Netzbetrieb an der RWTH Aachen mit speziellem Fokus auf die Sicherheit

Netzbetrieb an der RWTH Aachen mit speziellem Fokus auf die Sicherheit Jens Hektor,, Abteilung Netzbetrieb RWTH Aachen hektor@rz.rwth-aachen.de

Übersicht RWTH-Aachen.DE: Zahlen und Fakten Infrastruktur: Topologie, Geräte, Organisation Netzbetrieb: Monitoring, Betriebssicherheit Zentraler Logserver Verteilte Paketfilter Zentraler Paketfilter Beratung, Auditing, Forensik Erfahrungen Ausblick

Willkommen in Aachen

RWTH-Aachen.DE ~ 300 Gebäude, Radius 4 km ~ 500 Einrichtungen (10/100/1000 Mbit/s) ~ 40k Nutzer ~ 30 Studentenwohnheime (10/100/1000 Mbit/s), ~ 3k Nutzer, separate Router, 50 Mbit/s Internet, 200 Mbit/s RWTH Zwei Class-B Netze ~ 10k Endgeräte Internetzugang 622 Mbit/s, Volumen 50TByte/Monat (~149 Mbit/s sustained) > 100 Router und Paketfilter, z.t. historisch gewachsen (FDDI)

Topologie I Internet Peers Zentraler Paketfilter Zentraler Switch... FH Aachen Backbone Router Backbone Router Backbone Router Intranet Instituts Firewall Instituts Router Gebäude Router Intranet Intranet Intranet Intranet 2 Gbit/s 1 Gbit/s 622 Mbit/s 100 Mbit/s

Topologie II zentraler Pakefilter Catalyst 7600 AceSwitch 184 AceSwitch 184 Sunfire 4800 6x UltraSparc 900 Sunfire 4800 6x UltraSparc 900 AceSwitch 184 AceSwitch 184 Catalyst 6509 2 Gbit/s 1 Gbit/s 622 Mbit/s

Eingesetzte Geräte Internetuplink: Catalyst 7600, POS-622 Alteon Loadbalancing Switches AceSwitch 184 Sunfire 4800, 6x UltraSparc 900, 6 Gbyte SunScreen 3, Multipathing Backbone Router: Catalyst 6509 Gebäude Router: Catalyst 4006, Catalyst 3550 Switches: Catalysts 3524, 3548, 2948L3, 2980 Weiterhin: Alacatel Omniswitch, kleinere ATI, sonstige Linuxrouter, Novell, FreeBSD

Organisation des Netzes Ein oder mehrere zusammenhängende Class C Netze für Einrichtungen Subnetting für kleinere Einrichtungen, Servernetze, Transportnetze zwischen Routern Beschreibende Netznamen im DNS: Art der Nutzung, Netzblock, Netzmaske, Besitzer (z.b.: 134.130.3.64: n-a-3-64-26-rz.rwth-aachen.de) Kein NAT oder Proxy-ARP (naja, fast) Administratoren der Einrichtungen verwalten IP-Bereiche selbstständig Einschränkungen für nicht im DNS registrierte Maschinen Netzordnung (Dienste sollen angemeldet sein)

Monitoring HP Openview (Datenbank mit MAC Adressen) Traffic Kontrolle mittels MRTG (~1000 gemonitorte Switch-, Routerports, Server) Betriebsstörungen, Performance, Anomalien, History Das Ohr am Backbone

Betriebssicherheit Störungen bemerken und beheben, bevor der Benutzer sich meldet Nagios (früher Netsaint): Webinterface, Email

Zentraler Logserver I Analyse von Logfiles: Angriffsmuster, Paketfilterkonfigurationsprobleme, sonstiges Router, Switches, Server, Paketfilter, Arbeitsplätze Zentral: weniger Aufwand für lokale Admins, mehr Möglichkeiten SUN Netra (Ultrasparc II 450), 36GB syslog-ng: Verteilen auf Dateien mit Vorfilterung Einfaches Webinterface Weiterentwicklung des Webinterfaces (logview): Authentifizierung, Rotation/Kompression mit Transparenz, Begrenzung auf Zeiträume, Suchen (Gert Menke: menke@rz.rwth-aachen.de)

