Ganzheitliche Architektur zur Entwicklung und Analyse sicherheitskritischer Systeme und Anwendungen Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de 2013 Peter Hillmann 1
Themenkreis I: Neue Netztechnologien und Infrastruktur Autoren Mario Golling Robert Koch Peter Hillmann Gabi Dreo Rodosek 2013 Peter Hillmann 2
Einleitung und Problemstellung Anzahl von Angriffen auf IT-Systeme nehmen zu Qualität / Professionalität der Angriffe nimmt zu Angriffe erfolgen oft zielgerichtet in Teams sind meist technisch sehr komplex Klassische Schutzsysteme sind nicht mehr ausreichend (Firewall, Virenscanner) Erkennung und Analyse mit traditionellen Honeypots nicht umfassend genug (Angreifer erkennen Fallen) 2013 Peter Hillmann 3
Einleitung und Problemstellung Untersuchung und Vergleich der Fähigkeiten von verschiedenen IDS Trade off zwischen Fehlalarmen und der nicht Erkennung Theoretische Leistung von IDSs wird unter realen Bedingungen nicht einmal ansatzweise erreicht Ziel: Analyse von gezielten Angriffen (technisch Versierte) Sichere und kontrollierbare Umgebung bewusstes anziehen von Angreifern Erkennen von neuartigen Angriffen und Sicherheitslücken 2013 Peter Hillmann 4
Szenario: Analyse von Malware Integrativer Ansatz Angriffserkennung mit Sensoren und Live-Auswertung Windows XP, Windows 2003 Server mit bewusst simulierten Schwachstellen Aufzeichnung durch Host und Netz Intrusion Detection Systeme Korrelation von Daten Gemeinsame Datenbank zur Analyse Automatische Korrelation der Alerts im ersten Schritt Post-Morten-Analyse für IT-Forensik Zeitstempel, Quelle, Ziel, Snapshots Erweiterte Datenbasis Bis hin zu IPS 2013 Peter Hillmann 5
Szenario: Beispiel Außen-Täter Peer-to-Peer Botnetz Innen-Täter Verwaltungssystem der Universität 2013 Peter Hillmann 6
Anforderungen Realisierung einer kontrollierbaren Forschungsumgebung Simulation eines möglichst realen Produktiv-Verhaltens Aufzeichnen der Aktivitäten Angriffe von der Forschungsumgebung heraus auf weitere Systeme unterbinden Unterscheidung von parallel stattfindenden Angriffen Mehrstufiges System ineinandergreifender Sicherheitsmaßnahmen Notfall Routinen 2013 Peter Hillmann 7
Stand der Wissenschaft und Technik Rahmenwerke für IT-Sicherheitarchitekturen (ISO 27001; COBIT) Management von IT-Sicherheit; IT-Sicherheitsprozesse Common Criteria Produktorientiert Zielgebiet: Technische, architekturbezogene Forschung Vernetzte Komponenten Empfehlungen des BSI (Hinweise für Einzelsysteme; allgemein gehalten; keine konkreten Vorschläge bzgl. Realisierung) 2013 Peter Hillmann 8
Architektur Transparente Duplizierung des Datenstroms (Wire-TAP über Test Access Ports oder SPAN/Mirrorports; iptables/netfilter mit Option Tee) Firewall + Filterung VLAN Wire-TAP 2 für Auswertung bei der Forschungsumgebung 2013 Peter Hillmann 9
Forschungsnetz Evaluierung der sicherheitskritischen Systeme und Anwendungen Anlocken von Angreifern mittels Honeypots Speziell präparierte Server (Webserver, Datenbankserver) Kommunikation untereinander und ins öffentliche Netz Firewall filtert ausgehenden Datenverkehr bedingt Analyse von TOR-Traffic Durch angepasste Filterregeln erfolgt eine Fokussierung auf bestimmte Angriffe oder Sicherheitsaspekte 2013 Peter Hillmann 10
Gesamte Architektur 2013 Peter Hillmann 11
Produktiv-Netz IT-Systeme des täglichen operativen Betriebs Interne Teilung des Netzes; Verhalten nach außen unverändert Realisierung: Feingranulare Access Control Lists, Port Security, port-based VLAN Weitere Schutzebene durch angepasste Firewall Spiegelung anonymisierter Daten aus dem Produktivbereich in die Forschungsumgebung (Eindruck einer realistischen Infrastruktur) Überwachung der Rechnersysteme im Produktivbereich 2013 Peter Hillmann 12
Gesamte Architektur 2013 Peter Hillmann 13
Auswerte-Netz Vollständige Auswertung, Frühzeitige Reaktion auf Alerts, Systeme in diesem Bereich arbeiten unabhängig von anderen Teilnetzen Wire-TAPs verhindern rückwärtigen Informationsfluss Verbindung mehrerer IDS (Snort, Suricata, Cisco IDS, Prelude Framework), Korrelation (Ziel: Reduzierung der Fehlalarmrate; Steigerung der Erkennungsrate) Zentrale Speicherung der Flow-Daten (Datenschutz-Recht) 2013 Peter Hillmann 14
Gesamte Architektur 2013 Peter Hillmann 15
Management Netz Separierter Bereich Kontrollinstanz, Überwachung, Konfiguration Unabhängiges Netzinterface Steuerung per SNMP Bsp: Nagios, OpenNMS Zugriffssteuerung per VLAN 2013 Peter Hillmann 16
Gesamte Architektur 2013 Peter Hillmann 17
Netzkoppler und KVM Netzkoppler: Zentrale Komponente Sehr sicherheitskritisch Bereichsübergreifende Angriffe verhindern Funktionalität aufs absolute Minimum einschränken OpenBSD nur mit OpenSSH mit Public-Key-Authentifizierung Keyboard-Video-Mouse: Ansteuerung und Konfiguration über ein Netzinterface Fernwartung über zentralen Einstiegspunkt (KVM over IP) Separater Kommunikationskanal Dual homed Host OpenBSD mit OpenSSH und Public-Key- Authentifizierung 2013 Peter Hillmann 18
Gesamte Architektur 2013 Peter Hillmann 19
Erste Erfahrungen Erste Aufbau und Konfiguration durchaus Herausfordernd Abgestimmtes Migrationskonzept notwendig Hat den bisherigen Angriffen standgehalten, obwohl Sicherheitslücken bekannt wurden Bsp: Sicherheitslücke im Cisco Firewall-Modul Abgefangen durch ACLs der Access-Switche Abgefangen durch die Firewall Erstes Analyseergebnis: Verzögerung bei der Duplizierung (Switch oder Wire-TAP) der Verkehrsdaten sowie Fehler auf Schicht 1 und 2 kaum relevant 2013 Peter Hillmann 20
Zusammenfassung und Ausblick Ermöglicht Forschung an sicherheitskritischen Systemen innerhalb eines produktiv genutzten Netzes Security by Design auf der niedrigsten Ebene des Gesamtsystems Sicherheit ist grundlegender, integraler Bestandteil Mehrstufiges Sicherungssystem (Beim Versagen einer Richtlinie wird dennoch Schutz geboten) Tiefgreifende Analyse unter realen aber kontrollierbaren Bedingungen 2013 Peter Hillmann 21