internet-infrastruktur unter dem gesichtspunkt der it-sicherheit · 2016. 6. 4. · prof. dr. n orb...
TRANSCRIPT
Prof. Dr. Norbert Pohlmann
Institut für Internet-SicherheitFachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de
Internet-Infrastruktur unter dem Gesichtspunkt der IT-Sicherheit
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
2
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
3
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
4
Internet-Infrastruktur Eine globale Herausforderung
Geschäftliches Handeln erfordert Sicherheit, Vertrauen und Verfügbarkeitin allen gesellschaftlichen und wirtschaftlichen Bereichen!
Das Internet geht über alle geographischen Grenzen, politischen/administrativen Grenzen und Kulturen hinaus und stellt somit eine neue und ungewohnte Herausforderung für die internationale Gesellschaft dar.
Mit dem Internet haben wir einen erhöhten Aktionsradius und eine starke Abstraktion zwischen Handlung und Wirkung.Dies führt zu einem mangelnden Unrechtsbewusstsein und verlangt einen bewussten Umgang mit der elektronischen Welt.
Die Geschwindigkeit, in der neue Anforderungen (ID-Management, Spam, Viren, Würmer, Trojaner und Passwort Fishing) auftauchen wird immer rasanter und damit steigt das Sicherheitsrisiko!
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
5
Internet-Infrastruktur Verteilung der Anwendungen
Aufschlüsselung nach Kommunikationsprotokollen(Bandbreite im Backbone international agierender IP-Carrier)
45% Web-Traffic (HTTP)
24% P2P-Tauschbörsen (Musik, Filme, …)
12% E-Mail (SMTP, POP3, IMAP)
7% Streaming-Protokolle
7% IP-Telefonie
5% Sonstiges
Quelle: http://www.heise.de/ct/05/07/088
45%
24%
12%
7%
7%5%
http
p2p
Audio/Video
VoIP
sonstige
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
6
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
7
Unabhängig abhängigInternet – ein „Netz aus Netzen“
Das Internet besteht aus mehr als 21.000 unabhängigen Netzen, so genannte Autonome Systeme (AS)
Autonome Systeme unterscheiden sich in Größe und räumlicher Ausdehnung sowie im Kerngeschäft und der Intention des Betreibers.
Gemeinsamer Nenner ist eine möglichst redundante Anbindung an andere Autonome Systeme.
Dazu benötigen die Autonome Systeme eine Strategie, wie sie sich miteinander verbinden, z.B. über Transit, Privat-Peering oder Public-Peering.
Zurzeit gibt es mehr als 45.000 logische Verbindungen zwischen den ASs
Unterschiedliche Typen von Autonomen Systemen
Große Firmen, z.B. Lufthansa, Deutsche Bank (41 %)
Internet Service Providers, z.B. IP-Carrier (35 %)
Universitäten (11 %)
Internet Exchange Points (2 %)
…7
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
8
Unabhängig abhängig „Internet Deutschland “
Die wichtigsten Autonomen Systeme
in Deutschland
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
9
Unabhängig abhängig Navigieren
Leitungen im Internet
Die physikalischen Leitungen im Internet sind in der Regel so ausgelegt, dass die reale Bandbreite nicht mehr als 50 Prozent der theoretischen Bandbreite ausmacht.
Routing
Komplexe Anforderungen an die Wegewahl zwischen Autonomen Systemen
IP-Pakete verlassen auch die Unternehmensgrenzen!
Wirtschaftliche und firmenpolitische Aspekte spielen bei der Wegewahl eine Rolle.
Existenz von bevorzugten Pfaden
Festlegung von Routing-Policies anhand der Beziehungen zwischen den Autonomen Systemen
Das Routing spielt eine wesentliche Rolle für die Stabilität des Internet!
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
10
Unabhängig abhängig Grenzposten
Border Gateway Protocol (BGP)
Zwischen Borderroutern der Autonomen Systeme existieren permanente Sessions
Initiales Austauschen aller Routing-Informationen ca. 185.000 Routen
Nachrichten zur Aktualisierung und zum Aufrechterhalten (Dieser Mechanismus ist immens wichtig für die Stabilität des Internets).
Nachbarn überwachen sich gegenseitig!
Entscheidungskriterien für die Wegewahl
Nutzungspreise der Verbindungen
Länge des Pfades von einem Autonomen System zum anderen
Lange Wege durch Vermeidung von teuren Transit-Strecken
Hot Potato vs. Cold Potato
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
11
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
12
Geordnetes Chaos im Internet Wer mit wem und warum?
Durch die Beziehungen und Größe der Autonomen Systeme ergibt sich eine formelle Hierarchie unter den Betreibern.
Connectivity des Internets<= 2 = 16.496 - 74 % (Tier 3)<=10 = 20.802 - 96 % >10 = 867 - 4 %>50 = 152 - 0,7 %>100 = 73 - 0,3 %>300 = 26 - 0,1 %
Nur wenige Provider (~13) sind “Global Networks” (Tier1)
Die Telekom hat 350 Verbindungen zu anderen AS.
Die meisten Verbindungen hat immer noch MCI mit 2.401
Wirtschaftliche Notwendigkeiten beeinflussen die Betreiber
Das kann zur einer Destabilisierung des Internets führen.
Wir benötigen eine Instanz, die eine Übersicht über die AS und deren Verbindungen pflegt.
12
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
13
Geordnetes Chaos im Internet Traffic: Eine Abschätzung
AutonomesSystem
PUBLICPEERING30 Peta Byte
PRIVATEPEERING50 Peta Byte
TRANSIT (Customer)150 Peta Byte
ASAS
TRANSIT (Global ISP)40 Peta Byte
ASAS
ASAS
ASAS
INTERNAL30 Peta Byte
100 Peta: DSL-Kunden50 Peta: Business-Kunden
1 Peta Byte = 1.000.000 Giga Byte
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
14
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet Internet Frühwarnsystem
Zusammenfassung
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
15
Internet-Analyse-System (IAS) Analogie
Lokale Sicht
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
16
Internet-Analyse-System (IAS) Analogie
Globale Sicht
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
17
Internet-Analyse-System (IAS) Idee
Beobachtung der kritischen Infrastruktur „Internet“.
Sonden werden an ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die Kommunikationsleitungeneingebunden.
Zählen nur von Header-Informationen, die nicht datenschutzrelevant sind.
System sammelt Informationen über einen großen Zeitraum!
Ein zentralesAuswertungssystem analysiert die Rohdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisseintuitiv dar.
Auswertungssystem
Sonde
Sonde
Sonde
Sonde
Internet
IAS
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
18
Internet-Analyse-System (IAS) Zählen von Header Informationen
Anzahl der Zähler z.Zt:- Max: 300.000
- Real-Ø: 20 bis 60.000
Nur Zähler
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
19
Internet-Analyse-System (IAS) Ziele
Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen, Schaffung einer Wissensbasis
Überblick über den
aktuellen Zustand des Internets
Erkennen von
Angriffssituationen und Anomalien
Prognosen von Mustern und Angriffen
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
20
Internet-Analyse-System (IAS) Beispiele von Ergebnissen (1/5)
Transport-Protokoll Verteilung (Profil)
TCP
ESP
IGMP
ICMP
GRE
UDP
TCP89%
UDP7%
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
21
Internet-Analyse-System (IAS) Beispiele von Ergebnissen (2/5)
SYN-Scan (Potentieller Angriff)
Vergleich unterschiedlicher Zeiträume
Normal: SYN > SYN/ACK > 2xFIN/ACK
Diskrepanz: Normalverteilung zu Verteilung im Angriffsfall Angriffserkennung
SYN(31% - 52%)SYN/ACK
(26% - 19%)FIN/ACK
(43% - 30%)
Normale Verteilung Annormale Verteilung
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
22
Internet-Analyse-System (IAS) Beispiele von Ergebnissen (3/5)
SYN-Scan (Potentieller Angriff)
Scan-Zeitraum deutlich zu erkennen
SYN/ACK
FIN/ACK
SYN
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
23
Internet-Analyse-System (IAS) Beispiele von Ergebnissen (4/5)
HTTP MethodenTagesrhythmus
HEAD genutzt von automatischen Prozessen
GET und POST i.d.R. genutzt von menschlichen Nutzern
HEAD
GET
POST
GET92%
HEAD6% POST
2%
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
24
Internet-Analyse-System (IAS) Beispiele von Ergebnissen (5/5)
Browserverteilung (Technologie-Trend)
Tagesprofile, Keine Serverstatistik, sondern „Leitungsstatistik“
Unterschied zwischen manueller Nutzung (z.B. Internet Explorer und Firefox) und automatischer Nutzung (z.B. wget) zu erkennen.
