Embed Size (px)
Citation preview
„Web-Zugang und
Internet S
icherheit“
Dr. S
tephen Heilbronner e
t al.
Prof. D
r. Heinz-G
erd Hegering
SoSe 2008
Integrierte
IT-Service
-Management-
Lösungen anhand vo
n Fallstu
dien
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 2
Sich
erheitsd
ienste
großer IT
-Infra
struktu
ren
=> Überblick
Sicherer Z
ugang
Sich
erer Ü
bergang
zum W
orld
Wide W
eb
zum In
ternet:
(HTTP, FTP etc.)
Fire
walls u
nd
Intru
sion Detectio
n
Verze
ichnis-
dienste
Sich
ere Email
Sich
ere Kommunika
tion:
(SMTP etc.)
Virtu
ell P
rivate Netze
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 3
Web-Zugang
Grundprin
zip
�Zugriff a
uf W
WW-Serve
r durch
WWW-Clients:
•1. B
rowser
•2. a
ndere, „a
utomatisch
e“ P
rogramme
�Form
ate:
•Nich
t nur H
TML !
•Auch: W
ML, X
ML, b
eliebige Dateiform
ate
Web S
erver
HT
ML P
agesinkl. JavaS
cript
HT
ML
JavaScript
Brow
ser A
nfrage A
nfrage
Content
CG
I-S
cript
JSP
EJB
HT
TP
-GE
T
HT
TP
Antw
ortA
ntwort
HT
TP
-R
esponse
AS
P
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 4
Web-Zugriff
Veränderte
Nutzu
ung des H
TTP-Protokolls
�Ursp
rünglich
e Verwendung vo
n HTTP:
•Übertra
gung sta
tischer H
TML-Seiten bzw
. Dateien
•keine Untersch
eidung zw
. Anfra
genden
�Heutige W
eb-Zugriffe
sind....
•... n
icht n
ur m
ehr vo
m Typ „R
equest/R
esponse“.
•finden m
eist in
einem längerdauerndem Kontext („S
essio
n“)
statt, z.B
. zur
�Individ
ualisie
rung der a
nsonste
n anonym
em Anfra
genden bzgl.
-Spracheinste
llungen
-„Theming“ d
er W
ebseite (L
ayout-E
inste
llungen)
�Identifizie
rung / A
uthentisie
rung
-„Zuordnung langlebiger M
erkm
ale/Resso
urce
n“
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 5
Web-Zugang
Entwicklu
ng des H
TTP Protokolls
�„Hyperte
xt Transfe
r Protocol“
Protokoll-T
yp: „R
equest/R
esponse“
�HTTP 1.0 nur g
edacht n
ur fü
r „kurze
“ Verbindungen:
⇒ 3-W
ay T
CP- Handshake beim Verbindungsaufbau aufwendig
�HTTP 1.1 lä
sst die TCP-Verbindung nach Übertra
gung
persiste
nt b
este
hen:
⇒ Keine Handshakes b
eim Abbau/W
iederaufbau
•Effizie
ntere und sch
nellere Übertra
gung kle
iner
Inform
ationsm
engen (⇒ weniger V
erzö
gerungen (la
tency) )
�Integration m
it HTTP Proxie
s:
•Zieladresse
nich
t mehr d
irekt a
dressie
rt mit T
CP/IP
•Alle Adressie
rungsin
fo daher n
ur im
HTTP-Header
Weitere Literatur:
http://d
e. wikip
edia.org/wiki/H
yperte
xt_Transfe
r_Protocol
http://e
n.wikip
edia.org/wiki/H
TTP_cookie
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 6
Web-Zugang
„Web Sniffe
r“
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 7
Web-Zugang
Web-Arch
itektu
r mit P
roxie
s (HTTP)
HT
ML
Brow
serW
eb Server
HT
ML P
