Prof. Dr. Norbert Pohlmann
Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de
Internet-Infrastruktur
unter dem Gesichtspunkt der
IT-Sicherheit
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Infrastruktur
Eine globale Herausforderung
Geschäftliches Handeln erfordert Sicherheit, Vertrauen und Verfügbarkeit
in allen gesellschaftlichen und wirtschaftlichen Bereichen! Das Internet geht über alle geographischen Grenzen,
politischen/administrativen Grenzen und Kulturen hinaus und stellt somit eine neue und ungewohnte Herausforderung für die internationale
Gesellschaft dar.
Mit dem Internet haben wir einen erhöhten Aktionsradius und eine starke Abstraktion zwischen Handlung und Wirkung.
Dies führt zu einem mangelnden Unrechtsbewusstsein und verlangt einen
bewussten Umgang mit der elektronischen Welt.
Die Geschwindigkeit, in der neue Anforderungen (ID-Management, Spam, Viren, Würmer, Trojaner und Passwort Fishing) auftauchen wird immer
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Infrastruktur
Verteilung der Anwendungen
Aufschlüsselung nach Kommunikationsprotokollen
(Bandbreite im Backbone international agierender IP-Carrier)
45% Web-Traffic (HTTP)
24% P2P-Tauschbörsen (Musik, Filme, …) 12% E-Mail (SMTP, POP3, IMAP)
7% Streaming-Protokolle 7% IP-Telefonie 5% Sonstiges Quelle: http://www.heise.de/ct/05/07/088 45% 24% 12% 7% 7% 5% http p2p E-Mail Audio/Video VoIP sonstige
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 7
Unabhängig abhängig
Internet – ein „Netz aus Netzen“
Das Internet besteht aus mehr als 21.000 unabhängigen Netzen, so genannte
Autonome Systeme (AS)
Autonome Systeme unterscheiden sich in Größe und räumlicher Ausdehnung sowie im Kerngeschäft und der Intention des Betreibers.
Gemeinsamer Nenner ist eine möglichst redundante Anbindung an andere Autonome Systeme.
Dazu benötigen die Autonome Systeme eine Strategie, wie sie sich
miteinander verbinden, z.B. über Transit, Privat-Peering oder Public-Peering. Zurzeit gibt es mehr als 45.000 logische Verbindungen zwischen den ASs
Unterschiedliche Typen von Autonomen Systemen
Große Firmen, z.B. Lufthansa, Deutsche Bank (41 %) Internet Service Providers, z.B. IP-Carrier (35 %)
Universitäten (11 %)
Internet Exchange Points (2 %) …
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Unabhängig abhängig
„Internet Deutschland “
Die wichtigsten
Autonomen Systeme
in Deutschland
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Unabhängig abhängig
Navigieren
Leitungen im InternetDie physikalischen Leitungen im Internet sind in der Regel so ausgelegt, dass die reale Bandbreite nicht mehr als 50 Prozent der theoretischen Bandbreite ausmacht.
Routing
Komplexe Anforderungen an die Wegewahl zwischen Autonomen Systemen IP-Pakete verlassen auch die Unternehmensgrenzen!
Wirtschaftliche und firmenpolitische Aspekte spielen bei der Wegewahl eine Rolle.
Existenz von bevorzugten Pfaden
Festlegung von Routing-Policies anhand der Beziehungen zwischen den Autonomen Systemen
Das Routing spielt eine wesentliche Rolle für die Stabilität des Internet!
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Unabhängig abhängig
Grenzposten
Border Gateway Protocol (BGP)
Zwischen Borderroutern der Autonomen Systeme existieren permanente Sessions
Initiales Austauschen aller Routing-Informationen ca. 185.000 Routen Nachrichten zur Aktualisierung und zum Aufrechterhalten (Dieser
Mechanismus ist immens wichtig für die Stabilität des Internets).
Nachbarn überwachen sich gegenseitig!
Entscheidungskriterien für die Wegewahl
Nutzungspreise der Verbindungen
Länge des Pfades von einem Autonomen System zum anderen Lange Wege durch Vermeidung von teuren Transit-Strecken Hot Potato vs. Cold Potato
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 12
Geordnetes Chaos im Internet
Wer mit wem und warum?
Durch die Beziehungen und Größe der Autonomen Systeme ergibt sich eine formelle Hierarchie unter den Betreibern.
Connectivity des Internets
<= 2 = 16.496 - 74 % (Tier 3) <=10 = 20.802 - 96 % >10 = 867 - 4 % >50 = 152 - 0,7 % >100 = 73 - 0,3 % >300 = 26 - 0,1 % Nur wenige Provider (~13) sind “Global Networks” (Tier1) Die Telekom hat 350
Verbindungen zu anderen AS. Die meisten Verbindungen hat immer noch MCI mit 2.401
Wirtschaftliche Notwendigkeiten beeinflussen die Betreiber
Das kann zur einer Destabilisierung des Internets führen.
Wir benötigen eine Instanz, die eine Übersicht über die AS und deren Verbindungen pflegt.
