Internet-Analyse-System (IAS) Technische Sensorik für das nationale IT-Frühwarnsystem Martin Bierwirth Bundesamt für Sicherheit in der Informationstechnik.

Slides:



Advertisements
Ähnliche Präsentationen
Präsentation des Unternehmens
Advertisements

Powerpoint-Präsentation
Installation/Konfiguration Beispiele Probleme Übergabe
On the Criteria to Be Used in Decomposing Systems into Modules
Die aktuelle Bedrohungslage in der Informationstechnik
Proaktives CONTRL Handling mit B2B by Practice
Schwachstellenanalyse in Netzen
Internet facts 2006-I Graphiken zu dem Berichtsband AGOF e.V. September 2006.
Internet facts 2006-III Graphiken zum Berichtsband AGOF e.V. März 2007.
Internet facts 2008-II Graphiken zu dem Berichtsband AGOF e.V. September 2008.
Internet facts 2006-II Graphiken zu dem Berichtsband AGOF e.V. November 2006.
Internet facts 2005-IV Graphiken zu dem Berichtsband AGOF e.V. Juli 2006.
Internet facts 2005-III Graphiken aus dem Berichtsband AGOF e.V. März 2006.
Framework für ein Intrusion Detection System
Sicherheit in Rechnernetzen- Denial of Service- Attacken
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Sicher durchs Internet
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Datenmanagement in Sensornetzen PRESTO - Feedback gesteuertes Datenmanagement - SS 2007 Sören Wenzlaff.
Einführung in die Technik des Internets
Physik in elementaren Portionen, Karlsruhe,
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Grundschutztools
Ralf KüstersDagstuhl 2008/11/30 2 Ralf KüstersDagstuhl 2008/11/30 3.
Evaluierung des ITU-T.124 Telekonferenzstandards
Intrusion Detection Systems
20:00.
3 Wie funktioniert TCP/IP?
HOB RD VPN HOB Remote Desktop Virtual Private Network
TWS/Graph HORIZONT Produkt-Präsentation Software für Rechenzentren
Leistungsbeschreibung Brückenplanung RVS RVS
PH-ONLINE Informationen für den Bereich Fort- und Weiterbildung Dr. Peter Einhorn Kompetenzzentrum IKT und Neue Medien.
Firewall.
...ich seh´es kommen !.
HORIZONT 1 XINFO ® Das IT - Informationssystem Java Scanner HORIZONT Software für Rechenzentren Garmischer Str. 8 D München Tel ++49(0)89 / 540.
Präsentation läuft auch vollautomatisch ab … wie du möchtest
Deutsch 1 Unit 1 Tag September 2013
KOMOD Konzeptstudie Mobilitätsdaten Österreich AP3 Erhebungsmethoden und -komponenten Gerd Sammer, Roman Klementschitz Institut für Verkehrswesen, Universität.
HORIZONT 1 XINFO ® Das IT - Informationssystem z/OS Space HORIZONT Software für Rechenzentren Garmischer Str. 8 D München Tel ++49(0)89 /
Publikation auf Knopfdruck Judith Riegelnig Michael Grüebler 19. Oktober 2010 / Statistiktage Neuenburg.
Viren, Würmer und anderes Ungeziefer
Präsentiert Management Lösungen Value Added Software GmbH, Carl-Schurz-Str. 7, Neuss
Agenda Rückblick 2. Aufbau der Software Benutzeroberfläche 4. Ausblick
Analyseprodukte numerischer Modelle
2014 Januar 2014 So Mo Di Mi Do Fr Sa So
Microsoft Corporation
FRÜHLING.
Meldungen über Ethernet mit FINS/UDP
Netzwerke.
Client-Server-Modell
SiLeBAT Sicherstellung der Futter- und Lebensmittelwarenkette bei bio- und agro-terroristischen (BAT)-Schadenslagen.
Der Erotik Kalender 2005.
Weshalb laufen Planeten manchmal rückwärts?
Elterninformationsabend zum ECDL an der Realschule Mülheim-Kärlich
VPN – Virtual Private Network
prof. dr. dieter steinmannfachhochschule trier © prof. dr. dieter steinmann Folie 1 vom Montag, 30. März 2015.
VLAN als Thema der IHK-Prüfung
->Prinzip ->Systeme ->Peer – to – Peer
1 10 pt 15 pt 20 pt 25 pt 5 pt 10 pt 15 pt 20 pt 25 pt 5 pt 10 pt 15 pt 20 pt 25 pt 5 pt 10 pt 15 pt 20 pt 25 pt 5 pt 10 pt 15 pt 20 pt 25 pt 5 pt Wie.
Was heißt hacken? Referat von Jasmin Woock Universität zu Köln
Registrar-Tag Andreas Papst.at nameservice Wer fragt Wen Was Wann? Datum:
Christos Mavridis ‌ WG13 ‌‌‌ Köln, Update und Patch-Management.
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Port-Forwarding Der PC möchte vom Internet aus auf den http-Server zugreifen. Er sieht nur die IP-Adresse und den Port des Routers. http-Server PC Router.
Präsentation neue Homepage www. fwniederhasli. ch Mi
 Präsentation transkript:

Internet-Analyse-System (IAS) Technische Sensorik für das nationale IT-Frühwarnsystem Martin Bierwirth Bundesamt für Sicherheit in der Informationstechnik AFCEA Bonn,

BSI, 122, Bierwirth Folie 2 Agenda Motivation Konzept und Zielsetzung IAS Realisierung, Status Beispiel-Auswertungen Anomalieerkennung Zusammenfassung

BSI, 122, Bierwirth Folie 3 Warum IAS? Konzeption und Entwicklung des Internet-Analyse- Systems als Beitrag zur IT-Krisenreaktion. Hintergrund: Nationaler Plan zum Schutz der Informationsinfrastrukturen (2005), UP Bund (2007) Nationales IT-Frühwarnsystem im BSI: Aufgrund belastbarer Erkenntnisse über drohende oder bereits eingetretene IT-Vorfälle, die noch möglichst wenige betreffen, wird ein nationales IT-Sicherheitslagebild fortgeschrieben und bei ausreichender Relevanz eine qualifizierte Warnung an potenziell betroffene Bereiche verteilt, um dort zu erwartende Schäden zu vermeiden oder zu verringern.

BSI, 122, Bierwirth Folie 4 Datenschutzrechtlich unbe- denkliche Sensorik bereitstellen. Zustandsbeobachtung durch verteilte Sensorik durchführen. Vergleichbarkeit der Messungen zahlreicher Standorte u. Partner. Konzept und Ziel des IAS Entwicklungspartner: Institut für Internetsicherheit Zeitraum:

BSI, 122, Bierwirth Folie 5 Fokus der Sensorik Headerinformationen aus TCP/IP und aus wichtigen Anwendungsprotokollen: D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren)

BSI, 122, Bierwirth Folie 6 Die Sensorik des IAS erfasst keine IP-Adressen, setzt TCP-Flows nicht zusammen, verwirft nach Abarbeitung eines Paketes seinen Kontext, prüft nicht auf Signaturen bzw. macht kein Pattern-Matching, arbeitet passiv, d.h. sie verändert den Datenstrom nicht, wird nicht geroutet, d.h. keine eigene IP-Adresse, kein Ziel. Damit grenzt sich die Sensorik ab von reinen Paketsniffern oder NetFlow, Firewalls, Application-Level-Gateways, IDS / IPS, Honeypots. Abgrenzung zu anderen Systemen

BSI, 122, Bierwirth Folie 7 Realisierung: Einbindung der Sensoren 1/2 Einbindung z. B. per Netzwerk-TAP oder Mirror-Port eines Switches Internet-Anbindung eines Netzbetreibers Verschlüsseltes Protokoll, nur Kommunikation in Richtung Transfersystem Internet / ISP Behörde / Unternehmen

BSI, 122, Bierwirth Folie 8 Einbindung der Sensoren 2/2 Zwei (passive) Varianten: Switch mit Mirror-Port oder Netzwerk-TAP.

BSI, 122, Bierwirth Folie 9 Sensor-Netzwerk, zentrale Auswertung Zentrale Auswertung der Daten: Normalzustand, Trends, Anomalien, Einzelfallanalyse... BSI kann Daten mehrerer Standorte miteinander vergleichen und erhält einen erweiterten Horizont. Wer ist noch betroffen?

BSI, 122, Bierwirth Folie 10 Derzeitiger Status Sechs Sensoren senden Daten an das BSI, Fokus vor allem bei den Regierungsnetzen. Hardware in BSI-Labor: drei Server, Datenbank mit rund 2 TB Storage-Unit, SINA-Gateway. Daten werden über Zeitraum von 13 Monaten vorgehalten. Zugriff auf IAS-Server aus dem BSI-Lagezentrum sowie aus Fachreferaten. IAS als Bestandteil der täglichen Lagebeobachtung.

BSI, 122, Bierwirth Folie 11 Auswertung Allein mengenmäßig sind die Daten eine Herausforderung! Garbage in – garbage out? In der Regel werden nur Deskriptoren der wichtigsten Dienste und Protokolle (automatisch) analysiert. In Einzelfällen müssen zahlreiche weitere Deskriptoren zur Analyse herangezogen werden. D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren) ? D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren) D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren)

BSI, 122, Bierwirth Folie 12 Lifecycle der IAS-Messdaten Erfassung und Anonymisierung des Netzwerk-Datenflusses. Aggregation der Zählerstände im 5-Minuten-Intervall. Übertragung an IAS-Server mit Identifizierung des Standortes. Speicherung, Schwellenwert-Vergleich, manuelle Recherche usw tcp.port= 80 IIII II deskriptor.counter=927 Δ =3, 4 σ =7, 3 Langzeit-Datenbank Vergleich mit Schwellenwert Neuberechnung der Schwellenwerte Zählerstand-Übertragung (Deskriptoren) an IAS-Server Datenabgriff, Anonymisierung, Aggregation als Zählerstände Kurzzeit-Datenbank IAS- Sensor IAS-Server und Datenbank

BSI, 122, Bierwirth Folie 13 Beispiel: Scans auf 445/TCP Korrelierender Trend an unabhängigen Standorten.

BSI, 122, Bierwirth Folie 14 Beispiel: Spam-Entwicklung -Zustellversuche an einem Standort: September bis Dezember 2007: ca. 10 – 20 Mio. pro Tag. Januar bis April 2008: bis zu 40 Mio. pro Tag. Juni bis Oktober 2008: bis zu 60 Mio. pro Tag.

BSI, 122, Bierwirth Folie 15 Beispiel: Browseranteile Anteile der verschiedenen Firefox-Versionen, 3.0.X im Detail In diesem Netzbereich überwiegend noch 2.0.X. Februar 2009: Patch von Version auf (Grün).

BSI, 122, Bierwirth Folie 16 Beispiel: Mail-Attachments Top 5 der angehängten Dateitypen, 6. bis 13. Oktober 2008 IMAGE/GIF IMAGE/JPEG APPL/OCTET-STREAM APPL/MSWORD APPL/PDF

BSI, 122, Bierwirth Folie 17 Potenzial der manuellen Recherche Das IAS ermöglicht umfassende Übersichten wichtiger Internetdienste: DNS, HTTP, SMTP... Es können viele Aussagen getroffen werden: Kurzfristige Antworten, z.B. bei Schwachstellen wichtig: Zu welchem Anteil wird Browser XYZ eingesetzt? Langzeittrends: Spam, VoIP, HTTP gegenüber HTTPS usw. Zusammenhänge der Protokolle untereinander. Nahezu Echtzeit-Analyse bei Vorfällen (mit klaren Grenzen). Die Analysten brauchen verständliche Zusammenhänge, daher Fokus auf einfachen Auswertungen. [...]

BSI, 122, Bierwirth Folie 18 Anomalieerkennung mit dem IAS Für ausgewählte Deskriptoren, basierend auf Messwerten der letzten Wochen, Unterscheidung von Tagen / Stunden Schwellenwert = Durchschnittswert + Toleranz Eher pragmatischer Ansatz, weniger wissenschaftlich. Liefert ggf. Indizien für sicherheitskritischen Vorfall.

BSI, 122, Bierwirth Folie 19 IAS-Lagebild mit Nagios Automatische Überwachung ausgewählter Deskriptoren Auswertung der aktuellen Daten (fast Echtzeit) Visualisierung von Schwellenwert-Überschreitungen Dadurch: kompakte Zustandsdarstellung

BSI, 122, Bierwirth Folie 20 Warnung bei Anomalie mit Link auf automatisch generierte Informationen:

BSI, 122, Bierwirth Folie 21 Handlung bei Anomalie Bei überschrittenem Schwellenwert: Detailierte Recherche in IAS-Daten Suche nach korrespondierenden Ereignissen und Zusammenhängen Bewertung der Erkenntnisse (Erfahrung) Reaktion sowie ggf. Anpassung der Metriken

BSI, 122, Bierwirth Folie 22 Info-Pyramide Signale , Licht Daten Zählerstände Beobachten, Messen Informationen Trends, Anomalien Organisieren Wissen, Kenntnis Analysen, Korrelationen Verstehen Volumen beachten! Weisheit, Erfahrung Weisheit, Erfahrung Lagebild Anwenden

BSI, 122, Bierwirth Folie 23 TCP-SYN- und ICMP-Flooding, zufällige gleichbleibende TCP-Highports, 1000-fach gestiegener Traffic. Beispiel: Großer DDoS-Angriff Abwehrmaß- nahmen TCP-SYN Port Port Ende des Angriffs

BSI, 122, Bierwirth Folie 24 Beispiel: DNS-Anomalie Überschreitung des Schwellenwerts am Korrelation an mehreren unabhängigen Standorten. Analyse: Versuchter DNS-Amplification-Attack ( ISC).

BSI, 122, Bierwirth Folie 25 Beispiel: Schwachstelle MS : Schwachstelle in Windows-RPC-Dienst, Exploit über Port 445/TCP möglich. CERT-Bund Warnung (1) : Wurm zu MS in the wild gesichtet. (2) : Microsoft beobachtet zunehmende Verbreitung. (3) Januar 2009: Wurm-Infektionen in Kärntner Regierung sowie bei britischer Armee : F-Secure berichtet von etwa neun Millionen befallenen W32-Systemen. (4)

BSI, 122, Bierwirth Folie 26 Zusammenfassung Die IAS-Sensorik arbeitet datenschutzrechtl. unbedenklich. Mit Anomalieerkennung und manueller Recherche lässt sich – trotz abstrakter Daten – erstaunlich viel herausfinden. Je mehr interessante Sensoren, desto aussagekräftiger die Analysen, Erfahrungen und Bewertungen. Die zentrale Datenbasis mit diversen Auswertungen liefert im BSI eine wichtige Ergänzung zum Sicherheitslagebild, zur Vorfallsanalyse sowie zur Krisenreaktion.

BSI, 122, Bierwirth Folie 27 BSI Lagezentrum

BSI, 122, Bierwirth Folie 28 Vielen Dank - Fragen ??? Bundesamt für Sicherheit in der Informationstechnik (BSI) Martin Bierwirth Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)

BSI, 122, Bierwirth Folie 29 Beispiel: Browserverteilung Top 9 der verwendeten Browser, Oktober 2008 * Exotische Browser, für die keine Deskriptoren existieren. MS IE 6 MS IE 7 OTHERS * FIREFOX 3.0 FIREFOX 2.0 Webcrawler Safari...

BSI, 122, Bierwirth Folie 30 Beispiel: Browseranteile Anteile von IE und Firefox, incoming, Sept. - Nov IE 6.0: 35%, IE 7.0: 35%, Firefox 3.0: 20%, Firefox 2.0: 10% (in Summe ca. 70 – 80% des HTTP-Gesamttraffics)

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.