Neues aus dem DFN-CERT. 55. DFN-Betriebstagung - Forum Sicherheit 18. Oktober 2011 Tilmann Haak, Torsten Voss

Transkript

1 Neues aus dem DFN-CERT 55. DFN-Betriebstagung - Forum Sicherheit 18. Oktober 2011 Tilmann Haak, Torsten Voss

2 Themen Neues aus dem DFN-CERT Aktuelle Vorfälle und Schwachstellen DFN-CERT Portal Badminer-, Bitminer-DDoS DDoS-Abwehr 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 2

3 Aktuelle Vorfälle und Schwachstellen 55. DFN-Betriebstagung - Forum Sicherheit 18. Oktober 2011 Torsten Voss

4 Agenda Aktuelle Schwachstellen Neue Vorfallsnummern Aktuelle Vorfälle 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 4

5 Schwachstellen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 5

6 Aktuelle Schwachstellen (1) In 2011 haben wir 1600 ( ) Advisories verschickt Das sind 1282 einzeln beschriebene Schwachstellen Zum Vergleich: 2010 waren es 1766 Advisories Mit 1551 einzelnen Schwachstellen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 6

7 Aktuelle Schwachstellen (2) Seit März 2011: Microsoft LNK-Schwachstelle (CVE ) wird weiterhin aktiv ausgenutzt Schwachstellen in MS Windows, Internet Explorer, Office, Firefox, Java Schwachstellen in Adobe PDF und Flash, Exploits sind verfügbar und werden aktiv genutzt Apache Denial-of-Service (CVE ) 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 7

8 Automatische Warnmeldungen + Neue Vorfallsnummern 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 8

9 Automatische Warnmeldungen Es nehmen alle Einrichtungen teil! Die Warnmeldungen sind jetzt digital signiert Meldungen kommen jetzt jeden Werktag Aktuell rund 1300 Meldungen pro Woche Zuständigkeiten vor Ort sind z.t. unklar Oft keine Vertreterregelungen... Empfehlung: oder einrichten und an mehrere Kollegen verteilen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 9

10 Automatische Warnmeldungen (2) 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 10

11 Neue Vorfallsnummern Neues Schema für Vorfallsnummern, (gilt allgemein) DFN-CERT# Die alten Nummern, z.b DFN-CERT#12345 bleiben weiterhin gültig 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 11

12 Aktuelle Vorfälle 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 12

13 Aktuelle Vorfälle Die üblichen Verdächtigen: Trojaner (ZeuS, Torpig, Mebroot) SSH-Angriffe Kompromitierte Webserver (u.a. I-Frame oder JavaScript) Spam, Port-Scans Phishing- s gegen Benutzer Webmailer- / Horde-Accounts Spam-Versand Rustock Take-Down im März 2011 Conficker 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 13

14 Conficker Quelle: shadowserver.org DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 14

15 Conficker (2) Quelle: shadowserver.org DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 15

16 Öffentlich erreichbare Geräte (1) Drucker- und Fax-Geräte vom Internet erreichbar Von Google indiziert und daher leicht zu finden Management Oberfläche (Port 80/HTTP) Bietet mehr als nur Netzwerkkonfiguration Datenleck Bei Schwachstellen in der Gerät-Software, Einstiegspunkt für dann interne Angriffe 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 16

17 Öffentlich erreichbare Geräte (2) 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 17

18 Öffentlich erreichbare Geräte (3) 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 18

19 Öffentlich erreichbare Geräte (4) Rechenzentrum bzw. Betreiber der Netzinfrastruktur kennt nicht alle Geräte Konfiguration von Firewalls Sensibilisierung der Kollegen, die solche Geräte aufstellen Regelmäßige Prüfung der eigenen Netzbereiche mit dem Netzwerkprüfer 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 19

20 DFN-CERT Portal 55. DFN-Betriebstagung - Forum Sicherheit 18. Oktober 2011 Tilmann Haak

21 Agenda Einrichtungs-Informationen Domains Netzwerkprüfer Automatische Warnmeldungen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 21

22 Einrichtungsinformationen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 22

23 Einrichtungsinformationen (1) 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 23

24 Ansprechpartner Netzsicherheit Wer wurde dem DFN gegenüber als Ansprechpartner für Netzsicherheit benannt? 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 24

25 Domains 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 25

26 Domains Im Portal bekommen Sie jetzt die über den DFN registrierten Domains angezeigt Integration mit der DFN-PKI ist in Vorbereitung Neue Möglichkeiten für den AW-Dienst 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 26

