IRS in virtualisierten Umgebungen

Transkript

1 Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan Posselt

2 Motivation Virtualisierung Weit verbreitet Sicherung notwendig IRS Große Rechnernetze Komplexe Angriffe IRS in virtualisierten Umgebungen 2

3 Gliederung Virtuelle Umgebungen Virtual Machine Monitor Intrusion Response Systeme Responses IRS und Virtualisierung Architektur Standard Responses Neue Responses Fazit IRS in virtualisierten Umgebungen 3

4 Virtuelle Umgebungen Ziele Kostenminimierung Bessere Auslastung von Hardware Unabhängigkeit von spezieller Hardware Wie? Ausführen mehrerer virtueller Maschinen auf einem Server Spezielle Hardware emulieren IRS in virtualisierten Umgebungen 4

5 Virtual Machine Monitor (VMM) Zentraler Teil der Virtualisierungssoftware Verwaltet Ressourcen Typ-I VMM Typ-II VMM IRS in virtualisierten Umgebungen 5

6 Intrusion Response Systeme (IRS) System zur automatischen Antwort auf Netzwerkangriffe Funktionsweise Intrusion Detection System (IDS) entdeckt Angriff IDS klassifiziert und gibt Alarm an IRS weiter IRS leitet Gegenmaßnahmen (Response) ein IRS in virtualisierten Umgebungen 6

7 Responses Responses Passiv Aktiv Angriff observieren Administrator benachrichtigen Schaden minimieren Abwehr des Angriffs Erweiterte Analysetools an Admin Dateizugriff sperren IP Blocken IRS in virtualisierten Umgebungen 7

8 Architektur Sicherheitssoftware und VMs vom Host aus verwaltet Verbreitetes BS, Nutzung von vorhandener Software Erstellung von Software leichter, da Aufbau des Host BS bekannt Keine Änderungen am Gast System freie Wahl des BS IRS in virtualisierten Umgebungen 8

9 IRS im Host VMM nutzen Isolation als Barriere VMI Zugriff in die VM komplex Low Level Sicht IRS in virtualisierten Umgebungen 9

10 IRS im Gast Zugriff auf Systemeigene Funktionen High Level Sicht Code Manipulation Integritätssicherung IRS in virtualisierten Umgebungen 10

11 Hybridlösung IRS in Gast UND Host Koordination von Responses Host: blocke IP, stoppe VM Gast: beende Prozess IRS in virtualisierten Umgebungen 11

12 Neue Responses Klonen Migration Anhalten und Fortsetzen Zusätzliche VM aufsetzen Recovery Separat zur geschädigten VM möglich Ressourcen beschränken IRS in virtualisierten Umgebungen 12

13 Malware Netzwerk Verbindung blocken VM anhalten Neue VM aus Backup aufsetzen Mail an Admin Forensik mit alter VM Alte VM durch neue ersetzen IRS in virtualisierten Umgebungen 13

14 DoS Blocke IP Migriere andere VMs Logge Netzwerkaktivitäten IRS in virtualisierten Umgebungen 14

15 Fazit Sinnvoll: Trend zur Virtualisierung Viele Standard Responses nutzbar Erweiterung durch neue Maßnahmen Zusätzliche Sicherheit durch Isolation VMI erlaubt bessere Erkennung von Malware Aber: Angreifer werden sich Anpassen Sicherung der Verwaltungsebene hat Priorität Nutzung von VMI kompliziert und fehleranfällig Isolation überwindbar IRS in virtualisierten Umgebungen 15

16 Vielen Dank für ihre Aufmerksamkeit! Weitere Fragen? IRS in virtualisierten Umgebungen 16

17 Auswahl von Responses IRS Regelwerk Kosten sensitiv Spieltheorie Angriffen werden Responses zugeordnet Kosten für Angriffe und Responses Ziel: Wenig Gesamtkosten Angreifer und Verteidiger sind Spieler Mögliche nächste Schritte werden einbezogen IRS in virtualisierten Umgebungen 17

18 Standard Responses Aktive Responses Größtenteils mithilfe des VMM anwendbar Teilweise komplex z.b. System Calls beeinflussen IRS in virtualisierten Umgebungen 18

19 Anwendungsmöglichkeiten VMM kann VMs anhalten, fortsetzen, kopieren, migrieren, zurücksetzen verschlüsseln Malware: Maschine vom Netz trennen Desinfektion Mittels VMI können Hauptspeicher, Register etc. ausgelesen werden Erkennung von außerhalb der VM keine Nutzung kompromittierter Dienste Rootkits werden leichter gefunden Isolation erschwert Übergreifen auf Host BS IRS in virtualisierten Umgebungen 19

20 Neue Responses Recovery: Immer anwendbar, falls VM erreichbar bleiben muss Frische VM oder Backup eines früheren Zeitpunkts Separat zur geschädigten VM möglich Forensik Dank Recovery nahezu immer möglich Durch Virtualisierung effizienter möglich VMI, Anhalten der VM etc. IRS in virtualisierten Umgebungen 20

21 Neue Responses DoS Ressourcen zuführen oder entziehen Zuführen: Kann dem Rest der Maschine schaden Hilft der angegriffenen VM Entzug: schützt den Rest des Systems Schadet der angegriffenen VM Migration auf leistungsfähigere Maschine Klonen der VM zur Lastverteilung Auslagern weiterer VMs des Servers Schafft zusätzliche freie Ressourcen Andere VMs evakuiert IRS in virtualisierten Umgebungen 21

22 Neue Probleme Angriff auf Schichten unter der VM Nutzung virtueller Maschinen nachweisbar Angepasste Malware Gezielter Angriff von Schwachpunkten Inaktiv um Analyse zu erschweren Bei Typ-II Umgebung Angriff auf Host BS Worst Case! Zugriff auf VMs Guest-to-host virtual machine escape IRS in virtualisierten Umgebungen 22

23 Vor- und Nachteile Vorteile: Ressourcennutzung Freie Wahl der Gast Betriebssysteme Isolation Virtual Machine Introspection Nachteile: Großer Schaden bei Angriff auf Verwaltungsebene Schwachstellen in VMMs IRS in virtualisierten Umgebungen 23