agesinkl. JavaS
cript
Content
HT
TP
Anfrage
Anfrage
Antw
ortA
ntwort
CG
I-S
cript
JSP
EJB
HT
TP
-GE
T
HT
TP
-R
esponse
ProxyC
ache
HT
TP
Anfrage
Anfrage
Antw
ortA
ntwort
Filter
Log
Auth
HT
TP
HT
TP
-R
esponse
In der P
raxis:
�Kette oft m
ehrfa
ch wiederholt: „P
roxy C
haining“
�Großzügige Proxy-A
usle
gung wich
tig für:
•Multim
edia-Stre
aming in Echtze
it
•„Pre-pushed co
ntent“
Mehr zu
desse
nArch
itektu
rim Ju
ni
Cache
Entries
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 8
Web-Zugang
Proxie
s (für H
TTP)
�HTTP ist
•entweder a
nonym
, oder
•Authentisie
rungs-In
form
ation im
Header
�Autorisie
rende Proxie
s unterbrechen den Fluß zu
m Serve
r
•ersch
einen dem Client g
enauso wie gesch
ützte
Serve
r
•verla
ngen Authentisie
rung vo
m Benutze
r
•filte
rn diese vo
r Weitergabe wieder h
eraus
�echter S
erve
r benötigt dann eventuell w
eitere Autorisie
rung
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 9
Web-Zugang Exku
rs:AAA
�Authentisie
rung
•Festste
llung der Id
entitä
t
•Im
plementierung:
�Abfra
ge Benutze
rname/Passw
ort
�Keyca
rd
�Autorisie
rung
•Festle
gung der N
utzu
ngsre
chte
•hier: W
elch
e weiteren Zugriffe
sind erla
ubt ?
�Acco
unting
•Aufze
ichnung ve
rrechnungsre
levanter N
utzu
ngsdaten
•Aggregation der D
aten
•Ziel: V
erre
chnung der N
utze
n
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 10
AAA:
Übertra
gung vo
n Autorisie
rungs-In
form
ation
�Cookie
s
•Kleine „S
tücke
von In
form
ation“
•Inhalte vo
m Serve
r festg
elegt
•Browser ste
llt sie bestim
mten
Serve
rn zu
r Verfü
gung
•lange Lebensdauer
�HTTP-Basic/D
igest
•Authentisie
runginform
ation
im HTTP-Header
�Oder: Im
URL ko
diert
•„Sessio
n-ID
‘s“Wie sie
ht so
etwas a
us ?
...
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 11
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 12
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 13
Web-Proxie
sServe
r Backe
nds: A
nforderungen
�Abfra
ge vo
n In
form
ationen fü
r Authentisie
rung und Autorisie
rung
•Benutze
r
•Jeweilig
e Rechte
•Nutzu
ngsze
iten
•Sonstig
e Vorbelegungen (G
UI)
�Aufze
ichnung der N
utzu
ngsdaten
•Acco
unting
•Leistu
ngsm
anagement
�Prüfung vo
n In
halten
•Angefra
gte URLs
•Empfangene Daten
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 14
Web-Proxie
sServe
r-Backe
nds: Im
plementierungen
�Datenbank
•Vorzu
haltende In
form
ation
�Autorisie
rung: N
ame/Passw
ort
�Autorisie
rung: W
elch
e Bereich
e dürfe
n erre
icht w
erden?
�.....
•Zugriffsp
rotokolle
�ODBC für S
QL-Datenbank
�RADIUS (R
emote Acce
ss and DialIn User S
ervice
�LDAP (L
ightweight D
irecto
ry Acce
ss Protocol)
�Logging
•Logdatei aus P
erfo
rmanz-G
ründen (ke
ine DB!)
