Entwicklung von Methoden zur frühzeitigen Erkennung von Veränderungen und Angriffen im Internet. Sascha Bastke

Größe: px
Ab Seite anzeigen:

Download "Entwicklung von Methoden zur frühzeitigen Erkennung von Veränderungen und Angriffen im Internet. Sascha Bastke"

Transkript

1 Entwicklung von Methoden zur frühzeitigen Erkennung von Veränderungen und Angriffen im Internet Sascha Bastke 19. November 2007

2 2

3 Inhaltsverzeichnis 1 Einführung Motivation Aufbau der Arbeit Schutzmechanismen für lokale Netze Allgemein Firewalls Honeypots Intrusion Detection Systeme Intrusion Prevention System Maßnahmen gegen Spam Antivirussoftware Anwendung der Technologien Bewertung der Technologien Sicherheit des Internets Allgemein Ziele eines Internet Frühwarnsystems Ebenen eines Frühwarnsystems Ebene Netzwerk Ebene Beteiligte Ebene Organisation Ebene Recht Ebene Komponenten Thema der Arbeit Arbeiten in diesem Bereich Frühwarnung auf der europäischen Ebene Außerhalb Europas Weitere Technologien Verteilte kooperative Frühwarnung im Internet

4 4 INHALTSVERZEICHNIS

5 Kapitel 1 Einführung 1.1 Motivation Informations- und Kommunikationstechnologie hat in immer mehr Bereichen des Lebens Einzug gehalten. Beispiele dafür sind die Wirtschaft, die Medizin, der Sicherheitssektor aber auch das Privatleben. So wurden Entwicklungen ermöglicht die vorher nicht denkbar waren, wie zum Beispiel die Möglichkeit ständig erreichbar zu sein oder aber neue Möglichkeiten in der medizinischen Überwachung von Patienten auch über große Entfernungen hinweg. Mit der Nutzung dieser Möglichkeiten macht sich die Gesellschaft aber auch abhängig von deren Verfügbarkeit. Entsprechend ist es notwendig, die Funktionsbereitschaft der benötigten Infrastruktur zu gewährleisten. Diese Infrastruktur wird unter dem Begriff kritische Informationsinfrastruktur zusammengefasst. Inzwischen gibt es eine Reihe von Projekten und Forschungsarbeiten die sich mit dem Schutz kritischer Informationsinfrastruktur befassen. Teil der kritischen Informationsinfrastruktur ist das Internet. Die Nutzung des Internets hat sich in den letzten Jahren vervielfacht. Aus dem 9. Faktenbericht zum Monitoring der Informationswirtschaft 1 geht hervor, dass im Jahr 1997 nur 6,5% der Deutschen online waren, im Jahr 2006 hingegen schon 57,6%. Demnach sind weltweit inzwischen 16% der Bevölkerung online und inzwischen haben 94% der Unternehmen in Deutschland einen Internetzugang. Einher mit dieser Entwicklung ging die Wandlung von einer Plattform für den Austausch von Information hin zu einer Plattform auf der die verschiedensten Informationen und Dienstleistungen angeboten werden. Ein Beispiel dafür ist das Online- Lexikon Wikipedia das es ermöglicht Begriffe schnell nachzuschlagen. Ein anderes Beispiel sind Unternehmen wie Amazon oder ebay, die ihre Dienstleistungen nur über das Internet anbieten und keinen anderen Vertriebskanal nutzen. Nach Aussage des Faktenberichtes werden sich die Umsätze im Bereich E-Commerce von fast verdoppeln. Ebenso wichtig ist als Kommunikationsmittel geworden. Nach einer Studie 2 von ARD/ZDF durchgeführt vom Institut Enigma Gfk für Medien- und Marktforschung nutzen 78% der Deutschen das Internet mindestens einmal wöchentlich zur Versendung von s. In Zukunft werden weitere Dienste verstärkt in den Vordergrund treten, hier sei VoIP an- 1 [12] 2 [29] 5

6 6 KAPITEL 1. EINFÜHRUNG geführt aber auch die Möglichkeiten des E-Government 3. Die Betrachtungen des 9. Faktenberichtes deuten an, dass das Internet eine wichtige Ressource der Informationsinfrastruktur geworden ist. Ein Ausfall dieser Ressource kann zu relativ großen Problemen führen. Bezogen auf die Beispiele Amazon und ebay bedeutet das letztlich den Verlust von Geld, da die Dienstleistungen nicht angeboten und damit auch nicht verkauft werden können. Dies wiederum kann bei wiederholten Ausfällen bis zur Bedrohung der Existenz von Unternehmen führen. Im Bereich ist Spam oder die Verbreitung von Würmern und Trojanern ein großes Problem 4. Während Spam vor allem lästig ist und durch den Verlust von Zeit für deren Bearbeitung Kosten verursacht, sind Würmer und Trojaner eine weit größere Bedrohung. Insbesondere deren Einsatz im Bereich der Wirtschaftsspionage gibt Grund zur Besorgnis. Durch Schadfunktionen wie das Löschen oder Ausspähen von wichtigen Daten stellen sie für Unternehmen eine ernsthafte Bedrohung dar. Das FBI schätzt, dass den US-Unternehmen jährlich Schäden in Höhe von 54 Milliarden Euro durch Angriffe und Missbrauch der IT-Infrastruktur entstehen 5. Entsprechend diesen Daten sind die weltweiten Ausgaben für IT-Sicherheit vom Jahr 2002 bis zum Jahr 2006 von 18,2 Milliarden Euro auf 35,8 Milliarden gestiegen. Ein Ergebnis des Lageberichts IT-Sicherheit 2007 herausgegeben vom BSI 6 zeigt, dass IT-Sicherheitskompetenz wenig verbreitet ist. Nach dieser Studie arbeitet jeder zweite befragte Nutzer weiterhin mit Administratorrechten. Allerdings lässt sich ein Trend im Hinblick auf eine Verbesserung der Situation feststellen. Bezüglich Unternehmen sagt die Studie aus, dass diese den Bedarf an Sicherheitsstrategien erkannt haben aber nur ein Fünftel davon Richtlinien zur Informationssicherheit haben. In den Unternehmen die Richtlinien zur Informationssicherheit haben sind aber nur zwei Drittel der Mitarbeiter mit den Richtlinien vertraut. Die Lage in den Verwaltungen hat sich in den zwei Jahren nach der Veröffentlichung des Lageberichts zur IT-Sicherheit 2005 zum Teil verbessert. Nach dem Bericht wurden nicht alle Mängel beseitigt aber konkrete Maßnahmen eingeleitet. Bezüglich der Art der Sicherheitsvorfälle die vorherrschen nennt der Lagebericht: Zero-Day-Exploits Trojanische Pferde Viren Würmer Spyware/Adware DDoS-Angriffe Unerwünschte s Bot-Netze Phishing 3 s. [12] 4 s. [12], [3] 5 vgl. [12] 6 [3]

7 1.1. MOTIVATION 7 Identitätsdiebstahl/Social Engineering Dialer Ping-Anrufe Innentäter Zur Verdeutlichung der Entwicklung seien einige Zahlen des BSI-Lageberichts angeführt. Die Zahl der im Jahr 2006 entdeckten Sicherheitslücken betrug Das entspricht einem Anstieg von 40 % im Vergleich zum Vorjahr.In 52.5 % der Fälle ermöglichte es die Sicherheitslücke an Benutzer bzw. Administratorrechte zu gelangen. Im Bereich der DDoS-Angriffe sind nach der Studie insbesondere SYN-Flood-Angriffe verbreitet. Die Zahl der SYN-Flood-Angriffe ist nach der Studie von 2004 bis zum ersten Halbjahr 2005 um 680 % gestiegen. Eine weitere Überprüfung im zweiten Halbjahr 2005 ergab eine weitere Steigerung um 51 %. Im Bereich sind ca. 80 % als Spam zu klassifizieren. Im Behördennetz IVBB lag die Zahl bei 85 % im Jahr Im Rahmen der Abschätzung des Risikopotenzials zukünftiger Technologien identifiziert das BSI folgende Technologien mit hohem Risikopotenzial: Voice over IP Wireless LAN Handy/PDA Asynchrones Javascript und XML (AJAX) Prozesssteuerungssysteme RFID Basierend auf solchen Szenarien ist ein Schutz der kritischen Infrastruktur Internet notwendig. Dieser Bedarf wurde auch von der Bundesregierung erkannt 7. Teil dieser Bemühungen ist die Entwicklung eines Frühwarnsystems für das Internet. Ziel eines solchen Frühwarnsystems ist die Erstellung eines Bildes der IT-Sicherheitslage. Wichtiger Punkt dabei ist die Erkennung von Gefahren. Gemeint sind damit z.b. DoS-Angriffe oder die Ausbreitung eines Wurms. Diese sollten wenn möglich bereits in der Entstehungsphase erkannt und entsprechende Alarme generiert werden. Basierend auf diesen Alarmen sollte das System bei der Festlegung von Gegenmaßnahmen unterstützend wirken. Als Beispiel sei die Ausbreitung eines Wurms angeführt. Diese lässt sich möglicherweise durch den Schutz bestimmter Knoten verlangsamen bzw. verhindern, entsprechend sollte das System Unterstützung bei der Identifikation der sinnvollsten Knoten bieten 8. Der Begriff Schutz kann auf verschiedenste Arten interpretiert werden. War gerade vom Schutz vor Angriffen die Rede, ist ein anderer Aspekt die Erhaltung der Funktionsfähigkeit im Rahmen der normalen Verkehrsentwicklung. Das soll an einem Beispiel erläutert werden. Eine Technologie, die in Zukunft immer 7 vgl. [7] 8 Eine Arbeit die sich zwar nicht mit der Ausbreitung von Würmern aber ganz allgemein mit der Ausbreitung von Störungen in Kommunikationsnetzen befasst ist [27].

8 8 KAPITEL 1. EINFÜHRUNG mehr an Bedeutung gewinnen wird, ist IPTV. Einher mit dieser Entwicklung geht ein steigender Bandbreitenbedarf. Wird der Trend zu IPTV und damit der steigende Bedarf an Bandbreite nicht rechtzeitig erkannt, kann das zu einer Unterdimensionierung der Leitungen führen und damit zu einer sinkenden Verfügbarkeit des Internets. Schutz ist in diesem Fall also als eine frühzeitige Weichenstellung beim weiteren Ausbau der Netze zu verstehen. Allgemeiner formuliert erscheint es für die Aufrechterhaltung der Betriebsbereitschaft notwendig auch die Technologieentwicklung im Auge zu behalten 9. Im nächsten Schritt stellt sich die Frage nach der Realisierung eines Frühwarnsystems für das Internet. Im Bereich lokaler Netze existieren bereits Systeme für den Schutz. Zu nennen sind hier insbesondere Intrusion Detection Systeme 10 bzw. Intrusion Prevention Systeme. Ziel muss es sein ein ähnliches System für das Internet zu entwickeln bzw. die vorhandenen Systeme so zu nutzen, dass sie es ermöglichen ein Lagebild der IT-Sicherheit zu erstellen und Entscheidungen für die zukünftige Entwicklung zu treffen. 1.2 Aufbau der Arbeit Im weiteren Verlauf der Arbeit sollen in Kapitel 2 zunächst Technologien für den Schutz lokaler Netze vorgestellt werden. In diesem Bereich existieren eine Reihe von Technologien. Ziel dieses Kapitels ist, durch deren Verständnis die Basis für das Verständnis des Unterschieds für die Sicherheitsbedürfnisse auf Ebene lokaler Netze und der globalen Ebene des Internets zu legen. Weiterhin soll dieses Kapitel einen Einblick in die Vielfalt dieses Themengebietes ermöglichen. In Kapitel 3 wird der Aspekt Sicherheit des Internets beleuchtet. Hier soll versucht werden den Unterschied zur Sicherheit in lokalen Netzen deutlich zu machen, um basierend darauf die Ziele eines Internet-Frühwarnsystems herzuleiten. Aus diesen werden dann die Anforderungen abgeleitet und zum Abschluss des Kapitels werden dann aus diesen Zielen und Anforderungen die Komponenten eines Frühwarnsystems bestimmt. Kapitel 4 dient der Beschreibung der Aufgabe die mit dieser Arbeit gelöst werden soll. Dazu werden zunächst Projekte vorgestellt die sich mit dem Thema Internet-Frühwarnsystem befassen. Dies soll einen Überblick über das Forschungsfeld geben und so die eigentliche Aufgabenstellung motivieren. 9 vgl. [21] 10 Eine Liste mit Referenzen zu IDS Literatur bietet [17]

9 Kapitel 2 Schutzmechanismen für lokale Netze 2.1 Allgemein Prinzipiell ist davon auszugehen, dass seit es Informationstechnik gibt auch Angriffe auf Informationstechnik existieren. Mit Zunahme der Bedeutung der Informationstechnik hat auch die Zahl der Angriffe zugenommen. Insbesondere die immer stärkere Vernetzung hat zu dieser Entwicklung beigetragen. Getrieben von dieser Tatsache und der Feststellung, dass die Informationsinfrastruktur eine immer größere Bedeutung für das Funktionieren der Gesellschaft spielt, wurden verschiedene Schutzmaßnahmen für die Informationsinfrastruktur entwickelt. Dabei handelt es sich im Allgemeinen um Schutzmaßnahmen für lokale, geschlossene Netze, die über eine Anbindung oder wenige Anbindungen mit der Außenwelt verbunden sind. Wichtige Technologien in diesem Bereich sind: Firewalls Honeypots Intrusion Detection Systeme Intrusion Prevention Systeme Antivirus Software Technologien zur Spamabwehr Im Folgenden sollen diese Technologien kurz vorgestellt werden, wobei keine tiefere Einführung in das jeweilige Themengebiet erfolgen soll. Für eine solche Einführung sei auf entsprechende Literatur verwiesen. 2.2 Firewalls Firewalls dienen der Trennung unterschiedlicher Netze. Dabei wird über Regeln definiert welcher Netzwerkverkehr die Firewall passieren darf und welcher 9

10 10 KAPITEL 2. SCHUTZMECHANISMEN FÜR LOKALE NETZE nicht. Ziel ist es zu verhindern, dass Angreifer auf kritische Dienste oder Unternehmensdaten zugreifen können bzw. eigentlich verbotene Verbindungen nach außen aufgebaut werden können. Eine Firewall besteht sowohl aus Software- als auch aus Hardwarekomponenten. Bei den Hardwarekomponenten handelt es sich um ein Rechnersystem mit Netzwerkschnittstellen. Die Softwarekomponenten implementieren die Funktionen der verschiedenen Firewallelemente. Es können folgende Elemente identifiziert werden 1 : Paketfilter Hierbei handelt es sich um einen Mechanismus zur Analyse von Netzwerkpaketen auf den Ebenen Netzzugang, Netzwerk und Transport. Die Netzwerkpakete werden basierend auf einem Regelwerk überprüft. Im Einzelnen kontrolliert werden: Ursprung des Netzwerkpaketes (internes oder externes Netz) Quell- und Zieladressen der Pakete (Netzzugangsebene) Auf der Netzwerkebene werden abhängig vom Protokoll verschiedene Prüfungen durchgeführt. Beispiele sind für das IP-Protokoll die Prüfung der Quell- und Ziel-IP Adressen oder der Flags. Handelt es sich um ICMP, werden die ICMP-Kommandos geprüft. Auf der Transportebene werden im Fall von TCP/UDP die Portnummern geprüft und im Fall von TCP auch die Richtung des Verbindungsaufbaus. Das Regelwerk für die Überprüfung der Pakete wird im Normalfall fest vorgegeben. Dabei wird eine Regelbasis erstellt, die nur die notwendige Kommunikation erlaubt. Eine Erweiterung dieses Prinzips stellen dynamische Paketfilter dar. Diese sind in der Lage dynamisch Regeln in die Regelbasis einzufügen und wieder zu entfernen. So ist es z.b. möglich das die Firewall dynamisch eine Regel erstellt die es ermöglicht das eine Antwort auf eine per UDP-Protokoll gestellte Anfrage passieren kann. Vorteile eines Paketfilters sind die transparente Einbindung in die Leitung, einfache Erweiterbarkeit bezüglich neuer Protokolle, leichte Realisierbarkeit und hohe Performance. Nachteile sind unter anderem die Beschränkung der Analyse auf die unteren Netzwerkschichten, der nicht vorhandene Schutz für Anwendungen (FTP, HTTP,...) und die Möglichkeit Protokolldaten nur bis zur Schicht vier zu sammeln. Stateful Packet Inspection Eine Erweiterung der Paketfiltertechnik ist die Stateful Packet Inspection. Anstatt jedes Netzwerkpaket einzeln zu behandeln wird versucht die Pakete zueinander in Beziehung zu setzen. Dazu werden Statusinformationen zu den aktuellen Verbindungen gespeichert und auch die Netzwerkpakete auf höheren Netzwerkschichten analysiert. Die Statusinformationen werden in Form von Zuständen verwaltet. Ein möglicher Zustand ist z.b. Verbindungsaufbau. Vorteile sind z.b. die Transparenz und die einfache Erweiterbarkeit um neue Protokolle. Nachteil ist die Komplexität der Lösung. 1 Vergleiche bezüglich der folgenden Ausführungen auch [20].