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en 13
Geordnetes Chaos im Internet
Traffic: Eine Abschätzung
Autonomes System PUBLIC PEERING 30 Peta Byte PRIVATE PEERING 50 Peta Byte TRANSIT (Customer) 150 Peta Byte
AS
AS
TRANSIT (Global ISP)
40 Peta Byte
AS
AS
AS
AS
AS
AS
INTERNAL 30 Peta Byte 100 Peta: DSL-Kunden 50 Peta: Business-KundenProf . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Internet Frühwarnsystem
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
I
nternet-
A
nalyse-
S
ystem (
IAS
)
Analogie
Lokale SichtProf . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Analyse-System (IAS)
Analogie
Globale SichtProf . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Analyse-System (IAS)
Idee
Beobachtung der kritischen
Infrastruktur „Internet“.
Sonden werden an
ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die
Kommunikationsleitungen eingebunden.
Zählen nur von Header-Informationen, die nicht datenschutzrelevant sind. System sammelt Informationen über einen großen Zeitraum! Ein zentrales
Auswertungssystem
analysiert die Rohdaten und
Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse intuitiv dar.
Auswertungssystem
Sonde Sonde Sonde Sonde Internet IASProf . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Internet-Analyse-System (IAS)
Zählen von Header Informationen
Anzahl der Zähler z.Zt: - Max: 300.000
- Real-Ø: 20 bis 60.000
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Internet-Analyse-System (IAS)
Ziele
Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen,
Schaffung einer
Wissensbasis
Überblick über den
aktuellen Zustand des Internets
Erkennen von
Angriffssituationen und Anomalien
Prognosen von Mustern und Angriffen
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Analyse-System (IAS)
Beispiele von Ergebnissen (1/5)
Transport-Protokoll Verteilung (Profil)TCP ESP IGMP ICMP GRE UDP TCP 89% UDP 7%
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Analyse-System (IAS)
Beispiele von Ergebnissen (2/5)
SYN-Scan (Potentieller Angriff)Vergleich unterschiedlicher Zeiträume
Normal: SYN > SYN/ACK > 2xFIN/ACK
Diskrepanz: Normalverteilung zu Verteilung im Angriffsfall Angriffserkennung SYN (31% - 52%) SYN/ACK (26% - 19%) FIN/ACK (43% - 30%)
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Analyse-System (IAS)
Beispiele von Ergebnissen (3/5)
SYN-Scan (Potentieller Angriff)
Scan-Zeitraum deutlich zu erkennen
SYN/ACK
FIN/ACK SYN
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Analyse-System (IAS)
Beispiele von Ergebnissen (4/5)
HTTP MethodenTagesrhythmus
HEAD genutzt von automatischen Prozessen GET und POST i.d.R. genutzt von
menschlichen Nutzern HEAD GET POST GET 92% HEAD 6% POST 2%
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Analyse-System (IAS)
Beispiele von Ergebnissen (5/5)
Browserverteilung (Technologie-Trend)Tagesprofile, Keine Serverstatistik, sondern „Leitungsstatistik“
Unterschied zwischen manueller Nutzung (z.B. Internet Explorer und Firefox) und automatischer Nutzung (z.B. wget)
zu erkennen.
Firefox
Andere (wget, etc)
Internet Explorer
Andere (wget, etc) Internet Explorer Mozilla FirefoxProf . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Verfügbarkeits-System
Idee
Beobachtung der kritischen Infrastruktur
„Internet“.
Dronen werden an ausgesuchten Positionen des Internets zur Erfassung von Verfügbarkeitsdaten eingebunden. Es werden verschiedene Arten von
Verfügbarkeiten gemessen Wichtige Webdienste DNS-Dienst
Kommunikationsverbindungen und Router
Mail-Dienste und –Server
Parameter: Dienstgüte: Funktionen, Fehlerrate, Jitter, Verzögerung,
Paketverlust Ein zentrales
Auswertungssystem
analysiert die Verfügbarkeitsdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse intuitiv dar.
Drone Drone
Internet
Drone: aktive Sonde
Platzierung unabhängig von Dritten!
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Internet-Verfügbarkeits-System
Beispiele von Ergebnissen (1/2)
rapidshare.de File Sharing Portal
Der größte Datenverkehr und die geringste Bandbreite ist zwischen 18:00 und 23:00 Uhr!
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Internet-Verfügbarkeits-System
Beispiele von Ergebnissen (2/2)
t-online.net Informations-Portal
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet
Zusammenfassung
Das Internet ist ein komplexes System mit zu vielen Sicherheitsproblemen!
Die Erfahrung zeigt, dass die physische und logische Infrastruktur des Internets überaus robust ist.
Die Grenzposten im Internet müssen sich auf neue Anforderungen im Bereich QoS vorbereitet.
Wir brauchen eine gemeinsame Internet-Kultur, wie wir mit dem Internet und seinen Diensten umgehen sollen.
Sichere Betriebssysteme, Trusted Computing, Self-Defending-Networks, usw. werden helfen, mehr Sicherheit im Internet zu bekommen.
Geordnetes Chaos
Bis jetzt hat das Chaos für den Erfolg des Internets gesorgt.
In Zukunft muss mit mehr Ordnung für einen weiterer Fortschritt gesorgt werden!
Die Autonomen Systeme müssen mehr zusammenarbeiten, damit das Ganze erhalten bleibt.
Prof. Dr. Norbert Pohlmann
Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de
