JavaIDS Intrusion Detection für die Java Laufzeitumgebung

Transkript

1 JavaIDS Intrusion Detection für die Java Laufzeitumgebung Bundesamt für Sicherheit in der Informationstechnik Security Forum April 2008

2 Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 2

3 Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 3

4 Bundesamt für Sicherheit in der Informationstechnik Folie 4

5 Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 5

6 Java Plattformen Java Platform Standard Edition Java Platform Enterprise Edition Java Platform Micro Edition Java Card Referenzen Folie 6

7 Java Sicherheitsfeatures Java Virtual Machine Sandbox Sicheres Speichermanagement ByteCode Verifier ClassLoader Signierter Code... Folie 7

8 Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 8

9 Intrusion Detection Systeme (IDS) IDS vs. IPS HIDS vs. NIDS Ablauf Informationssammlung durch Sensoren aus Kenngrößen oder Nutzdaten eines IT-Systems Intervall- oder Event-basiert Datenanalyse durch IDS-Manager Alarmierung/Reaktion in Form definierter Eskalationsschritte zur Alarmierung bzw. der Reaktion auf (vermeidliche) Sicherheitsvorfälle Folie 9

10 Prelude IDS Hybrides IDS (HIDS + NIDS) Unterstützt IDMEF Folie 10

11 Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 11

12 Java-IDS Funktion: Einbruchserkennung anhand JVM-spezifischer Charakteristika und Messgrößen unter Anbindung an eine existierende IDS-Lösung Bestandteile Auditsubsystem zur Informationsgewinnung über Ereignisse der JVM Spezifikation einer formalen Beschreibungssprache für Ereignisse Analyse- und Erkennungssystem (Detectionsubsystem) Spezifikation einer formalen Beschreibungssprache für Bedrohungsszenarien. Folie 12

13 Java-IDS - Architektur Folie 13

14 Java-IDS - Architektur Folie 14

15 Java-IDS - Audit-Subsystem Folie 15

16 Java-IDS - Detection-Subsystem Folie 16

17 Java-IDS - STAT Framework für Szenarien-basierte Sensoren in unterschiedlichen Umgebungen Komponenten von STAT The State Transition Analysis Technique The STAT Language (STATL) The STAT Core The STAT Toolset The MetaSTAT Infrastructure Folie 17

18 Java-IDS - STAT STAT Softwarekomponenten MetaSTAT Infrastructure: Monitoring and administration tools for a STAT sensor network USTAT: Host-based sensor for Sun Solaris systems. NetSTAT: Network-based sensor for UNIX systems. LinSTAT: Host-based sensor for Linux systems. winstat: Host-based sensor for Windows systems. alertstat: High-level alert correlation sensor. logstat: Host-based sensor for UNIX syslogs. webstat: Host-based sensor for the Apache webserver Folie 18

19 Java-IDS - STAT Folie 19

20 Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 20

21 Resümee & Ausblick Java-IDS stellt deutlichen Sicherheitsgewinn bei der Verwendung der Java-Technologie dar Auffinden von Exploits bekannter Schwachstellen sowie bislang unbekannter Schwachstellen Neben Intrusion Detection ist auch Prevention möglich Konzeption als Framework, welches einfach erweitert werden kann Bereitstellung unter einer freien Lizenz geplant Weitere Informationen zur Sicherheit der Java Plattform: Folie 21

22 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) Folie 22