Internet- unter dem Gesichtspunkt der IT-Sicherheit Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Inhalt Internet- Geordnetes Chaos Die globale Sicht auf das Internet Zusammenfassung 2 1
Inhalt Internet- Geordnetes Chaos Die globale Sicht auf das Internet Zusammenfassung 3 Internet- Eine globale Herausforderung Geschäftliches Handeln erfordert Sicherheit, Vertrauen und Verfügbarkeit in allen gesellschaftlichen und wirtschaftlichen Bereichen! Das Internet geht über alle geographischen Grenzen, politischen/administrativen Grenzen und Kulturen hinaus und stellt somit eine neue und ungewohnte Herausforderung für die internationale Gesellschaft dar. Mit dem Internet haben wir einen erhöhten hten Aktionsradius und eine starke Abstraktion zwischen Handlung und Wirkung. Dies führt zu einem mangelnden Unrechtsbewusstsein und verlangt einen bewussten Umgang mit der elektronischen Welt. Die Geschwindigkeit, in der neue Anforderungen (ID-Management, Spam, Viren, Würmer, Trojaner und Passwort Fishing) auftauchen wird immer rasanter und damit steigt das Sicherheitsrisiko! 4 2
Internet- Verteilung der Anwendungen Aufschlüsselung sselung nach Kommunikationsprotokollen (Bandbreite im Backbone international agierender IP-Carrier Carrier) 45% Web-Traffic (HTTP) 24% P2P-Tauschbörsen (Musik, Filme, ) 12% E-Mail (SMTP, POP3, IMAP) 7% Streaming-Protokolle 7% IP-Telefonie 5% Sonstiges 12% 7% 7% 24% Quelle: http://www.heise.de/ct/05/07/088 5% 45% http p2p E-Mail Audio/Video VoIP sonstige 5 Inhalt Internet- Geordnetes Chaos Die globale Sicht auf das Internet Zusammenfassung 6 3
Internet ein Netz aus Netzen Das Internet besteht aus mehr als 21.000 unabhängigen Netzen, so genannte Autonome Systeme () Autonome Systeme unterscheiden sich in Größe und räumlicher Ausdehnung sowie im Kerngeschäft und der Intention des Betreibers. Gemeinsamer Nenner ist eine möglichst redundante Anbindung an andere Autonome Systeme. Dazu benötigen die Autonome Systeme eine Strategie, wie sie sich miteinander verbinden, z.b. über Transit, Privat-Peering oder Public-Peering. Zurzeit gibt es mehr als 45.000 logische Verbindungen zwischen den s Unterschiedliche Typen von Autonomen Systemen Große Firmen, z.b. Lufthansa, Deutsche Bank (41 %) Internet Service Providers, z.b. IP-Carrier (35 %) Universitäten (11 %) Internet Exchange Points (2 %) 7 Internet Deutschland Die wichtigsten Autonomen Systeme in Deutschland 8 4
Navigieren Leitungen im Internet Die physikalischen Leitungen im Internet sind in der Regel so ausgelegt, dass die reale Bandbreite nicht mehr als 50 Prozent der theoretischen Bandbreite ausmacht. Routing Komplexe Anforderungen an die Wegewahl zwischen Autonomen Systemen IP-Pakete verlassen auch die Unternehmensgrenzen! Wirtschaftliche und firmenpolitische Aspekte spielen bei der Wegewahl eine Rolle. Existenz von bevorzugten Pfaden Festlegung von Routing-Policies anhand der Beziehungen zwischen den Autonomen Systemen Das Routing spielt eine wesentliche Rolle für r die Stabilität t des Internet! 9 Grenzposten Border Gateway Protocol (BGP) Zwischen Borderroutern der Autonomen Systeme existieren permanente Sessions Initiales Austauschen aller Routing- Informationen ca. 185.000 Routen Nachrichten zur Aktualisierung und zum Aufrechterhalten (Dieser Mechanismus ist immens wichtig für die Stabilität des Internets). Nachbarn überwachen sich gegenseitig! Entscheidungskriterien f Entscheidungskriterien für die Wegewahl r die Wegewahl Nutzungspreise der Verbindungen Länge des Pfades von einem Autonomen System zum anderen Lange Wege durch Vermeidung von teuren Transit-Strecken Hot Potato vs. Cold Potato 10 5
Inhalt Internet- Geordnetes Chaos Die globale Sicht auf das Internet Zusammenfassung 11 Geordnetes Chaos im Internet Wer mit wem und warum? Durch die Beziehungen und Größe der Autonomen Systeme ergibt sich eine formelle Hierarchie unter den Betreibern. Connectivity des Internets <= 2 = 16.496-74 % (Tier 3) <=10 = 20.802-96 % >10 = 867-4 % >50 = 152-0,7 % >100 = 73-0,3 % >300 = 26-0,1 % Nur wenige Provider (~13) sind Global Networks (Tier1) Die Telekom hat 350 Verbindungen zu anderen. Die meisten Verbindungen hat immer noch MCI mit 2.401 Wirtschaftliche Notwendigkeiten beeinflussen die Betreiber Das kann zur einer Destabilisierung des Internets führen. Wir benötigen eine Instanz, die eine Übersicht über die und deren Verbindungen pflegt. 12 6