27 Netzwerkprüfer 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 27

28 Netzwerkprüfer Der Netzwerkprüfer steht allen Einrichtungen über das DFN-CERT Portal zur Verfügung Sie können die Netzbereiche Ihrer (und nur Ihrer) Einrichtung scannen Oberfläche noch etwas vereinfacht Regelmäßige Scans (alle vier Wochen) möglich Neue Scanknoten in Betrieb 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 28

29 Netzwerkprüfer (2) 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 29

30 Ausblick 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 30

31 Ausblick Erweiterung des AW-Dienstes um: IPv6 Domains Netzwerkprüfer Scannen von IPv6-Netzen? 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 31

32 Badminer-/Bitminer-DDoS 55. DFN-Betriebstagung - Forum Sicherheit 18. Oktober 2010 Torsten Voss

33 Badminer-DDoS (2) Meldung von einer Einrichtung: Von: Betreff: DDOS Your site will be subjected to DDoS attacks 100 Gbit/s. Pay 100 btc(bitcoin) on the account xxxxxxxxxxxxx Do not reply to this 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 33

34 DDoS Badminer (3) Unterschiedliche Absender von Yahoo Empfänger: Tech-C Kontakt der Domain Betreff: DDOS Nach der Erpressungs- DDoS nach rund Stunden 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 34

35 DDoS Badminer (4) Botnetz von ~ Bots Verteilter, rekursiver Zugriff auf die Webseiten der Domain Daher recht hohe Last bei dynamisch generierten Webseiten Schlechtes Caching des Webservers Weitere Domains auf den Servern durch die hohe Last betroffen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 35

36 Badminer-DDoS (5) GET / HTTP/1.1 Accept: */* Accept-Language: ru User-Agent: [User-Agent] Accept-Encoding: gzip, deflate Host: [target domain] Connection: Keep-Alive Verschiedene User-Agents: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv: ) Gecko/ Firefox/3.5.7 Opera/9.80 (Windows NT 5.1; U; ru) Presto/ Version/ DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 36

37 Fazit Wenn Sie von einem (D)DoS-Angriff betroffen sind, informieren Sie uns bitte Kontrollieren Sie Ihre Netze auf ungewollte Erreichbarkeit von Geräten oder Systemen (z. B. mit dem Netzwerkprüfer) Bei Vorfällen oder Fragen stehen wir Ihnen gerne zur Verfügung! 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 37

38 Referenzen Conficker: s/conficker Miner-Botnetz, Badminer: Miner_Botnet_Bitcoin_Mining_Goes_Peer_To_Peer DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 38

39 DDoS-Abwehrstrategien 55. DFN-Betriebstagung - Forum Sicherheit 18. Oktober 2011 Tilmann Haak

40 Agenda Allgemeines DoS, DDoS,!DDoS Allgemeine Gegenstrategien Konkrete Gegenmaßnahmen Im Falle eines Falles 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 40

41 Allgemeines 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 41

42 Abgrenzung DoS: Denial of Service Dienstblockade (z. B. CVE ) DDoS: Distributed Denial of Service verteilter Angriff auf einen Dienst Kein DDoS: Slashdot-Effekt, Heise- Effekt legitime Nutzung, aber deutlich mehr Anfragen als normal 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 42

43 DDoS: Warum? Wer? Ziel des Angreifers ist, Sie an der Bereitstellung eines Dienstes zu hindern Vielfältige Motivationen: Kriminelle Energie, z. B. Erpressung Politische Motivation, z. B. Anonymous Begleiterscheinung bewaffneter Konflikte Subkultur, z. B. Angriffe auf IRC-Server Vorbereitung für andere Angriffe Beteiligte Systeme Botnetze Freiwillige, Aktivisten 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 43

44 DDoS: Grundideen Der Angriff soll z.t. sichtbar sein Asymetrischer Angriff, viele gegen einen Mehr beteiligte Systeme, als der betroffene handhaben kann, weit verteilt Aufbrauchen bzw. blockieren von Ressourcen (lokal oder im Netz) Verwenden von legitim erscheinenden Anfragen Angriff dort, wo es weh tut Angreifer bzw. sein Steuersystem tritt nicht direkt in Erscheinung 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 44

45 Verschiedene Ebenen Mögliche Zielebenen: Netzwerkinfrastruktur Einzelne Netzzugänge bzw. Leitungen Systeme am Ende der Leitung Es ist für den Angreifer ausreichend, auf einer der Ebenen erfolgreich zu sein Sie müssen Ihre Systeme auf allen Ebenen schützen! 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 45

46 Allgemeine Gegenstrategien 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 46

47 Allgemeine Gegenstrategien (1) Identifizieren Sie ihre wirklich wichtigen Systeme und Dienste Schätzen Sie ab, welcher Schaden durch einen Ausfall entstehen würde Monitoring auf Netz- und Systemebene Sorgen Sie für ausreichend Kapazitäten auf allen Ebenen: Kollegen Bandbreite Netzwerkkomponenten (inkl. Firewalls) Server-Systeme 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 47