11 2.3. HONEYPOTS 11 Application Gateway Die bisher angesprochenen Mechanismen filtern die Netzwerkpakete nur auf unterster Ebene. Die eigentlich transportierten Anwendungsdaten der Dienste werden nicht in die Filterung mit einbezogen. Mit Hilfe des Application Gateways wird es möglich auch Anwendungsdaten zu berücksichtigen. Dabei können z.b. vertrauliche Informationen aus dem Datenstrom gefiltert werden oder Anwendungsprotokolle blockiert werden. Die grundlegende Idee ist, dass ein Benutzer nicht direkt mit seinem Zielsystem kommuniziert, sondern mit dem Application Gateway. Auf dem Application Gateway kann die Kommunikation dann analysiert und weitergeleitet werden. Dies sollte für den Benutzer transparent sein 2. Für jeden Dienst der zugelassen werden soll, muss auf dem Application Gateway eine Software existieren die für die Weiterleitung zuständig ist. Diese Software wird Proxy genannt. Ein Proxy ist also dafür zuständig die Netzwerkkommunikation - die mit einem Dienst zu tun hat - zu analysieren und weiterzuleiten. Dazu muss der Proxy das Anwendungsprotokoll des Dienstes kennen. Entsprechend werden Proxies speziell für einen Dienst entwickelt. Beispiele sind SMTP-Proxies, HTTP-Proxies, FTP-Proxies usw. Solche Proxies werden Application Level Proxies genannt. Dem gegenüber stehen Circuit Level Proxies die generisch gehalten sind und so für Dienste eingesetzt werden können die verschiedene Protokolle einsetzen. Adaptive Proxy Bei Adaptive Proxies wird versucht, die Vorteile von Paketfiltern und Application Gateways zu vereinen. Dazu ist die Verarbeitung der Daten in zwei Phasen eingeteilt. In der ersten Phase, der Verbindungsaufbauphase, verhält sich der Adaptive Proxy wie ein Application Gateway. In der zweiten Phase, der Datentransferphase, wie ein Paketfilter. Die Theorie dahinter ist, dass Angriffe in der Phase des Verbindungsaufbaus entdeckt werden können und danach nur noch einfache Prüfungen notwendig sind. 2.3 Honeypots Honeypots sind Systeme, die bekannte Dienste und deren Sicherheitslücken emulieren. Ziel ist es Angreifer von den produktiven Systemen wegzulocken und, deren Angriffstechniken zu protokollieren. Dazu werden Honeypots so im Netzwerk verteilt, dass die normalen Anwender nichts von ihnen wissen. Angreifer werden über kurz oder lang über die Honeypots stolpern und sie angreifen. Diese Angriffe werden dann von den Honeypots protokolliert und können so analysiert werden. Unterschieden wird zwischen zwei Arten von Honeypots: Low Interaction Honeypots Diese Art von Honeypots emuliert verschiedene Dienste. Die Fähigkeiten sind beschränkt und es ist für einen Angreifer kein sehr großes Problem herauszufinden, das es sich um einen Honeypot und nicht um ein reales Rechnersystem handelt. Beispiele für diese Art von Honeypots sind honeyd, mwcollect oder Nepenthes. 2 Identifikation und Authentifikation gegenüber dem Application Gateway sind hier ausgenommen.

12 12 KAPITEL 2. SCHUTZMECHANISMEN FÜR LOKALE NETZE High Interaction Honeypots Bei diesen Honeypots handelt es sich um komplette Server, deren Betriebssystem so erweitert wurde, dass eine Überwachung aller Aktivitäten von Userspacesoftware möglich ist. Im Gegensatz zum Low Interaction Honeypot werden also nicht nur einzelne Dienste emuliert, sondern ein ganzes Betriebssystem dient als Honeypot. 2.4 Intrusion Detection Systeme Bei Intrusion Detection Systemen (IDS) handelt es sich um Systeme die Angriffe auf Computersysteme bzw. Netzwerke entdecken und als Reaktion darauf Alarme generieren sollen. Basierend auf den Alarmen können dann Gegenmaßnahmen eingeleitet werden, um den entdeckten Angriffen zu begegnen. Einsatzgebiet solcher Systeme sind geschlossene Organisationseinheiten. Im Kern kann zwischen zwei Arten von Intrusion Detection Systemen unterschieden werden: Host-based IDS Es handelt sich hierbei um IDS die ein Rechnersystem überwachen und dafür auf dem entsprechenden Rechnersystem installiert sein müssen. Um effektiv zu sein muss das IDS stark mit dem Betriebssystem des Rechnersystems interagieren und Zugriff auf verschiedene Daten des Rechnersystems haben. Zugegriffen wird z.b. auf Logdateien oder Daten aus dem Betriebssystemkern, wie Informationen zu Funktionsaufrufen bzw. Zugriffen auf geschützte Ressourcen. Network-based IDS Im Gegensatz zum Host-based IDS dienen Network-based IDS nicht zur Überwachung eines einzelnen Rechnersystems, sondern zur Überwachung von Netzsegmenten bzw. Netzen. Dazu wird die Netzwerkkommunikation überwacht. Das IDS hört dazu die gesamte Netzwerkkommunikation, d.h. die Pakete, mit und überprüft diese im Hinblick auf mögliche Angriffe. Neben diesen beiden Ansätzen sind auch Kombinationen dieser beiden Varianten im Einsatz. Solche Kombinationen werden unter dem Begriff hybride IDS zusammengefasst. Diese IDS überwachen also sowohl die Rechnersysteme, als auch den Netzwerkverkehr und versuchen so die Sicherheit weiter zu erhöhen. Zur Erkennung von Angriffen bzw. ungewöhnlichen Vorgängen kommen in IDS zwei verschiedene Ansätze zum Einsatz. Einer davon ist die Misuse Detection. Dabei wird nach Mustern bekannter Angriffe in den gesammelten Daten gesucht. Diese Muster werden Signaturen genannt. Wird eine Signatur gefunden, wird ein Alarm ausgelöst und der Verantwortliche kann entsprechend reagieren. Der Vorteil dieses Ansatzes ist die hohe Erkennungsrate sowie eine geringe Anzahl an Fehlalarmen. Dem gegenüber steht das Problem, dass nur bekannte Angriffe erkannt werden können. Ein anderes Problem dieses Ansatzes ist die Generierung guter Signaturen für die Angriffserkennung 3. Nur wenn die Signatur gut ist, können Angriffe auch wirklich erkannt werden. Ebenfalls problematisch ist bei steigender Signaturanzahl der Performance-Aspekt. Ein Beispiel für Misuse Detection bietet [4]. Einen anderen Weg geht der Ansatz der Anomalie Detection. Dabei wird nicht versucht für jeden Angriff eine Signatur zu erzeugen anhand dessen er 3 s. [15, 24])

13 2.5. INTRUSION PREVENTION SYSTEM 13 erkannt werden kann, sondern es wird versucht den Normalzustand zu beschreiben. Abweichungen von dem beschriebenen Normalzustand können dann erkannt werden. Vorteil dieses Vorgehens ist die Möglichkeit auch unbekannte Angriffe zu erkennen. Problematisch dabei ist allerdings die Beschreibung des Normalzustands. Dieser muss identifiziert und dann geeignet beschrieben werden. Insbesondere die Identifizierung dessen was normal ist macht große Probleme. Hier fällt insbesondere ins Gewicht, dass die Welt nicht ideal ist, sich also nicht hundertprozentig an Spezifikationen hält, sondern in einem bestimmten Maß um die idealen Verhältnisse streut. Ein anderes Problem ist die Änderung des Normalzustands über die Zeit, sodass sich auch die Beschreibung über die Zeit anpassen muss. Zur Anomalieerkennung werden verschiedene Methoden eingesetzt. Ein Beispiel dafür sind Zeitreihenverfahren wie z.b. in [26] beschrieben. Gebiet intensiver Forschung ist auch der Einsatz von KI-Methoden in diesem Bereich. Eingesetzt werden dabei z.b. Verfahren wie Neuronale Netze ([19, 23, 1]), Support Vector Machines ([18]), Informationstheorie ([16]) oder graphenbasierte Ansätze ([6]). Aktuelle Forschung im IDS-Bereich beschäftigt sich neben der Entwicklung besserer Methoden zur Erkennung von Anomalien auch mit verteilten IDS- Systemen. Hier werden die Komponenten des IDS auf mehrere Systeme verteilt. Dabei gibt es unterschiedliche Ansätze die verfolgt werden: Zentralistischer Ansatz Bei diesem Ansatz werden auf den einzelnen Rechnersystemen Agenten verteilt, die in der Lage sind einfache Vorverarbeitungen der Daten vorzunehmen und die Daten danach an eine zentrale Auswertungseinheit zur Analyse weiterleiten. Dort werden die Daten dann im Hinblick auf Angriffe ausgewertet. Hybrider Ansatz Dieser Ansatz erweitert die Fähigkeiten der lokalen Agenten soweit, dass sie Teilanalysen auf den gesammelten Daten ausführen können. Die Ergebnisse dieser Analysen werden dann an eine zentrale Auswertungseinheit gesendet und dort weiterverarbeitet. So kann die transferierte Datenmenge reduziert werden. nicht zentralistischer Ansatz Bei diesem Ansatz werden identische Elemente auf den Rechnersystemen verteilt die interagieren. Jedes dieser Elemente ist in der Lage Analysen durchzuführen und Daten von anderen Elementen anzufordern bzw. an andere Elemente weiterzuleiten. Durch dieses vorgehen wird eine hohe Ausfallsicherheit und eine Verringerung des Datenverkehrs erreicht. Letztere sind aktuell Gegenstand der Forschung und noch nicht in käufliche Produkte umgesetzt worden. 2.5 Intrusion Prevention System Eine Erweiterung der IDS-Technologie stellen Intrusion Prevention Systeme (IPS) dar. Es handelt sich dabei um IDS die auf Angriffe reagieren, d.h. automatisiert Gegenmaßnahmen einleiten können. So kann ein IPS z.b. den Datenstrom unterbrechen bzw. kann allgemein die Regeln der Firewall beeinflussen. Es werden verschiedene Arten von IPS unterschieden:

14 14 KAPITEL 2. SCHUTZMECHANISMEN FÜR LOKALE NETZE Host-based Dient dem Schutz eines Rechnersystems und ist auch auf diesem installiert. Entspricht dem Prinzip eines Host-Based IDS. Network-based Diese Form von IPS soll das Eindringen bzw. Angriffe auf Hosts in einem Netzwerk verhindern. Sie sind mit Network-Based IDS zu vergleichen und analysieren Netzwerkverkehr. Content-based Content basierte IPS analysieren den Inhalt von Netzwerkpaketen. Im Allgemeinen wird dabei nach Signaturen bekannter Angriffe gesucht und bei Auffinden solcher Angriffe werden Maßnahmen zur Abwehr ergriffen. Protocoll Analysis Diese Form von IPS analysieren Anwendungsprotokolle. Dadurch wird es möglich Protokolle detailliert, im Hinblick auf spezifische Angriffe, zu analysieren. Rate-based Diese Form von IPS dienen speziell der Behandlung von DoS- bzw. DDoS-Angriffen. Die Systeme versuchen das Normalverhalten zu lernen, und über thresholdbasierte Abweichungsanalysen Angriffe zu erkennen. 2.6 Maßnahmen gegen Spam Zur Vermeidung von Spam gibt es verschiedene Ansätze die alle mehr oder weniger effektiv sind. Dazu zählen Verfahren wie Black-, White- und Greylisting und das Filtern von Mail. Auf Blacklisten werden Adressen gesammelt die bekannt für die Versendung von Spam sind. Ein Mailserver kann eine Adresse somit vor Annahme einer Mail überprüfen und dann gegebenenfalls ablehnen. Eine Whitelist speichert dagegen Adressen von denen Mails immer akzeptiert werden sollen. Kommt eine Mail von einer Adresse die auf einer Whitelist steht, nimmt er sie an. Wichtig bei diesen Verfahren ist eine hohe Aktualität der verwendeten Listen, ist diese nicht gewährleistet sind sie praktisch nutzlos. Eine weitere Gefahr besteht darin, dass Adressen irrtümlich auf einer Blacklist landen. In diesem Fall hat der Betroffene das Problem wieder von diesen Listen entfernt zu werden, da er sonst keine Mails mehr versenden kann. Das Verfahren des Greylisting nutzt aus, dass Spamversender Mails nicht wiederholt senden. Das Prinzip dahinter ist das die Mailserver eine Mail beim ersten Versuch abweisen und dem Versender sagen er soll es später noch mal versuchen. Die Mail wird dann vom Empfangsserver in eine Greylist aufgenommen. Versucht der Versender es dann später ein zweites Mal, schlägt der Empfänger in seiner Greylist nach und nimmt die Mail an, sofern sich dort ein Eintrag über den ersten Sendeversuch findet. Grundsätzlich handelt es sich beim Greylisting um ein einfaches Verfahren das nur für eine gewisse Verzögerung bei der Zustellung von Mails sorgt. Problematisch ist es nur in den Fällen in denen Mailserver fehlerhaft implementiert sind und keinen weiteren Zustellversuch unternehmen. In diesem Fall können Mails verloren gehen. Bei der Filterung wird versucht Spammails anhand der Mail bzw. ihres Inhalts zu erkennen. Dabei werden verschiedene Verfahren eingesetzt die den Text der analysieren. Ein mächtiges lernfähiges Verfahren sind Baysche Filter, die Methoden der Bayschen Wahrscheinlichkeit anwenden. Andere Ansätze nutzen Neuronale Netze, die ebenfalls lernfähig sind. Problematisch an den Filtern

15 2.7. ANTIVIRUSSOFTWARE 15 sind die Fehlerraten bei der Erkennung. Eine hundertprozentige Erkennung ist aufgrund der Variabilität der Texte nicht zu realisieren. 2.7 Antivirussoftware Viren, Würmer und Trojaner stellen wie in der Einleitung bereits erwähnt ein großes Problem dar. Neben gesundem Menschenverstand bieten insbesondere Virenscanner einen Schutz gegen diese Bedrohung. Die Scanner suchen im Computersystem nach Signaturen bekannter Viren und können bei Auffinden einer entsprechenden Signatur versuchen diese zu entfernen. Die Signaturen verwaltet das Programm in einer Datenbank. Unterschieden werden folgende Arten von Scannern: Echtzeitscanner Diese Form von Scannern schützt das System im laufenden Betrieb d.h., sie laufen automatisiert im Hintergrund mit. Sie scannen während des Betriebs des Systems die Dateien, den Speicher und zum Teil auch den Netzwerkverkehr nach bekannten Signaturen. So wird z.b. beim Zugriff auf eine Datei zunächst ein Scan durchgeführt (On Access Modus) bevor der eigentliche Zugriff durchgeführt wird. Wird eine Signatur erkannt, meldet sich der Scanner beim Nutzer und fragt nach der auszuführenden Aktion, das kann z.b. das Löschen der Datei sein oder der Versuch die Datei zu bereinigen. Manuelle Scanner Diese Scanner laufen nicht automatisch im Hintergrund, sondern müssen manuell vom Nutzer gestartet werden (On Demand Modus). Auch hier wird nach Auffinden einer Signatur der Benutzer nach der durchzuführenden Aktion gefragt. Durch die Arbeitsweise bieten sie im Gegensatz zum Echtzeitscanner keinen präventiven Schutz. Online Scanner Online Scanner laden ihren Programmcode und die Virensignaturen aus dem Netzwerk d.h., sie sind nicht fest auf dem Computer installiert. Es handelt sich um Scanner, die im On Demand Modus arbeiten und deswegen keinen präventiven Schutz bieten. Wichtiger Bestandteil eines Antivirusprogrammes ist die Signaturdatenbank. Ist diese nicht aktuell, kann der Scanner nicht effektiv eingesetzt werden. Inzwischen verfügen alle Programme über automatisierte Updates. Dabei ist es besonders wichtig, dass Signaturen für neue Viren möglichst schnell zur Verfügung gestellt werden, d.h. das die Reaktionszeit des Herstellers möglichst klein ist. 2.8 Anwendung der Technologien Die hier vorgestellten Technologien dienen zur Sicherung dezidierter Systeme bzw. Netze. Dies soll anhand eines Beispiels erläutert werden. Ausgangspunkt der Betrachtungen soll ein einfaches Unternehmensnetzwerk mit einem Webund -Server sowie einer Menge von Workstations sein. Das Netzwerk ist über einen Uplink mit dem Internet verbunden. Das Netz ist in Abbildung 2.1 dargestellt. Dieses Beispiel soll nur einen Überblick über den Einsatzpunkt der angesprochenen Technologien liefern und stellt keine Anleitung für deren optimalen Einsatz dar, dazu sei auf entsprechende Literatur verwiesen.

