Frühwarnsysteme mit Live-Demo. Internet-Fr. Dominique Petersen petersen (at) internet-sicherheit.de. Systems 2008 in München M

Transkript

1 Internet-Fr Frühwarnsysteme mit Live-Demo Systems 2008 in München M (Forum Blau) Dominique Petersen petersen (at) internet-sicherheit.de Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen Systems 2008, Halle B3, Stand 229

2 Internet-Analyse Analyse-System (IAS) Ziele 1) Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen. ngen. Schaffung einer Wissensbasis. 2) Überblick über den aktuellen Zustand des Internets 3) Erkennen von Angriffssituationen und Anomalien 4) Prognosen von Mustern und Angriffen 2

3 Internet-Analyse Analyse-System (IAS) Idee Beobachtung der kritischen Infrastruktur Internet. Internet Sonden werden an ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die Kommunikationsleitungen eingebunden. Zählen von Header- Informationen, die nicht datenschutzrelevant sind. System sammelt Informationen über einen großen Zeitraum! Ein zentrales Auswertungssystem analysiert die Rohdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse dar. Sonde Sonde Sonde Auswertungssystem IAS Sonde 3

4 Prinzip der Rohdatengenerierung Zählen der Header Internet Raw-Data-Transfer System Probe Anonymization Pattern Processing time for each package < 1ms Counter System 4

5 Live-Demo (Statistiken) Browser-Verteilung FH GE FB Graph: Unterschied manuelle und automatische Nutzung Kuchendiagramm: Firefox 58%, IE6 29%, IE7 7% Browser-Verteilung FH GE FB Kuchendiagramm: Firefox 79%, IE6 2%, IE7 9% Browser-Verteilung Business-Firma 2008 Kuchendiagramm: Firefox 22%, IE6 44%, IE7 30% 5

6 Live-Demo (Statistiken) HTTP-Methoden 2008 Graph: Unterschied Tag/Nacht, automatische Nutzung durch HEAD Kuchendiagramm: GET 97%, POST 3% 6

7 Live-Demo (Statistiken) Transport-Protokolle 2007 Graph: TCP (Nr. 6) immer da, UDP (Nr. 17) schwingt mit (Abhängigkeit von DNS), ICMP (Nr. 1, Ping) konstant, altes VPN mittels GRE (Nr. 47) vorhanden Kuchendiagramm: TCP 76%, UDP 22% Transport-Protokolle 2008 Graph: UDP nun fast konstant (mehr Echtzeitdienste, VPN über UDP), altes VPN mittels GRE (Nr. 47) weggefallen Kuchendiagramm: TCP 70%, UDP 29% 7

8 Live-Demo (Sicherheit) Verschlüsselungstechniken HTTPS 2007 FH GE FB5 Kuchendiagramm: RC4/MD5 64%, RC4/SHA1 3%, AES256/SHA1 32% Verschlüsselungstechniken HTTPS 2008 FH GE FB5 Kuchendiagramm: RC4/MD5 23%, RC4/SHA1 23%, AES256/SHA1 53% Verschlüsselungstechniken HTTPS 2008 Business-Firma Kuchendiagramm: RC4/MD5 88%, RC4/SHA1 2%, AES256/SHA1 8% 8

9 Live-Demo (Angriffserkennung) BKA-Wurm Januar/Februar 2007 Mail-Analyse ergab zwei Deskriptoren, die ausschlage, und zwei, die unberührt bleiben sollten Graph: Zoomen z.b. zum von 16:00 bis 24:00 9

10 Live-Demo (Angriffserkennung) ZIP-Malware 2007 Graph: Gegenüberstellung aller Anhänge und ZIP-Anhängen, größere Zeit Malware eingegangen 10

11 Live-Demo (Angriffserkennung) PDF-SPAM 2007 Graph: Gegenüberstellung Anzahl Mails mit PDF-Anhängen 11

12 Live-Demo (Angriffserkennung) Reset Flooding 2008 Durch Ausprobieren sehr viele Versuche, bestehende TCP- Verbindungen zu beenden (Reset) Graph: Deskriptor mit Reset-Flag viel höher als mit mit Reset/ACK-Flag, teilweise erfolgreich gewesen 12

13 Live-Demo (Angriffserkennung) TCP-Portscan 2008 Graph: Stark ansteigende SYN-Flags, ohne dass mit SYN/ACK geantwortet wird 13

14 Live-Demo (Angriffserkennung) Wurm-Verbreitung 2007 Verbreitung durch -Anhänge direkt als Executables Graph: Gegenüberstellung Anzahl Mails und Executable- Anhängen 14

15 Beispiele von Ergebnissen des IAS Reports 15

16 Beispiele von Ergebnissen des IAS Übersicht über den aktuellen Zustand 16

17 Internet-Verf Verfügbarkeits-System Beobachtung der kritischen Infrastruktur Internet. Drohnen werden an ausgesuchten Positionen des Internets zur Erfassung von Verfügbarkeitsdaten eingebunden. Es werden verschiedene Arten von Verfügbarkeiten gemessen: Wichtige Webdienste DNS-Dienst Kommunikationsverbindungen und Router Mail-Dienste und Server Parameter: Dienstgüte: Funktionen, Fehlerrate, Jitter, Verzögerung, Paketverlust Ein zentrales Auswertungssystem analysiert die Verfügbarkeitsdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse intuitiv dar. Internet Drohne IVS Drohne Drohne: aktive Sonde Platzierung unabhängig von Dritten! 17

18 Logdaten-Analyse Analyse-System (LAS) Angriffe oder Vorfälle erzeugen Ereignisse/Warnungen bei aktiven Komponenten und diese dann Einträge in ihren Logs Die Logdaten werden an einem zentralen Ort zusammengeführt Zentralisierte Auswertung und Angriffserkennung Ermöglicht Korrelation der Daten 18

19 Angriffserkennung DDoS-Angriff ( ) LAS: 42 Angreifer mit asiatischen, afrikanischen aber auch europäischen und amerikanischen Adressen IAS: Hoher Ausschlag der eingehenden Pakete (Analyse der Paketart) IVS: Ausfall der Verbindung zur if(is)-seite und Visualisierung des Angriffs 19

20 Artikel in der aktuellen <kes< kes> Nr. 5, Oktober 2008 Titel: Messen und Warnen Frühwarn-System, Routenbetrachtung und globale Sicht auf das Internet Seite 70 20

21 Artikel in der aktuellen Wik Nr. 5, Oktober 2008 Titel: Nationales Lagezentrum für f r IT- Gefahren geplant Frühwarnung und Verfügbarkeitsüberwachung Seite 16 21

22 Besuchen Sie uns auch am Stand 229 in Halle B3 Systems 2008 in München M (Forum Blau) Vielen Dank für Ihre Aufmerksamkeit Fragen? Dominique Petersen petersen (at) internet-sicherheit.de Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen Systems 2008, Halle B3, Stand 229