Internet-Analyse-System (IAS)
Technische Sensorik für das nationale IT-Frühwarnsystem
Martin Bierwirth
Bundesamt für Sicherheit in der Informationstechnik
AFCEA Bonn, 16.02.2009
BSI, 122, Bierwirth 16.02.2009 Folie 2
Agenda
Motivation Konzept und Zielsetzung IAS Realisierung, Status Beispiel-Auswertungen Anomalieerkennung Zusammenfassung
BSI, 122, Bierwirth 16.02.2009 Folie 3
Warum IAS?
Konzeption und Entwicklung des Internet-Analyse-Systems als Beitrag zur IT-Krisenreaktion.
Hintergrund: Nationaler Plan zum Schutz der Informationsinfrastrukturen (2005), UP Bund (2007)
Nationales IT-Frühwarnsystem im BSI:
”Aufgrund belastbarer Erkenntnisse über drohende oder bereits eingetretene IT-Vorfälle, die noch möglichst wenige betreffen, wird ein nationales IT-Sicherheitslagebild fortgeschrieben und bei ausreichender Relevanz eine qualifizierte Warnung an potenziell betroffene Bereiche verteilt, um dort zu erwartende Schäden zu vermeiden oder zu verringern.“
BSI, 122, Bierwirth 16.02.2009 Folie 4
Datenschutzrechtlich unbe-denkliche Sensorik bereitstellen.
Zustandsbeobachtung durch verteilte Sensorik durchführen.
Vergleichbarkeit der Messungen zahlreicher Standorte u. Partner.
Konzept und Ziel des IAS
Entwicklungspartner: Institut für Internetsicherheit
Zeitraum: 2005-2008
BSI, 122, Bierwirth 16.02.2009 Folie 5
Fokus der Sensorik
Headerinformationen aus TCP/IP und aus wichtigen Anwendungsprotokollen:
D1: |||||||||||||||||||D2: |||||||||||||D3: |||D4: |||||||D5: ||||||||||||(„Deskriptoren“)
BSI, 122, Bierwirth 16.02.2009 Folie 6
Die Sensorik des IAS erfasst keine IP-Adressen, setzt TCP-Flows nicht zusammen, verwirft nach Abarbeitung eines Paketes seinen Kontext, prüft nicht auf Signaturen bzw. macht kein Pattern-Matching, arbeitet passiv, d.h. sie verändert den Datenstrom nicht, wird nicht geroutet, d.h. keine eigene IP-Adresse, kein Ziel.
Damit grenzt sich die Sensorik ab von reinen Paketsniffern oder NetFlow, Firewalls, Application-Level-Gateways, IDS / IPS, Honeypots.
Abgrenzung zu anderen Systemen
BSI, 122, Bierwirth 16.02.2009 Folie 7
Realisierung: Einbindung der Sensoren 1/2
Einbindung z. B. per Netzwerk-TAP oder Mirror-Port eines Switches
Internet-Anbindung eines Netzbetreibers
Verschlüsseltes Protokoll, nur Kommunikation in Richtung Transfersystem
Internet / ISPBehörde / Unternehmen
BSI, 122, Bierwirth 16.02.2009 Folie 8
Einbindung der Sensoren 2/2
Zwei (passive) Varianten: Switch mit Mirror-Port oder Netzwerk-TAP.
BSI, 122, Bierwirth 16.02.2009 Folie 9
Sensor-Netzwerk, zentrale Auswertung
Zentrale Auswertung der Daten: Normalzustand, Trends, Anomalien, Einzelfallanalyse...
BSI kann Daten mehrerer Standorte miteinander vergleichen und erhält einen „erweiterten Horizont“.
„Wer ist noch betroffen?“
BSI, 122, Bierwirth 16.02.2009 Folie 10
Derzeitiger Status
Sechs Sensoren senden Daten an das BSI, Fokus vor allem bei den Regierungsnetzen.
Hardware in BSI-Labor: drei Server, Datenbank mit rund 2 TB Storage-Unit, SINA-Gateway.