16 16 KAPITEL 2. SCHUTZMECHANISMEN FÜR LOKALE NETZE Abbildung 2.1: Unsicheres Netz Zum Schutz dieses Netzwerks werden die vorgestellten Technologien eingesetzt. Basis ist eine Aufteilung in drei Netzbereiche die durch eine Firewall getrennt werden. Getrennt wird in das externe Netz, die demilitarisierte Zone (DMZ) und das interne Netz. Das externe Netz gilt als nicht vertrauenswürdig, insbesondere deswegen, weil es Netzwerke sind über die keine Kontrolle ausgeübt werden kann. Im Beispiel handelt es sich um das Internet. Die demilitarisierte Zone ist ein Netzbereich in dem von außen erreichbare Server angesiedelt sind, hier der -Server und der Webserver. Dieser Netzbereich ist vom eigentlichen internen Netz getrennt und im Normalfall ist ein Verbindungsaufbau aus der DMZ in das interne Netz nicht möglich. Zur Realisierung dieses Aufbaus werden zwei Paketfilter eingesetzt. Paketfilter Nr. eins trennt die DMZ vom externen Netz und Paketfilter Nr. zwei trennt die DMZ vom internen Netz. Wie in den vorhergehenden Kapiteln angedeutet ist der Einsatz eines Paketfilters alleine im Normalfall nicht ausreichend. Ebenso sollten Application Gateways mit Proxies für die verwendeten Dienste eingesetzt werden. Dabei stellt sich die Frage, wo die Internet-Server positioniert werden. Die können sowohl vor dem Application Gateway positioniert werden als auch durch einen dritten Netzanschluss am Application Gateway. Diese Variante ist in Abbildung 2.1 dargestellt. Der nächste Schritt zur Sicherung des Netzes besteht in der Einrichtung von Intrusion Detection bzw. Intrusion Prevention Systemen. Während Firewalls zur Verhinderung unerwünschten Datenverkehrs dienen, werden diese Systeme zur Erkennung von Angriffen auf das Netz bzw. unerlaubtem Eindringen in das Netz verwendet. Netzwerkbasierte Systeme können z.b. vor oder hinter der Firewall installiert werden. Ein Beispiel zeigt Abbildung 2.3. Host-basierte IDS können zusätzlich auf besonders zu schützenden Rechnersystemen installiert werden. Im Beispiel könnten das z.b. die Server sein oder einige Workstations auf denen wichtige Daten liegen. Siehe dazu auch Abbildung

17 2.8. ANWENDUNG DER TECHNOLOGIEN 17 Abbildung 2.2: Netz mit Paketfiltern Abbildung 2.3: Netz mit Paketfiltern und IDS

18 18 KAPITEL 2. SCHUTZMECHANISMEN FÜR LOKALE NETZE 2.3. Zur weiteren Sicherung des Netzes können Honeypots eingesetzt werden. Diese dienen dabei vorwiegend als Köder und lenken so Angriffe von den eigentlichen Rechnersystemen ab. Weiterhin bieten sie die Möglichkeit Angriffe zu protokollieren und können so, durch Analyse dieser Logdateien, Anhaltspunkte für eine weitere Verbesserung der Sicherheit liefern. Honeypots werden dazu im Netz untergebracht, sind aber den normalen Nutzer nicht bekannt. Entsprechend wird jeder Zugriff auf die Honeypots als potenzieller Angriff gewertet. Die richtige Konfiguration des Mailservers ist ein weiterer Punkt der bei der Absicherung des Netzwerkes zu beachten ist. Neben Maßnahmen gegen Spam sollten insbesondere Maßnahmen gegen Virenmails getroffen werden. So sollte, wenn möglich, ein Virenscanner sowie ein Spam-Filter auf dem System installiert sein. Zu guter Letzt sollte zur Sicherung gegen Viren, Würmer und Trojaner auf jeder Workstation Antivirussoftware eingesetzt werden. Es ist aber auch möglich, die Antivirussoftware an einem zentralen Punkt im Netz zu platzieren. Wichtig dabei sind regelmäßige Updates des Herstellers, damit die Viren- Datenbank aktuell ist. Der letzte Punkt gilt dabei ganz allgemein. Auf jedem Rechnersystem sollten immer die aktuellsten Sicherheitsupdates eingespielt sein. 2.9 Bewertung der Technologien Die hier vorgestellten Technologien sind alle mehr oder weniger etabliert und werden im realen Betrieb eingesetzt. Dabei sind sie mehr oder weniger erfolgreich. Viel hängt von der richtigen Konfiguration der Systeme ab. Das gilt z.b. insbesondere für Firewalls und Intrusion Detection Systeme. Ein wichtiger Kritikpunkt an den meisten der Systeme ist deren Konzentration auf den Einsatz in geschlossenen Umgebungen. Sie sind dafür entworfen worden eine geschlossene Einheit vor Angriffen von Außen zu schützen. Dabei versuchen diese Systeme das Eindringen von Angreifern zu verhindern bzw. Schadsoftware die bereits auf die internen Computersysteme gelangt ist aufzuspüren. Sie sind nicht darauf ausgelegt offene Systeme wie das Internet zu schützen. Hier gibt es keine Grenzen, die kontrolliert werden könnten, es gibt nur den Übergang von einem Autonomen System zum nächsten. Grundsätzlich könnten hier natürlich entsprechende Systeme zum Einsatz kommen, dies würde aber wieder nur für eine begrenzten Aktionsradius der Systeme sorgen. Dies geht einher mit einer Auswertung die nur auf lokal vorhandenen bzw. generierbaren Informationen basiert. Was diesen Systemen fehlt, ist eine Möglichkeit Informationen über die globale Sicherheitslage in die Auswertungen mit einzubeziehen. So ist z.b. die Information über einen globalen Anstieg des Verkehrs auf Port 7000 einhergehend mit der Messung von stärkerem Verkehr auf genau diesem Port im eigenem System eine viel stärkere Aussage als die alleinige Feststellung das lokal der Verkehr auf Port 7000 ansteigt. Die Systeme berücksichtigen nur lokale Ereignisse und vernachlässigen völlig die Welt um das geschützte System herum. Externe Informationen werden nur in sofern berücksichtigt, als das Updates von Signaturen in die Systeme übernommen werden. Nicht berücksichtigt werden allerdings aktuelle Ereignisse, wie z.b. die angesprochene Erhöhung des Verkehrs auf Port Es fehlt also letztlich an einer Schnittstelle zwischen den Systemen die es erlaubt diese Informationen auszut-

19 2.9. BEWERTUNG DER TECHNOLOGIEN 19 auschen. Eine solche Schnittstelle und Auswertmethoden welche diese Informationen berücksichtigen würden die Situation erheblich verbessern. Obwohl eine Kopplung der Systeme eine Verbesserung darstellen würde ist diese dennoch nicht optimal. Aufgrund der unterschiedlichen Umgebungen und der damit einhergehenden unterschiedlichen Konfigurationen der Systeme sind die Informationen schwer zu kombinieren. Dazu kommt die Problematik, das die Semantik in den Systemen unterschiedlich ist. Dazu ein Beispiel. Ab wann Verkehr auf einem Port als erhöht klassifiziert wird ist abhängig von der Verkehrssituation im überwachten Netzwerk und der Konfiguration der Überwachungssysteme 4. Damit lässt sich insgesamt folgendes Fazit ziehen. Die dargestellten Technologien eignen sich für den avisierten Einsatzzweck, sind aber für eine Überwachung des Internets als Ganzes eher ungeeignet. 4 Die wiederum von der Nervenstärke des Administrators abhängt.

20 20 KAPITEL 2. SCHUTZMECHANISMEN FÜR LOKALE NETZE

21 Kapitel 3 Sicherheit des Internets 3.1 Allgemein Eine Betrachtung des Internets zeigt, das es sich letztlich um ein Netz von Autonomen Systemen handelt. Jedes dieser Autonomen Systeme besteht aus einem oder mehreren Teilnetzen. Zwischen den Autonomen Systemen bzw. deren Teilnetzen werden Daten ausgetauscht und Dienste zur Verfügung gestellt. Die Sicherheit dieses Gebildes hängt letztlich von der Sicherheit der Teilkomponenten sowie deren Verbindungen ab. Im Internet gibt es aber keine zentrale Instanz die für die Sicherheit zuständig ist. Jedes der an das Internet angeschlossenen autonomen Systeme bzw. deren Teilnetze sorgt, mehr oder weniger, selbst für seine Sicherheit. Dazu werden unter anderem die in Kapitel 2 vorgestellten Technologien eingesetzt. Dabei wird im Normalfall nur auf Daten aus dem direkten Umfeld des zu schützenden Systems bzw. Teilnetzes zurückgegriffen. Damit sind Daten gemeint, die auf dem System bzw. an den Schnittstellen zum System erfasst werden können. Grundsätzlich macht dieses Vorgehen erst einmal Sinn. Angepasst an die eigentliche Architektur des Internets, die auf Verteilung basiert, ist auch die Sicherheit des Internets auf die beteiligten Autonomen Systeme und Teilnetze verteilt. Problematisch daran ist die eingeschränkte Sicht der einzelnen Beteiligten. Jeder sieht nur was in seinem Bereich vor sich geht. Es gibt keine Möglichkeit sich in Echtzeit über den Zustand der anderen autonomen Systeme und Teilnetze des Internets zu informieren und damit auch keine Möglichkeit frühzeitig auf Angriffe zu reagieren, solange diese sich noch im Anfangsstadium befinden bzw. sich noch nicht komplett ausgebreitet haben. Es fehlt die Möglichkeit einer globalen Sicht auf die Situation. Ein Beispiel dafür ist die Ausbreitung von Malware die eine Sicherheitslücke nutzt. Diese beginnt in einem autonomen System und breitet sich dann Schrittweise über das Internet aus. Wird die Ausbreitung früh genug erkannt, können Gegenmaßnahmen ergriffen werden. Dies ist aber nur möglich, wenn nicht nur das eigene Teilnetz betrachtet wird, sondern eine globale Sicht auf das Internet möglich ist. Eine Maßnahme mit diesem Problem umzugehen stellen CERTs dar. CERT steht für Computer Emergency Response Team. Diese Organisationen befassen sich mit dem Thema IT-Sicherheit und veröffentlichen Informationen zu sicherheitstechnischen Vorfällen in Form von Meldungen, z.b. auf Mailinglisten oder 21

22 22 KAPITEL 3. SICHERHEIT DES INTERNETS Webseiten. Diese Informationen ermöglichen einen Blick über den Tellerrand des eigenen Systems und bieten damit eine Möglichkeit auf Angriffe frühzeitig zu reagieren. Die CERTs sammeln diese Informationen aus verschiedenen Quellen und bereiten sie auf. Dabei werden keine, bzw. nur im beschränkten Umfang, automatisierte Verfahren eingesetzt. Vielmehr wird hier auf das Wissen von Experten gesetzt und auf Basis der Analysen dieser Experten werden Handlungsempfehlungen gegeben. Um dieses Vorgehen für das ganze Internet umzusetzen, müssen mehrere Probleme gelöst werden: Die Informationen, die zur Bewertung der Lage benötigt werden müssen beschafft werden. Das ist insbesondere deswegen problematisch, da niemand gerne Daten nach außen gibt, die potenziell sensible Informationen beinhalten. Für einen 24/7-Betrieb bedeutet das, ein Team mit gut ausgebildetem Personal parat haben zu müssen. Dieses Team kann aber nicht immer präsent bzw. verfügbar sein und ist zudem auch noch sehr kostenintensiv. Um eine Situation einschätzen zu können, ist es notwendig, die vorhandenen Daten zu analysieren. Das ist insbesondere aufgrund der zu erwartenden großen Datenmenge ein Problem. Insbesondere bezüglich der Erkennung unbekannter Angriffe ist der Erfolg dieses Vorgehens stark von den Fähigkeiten der Experten abhängig. Informationen zu Sicherheitslücken stehen nicht immer ausreichend schnell zur Verfügung. Selbst wenn die Informationen schnell genug zur Verfügung stehen, kann es sein das die Empfänger mit der Flut an Informationen überfordert sind. Diese Betrachtungen zeigen, das CERTs zwar für eine Verbesserung der Situation sorgen aber in Zeiten eines wachsenden Bedrohungspotenzials nicht ausreichend sind. Was letztlich benötigt wird, ist eine automatisierte Möglichkeit ungewöhnliche Situationen und Angriffe im Internet zu erkennen, Alarme zu generieren und im Idealfall Handlungsempfehlungen zu geben. Verkürzt ausgedrückt wird ein Intrusion Detection bzw. Prevention System für das Internet benötigt. Dieser Vergleich hinkt in der Art, dass es sich nicht um den Schutz eines geschlossenen Systems handelt, sondern um den Schutz eines offenen Systems, zu dem im Prinzip jeder Zugang hat. 3.2 Ziele eines Internet Frühwarnsystems Als oberstes Ziel eines Internet-Frühwarnsystems lässt sich die Unterstützung bei der Aufrechterhaltung der Funktionsfähigkeit des Internets identifizieren. Dieses, doch sehr allgemein formulierte, Ziel lässt sich noch weiter präzisieren. Für die Erhaltung der Funktionsfähigkeit des Internets sind zwei Aspekte relevant: Die frühzeitige Erkennung von Angriffen und das Ergreifen der richtigen Gegenmaßnahmen.

23 3.2. ZIELE EINES INTERNET FRÜHWARNSYSTEMS 23 Die Weiterentwicklung der Informationsinfrastruktur, so dass diese auch zukünftigen Anforderungen gewachsen ist. Basierend darauf lassen sich die Ziele eines Internet Frühwarnsystems damit identifizieren als das ermitteln der aktuellen IT-Sicherheitslage und der Sammlung und Auswertung von Informationen, sodass eine Einschätzung zukünftiger Entwicklungen möglich wird. Aus diesen beiden Zielen lassen sich die funktionalen Anforderungen eines Internet Frühwarnsystems ableiten. Im Einzelnen handelt es sich um: Erkennung von Angriffen Das Internet-Frühwarnsystem soll Angriffe frühzeitig erkennen. Beispiele sind DDoS-Angriffe oder die Verbreitung von Malware. Frühzeitig meint in diesem Zusammenhang die Entdeckung der Angriffe im Anfangsstadium bevor wirklich Schaden entstehen kann. Insbesondere bei Malware kann die frühzeitige Entdeckung helfen, das Problem einzudämmen. Das kann z.b. durch das Sperren von Ports oder Ähnlichem passieren. Wichtig ist, dass nicht nur bekannte Formen von Angriffen erkannt werden, sondern auch noch unbekannte Formen. Dabei ist es wichtig festzuhalten, das es sich im Fall unbekannter Angriffe immer nur um Hinweise handeln kann, da wahrscheinlich nur durch eine intensivere Analyse durch einen Experten geklärt werden kann, ob es sich tatsächlich um einen Angriff handelt. Unterstützung bei Entscheidungen Wird ein Angriff entdeckt, so ist es das Ziel diesen durch Gegenmaßnahmen zu beenden bzw. seine Auswirkungen zu minimieren. Welche Gegenmaßnahmen zu treffen sind ist nicht immer einfach zu entscheiden. Ziel eines Internet-Frühwarnsytems sollte es sein, dem Anwender hier eine Unterstützung bei der Entscheidung zu bieten. Das reicht von der Unterstützung durch Tools die Analysen ermöglichen, bis hin zur Unterstützung durch Experten-Systeme, die bei der Beurteilung der Lage durch Rückgriff auf eine Wissensdatenbank helfen. Unterstützung bei der Beweissicherung Wird ein Angriff entdeckt, ist es wichtig Beweise festzuhalten, um diese im Rahmen einer eventuellen Strafverfolgung verwenden zu können. Dabei geht es um Aspekte wie die Identifizierung der Urheber für eine mögliche Strafverfolgung und die Speicherung von Daten die als Beweis des Angriffs dienen können. Dabei sind insbesondere rechtliche Aspekte zu bedenken. Hier ist insbesondere der Datenschutz zu nennen. Überwachung der Verkehrsentwicklung Oben wurde bereits angedeutet, dass es für die Aufrechterhaltung des Betriebs nicht nur notwendig ist Angriffe frühzeitig zu erkennen, sondern auch die Notwendigkeit besteht die Infrastruktur weiter auszubauen. Dazu ist es notwendig abzuschätzen, welche Technologien an Bedeutung gewinnen und wie sich das Verkehrsaufkommen entwickelt. Entsprechend muss ein Internet Frühwarnsystem die Möglichkeit bieten Prognosen über die zukünftige Entwicklung des Verkehrs und der Nutzung der verschiedenen Technologien im Internet zu erstellen. Dazu müssen relevante Daten gesammelt werden. Basierend auf diesen Daten muss es möglich sein, Prognosen zur Verkehrsentwicklung zu

24 24 KAPITEL 3. SICHERHEIT DES INTERNETS erstellen und diese in Form von Reporten zu verteilen. Die Prognosen sollten sowohl kurz als auch langfristig erstellt werden. Kurzfristige Prognosen dienen dabei der Vorhersage des Bedarfs an Kommunikationskapazität für die nächsten Stunden bzw. den nächsten Tag. Auf Basis dieser Werte ist es dann z.b. möglich, die Routing Struktur im Netz anzupassen oder zusätzliche Leitungen freizuschalten. Dem gegenüber stehen langfristige Prognosen für eine langfristige Betrachtung der Verkehrsentwicklung. Sie sollen es ermöglichen, den Bedarf an Investitionen in die Infrastruktur zu ermitteln. Erstellung eines IT-Sicherheitslagebildes Die Daten aus den verschiedenen Quellen müssen in einer Form kombiniert und dargestellt werden, dass ein schneller Überblick über die aktuelle Lage der IT-Sicherheit im Internet möglich ist. Dazu müssen geeignete Darstellungsformen entwickelt werden und insbesondere die notwendigen Daten gesammelt werden. Ein Frühwarnsystem muss die Erreichung der genannten funktionalen Anforderungen durch das Bereitstellen entsprechender Funktionalitäten unterstützen können. Für einen stabilen und erfolgreichen Betrieb sind aber noch weitere Anforderungen zu erfüllen, die sich zum Teil aus den genannten funktionalen Anforderungen ergeben. Diese sollen im weiteren Verlauf vorgestellt werden. Ausfallsicherheit Das Frühwarnsytem muss rund um die Uhr verfügbar sein. Ausfälle des Frühwarnsystems würden Angreifern die Möglichkeit bieten unbemerkt Angriffe auszuführen. Daraus folgt das ein 24/7 Betrieb notwendig ist. Dieser kann nur gewährleistet werden, wenn die Komponenten des Frühwarnsystems redundant ausgelegt sind. Sicherheit gegen Angriffe Ein Internet-Frühwarnsystem wird wahrscheinlich selbst Ziel von Angriffen werden. Diese haben das Ziel die Überwachung auszuhebeln. Das kann z.b. durch das gezielte außer Betrieb setzen von Komponenten geschehen oder durch Manipulationen der Komponenten oder der gesammelten Daten. Es ist notwendig das Frühwarnsystem gegen solche Angriffe und Manipulationen zu sichern, da es sonst nicht zuverlässig einsetzbar ist. Wahrung des Daten-/Vertrauensschutzes Das Frühwarnsystem muss die Funktionalität die es erbringt, unter Berücksichtigung der geltenden Gesetze des Datenschutzes implementieren. Diese zu verletzen würde zum einen den Betrieb des Frühwarnsystems illegal machen und zum anderen die Frage aufwerfen, was wirklich mit dem Frühwarnsystem bezweckt wird. Das wiederum führt sehr schnell zu Akzeptanzproblemen. Wartbarkeit Die Wartbarkeit des Frühwarnsystems ist ein wichtiger Punkt. In den einzelnen Komponenten des Frühwarnsystems müssen Fehler bereinigt werden und die Komponenten müssen in ihren Fähigkeiten erweitert werden. Diese Aufgabe ist in einem nicht verteilten Softwaresystem schon nicht einfach. Ein Internet Frühwarnsystem besteht aber zumindest aus einer Reihe verteilter Sensoren. Dadurch wird die Aufgabe weit komplexer. Es müssen Konzepte entwickelt werden, welche die Wartung eines solchen Frühwarnsystems erleichtern.

