Prof. Dr. Norbert Pohlmann

Institut für Internet-SicherheitFachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de

Internet-Infrastruktur unter dem Gesichtspunkt der IT-Sicherheit

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

2

Inhalt

Internet-Infrastruktur

Unabhängig abhängig

Geordnetes Chaos

Die globale Sicht auf das Internet

Zusammenfassung

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

3

Inhalt

Internet-Infrastruktur

Unabhängig abhängig

Geordnetes Chaos

Die globale Sicht auf das Internet

Zusammenfassung

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

4

Internet-Infrastruktur Eine globale Herausforderung

Geschäftliches Handeln erfordert Sicherheit, Vertrauen und Verfügbarkeitin allen gesellschaftlichen und wirtschaftlichen Bereichen!

Das Internet geht über alle geographischen Grenzen, politischen/administrativen Grenzen und Kulturen hinaus und stellt somit eine neue und ungewohnte Herausforderung für die internationale Gesellschaft dar.

Mit dem Internet haben wir einen erhöhten Aktionsradius und eine starke Abstraktion zwischen Handlung und Wirkung.Dies führt zu einem mangelnden Unrechtsbewusstsein und verlangt einen bewussten Umgang mit der elektronischen Welt.

Die Geschwindigkeit, in der neue Anforderungen (ID-Management, Spam, Viren, Würmer, Trojaner und Passwort Fishing) auftauchen wird immer rasanter und damit steigt das Sicherheitsrisiko!

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

5

Internet-Infrastruktur Verteilung der Anwendungen

Aufschlüsselung nach Kommunikationsprotokollen(Bandbreite im Backbone international agierender IP-Carrier)

45% Web-Traffic (HTTP)

24% P2P-Tauschbörsen (Musik, Filme, …)

12% E-Mail (SMTP, POP3, IMAP)

7% Streaming-Protokolle

7% IP-Telefonie

5% Sonstiges

Quelle: http://www.heise.de/ct/05/07/088

45%

24%

12%

7%

7%5%

http

p2p

E-Mail

Audio/Video

VoIP

sonstige

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

6

Inhalt

Internet-Infrastruktur

Unabhängig abhängig

Geordnetes Chaos

Die globale Sicht auf das Internet

Zusammenfassung

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

7

Unabhängig abhängigInternet – ein „Netz aus Netzen“

Das Internet besteht aus mehr als 21.000 unabhängigen Netzen, so genannte Autonome Systeme (AS)

Autonome Systeme unterscheiden sich in Größe und räumlicher Ausdehnung sowie im Kerngeschäft und der Intention des Betreibers.

Gemeinsamer Nenner ist eine möglichst redundante Anbindung an andere Autonome Systeme.

Dazu benötigen die Autonome Systeme eine Strategie, wie sie sich miteinander verbinden, z.B. über Transit, Privat-Peering oder Public-Peering.

Zurzeit gibt es mehr als 45.000 logische Verbindungen zwischen den ASs

Unterschiedliche Typen von Autonomen Systemen

Große Firmen, z.B. Lufthansa, Deutsche Bank (41 %)

Internet Service Providers, z.B. IP-Carrier (35 %)

Universitäten (11 %)

Internet Exchange Points (2 %)

…7

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

8

Unabhängig abhängig „Internet Deutschland “

Die wichtigsten Autonomen Systeme

in Deutschland

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

9

Unabhängig abhängig Navigieren

Leitungen im Internet

Die physikalischen Leitungen im Internet sind in der Regel so ausgelegt, dass die reale Bandbreite nicht mehr als 50 Prozent der theoretischen Bandbreite ausmacht.

Routing

Komplexe Anforderungen an die Wegewahl zwischen Autonomen Systemen

IP-Pakete verlassen auch die Unternehmensgrenzen!

Wirtschaftliche und firmenpolitische Aspekte spielen bei der Wegewahl eine Rolle.

Existenz von bevorzugten Pfaden

Festlegung von Routing-Policies anhand der Beziehungen zwischen den Autonomen Systemen

Das Routing spielt eine wesentliche Rolle für die Stabilität des Internet!

