Internet-Frühwarnsysteme -FH-Hagenberg 2008 Prof. Pohlmann

(1)

Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen

https://www.internet-sicherheit.de

Prof. Dr. Norbert Pohlmann

(2)

Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en

Inhalt

Internet-Analyse-System

Internet-Verfügbarkeits-System

Internet-LogDaten-System

(3)

. Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en

Inhalt

Internet-Analyse-System

Internet-Verfügbarkeits-System

Internet-LogDaten-System

(4)

Internet-Analyse-System (IAS)

 Einführung(1/2)

Lokale Sicht

(5)

Internet-Analyse-System (IAS)

 Einführung(2/2)

Globale Sicht

(6)

Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en

Internet-Analyse-System (IAS)

 Ziele

4) Prognosen von Mustern und Angriffen 3) Erkennen von

Angriffssituationen und Anomalien

2) Überblick über den

aktuellen Zustand des Internets

1) Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen.

Schaffung einer Wissensbasis.

(7)

Internet-Analyse-System (IAS)

 Idee

Beobachtung der kritischen Infrastruktur „Internet“. Sonden werden an

ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die

Kommunikationsleitungen eingebunden.

Zählen von

Header-Informationen, die nicht datenschutzrelevant sind. System sammelt Informationen über einen großen Zeitraum! Ein zentrales

Auswertungssystem

analysiert die Rohdaten und

Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse dar.

Auswertungssystem

Sonde Sonde Sonde Sonde Internet IAS

(8)

Umsetzung des IAS

(9)

. Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en

Sonde

 Grundsätzlicher Ansatz

Internet Intranet

Sonde

Wir interpretieren das

Kommunikationsverhalten zwischen

(10)

Prinzip der Rohdatengenerierung (1/5)

 Zählen der Header

(11)

Prinzip der Rohdatengenerierung (2/5)

 Protokollverschachtelung

Ethernet

Type: Typ des geschachtelten Paketes, hier: 0x0800 (IP)

Checksumme (CRC) irrelevant

Internet Protocol

Total Length: Länge des gesamten Paketes

Protocol: Typ des geschachtelten Paketes, hier: 6 (TCP)

Quell- und Zieladressen (IP-Adr.) datenschutzrechtlich bedenklich

(12)

Prinzip der Rohdatengenerierung (3/5)

 Protokollverschachtelung

Transmission Control Protocol

Port: Endpunkt einer Verbindung HTTP: 80 (WWW)

Weitere z.B.:

SMTP (25), HTTPS (443) Code Bits

Informationen über Verbindungs-aufbau oder -abbau

Hypertext Transfer Protocol

Header:

User Agent:

beschreibt den Browser des Users

Benutzerdaten (DATA) z.B.: Inhalt einer Website

(13)

Prinzip der Rohdatengenerierung (4/5)

 Warum nur „Strichlisten“

Erhöhte Performance

Kein Connection / Session Tracking Ignorieren irrelevanter Informationen

z.B.: Checksummen

Wenig Speicherplatz, pro Sonde am Tag: ca. 17 MByte

im Jahr: ca. 6 GByte

Schutz schützenswerter Informationen

Durch Nicht- Wiederherstellbarkeit der Connection / Session Durch bewusstes „Weglassen“ der sensitiven Informationen

IP/ MAC Adressen Userdaten

(14)

Prinzip der Rohdatengenerierung (5/5)

 Rohdaten

Anzahl der Zähler z.Zt: - Max: ca. 800.000 - Real-Ø: ca. 60.000

(15)

Umsetzung des IAS

 Sonde

RDTPs-Protokoll (ca. 60 KByte)

(16)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Erfahrungen

Transport-Protokoll Verteilung (Profil)

TCP ESP IGMP ICMP GRE UDP UDP 7% TCP 89%

(17)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Erfahrungen

HTTP Methoden

Tagesrhythmus

HEAD genutzt von automatischen Prozessen GET und POST i.d.R. genutzt von

menschlichen Nutzern HEAD GET POST GET 92% HEAD 6% POST 2%

(18)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Technologietrend

Browserverteilung (Technologietrend)

Tagesprofile, Keine Serverstatistik, sondern „Leitungsstatistik“

Unterschied zwischen manueller Nutzung (z.B. Internet Explorer und Firefox) und automatischer Nutzung (z.B. wget)

zu erkennen.