25 3.3. EBENEN EINES FRÜHWARNSYSTEMS 25 Erweiterbarkeit Über die Zeit entwickelt sich das Internet weiter. Alte Technologien werden durch Neue ersetzt und entsprechend werden auch neue Angriffe für diese Technologien entwickelt. Ein Internet-Frühwarnsystem muss sich an diese Änderungen anpassen und um die Fähigkeiten zur Erkennung dieser neue Angriffe erweitert werden. In manchen Fällen bedeutet das einfach die Definition einer neuen Signatur, anhand dessen ein Angriff erkannt werden kann. In anderen Fällen muss die Sensorik angepasst werden, um die Daten zu sammeln, welche die Informationen zur Erkennung des Angriffs enthalten. Performance Die Datenmengen die zur Überwachung des Internets gesammelt und ausgewertet werden müssen sind sehr groß. Dies kann an einem einfachen Beispiel demonstriert werden. Bei der Überwachung einer 155MBit Leitung fallen in 1 Min. X Pakte an. Unter der Annahme die Auswertung eines Paketes dauert X, wird für die Auswertung aller Pakete X gebraucht. Im Internet muss aber nicht eine Leitung überwacht werden sondern viele. Die benötigte Leistung multipliziert sich so. Aus den genannten Anforderungen und Zielen ergibt sich die grundsätzliche Struktur eines Frühwarnsystems. Dabei handelt es sich um die Komponenten, deren Aufgaben und die möglichen Architekturen. Auf diese Aspekte soll im nächsten Kapitel eingegangen werden. Dort werden die Ebenen und Komponenten eines Frühwarnsystems vorgestellt, die im Rahmen dieser Arbeit identifiziert wurden. 3.3 Ebenen eines Frühwarnsystems Grundsätzlich ist der Kern eines Frühwarnsystems die Angriffserkennung. Allerdings handelt es sich dabei nur um einen Teil eines solchen Frühwarnsystems. Dazu kommen noch andere Komponenten und Aspekte, die bei der Forschung und Entwicklung berücksichtigt werden müssen. Ganz abstrakt lässt sich ein Frühwarnsystem in der Form F = (N, B, O, R, Z, K) N := Netzwerk, das überwacht werden soll. B := Organisationen, die am Frühwarnsystem beteiligt sind. O := Definition der Beziehungen der einzelnen Beteiligten und der Prozesse. R := Rechtliche Regelungen, die für den Betrieb notwendig sind. Z := Ziele, die mit dem Betrieb des Frühwarnsystems erreicht werden sollen. K := Technische Komponenten des Frühwarnsystems. (3.1) beschreiben. Abbildung 3.1 zeigt das im Bild. Die einzelnen Elemente sollen im Folgenden ausführlicher beschrieben werden.

26 26 KAPITEL 3. SICHERHEIT DES INTERNETS Abbildung 3.1: Ebenenmodell Frühwarnsystem Ebene Netzwerk Die Komponente N ist das Netzwerk, das überwacht werden soll. Gleichung 3.2 beschreibt das Netzwerk in Form eines Graphen. Für welche Netzwerkelemente die Knoten K stehen, hängt von der Art der Betrachtung des Frühwarnsystems ab. Sie können für einzelne Rechnersysteme, Teilnetze oder Gruppen von Teilnetzen stehen. Das hängt letztlich von der Ebene ab, auf der das Frühwarnsystem das Netzwerk überwacht. Über die Verbindungen E zwischen den Knoten findet die Kommunikation der Netzwerkelemente statt. N = (K, E) (3.2) Die Kenntnis des Netzwerks spielt eine wichtige Rolle für die Entwicklung eines Frühwarnsystems. Sie hat Auswirkungen auf zwei wesentliche Aspekte: Verteilung der Sensoren Nur basierend auf der Kenntnis des Netzwerks und insbesondere der Netzwerktopologie können Entscheidungen zur Verteilung der Sensoren getroffen werden. Dabei spielt nicht nur eine Rolle, dass Verbindungen zwischen Systemen vorhanden sind, sondern auch welche Aussagekraft die dort zu gewinnen Informationen haben. Handelt es sich um einen relativ unbedeutenden Knoten bzw. eine unbedeutende Verbindung im Internet oder nicht. Was genau ein wichtiger und was ein unwichtiger Knoten ist, hängt dabei von verschiedenen Kriterien ab. Verbreitung von Störungen Die Kenntnis der Netztopologie ist auch wichtig für das Verständnis der Ausbreitungen von Störungen. So beeinflusst

27 3.3. EBENEN EINES FRÜHWARNSYSTEMS 27 die Netzwerktopologie z.b., wie sich Malware ausbreitet. Ist die Netzwerktopologie bekannt und kann ein Modell für die Ausbreitung von Malware gefunden werden, so ist es möglich die Ausbreitung von neuer Malware vorher zu sagen und Gegenmaßnahmen zu ergreifen. Ähnliches gilt für andere Störungen die sich ausbreiten. Dazu gehören z.b. Spam- und Phishing-Wellen. Einfluss auf diese Aspekte haben Kennwerte wie der Vernetzungsgrad, die Datenmenge die über die Leitungen gehen sowie die Routen, welche die Datenflüsse nehmen. Im Rahmen der Betrachtung des Netzwerks stellen sich verschiedene Fragen: Wie kann die Struktur des Netzwerks ermittelt werden? Auf welchem Abstraktionsgrad sollte das Netzwerk beschrieben werden? Wie können wichtige Knoten ermittelt werden? Was gehört alles zum Netzwerk und was steht außerhalb? Ebene Beteiligte Die Komponente B ist die Menge der am Frühwarnsystem beteiligten Organisationen/Personen. Dabei soll beteiligt hier für aktiv beteiligt oder passiv beteiligt stehen. Bei aktiv Beteiligten handelt es sich um die am Aufbau und Betrieb des Frühwarnsystems beteiligten Personen/Organisationen. Dabei kann es sich um Betreiber von Sensoren, um Betreiber von Auswertungssystemen oder um die Betreiber eines Lagezentrums handeln 1. Es handelt sich bei aktiv Beteiligten also um diejenigen, die einen Beitrag leisten, der den Betrieb des Frühwarnsystems erst möglich macht. Unter den Begriff passiv Beteiligte fallen alle diejenigen, die nicht aktiv am Betrieb des Frühwarnsystems mitwirken, aber von den Informationen die das Frühwarnsystem sammelt, sowie den Auswertungsergebnissen profitieren. Das können verschiedene Institutionen bzw. Personen sein. Beispiele sind Hersteller von Antivirussoftware, die auf Basis der Daten neue Signaturen für Viren erstellen können, Unternehmen, welche die Informationen nutzen, um ihre Netzwerke zu schützen oder auch private Nutzer, die so über Bedrohungen informiert werden können. Die letztere Gruppe ist allerdings nicht die direkte Zielgruppe eines solchen Frühwarnsystems. B = {b 1, b 2,..., b n } = B A B P (3.3) Jeder Beteiligte b i verbindet eine Menge von Zielen Z bi = {z 1, z 2,..., z k } mit dem Betrieb eines Frühwarnsystems. Diese Ziele müssen nicht unbedingt übereinstimmen und können im Extremfall widersprüchlich sein. Die Menge der Ziele Z die mit dem Frühwarnsystem erreicht werden sollen, ist demnach eine Teilmenge der Ziele aller Beteiligten. Dies drückt 3.4 aus. 1 Die Aufzählung hat keinen Anspruch auf Vollständigkeit. Z Z bi (3.4)

28 28 KAPITEL 3. SICHERHEIT DES INTERNETS Abbildung 3.2: Beispiel für eine Aufbauorganisation Welche Ziele mit dem Aufbau und Betrieb eines Frühwarnsystems erreicht werden sollen, wurde in Kapitel 3.2 schon angesprochen. Die Feststellung das jeder Beteiligte eigene Ziele, Interessen und auch Bedenken hat ist wichtig, da nur bei Berücksichtigung dieser Aspekte genügend Beteiligte bereit sind, an dem Frühwarnsystem mitzuarbeiten. Dabei muss auch berücksichtigt werden das die einzelnen Beteiligten außerhalb der Umgebung des Internet Frühwarnsystems miteinander in Beziehung stehen. Dabei kann es sich um Kooperationsbeziehung aber auch um Konkurrenzbeziehungen handeln. Gerade letzteres hat Auswirkungen auf ein Internet Frühwarnsystem. Es muss z.b. sichergestellt sein, das keine kritischen Informationen einer Organisation von einer anderen Organisation eingesehen werden können. Selbst wenn das sichergestellt ist, dürfte es allerdings schwierig sein die einzelnen Organisationen zu überzeugen, an einem Frühwarnsystem mitzuwirken Ebene Organisation Die Komponente O beschreibt die Organisation eines Frühwarnsystems. Die Organisation lässt sich einteilen in die Aufbauorganisation und die Ablauforganisation. Die Aufbauorganisation legt die einzelnen organisatorischen Einheiten des Frühwarnsystems fest und deren Beziehungen zueinander. Ein Beispiel zeigt Abbildung 3.2. Eine mögliche organisatorische Einheit ist z.b. das Lagezentrum, in dem alle Informationen zusammen laufen. Eine andere kann z.b. durch die Gruppe der Sensorbetreiber gebildet werden. Wie genau eine effektive Organisation aussehen könnte, muss im Detail untersucht werden. Grob unterschieden werden können der zentrale und der dezentrale Ansatz bei der Organisation. O = (O Aufbau, O Ablauf ) (3.5) Die Ablauforganisation definiert die einzelnen Prozesse, die für den Betrieb eines Frühwarnsystems notwendig sind. Dabei geht es z.b. darum wie Informationen zum Lagezentrum gemeldet werden und die Festlegungen wie im Fall eines Gefahrensituation reagiert werden muss. Bei der Organisation sind verschiedene Punkte wichtig. Dazu gehören: Kurze Entscheidungswege Da im Fall eines Alarms meist nur wenig Zeit zur Reaktion bleibt, ist es wichtig hier eine sehr effiziente Reaktionskette zu haben. Die eingebundenen Organisationen müssen in der Lage sein in kürzester Zeit zu reagieren, um Schaden abzuwenden. Es bringt nichts

29 3.3. EBENEN EINES FRÜHWARNSYSTEMS 29 wenn eine Gefahr zwar erkannt wurde, aber durch verzögerte Reaktion, aufgrund nicht getroffener Entscheidungen, nicht unter Kontrolle gebracht werden konnte. Effiziente Informationswege Um richtige Entscheidungen treffen zu können ist es notwendig, alle relevanten Informationen zur Verfügung zu haben. Eine Entscheidung ist im Normalfall nur so gut, wie die Informationen auf denen sie beruht 2. Definierte Verantwortlichkeiten Es muss klar sein wer welche Entscheidungen trifft d.h., die Verantwortlichkeiten müssen genau definiert sein. Das hat nicht nur den Sinn, einen Verantwortlichen zu finden falls etwas schief läuft, sondern soll auch Sicherheit im Ablauf erzeugen. Diese resultiert daraus, dass nicht geraten werden muss wer etwas entscheiden darf. Das gilt insbesondere in Rahmen eines solchen Frühwarnsystems, an dem viele Beteiligte aus verschiedenen unabhängigen Gruppen mitarbeiten. Aus diesen Punkten folgt das die Ablauforganisation möglichst einfach und übersichtlich gehalten werden muss. Wird sie zu komplex werden die Reaktionszeiten zu lang und es besteht die Gefahr das falsch oder gar nicht reagiert wird. Auf der anderen Seite müssen möglichst alle Fälle berücksichtigt werden. Das führt automatisch zu einer gewissen Komplexität. Hier muss also ein Optimum gefunden werden Ebene Recht Hier geht es um die Frage in wie weit die bestehenden Gesetze den Betrieb eines Frühwarnsystems möglich machen. Es werden hier verschiedene Aspekte des Rechts berührt. Berührt werden Aspekte aus dem Bereich des öffentlichen Rechts und des Privatrechts. Zu den verschiedenen Aspekten des Rechts die berührt werden gehören: Datenschutz Vertrauensschutz Vertragsrecht Der Bereich Vertragsrecht ist von belang, da die einzelnen Beteiligten die Rechte und Pflichten des Einzelnen festlegen müssen. Die Bereiche Daten- und Vertraulichkeitsschutz sind wichtig, da nicht alle Internetnutzer eine Einwilligungserklärung für die Überwachung ihrer Daten unterschreiben können Ebene Komponenten Aus technischer Sicht besteht ein Frühwarnsystem aus sechs Komponenten, die im Folgenden näher betrachtet werden sollen. Im Einzelnen besteht ein Frühwarnsystem aus den folgenden Komponenten: 2 Das hat natürlich nicht nur Einfluss auf die Organisation, sondern auch auf die technische Unterstützung. 3 Selbst wenn das logistisch machbar wäre, würden die meisten es wohl nicht tun!