�Weitere Dienste
•Spezie
lle Protokolle
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 15
Typisch
es N
utze
rverhalten 2001 bis 2
004:
Ziele aus g
roßen IT
-Infra
struktu
ren
Destin
atio
nR
equest
%B
ytes
%hit-%
<erro
r>
33683
12.8
439721881
3.4
15.3
8
*.t-o
nlin
e.de
8765
3.3
419083028
1.6
466.7
7
*.b
ild.d
e8282
3.1
655732135
4.7
946.6
1
*.d
oublec
lick.n
et5061
1.9
37087115
0.6
19.2
7
*.w
eb.d
e4917
1.8
724289001
2.0
935.6
7
*.a
kam
ai.n
et4884
1.8
67574273
0.6
587.2
4
*.xxxxxxxxxxxxxxxxx.de
4098
1.56
14681246
1.2668.64
*.su
eddeu
tsche.d
e3768
1.4
413554644
1.1
638.9
6
*.co
nso
rs.d
e3133
1.1
96986643
0.6
069.0
4
*.b
oerse
.de
2831
1.0
811167450
0.9
672.4
5
*.ly
cos.d
e2796
1.0
722830497
1.9
665.2
4
*.m
icroso
ft.com
1898
0.7
214627786
1.2
654.7
4
*.b
r-onlin
e.de
1761
0.6
73545059
0.3
073.2
5
*.e
bay.co
m1623
0.6
22222164
0.1
991.4
4
*.y
yyyyyyyyyyyyyyy.d
e1599
0.6
13464164
0.3
049.4
7
*.g
mx.n
et1483
0.5
711860845
1.0
20.2
0
oth
er: 2
691 2
nd-lev
el-dom
ain
s160337
61.1
3854876K
75.2
048.8
7
Sum
262293
100.0
01136733K
100.0
043.3
5
2004
2001
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 16
Web-Proxie
sEin paar G
edanken zu
Optim
ierungspotentialen....
�Hit/M
iss-Rate:
•Anzahl: ca
. 1/3 Treffe
r
•Größe: ca
. 1/4 Treffe
r
•2/3 aller A
nfra
gen werden
verla
ngsamt
�Nutzu
ng über T
agesze
it
•Mitta
gs N
ICHT weniger :-)
�Serve
r-seitig
e Optim
ierung der Ü
bertra
gung?
•Header „L
AST-M
ODIFIED“ m
itschicke
n
•Explizite
Inform
ationen zu
„EXPIRES“ (z.B
. in 10 M
inuten)
•Grafike
n/In
halte browser-sp
ezifisch
aufbereiten
•Inhalte ko
mprim
ieren (G
Z)
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 17
Caching Proxie
sStatisch
e Ausle
gung
�Platte
nplatzb
edarf:
•Statistisch
e Fragen
�Wie häufig wird
auf w
elch
e Seiten zu
gegriffe
n?
�Wie sch
nell ve
ralten welch
e Seiten?
•Nutze
n vs. V
erwaltungsaufwand berücksich
tigen
•Typisch
e, sin
nvolle Größe ??
�Welch
e Schlüsse
zieht m
an aus d
er B
eobachtung:
•80 %
der S
eiten im
Cache ve
ralten
innerhalb eines T
ages...
•Brin
gt e
in großer C
ache wirklich
so vie
l ..... (nein, a
ber ....)
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 18
Caching Proxie
sDynamisch
e Ausle
gung
�Anzahl P
rozesso
ren
•Anzahl parallel la
ufender Z
ugriffe
(HTTP 1.1 vs 1
.0)
•Wievie
l kann ein Prozesso
r davon abwicke
ln ?
�Wie ist d
as V
erhalten bei Ü
berlast ?
�Toleranz d
er B
enutze
r ?
•Entsch
eidend sin
d Zusatzd
ienste
:�Vire
nsca
nning für H
TTP/FTP => hohe Prozesso
rlast
�Multim
edia-Stre
aming
�Weitere lim
itierende Fakto
ren
•Zugangsbandbreiten eingehend
•Zugangsbandbreiten abgehend
•Zugriffsch
arakte
ristik für H
intergrundspeich
er
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 19
Vire
nsca
nning
Implementierung
�Scanner im
HTTP-Stro
m
•unterbrich
t Zugriff b
ei
�Erke
nnung Virenmuste
r�Zugriff a
uf bestim
mte Seiten
•Problem:
�Gesamter S
trom muß gefilte
rt werden (a
uch HTML)
�besse
r wäre:
Proxy „p
räsentiert“ d
em Scanner n
ur W
ichtiges....
