploit ), Brett Moore, Didier Stevens m.fl. http://www.blackhat.com/presentations/bh-usa-05/bhus-05-spoonm.pdf http://blog.didierstevens.com http://carnal0wnage.attackresearch.com/2012/02/direct -shellcode-execution-via-ms.html