154 lines
12 KiB
Plaintext
154 lines
12 KiB
Plaintext
Content-Type: text/x-zim-wiki
|
|
Wiki-Format: zim 0.4
|
|
Creation-Date: 2016-09-02T10:39:18+02:00
|
|
|
|
====== sicherheitskonzept ======
|
|
Created Freitag 02 September 2016
|
|
|
|
Systeme:
|
|
* Router
|
|
* Endkundenrouter
|
|
* Kernnetz
|
|
* VDS-Einrichtung
|
|
|
|
Angriffsszenarien:
|
|
* Sabotage
|
|
* Innen
|
|
* Außen
|
|
* ??
|
|
|
|
Außerdem konzeptuelle netzansicht
|
|
|
|
{{./diagram.png?type=diagram}}
|
|
|
|
====== Sicherung gegen Sabotage von Innen ======
|
|
Für eine Sabotage von Innen muss ein Saboteur in die Organisation eingeführt werden.
|
|
Dieser könnte zwei Ziele verfolgen, direkte Sabotage der operativen Systeme, oder Lähmung der Organisation.
|
|
Reudnetz w.V. ist in seiner Organisationsstruktur als Verein mit offenen Anmeldungen gegenüber der Einführung von Saboteuren besonders gefährdet.
|
|
Zur direkten Sabotage muss der Saboteur Zugang zu Zugangsdaten zu den Operativen Systemen erlangen.
|
|
Dies wird verhindert, indem diese Zugangsdaten nur einer sehr begrenzten Personengruppe zugänglich gemacht werden, diese nur erweitert wird, wenn es aufgrund des Arbeitsaufwandes unabdingbar notwendig ist und alle Zugangsdaten ausgetauscht werden, sobald eine der berechtigten Personen ausgetauscht wird.
|
|
Im April 2016 beträgt die Größe der berechtigten Personengruppe Zwei, in Zahlen 2 Personen.
|
|
Zur indirekten Sabotage durch lähmung der Organisation ist es für den Saboteur ausreichend an Organisationstreffen und Mitgliederversammlungen teilzunehmen, wozu er bereits durch eine simple Mitgliedschaft berechtigt ist.
|
|
(Dieses Angriffsszenario ist allerdings irrelevant, da die genannten treffen plenarischer form stattfinden, also quasi selbst-lähmend sind)
|
|
Die Gegenmasnahme setzt an der Tatsache an, dass das Verhalten des Saboteurs sich zumindest subtil von dem eines konstruktiven Mitglieds unterscheiden muss. Sollte irgend einem Teilnehmer während einer Mitgleiderversammlung oder eines Organisationstreffens ein solches Verhalten auffallen, wird dieses einem Vorstandsmitglied gemeldet, welches dann Ermittlungen einleitet. Dieses Verfahren ist in der Geschäftsordnung geregelt.
|
|
Die Mitglieder werden basierend auf Geheimdienstdokumenten über sabotierende Verhaltensmuster aufgeklärt.
|
|
|
|
====== Internetseitiger Netzabschlusspunkt ======
|
|
|
|
===== Schutzziele =====
|
|
|
|
==== Schutz des Fernmeldegeheimnisses ====
|
|
Der Schutz des Fernmeldegeheimnisses ist für den internetseitigen Netzabschlusspunkts (in folge INP) relevant,
|
|
da der gesamte Datenverkehr, welcher nicht zwischen zwei Netzteilnehmern abläuft durch selbigen läuft.
|
|
|
|
==== Schutz Personenbezogener Daten ====
|
|
Der INP verarbeitet keine personenbezogenen Daten, kein Schutzbedarf.
|
|
|
|
==== Schutz gegen Störungen ====
|
|
Da der INP eine kritische Komponente darstellt, deren Ausfall das Netz stark negativ beeinträchtigen würde ist eine Betrachtung des Schutzes gegen Störungen relevant.
