Generierung eines Lagebildes des Internets Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de
Inhalt Einleitung Struktur des Internets Internet-Frühwarnsystem E-Mail Sicherheit Identity Management Web Gateway Security Zusammenfassung 2
Inhalt Einleitung Struktur des Internets Internet-Frühwarnsystem E-Mail Sicherheit Identity Management Web Gateway Security Zusammenfassung 3
Einleitung Ausgangspunkt Entwicklung zur vernetzten Wissens- und Informationsgesellschaft. Das schnell gewachsene Internet und die darauf aufbauenden Dienste bilden eine der wichtigsten Infrastrukturen in unserer modernen Gesellschaft. Die angebotenen Dienste haben enorme Vorteile und ein sehr großes Potenzial für die Zukunft gebracht Besondere Rolle kommt der Sicherheit und Vertrauenswürdigkeit des Internets zu Das Internet geht über alle geographischen und politischen/administrativen Grenzen sowie Kulturen hinaus Zeit und Raum werden überwunden Wachsende Bedeutung von Sicherheitsproblemen 4
Inhalt Einleitung Struktur des Internets Internet-Frühwarnsystem E-Mail Sicherheit Identity Management Web Gateway Security Zusammenfassung 5
Struktur des Internets Internet-Deutschland 6
Datenvolumen Modell für Internet-Deutschland PRIVATE PEERING INTERNAL Autonomes System TRANSIT (Global ISP) PUBLIC PEERING TRANSIT (Customer) 7
Datenvolumen/Monat in D Eine Abschätzung (2006) Sicht auf Datenströme zwischen den Netzen! PRIVATE PEERING 50 Peta Byte (33%) 100 Peta Byte: DSL-Kunden 50 Peta Byte: Business-Kunden INTERNAL 30 Peta Byte (20 %) Autonomes System TRANSIT (Global ISP) 40 Peta Byte (27%) PUBLIC PEERING 30 Peta Byte (20%) TRANSIT (Customer) 150 Peta Byte (100%) 1 Peta Byte = 1.000.000 Giga Byte 8
Datenvolumen/Monat in D Eine Abschätzung (2010) Sicht auf Datenströme zwischen den Netzen! PRIVATE PEERING 184 Peta Byte (16,5 %) 984 Peta Byte: DSL-Kunden 130 Peta Byte: Business-Kunden Autonomes System TRANSIT (Global ISP) 150 Peta Byte (13,5%) INTERNAL 669 Peta Byte (60 %) PUBLIC PEERING 111 Peta Byte (10%) TRANSIT (Customer) 1114 Peta Byte (100%) 1 Peta Byte = 1.000.000 Giga Byte 9
Struktur des Internets Zusammenfassung Teilnehmer + =? Das Internet ist mehr oder weniger eine Black Box für die unterschiedlichen Teilnehmer. Das Internet ist für einige Teilnehmer heute schon eine kritische Infrastruktur. Wenn wir das Internet nutzen, dann brauchen wir im Prinzip nur das Vertrauen, dass alles in Ordnung ist. 10
Inhalt Einleitung Struktur des Internets Internet-Frühwarnsystem E-Mail Sicherheit Identity Management Web Gateway Security Zusammenfassung 11
Internet-Analyse-System (I) Idee Beobachtung der kritischen Infrastruktur Internet. Internet Sonden werden an ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die Kommunikationsleitungen eingebunden. Zählen von Header- Informationen, die nicht datenschutzrelevant sind. System sammelt Informationen über einen großen Zeitraum! Ein zentrales Auswertungssystem analysiert die Rohdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse dar. Sonde Sonde Sonde Auswertungssystem I Sonde 12
Internet-Analyse-System (I) Ziele 1) Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen. Schaffung einer Wissensbasis. 2) Überblick über den aktuellen Zustand des Internets 3) Erkennen von Angriffssituationen und Anomalien 4) Prognosen von Mustern und Angriffen 13
Prinzip der Rohdatengenerierung Zählen der Header Anzahl der Zähler z.zt: - Max: ca. 870.000 - Real-Ø: ca. 60.000 14
Prinzip der Rohdatengenerierung Rohdaten Zähler Werte Alle Informationen sind absolut anonym bei Design! Zeit 15
Beispiele von Ergebnissen des I Wissensbasis: Erfahrungen Transport-Protokoll Verteilung (Profil) UDP 7% ESP TCP UDP IGMP GRE Wochenende TCP 89% ICMP 16
Beispiele von Ergebnissen des I Wissensbasis: Technologietrend Browserverteilung (Technologietrend) Tagesprofile, Keine Serverstatistik, sondern Leitungsstatistik Unterschied zwischen manueller Nutzung (z.b. Internet Explorer und Firefox) und automatischer Nutzung (z.b. wget) zu erkennen. Firefox Internet Explorer 42 % Andere (wget, etc) 21 % Mozilla Firefox 32 % Internet Explorer Andere (wget, etc) 17
Beispiele von Ergebnissen des I Wissensbasis: Technologietrend (TLS)!! 0.1 %: RSA / Export (40) / SHA1 and 0.01 %: RSA / NULL / SHA1!! 60%: RSA / RC4 / MD5 33%: DHE_RSA AES / SHA1 6 %: RSA AES / SHA1 18
Beispiele von Ergebnissen des I Result: Access-Connection (1/2) Distribution of protocols (sum) P2P HTTPS HTTP 19
Beispiele von Ergebnissen des I Result: Access-Connection (2/2) Distribution of protocols (over the time) P2P HTTP 20
