JavaIDS Intrusion Detection für die Java Laufzeitumgebung Bundesamt für Sicherheit in der Informationstechnik Security Forum 2008 23. April 2008
Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 2
Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 3
Bundesamt für Sicherheit in der Informationstechnik Folie 4
Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 5
Java Plattformen Java Platform Standard Edition Java Platform Enterprise Edition Java Platform Micro Edition Java Card Referenzen http://java.sun.com/ http://java.net/ Folie 6
Java Sicherheitsfeatures Java Virtual Machine Sandbox Sicheres Speichermanagement ByteCode Verifier ClassLoader Signierter Code... Folie 7
Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 8
Intrusion Detection Systeme (IDS) IDS vs. IPS HIDS vs. NIDS Ablauf Informationssammlung durch Sensoren aus Kenngrößen oder Nutzdaten eines IT-Systems Intervall- oder Event-basiert Datenanalyse durch IDS-Manager Alarmierung/Reaktion in Form definierter Eskalationsschritte zur Alarmierung bzw. der Reaktion auf (vermeidliche) Sicherheitsvorfälle Folie 9
Prelude IDS Hybrides IDS (HIDS + NIDS) Unterstützt IDMEF http://www.prelude-ids.org/ Folie 10
Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 11
Java-IDS Funktion: Einbruchserkennung anhand JVM-spezifischer Charakteristika und Messgrößen unter Anbindung an eine existierende IDS-Lösung Bestandteile Auditsubsystem zur Informationsgewinnung über Ereignisse der JVM Spezifikation einer formalen Beschreibungssprache für Ereignisse Analyse- und Erkennungssystem (Detectionsubsystem) Spezifikation einer formalen Beschreibungssprache für Bedrohungsszenarien. Folie 12
Java-IDS - Architektur Folie 13
Java-IDS - Architektur Folie 14
Java-IDS - Audit-Subsystem Folie 15
Java-IDS - Detection-Subsystem Folie 16
Java-IDS - STAT Framework für Szenarien-basierte Sensoren in unterschiedlichen Umgebungen Komponenten von STAT The State Transition Analysis Technique The STAT Language (STATL) The STAT Core The STAT Toolset The MetaSTAT Infrastructure http://www.cs.ucsb.edu/~seclab/projects/stat/index.html Folie 17
Java-IDS - STAT STAT Softwarekomponenten MetaSTAT Infrastructure: Monitoring and administration tools for a STAT sensor network USTAT: Host-based sensor for Sun Solaris systems. NetSTAT: Network-based sensor for UNIX systems. LinSTAT: Host-based sensor for Linux systems. winstat: Host-based sensor for Windows systems. alertstat: High-level alert correlation sensor. logstat: Host-based sensor for UNIX syslogs. webstat: Host-based sensor for the Apache webserver Folie 18
Java-IDS - STAT Folie 19
Agenda 1. Das BSI 2. Überblick über die Java-Plattform 3. Intrusion Detection Systeme 4. Das Java-IDS des BSI 5. Resümee & Ausblick Folie 20
Resümee & Ausblick Java-IDS stellt deutlichen Sicherheitsgewinn bei der Verwendung der Java-Technologie dar Auffinden von Exploits bekannter Schwachstellen sowie bislang unbekannter Schwachstellen Neben Intrusion Detection ist auch Prevention möglich Konzeption als Framework, welches einfach erweitert werden kann Bereitstellung unter einer freien Lizenz geplant Weitere Informationen zur Sicherheit der Java Plattform: http://www.bsi.bund.de/fachthem/java/ Folie 21
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5599 Fax: +49 (0)22899-9582-105599 holger.junker@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de Folie 22