Daten werden über Zeitraum von 13 Monaten vorgehalten. Zugriff auf IAS-Server aus dem BSI-Lagezentrum sowie
aus Fachreferaten. IAS als Bestandteil der täglichen Lagebeobachtung.
BSI, 122, Bierwirth 16.02.2009 Folie 11
Auswertung
Allein mengenmäßig sind die Daten eine Herausforderung! Garbage in – garbage out?
In der Regel werden nur Deskriptoren der wichtigsten Dienste und Protokolle (automatisch) analysiert.
In Einzelfällen müssen zahlreiche weitere Deskriptoren zur Analyse herangezogen werden.
D1: |||||||||||||||||||D2: |||||||||||||D3: |||D4: |||||||D5: ||||||||||||(„Deskriptoren“) ?
D1: |||||||||||||||||||D2: |||||||||||||D3: |||D4: |||||||D5: ||||||||||||(„Deskriptoren“)
D1: |||||||||||||||||||D2: |||||||||||||D3: |||D4: |||||||D5: ||||||||||||(„Deskriptoren“)
BSI, 122, Bierwirth 16.02.2009 Folie 12
„Lifecycle“ der IAS-Messdaten
Erfassung und Anonymisierung des Netzwerk-Datenflusses. Aggregation der Zählerstände im 5-Minuten-Intervall. Übertragung an IAS-Server mit Identifizierung des Standortes. Speicherung, Schwellenwert-Vergleich, manuelle Recherche usw.
01011
tcp.port=80
IIII II
deskriptor.counter=927
Δ=3,4
σ=7,3
Langzeit-Datenbank
N e tz w e rk -D a te n flu s s
Vergleich mit Schwellenwert
Neuberechnung der Schwellenwerte
Zählerstand-Übertragung (Deskriptoren) an IAS-Server
Datenabgriff, Anonymisierung, Aggregation als Zählerstände
Kurzzeit-Datenbank
IAS-Sensor
IAS-Serverund Datenbank
BSI, 122, Bierwirth 16.02.2009 Folie 13
Beispiel: Scans auf 445/TCP
Korrelierender Trend an unabhängigen Standorten.
BSI, 122, Bierwirth 16.02.2009 Folie 14
Beispiel: Spam-Entwicklung
E-Mail-Zustellversuche an einem Standort: September bis Dezember 2007: ca. 10 – 20 Mio. pro Tag. Januar bis April 2008: bis zu 40 Mio. pro Tag. Juni bis Oktober 2008: bis zu 60 Mio. pro Tag.
BSI, 122, Bierwirth 16.02.2009 Folie 15
Beispiel: Browseranteile
Anteile der verschiedenen Firefox-Versionen, 3.0.X im Detail
In diesem Netzbereich überwiegend noch 2.0.X. Februar 2009: Patch von Version 3.0.5 auf 3.0.6 (Grün).
BSI, 122, Bierwirth 16.02.2009 Folie 16
Beispiel: Mail-Attachments
Top 5 der angehängten Dateitypen, 6. bis 13. Oktober 2008IMAGE/GIFIMAGE/JPEGAPPL/OCTET-STREAMAPPL/MSWORDAPPL/PDF
BSI, 122, Bierwirth 16.02.2009 Folie 17
Potenzial der manuellen Recherche
Das IAS ermöglicht umfassende Übersichten wichtiger Internetdienste: DNS, HTTP, SMTP...
Es können viele Aussagen getroffen werden: Kurzfristige Antworten, z.B. bei Schwachstellen wichtig:
Zu welchem Anteil wird Browser XYZ eingesetzt? Langzeittrends: Spam, VoIP, HTTP gegenüber HTTPS usw. Zusammenhänge der Protokolle untereinander. Nahezu Echtzeit-Analyse bei Vorfällen (mit klaren Grenzen).
Die Analysten brauchen „verständliche“ Zusammenhänge, daher Fokus auf einfachen Auswertungen. [...]