30 30 KAPITEL 3. SICHERHEIT DES INTERNETS T = (S, A, AL, KB, AR, BS) S := Sensorik A := Auswertung AL := Alarmierung KB := KnowledgeBase BS := Beweissicherung AR := Architektur (3.6) Sensorik Die Sensorik dient dem Sammeln von Daten, anhand derer der aktuelle Zustand des Internets ermittelt werden kann. Um einen möglichst kompletten Überblick über den derzeitigen Status zu erhalten, müssen Sensoren über das ganze Internet bzw. den interessierenden Bereich verteilt werden 4. Bei S handelt es sich also um eine Menge von Sensoren. S = {s 1, s 2,..., s k } (3.7) Jeder Sensor ist durch einen Typ gekennzeichnet der die Art der Datensammlung beschreibt und einen Ort an dem der Sensor aufgestellt ist, sowie eine Menge von Informationen die dem dieses Sensors entnommen werden können. Es gibt verschiedene Arten von Sensoren, die unterschiedliche Formen von Daten sammeln. Beispiele dafür sind komplette Mitschnitte von Leitungen, Netflow oder statistisches Sammeln von Paketdaten. s i = (T yp, Ort, I) (3.8) Es stellen sich verschiedene Fragen. Eine davon ist die Frage wie die Sensoren für eine repräsentative Abdeckung des Netzes verteilt werden müssen. Eine andere Frage ist die nach der Art der Sensoren. Welche Daten müssen gesammelt werden? Muss der Verkehr auf Paketebene mitgeschnitten werden, ist eine statistische Sicht auf die Daten ausreichend, ist eine Logdateiauswertung sinnvoll, was ist mit der Messung von Dienstverfügbarkeit oder sind honeypotbasierte Systeme ausreichend? Als weiterer Aspekt lässt sich die Steuerbarkeit der Sensoren identifizieren. Es ist wahrscheinlich nicht notwendig, ständig alle Daten bzw. alle Daten in höchster Detailgenauigkeit zu sammeln. Vielmehr erscheint es sinnvoll, erst bei Eintreten bestimmter Ereignisse die Genauigkeit zu erhöhen bzw. andere Sensoren zuzuschalten. In diesem Bereich kann auch Selbstorganisation eine Option sein ([8]). Nicht unerwähnt bleiben soll der Aspekt des Datenschutzes 5. Einerseits dürfen Daten die unter den Datenschutz fallen nicht ohne weiteres gesammelt werden. Andererseits können diese Daten Informationen enthalten, die zur Erkennung von Gefahrensituationen benötigt werden. Hier wird der 4 vgl. [11, 28, 21] 5 [21], [11]

31 3.3. EBENEN EINES FRÜHWARNSYSTEMS 31 Abbildung 3.3: Aufbau Auswertungskomponente Einsatz von Anonymisierungs- und Pseudonymisierungsverfahren notwendig 6. Diese können, müssen aber nicht, direkert Bestandteil der Sensoren sein. Auswertung Kern eines Frühwarnsystems ist die Auswertung der gesammelten Daten. Anhand der gesammelten Daten ist diese Komponente dafür verantwortlich IT-Sicherheitslagen zu identifizieren und Warnungen oder Alarme generieren. Weiterhin wird hier die Verkehrsentwicklung überwacht. Weiterer Bestandteil ist ein Lernelement, das die Anpassung an wechselhaftes Verhalten ermöglicht. Die Auswertung zur Entdeckung von Angriffen lässt sich in zwei Ebenen einteilen, eine subsymbolische Ebene und eine ereignisorientierte Ebene. Auf der subsymbolischen Ebene werden die von den Sensoren gesammelten Daten mit Hilfe von Verfahren aus dem Bereich Misuseerkennung und Anomalieerkennung überwacht und die Ergebnisse dieser Überwachung in Form von Ereignissen die eine Bedeutung haben, an die ereignisorientierte Ebene gegeben. Auf dieser Ebene sollen Daten aus technischen Datenquellen ausgewertet werden. Es handelt sich dabei um Datenquellen, die Daten über den aktuellen Betriebszustand des Netzwerks sammeln. Diese werden auf das Einhalten bestimmter Bedingungen überwacht, denen aber nicht direkt eine semantische Bedeutung, außer der Feststellung das diese Bedingungen dem normalen Verhalten entsprechen, zugeordnet werden kann. Die ereignisorientierte Ebene versucht die identifizierten Ereignisse miteinander in Beziehung zu setzen und daraus ein Bild der IT-Sicherheitslage zu erzeugen und Alarme zu generieren. Dabei müssen auf dieser Ebene nicht nur Ereignisse berücksichtigt werden die auf der subsymbolischen Ebene generiert werden, sondern auch Ereignisse die aus nicht technischen Datenquellen generiert werden. Solche Datenquellen sind z.b. Seiten mit 6 [11], [10]

32 32 KAPITEL 3. SICHERHEIT DES INTERNETS Informationen zu Schwachstellen, wie sie von CERTs erstellt werden. Jeder neue Eintrag dort kann im Prinzip einem Ereignis entsprechen, das bei der Auswertung einer Situation berücksichtigt werden kann. Gemeint sind Ereignisse wie das Erscheinen einer Meldung auf einer Seite mit Sicherheitsmeldungen, das eine Schwachstelle im Mailserver M gefunden wurde die sich ausnutzen lässt. Tritt in einem Zeitraum um das erscheinen dieser Sicherheitsmeldung ein Ereignis ein, das für erhöhten Verkehr auf Port 25 steht, so besteht die Möglichkeit eines Zusammenhangs und damit eines Angriffs. Die Überwachung der Verkehrsentwicklung geschieht auf der subsymbolischen Ebene. Die Daten aus den Sensoren zur Auslastung der vorhandenen Kapazitäten sind Eingabedaten für Prognosealgorithmen, die eine Projektion in die Zukunft vornehmen. Diese Werte können dann in Reporte einfließen die Grundlage für weitere Entscheidungen sein können. Diese Prognosen können z.b. Hinweise für die zukünftige Auslegung der Leitungskapazitäten geben. Die Lernkomponente versucht aus den gesammelten Daten und Ergebnissen der Auswertung zu ermitteln, wie die Parameter der Auswertungsalgorithmen angepasst werden müssen um ein gutes Ergebnis zu erzielen, auch wenn sich das Verhalten des Netzwerkes über die Zeit ändert. Dieser Aspekt betrifft zunächst nur den Bereich der Anomalieerkennung. Für die Misuseerkennung ist es notwendig die Menge der gesuchten Signaturen zu erweitern. Auch das kann prinzipiell über das Lernelement bzw. eine Subkomponente davon erfolgen. Dann besteht die Notwendigkeit, automatisierte Verfahren zur Signaturgenerierung einzusetzen. Probleme für die Entwicklung einer Auswertungskomponente ergeben sich insbesondere aus der Größe der Umgebung 7 und den damit verbundenen Datenmengen. Ein weiteres Problem sind die starken Unterschiede an den verschiedenen Orten des Internets. Je nachdem an welchem Punkt gemessen wird, ist das Verhalten unterschiedlich. Dies soll mit einem Beispiel aus dem IAS erläutert werden. Abbildung 3.5 zeigt das Verhalten einer Sonde die bei der Messe AG positioniert ist. Dem Gegenüber zeigt die Abbildung 3.4 das Verhalten für die Sonde im Fachbereich Informatik. Ein weiteres Problem sind plötzliche Änderungen des Verhaltens. Diese können durch verschiedenste Ereignisse ausgelöst werden. Eine Möglichkeit ist die plötzliche Popularität einer Webseite. Das hat eine Steigerung des Verkehrsaufkommens in einem Bereich des Netzes zur Folge. Ein anderes Beispiel ist die Änderung der Routen im Internet. Dadurch kann es auch zu starken Veränderungen im Verhalten an den Messpunkten 8 kommen. Auch die Frage welche Art von Verfahren zur Auswertung, also Anomalieoder Misuseerkennung, bzw. welche Kombinationen eingesetzt werden müssen ist zu beantworten. Wissensbasis Die Wissensbasis spiegelt das Wissen über die Umgebung wieder. Sie enthält im Rahmen eines Internet Frühwarnsystems Informationen dazu was Normal ist und Informationen zu Angriffen, z.b. Signaturen 7 Hier ist das Internet gemeint. 8 [8]

33 3.3. EBENEN EINES FRÜHWARNSYSTEMS 33 Abbildung 3.4: Genutzte User-Agents an den Sonden des Fachbereich Informatik der FH Gelsenkrichen. Abbildung 3.5: Genutzte User-Agents an der Sonden der Messe AG.

34 34 KAPITEL 3. SICHERHEIT DES INTERNETS für die Misuseerkennung. Daneben sollte sie Wissen für die Behandlung von Gefahrensituationen beinhalten, so könnte sie z.b. konkrete Schritte für die Abwehr eines DDoS-Angriffs enthalten. Aufgrund von Änderungen müssen die Informationen der Wissensbasis ständig aktualisiert werden, so werden neue Angriffe bekannt oder das Verhalten des Netzwerks ändert sich, z.b. durch Hinzufügen eines Knotens. Dieses Wissen muss dann wieder zurück in die Analysealgorithmen fließen um deren Effizienz zu steigern. In diesem Zusammenhang erscheint ein automatischer Abgleich der Wissensbasis auf Basis der gesammelten Daten bzw. deren Verhalten über Zeit und den Ergebnissen der Algorithmen sinnvoll und notwendig. Unter automatischem Abgleich kann z.b. das automatische Generieren von Signaturen für Angriffe verstanden werden, aber auch die Information das sich an einer Stelle die Topologie des Netzwerkes geändert hat und es dadurch zu Änderungen im Netzwerkverkehr kommen kann. Dieser Aspekt wurde bei der Besprechung der Auswertungskomponente bereits erwähnt. Das dort vorgestellte Lernelement dient genau diesem Zweck. Eine wichtige Frage die sich hier stellt, ist die nach der Wissensakquisition. Das benötigte Wissen muss irgendwie in die Wissensbasis gelangen. Problematisch hierbei ist, dass es im Normalfall nicht in maschinenlesbarer Form vorliegt. Teilweise liegt es nicht einmal in Schriftform vor, sondern ist nur in den Köpfen einiger weniger Personen gespeichert. Bei Wissen das zumindest in elektronischer Form vorliegt oder sich ohne Aufwand in eine entsprechende Form bringen lässt, ist der Einsatz von Data Mining Verfahren sinnvoll. Im Fall von Wissen das nur in den Köpfen der Personen gespeichert ist liegt der Fall anders hier hilft Data Mining nicht mehr. Eine weitere Frage, die sich stellt, ist die nach der Architektur der Wissensbasis, also ob diese durch zentrale oder dezentrale Datenhaltung realisiert wird 9. Diese Frage ist mehr oder weniger direkt mit der Frage nach der Gesamtarchitektur des Frühwarnsystems verbunden. Alarmierung/Alarmierungsmanagement Diese Komponente ist dafür verantwortlich von der Auswertungskomponente generierte Alarme an die dafür zuständigen Empfänger weiterzuleiten und deren Bearbeitungszustand zu verwalten. Durch den Zugriff auf die Wissensbasis sollen die Verantwortlichen bei der Bearbeitung der Alarme unterstützt werden. Die Unterstützung sollte dabei so weit gehen, dass das Frühwarnsystem sinnvolle Vorgehensweisen zur Bearbeitung des Alarms vorschlägt. Die Idee ist ein Expertensystem zur Verfügung zu stellen das, auf Basis des in der Wissensbasis gespeicherten Wissens und der aktuellen Informationen, Handlungsunterstützung für den Bearbeiter in Form von Hinweisen und Vorschlägen geben kann. Ebenso wichtig wie der Fluss von Informationen aus dem Frühwarnsystem an den Bearbeiter, ist der Rückfluss von Informationen in die Wissensbasis. Ein Beispiel dafür ist die Signatur eines neuen Angriffs oder aber die Information darüber welche Schritte zur Abwehr eines Angriffs erfolgreich waren bzw. auch welche überhaupt keine Wirkung gezeigt haben. Beweissicherung Diese Komponente dient im Fall der Erkennung eines An- 9 Beispielsweise wie das DNS

35 3.3. EBENEN EINES FRÜHWARNSYSTEMS 35 griffs zur Sicherung von Beweisen, die in der Strafverfolgung verwendet werden können. Es geht dabei darum Daten zu sammeln die es erlauben einen Beweis zu führen, dass ein Angriff durchgeführt wurde und wer den Angriff durchgeführt hat. Für diese Komponente sind verschiedene Aspekte wichtig: Datenschutz In den gesammelten Daten befinden sich personenbeziehbare Informationen. Diese stammen unter Umständen nicht nur vom Angreifer, sondern auch von anderen Personen. Es muss auf jeden Fall sichergestellt sein, das auf diese Informationen nur bei Bedarf zugegriffen wird und sie ansonsten geschützt sind. Authentizität Es muss sichergestellt sein, dass die gespeicherten Informationen nicht verfälscht werden können. Das gilt sowohl während der Speicherung als auch für den Zeitraum der Aufbewahrung. Nur wenn sichergestellt ist das die Informationen nicht verfälscht werden können, sind sie auch als Beweise verwendbar. Architektur Die bisher vorgestellten Komponenten müssen in einer geeigneten Form miteinander interagieren. Dazu ist es notwendig geeignete Strukturen für deren Verschaltung zu finden. Aspekte die dabei zu berücksichtigen sind, sind z.b. Ausfallsicherheit, Wartbarkeit, Komplexität oder Performance. Ebenfalls Einfluss darauf haben aber Fragen wie die des Schutzes der Daten der einzelnen Beteiligten. Beispielsweise könnte ein Unternehmen nicht wollen das ein Konkurrenzunternehmen, das ebenfalls beteiligt ist, einen zu tiefen Einblick in die Daten erhält. Eine geeignete Architektur muss diese und andere Randbedingungen erfüllen können. Ein gewisser Teil der Architektur ist automatisch dadurch vorgegeben, dass die Sensorik verteilt sein muss. Es handelt sich also auf jeden Fall um ein bezüglich der Sensorik verteiltes Frühwarnsystem. Für die Integration der restlichen Komponenten muss das aber nicht unbedingt gelten. Hier stehen grundsätzlich zwei Alternativen zur Auswahl, zentral und dezentral. In der zentralen Variante senden alle Sensoren ihre Daten an einen zentralen Punkt, der sie auswertet und abhängig vom Ergebnis die notwendigen Schritte ausführt. Die dezentrale Variante hingegen basiert auf der Idee das jede beteiligte Organisationseinheit nicht nur Sensoren, sondern auch eine Auswertungseinheit erhält - inklusive Wissensbasis. Diese führt lokale Auswertungen durch und fordert bei Bedarf Daten von anderen Einheiten an, um diese mit ihren Informationen zu korrelieren. Die so generierten Alarme können dann an verschiedene Partner weitergegeben werden. Denkbar ist auch ein Mix aus beiden Ansätzen, bei dem dezentrale Auswertungskomponenten Zwischenergebnisse an eine zentrale Auswertungskomponente senden, wo diese dann kombiniert werden. Das entspricht letztlich der Idee in [11]. Diese Idee kann auch noch weiter ausgebaut werden. Dabei werden mehrere Auswertungsschichten hintereinander geschaltet, sodass eine Baumstruktur entsteht, in der die Informationen auf dem Weg nach oben immer weiter verdichtet werden.

36 36 KAPITEL 3. SICHERHEIT DES INTERNETS

37 Kapitel 4 Thema der Arbeit 4.1 Arbeiten in diesem Bereich Bevor die eigentliche Aufgabenstellung vorgestellt wird sollen einige Projekte aus dem Bereich Internet-Frühwarnung vorgestellt werden. Dies soll einen Überblick über den aktuellen Stand der Forschung geben und damit die behandelten Themen dieser Arbeit motivieren. Wichtig ist die Feststellung, dass neben den aufgeführten Projekten weitere existieren, die nicht erwähnt wurden und das natürlich auch außerhalb des Bereichs Internet-Frühwarnung an Technologien geforscht wird die für Internet-Frühwarnung relevant sind. Zu erwähnen sind hier z.b. Arbeiten aus dem Bereich Anomalieerkennung oder Ereigniskorrelation. Auf solche Arbeiten soll hier nicht eingegangen werden, sondern erst später im Text, wenn entsprechendes Hintergrundwissen benötigt wird Frühwarnung auf der europäischen Ebene Zur Bündelung der Ressourcen im Bereich der kritischen Informations- und Kommunikationsinfrastruktur fördert die EU das Projekt CI2RCO (Critical Information Infrastructure Research Coordination) 1 welches, unter Führung des Fraunhofer SIT, die verschiedenen nationalen Bemühungen in diesem Bereich bündeln soll. Im Rahmen dieses Projekts wurde eine Bestandsaufnahme der verschiedenen Projekte in diesem Bereich, in Europa gemacht. Dabei wurden auch Projekte im Bereich Frühwarnsysteme identifiziert. Nach [11] wurden 11 Projekte identifiziert, von denen aber nur drei Projekte wirklich Relevanz haben. Dabei handelt es sich um die Folgenden: Ein Projekt zur Steigerung der Sicherheit von SCADA 2 -Systemen, bei dem Frühwarnung einen Aspekt darstellt, initiiert durch das NISCC (National Infrastructure Security Coordination Centre) in London. Das Projekt Netshield der Deutschen Telekom Laboratories in Berlin. Projekte, die vom BSI initiiert wurden Supervisory Control and Data Aquisition 37

38 38 KAPITEL 4. THEMA DER ARBEIT Ein Ergebnis dieses Projekts ist die Feststellung das Frühwarnung auf europäischer Ebene noch keinen F&E-Schwerpunkt darstellt. Basierend auf dieser Erkenntnis wurde in [11] der F&E-Bedarf im Bereich Frühwarnsysteme skizziert. Zur Beantwortung dieser Frage wurde zunächst definiert, aus welchen Komponenten ein Frühwarnsystem besteht und welche Struktur es besitzt. Die im Rahmen dieser Arbeit identifizierten Komponenten stellen eine Untermenge der in Kapitel 3.3 vorgestellten Komponenten dar. Kapitel 3.3 ist somit eine tiefer gehende Betrachtung dieses Aspektes. In [11] wird eine hierarchische Architektur angenommen. Diese setzt sich aus dezentralen und zentralen Komponenten zusammen. Im Kern besteht ein Frühwarnsystem demnach aus folgenden Komponenten 3 : Dezentrale Sensorik Die Sensoren verteilen sich über das gesamte Internet und sind bei privaten wie öffentlichen Organisationen an deren Zugängen zum Netz untergebracht. Ziel ist die Überwachung des ein- und ausgehenden Internetverkehrs an diesen Punkten. Dezentrale Auswertungskomponente Diese dezentrale Komponente fügt den Sensoren eine gewisse Verarbeitungskapazität hinzu. Mit dem Einsatz solcher Komponenten werden verschiedene Ziele verbunden. Im Einzelnen soll sie: Das Datenvolumen, das zur weiteren Auswertung nach außen weitergegeben wird, begrenzen. Eine lokale Frühwarnung ermöglichen, ohne abhängig von anderen verteilten Komponenten zu sein. Helfen die Datenschutzproblematik zu reduzieren, indem datenschutzrelevante Daten nicht nach außen gegeben werden. Die Möglichkeit bieten, Logdaten des lokalen Sensorikbetreibers mit in die Analyse einzubeziehen 4. Eine Steuerung der Sensorik durchführen können, sodass diese auf den aktuellen Bedarf angepasst werden kann. Über Selbstlernfähigkeit verfügen, aber auch auf Anforderung von Außen aktiv werden. Daten an eine zentrale Auswertungskomponente weitergeben. Zentrale Auswertungskomponente Diese Komponente dient dem generieren einer globalen Sicht auf die Situation und damit dem Erzeugen von Frühwarnungen auf globaler Ebene. Im Einzelnen hat diese Komponente folgende Fähigkeiten: Kombination der von den dezentralen Auswertungskomponenten gelieferten Informationen zur Generierung eines globalen Lagebildes, auf dessen Basis Frühwarnungen generiert werden können. 3 In der Veröffentlichung werden nur für die Fragestellung relevante Komponenten aufgeführt. 4 Allgemein ist dieser Punkt dahin gehend erweiterbar, dass verschiedene lokale Datenquellen in die Analyse mit einbezogen werden können, auch wenn das in der Veröffentlichung nicht erwähnt wird.