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 20
Origin
Serve
rClient
Proxy
(ICAP Client)
Viren-
Scanner
45
8 9
1 6
URL-
Filte
rAd
insertio
n
3
26
7
•TrendMicro
•Symantec
•WebWasher
Beispiele:
•Network Appliance
•Bell Labs
Exku
rsInternet C
ontent A
daptation Protocol
�ICAP-Serve
r nur fü
r „bestim
mten“ C
ontent re
gistrie
rt
•somit: K
ein Durch
schleusen des g
esamten HTTP-Stro
ms
Weitere Literatur:
http://w
ww.i-ca
p.org/docs/ica
p_whitepaper_v1-01.pdf
http://d
e. wikip
edia.org/wiki/IC
AP
Trans-
lation
89
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 21
Sich
erheitsd
ienste
für g
roße Firm
en
=> Teil 2
: Fire
walls
Sich
erer Z
ugang
Sich
erer Ü
bergang
zum W
orld
Wide W
eb
zum In
ternet:
(HTTP, F
TP etc.)
Fire
walls u
nd
Intru
sion Detectio
n
Verze
ichnis-
dienste
Sich
ere Email
Sich
ere Kommunika
tion:
(SMTP etc.)
Virtu
ell P
rivate Netze
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 22
Fire
walls
Einsatzzw
eck
�„A Fire
wall h
elps you to
keep unauthorized users fro
m
accessing your n
etwork resources. „
•Zugriffsre
chteverwaltung fü
rKommunika
tionsbezie
hungen (A
ccess Contro
l Policy)
�Grundprin
zip:
•Alles ist (zu
nächst) p
rinzip
iell g
esperrt.
•Kommunika
tionsbezie
hungen werden einzeln erla
ubt.
�=> ALLE Bereich
e des N
etzzu
gangs w
erden ta
ngiert!
�Festle
gung der K
onfiguration in großen IT
-Infra
struktu
ren
•Ite
rative
r Prozeß in Abstim
mung m
it vielen Beteilig
ten
•Unterlie
gt stä
ndigem „C
hange M
anagement“
•Umgehung durch
Tunnellin
g ve
rmeiden
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 23
Internet-Ü
bergang
Arch
itektu
r
Abteilung
1
Außenste
lle
Internes N
etz
Abteilung
2Abteilung
n
Öffentlic
hes Netz /
Internet
Demilita
risierte
Zone
(DMZ)
DNS-Serve
r,
Web-Proxy
Web-Serve
r
Mail-R
elay
....
RAS
Backu
p
Mail-H
ost
Intra
net
Dienste
Firewall
Unternehmensnetz
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 24
Fire
walls
Überblick
Bitübertra
gung
Verm
ittlung (N
etz)
Bitübertra
gung
Verm
ittlung (N
etz)
IP A
RP IC
MP
Sich
erung
Sich
erung
Transport
Transport
TCP
UDP
Anwendung
Anwendung
HTTP SMTP D
NS
Telnet H
TTP
Client
Serve
r
Stateful In
spectio
nKontext e
iner K
ommunika
tionsbezie
hung wird untersu
cht
z.B. T
CP-Stro
m, U
DP-Request/R
esponse-Paare
Packet Filte
ring
Untersu
chung des P
aket-H
eaders
Keine Untersu
chung über m
ehrere Pakete hinweg
(Stateless In
spectio
n)
Applicatio
n Level G
ateway
Unterbrechung der K
ommunika
tionsbezie
hung
Eigene Protokollm
asch
inen für je
des A
nwendungsprotokoll
z.B. E
mail-S
MTP: S
tate der P
rotokollm
asch
ine
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 25
Fire
walls
Packe
t Filte
ring
�Filte
rung erfo
lgt n
ach Bitm
uste
rn im
Paket-H
eader, z.B
.
•IP-Absenderadresse
, IP-Zieladresse
•Protokolltyp
: TCP / U
DP / IC
MP ....
