zur Erkennung von Sicherheitsvorfällen

Transkript

1 Zentrum für Informationsdienste und Hochleistungsrechnen Network Behavior Analysis zur Erkennung von Sicherheitsvorfällen 52. DFN-Betriebstagung Jens Syckor Wolfgang Wünsch Berlin, 02. März 2010

2 Agenda Einführung Network Behavior Analysis, NetFlow Anforderungen der TU Dresden Lancope StealthWatch System Funktionsweise, Konfiguration, Ereignisse, Probes Beispiele für Sicherheitsvorfälle Rechtliche Rahmenbedingungen Zusammenfassung und Ausblick Seite 1/18

3 Konzept - Network Behavior Analysis Host-basierendes Benchmarking des Netzverhaltens Profiling des Netzverhaltens durch Analyse von Verkehrsdaten Traffic, Paketrate, Art und Anzahl der Verkehrsbeziehungen,... Erkennung von signifikanten Abweichungen im Netzverhalten Seite 2/18

4 Network Behavior Analysis NetFlow von Cisco entwickelte Netzwerktechnologie standardisiert in RFC 3954, IPFIX als neuer IETF-Standard exportierbar von Routern als UDP-Datenstrom D t passives Verfahren, kein Eingriff in die Kommunikationsbeziehungen Seite 3/18

5 NetFlow - Verkehrsdaten Daten der Verkehrsbeziehung Source-IP, Destination-IP, Source-Port, Destination-Port IP-Protokoll, P TCP, UDP Protokoll bzw. ICMP-Typ Status der Verbindung, Datenrate, Zeitraum der Verbindung MAC-AdressenAdressen Technische Parameter der Verbindung Verwendete Netzwerk-Interfaces der Kommunikationsbeziehung Quell- und Ziel-VLAN Minimum und Maximum TTL des Flows Minimum und Maximum Paketgröße des Flows MPLS-Informationen Seite 4/18

6 Network Behavior Analysis - Anforderungen Ek Erkennung von Netzwerkanomalien Sicherheitsvorfälle, Fehlkonfigurationen, Auslastung von Systemen Erkennung von Regelverstößen im Datennetz (Policy Violations) Schutz vor Angriffen aus dem Internet und dem Campus Denial of Service, Brute-Force,... Zero-Day Schutzmechanismen Sehr schnelle, automatisierbare Reaktion auf Netzwerkanomalien Mandantenfähigkeit, d.h. Analyse der Daten durch ZIH und bestellte Netzwerkadministratoren der Universität Keine Performance-Verluste im Datennetz Konformität mit rechtlichen Rahmenbedingungen an der Universität Seite 5/18

7 Lancope StealthWatch System NBA System mit Collector(en) zum Sammeln der Daten und StealthWatch Management Console (SMC) zur Analyse Export der NetFlow-Daten von Routern, Switches und VmWare ESX Hosts Automatisches Profiling des Netzverhaltens (7 Tage), danach Base-Line von 28 Tagen Key-Attribute werden für Hosts und Zonen (Netze) berechnet, z.b. Total Packets, Total Traffic, High Traffic, Low Traffic Probes: Port-Scans, ICMP Flooding, Suspect UDP Traffic Anzahl und Art der Verkehrsbeziehungen (Flows) Abweichungen über Schwellwert werden alarmiert Inter-Zone-Locking (virtuelle Firewallregeln) Grenzwerte für Netzwerk-Interfaces t Seite 6/18

8 Lancope StealthWatch System Meta-Ereignisse High Concern Index Ping-Scans, Port-Scans, ICMP Flooding, Suspect UDP Traffic Ungewöhnlich h hohe/niedrige h i Anzahl an Flows Stealth Scans, Reset TCP Packet Flooding Worm-Activity High Target Index (z.b. Denial-of-Service) File Sharing Index (P2P Traffic) Zone-Violation Violation, z.b. für Darknets Honeypot (z.b. Conficker) Firewall Policy (Compliance) Seite 7/18

9 Sicherheitsvorfall Brute Force - Target Index Seite 8/18

10 Sicherheitsvorfall infiziertes System - Concern Index Seite 9/18

11 Sicherheitsvorfall infiziertes System Anzahl der Flows Seite 10/18

12 Beispiel Profiling Concern Index Seite 11/18

13 Beispiel Profiling Target Index Seite 12/18

14 StealthWatch Management Console Worm Outbreak Seite 13/18

15 Sicherheitsvorfall FTP Brute Force Seite 14/18

16 Benefits Lancope StealthWatch System Flexibles Deployment in der Netzinfrastruktur durch Verwendung von NetFlow Nicht Signatur-basierend, keine Patches notwendig Zero-Day Schutzmechanismen Komplementär zu IPS-Lösungen Hoher Visualisierungsgrad Mandantenfähigkeit, Funktions- und Datenberechtigungen Thread Mitigation ermöglicht automatisierte Sperrung von Systemen Forensik-Möglichkeiten für Analyse von Sicherheitsvorfällen Einbindung von externen Event-Systemen, t z.b. Snort IDS SOAP-XML Schnittstelle für Anbindung eigener Applikationen Seite 15/18

17 NBA technische Voraussetzungen und Grenzen Router/Switches mit NetFlow-Exportfunktionalität Netflow v5: Cisco Serie 800, 1700, 3750, 6500, 7000, 7600,..., Nortel Juniper Networks (cflow), Alcatel (cflowd), Huawei (Netstream) Netflow v9 (IPv6 Support): Cisco, Nortel Geringe Unterstützung von IPFIX Grenzen von NBA mit NetFlow Gezielte Angriffe durch Ausnutzung von Schwachstellen (IPS) Profiling im LAN (Lancope FlowSensor AE) DHCP IPv6 mit Privacy Extensions Seite 16/18

18 Rechtliche Rahmenbedingungen Betrieb auf Grundlage der Rahmenordnung für die Rechen- und Kommunikationstechnik und die Informationssicherheit an der TU Dresden Erhöhte Datenschutzanforderungen, t da geringfügige i private Nutzung zulässig Prüfung des Verfahrens durch Sächsischen Datenschutzbeauftragten Betrieb ausschließlich zum Erkennen, Eingrenzen bzw. Beseitigen von Störungen oder Fehlern und zur Aufklärung und Unterbindung rechtswidriger oder missbräuchlicher Nutzung an IT-Systemen im Datennetz der TU Dresden Automatisierte Löschung der Verkehrsdaten am übernächsten Arbeitstag nach Speicherung Zugriff auf detaillierte Verkehrsdaten im ZIH nur aus begründeten Anlass und nach Anhörung des Datenschutzbeauftragten der TU Dresden Protokollierung des Zugriffs auf die detaillierten Verkehrsdaten Kompromittierte IT-Systeme können in Quarantäne gesetzt werden Seite 17/18

19 Zusammenfassung und Ausblick Signifikant schnellere Erkennung von Sicherheitsvorfällen im Netz der TU Dresden und von Angriffen aus dem Internet Schnellere Erkennung einer Teilmenge von kompromittierten Systemen im Vergleich zu Automatische Warnmeldungen des DFN-CERT (Brute-Force- Angriffe, Scans, Flooding, High Traffic) Seit Inbetriebnahme am erkannte Sicherheitsvorfälle (Schwerpunkte: Studentenwohnheime, WLAN) Projekt: Quarantäne-Netz für WLAN, im Festnetz mit 802.1X Ausbau des NBA-Systems für zentrale VMware-Infrastruktur Untersuchung NBA IPv6 Seite 18/18