39 4.1. ARBEITEN IN DIESEM BEREICH 39 Auf Basis von Modellen der Ausbreitung von Malware Prognosen über die Entwicklung von Problemen erstellen. Auswertungsaufgaben an die dezentralen Auswertungseinheiten delegieren. Basierend auf diesen Komponenten identifiziert [11] eine Reihe von Themengebieten zu denen Forschung und Entwicklung notwendig ist. Diese lassen sich in die Bereiche Architektur, Erkennung von Sicherheitsvorfällen und Prognose einteilen. Der Bereich Architektur befasst sich mit der Frage, welche Architektur für ein Frühwarnsystem sinnvoll ist und welche Einflüsse diese auf den Rest des Systems, insbesondere auf die Auswertung der Daten, hat. Hier sind verschiedene Aspekte zu berücksichtigen unter denen die Architektur optimal gewählt werden sollte. Beispiele dafür sind Performance, Ausfallsicherheit, Erweiterbarkeit, Komplexität, Wartbarkeit, Anpassbarkeit an geänderte Verhältnisse, Datenschutzaspekte und Zugriff auf die maximal mögliche Informationsmenge. Die Wahl der Architektur koppelt direkt auf die Form der Auswertung zurück. Damit ist insbesondere die Kombination der Informationen zu einem globalen Lagebild gemeint und betrifft Fragen wie die Aufteilung in lokale und globale Auswertung. Im Bereich der Erkennung von Sicherheitsvorfällen geht es um die Entwicklung von Methoden zur verlässlichen Erkennung von Sicherheitsvorfällen. Forschung in diesem Bereich bewegt sich in verschiedenen Themengebieten. Ein großes Gebiet ist das selbstständige Lernen von normalem Verhalten und kritischen Abweichungen von diesem normalen Verhalten. Dies ist notwendig, da aufgrund der Größe und der dadurch anfallenden Datenmenge, sowie den stattfindenden Änderungen der Verkehrscharakteristika eine Modellbildung von Hand nicht mehr möglich ist. Dabei darf aber nicht übersehen werden, dass aus dem Bereich der Intrusion Detection Systeme für den Schutz lokaler Netze entsprechende Ansätze kommen. Ein anderer Aspekt im Zusammenhang mit der Lernfähigkeit ist die Integration von Expertenwissen in die automatisierten Analysen. Auch wenn es nicht möglich ist, von Experten ein analytisches Modell des Normalverhaltens erstellen zu lassen, so ist es doch sinnvoll Expertenwissen in die Entscheidungen mit einzubeziehen. Das zeigt sich insbesondere daran, das die Trainingsdaten für das Lernen nicht immer alle Belange abdecken können. Ein Beispiel für ein solches Vorgehen wird in [9] vorgestellt 5. Hier wird eine Methode basierend auf Bayschen Netzen vorgestellt, bei der Teile des Modells aus Daten gelernt und andere Teile durch Expertenwissen definiert werden. Im Zuge des Verstehens der Daten bzw. der Beschreibung des Normalverhaltens ergibt sich auch die Frage nach dem Einsatz von Data Mining Verfahren. Beispiele sind Verfahren zur Assoziationsregelsuche oder Clusteranalyse. Der Einsatz solcher Verfahren hilft zum einen bei dem Versuch automatisiert Modelle zu bilden und zum anderen bei der Analyse von Sicherheitsvorfällen. Weiterhin sieht [11] die Notwendigkeit von intelligenteren Analysen, die in der Lage sind Zusammenhänge zwischen Anfragen im Sinn von Absichten zu erkennen und zu reagieren. Dabei könnte eine Reaktion z.b. die Anpassung der Sensorik sein um bestimmte Aspekte genauer untersuchen zu können. 5 Es handelt sich nicht um ein Beispiel aus dem Netzwerkbereich, was aber keinen Unterschied macht.

40 40 KAPITEL 4. THEMA DER ARBEIT Als letzter relevanter Punkt muss auch die Frage nach der Bewertung der Leistungsfähigkeit der angesprochenen Methoden betrachtet werden. Es müssen objektive Metriken dafür entwickelt werden, wie gut bzw. schlecht eine Methode funktioniert. Nur dadurch ist es möglich, eine optimale Entscheidung zum Einsatz der Methoden zu treffen. Die Fragen die sich im Bereich Prognosen stellen haben mit der Ausbreitung von Malware zu tun. Es geht um die Klärung der Frage wie sich Malware verbreitet und ob auf Basis dieses Wissens vorhersagen über die weitere Entwicklung von Malwareepedemien möglich sind. Neben diesen Forschungsbereichen sieht [11] erheblichen Entwicklungsbedarf in folgenden Bereichen: Bei der Pseudonymisierung der gesammelten Daten insbesondere im Hinblick auf die Minimierung der Qualitätsverluste. Der technischen Realisierung einer gesicherten Kommunikation der einzelnen Komponenten. Der Festlegung von Formaten, die einen standarisierten Datenaustausch der einzelnen Komponenten erlauben. Dabei handelt es sich aber nur um Entwicklung und nicht um Forschungstätigkeiten. Im weiteren sollen kurz einige europäische Projekte im Bereich Frühwarnung vorgestellt werden. Das Projekt Internet-Analyse-System Das Projekt Internet-Analyse-System (IAS) 6 ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gefördertes Projekt zur Entwicklung eines Frühwarnsystems für das Internet Deutschland. Entwickelt wird es vom Institut für Internet-Sicherheit in Kooperation mit dem BSI. Aufgabe des Systems ist die Analyse des lokalen Kommunikationsverhaltens in Teilbereichen des Internets und die Kombination dieser Daten zu einer globalen Sichtweise für die Beschreibung des IT-Sicherheitszustands im gesamten Internet bzw. des interessierenden Teilbereichs. Bei der Entwicklung des Internet-Analyse-Systems werden zwei wesentliche Aspekte in den Mittelpunkt der Betrachtung gestellt: Datenschutz Ein wesentlicher Aspekt ist das datenschutzkonforme sammeln von Informationen. Statt wie bei anderen Systemen auf eine Anonymisierung der Daten im Nachhinein zu setzen oder den Datenschutz völlig außer acht zu lassen, wurde er hier direkt bei der Konzeption des Systems berücksichtigt. Es werden keinerlei Informationen gesammelt die eine datenschutzrechtliche Relevanz haben. Das schränkt grundsätzlich die Informationsmenge ein, hat aber auch zur Folge, dass das Internet-Analyse- System ohne Datenschutzprobleme einsetzbar ist. Datenmenge Ein anderer Aspekt der bereits bei Design des Internet-Analyse- Systems berücksichtigt wurde, ist die zu speichernde Datenmenge, insbesondere im Hinblick auf langfristige Untersuchungen. Hier wurde eine 6 Die Informationen dieses Abschnittes entstammen [21].

41 4.1. ARBEITEN IN DIESEM BEREICH 41 Lösung gewählt, die es möglich macht Daten zu einer großen Zahl von Parametern über einen langen Zeitraum zu speichern, ohne Speicherplatzprobleme zu bekommen. Das System kann in vier Funktionsbereiche gegliedert werden. Diese sollen kurz vorgestellt werden: Musterbildung Dieser Bereich befasst sich mit der Analyse des Internetverkehrs, um Zusammenhänge zu erkennen, Technologietrends frühzeitig sichtbar zu machen, um dann auf Basis dieser Erkenntnisse Aussagen über den Zustand des Internets machen zu können. Das IAS bietet zu diesem Zweck einen Client, der es Experten ermöglicht Analysen durchzuführen und Expertenwissen zu generieren. Dieses Wissen soll in einer Wissensbasis zusammengefasst werden und als Basis für die Erkennung von Angriffen bzw. Abweichungen vom Normalen Verhalten dienen. Beschreibung des Ist-Zustands Neben der Möglichkeit Analysen des Verkehrs durchzuführen, ist es auch notwendig den aktuellen Zustand in einer Form darzustellen, die schnell und intuitiv erfasst werden kann. Dazu ist es notwendig neue Formen der Darstellung zu entwickeln, die es ermöglichen auch viele Parameter in einer übersichtlichen und verständlichen Form abzubilden. Angriffserkennung Die Angriffserkennung bildet die Kernfunktionalität des Systems. Die Angriffserkennung soll Angriffe oder ungewöhnliche Situationen erkennen und als Reaktion darauf, Alarme generieren. Auf Basis dieser Alarme soll es möglich sein Gegenmaßnahmen zu ergreifen und so die Gefahr zu beseitigen bzw. einzudämmen. Prognose Dieser Teil des IAS soll Vorhersagen über die Entwicklung von Technologien, sowie der Statusänderungen im Internet ermöglichen. Basierend auf Analysen der Daten sollen Methoden entwickelt werden, die entsprechende Vorhersagen ermöglichen. Darunter fallen z.b. Aspekte wie die Vorhersage von Malwareverbreitung oder aber die Verkehrsentwicklung der nächsten Stunden. Um diese Funktionalitäten bereitzustellen, besteht IAS im Kern aus einer Menge verteilter Sensoren die Sonden genannt werden einem Datentransfersystem, einer zentralen Datenbank in der die Daten gesammelt werden und einem zentralen Auswertungsserver, über den auf die zentral gespeicherten Daten zugegriffen werden kann. Weiterhin besteht das Internet-Analyse-System aus einem Client, der es ermöglicht die Daten von Hand zu analysieren. Dazu stellt er z.b. einfache mathematische Verknüpfungen zur Verfügung (+, -, *, /). Einen Überblick über die Komponenten liefert Abbildung 4.1. Im Rahmen verschiedener Abschlussarbeiten wird das IAS regelmäßig erweitert. Bereits implementierte Erweiterungen sind: Ein Reportingmodul, das es ermöglicht Reporte über interessante Kommunikationsparameter zu definieren und diese in regelmäßigen Abständen erzeugen zu lassen, z.b. Wochen- oder Monatsweise.

42 42 KAPITEL 4. THEMA DER ARBEIT Abbildung 4.1: Komponenten des Internet-Analyse-Systems

43 4.1. ARBEITEN IN DIESEM BEREICH 43 Ein Alamierungsmodul, das der Verwaltung von Alarmen dient. Dort können Nutzer generierte Alarme verwalten und bei Abschluss der Bearbeitung als gelöst markieren. Ein Data Mining Modul, das auf Basis der Technik der Assoziationsregelsuche zusammenhänge in den Daten finden soll. Eine AlgoEngine genannte Laufzeitumgebung für Analysealgorithmen, die automatisierte Überwachung des Verkehrs ermöglichen soll. Das Prinzip der Datensammlung ist sehr einfach und soll im weiteren erläutert werden. Der Grundgedanke ist das Zählen der Häufigkeiten mit der Informationen im Datenstrom auftauchen. Dazu liest und untersucht die Sonde jedes Paket, welches an der von ihr abgehörten Leitung vorbei kommt. Die Header der Pakete werden von der Sonde untersucht. Dabei werden alle Header von Schicht Sieben, bis hinunter zu Schicht Eins untersucht. Für jede Eigenschaft, die von der Sonde überwacht werden soll, existiert ein Zähler in der Sonde. Ist eine Eigenschaft, welche von der Sonde gezählt werden soll, im aktuellen Paket enthalten, wird der Zähler dieser Eigenschaft um eins erhöht. Ist diese Eigenschaft im nächsten Paket wieder enthalten, so wird der Zähler wieder um eins erhöht. Es wird also letztlich die Anzahl der Pakete gezählt, für das diese Eigenschaft vorhanden war. Ein Beispiel für so eine Eigenschaft ist das gesetzte Syn-Flag. Jedes Mal, wenn ein Paket mit gesetztem Syn-Flag an der Sonde vorbeikommt, wird der entsprechende Zähler um den Wert eins erhöht. Ein anderes Beispiel ist das Feld User-Agent-Type im HTTP-Header. Ist dort der Wert für firefox eingetragen, so wird Zähler für firefox um den Wert eins erhöht. Ist im nächsten Paket der Wert für Internet Explorer 6 eingetragen, wird der Zähler für diesen Wert um eins erhöht. Der ganze Vorgang wiederholt sich periodisch d.h., nach einer einstellbaren Zeitspanne werden alle Zählerstände an die zentrale Datenbank übertragen und die Zähler auf null gesetzt. Das Prinzip ist in Abbildung 4.2 dargestellt. Formaler ausgedrückt wird im jedem Intervall ein Histogram für jedes von der Sonde untersuchte Headerfeld erstellt. Das drückt Abbildung 4.3 am Beispiel des Headerfelds User-Agent-Type für ein Intervall aus. Im Rahmen des IAS werden die Werte, welche die Headerfelder annehmen können und vom IAS erfasst werden, als Kommunikationsparameter bezeichnet. Die Zähler, die für jeden erfassten Kommunikationsparameter verwaltet werden, haben die Bezeichnung Deskriptor erhalten. Aktuell werden ca Kommunikationsparameter erfasst. Diese Zahl steigert sich im Verlauf der Entwicklung wahrscheinlich noch, da weitere Protokolle in die Sonde integriert werden. So ist z.b. das IR-Protokoll hinzugefügt worden. Die weitere Entwicklung des Projekts geht insbesondere in Richtung Erkennung von Angriffen. Dabei muss insbesondere untersucht werden, wie aussagekräftig die gesammelten Daten bezüglich Angriffe sind. Damit ist gemeint, welche Angriffe in den gesammelten Daten wirklich sichtbar sind und welche nicht. Dazu wird derzeit ein Angriffssimulator entwickelt der es ermöglicht verschiedene Angriffe durchzuspielen und zu sehen, wie diese sich in den Sonden Daten widerspiegeln. Ein anderer Entwicklungsschwerpunkt ist die Integration mit dem Nepenthes- System der Universität Mannheim 7. Hier sollen Profile der Malware, die das 7 Zu Nepenthes siehe Kapitel

44 44 KAPITEL 4. THEMA DER ARBEIT Abbildung 4.2: Zählprinzip des Internet-Anayse-Systems

45 4.1. ARBEITEN IN DIESEM BEREICH 45 Abbildung 4.3: Histogramm der verwendeten HTTP-User-Agents.