Beispiele von Ergebnissen des I Result: Technology trend (Firefox vs. IE) Firefox Internet-Explorer 21
Beispiele von Ergebnissen des I Result: Technology trend (TCP Dst Port 25) TCP Destination Port 25 (SMTP) 22
Beispiele von Ergebnissen des I Übersicht über den aktuellen Zustand 23
Prinzip der globalen Sichtweise Übersicht virtual probe local view local view P1 global view Generation of global view Central System global view global view local view P2 global view local view P3 local view local view probes 24
Protokollvergleiche/Trends Globale Darstellung von Protokollvergleichen und Beobachtung von Trends 11% Port 443 (TLS/SSL) 13% Port 443 (TLS/SSL) 89 % Port 80 (HTTP) 87 % Port 80 (HTTP) Lokale Sicht Globale Sicht 25
Anomalienerkennung/Malware Alarmierung vor Gefahren im Internet (Beispiel Malware: Anhang ZIP) 26
Inhalt Einleitung Struktur des Internets Internet-Frühwarnsystem E-Mail Sicherheit Identity Management Web Gateway Security Zusammenfassung 27
E-Mail Sicherheit Einordnung Verschlüsselte E-Mails weniger als 4 % (S/MIME, PGP, Passphrase-gestützt, ) Signaturen unter E-Mails weniger als 6 % (Finanzbereich deutliche mehr) Spam-Anteil größer als 90 % (in der Infrastruktur) Was kommt in der Zukunft: DE-Mail SSL-Verschlüsselung zwischen den Gateways Zustell-Garantie 28
Spam Das Problem 29
McColo (US ISP) taken offline 11/11/2008 Sa So 30
DDoS on InternetX (Schlund NS) 21/11/2008 31
Beispiele von Ergebnissen des I Wissensbasis: Erfahrungen SMTP Content Type 60% text Mails 33 % attachments 4%: text/html 26%: text/plain 33%: multipart/mixed 30%: multipart/alternative 32
Beispiele von Ergebnissen des I Angriffssituationserkennung SMTP Content Type Zeitweise mehr E-Mail mit content-type multipart/mixed -> Mail-Virus? multipart/mixed 33
Beispiele von Ergebnissen des I Angriffssituationserkennung PDF Spam Welle Port 25 Application/PDF 34
Beispiele von Ergebnissen des I Zustellung unerwünschter Werbe-E-Mails Spam Empfänger pro E-Mail Während einer Spamwelle steigt die Anzahl der Empfänger pro E-Mail (Entspricht nicht den in der E-Mail angezeigten Empfängern) RCPT / (HELO + EHLO) RCPT = Anzahl Empfänger Spamwelle HELO/EHLO = Begrüßung Normal = 1,5-1,7 Spam ~ > 2 35
Inhalt Einleitung Struktur des Internets Internet-Frühwarnsystem E-Mail Sicherheit Identity Management Web Gateway Security Zusammenfassung 36
Identity Management Einordnung Passworte, Passworte, Passworte, sind das Mittel für eine Authentikation im Internet! Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international! Föderationen sind noch nicht verbreitet genug! Was kommt in D? epa (elektronischer Personalausweis mit Authentikationsfunktion) 37
Beispiele von Ergebnissen des I HTTP Wörterbuchangriff über Port 8080 Login-Angriff (Statuscode 401 = nicht erfolgreich) Port 8080 SRC/DEST Statuscode 401 Unauthorized Authorization Verbindungsversuche zum HTTP- Server von einer IP WWW-Authenticate 38
Inhalt Einleitung Struktur des Internets Internet-Frühwarnsystem E-Mail Sicherheit Identity Management Web Gateway Security Zusammenfassung 39
Web Gateway Security Einordnung Schlechte Sicherheit auf den Webseiten Heute wird Malware hauptsächlich über Webseiten verteilt Viele Webseiten sind nicht sicher aufgebaut Gründe Firmen geben kein Geld für IT-Sicherheit aus! Mitarbeiter haben keine Zeit (Geld) Verantwortliche kennen das Problem nicht! 40
Beispiele von Ergebnissen des I HTTP vs. HTTPS Der Anteil an Protokollen, in denen SSL/TLS genutzt wird, ist noch sehr gering. Bsp. Verhältnis HTTP zu HTTPS 4 % HTTPS Port 443 96 % HTTP Port 80 Bei anderen Protokollen ist das Verhältnis noch weit schlechter und liegt meist etwa bei 99:1 41
Beispiele von Ergebnissen des I Prognose: Google Chrome Chrome-Nutzung explodiert Anfang Januar 2009 42
Inhalt Einleitung Struktur des Internets Internet-Frühwarnsystem E-Mail Sicherheit Identity Management Web Gateway Security Zusammenfassung 43
Generierung eines Lagebildes Zusammenfassung Erstellung eines IT-Sicherheitslagebildes des Internets (globale Sichtweise) Aktueller Status (Sicherheit, Verfügbarkeit, Auslastung, Verteilung der Protokolle und Dienste, ) Vorhandene Angriffssituation (Statistiken über erkannte Angriffe, ) Generelle Trends (Technologie, Protokolle, Dienste, ) Bedrohungspotential im Internet (Schwächen, Potentiale, ) Die gemeinsame globale Sichtweise hilft: die eigene lokale Sichtweise zielgerichteter einzuschätzen. sehr frühzeitig auf Trends zu reagieren, um potentiellen Schäden rechtzeitig entgegen zu wirken. 44
Generierung eines Lagebildes des Internets Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de