48 Allgemeine Gegenstrategien (2) Klären Sie vorab Zuständigkeiten und Entscheidungswege Bereiten Sie auf allen Ebenen Gegenmaßnahmen vor Testen Sie diese regelmäßig Vermeiden Sie Single Points of Failure (SPOF) Sorgen Sie für eine möglichst optimale Konfiguration Ihrer System (Tuning) Denken Sie bitte auch an regelmäßige Sicherheits-Updates! 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 48

49 Allgemeine Gegenstrategien (3) Aktive Inhalte nicht direkt bereitstellen: Loadbalancer Reverse Proxies Statischer Export Achtung: neue Fehlerquelle! Zugriffsbeschränkungen: Rate-Limits Muss das System weltweit erreichbar sein? Aktuellen Notfallplan aus der Schublade ziehen Durchhalten! 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 49

50 Allgemeine Gegenstrategien (4) Werden Sie nicht zum Komplizen, d.h. sorgen Sie dafür, dass Ihre Systeme sich nicht an Angriffen beteiligen! Automatische Warnmeldungen! Protokollieren Sie sicher identifizierte Angreifer: IP-Adressen Zeitstempel Quell- und Zielports Sagen Sie uns bitte Bescheid ;-) 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 50

51 Konkrete Gegenmaßnahmen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 51

52 Gegenmaßnahmen (1) Die Wirksamkeit der einzelnen Gegenmaßnahmen ist abhängig von Ihrer Infrastruktur Die genauen Parameter müssen Sie selbst ermitteln, sie sind für die meisten Einrichtungen im DFN unterschiedlich Es gibt keine Silberkugel Beispiele für Linux, iptables und Apache- Webserver Weitere mögliche Maßnahmen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 52

53 Gegenmaßnahmen (Linux IP-Stack) SYN-Cookies anschalten echo "1" > /proc/sys/net/ipv4/tcp_syncookies TCP SYN Backlog vergrößern echo "4096" \ > /proc/sys/net/ipv4/tcp_max_syn_backlog SYN/ACK Retries verringern echo "1" \ > /proc/sys/net/ipv4/tcp_synack_retries Übertragbar auf Windows- oder Unix- Systeme. 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 53

54 Gegenmaßnahmen (Firewall) iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent set iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP iptables -I INPUT -p tcp --dport 80 -i eth0 -s /16 -m state --state NEW -j ACCEPT Auch für andere Firewalls übertragbar. 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 54

55 Gegenmaßnahmen (Webserver) mod_security Filtern nach (fast) beliebigen Kriterien, z.b. Sprachversionen, UserAgent, geoip, mod_evasive Fokus auf DDoS, wird vermutlich nicht mehr aktiv gepflegt Webserver Einstellungen TimeOut, Default 300 Sekunden HostnameLookups Off KeepAliveTimeout, Default 5 Sekunden Apache Worker MPM statt Prefork MPM 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 55

56 Gegenmaßnahmen (Webserver) Webserver Einstellungen tips.html Hardware ausreichend dimensionieren Prüfen Sie das bitte regelmäßig... Genug Hardware anschaffen 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 56

57 Sonstige Gegenmaßnahmen DNS/Routing-Einträge ins Leere umlenken Vorteil: Schutz von unbeteiligten Systemen Nachteil: Sie helfen dem Angreifer Zentrales Sinkhole Vorteil: Der Angriff erreicht Ihr Netz nicht Nachteil: Der Angreifer ist erfolgreich Zentrale Filterinstanz Vorteil: Wenig Arbeit in der Einrichtung Nachteil: Umlenken nötig, SPOF Content Distribution Network (CDN) Vorteil: robust; Nachteil: Kosten, Kontrolle 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 57

58 Im Falle eine Falles 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 58

59 Im Falle eines Falles Ruhig bleiben. Vorbereitete Maßnahmen umsetzen. Dem Angreifer nicht helfen! an das DFN-CERT: Hotline: 040/ Ad-hoc-Maßnahmen umsichtig umsetzen. Manchmal gibt es mehr als einen Angriff DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 59

60 Sagen Sie uns bitte Bescheid 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 60

61 Ihre Erfahrungen Die vorgestellten Maßnahmen wurden bei einigen Einrichtungen erfolgreich eingesetzt. Uns interessiert, mit welchen Maßnahmen Sie erfolgreich waren und mit welchen nicht. 55. DFN-Betriebstagung, 18. Oktober 2011 / Tilmann Haak, Torsten Voss Folie 61

62 Vielen Dank für Ihre Aufmerksamkeit! DFN-CERT Hotline: 040 / Weitere Informationen unter: