Institut für Internet-Sicherheit – if(is)
Fachhochschule Gelsenkirchen
http://www.internet-sicherheit.de
Prof. Dr. Norbert Pohlmann
Die aktuelle Sicherheitslage
des Internets
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
Zusammenfassung
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
Zusammenfassung
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Einleitung
Ausgangspunkt
Entwicklung zur vernetzten Wissens- und Informationsgesellschaft.
Das schnell gewachsene Internet und die darauf aufbauenden Dienste
bilden eine der wichtigsten Infrastrukturen in unserer modernen
Gesellschaft.
Die angebotenen Dienste haben enorme Vorteile und ein sehr großes
Potenzial für die Zukunft
Besondere Rolle kommt der Sicherheit und Vertrauenswürdigkeit des
Internets zu
Das Internet geht über alle geographischen und politischen/administrativen
Grenzen sowie Kulturen hinaus
Zeit und Raum werden überwunden
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
Zusammenfassung
. Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Struktur des Internets
orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Datenvolumen
Modell für Internet-Deutschland
Autonomes
System
PUBLIC
PEERING
PRIVATE
PEERING
TRANSIT (Customer)
AS
AS
TRANSIT (Global ISP)
AS
AS
AS
AS
AS
INTERNAL
Prof . Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Datenvolumen/Monat in D
Eine Abschätzung (2006)
Autonomes
System
PUBLIC
PEERING
30 Peta Byte (20%)
PRIVATE
PEERING
50 Peta Byte
(33%)
TRANSIT (Customer)
150 Peta Byte (100%)
AS
AS
TRANSIT (Global ISP)
40 Peta Byte (27%)
AS
AS
AS
AS
AS
AS
INTERNAL
30 Peta Byte
(20 %)
100 Peta Byte: DSL-Kunden
50 Peta Byte: Business-Kunden
Sicht auf Datenströme
zwischen den Netzen!
orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Datenvolumen/Monat in D
Eine Abschätzung (2010)
Autonomes
System
PUBLIC
PEERING
111 Peta Byte (10%)
PRIVATE
PEERING
184 Peta Byte
(16,5 %)
TRANSIT (Customer)
1114 Peta Byte (100%)
AS
AS
TRANSIT (Global ISP)
150 Peta Byte (13,5%)
AS
AS
AS
AS
AS
AS
INTERNAL
669 Peta Byte
(60 %)
984 Peta Byte: DSL-Kunden
Sicht auf Datenströme
zwischen den Netzen!
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Struktur des Internets
Zusammenfassung
Das Internet ist mehr oder weniger eine “Black Box” für die
unterschiedlichen Teilnehmer.
Das Internet ist für viele Teilnehmer heute schon eine kritische
Infrastruktur.
Wenn wir das Internet nutzen, dann brauchen wir im Prinzip nur das
Vertrauen, dass alles in Ordnung ist.
+
= ?
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
Zusammenfassung
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Internet-Analyse-System (IAS)
Idee
Beobachtung der kritischen
Infrastruktur
„Internet“.
Sonden
werden an
ausgesuchten Positionen des
Internets zur Erfassung von
Rohdaten in die
Kommunikationsleitungen
eingebunden.
Zählen von
Header-Informationen, die nicht
datenschutzrelevant sind.
System sammelt Informationen
über einen großen Zeitraum!
Ein zentrales
Auswertungssystem
analysiert die Rohdaten und
Auswertungsergebnisse und stellt
diese umfangreichen Ergebnisse
dar.
Auswertungssystem
Sonde
Sonde
Sonde
Sonde
Internet
IAS
orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Internet-Analyse-System (IAS)
Ziele
4) Prognosen von
Mustern und Angriffen
3) Erkennen von
Angriffssituationen und
Anomalien
2) Überblick über den
aktuellen Zustand des
Internets
1) Beschreibung von Profilen,
Mustern, Technologietrends
und Zusammenhängen.
Schaffung einer
Wissensbasis.
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Prinzip der Rohdatengenerierung
Zählen der Header
Anzahl der Zähler z.Zt:
- Max: ca. 870.000
- Real-Ø: ca. 60.000
orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Prinzip der Rohdatengenerierung
Rohdaten
Alle Informationen sind absolut anonym by Design !
Zähler
Werte
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Erfahrungen
Transport-Protokoll Verteilung (Profil)
TCP
ESP
IGMP
ICMP
GRE
UDP
UDP
7%
TCP
89%
Wochenende
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Technologietrend
Browserverteilung (Technologietrend)
Tagesprofile, keine Serverstatistik,
sondern „Leitungsstatistik“
Unterschied zwischen manueller Nutzung
(z.B. Internet Explorer und Firefox) und
automatischer Nutzung (z.B. wget)
zu erkennen.
Firefox
Andere (wget, etc)
Internet Explorer
Andere
(wget, etc)
21 %
Internet
Explorer
42 %
Mozilla
Firefox
32 %
. Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Technologietrend (TLS)
6 %: RSA
AES / SHA1
33%: DHE_RSA
AES / SHA1
60%:
RSA / RC4 / MD5
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Result:
Access-Connection
(1/2)
Distribution of protocols (sum)
P2P
HTTP
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Result:
Access-Connection
(2/2)
Distribution of protocols (over the time)
HTTP
orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Result:
Technology trend
(Firefox vs. IE)
Firefox
. Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Result:
Technology trend
(TCP Dst Port 25)
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Übersicht über den aktuellen Zustand
DDoS-Attacke von unbekanntem Angreifer auf den
Fachbereich Informatik der Fachhochschule Gelsenkirchen
Toleranzbereich grün
dargestellt
Abbildung 1 zeigt Zustand
vor einer DDoS-Attacke
Darstellung geringer
Soll-/Ist-Abweichungen
5 Minuten später
Deutliche Zunahme von
ICMP Echo Requests
(20°)
Deutliche Zunahme von
TCP – SYN Paketen (90°)
10 Minuten später
Hohe Auslastung von ICMP
Echo Reque. und TCP SYN
Paketen reduzieren
gesamten Netzwerkverkehr
Anomalien bei weiteren
Diensten
DNS(130°) und SMTP(230°)
können ihre Arbeit nicht
mehr im normalen Maße
verrichten
. Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Prinzip der globalen Sichtweise
Übersicht
local view P3
local view P2
local view P1
global view
global view
global view
virtual probe
Generation of
global view
global view
local view
local view
local view
probes
Central System
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Protokollvergleiche/Trends
Globale Darstellung von Protokollvergleichen und Beobachtung von Trends
Globale Sicht
Lokale Sicht
11% Port 443 (TLS/SSL)
13% Port 443 (TLS/SSL)
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Anomalienerkennung/Malware
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
Zusammenfassung
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
E-Mail Sicherheit
Einordnung
Verschlüsselte E-Mails weniger als 4 %
(S/MIME, PGP, Passphrase-gestützt, …)
Signaturen unter E-Mails weniger als 6 %
(Finanzbereich deutlich mehr)
Spam-Anteil größer als 90 % (in der Infrastruktur)
Was kommt in der Zukunft?
DE-Mail (ab ~2010) Bürgerportal Gesetz
SSL-Verschlüsselung zwischen den Gateways
Zustell-Garantie
Verpflichtende Authentifizierung
Sichere Dokumentenablage
orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
Spam
Das Problem
. Dr. N orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
McColo (US ISP) taken offline
11/11/2008
orb ert P ohlm ann, Insti tut für Int ernet Sich erhe it -if (is), Fachhoch schu le G elsen kirch en
DDoS on InternetX (Schlund NS)
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Erfahrungen
SMTP Content Type
60% “text” Mails
33 % “attachments”
30%: multipart/alternative
33%: multipart/mixed
26%: text/plain
4%: text/html
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Angriffssituationserkennung (1/2)
SMTP Content Type
Zeitweise mehr E-Mail mit content-type multipart/mixed
-> Mail-Virus?
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Angriffssituationserkennung (2/2)
PDF Spam Welle
Application/PDF
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
Zustellung unerwünschter Werbe-E-Mails
Spamwelle
Während einer Spamwelle steigt die Anzahl
der Empfänger pro E-Mail
(Entspricht nicht den in der E-Mail
angezeigten Empfängern)
Normal = 1,5 - 1,7
Spam ~ > 2
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
Zusammenfassung
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Identity Management
Einordnung
Passworte, Passworte, Passworte, … sind das Mittel für eine
Authentikation im Internet!
Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht
international!
Föderationen sind noch nicht verbreitet genug!
Was kommt in D?
ePA (elektronischer Personalausweis
mit Authentikationsfunktion)
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
HTTP Wörterbuchangriff über Port 8080
Login-Angriff
(Statuscode 401 = nicht erfolgreich)
Port 8080
SRC
/
DEST
Authorization
WWW-Authenticate
Statuscode 401
Unauthorized
Verbindungsversuche zum
HTTP-Server von einer IP
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
Zusammenfassung
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Web Gateway Security
Einordnung
Schlechte Sicherheit auf den Webseiten
Heute wird Malware hauptsächlich über Webseiten verteilt
Viele Webseiten sind nicht sicher aufgebaut
Patches werden nicht oder sehr spät eingespielt (siehe Analyse if(is))
Gründe
Firmen geben kein Geld für IT-Sicherheit aus!
Mitarbeiter haben keine Zeit (Geld)
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Beispiele von Ergebnissen des IAS
HTTP vs. HTTPS
Der Anteil an Protokollen, in denen SSL/TLS genutzt wird, ist noch sehr
gering.
Bsp. Verhältnis
HTTP
zu
HTTPS
96 %
HTTP Port 80
4 %
HTTPS Port 443
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
Zusammenfassung
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Branchenbuch-IT-Sicherheit
Erkenntnisse (1/2)
Deutschlands größtes Branchenbuch für IT-Sicherheit
Mehr als 900 eingetragene Unternehmen der IT-Sicherheit
Größte Jobbörse
für IT-Sicherheit
Mehr als 1.700
Stellenanzeigen
Häufigste Suchanfragen
Firewall-Lösungen
Datenschutz
Anti-Virus
Prof . Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Branchenbuch-IT-Sicherheit
Erkenntnisse (2/2)
Steigende Internet-Kriminalität führt zu Personalsorgen in der ITS
Top-Suchbegriffe bei Jobs
(Angebote)
IT-Berater
Datenschützer
Administrator
Malware
Stellenangebote /
Suchanfragen
Bayern (21% / 17%)
NRW (19% / 11%)
Rheinland-Pfalz (1% / 16%)
www.jobs.branchenbuch-it-sicherheit.de
ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en
Inhalt
Einleitung
Struktur des Internets
Internet-Frühwarnsystem
E-Mail Sicherheit
Identity Management
Web Gateway Security
Branchenbuch-IT-Sicherheit
. Dr. Norb ert P ohlm ann, Insti tut fü r Internet Sich erhe it -if (is), Fach hochschu le G elsen kirch en