46 46 KAPITEL 4. THEMA DER ARBEIT Nepenthes-System fängt, erzeugt werden und diese Profile sollen im aktuellen Verkehr gesucht werden. So soll es möglich werden Wellen von Malwareinfektionen frühzeitig zu erkennen und diese mit geeigneten Gegenmaßnahmen einzudämmen. Eine weitere Idee die das Institut im Zusammenhang mit dem Thema Internet Frühwarnsysteme verfolgt, ist eine Logdatenauswertung, bei der die Logdateien verschiedener Server und anderer Systeme ausgewertet werden sollen. Dieses Projekt befindet sich noch im Anfangsstadium und wird derzeit nur mit Bezug auf ein lokales Umfeld entwickelt. Ein anderes System, das sich in der Entwicklung befindet, ist das Internet-Verfügbarkeits-System. Dieses System ist, im Gegensatz zum IAS, ein aktives System, da es die Verfügbarkeit von Diensten aktiv überprüft, z.b. durch Pingen des Systems. Ergebnisse sind neben der Feststellung der Verfügbarkeit eines Dienstes, Parameter wie z.b. die Round Trip Time. Im Rahmen einer Auswertung wird es notwendig sein die Daten dieser Systeme mit einzubeziehen, um ein komplettes Bild der IT-Sicherheitslage zu erhalten. Das Projekt CamentiS Das Projekt CamentiS 8 wird durch das Bundesamt für Sicherheit in der Informationstechnik gefördert. Es handelt sich bei dem Projekt um eine gemeinsame Anstrengung der Frühwarngruppe der deutschen CERT-Vereinigung. Ziel des Projektes ist die Schaffung einer Infrastruktur und eines organisatorischen Frameworks für den Austausch, die Korrelation und die kooperative Auswertung von Sensordaten. Im Gegensatz zu anderen Ansätzen stehen hier die analytischen Fähigkeiten von Experten im Vordergrund. Statt eines komplett automatisierten Systems wird ein System geschaffen, das den verschiedenen beteiligten Gruppen die Kooperation erleichtert. CamentiS stellt dabei einen Mittler zwischen den verschiedenen beteiligten Gruppen dar und bietet Tools um deren Arbeit und vor allem deren Kooperation zu erleichtern. Grundbestandteile dieser Infrastruktur sind Importmechanismen für Daten aus verschiedenen Quellen, Tools für die Analyse der Daten, sowie Möglichkeiten die Analyseergebnisse zu präsentieren. Interessant ist im Bereich der Analyse die Möglichkeit virtuelle Analyseteams zu bilden, die sich aus Mitarbeitern der Beteiligten Organisationen zusammensetzen. Diese sollen durch folgende Mechanismen in ihrer Arbeit unterstützt werden: Präsentation von Informationen, welche den aktuellen Sicherheitsstatus beschreiben. Dazu gehören sowohl Analysen, als auch technische, sowie nicht-technische Indikatoren für mögliche bösartige Aktivitäten. Präsentation der Analyseergebnisse anderer Analysten bezüglich der Gefahr von Angriffen. Präsentation von Reports über bekannte und neue Angriffstechniken. Eine Schnittstelle für die Entwicklung von Methoden für die Entdeckung und Gegenmaßnahmen gegen neue Angriffe. 8 s. [14]

47 4.1. ARBEITEN IN DIESEM BEREICH 47 Mechanismen für die Verteilung von Warnungen und Advisorys. Eine Schnittstelle, um die Sensoren zu verwalten. Den Benutzern bietet CamentiS eine Weboberfläche, über die diese auf die Ergebnisse der Analysen zugreifen können. Der aktuelle Status der Entwicklung lässt sich wie folgt zusammenfassen: Aktuell unterstützt das System den Import von Daten unterschiedlicher Datenformate und unterschiedlicher Partner. Jeder beteiligte Partner betreibt dabei eine Installation eines Export-Subsystems. Die Daten können über eine Filter-Engine nach bestimmten Regeln gefiltert werden. Dadurch wird es den Partnern möglich Daten aus dem Datenstrom zu entfernen, welche die Organisation nicht verlassen sollen. Zuvor können die Daten noch pseudonymisiert werden. Die von den Partner zur Verfügung gestellten Daten werden in einer zentralen Stelle gespeichert und stehen für Analysen zur Verfügung. Für die Speicherung der Daten existiert eine Datenspeicherungskomponente, die aufgrund der Größe der Daten, auf den Einsatz relationaler Datenbanken verzichtet. Statt dessen wird ein dateibasierter Ansatz verwendet, der schon von SWITCH-CERT eingesetzt wird. Sobald neue Daten zur Verfügung stehen, werden alte Daten normalisiert und in einem internen Datenformat gespeichert. Danach werden sie aggregiert und in eine Datenbank geschrieben. Im Rahmen dieses Vorgangs werden die von den Analysten definierten Analysen ausgeführt und die Ergebnisse gespeichert. Das letzte derzeit implementierte Tool ist die Analyst-Workbench. Sie dient den Experten als Arbeitsoberfläche und ist als Web-Anwendung realisiert. Sie bietet Tools für die Vorverarbeitung der Daten und verschiedene Sichten auf die Daten. Nach Fertigstellung der Infrastruktur ist das nächste Ziel des CamentiS- Projektes, diese im Einsatz zu erproben. Im Rahmen dessen soll erforscht werden, wie Daten aus unterschiedlichen Quellen und Daten verschiedener Art miteinander korreliert und kooperative Analysen sinnvoll durchgeführt werden können. Verschiedene Daten, die dabei korreliert werden sollen, sind z.b. IDS- Daten und Netflow-Daten. Die Erforschung der Frage danach, was eine sinnvolle kooperative Analyse ausmacht, soll unter anderem Fragen wie die nach den notwendigen Tools und möglicher Organisationsstrukturen betrachten. Im letzten Schritt des Projekts soll der Übergang hin zur Frühwarnung erfolgen. Dazu sind zwei Maßnahmen angedacht. Die CamentiS Stakeholder sollen mit Informationen zur aktuellen Sicherheitslage versorgt werden. Dazu ist der Aufbau eines Webportals geplant, das verschiedene Sichten für verschiedene Nutzer bietet. Diese sollen Statistiken, Warnungen und Alarme enthalten. Das Projekt sieht die Frage danach, wie verschiedene Benutzergruppen am besten behandelt werden können, als einen Punkt den es nicht zu erforschen gilt. Die zweite Maßnahme befasst sich mit der Nutzung automatisierter Analysetechniken zur Verbesserung der Frühwarnfunktionalität. Es soll dabei zunächst eine Konzentration auf zwei Algorithmen erfolgen. Schwellwert Schema Hidden Markov Models

48 48 KAPITEL 4. THEMA DER ARBEIT Das Projekt Nepenthes Das Nepenthes Projekt 9 befasst sich mit dem Thema Malware und deren Verbreitung im Internet. Mit der Nepenthes-Plattform soll ein System geschaffen werden, welches das Fangen von Malware im großen Umfang in der freien Wildbahn möglich machen soll. Die aufgespührte Malware kann dann analysiert werden und die Erkenntnisse daraus solen das Verständnis für Malware und dessen Verbreitung verbessern. Weiterhin bietet diese Datenbasis eine Möglichkeit für die Hersteller von Antivirus Systemen, ihre Signaturdatenbanken aktuell zu halten bzw. zu erweitern. Die Idee hinter dem Nepenthes-System ist die Verteilung einer großen Zahl von Honeypots im Internet. Diese emulieren bekannte Sicherheitslücken und sind so in der Lage Malware zu fangen und in einer Datenbank zu speichern. Bei den von Nepenthes eingesetzten Honeypots handelt es sich um managedinteraction Honeypots. Ziel dieser Form des Honeypots ist die Reduzierung des Risikos, das der Honeypot als Basis für Angriffe ausgenutzt werden kann. Dazu sind Interaktionen mit dem Honeypot nur über wohlbekannte und wohlverstandene Wege möglich. Dadurch werden komplexe Mechanismen vermieden, die schnell zu einer Sicherheitslücke führen können. Alle Kommunikation mit dem Honeypot kann als simpler Zustandsautomat abgebildet werden. Neben der Minimierung von Sicherheitslücken bietet dieses Vorgehen auch Vorteile für die Analyse. Da immer klar ist welche Daten gesammelt werden, ist eine umfangreiche Vorverarbeitung nicht notwendig. Dies steht insbesondere im Gegensatz zu high-interaction Honeypots. Der Nepenthes Honeypot ist als modularisiertes System entworfen worden und besteht im Kern aus den folgenden Modulen: Core Der Kern des Systems ist für die Koordination der anderen Module zuständig und kontrolliert das Netzwerkinterface. Der Kern ist als Deamon in das System integriert. Vulnerability Modules Diese emulieren die angreifbaren Bereiche der Netzwerkdienste, also letztlich die Sicherheitslücken. Dabei wird nur ein Teil des Service emuliert, da es vollkommen ausreicht nur einen bestimmten Teil einer Sicherheitslücke zu emulieren. Diese liefern dann alle benötigten Informationen. Vorteil dieses Vorgehens ist neben der höheren Skalierbarkeit auch eine einfachere Implementierung, welche die Komplexität reduziert. Shellcode Parsing Modules Dienen zur Analyse des Payloads, der von einem der Vulnerability Moduls empfangen wurde. Dazu wird der Payload analysiert und Informationen über die Malware werden extrahiert. Im ersten Schritt muss dazu der Shellcode decodiert werden. Dazu wird z.b. ein XOR-Decoder eingesetzt, da in den meisten Fällen XOR-Codiert wurde. Danach wird dann der Code selbst decodiert und versucht genug Informationen für einen Download der Malware zu erlangen. Fetch Modules Laden die Malware von den entfernten Servern. Sie nutzen dazu das, von den Shellcode Parsing Modules, extrahierte Wissen. Aktuell sind sieben verschiedene Module integriert, welche die Protokolle TFTP, 9 Die Informationen dieses Abschnittes entstammen [13].

49 4.1. ARBEITEN IN DIESEM BEREICH 49 HTTP, FTP und csend/creceive unterstützen. Weiterhin werden einige proprietäre Protokolle unterstützt. Submission Moduls Sind für die Weiterleitung der, von den Fetch Moduls, geladenen Malware verantwortlich. Sie können diese z.b. lokal speichern, in eine Datenbank schreiben oder weitersenden z.b. an einen Hersteller von Antivirussoftware. Es existieren derzeit vier verschiedene Module: Speicherung auf dem lokalen Dateisystem. Übermittlung an eine zentrale Datenbank, wo die Datei gespeichert wird. Übermittlung an eine andere Nepenthes-Instanz. So soll eine hierarchische Strukturierung ermöglicht werden. Übermittlung an einen Antivirushersteller. Logging Moduls Implementieren einen Log-Mechanismus über den Informationen über den Emulationsprozess geloggt werden. Für den Umgang mit Angriffen, die dem Angreifer eine Shell zur Verfügung stellen, bietet Nepenthes eine rudimentäre Windows Shell für den Angreifer. Diese bietet zwar nur einen begrenzten Funktionsumfang, ist aber ausreichend für automatisierte Angriffe. Mit den gesammelten Informationen ist es dann wieder möglich, die zugehörige Malware zu laden. Ebenfalls unterstützt wird ein virtuelles Dateisystem. Mit diesem ist es möglich Angriffe, die zunächst eine Batch-Datei mit den notwendigen Kommandos erstellen und diese dann ausführen, zu erkennen. Das Dateisystem erlaubt das Anlegen von Dateien und den Zugriff darauf. Alle so erstellten Dateien existieren aber nur virtuell. Im Anschluss an den Angriff werden die Informationen ausgewertet und die Malware kann geladen werden. Zero-Day Exploits werden mithilfe verschiedener Ansätze behandelt. Aktuell beinhaltet Nepenthes die Module protwatch und bridging, die es erlauben Netzwerkverkehr auf den Netzwerkports zu überwachen. Durch das capturn des Verkehrs auf den Ports stehen die ersten Pakte der Kommunikation zur Verfügung, die eine minimale Analyse erlauben. Angedacht ist eine Erweiterung von Nepenthes in Hinblick auf eine echte 0Day Fähigkeit. Die Idee dabei ist ein Wechsel zu einem echtem Honeypot, sobald die Fähigkeiten der Nepenthes- Module nicht mehr ausreichen. Die so gesammelten Daten können dann für die Entwicklung eines neuen Vulnerability Modules analysiert werden. In einer weiteren Entwicklungsstufe soll dieser Schritt dann automatisiert werden. Dazu sollen Lernalgorithmen zum Einsatz kommen. Für die Installation von Nepenthes gibt es eine Reihe von Möglichkeiten. Die einfachste Möglichkeit ist ein lokaler Nepenthes-Sensor in einem LAN. In dieser Konfiguration wird der lokale Netzwerkverkehr überwacht und auf der lokalen Festplatte gespeichert. Die verteilte Anwendung stellt eine andere Nutzungsmöglichkeit dar. Dabei wird ein Nepenthes-Sensor in einem lokalen Netz aufgestellt und sendet seine Daten neben einer Speicherung auf der lokalen Festplatte auch an einen anderen Nepenthes-Sensor. In Erweiterung dieses Ansatzes ist es möglich eine hierarchische Struktur zu wählen, bei der verschiedene Ebenen entstehen. In jeder Ebene Senden die Sensoren ihre Daten an ein System

50 50 KAPITEL 4. THEMA DER ARBEIT der höheren Ebene. So wird eine effektive Lastverteilung auch in großen Netzen möglich. Als Letztes kann der Verkehr eines Netzwerks zu einem entfernten Nepenthes-Sensor umgeleitet werden. Das erleichtert das Aufstellen der Sensoren. Wie jeder Ansatz ist auch der Ansatz dieser nicht ohne Beschränkungen. Das Nepenthes-Team zählt die folgenden Beschränkungen auf: Es kann nur Malware gefangen werden, die sich autonom verteilt. Eine Webseite die einen Browser Exploit beinhaltet, kann nicht gefunden werden. Malware die eine Hitliste 10 nutzt um angreifbare Systeme zu finden, kann nicht bzw. nur schwer von Nepenthes entdeckt werden. Dazu müssten die Nepenthes-Sensoren auf der Liste stehen, was aber nicht wirklich beeinflussbar ist. Es besteht die Möglichkeit die Präsenz von Nepenthes von außen zu entdecken. Das liegt daran, das Nepenthes eine große Zahl von Sicherheitslücken emuliert und so viele TCP Ports öffnet. Auch wenn aktuelle Malware die Plausibilität eines Systems nicht überprüft, mag das in Zukunft so sein. Für die zukünftige Entwicklung der Nepenthes Plattform sind derzeit folgende Schritte angedacht. Erweiterung der Vulnerability Modules. Erweiterung der Plattform, um auch mit UDP basierten Exploits umgehen zu können. Eine Kopplung mit dem Internet-Analyse-System des Instituts für Internet- Sicherheit. Einbindung als ein Baustein in ein System für das stoppen von Bot-Netzen. Zukunftsfondsprojekte des BSI Im Rahmen eines von der Bundesregierung aufgelegten Zukunftsfonds finanziert das BSI eine Reihe von Projekten im Bereich Internet Frühwarnung, die das Ziel eines Internet Frühwarnsystems für Deutschland haben. Die Projekte befassen sich mit verschiedenen Themengebieten, die hier kurz vorgestellt werden sollen. Da diese Projekte sich mehr oder weniger alle in der Startphase befinden, kann keine detaillierte Übersicht erfolgen. Dies gilt auch deswegen, da bisher keine über das Kick-off Meeting hinausgehenden Informationen bekannt sind. Die Projekte beschäftigen sich im Einzelnen mit folgenden Themengebieten: Selbstorganisierende Netzwerksensoren und Ereigniskorrelation Dieses Projekt befasst sich auf der einen Seite mit der Selbstorganisation von 10 Eine Liste mit verwundbaren Systemen.

51 4.1. ARBEITEN IN DIESEM BEREICH 51 Netzwerksensoren. Es geht darum die Sensoren selbst entscheiden zu lassen, welche Aspekte des Netzwerkverkehrs genauer betrachtet werden sollen und welche Aspekte ausgeblendet werden sollen. Dazu wird auf theoretische Grundlagen aus dem Bereich der Selbstorganisation zurückgegriffen. Die zweite Fragestellung die das Projekt behandelt, ist die Ereigniskorrelation. Hier geht es um die Relation von generierten Alarmen bzw. Warnungen und bestimmten Ereignissen. Architektur eines Frühwarnsystems Aufgrund der Tatsache, dass der Architektur eines Frühwarnsystems eine besondere Bedeutung zukommt, befasst sich eine Arbeitsgruppe mit der Frage, welche Architektur denn geeignet ist. Neben der Frage nach Performance, geht es hier auch um Fragen wie Ausfallsicherheit und theoretisch auch Akzeptanz 11. Grundsätzlich wird die Frage der Architektur von allen Seiten untersucht, wobei aufgrund der Ausrichtung der Gruppe, eine gewisse Konzentration auf Peer-To-Peer-Architekturen liegt. Nepenthes Im Rahmen des Projekts wird Nepenthes um verschiedene Fähigkeiten erweitert. Dazu gehört z.b. der Umgang mit 0day Exploits. Im Rahmen dieses Teilprojektes erfolgt dabei sowohl eine Kooperation mit der Universität Dortmund die im Bereich automatisierte Signaturgenerierung forschen als auch mit dem Institut für Internet-Sicherheit. Universität Dortmund Die Universität Dortmund entwickelt ein signaturbasiertes Frühwarnsystem. Grundidee dieses Systems ist eine starke Integration von Honeypot Systemen als Lieferanten von Daten, auf deren Basis Signaturen für Angriffe bzw. Malware erstellt werden können. Kern des Projekts ist die automatisierte Generierung von Signaturen. Diese sollen dann an die Partner des Frühwarnsystems verteilt werden, sodass diese Bedrohungen frühzeitig identifizieren und ans Lagezentrum melden können. Eine Architektursicht liefert Abbildung 4.4. Kopplung Nepenthes-IAS Dieses Teilprojekt versucht, die verschiedenen Vorteile des IAS und Nepenthes miteinander zu verbinden. Nepenthes bietet eine Sicht auf die Aktivitäten von Malware, während das IAS eine globale Sicht auf das Internet bietet. Ziel dieses Projektes ist es nun durch eine Kopplung dieser beiden Sichtweisen eine globale Sicht auf die Aktivitäten von Malware im Internet zu erhalten. Dabei wird Nepenthes in der ersten Phase über eine Schnittstelle an das IAS bzw. einen Sensortyp des IAS angebunden. Nepenthes kann so Informationen dazu liefern, wonach dieser Sensor genau suchen soll. In der nächsten Phase des Projektes wird dann versucht, Profile von Malware, genauer deren Netzwerkkommunikation, zu erstellen. Es soll sich dabei um Profile in Form von Kommunikationsparametern des IAS handeln. Anhand dieser Profile sollen dann in der letzten Phase des Projektes Methoden entwickelt werden, die diese Profile in den live gesammelten Daten und damit das Ausbrechen einer Wurmwelle entdecken. Die Idee der Kopplung zeigt Abbildung 4.5. Neben diesen technisch orientierten Projekten hat das BSI ein Begleitprojekt aufgelegt, das sich mit den rechtlichen Fragestellungen der Internet Frühwar- 11 Ich bin leider nicht informiert in, wie weit das bei der Betreachtung eine Rolle spielt.

52 52 KAPITEL 4. THEMA DER ARBEIT Abbildung 4.4: Architektiur Frühwarnsystem Dortmund.

