46. DFN-Betriebstagung - Forum Sicherheit

Transkript

1 Automatische Warnmeldungen: Der Regelbetrieb beginnt 46. DFN-Betriebstagung - Forum Sicherheit 27. Februar 2007 Andreas Bunten, DFN-CERT

2 Automatische Warnmeldungen Grundlegende Idee: Das DFN-CERT sammelt Informationen zu möglichen Sicherheitsproblemen: Registrierung bei SPAM- / Security-Communities Automatisierte Suche in Foren / Listen Auswertung der Daten aus eigenen Sensoren Überführung in einheitliches Format Korrelieren und Zusammenfassen der Daten Automatische Benachrichtigung betroffener DFN-Anwender Folie 2

3 Ablaufschema Folie 3

4 Agenda Webinterface Beispiel einer Meldung Datenquellen Statistik Pläne zur Erweiterung Wie kann man den Dienst nutzen Folie 4

5 Webinterface Folie 5

6 Webinterface Folie 6

7 Webinterface Einrichtung: DFN-CERT Services GmbH Name: Andreas Bunten Folie 7

8 Webinterface Netzblock: /24 Intervall: jeden Dienstag/Donnerstag Folie 8

9 Webinterface Konfiguration durch den Anwender: Authentifikation durch Zertifikat der DFN-PKI Aber auch ohne Zertifikat kann am Dienst teilgenommen werden Konfiguriert wird u.a.: Netzblöcke zu denen Benachrichtigungen verschickt werden sollen Zeitliche Intervalle über die Meldungen zusammengefasst werden sollen Die Empfänger der Benachrichtigung Folie 9

10 Webinterface Beispiel: 10.77/16 -> /24 -> /24 -> /24 -> Folie 10

11 Webinterface Ablauf der Benachrichtigung: Werktags zwischen 9:00 und 10:00 Uhr werden die Meldungen für jeden definierten Netzblock verschickt. Nur wenn ohne Daten aktiviert ist, wird auf jeden Fall eine Mail verschickt. Die Meldungen enthalten in der Betreffzeile den Kommentar des jeweiligen Netzblocks. Folie 11

12 Beispiel einer Meldung From: To: Subject: DFN-CERT# Automatische Warnung ( /16) Liebe Kolleginnen und Kollegen, dies ist eine automatische Warnmeldung des DFN-CERT. In den letzten Tagen erhielten wir Informationen über mögliche Sicherheitsprobleme auf Systemen in ihrem Netzwerk. Netzblock: /16 Kontakte: abuse@hs-beispiel.de Meldungen: IP Meldungstyp Zuletzt gesehen Portscan :39: Angriff :41:56 (...) Folie 12

13 Beispiel einer Meldung System: Meldungstyp: Zeitstempel: Beschreibung: Portscan :39:51 GMT+01 (Winterzeit) Das System fiel durch wiederholte Verbindungsversuche auf (Portscans), und ist wahrscheinlich kompromittiert. Hier ein Ausschnitt eines Netflow Logs. Date flow start :39: Duration Proto TCP Src IP Addr:Port -> Dst IP Addr:Port :0 -> :135 Flags Tos...S. 0 Packets 95 Bpp Flows Bytes 4560 pps 0 bps 299 Folie 13

14 Beispiel einer Meldung System: Meldungstyp: Angriff Zeitstempel: :41:56 GMT+01 (Winterzeit) Beschreibung:Das System fiel durch einen Angriff auf einen vom DFN-CERT betriebenen Honeypot auf und ist wahrscheinlich kompromittiert. Hier existieren noch mehr Daten: Das System hat einen Honeypot angegriffen. Eine DCOM Schwachstelle in MS Windows wurde ausgenutzt. Über das Linkbot-Protokoll wurde ein PoeBot an den Honeypot übertragen. Folie 14

15 Automatische Warnmeldungen Gibt es False Positives? Leider ja, aber nicht viele. Beispiele: Back Scatter von DoS Angriffen Decoy Scans Windows Messenger SPAM von gefälschten Absender IP-Adressen PlanetLab Folie 15

16 Ablaufschema Folie 16

17 Datenquellen Woher kommen die Daten? (I) CERTs anderer Forschungsnetze IDS-Meldungen Malware Downloads Portscans Private Personen / Einrichtungen im DFN Phishing Sites SPAM Bot-Netze (Server & kompromittierte Clients) Account Probes (FTP / SSH) Folie 17

18 Datenquellen Woher kommen die Daten? (II) Öffentliche und geschlossene SicherheitsForen und -Mailinglisten Bot-Netze SPAM Phishing Sites Webseiten Defacements Virus / Wurm Infektionen... Folie 18

19 Datenquellen Woher kommen die Daten? (III) Eigene Sensoren: Verbindungen zu unbenutzen IPs: Scans oder oft auch Angriffsversuche Low-Level HoneyPots: vorgetäuschte Schwachstellen werden angegriffen High-Level HoneyPots: echte Systeme werden potentiell von Zero Day Exploits angegriffen Das DFN-CERT liest niemals ihren Netzwerkverkehr mit! Folie 19

20 Datenquellen Folie 20

21 Statistik Pilotbetrieb seit Ende Oktober 2006: 24 Einrichtungen 86 definierte Netzblöcke IPs (ca. 10% des X-WiN) 239 Vorfälle zu 727 Quell-IP-Adressen Folie 21

22 Statistik Verteilung der Meldungstypen: Folie 22

23 Geplante Erweiterungen Was passiert als nächstes? Der Regelbetrieb startet mit dieser BT Kontinuierliches einbinden neuer Quellen Account Probes (SSH / FTP) gegen Anwender Webseiten Defacements Malware Hosting / Viren... Ausbau des Webinterfaces Folie 23

24 Automatische Warnmeldungen Ist das dann die Vorfallsbearbeitung? Die normale Bearbeitung bleibt bestehen Durch Automatisierung alltäglicher Vorfälle (z.b. Scans) bleibt mehr Zeit für Wichtigeres Auch bei automatischen Warnmeldungen: Wir stehen für Rückfragen zur Verfügung! Bei Verdacht auf ernsten Missbrauch melden wir uns auch in Zukunft umgehend & direkt Folie 24

25 Wie kann man mitmachen? Teilnehmen kann jede Einrichtung im X-WiN Zugang zum Webinterface durch Zertifikat der DFN-PKI => Das Zertifikat ist aber keine zwingende Voraussetzung für die Nutzung des Dienstes Formulare zur Anmeldung erhältlich per Mail oder gleich hier auf der Betriebstagung! Mail: Web: Folie 25

26 Vielen Dank für Ihre Aufmerksamkeit! Fazit: Der Regelbetrieb startet jetzt Anmeldung für den Dienst hier auf der Betriebstagung oder unter Weitere Informationen unter: