Embed Size (px)
Citation preview
3. Essener WorkshopNeue Herausforderungen in der Netzsicherheit 3. - 4. April 2008 Stephan Kubisch, Harald Widiger,
Peter Danielis, Jens SchulzUniversität Rostock
Institut MD
IPclip – Ein innovativer Mechanismus zur Wiederherstellung von “Trust-by-Wire” in
paketvermittelnden IP Netzen
Gliederung
Einleitung und Motivation
Herausforderungen
Lösung
Anwendungsszenarien
Zusammenfassung
2
Einleitung und Motivation
Internet-WachstumSteigende NutzerzahlenEntwicklung neuer Technologien (xDSLs, Kupfer, Glasfaser)Neue originelle Services (triple-, quadruple-, n-tuple-play)
3
Radikale Änderung der Zielgruppe (vgl. mit z.B. 1980)
Internet => MassenmediumKritische Einflüsse
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 20100
2
4
6
8
10
12
14
16
18
1999; Series1; 0.0030000000000
0002
2000; Series1; 0.362001; Series1; 1.3
2002; Series1; 2.8
2003; Series1; 4.7
2004; Series1; 7.32005; Series1; 8.5
2006; Series1; 10.1
2007; Series1; 11.2
2008; Series1; 13.3
2009; Series1; 15.6
2010; Series1; 16.9
Anzahl der Breitbandanschlüsse in Deutschland (in Mio.)
Quelle: http://www.studie-deutschland-online.de
Jahr Anzahl Hosts(weltweit)
1969 4
1995 6.642.000
2007 1.319.872.109
Einleitung und Motivation
Steigende UnsicherheitViele Benutzer = Anonymität„Schwarze Scharfe“ sind schwer zu identifizieren
Bist du wirklich sicher mit deiner BANK verbunden zu sein?
Adressverifikation ist notwendig
Neue Services (besonders multimediale)Neue Anforderungen an QoS
managebare Lösungen zur Unterstützung der
neuen Services
4
Herausforderungen
VoIP (Notrufe)
SPAM
Phishing
P2P Unterstützung
5
Einleitung und Motivation
FestnetzLeitungsvermitteltTelefonnummer dient zur IdentifizierungDirekte ortsgebundene Beziehung gegeben
InternetPaketvermitteltIP Adressen sind nicht „eindeutig“Keine ortsgebundene Beziehung
6
Festnetztelefonie vs. Internet
Trust by Wire
Trust by Wire
7
???
Geht das überhaup
t?
Wie nutzbar
machen?
Wo verifiziere
n?
Wie verifiziere
n?
Woher kommen
sie?
Kein “Trust by Wire” im Internet
Nutzung gesicherter
Ortsinformationen!
Wo einbetten?
Header
8
IP PaketPayload
IP Option
Type Length ValueIPclip = IP Calling Line Identification Presentation
Nutzung gesicherter Ortsinformationen
Aufbau einer IPclip - Option
9
Geoinformationen werden in jedem IP Paket hinzugefügt
Nutzung gesicherte Ortsinformationen
Wo werden die Ortsinformationen eingefügt?
10
IPclip
Nutzung gesicherter Ortsinformationen
Aufbau einer IPclip - Option
11
Erweiterung der IPclip-Option um Access Port & AN ID
Nutzung gesicherte Ortsinformationen
Wie arbeitet IPclip?
12
IPclip stellt Trust-by-Wire in IP Netzwerken wieder her
Ortsinformationen (z.B. GPS) in jedem IP Packet
Wie werden die Ortsinformationen verifiziert?
13
Vertrauensmanagement garantiert gültige Ortsinformationen
Hinzugefügt durch Benutzer oder Access Node
• Benutzer sendet Ortsinformationen• Gültigkeit der Ortsinformationen wird
verifiziert• IPclip setzt Status Flags in Abhängigkeit der Vertrauenswürdigkeit von Ortsinformationen
Status Field
Removal Flag
Peering Flag
Source Flag
Trustability Flag
IPclip – Verifikation der Ortsinformation
14
Vertrauensmanagement garantiert gültige Ortsinformationen
Quelle / Vertrauens-würdigkeit
Bedeutung Flags
LI vom User /Nicht vertrauenswürdig
User LI inkorrekt
00
LI vom User /Vertrauenswürdig
User LI korrekt 01
LI vom Netzwerk / Nicht vertrauenswürdig
User LI inkorrekt und ersetzt
10
LI vom Netzwerk / vertrauenswürdig
Keine User LI LI vom Netzwerk
11
Anwendungsszenarien
VoIP (Notrufe)
SPAM
Phishing
P2P Unterstützung
15
VoIP - Notrufe
16
ALICE Leitstelle
1. Schritt: Alice tätigt einen Notruf „SOS“
VoIP - Notrufe
17
2. Schritt: Ortsinformationen werden hinzugefügt
ALICE Leitstelle
VoIP - Notrufe
18
3. Schritt: Anruf zur Leitstelle => Verbindung hergestellt
ALICE Leitstelle
Anwendungsszenarien
VoIP (Notrufe)
SPAM
Phishing
P2P Unterstützung
19
Spam
20
Typischer Mailflow zwischen Alice und Bob (selbes Providernetz)
BobAlice
MTA1
MTA2A
B
Nutzer
Access Node(IPclip fähig)
Mail Transfer Agent
(IPclip fähig)
Spam
21
IPclip auf Layer 3 SMTP auf Layer 7
IP wird beim ersten MTA terminiertErste MTA kopiert IPclip-Ortsinformationen in den E-Mail-Header als SMTP-Option
Wie kann IPclip bei der Spam-Bekämpfung helfen?
From - <timestamp>X-IPCLIP-STATUS: 1100X-IPCLIP-TYPE: GPSX-IPCLIP-INFO: <LATITUDE; LOGITUDE>X-IPCLIP-PORT: XX-IPCLIP-AN: AX-IPCLIP-MTA:
MX.SENDERHOME.NET[86.165.10.2]Return-Path: <[email protected]>Received: from ...
Spam
22
4 notwendige Unterscheidungen
IP Option SMTP Option Interpretation
1. MTA Fügt SMTP Option ein
E-Mail kommt aus anderer Provider Domain
Nicht der 1. MTA E-Mail weitergeleitet
Irgendetwas ging schief Besondere Behandlung erforderlich
Anwendungsszenarien
VoIP (Notrufe)
SPAM
Phishing
P2P Unterstützung
23
Phishing
24
Beschaffen von Konto- oder Online Shop Login-Daten
Problem: Phishing Attacken nehmen rasant zuAusspähen von privaten Kontodaten (registrierte Fälle beim BKA)
Lösung: Vorgehen wie bei Anti SpamVerifizierte Ortsinformationen in jedem IP Paket
Trigger zum Erkennung einer Phishing AttackeEinsatz von Honeypots zur Erkennung von PhishernTracing zum Ursprung des Paketes möglich
Jahr “gePhishte” Konten (Deutschland)
Durchschnittlicher Schaden
2006 3500 2500 €
2007 4200 4250 €
Anwendungsszenarien
VoIP (Notrufe)
SPAM
Phishing
P2P Unterstützung
25
P2P Unterstützung
26
P2P Daten = massiver Anteil am Gesamtdatenverkehr
Bedeutung von P2P steigt weiter!
P2P-Unterstützung
27
Beispiel: Videostreaming (Joost, Zatoo, Bubblegum)P2P Anwendungen (eMule, …)
Am Beispiel von JoostEinsatz eines hybriden Netzes Clients verteilen Daten Server liefert Video-Fragmente die Clients noch nicht haben
Wo ist das Problem?Netzressourcen sollen optimal genutzt werden!=> Finden „naher“ Peers
Wie kann IPclip P2P-Datenverkehr unterstützen?
P2P Unterstützung
28
Lösung: Entfernung über TTL-Wert messenIPclip dient als generischer Container
Access Node fügt HOP COUNT zu IP Paket hinzuAnwendung wertet TTL-Wert aus
Entfernung = START TTL – Ziel TTL
Anwendung wählt nahen Peer ausNetzressourcen werden geschontPerformanceverbesserung der P2P-Software
Wie kann IPclip P2P-Datenverkehr unterstützen?
Hardware Prototyp
29
Xilinx Virtex4 FX20 EntwicklungsboardSpeed: 1 Gbit-Ethernet
„It really works“
Zusammenfassung
30
• IPclip ist ein generischer Container innerhalb von IP-Paketen für Ortsinformationen, TTL , …
• IPclip garantiert Vertauenswürdigkeit (Trust-by-Wire)• FPGA-Hardwarelösung
• 1. Trigger für Anwendungsprogramme
• 3. Hilfe zur Klassifikation anhand der Vertrauens- würdigkeits -Flags (Anti Phishing, Anti SPAM)
Mehrwert des vorgestellten Ansatzes
• 4. Höhere Genauigkeit bei der Verfolgung von IP- Paketen (Anti Phishing, Anti SPAM)
• 5. Unterstützung von P2P traffic (Schonung von Netzressourcen)
• 2. Unterstützung von VoIP-Nutrufen durch mitgesendete Ortsinformationen
Backup
32
3333
Mail flows zwischen Alice, Bob & Peter(unterschiedliche Provider Netze)
Bob
Peter
Alice
Provider Domain 1
Provider Domain 2
MTA1 B
MTA3
A
C
MTA4
MTA2
D
E
PeeringFlag
Border Gateway(IPclip-capable)
Access Node(IPclip-capable)
User Host
Mail Transfer Agent(IPclip-capable)
Status Field
Removal Flag Peering Flag Source Flag Trustability Flag
Anti SPAM Framework mit IPclip
Ja, jedoch können gefälschte Ortsinformationen erkannt
werden!
Der 1. MTA weiß der er der 1. MTA ist
Ortsinformationen in IP existieren nur bis zum 1. MTA
Ortsinformationen in SMTP Optionen existieren nicht am 1. MTA
3434
Können Ortsinformationen in SMTP gefälscht sein?
Vergleich DKIM, SPF, IPclip
35
DKIM SPF IPclip
Performance impact associated with
scanning, encrypting and decrypting
messages
Internet domain owner must publish a complete list of
every allowed network path
Packet processing in wire speedNo „forwarding problem“
No 100 % spam protection
No 100 % spam protection
Another trigger for classifying/tracing spam
Wie unterscheidet Ipclipim Vergleich zu DKIM, SPF
Wo befindet sich IPclip im IPv6-Paket?
36
IPclip Module
37