53 4.1. ARBEITEN IN DIESEM BEREICH 53 Abbildung 4.5: Kopplung des Internet-Anayse-Systems und Nepenthes nung beschäftigt. Diskutiert werden dort Aspekte wie Datenschutz, Verantwortlichkeiten, Organisationsstrukturen und Ähnliches. Geklärt werden soll die Frage in wie weit die bestehenden Gesetze den Betrieb eines solchen Systems zulassen, wie die Haftung aussieht und wo vielleicht Änderungen notwendig sind. Andere Projekte in Europa Dieser Abschnitt soll einen kurzen Überblick über andere Projekte in Europa geben. Entsprechend erfolgt keine detaillierte Beschreibung, sondern nur eine grobe Übersicht auf due Themen mit denen sich diese Projekte beschäftigen. Net Shield Das Projekt Net Shield ist ein Projekt der Deutschen Telekom Laboratories. Grundidee hier ist das automatisierte Finden des most influential Routers eines Netzwerkes. Eingesetzt werden sollen dabei Methoden der KI. An diesem Punkt sollen dann Contentrekonstruktionen durchgeführt werden und auf Basis dessen kompromittierter Inhalt gefunden werden. Es werden folgende Forschungsbereiche in diesem Projekt bearbeitet. Agententechnologie, Methoden der KI, Lernverfahren und real existierende Netzwerkstrukturen. Partner des Projekts sind die Fraunhofer Gesellschaft für Informationsverarbeitung, die Ben-Gurion-Universität und die T-Systems International GmbH. LOBSTER Die Abkürzung LOBSTER steht für Large Scale Monitoring of Broadband Internet Infrastructure. Dieses Projekt nutzt, ähnlich dem IAS, einen passiven Ansatz zur Überwachung des Internets. Es baut dazu auf dem Projekt SCAMPI auf, das eine erweiterbare Monitor Architektur für Geschwindigkeiten bis zu 10 Gbps entwickelt hat. Derzeit sind eine Reihe von Sensoren über Europa verteilt. Basierend auf den Daten dieser Sensoren hat das Projekt Algorithmen zur Entdeckung von Attacken entwickelt, die sich in Paketen verstecken (polymorphic cyberattacks). Partner des Projektes sind FORTH-ICS (Griechenland), Vrije Universität (Niederlande), UNINETT (Norwegen), GESNET(Tschechische Republik), ENDACE (UK), FORTHNet (Griechenland), ALCATEL (Frankreich) TNO Telekom (Niederlande) und TERENA (Niederlande). NoAH Die Abkürzung NoAH steht für Network of Affined Honeypots. Ziel dieses Projekts ist die Entwicklung eines Frühwarnsystems auf Basis von

54 54 KAPITEL 4. THEMA DER ARBEIT Honeypot Technologie. Dazu sollen diese an geografisch verschiedenen Positionen im Internet verteilt und die von ihnen gesammelten Informationen zu einem Gesamtbild korreliert werden. Ziele sind die Entwicklung einer state-of-the Art Infrastruktur für Honeypots, Entwicklung von Techniken für die automatische Entdeckung von Angriffen und die automatische Signaturgenerierung für diese, Installation und Betrieb eines Pilotsystems und das Sammeln von Informationen zu Attacken, um Trends zu studieren und Gegenmaßnahmen zu entwickeln. Das Projekt wird durch die Europäische Union gefördert und besteht aus acht Partnern. GOVCERT.NL Das CERT der niederländischen Regierung hat im Rahmen der Verbesserung der Reaktionsfähigkeit bei Bedrohungen im Internet ein Monitoring System aufgebaut. Dieses System setzt ebenfalls Honeypot Technologie ein. Basis ist ein zentraler Honeypot der bei der GOV- CERT.NL steht. Weitere nicht-intelligente Sensoren sind bei den anderen Beteiligten untergebracht. Es handelt sich dabei um einfache Racksysteme, die von einem USB-Stick gestartet werden können. Diese sind mit dem zentralen System über ein Layer-2 VPN verbunden. Überwacht wird der Verkehr, der an die IP-Adressen der Sensoren gesendet wird. Die Beteiligten können auf ihre eigenen Daten via Zertifikat., Benutzername und Passwort zugreifen. Erkannt werden können derzeit Scans, Würmer, Bots und trojanische Pferde Außerhalb Europas Symantec DeepSight Thread Management System Das Symantec DeepSight Thread Management System ist ein webbasiertes System, das Frühwarnungen vor Netzwerkangriffen liefert. Unternehmen können sich für diesen von Symantec angebotenen Dienst registrieren und werden dann, gegen Bezahlung, über aktuelle Sicherheitsvorfälle informiert. Abbildung 4.6 zeigt das System im Überblick. Kern des Systems ist die Sensorik, die Daten aus Firewallsystemen und IDS- Systemen sammelt. Dabei handelt es sich insbesondere um Daten zu Angriffen. Die Daten der IDS-Systeme liefern detaillierte Informationen zu Angriffen. Die Daten der Firewallsysteme liefern Daten zu neuen unbekannten Angriffen. Die Daten der verschiedenen Datenquellen werden über eine Ereigniskorrelations- Engine miteinander in Beziehung gesetzt und die Ergebnisse in der Schwachstellenund Ereignisdatenbank gespeichert. Die Daten in der Schwachstellen- und Ereignisdatenbank dienen als Basis für die Generierung von Warnungen zu Sicherheitsvorfällen. Dazu werden unter anderem Data-Mining Techniken eingesetzt. Deren Verwendung dient dazu, Muster in den Angriffsdaten zu identifizieren. Die Warnmeldungen selbst werden von einem Team von Sicherheitsanalysten generiert. Neben den Warnungen enthalten die Warnmeldungen auch detaillierte Beschreibungen und Lösungsvorschläge. Die Übermittlung der Warnungen erfolgt per , SMS, FAX oder Telefon. Über die Weboberfläche können die Nutzer die vom System gesammelten Daten und die erzeugten Warnungen einsehen, Berichte erzeugen und Analysen durchführen.

55 4.1. ARBEITEN IN DIESEM BEREICH 55 Abbildung 4.6: DeepSight Thread Management System

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Die Vorteile von Multicore-UTM Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Inhalt Netzwerksicherheit wird immer komplexer 1 UTM ist am effizientesten, wenn ganze Pakete gescannt werden

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 Sicherheitsrisiken im Internet Gestaltung von Internetzugängen und -angeboten Folie: 3 Agenda: 1. Systematik von IT-Sicherheit und Datenschutz 2. Grundbedrohungen der IT-Sicherheit 3.

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Erkennung und Verhinderung von Netzangriffen

Erkennung und Verhinderung von Netzangriffen Erkennung und Verhinderung von Netzangriffen 1. Firewall 2. IDS 3. AAA-Dienste Labor MMV+RN 1 1. Firewall Analogie: elektronischer Pförtner + elektr. Brandschutzmauer Sicherung u. Kontrolle zw. zu schützendem

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Behind Enemy Lines Wiederstand ist möglich

Behind Enemy Lines Wiederstand ist möglich Behind Enemy Lines Wiederstand ist möglich 26.09.2013 Agenda 1 Einleitung 2 Allgemeine Angriffe 3 Erfolgreiche Angriffe 4 Abwehrmaßnahmen 5 Abschluss Einleitung Person Frank Schneider Geschäftsführer Certified

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr. Gesamtübersicht Server Intranet Wir empfehlen, aus Stabilitäts und Sicherheitsgründen die LAN Anwendungen auf zwei Server aufzuteilen: internetorientierte Anwendungen LAN orientierte Anwendungen. Seite

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Jan Gassen jan.gassen@fkie.fraunhofer.de 21.02.2012 Forschungsgruppe Cyber Defense Erkennung von Malware Unterschiedliche Verbreitung

Mehr

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI Workshop Informationssicherheit Carsten Elfers 06.11.2009 System Qualität und Informationssicherheit Rahmenbedingungen

Mehr

spotuation Intelligente Netzwerkanalyse

spotuation Intelligente Netzwerkanalyse Forschungsbereich Internet- Frühwarnsysteme spotuation Intelligente Netzwerkanalyse Oktober 2015 Institut für Internet- Sicherheit if(is) Dominique Petersen, Diego Sanchez Projekte spotuation Netzwerk-

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP

Mehr

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Stand: 02. 02. 2009 UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien 1 INHALTSVERZEICHNIS Entgeltbestimmungen:... 3 Leistungsbeschreibung:...

Mehr

Quelle: www.roewplan.de. Stand März 2004

Quelle: www.roewplan.de. Stand März 2004 Quelle: www.roewplan.de Stand März 2004 1 RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg 4 Tel.: 07366 9626 0 Fax: 07366 9626 26 Email: info@roewaplan.de

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

1 Ratgeber und Praxis

1 Ratgeber und Praxis 1 Ratgeber und Praxis Nicht nur große, sondern zunehmend auch mittlere und kleine Unternehmen sind Zielscheibe von Cyberkriminellen. Dieses Kapitel gibt IT-Verantwortlichen und Administratoren einen praxisrelevanten

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

Solutions Guide. GarlandTechnology.com sales@garlandtechnology.com +1 (716) 242-8500. Buffalo, NY - Richardson, TX

Solutions Guide. GarlandTechnology.com sales@garlandtechnology.com +1 (716) 242-8500. Buffalo, NY - Richardson, TX Solutions Guide GarlandTechnology.com sales@garlandtechnology.com +1 (716) 242-8500 Buffalo, NY - Richardson, TX Netzwerk Forensik und Datenaufzeichnung Die Netzwerk-Forensik ist ein Zweig der Kriminaltechnik

Mehr

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion

Mehr

Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen

Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen Universität Dortmund Fachbereich Informatik, LS 6 Informationssysteme und Sicherheit Alexander Burris Ulrich Flegel Johannes

Mehr

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1 IT-Sicherheit Vortrag am 06.06.2002 in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer 16.01.2006 IT-Sicherheit 1 Literatur O. Kyas, M. a Campo, IT-Crackdown

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Sicherheit im IT - Netzwerk

Sicherheit im IT - Netzwerk OSKAR EMMENEGGER & SÖHNE AG IT - SERVICES Email mail@it-services.tv WWW http://www.it-services.tv Stöcklistrasse CH-7205 Zizers Telefon 081-307 22 02 Telefax 081-307 22 52 Kunden erwarten von ihrem Lösungsanbieter

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

Daten Monitoring und VPN Fernwartung

Daten Monitoring und VPN Fernwartung Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

UPC Austria Services GmbH

UPC Austria Services GmbH UPC Austria Services GmbH Entgeltbestimmungen und Leistungsbeschreibungen für das Zusatzprodukt Internet Security in Tirol Stand 15. März 2010 Seite 1 von 5 Inhaltsverzeichnis I) LEISTUNGSBESCHREIBUNG...

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

International Working Group on Data Protection in Telecommunications

International Working Group on Data Protection in Telecommunications International Working Group on Data Protection in Telecommunications 3. September 2003 Arbeitspapier zu Intrusion Detection Systemen (IDS) 1 angenommen auf der 34. Sitzung der Arbeitsgruppe, 2.-3. September

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Planung und Aufbau eines virtuellen Honeynetzwerkes Diplomarbeit Sebastian Reitenbach reitenba@fh-brandenburg.de Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Agenda traditionelle Sicherheitstechnologien

Mehr

bley intelligentes Greylisting ohne Verzögerung

bley intelligentes Greylisting ohne Verzögerung bley intelligentes Greylisting ohne Verzögerung Evgeni Golov Lehrstuhl für Rechnernetze, Institut für Informatik, Heinrich-Heine-Universität Düsseldorf, Universitätsstr. 1, 40225 Düsseldorf evgeni.golov@uni-duesseldorf.de

Mehr

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 PROAKTIVER SCHUTZ FÜR IHRE DATEN Nur eine Firewall, die kontinuierlich

Mehr

Linux-Firewalls Ein praktischer Einstieg

Linux-Firewalls Ein praktischer Einstieg 2. Auflage Linux-Firewalls Ein praktischer Einstieg Andreas Lessing O'REILLY 0 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Inhalt Einleitung XIII 1 Wer braucht eine Firewall? 1 2 Was ist

Mehr

Firewalling für KMU Internet-Partner der Wirtschaft

Firewalling für KMU Internet-Partner der Wirtschaft Firewalling für KMU Internet-Partner der Wirtschaft 1 Es passt... Ihr Business Unser Beitrag 2 was zusammen gehört! Medien Wirtschaftskompetenz Bewährte Technik Neue Gedanken 3 Wir bauen Portale... 4 und

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Intrusion Detection in Wireless and Ad-hoc Networks. Raphaela Estermann Richard Meuris Philippe Hochstrasser

Intrusion Detection in Wireless and Ad-hoc Networks. Raphaela Estermann Richard Meuris Philippe Hochstrasser Intrusion Detection in Wireless and Ad-hoc Networks Raphaela Estermann Richard Meuris Philippe Hochstrasser Inhalt 1. Einführung in Wireless und Ad-hoc Netzwerke 2. Problematik in Wireless und Ad-hoc Netzwerken

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management McAfee Vereinfachen Sie Ihr Sicherheits-Management Seit der erste Computervirus vor 25 Jahren sein Unwesen trieb, hat sich die Computersicherheit dramatisch verändert. Sie ist viel komplexer und zeitaufwendiger

Mehr

APM III FIREWALL. Herrmann Stephan, Schlicker Thomas 07.12.2004. Internet Architektur, Protokolle und Management -Firewall

APM III FIREWALL. Herrmann Stephan, Schlicker Thomas 07.12.2004. Internet Architektur, Protokolle und Management -Firewall APM III FIREWALL Herrmann Stephan, Schlicker Thomas 07.12.2004 Internet Architektur, Protokolle und Management -Firewall 1 Inhaltsverzeichnis 1 Gefahren des Imternets 3 1.1 Was wovor schützen...................................................

Mehr

Ungenauigkeiten der Filterung

Ungenauigkeiten der Filterung A Ungenauigkeiten der Filterung Kein Filter ist perfekt. Mit Ihrer Hilfe strebt MailCleaner an, ein perfekter Filter zu werden. Die Filterung, die von MailCleaner durchgeführt wird, beruht auf automatischen

Mehr

Umfangreicher Schutz für Unternehmensnetzwerke, Optimierung des Internettraffic, flexible Administration

Umfangreicher Schutz für Unternehmensnetzwerke, Optimierung des Internettraffic, flexible Administration Umfangreicher Schutz für Unternehmensnetzwerke, Optimierung des Internettraffic, flexible Administration Einsatzgebiete Das Internet ist aus dem Arbeitsalltag nicht mehr wegzudenken. Durch die Verwendung

Mehr

Problembehandlung bei Windows2000- Netzwerkdiensten

Problembehandlung bei Windows2000- Netzwerkdiensten Unterrichtseinheit 15: Problembehandlung bei Windows2000- Netzwerkdiensten Die Windows2000-Netzwerkinfrastruktur besteht aus vielen verschiedenen Komponenten und Verbindungen, in denen Netzwerkprobleme

Mehr

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND init.at informationstechnologie GmbH - Tannhäuserplatz 2 - A-1150 Wien - www.init.at Dieses Dokument und alle Teile von ihm bilden ein geistiges Eigentum

Mehr

Überwachung der Sicherheit von IT-Services im Einsatz

Überwachung der Sicherheit von IT-Services im Einsatz Überwachung der Sicherheit von IT-Services im Einsatz Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw IT-Zentrum der Bundeswehr franzlantenhammer@bundeswehr.org franz.lantenhammer@certbw.de

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

ESET Smart Security Business Edition

ESET Smart Security Business Edition ESET Smart Security Business Edition ESET Smart Security Business Edition ist eine neue, hochintegrierte Lösung für die Endpunkt-Sicherheit von Unternehmen aller Größen. ESET Smart Security bietet die

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Relevante Daten zum richtigen Zeitpunkt

Relevante Daten zum richtigen Zeitpunkt Netzwerkadministratoren analysieren Netze aus zahlreichen Blickwinkeln. Einmal steht die Netzwerksicherheit im Vordergrund, dann eine bestimmte Anwendung oder das Compliance-Management. Für alles gibt

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Warum ist Frühwarnung interessant?

Warum ist Frühwarnung interessant? Warum ist Frühwarnung interessant? Dr. Klaus-Peter Kossakowski DFN-CERT Wir Menschen sind einfach zu langsam... SAGE (54-65)... linked hundreds of radar stations in the United States and Canada in the

Mehr

Neueste Entwicklungen in der Firewall- Technologie

Neueste Entwicklungen in der Firewall- Technologie Neueste Entwicklungen in der Firewall- Technologie John Read http:// John.read@de.balabit.com 1 Agenda Einführung in Firewall-Technologien Vorstellung der Zorp Professional Firewall-Lösung Balabit Fragen

Mehr

Praktische Erfahrungen mit Intrusion Detection Systemen (IDS) U3L: Vernetzung und Kommunikation 20. November 2014 Heinz Fuchs

Praktische Erfahrungen mit Intrusion Detection Systemen (IDS) U3L: Vernetzung und Kommunikation 20. November 2014 Heinz Fuchs Praktische Erfahrungen mit Intrusion Detection Systemen (IDS) U3L: Vernetzung und Kommunikation 20. November 2014 Heinz Fuchs 1.Einordnung Einsatzzweck, Lösungsansätze Gliederung 2.praktische Erfahrungen

Mehr

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur Page 1 of 5 Exchange 2007 - Architektur Kategorie : Exchange Server 2007 Veröffentlicht von webmaster am 18.03.2007 Warum wurde die Architektur in der Exchange 2007 Version so überarbeitet? Der Grund liegt

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...

Mehr