Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

3. Essener Workshop Neue Herausforderungen in der Netzsicherheit 3. - 4. April 2008 Stephan Kubisch, Harald Widiger, Peter Danielis, Jens Schulz Universität.

Ähnliche Präsentationen


Präsentation zum Thema: "3. Essener Workshop Neue Herausforderungen in der Netzsicherheit 3. - 4. April 2008 Stephan Kubisch, Harald Widiger, Peter Danielis, Jens Schulz Universität."—  Präsentation transkript:

1 3. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2008 Stephan Kubisch, Harald Widiger, Peter Danielis, Jens Schulz Universität Rostock Institut MD IPclip – Ein innovativer Mechanismus zur Wiederherstellung von Trust-by-Wire in paketvermittelnden IP Netzen

2 Gliederung Einleitung und Motivation Herausforderungen Lösung Anwendungsszenarien Zusammenfassung 2

3 Einleitung und Motivation Internet-Wachstum Steigende Nutzerzahlen Entwicklung neuer Technologien (xDSLs, Kupfer, Glasfaser) Neue originelle Services (triple-, quadruple-, n-tuple-play) 3 Radikale Änderung der Zielgruppe (vgl. mit z.B. 1980) Internet => Massenmedium Kritische Einflüsse Quelle: JahrAnzahl Hosts (weltweit)

4 Einleitung und Motivation Steigende Unsicherheit Viele Benutzer = Anonymität Schwarze Scharfe sind schwer zu identifizieren Bist du wirklich sicher mit deiner BANK verbunden zu sein? Adressverifikation ist notwendig Neue Services (besonders multimediale) Neue Anforderungen an QoS managebare Lösungen zur Unterstützung der neuen Services 4

5 Herausforderungen VoIP (Notrufe) SPAM Phishing P2P Unterstützung 5

6 Einleitung und Motivation Festnetz Leitungsvermittelt Telefonnummer dient zur Identifizierung Direkte ortsgebundene Beziehung gegeben Internet Paketvermittelt IP Adressen sind nicht eindeutig Keine ortsgebundene Beziehung 6 Festnetztelefonie vs. Internet Trust by Wire

7 7 Kein Trust by Wire im Internet

8 Wo einbetten? Header 8 IP PaketPayload IP Option Type Length Value IPclip = IP C alling L ine I dentification P resentation Nutzung gesicherter Ortsinformationen

9 Aufbau einer IPclip - Option 9 Geoinformationen werden in jedem IP Paket hinzugefügt Nutzung gesicherte Ortsinformationen

10 Wo werden die Ortsinformationen eingefügt? 10 IPclip Nutzung gesicherter Ortsinformationen

11 Aufbau einer IPclip - Option 11 Erweiterung der IPclip-Option um Access Port & AN ID Nutzung gesicherte Ortsinformationen

12 Wie arbeitet IPclip? 12 IPclip stellt Trust-by-Wire in IP Netzwerken wieder her Ortsinformationen (z.B. GPS) in jedem IP Packet

13 Wie werden die Ortsinformationen verifiziert? 13 Vertrauensmanagement garantiert gültige Ortsinformationen Hinzugefügt durch Benutzer oder Access Node Benutzer sendet Ortsinformationen Gültigkeit der Ortsinformationen wird verifiziert IPclip setzt Status Flags in Abhängigkeit der Vertrauenswürdigkeit von Ortsinformationen Status Field Removal Flag Peering Flag Source Flag Trustability Flag

14 IPclip – Verifikation der Ortsinformation 14 Vertrauensmanagement garantiert gültige Ortsinformationen Quelle / Vertrauens- würdigkeit BedeutungFlags LI vom User / Nicht vertrauenswürdig User LI inkorrekt 00 LI vom User / Vertrauenswürdig User LI korrekt01 LI vom Netzwerk / Nicht vertrauenswürdig User LI inkorrekt und ersetzt 10 LI vom Netzwerk / vertrauenswürdig Keine User LI LI vom Netzwerk 11

15 Anwendungsszenarien VoIP (Notrufe) SPAM Phishing P2P Unterstützung 15

16 VoIP - Notrufe 16 ALICE Leitstelle 1. Schritt: Alice tätigt einen Notruf SOS

17 VoIP - Notrufe Schritt: Ortsinformationen werden hinzugefügt ALICE Leitstelle

18 VoIP - Notrufe Schritt: Anruf zur Leitstelle => Verbindung hergestellt ALICE Leitstelle

19 Anwendungsszenarien VoIP (Notrufe) SPAM Phishing P2P Unterstützung 19

20 Spam 20 Typischer Mailflow zwischen Alice und Bob (selbes Providernetz) Typischer Mailflow zwischen Alice und Bob (selbes Providernetz)

21 Spam 21 IPclip auf Layer 3 SMTP auf Layer 7 IP wird beim ersten MTA terminiert Erste MTA kopiert IPclip-Ortsinformationen in den -Header als SMTP-Option Wie kann IPclip bei der Spam-Bekämpfung helfen? From - X-IPCLIP-STATUS: 1100 X-IPCLIP-TYPE: GPS X-IPCLIP-INFO: X-IPCLIP-PORT:X X-IPCLIP-AN:A X-IPCLIP-MTA:MX.SENDERHOME.NET[ ] Return-Path: Received: from... From - X-IPCLIP-STATUS: 1100 X-IPCLIP-TYPE: GPS X-IPCLIP-INFO: X-IPCLIP-PORT:X X-IPCLIP-AN:A X-IPCLIP-MTA:MX.SENDERHOME.NET[ ] Return-Path: Received: from...