Zentraler Logserver II Altes / neues Webinterface

Verteilte Paketfilter I: Cisco-ACLs I.d.R. nur IN-ACL s auf dem Uplink (also kein Schutz gegen Netze am selben Router), keine Outfilterung Integriert in Antispoofing ACL Generator Nicht stateful, permit tcp established ganz vorne active ftp Problem ( permit tcp any eq 20 any ) UDP problematisch Management mit dem Editor, Load per tftp! c) ping's, traceroute's und auth sind OK access-list ACLNUMBER permit icmp any 137.226.X.128 0.0.0.127 access-list ACLNUMBER permit udp any 137.226.X.128 0.0.0.127 range 33434 33544 access-list ACLNUMBER permit tcp any 137.226.X.128 0.0.0.127 eq 113! d) aktiver FTP Rueckkanal access-list ACLNUMBER permit tcp any eq 20 137.226.X.128 0.0.0.127 gt 1023 [...]! Firewall: verbieten und loggen access-list ACLNUMBER deny ip any 137.226.X.128 0.0.0.127 log

Verteilte Paketfilter II: Linux Da bereits Router existierten, erweitert zu Paketfiltern Früher: Linux 2.2, Firewall Configuration Tool (webbasiert, Perl, Shell) hilfreich, aber immer noch umständlich Heute: Linux 2.4, fwbuilder (www.fwbuilder.org) stateful packet filtering : keine Probleme mehr mit UDP und active ftp Linux 2.4: nicht RFC 1812 konform (patches submitted) Installationssupport durch das RZ (Redhat, Bootdiskette, Kickstart, Regeltemplate)

Verteilte Paketfilter III: fwbuilder

Zentraler Paketfilter I: SunScreen Filterung aller Webserver (632) auf dem SunScreen System: HTTP Inbetriebnahme nach Scan der RWTH (~900 Webserver, auch Drucker, Switches,...) Datenbank im /etc/hosts Format, Update der Policy mit Shellskript Registrierung von Servern: Anschreiben an alle Einrichtungen Feedback von ca. 150 Einrichtungen per Email Alle Dienste auf klassischen Serverports (<1024) sollen in den nächsten Wochen gefiltert werden

RWTH: derzeit registrierte Server (Stand 11.12.2002, 31 Dienste) http 632 ssh 1 407 ftp 2 264 smtp 136 pop3 117 imap 63 dns 35 telnet 3 32 webcache 18 nntp 14 ntp 12 rlogin 10 afpovertcp 7 talk 6 squid 5 socks 3 ldap 3 rsync 2 isakmp 4 2 slp 2 tcp-666 2 tcp-81 2 sftp 1 swat 1 tcp-33 1 tcp-82 1 time 1 ulp 1 finger 1 imap3 1 ipx 1 1 : davon 11 Netze 2 : davon 3 Netze 3 : davon 4 Netze 4 : davon 1 Netz

Zentraler Paketfilter II: das nicht Realisiert mittels Cisco-ACL s Traffic abhängig P2P Protokolle: Direct Connect, Edonkey, Kazaa, Gnutella, Napster IANA non registered (insbesondere RFC 1918) SMTP, Domain, SUNRPC, Netbios-XX, Microsoft-DS, SNMP, SNMP-TRAP, Printer, Microsoft SQL, Cisco- SNMP, Microsoft Terminal Server, SGI Objectserver, SGI DGL, CDE Subprocess Control, X11 Font Server Diverse Würmer und Trojaner Die Sonderwünsche des Herrn Regierungspräsidenten Für User einsehbar dokumentiert!

Beratung, Auditing, Forensik Klassische Konfigurationsberatung Kurse bzw. Vorträge ( Computertreff ) Geplant: Versionskontrolle freigeschalteter Server (Bannerscans) Portscanning, Nessus, LanGuard Forensik nach Zwischenfällen: zeitraubendes Geschäft Initial meist schnelle Erfolge Kernel- oder Librarybasierte Rootkits komplizieren die Aufklärung (Sicherstellung der Festplatte) Timeline? Informationleaks? Microsoftsysteme stark auf dem Vormarsch!

Ein Rückblick < 1999: gelegentlich Zwischenfälle, Korrelation mit Portscans (Tendenz seit 1997 zunehmend) 1999: alle 2 Wochen Zwischenfälle überwiegend Linux, Solaris Massencrack 2000: langsam abnehmend, zunehmender Einsatz von Paketfiltern, SGI, HP-UX, Linuxwürmer 2001: seit März keine Unix-Cracks Code Red, Nimda 2002 (1. Hälfte): SSH-Crack (Jahreswechsel), dank zentraler Filterung von 700 Webservern schlagartig Ruhe mit IIS Problemen 2002 (2. Hälfte): Ausdehnung der Filterung, intensiveres Auditing angemeldeter Server

Nur noch 3 Folien!

Die Situation beim Dienst WWW für die RWTH

Ausblick Immer exotischere Probleme Paketfilter einstweilen ein Muss! Analysewerkzeuge! WLAN: neue Herausforderung Virtual Private Networks IPv6: alles wird gut?

Dank an... Dr. Held Meine Kollegen DFN-CERT Lutz Donnerhacke Vadim Kurland Den Administratoren der RWTH