BSI, 122, Bierwirth 16.02.2009 Folie 18
Anomalieerkennung mit dem IAS
Für ausgewählte Deskriptoren, basierend auf Messwerten der letzten Wochen, Unterscheidung von Tagen / Stunden
Schwellenwert = Durchschnittswert + Toleranz Eher „pragmatischer“ Ansatz, weniger wissenschaftlich. Liefert ggf. Indizien für sicherheitskritischen Vorfall.
BSI, 122, Bierwirth 16.02.2009 Folie 19
IAS-Lagebild mit Nagios
Automatische Überwachung ausgewählter Deskriptoren Auswertung der aktuellen Daten (fast Echtzeit) Visualisierung von Schwellenwert-Überschreitungen Dadurch: kompakte Zustandsdarstellung
BSI, 122, Bierwirth 16.02.2009 Folie 20
Warnung bei Anomalie
E-Mail mit Link auf automatisch generierte Informationen:
BSI, 122, Bierwirth 16.02.2009 Folie 21
Handlung bei Anomalie
Bei überschrittenem Schwellenwert: Detailierte Recherche in IAS-Daten Suche nach korrespondierenden
Ereignissen und Zusammenhängen Bewertung der Erkenntnisse (Erfahrung) Reaktion sowie ggf. Anpassung der Metriken
BSI, 122, Bierwirth 16.02.2009 Folie 22
Info-Pyramide
Signale010011, Licht
DatenZählerstände
Beobachten,Messen
Informationen Trends, Anomalien
OrganisierenWissen, Kenntnis
Analysen, Korrelationen
Verstehen
Volumen beachten!
Weisheit, ErfahrungWeisheit, Erfahrung
Lagebild Anwenden
BSI, 122, Bierwirth 16.02.2009 Folie 23
TCP-SYN- und ICMP-Flooding, „zufällige“ gleichbleibende TCP-Highports, 1000-fach gestiegener Traffic.
Beispiel: Großer DDoS-Angriff
Abwehrmaß-nahmen
TCP-SYN
Port 26876
Port 27269
Ende des Angriffs
BSI, 122, Bierwirth 16.02.2009 Folie 24
Beispiel: DNS-Anomalie
Überschreitung des Schwellenwerts am 16.12.2008
Korrelation an mehreren unabhängigen Standorten. Analyse: Versuchter DNS-Amplification-Attack (→ ISC).
BSI, 122, Bierwirth 16.02.2009 Folie 25
Beispiel: Schwachstelle MS08-067
12
3
4
23.10.2008: Schwachstelle in Windows-RPC-Dienst, Exploit über Port 445/TCP möglich. → CERT-Bund Warnung (1)
03.11.2008: Wurm zu MS08-067 „in the wild“ gesichtet. (2) 27.11.2008: Microsoft beobachtet zunehmende Verbreitung. (3) Januar 2009: Wurm-Infektionen in Kärntner
Regierung sowie bei britischer Armee. 19.01.2009: F-Secure berichtet von etwa neun
Millionen befallenen W32-Systemen. (4)
BSI, 122, Bierwirth 16.02.2009 Folie 26
Zusammenfassung
Die IAS-Sensorik arbeitet datenschutzrechtl. unbedenklich. Mit Anomalieerkennung und manueller Recherche lässt
sich – trotz abstrakter Daten – erstaunlich viel herausfinden. Je mehr „interessante“ Sensoren, desto aussagekräftiger die
Analysen, Erfahrungen und Bewertungen. Die zentrale Datenbasis mit diversen Auswertungen liefert im
BSI eine wichtige Ergänzung zum Sicherheitslagebild, zur Vorfallsanalyse sowie zur Krisenreaktion.
BSI, 122, Bierwirth 16.02.2009 Folie 27
BSI Lagezentrum
BSI, 122, Bierwirth 16.02.2009 Folie 28
Vielen Dank - Fragen ???
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Martin BierwirthGodesberger Allee 185-18953175 Bonn
Tel: +49 (0)22899-9582-5119Fax: +49 (0)22899-10-9582-5119
martin.bierwirth@bsi.bund.dewww.bsi.bund.dewww.bsi-fuer-buerger.de