22 Spam 22 4 notwendige Unterscheidungen IP OptionSMTP OptionInterpretation 1. MTA Fügt SMTP Option ein kommt aus anderer Provider Domain Nicht der 1. MTA weitergeleitet Irgendetwas ging schief Besondere Behandlung erforderlich

23 Anwendungsszenarien VoIP (Notrufe) SPAM Phishing P2P Unterstützung 23

24 Phishing 24 Beschaffen von Konto- oder Online Shop Login-Daten Problem: Phishing Attacken nehmen rasant zu Ausspähen von privaten Kontodaten (registrierte Fälle beim BKA) Lösung: Vorgehen wie bei Anti Spam Verifizierte Ortsinformationen in jedem IP Paket Trigger zum Erkennung einer Phishing Attacke Einsatz von Honeypots zur Erkennung von Phishern Tracing zum Ursprung des Paketes möglich JahrgePhishte Konten (Deutschland) Durchschnittlicher Schaden

25 Anwendungsszenarien VoIP (Notrufe) SPAM Phishing P2P Unterstützung 25

26 P2P Unterstützung 26 P2P Daten = massiver Anteil am Gesamtdatenverkehr Bedeutung von P2P steigt weiter!

27 P2P-Unterstützung 27 Beispiel: Videostreaming (Joost, Zatoo, Bubblegum) P2P Anwendungen (eMule, …) Am Beispiel von Joost Einsatz eines hybriden Netzes Clients verteilen Daten Server liefert Video-Fragmente die Clients noch nicht haben Wo ist das Problem? Netzressourcen sollen optimal genutzt werden! => Finden naher Peers Wie kann IPclip P2P-Datenverkehr unterstützen?

28 P2P Unterstützung 28 Lösung: Entfernung über TTL-Wert messen IPclip dient als generischer Container Access Node fügt HOP COUNT zu IP Paket hinzu Anwendung wertet TTL-Wert aus Entfernung = START TTL – Ziel TTL Anwendung wählt nahen Peer aus Netzressourcen werden geschont Performanceverbesserung der P2P-Software Wie kann IPclip P2P-Datenverkehr unterstützen?

29 Hardware Prototyp 29 Xilinx Virtex4 FX20 Entwicklungsboard Speed: 1 Gbit-Ethernet It really works

30 Zusammenfassung 30 IPclip ist ein generischer Container innerhalb von IP- Paketen für Ortsinformationen, TTL, … IPclip garantiert Vertauenswürdigkeit (Trust-by-Wire) FPGA-Hardwarelösung IPclip ist ein generischer Container innerhalb von IP- Paketen für Ortsinformationen, TTL, … IPclip garantiert Vertauenswürdigkeit (Trust-by-Wire) FPGA-Hardwarelösung 1. Trigger für Anwendungsprogramme 3. Hilfe zur Klassifikation anhand der Vertrauens- würdigkeits -Flags (Anti Phishing, Anti SPAM) 3. Hilfe zur Klassifikation anhand der Vertrauens- würdigkeits -Flags (Anti Phishing, Anti SPAM) Mehrwert des vorgestellten Ansatzes 4. Höhere Genauigkeit bei der Verfolgung von IP- Paketen (Anti Phishing, Anti SPAM) 4. Höhere Genauigkeit bei der Verfolgung von IP- Paketen (Anti Phishing, Anti SPAM) 5. Unterstützung von P2P traffic (Schonung von Netzressourcen) 5. Unterstützung von P2P traffic (Schonung von Netzressourcen) 2. Unterstützung von VoIP-Nutrufen durch mitgesendete Ortsinformationen 2. Unterstützung von VoIP-Nutrufen durch mitgesendete Ortsinformationen

31 31 Vielen Dank für ihre Aufmerksamkeit Vielen Dank für ihre Aufmerksamkeit

32 Backup 32

33 33 Mail flows zwischen Alice, Bob & Peter (unterschiedliche Provider Netze) Mail flows zwischen Alice, Bob & Peter (unterschiedliche Provider Netze) Status Field Removal FlagPeering FlagSource FlagTrustability Flag

34 Anti SPAM Framework mit IPclip Ja, jedoch können gefälschte Ortsinformationen erkannt werden! Der 1. MTA weiß der er der 1. MTA ist Ortsinformationen in IP existieren nur bis zum 1. MTA Ortsinformationen in SMTP Optionen existieren nicht am 1. MTA 34 Können Ortsinformationen in SMTP gefälscht sein?

35 Vergleich DKIM, SPF, IPclip 35 DKIMSPFIPclip Performance impact associated with scanning, encrypting and decrypting messages Internet domain owner must publish a complete list of every allowed network path Packet processing in wire speed No forwarding problem No 100 % spam protection Another trigger for classifying/tracing spam Wie unterscheidet Ipclipim Vergleich zu DKIM, SPF

36 Wo befindet sich IPclip im IPv6-Paket? 36

37 IPclip Module 37


Herunterladen ppt "3. Essener Workshop Neue Herausforderungen in der Netzsicherheit 3. - 4. April 2008 Stephan Kubisch, Harald Widiger, Peter Danielis, Jens Schulz Universität."

Ähnliche Präsentationen


Google-Anzeigen