|
|
|
|
===== Sicherung gegen Sabotage von Innen =====
|
|
Den Gesamtsystemischen Gegenmaßnahmen und Analysen ist nichts hinzuzufügen
|
|
|
|
===== Sicherung gegen Sabotage von Außen/Angriffe =====
|
|
Um Sabotage von innen oder einen terroristischen Angriff auf die Infrastruktur erfolgreich durchzuführen, muss der Angreifer direkten physischen Zugriff auf den INP erlangen.
|
|
Der INP befindet sich inerhalb eines abschließbaren Technikschranks.
|
|
Der Technikschrank befindet sich innerhalb eines abgeschlossenen Raumes.
|
|
Der Raum befindet sich innerhalb eines Stadthauses.
|
|
Um physichen Zugriff auf den INP zu erlangen, muss zunächst in den Raum eingedrungen werden.
|
|
Dies kann geschehen, indem die Tür aufgebrochen wird, oder der Angreifer Zugriff auf den Schlüssel erhällt.
|
|
Das Aufbrechen der Türe ist hinreichend erschwert, da das Stadthaus, in dem sich der Raum befindet ganzjährlich bewohnt ist, und sich somit schweres Gerät, wie es zum Aufbrechen der Türe notwendig wäre nicht unbemerkt antransportieren lässt. Auch die Geräuschentwickung erschwert ein unbemerktes Eindringen.
|
|
Das Erlangen eines Schlüssels wird verhindert indem alle Schlüssel bei Vorstandsmitgliedern verbleiben, und nur für konkrete Arbeiten an die Ausführenden vergeben werden.
|
|
Ein Angreifer, der in den Raum eingedrungen ist, muss weiter in den Technikschrank einbrechen.
|
|
Die Ausführungsmöglichkeiten und Gegenmaßnahmen sind die Gleichen wie zur Verhinderung eines Eindringens in den Raum.
|
|
Zusatzlich verfügt der Technikschrank über einen elektronischen Eindringlingsalarm, der über Vorfälle alarmiert.
|
|
// alarmanlage??
|
|
|
|
====== Endverbraucherseitiger Netzabschlusspunkt ======
|
|
|
|
===== Schutzziele =====
|
|
|
|
==== Schutz des Fernmeldegeheimnisses ====
|
|
Der Schutz des Fernmeldegeheimnisses ist für den endverbraucherseitigen Netzabschlusspunkts (in folge ENP) relevant, da der Datenverkehr eines Endverbrauchers über diesen fließt.
|
|
|
|
==== Schutz Personenbezogener Daten ====
|
|
Der ENP verarbeitet keine personenbezogenen Daten, kein Schutzbedarf.
|
|
|
|
==== Schutz gegen Störungen ====
|
|
Da durch eine Störung lediglich die Nutzung durch einen einzigen Endverbraucher eingeschränkt wird, ist ein Schutz gegen Störungen notwendig, aber nicht kritisch.
|
|
|
|
===== Sicherung gegen Sabotage von Innen =====
|
|
Den gesamtsystemischen Analysen und Gegenmaßnahmen ist nichts hinzuzufügen.
|
|
|
|
===== Sicherung gegen Sabotage von Außen =====
|
|
Hier werden nur eindringende Szenarien betrachtet, die darauf abzielen das Fernmeldegeheimnis zu verletzen. Für Szenarien, in welchen lediglich Störungen das Ziel sind siehe "Sicherung gegen Angriffe".
|
|
Um das Fernmeldegeheimnis zu verletzen muss der Saboteur Zugriff auf den ENP erhalten.
|
|
Dieser ist grundsätztlich nicht speziell gesichert, steht allerdings nicht im öffentlichen Raum, sondern in den Räumlichkeiten des Endnutzers, wodurch ein Zugriff einen Einbruch vorraussetzen würde.
