Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan Posselt
Motivation Virtualisierung Weit verbreitet Sicherung notwendig IRS Große Rechnernetze Komplexe Angriffe IRS in virtualisierten Umgebungen 2
Gliederung Virtuelle Umgebungen Virtual Machine Monitor Intrusion Response Systeme Responses IRS und Virtualisierung Architektur Standard Responses Neue Responses Fazit IRS in virtualisierten Umgebungen 3
Virtuelle Umgebungen Ziele Kostenminimierung Bessere Auslastung von Hardware Unabhängigkeit von spezieller Hardware Wie? Ausführen mehrerer virtueller Maschinen auf einem Server Spezielle Hardware emulieren IRS in virtualisierten Umgebungen 4
Virtual Machine Monitor (VMM) Zentraler Teil der Virtualisierungssoftware Verwaltet Ressourcen Typ-I VMM Typ-II VMM IRS in virtualisierten Umgebungen 5
Intrusion Response Systeme (IRS) System zur automatischen Antwort auf Netzwerkangriffe Funktionsweise Intrusion Detection System (IDS) entdeckt Angriff IDS klassifiziert und gibt Alarm an IRS weiter IRS leitet Gegenmaßnahmen (Response) ein IRS in virtualisierten Umgebungen 6
Responses Responses Passiv Aktiv Angriff observieren Administrator benachrichtigen Schaden minimieren Abwehr des Angriffs Erweiterte Analysetools Email an Admin Dateizugriff sperren IP Blocken IRS in virtualisierten Umgebungen 7
Architektur Sicherheitssoftware und VMs vom Host aus verwaltet Verbreitetes BS, Nutzung von vorhandener Software Erstellung von Software leichter, da Aufbau des Host BS bekannt Keine Änderungen am Gast System freie Wahl des BS IRS in virtualisierten Umgebungen 8
IRS im Host VMM nutzen Isolation als Barriere VMI Zugriff in die VM komplex Low Level Sicht IRS in virtualisierten Umgebungen 9
IRS im Gast Zugriff auf Systemeigene Funktionen High Level Sicht Code Manipulation Integritätssicherung IRS in virtualisierten Umgebungen 10
Hybridlösung IRS in Gast UND Host Koordination von Responses Host: blocke IP, stoppe VM Gast: beende Prozess IRS in virtualisierten Umgebungen 11
Neue Responses Klonen Migration Anhalten und Fortsetzen Zusätzliche VM aufsetzen Recovery Separat zur geschädigten VM möglich Ressourcen beschränken IRS in virtualisierten Umgebungen 12
Malware Netzwerk Verbindung blocken VM anhalten Neue VM aus Backup aufsetzen Mail an Admin Forensik mit alter VM Alte VM durch neue ersetzen IRS in virtualisierten Umgebungen 13
DoS Blocke IP Migriere andere VMs Logge Netzwerkaktivitäten IRS in virtualisierten Umgebungen 14
Fazit Sinnvoll: Trend zur Virtualisierung Viele Standard Responses nutzbar Erweiterung durch neue Maßnahmen Zusätzliche Sicherheit durch Isolation VMI erlaubt bessere Erkennung von Malware Aber: Angreifer werden sich Anpassen Sicherung der Verwaltungsebene hat Priorität Nutzung von VMI kompliziert und fehleranfällig Isolation überwindbar IRS in virtualisierten Umgebungen 15
Vielen Dank für ihre Aufmerksamkeit! Weitere Fragen? IRS in virtualisierten Umgebungen 16
Auswahl von Responses IRS Regelwerk Kosten sensitiv Spieltheorie Angriffen werden Responses zugeordnet Kosten für Angriffe und Responses Ziel: Wenig Gesamtkosten Angreifer und Verteidiger sind Spieler Mögliche nächste Schritte werden einbezogen IRS in virtualisierten Umgebungen 17
Standard Responses Aktive Responses Größtenteils mithilfe des VMM anwendbar Teilweise komplex z.b. System Calls beeinflussen IRS in virtualisierten Umgebungen 18
Anwendungsmöglichkeiten VMM kann VMs anhalten, fortsetzen, kopieren, migrieren, zurücksetzen verschlüsseln Malware: Maschine vom Netz trennen Desinfektion Mittels VMI können Hauptspeicher, Register etc. ausgelesen werden Erkennung von außerhalb der VM keine Nutzung kompromittierter Dienste Rootkits werden leichter gefunden Isolation erschwert Übergreifen auf Host BS IRS in virtualisierten Umgebungen 19
Neue Responses Recovery: Immer anwendbar, falls VM erreichbar bleiben muss Frische VM oder Backup eines früheren Zeitpunkts Separat zur geschädigten VM möglich Forensik Dank Recovery nahezu immer möglich Durch Virtualisierung effizienter möglich VMI, Anhalten der VM etc. IRS in virtualisierten Umgebungen 20
Neue Responses DoS Ressourcen zuführen oder entziehen Zuführen: Kann dem Rest der Maschine schaden Hilft der angegriffenen VM Entzug: schützt den Rest des Systems Schadet der angegriffenen VM Migration auf leistungsfähigere Maschine Klonen der VM zur Lastverteilung Auslagern weiterer VMs des Servers Schafft zusätzliche freie Ressourcen Andere VMs evakuiert IRS in virtualisierten Umgebungen 21
Neue Probleme Angriff auf Schichten unter der VM Nutzung virtueller Maschinen nachweisbar Angepasste Malware Gezielter Angriff von Schwachpunkten Inaktiv um Analyse zu erschweren Bei Typ-II Umgebung Angriff auf Host BS Worst Case! Zugriff auf VMs Guest-to-host virtual machine escape IRS in virtualisierten Umgebungen 22
Vor- und Nachteile Vorteile: Ressourcennutzung Freie Wahl der Gast Betriebssysteme Isolation Virtual Machine Introspection Nachteile: Großer Schaden bei Angriff auf Verwaltungsebene Schwachstellen in VMMs IRS in virtualisierten Umgebungen 23