Firefox

Andere (wget, etc)

Internet Explorer

Andere (wget, etc) 21 % Internet Explorer 42 % Mozilla Firefox 32 %

(19)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Technologietrend (TLS)

53%:

RC4 / MD5

30%:

AES / SHA1

11%:

AES / SHA1

(20)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Zusammenhänge

SYN-Scan (Potentielle Angriffsituation)

Vergleich unterschiedlicher Zeiträume

Normal: SYN > SYN/ACK > 2xFIN/ACK

Diskrepanz: Normalverteilung zu Verteilung in einer Angriffssituation  Angriffssituationserkennung SYN (31% - 52%) SYN/ACK (26% - 19%) FIN/ACK (43% - 30%)

(21)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Profile

SYN-Scan (Potentielle Angriffsituation)

Scan-Zeitraum deutlich zu erkennen

SYN/ACK

FIN/ACK

(22)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Erfahrungen

SMTP Content Type 60% “text” Mails 33 % “attachments” 30%: multipart/alternative 33%: multipart/mixed 26%: text/plain 4%: text/html

(23)

Beispiele von Ergebnissen des IAS

 Angriffssituationserkennung

SMTP Content Type

Zeitweise mehr E-Mail mit content-type multipart/mixed -> Mail-Virus?

(24)

Beispiele von Ergebnissen des IAS

(25)

Beispiele von Ergebnissen des IAS

(26)

Inhalt

Internet-Analyse-System

Internet-Verfügbarkeits-System

Internet-LogDaten-System

(27)

Internet-Verfügbarkeits-System

 Idee

Beobachtung der kritischen Infrastruktur

„Internet“.

Drohnen werden an ausgesuchten Positionen des Internets zur Erfassung von Verfügbarkeitsdaten eingebunden. Es werden verschiedene Arten von

Verfügbarkeiten gemessen Wichtige Webdienste DNS-Dienst

Kommunikationsverbindungen und Router

Mail-Dienste und –Server

Parameter: Dienstgüte: Funktionen, Fehlerrate, Jitter, Verzögerung,

Paketverlust Ein zentrales

Auswertungssystem

analysiert die Verfügbarkeitsdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse intuitiv dar.

Drohne _Drohne Internet

Drohne: aktive Sonde

(28)

Internet-Verfügbarkeits-System

 Beispiele von Ergebnissen (1/2)

rapidshare.de File Sharing Portal

Der größte Datenverkehr und die geringste Bandbreite ist zwischen 18:00 und 23:00 Uhr!

(29)

Internet-Verfügbarkeits-System

 Beispiele von Ergebnissen (2/2)

t-online.net Informations-Portal

(30)

Leistungsfähigkeit des Internets

 Idee

Top5 Content Provider vs.

(31)

Leistungsfähigkeit des Internets

 Routing Messung (Zeit)

Beispiel: Route zu Google vom DFN-Netz (Drohne1) aus über die Zeit Änderungen nur im letzten

Teilstück der Strecke

bedingt durch Verteilung der Anfragen auf Mirrors positive Auswirkung auf Bandbreite

In KW 36:

31 verschiedene Hops Ø 12 Hops/Route

(32)

Leistungsfähigkeit des Internets

 Auswertung Messung

Drohne 1: FH-Gelsenkirchen, DFN-Netz Drohne 2: Arnsberg, Versatel, 2 Mbit

Drohne 3: Datteln, Telekom, 6 Mbit Drohne 4: Arnsberg, Versatel, 2 Mbit Drohne 5: Arnsberg, Versatel, 6 Mbit

Aussagen über Qualität/Geschwindigkeit der Netze bzw. Server Ermittlung der durchschnittlichen Bandbreite über eine

(33)

Auswertung Messung

Über die Mittelung der Drohnen-Werte (waagerecht) kann ein ungefährer

Vergleich der Server durchgeführt werden: Relativ stabil, Änderung der Werte über mehrere Wochen <10%

Über die Mittelung der Server-Werte (senkrecht) kann ein Vergleich der Internet-Zugänge

durchgeführt werden:

Konstante Werte, Änderung über mehrere Wochen <3%

(34)

Inhalt

Internet-Analyse-System

Internet-Verfügbarkeits-System

Internet-LogDaten-System

(35)

Erweiterung des IAS im Bereich der Datenerhebung durch Logdaten

Logdaten zeichnen gesamte Kommunikation eines Dienstes auf

Kommunikation mit potentiellem Angreifer wird also auch

aufgezeichnet

Logdaten-Analyse-System

(36)

Angriffe erzeugen in den Logs markante Muster.