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

10

Unabhängig abhängig Grenzposten

Border Gateway Protocol (BGP)

Zwischen Borderroutern der Autonomen Systeme existieren permanente Sessions

Initiales Austauschen aller Routing-Informationen ca. 185.000 Routen

Nachrichten zur Aktualisierung und zum Aufrechterhalten (Dieser Mechanismus ist immens wichtig für die Stabilität des Internets).

Nachbarn überwachen sich gegenseitig!

Entscheidungskriterien für die Wegewahl

Nutzungspreise der Verbindungen

Länge des Pfades von einem Autonomen System zum anderen

Lange Wege durch Vermeidung von teuren Transit-Strecken

Hot Potato vs. Cold Potato

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

11

Inhalt

Internet-Infrastruktur

Unabhängig abhängig

Geordnetes Chaos

Die globale Sicht auf das Internet

Zusammenfassung

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

12

Geordnetes Chaos im Internet Wer mit wem und warum?

Durch die Beziehungen und Größe der Autonomen Systeme ergibt sich eine formelle Hierarchie unter den Betreibern.

Connectivity des Internets<= 2 = 16.496 - 74 % (Tier 3)<=10 = 20.802 - 96 % >10 = 867 - 4 %>50 = 152 - 0,7 %>100 = 73 - 0,3 %>300 = 26 - 0,1 %

Nur wenige Provider (~13) sind “Global Networks” (Tier1)

Die Telekom hat 350 Verbindungen zu anderen AS.

Die meisten Verbindungen hat immer noch MCI mit 2.401

Wirtschaftliche Notwendigkeiten beeinflussen die Betreiber

Das kann zur einer Destabilisierung des Internets führen.

Wir benötigen eine Instanz, die eine Übersicht über die AS und deren Verbindungen pflegt.

12

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

13

Geordnetes Chaos im Internet Traffic: Eine Abschätzung

AutonomesSystem

PUBLICPEERING30 Peta Byte

PRIVATEPEERING50 Peta Byte

TRANSIT (Customer)150 Peta Byte

ASAS

TRANSIT (Global ISP)40 Peta Byte

ASAS

ASAS

ASAS

INTERNAL30 Peta Byte

100 Peta: DSL-Kunden50 Peta: Business-Kunden

1 Peta Byte = 1.000.000 Giga Byte

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

14

Inhalt

Internet-Infrastruktur

Unabhängig abhängig

Geordnetes Chaos

Die globale Sicht auf das Internet Internet Frühwarnsystem

Zusammenfassung

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

15

Internet-Analyse-System (IAS) Analogie

Lokale Sicht

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

16

Internet-Analyse-System (IAS) Analogie

Globale Sicht

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

17

Internet-Analyse-System (IAS) Idee

Beobachtung der kritischen Infrastruktur „Internet“.

Sonden werden an ausgesuchten Positionen des Internets zur Erfassung von Rohdaten in die Kommunikationsleitungeneingebunden.

Zählen nur von Header-Informationen, die nicht datenschutzrelevant sind.

System sammelt Informationen über einen großen Zeitraum!

Ein zentralesAuswertungssystem analysiert die Rohdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisseintuitiv dar.

Auswertungssystem

Sonde

Sonde

Sonde

Sonde

Internet

IAS

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

18

Internet-Analyse-System (IAS) Zählen von Header Informationen

Anzahl der Zähler z.Zt:- Max: 300.000

- Real-Ø: 20 bis 60.000

Nur Zähler

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

19

Internet-Analyse-System (IAS) Ziele

Beschreibung von Profilen, Mustern, Technologietrends und Zusammenhängen, Schaffung einer Wissensbasis

Überblick über den

aktuellen Zustand des Internets

Erkennen von

Angriffssituationen und Anomalien

Prognosen von Mustern und Angriffen

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

20

Internet-Analyse-System (IAS) Beispiele von Ergebnissen (1/5)

Transport-Protokoll Verteilung (Profil)

TCP

ESP

IGMP

ICMP

GRE

UDP

TCP89%

UDP7%

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

21

Internet-Analyse-System (IAS) Beispiele von Ergebnissen (2/5)

SYN-Scan (Potentieller Angriff)

Vergleich unterschiedlicher Zeiträume

Normal: SYN > SYN/ACK > 2xFIN/ACK

Diskrepanz: Normalverteilung zu Verteilung im Angriffsfall Angriffserkennung

SYN(31% - 52%)SYN/ACK

(26% - 19%)FIN/ACK

(43% - 30%)