|
|
Um die Auswirkungen eines potentiellen Zugriffs zu minimieren, wird die Erreichbarkeit aller ENPs permanent Überwacht und Eindringlingserkennungssysteme eingesetzt.
|
|
Außerdem werden alles eingesetzten Transportwegsverschlüsselungsschlüssel zwischen den ENPs und dem Kernnetz regelmäßig ausgetauscht.
|
|
|
|
===== Sicherung gegen Angriffe =====
|
|
Um den ENP Funktionsunfähig zu machen sind viele Angriffsszenarien denkbar, vom einfachen Eindringen und gezielt Zerstören bis zu einem vollständigen Angriff, bei welchem Brandsätze und/oder Explosivstoffe zur Zerstörung des eingestzt Standpunkts werden.
|
|
Die Gegenmaßnahme ist nicht eine Verhinderung dieser Zerstörungen, sondern eine schnelle Wiederherstellung der Funktionalität, indem ein ständiger Vorrat an ENPs gehalten wird, aus dem zerstörte ENPs innerhalb eines Werktages ersetzt werden können.
|
|
|
|
====== Kernnetz ======
|
|
|
|
===== Schutzziele =====
|
|
|
|
==== Schutz des Fernmeldegeheimnisses ====
|
|
Der Schutz des Fernmeldegeheimnisses ist für das Kerrnnetz relevant, da alle Endnutzerdatenverbindungen durch dieses laufen.
|
|
|
|
==== Schutz Personenbezogener Daten ====
|
|
Das Kernnetz verarbeitet keine personenbezogenen Daten, kein Schutzbedarf
|
|
|
|
==== Schutz gegen Störungen ====
|
|
Da ein ein größerer Ausfall des Kernnetzes auch einen größeren Ausfall der über es zur Verfügung gestellten Dienstleistung nach sich ziehen würde, ist ein Schutz gegen Störungen relevant.
|
|
|
|
===== Sicherung gegen Sabotage von Innen =====
|
|
Den gesamtsystemischen Analysen und Gegenmaßnahmen ist nichts hinzuzufügen.
|
|
|
|
===== Sicherung gegen Sabotage von Außen =====
|
|
Hier werden nur eindringende Szenarien betrachtet, die darauf abzielen das Fernmeldegeheimnis zu verletzen. Für Szenarien, in welchen lediglich Störungen das Ziel sind siehe "Sicherung gegen Angriffe".
|
|
Um das Fernmeldegeheimnis zu verletzen muss der Saboteur Zugriff auf das Kernnetz haben. Dazu müsste er mehrere physische Abgrenzungen durchdringen, von außen nach innen in ein Haus eindringen, in eine der abgeschlossenen Räumlichkeiten in denen das Kernnetz untergebracht ist, eindringen, in eine der abgeschlossenen Technikschränke, die die Geräte beinhalten, eindringen. Da das Kernnetz sich in einem ganzjährlich bewohnten Stadthaus befindet ist ein Einbruch so gut wie unmöglich unbemerkt ausführbar. Selbst wenn ein Eindringen in das Haus an für sich gelingt, muss das schwere Gerät, welches notwendig ist, um die Türen und Schränke aufzubrechen unbemerkt Transportiert werden, und danach die Türen und Schränke ohne große Geräuschentwicklung aufgebrochen werden, was sehr unwahrscheinlich ist.
|
|
Alternativ wäre es auch möglich die Schlüssel und Elektronischen Zugangskarten für alle Ebenen zu erlangen und diese zu nutzen um gewaltfrei einzudringen. Dies wird verhindert, indem die Schlüssel nur bei Vorständen liegen, und nur für konkrete Arbeitsvorgänge an authorisiertes Personal ausgegeben werden.
|
|
Sollte ein Eindringen dennoch erfolgreich sein, müsste der Saboteur eine Wanze an ein Kabel anbringen, Entweder in der Mitte eines Kabels, wo sich das Eindringen in die Technikschränke und Räumlichkeiten Erübrigen würde und statt dessen ein Eindringen in Kabelschächte notwendig wäre, oder zwischen eine Büchse und ein Kabel.