FirefoxAndere (wget, etc)
Internet Explorer
Andere (wget, etc)
InternetExplorer
Mozilla Firefox
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
25
Internet-Verfügbarkeits-System Idee
Beobachtung der kritischen Infrastruktur „Internet“.
Dronen werden an ausgesuchten Positionen des Internets zur Erfassung von Verfügbarkeitsdaten eingebunden.
Es werden verschiedene Arten von Verfügbarkeiten gemessen
Wichtige Webdienste
DNS-Dienst
Kommunikationsverbindungen und Router
Mail-Dienste und –Server
Parameter: Dienstgüte: Funktionen, Fehlerrate, Jitter, Verzögerung, Paketverlust
Ein zentralesAuswertungssystem analysiert die Verfügbarkeitsdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse intuitiv dar.
Drone Drone
Internet
Drone: aktive SondePlatzierung unabhängig von Dritten!
IVS
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
26
Internet-Verfügbarkeits-System Beispiele von Ergebnissen (1/2)
rapidshare.de
File Sharing Portal
Der größte Datenverkehr und die geringste Bandbreite ist zwischen 18:00 und 23:00 Uhr!
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
27
Internet-Verfügbarkeits-System Beispiele von Ergebnissen (2/2)
t-online.net
Informations-Portal
Verschiedene Routings haben einen Einfluss auf die Bandbreite
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
28
Inhalt
Internet-Infrastruktur
Unabhängig abhängig
Geordnetes Chaos
Die globale Sicht auf das Internet
Zusammenfassung
P
rof.
Dr.
Norb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
(ifis)
, F
H G
els
enki
rchen
29
Internet Zusammenfassung
Das Internet ist ein komplexes System mit zu vielen Sicherheitsproblemen!
Die Erfahrung zeigt, dass die physische und logische Infrastruktur des Internets überaus robust ist.
Die Grenzposten im Internet müssen sich auf neue Anforderungen im Bereich QoS vorbereitet.
Wir brauchen eine gemeinsame Internet-Kultur, wie wir mit dem Internet und seinen Diensten umgehen sollen.
Sichere Betriebssysteme, Trusted Computing, Self-Defending-Networks, usw. werden helfen, mehr Sicherheit im Internet zu bekommen.
Geordnetes Chaos
Bis jetzt hat das Chaos für den Erfolg des Internets gesorgt.
In Zukunft muss mit mehr Ordnung für einen weiterer Fortschritt gesorgt werden!
Die Autonomen Systeme müssen mehr zusammenarbeiten, damit das Ganze erhalten bleibt.
Schwarze Listen, gemeinsame Frühwarnsysteme, globale Sicht, usw.
Prof. Dr. Norbert Pohlmann
Institut für Internet-SicherheitFachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de
Vielen Dank für Ihre AufmerksamkeitFragen ?
Internet-Infrastruktur unter dem Gesichtspunkt der IT-Sicherheit