Normale Verteilung Annormale Verteilung

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

22

Internet-Analyse-System (IAS) Beispiele von Ergebnissen (3/5)

SYN-Scan (Potentieller Angriff)

Scan-Zeitraum deutlich zu erkennen

SYN/ACK

FIN/ACK

SYN

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

23

Internet-Analyse-System (IAS) Beispiele von Ergebnissen (4/5)

HTTP MethodenTagesrhythmus

HEAD genutzt von automatischen Prozessen

GET und POST i.d.R. genutzt von menschlichen Nutzern

HEAD

GET

POST

GET92%

HEAD6% POST

2%

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

24

Internet-Analyse-System (IAS) Beispiele von Ergebnissen (5/5)

Browserverteilung (Technologie-Trend)

Tagesprofile, Keine Serverstatistik, sondern „Leitungsstatistik“

Unterschied zwischen manueller Nutzung (z.B. Internet Explorer und Firefox) und automatischer Nutzung (z.B. wget) zu erkennen.

FirefoxAndere (wget, etc)

Internet Explorer

Andere (wget, etc)

InternetExplorer

Mozilla Firefox

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

25

Internet-Verfügbarkeits-System Idee

Beobachtung der kritischen Infrastruktur „Internet“.

Dronen werden an ausgesuchten Positionen des Internets zur Erfassung von Verfügbarkeitsdaten eingebunden.

Es werden verschiedene Arten von Verfügbarkeiten gemessen

Wichtige Webdienste

DNS-Dienst

Kommunikationsverbindungen und Router

Mail-Dienste und –Server

Parameter: Dienstgüte: Funktionen, Fehlerrate, Jitter, Verzögerung, Paketverlust

Ein zentralesAuswertungssystem analysiert die Verfügbarkeitsdaten und Auswertungsergebnisse und stellt diese umfangreichen Ergebnisse intuitiv dar.

Drone Drone

Internet

Drone: aktive SondePlatzierung unabhängig von Dritten!

IVS

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

26

Internet-Verfügbarkeits-System Beispiele von Ergebnissen (1/2)

rapidshare.de

File Sharing Portal

Der größte Datenverkehr und die geringste Bandbreite ist zwischen 18:00 und 23:00 Uhr!

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

27

Internet-Verfügbarkeits-System Beispiele von Ergebnissen (2/2)

t-online.net

Informations-Portal

Verschiedene Routings haben einen Einfluss auf die Bandbreite

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

28

Inhalt

Internet-Infrastruktur

Unabhängig abhängig

Geordnetes Chaos

Die globale Sicht auf das Internet

Zusammenfassung

P

rof.

Dr.

Norb

ert

Pohlm

ann,

Inst

itut

für

Inte

rnet-

Sic

herh

eit

(ifis)

, F

H G

els

enki

rchen

29

Internet Zusammenfassung

Das Internet ist ein komplexes System mit zu vielen Sicherheitsproblemen!

Die Erfahrung zeigt, dass die physische und logische Infrastruktur des Internets überaus robust ist.

Die Grenzposten im Internet müssen sich auf neue Anforderungen im Bereich QoS vorbereitet.

Wir brauchen eine gemeinsame Internet-Kultur, wie wir mit dem Internet und seinen Diensten umgehen sollen.

Sichere Betriebssysteme, Trusted Computing, Self-Defending-Networks, usw. werden helfen, mehr Sicherheit im Internet zu bekommen.

Geordnetes Chaos

Bis jetzt hat das Chaos für den Erfolg des Internets gesorgt.

In Zukunft muss mit mehr Ordnung für einen weiterer Fortschritt gesorgt werden!

Die Autonomen Systeme müssen mehr zusammenarbeiten, damit das Ganze erhalten bleibt.

Schwarze Listen, gemeinsame Frühwarnsysteme, globale Sicht, usw.

Prof. Dr. Norbert Pohlmann

Institut für Internet-SicherheitFachhochschule Gelsenkirchenhttp://www.internet-sicherheit.de

Vielen Dank für Ihre AufmerksamkeitFragen ?

Internet-Infrastruktur unter dem Gesichtspunkt der IT-Sicherheit