Geordnetes Chaos im Internet Traffic: : Eine Abschätzung PRIVATE PEERING 50 Peta Byte 100 Peta: : DSL-Kunden 50 Peta: : Business-Kunden TRANSIT (Global ISP) 40 Peta Byte INTERNAL 30 Peta Byte Autonomes PUBLIC PEERING System 30 Peta Byte TRANSIT (Customer) 150 Peta Byte 1 Peta Byte = 1.000.000 Giga Byte 13 Inhalt Internet- Geordnetes Chaos Die globale Sicht auf das Internet Internet Frühwarnsystem Zusammenfassung 14 7
Internet-Analyse-System ystem (I( I) Analogie Lokale Sicht 15 Internet-Analyse Analogie Globale Sicht 16 8
Internet-Analyse Idee Beobachtung der kritischen Internet. Internet Sonden werden an ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die Kommunikationsleitungen eingebunden. Zählen nur von Header- Informationen, die nicht datenschutzrelevant sind. System sammelt Informationen über einen großen Zeitraum! Ein zentrales Auswertungssystem analysiert die Rohdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse intuitiv dar. Sonde Sonde Sonde Auswertungssystem I Sonde 17 Internet-Analyse Zählen von Header Informationen Nur Zähler Anzahl der Zähler Z z.zt: - Max: 300.000 - Real-Ø: : 20 bis 60.000 18 9
Internet-Analyse Ziele Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen, Schaffung einer Wissensbasis Überblick über den aktuellen Zustand des Internets Erkennen von Angriffssituationen und Anomalien Prognosen von Mustern und Angriffen 19 Internet-Analyse Beispiele von Ergebnissen (1/5) Transport-Protokoll Verteilung (Profil) UDP 7% ESP TCP UDP IGMP GRE TCP 89% ICMP 20 10
Internet-Analyse Beispiele von Ergebnissen (2/5) SYN-Scan Scan (Potentieller Angriff) Vergleich unterschiedlicher Zeiträume Normal: SYN > SYN/ACK > 2xFIN/ACK Diskrepanz: Normalverteilung zu Verteilung im Angriffsfall Angriffserkennung Normale Verteilung SYN (31% - 52%) SYN/ACK (26% - 19%) FIN/ACK (43% - 30%) Annormale Verteilung 21 Internet-Analyse Beispiele von Ergebnissen (3/5) SYN-Scan Scan (Potentieller Angriff) Scan-Zeitraum deutlich zu erkennen SYN SYN/ACK FIN/ACK 22 11
Internet-Analyse Beispiele von Ergebnissen (4/5) HTTP Methoden Tagesrhythmus HEAD genutzt von automatischen Prozessen GET und POST i.d.r. genutzt von menschlichen Nutzern HEAD 6% GET 92% POST 2% GET HEAD POST 23 Internet-Analyse Beispiele von Ergebnissen (5/5) Browserverteilung (Technologie-Trend) Trend) Tagesprofile, Keine Serverstatistik, sondern Leitungsstatistik Unterschied zwischen manueller Nutzung (z.b. Internet Explorer und Firefox) und automatischer Nutzung (z.b. wget) zu erkennen. Firefox Internet Explorer Andere (wget, etc) Mozilla Firefox Internet Explorer Andere (wget, etc) 24 12
Internet-Verf Verfügbarkeits-System Idee Beobachtung der kritischen Internet. Dronen werden an ausgesuchten Positionen des Internets zur Erfassung von Verfügbarkeitsdaten eingebunden. Es werden verschiedene Arten von Verfügbarkeiten gemessen Wichtige Webdienste DNS-Dienst Kommunikationsverbindungen und Router Mail-Dienste und Server Parameter: Dienstgüte: Funktionen, Fehlerrate, Jitter, Verzögerung, Paketverlust Ein zentrales Auswertungssystem analysiert die Verfügbarkeitsdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse intuitiv dar. Internet Drone IVS Drone Drone: aktive Sonde Platzierung unabhängig von Dritten! 25 Internet-Verf Verfügbarkeits-System Beispiele von Ergebnissen (1/2) rapidshare.de File Sharing Portal Der größte Datenverkehr und die geringste Bandbreite ist zwischen 18:00 und 23:00 Uhr! 26 13
Internet-Verf Verfügbarkeits-System Beispiele von Ergebnissen (2/2) t-online.net Informations- Portal Verschiedene Routings haben einen Einfluss auf die Bandbreite 27 Inhalt Internet- Geordnetes Chaos Die globale Sicht auf das Internet Zusammenfassung 28 14
Internet Zusammenfassung Das Internet ist ein komplexes System mit zu vielen Sicherheitsproblemen! Die Erfahrung zeigt, dass die physische und logische des Internets überaus robust ist. Die Grenzposten im Internet müssen sich auf neue Anforderungen im Bereich QoS vorbereitet. Wir brauchen eine gemeinsame Internet-Kultur Kultur, wie wir mit dem Internet und seinen Diensten umgehen sollen. Sichere Betriebssysteme, Trusted Computing, Self-Defending-Networks, usw. werden helfen, mehr Sicherheit im Internet zu bekommen. Geordnetes Chaos Bis jetzt hat das Chaos für den Erfolg des Internets gesorgt. In Zukunft muss mit mehr Ordnung für einen weiterer Fortschritt gesorgt werden! Die Autonomen Systeme müssen mehr zusammenarbeiten, damit das Ganze erhalten bleibt. Schwarze Listen, gemeinsame Frühwarnsysteme, globale Sicht, usw. 29 Internet- unter dem Gesichtspunkt der IT-Sicherheit Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de 15