•Portn
ummern als In
diz fü
r Dienst, z.B
.�Port 8
0/TCP und 44s/T
CP für H
TTP /H
TTPS
�Port 2
5/TCP für S
MTP (E
mail)
�Port 2
2/TCP für S
SH
�Port 5
3/UDP für D
NS
Verm
ittlung (N
etz)
Transport
Ziel-
adresse
Port 2
5, 80, ...
TCP, U
DP,
ICMP
Bitübertra
gung
Verm
ittlung (N
etz)
Bitübertra
gung
Verm
ittlung (N
etz)
Sich
erung
Sich
erung
Transport
Transport
Anwendung
Anwendung
Client
Serve
r
Packet F
iltering
Untersu
chung des Paket-H
eaders
Keine Untersuchung über m
ehrere Pakete hinweg
(Stateless In
spection)
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 26
Packe
t Filte
ring
Bewertu
ng
�Vorte
ile
•tra
nsparent, ke
ine sp
ezie
lle Anpassu
ng im
Netzw
erk n
ötig
•flexib
el, je
des g
ängige Client/S
erve
r-Protokoll w
ird unterstü
tzt
•gerin
ge Koste
n
•hoher D
urch
satz, in
Routern hoch-perfo
rmant im
plementierbar
�Nachteile
•Regelsä
tze sta
rr und sch
wer zu
verwalten
•unzureich
ende Authentifizie
rung (IP
-Adresse
nich
t verifizie
rbar)
•Gefälsch
te In
form
ation in Anwendungsprotokollen (z.B
. Mail-
Header) kö
nnen in das in
terne Netz g
elangen.
Bitübertra
gung
Verm
ittlung (N
etz)
Bitübertra
gung
Verm
ittlung (N
etz)
Sich
erung
Sich
erung
Transport
Transport
Anwendung
Anwendung
Client
Serve
r
Packet F
iltering
Untersu
chung des Paket-H
eaders
Keine Untersuchung über m
ehrere Pakete hinweg
(Stateless In
spection)
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 27
Stateful In
spectio
nÜberblick
�Auch: „S
tateful In
spectio
n, S
mart F
ilterin
g, A
daptive
Scre
ening“
�Zustä
nde der „V
erbindungen“ w
erden analysie
rt, z.B.
•Verbindungsauf- u
nd abbau
•Dauer d
er V
erbindung
�Verwnedung zu
sätzlich
zum Packe
t Filte
ring
�Dynamisch
e Reaktio
n des F
ilters w
ird re
alisie
rt, z.B.:
•Datenpakete werden nur fü
r etablierte
Verbindung akze
ptiert.
•Ausgehendes U
DP-Paket
öffn
et e
in Zeitfe
nste
r fü
r nachfolgende
Antwortp
akete.
�Beste
„einfache“ L
ösung
Verm
ittlung (N
etz)
Transport
Beispiele:
•„Wie lange besteht die Komm.bezie
hung schon?“
•„Gab es ein ausgehendes TCP SYN vor d
em ACK?“
Bitübertra
gung
Verm
ittlung (N
etz)
Bitübertra
gung
Verm
ittlung (N
etz)
Sich
erung
Sich
erung
Transport
Transport
Anwendung
Anwendung
Client
Serve
r
Stateful In
spectio
nKontext e
iner K
ommunik
ationsbezie
hung w
ird untersucht
z.B. T
CP-Strom
, UDP-Request/R
esponse-Paare
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 28
Aufbau
TCP-Verb.
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 29Aufbau
TCP-Verb.
HTTP-
Anfra
ge
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 30
Aufbau
TCP-Verb.
HTTP-
Anfra
ge
Antwort
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 31
Applica
tion Level G
ateways
Überblick
�Eigene Protokollin
stanz fü
r jedes A
nwendungsprotokoll
�Typisch
e M
anipulationen und Prüfungen
•Entsch
eidung, o
b Protokollsch
ritte ausgeführt b
zw. D
aten
übertra
gen werden.
�Ist d
ieser A
blauf (S
chritte
/Inhalte) in
haltlich
zulässig
?�„W
ird Email m
it diesem Inhalt vo
n diesem Mail-R
elay
akze
ptiert?
“
•Einhaltung des P
rotokolls
�Hat sich
die andere Protokollin
stanz „ko
rrekt“ ve
rhalten?
•Port-U
msetzu
ng
•Anonym
isierung des V
erke
hrs
Bitübertra
gung
Verm
ittlung (N
etz)
Bitübertra
gung
Verm
ittlung (N
etz)
Sich
erung
Sich
erung
Transport
Transport
Anwendung
Anwendung
Client
Serve
r
Applicatio
n Level G
ateway
Unte
rbrechung
der K
ommunika
tionsbeziehung
Eigene Protokollm
aschinen für jed
es A
nwendungsprotokoll
z.B. E
mail-S
MTP: S
tate der P
rotokollm
aschin
e
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 32
Vergleich
Paketfilte
r A
pplica
tion Level
Gateway
�Anwendungsdaten und -P
rotokolle
werden geprüft u
nd gefilte
rt
�geringere Perfo
rmanz, d
aaufwendige und tie
fgreifende
Prüfung und Filte
rung
�Regelwerk ka
nn dynamisch
und
flexib
el angepasst w
erden
�hohes S
icherheitsn
iveau
�i.a. n
ur D
aten der V
erm
ittlungs-
/Transport-P
rotokolle werden geprüft
und gefilte
rt
�hohe Perfo
rmanz, d
a nich
t bis
Anwendungsebene geprüft w
ird
�Regeln werden sta
tisch definiert
�niedrig
eres S
icherheitsn
iveau
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 33
Rückb
lick auf F
irewalls
�Trennung und Filte
rung des in
ternen / e
xternen Netzve
rkehrs
�Vorte
ile heutiger F
irewalls (b
zw. d
eren Im
plementierung)
•einfache Regelung des N
etzve
rkehrve
rkehrs
•Unterstü
tzung und Prüfung aller w
ichtigen Protokolle:
IP, U
DP, T
CP, A
nwendungsprotokolle
•Verbergen der in
ternen Netzstru
ktur (d
urch
„NAT“)
�Nachteile vo
n Fire
walls in
großen Netze
n
•Regelwerk sch
nell u
nübersich
tlich
•häufige Konfigurationsänderungen notwendig
�Komplexes C
hange Management
•bei grosse
m Netzve
rkehr p
otentieller E
ngpaß
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 34
Intru
sion Detectio
n Syste
m (ID
S)
Überblick
�Funktio
n
•beobachten bösw
illige Aktivitä
ten (m
alicious activitie
s)
•inform
ieren über A
ktivitäten (A
larm
)
•initiie
ren ggf G
egenmaßnahmen (R
esponse)
�Typisch
e Besta
ndteile
•Agent (a
uf H
ost) - H
ost-b
asie
rte ID
(1)
•Sensor (fü
r Netz) - N
etz-b
asie
rte ID
(2)
•Managementko
nsole
Analogie: „A
larm
anlage“
• Räume und Flure werden m
it
Bewegungsmelder a
usgestatte
t.
• Fensterscheiben werden auf D
ruck,
Schlag und Risse geprüft
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 35
Host-b
asie
rte ID
SPrin
zip�Softw
are AUF dem überwachten Host
�Prüfung vo
n:
•Veränderung vo
n Konfigurations- u
nd Programmdateien
�Berechnung vo
n Hash-Prüfsu
mmen über D
ateien
•Netzw
erka
ktivität (P
ort-Z
ugriffe
)
•Ausw
ertu
ng vo
n Log-Dateien, B
enutze
r- und Prozessve
rhaltens
�Typisch
e M
aßnahmen:
•Alarm
an M
anagementko
nsole
•Sperru
ng vo
n Dienste
n o
der B
enutze
r-Acco
unts
•„Port-B
anner“ sim
ulieren
(Unterbrechung TCP-Stro
m)
Intru
sion
Detectio
nSyste
m
Demilita
risierte
Zone
DNS-Serve
r,
Web-Proxy
Web-Serve
r
Mail-R
elay
....
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 36
Netz-b
asie
rtes ID
SÜberblick
�IDS Sensor ist S
oftw
are auf u
nabhängigem Host („P
aket-S
niffe
r“)
�„In
tellig
ente“ K
opplung der R
egelwerke
von ID
S + Fire
wall
�Prüfung und Analyse
der:
•Datenströ
me zw
ischen einzelnen Rechnern / N
etzse
gmenten
•Netzla
st innerhalb des g
eprüfte
n Bereich
s
�Gegenmaßnahmen (ä
hnlich
host-b
asie
rter ID
)
•Alarm
an M
anagementko
nsole
•Term
inierung vo
n Verbindungen
•Aufze
ichnen der K
ommunika
tion
•Situative
Änderung
der F
irewall-
Regeln
Öffe
ntlich
es
Netzw
erk /
Internet
Internes N
etz
Firewall
IDS
Sensor
Intru
sion
Detectio
nSyste
m
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 37
Intru
sion Detectio
n Syste
mZusammenfassu
ng
�Kontro
lle der H
osts u
nd der N
etzla
st
•Nutzu
ng zu
r Erke
nnung vo
n Angriffe
n
•Kein Ersa
tz für a
ndere Sich
erheitsve
rfahren
�Intellig
ente“ K
opplung der R
egelwerke
von ID
S + Fire
wall
zur d
ynamisch
en Regelanpassu
ng
�Einsetzb
ar im
internen und im
exte
rnen Netz
�Nachteile:
•Kopplung m
it Fire
wall o
der a
utomatisch
e Gegenmaßnahmen
bedürfe
n der so
rgfältig
en Analyse
...
•Hoher K
onfigurationsaufwand fü
r Pflege „e
rlaubter“ V
orgänge
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 38
Das w
ärs fü
r heute ...
�Fragen / D
iskussio
n
�Verbesse
rungsvo
rschläge
�Die Folien vo
n heute ko
mmen auf d
ie W
eb-Seite der V
orle
sung
(zusammen m
it einigen URLs).
�Einen sch
önen Abend !!!
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 39
Fortse
tzung am 8. M
ai...
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 40
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 41
Typisch
es N
utzu
ngsve
rhalten: Z
eit
Tim
eR
equests
Byte
sIn
com
ing K
B/S
06:0
093
607K
10.9
9
07:0
012363
61M
6.9
2
08:0
017503
86M
7.5
8
09:0
022090
86M
8.0
3
10:0
024026
105M
7.1
6
11:0
023902
96M
5.3
3
12:0
025270
117M
5.5
2
13:0
030828
141M
7.0
9
14:0
026642
117M
6.1
5
15:0
032853
129M
5.3
7
16:0
023527
95M
4.8
2
17:0
010345
33M
3.8
9
18:0
04947
19M
8.6
8
19:0
02538
7556K
2.4
2
20:0
02415
7104K
6.6
9
21:0
02727
7349K
3.2
5
22:0
095
694K
14.6
5
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 42
Proxie
s:Zusammenfassu
ng
�Verm
inderung des N
etzve
rkehrs
•Bedienung aus d
em Cache
�Verbesse
rung der A
ntwortze
iten
•nur b
ei sta
tischem Content
�Abrechnung
•Aufze
ichnung Nutzu
ngsdaten
•Koste
nste
llenspezifisch
e Zuordnung
�Sich
erheitsp
olicy
•Im
plementierung an einem „S
ingle Point o
f Enforce
ment“
•Verhinderung unerwünsch
ter Z
ugriffe
ITSMVL
Dr. S
. Heilbronner
Dr. M
. Nerb et al.
(C) 2
008
Seite 43
Netz-b
asie
rtes ID
S (3
)Intru
sion
Detectio
nSystem
Abteilung
1
Außenste
lle
Internes N
etz
Abteilung
2Abteilung
n
Öffentlic
hes Netz /
Internet
Demilita
risierte
Zone
DNS-Serve
r,
Web-Proxy
Web-Serve
r
Mail-R
elay
....
RAS
Backu
p
Mail-H
ost
Intra
net
Dienste
Firewall