Die Logdaten aller Server werden als Live-Datenstrom an einem

LogHost / LogCollector / LogSonde zusammengeführt

Centralized Logging

Ermöglicht Korrelation der Daten

Logdaten-Analyse-System

(37)

Der gebündelte Livedatenstrom wird auf Angriffsmuster

untersucht.

Echtzeitanalyse

Anonymisierte Langzeitanalyse

Logdaten-Analyse-System

(38)

Vorgehen

Überprüfung des Logdatenstroms in nahezu Echtzeit auf Angriffssignaturen in einer lokalen Sicht

Einsatz geeigneter Algorithmen und Analysetechniken

Ziele

Auslösen eines Alarms bei Detektion eines Angriffs zeitnahe Reaktion auf einen Angriff

Ergreifen von Schutzmaßnahmen gegen konkrete Bedrohung

Dienste anhalten, Ports schließen, User-Accounts sperren, Systeme abschalten, ...

Schadensminimierung

Grundlage zur Forensik und juristischen Verfolgung von Angreifern

Logdaten-Analyse-System

(39)

Alarme stehen im Bezug zu den originalen Logdaten und stellen

diese im Schadszenario bereit

enthalten sensible Informationen IP-Adressen

E-Mail-Adressen Benutzernamen

Informationen über die Alarme stehen ausschließlich dem Betreiber des Logdaten-Analyse-Systems zu Verfügung

Logdaten-Analyse-System

(40)

Baselining

Erkennung voneinander unabhängiger, ungünstiger Ereignisse Anomaly Detection

Identifiziert alles, “was man bisher noch nicht gesehen hat“ Thresholding

Prüft Anzahl definierter Ereignisse gegen Schwellenwerte, die das System im normalen Betrieb aufweist

Windowing

Identifiziert Ereignisse, deren Parameter außerhalb eines erwarteten Wertebereichs liegen

Correlation

Stellt Beziehungen zwischen scheinbar voneinander unabhängigen Ereignissen her, etwa zwischen Logdaten verschied. Anwendungen

Logdaten-Analyse-System

(41)

Vorgehen

Anwendung des Prinzips der Deskriptoren auf geloggte Ereignisse

Definition von Ereignissen in Logdaten (Deskriptoren) Zählen dieser Ereignisse (Deskriptoren)

Graphische Darstellung der zeitlichen Häufigkeitsverläufe …

Anonymisierung der Logdaten

Logdaten-Analyse-System

(42)

Ziele

Ergänzung des Datenbestandes des IAS

Schaffung eines Referenzsystems zum IAS

Zusammenfügen der statistischen (anonymisierten) Logdaten mehrerer Netzwerke zu einer globalen Sicht

Statistische Auswertung der Logdaten

Beschreibung von Mustern, Profilen, Technologietrends Überblick über den aktuellen Zustand des Internets

Erkennung von Angriffssituationen und Anomalien Prognosen von Mustern und Angriffen

Logdaten-Analyse-System

(43)

Structure of the Internet

(44)

Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 44

Structure of the Internet

Autonomous Player

Autonomous Systems (AS)

The global Internet consists of thousands of independent networks, the Autonomous Systems (AS)

Actually there are about 22.000 different ASs advertised in the global Routing table

The AS operators have different policies for the size and expansion of their network

An AS needs a strategy to connect with other ASs using upstreams, private or public peerings

There are more than 60.000 logical connections between ASs at the moment

Different types of Autonomous Systems

Large Companies, e.g. business consumer (41 %) Internet Service Providers, e.g. IP-carrier (35 %) Universities (11 %)

Internet Exchange Points, e.g. public data exchange nodes (2 %) …

(45)

Structure of the Internet

Connectivity of the Internet

Ongoing analysis on the Route Views Snapshot

<= 2 = 63 % <=10 = 94 % >10 = 6 % >100 = 0,4 % >300 = 0,1 % Economical necessities

affect the carrier‘s proceeding This yields to a destabilization of the internet infrastructure

What is imported in this field?

We need an entity which keeps an eye on the level of connection and the reliability of all ASs in the Internet