|
|
Beide Eingriffe würden jedoch in der Netzwerküberwachung auffallen, was eine Untersuchung des Kernnetzes, und eine Entfernung der Wanze nach sich ziehen würde.
|
|
// Transportwegsverschlüsselung auch auf lan?
|
|
|
|
===== Sicherung gegen Angriffe =====
|
|
//bleh
|
|
|
|
====== VDS-Einrichtung ======
|
|
|
|
===== Schutzziele =====
|
|
|
|
==== Schutz des Fernmeldegeheimnisses ====
|
|
Es läuft kein Netzwerkverkehr durch die VDS-Einrichtung, kein Schutzbedarf.
|
|
|
|
==== Schutz Personenbezogener Daten ====
|
|
Die VDS-Einrichtung verarbeitet personenbezogene Daten, damit muss sie besonders vor unauthorisiertem Zugriff geschützt werden.
|
|
|
|
==== Schutz gegen Störungen ====
|
|
Auch wenn der Betrieb einer VDS-Einrichtung für den Netzbetrieb vollkommen unbedeutend ist, ist der Nichtbetrieb mit hohen Geldstrafen bewehrt, wir sind also gezwungen die VDS-Einrichtung gegen Störungen zu sichern.
|
|
|
|
===== Sicherung gegen Sabotage von Innen =====
|
|
Den gesamtsystemischen Analysen und Gegenmaßnahmen ist hinzuzufügen, dass die VDS-Einrichtung nur von zugangsberechtigten Personen bedient wird.
|
|
Dabei wird vorgeschriebene vier-Augen-Prinzip wird eingesetzt.
|
|
Des weiteren wird jeder Zugriff mit bewegungsaktivierten Überwachungskameras aufgezeichnet, so dass eine spätere Verfolgung eines Saboteurs erleichtert wird.
|
|
Unsere Sicherheitsprotokolle verbieten weiterhin die Mitnahme von elektronischen oder elektrischen Geräten in die VDS-Räume.
|
|
|
|
===== Sicherung gegen Sabotage von Außen =====
|
|
Die Überwachungsdaten liegen Vollverschlüsselt vor, außerdem ist das System in seiner Standardkonfiguration stromlos, und wird nur bei Einspielung neuer Daten oder dem Abruf der Überwachungsdaten durch staatliche Organe für die Dauer des Vorgangs aktiviert.
|
|
Dies macht Heiße und Kalte Angriffe quasi unmöglich. Der Raum wird schall- und funkisoliert, so dass unberechtigtes Abgreifen der Überwachungsdaten während eines authorisierten Vorganges erschwert wird.
|
|
|
|
===== Sicherung gegen Angriffe =====
|
|
Nach unserer Analyse ist die VDS-Einrichtung als Angriffsziel besonders gefährdet, da Personengruppen, insbesondere aus der linken Szene Leipzigs, welche vom Verfassungsschutz als gefährlichste Deutschlands eingestuft wird, Motivation haben könnten sich gewaltsam gegen die Vollüberwachung des ganzen Landes zur Wehr zu setzen.
|
|
Da die VDS-gesetze aus der gesamten Bevölkerung breiten Widerspruch erfahren haben, ist dies allerdings nicht das einzige plausible Angriffszenario.
|
|
Als Gegenmaßnahme werden besonders verstärkte Türen, in sowohl den Räumen, als auch den Technikschränken und ein stilles bewegungsaktiviertes Alarmsystem eingesetzt.
|
|
Des weiteren werden die Daten 3-fach redundant gespeichert, und es wird ein komplettes VDS-System auf Vorrat gehalten, um eventuelle Zerstörungen ohne Verzögerung durch Lieferzeiten ersetzen zu können.
|
|
|
|
|
|
|
|
|
|
|