inforum 1/2007 - Intrusion-Prevention im Wissenschaftsnetz Münster
1/2007 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
ImpressumIntrusion-Prevention im Wissenschaftsnetz Münster
C. Ossendorf, G. Richter
In vorhergehenden Ausgaben des inforum wurde bereits mehrfach über das Netzssicherheitskonzept der Universität berichtet. Es beruht insbesondere auf einer Strukturierung des Netzes mit Hilfe von VLANs, virtuellen Routern und VPNs sowie der Einbettung von virtualisierten Sicherheitsfunktionen unmittelbar in dieses strukturierte Netz (stateless und stateful packet screens, Intrusion-Prevention-Instanzen, dedizierte VPN-Zugänge) und der Bereitstellung von anwendungskontrollierenden Gateways (z. B. Content-Filterung für E-Mail, Web und File Transfer oder Terminal-Server als personenbezogene Zugangssysteme).Mit dem Einsatz der Intrusion-Prevention ab ca. März 2005 wurden erstmals Sicherheitsfunktionen verfügbar, die über reine Konnektivitätssteuerung hinausgingen. So weit wurden innerhalb des Netzes ausschließlich Kommunikationsbeziehungen auf der Basis von IP-Adressen und Anwendungsprotokolltypen („Ports“) kontrolliert (packet screening). Das eingesetzte Intrusion-Prevention-System (IPS) geht darüber hinaus, indem es Datenverkehr unterbinden kann, der aufgrund bestimmter eindeutiger Merkmale („Signaturen“) als gefährlich oder unerwünscht in verschiedenen Abstufungen erkannt werden kann; typische Vertreter für solche Angriffstypen sind z. B. benannt mit-slammer , w32goabot oder w32/blaster-worm. Darüber hinaus kann aufgrund des kommunikationstechnischen „Verhaltens“ eine ähnliche Qualifikation (z. B. weil als Scan-Angriff bewertet) erfolgen.
Von den verfügbaren Funktionalitäten sind bisher bei weitem nicht alle Möglichkeiten ausgeschöpft. Dies liegt zunächst einmal im Aufwand-Nutzen-Verhältnis begründet und dann in der Komplexität der rechtlichen Fragestellungen, da die Einschränkung von Datenverkehr in bestimmten Fällen als unrechtmäßige Einschränkung persönlicher Rechte betrachtet werden könnte. So sind heute nur Funktionen aktiv, wo diese Fragestellung eindeutig beantwortet werden kann, d. h. es werden ausschließlich Verkehrsströme blockiert, die eindeutig als Gefährdung zu betrachten sind1, für die Abwendung von eindeutigen Gefahren besteht sogar eine gewisse Rechtsverpflichtung. „Unerwünschte Kommunikation“, die mancherorts z. B. bestimmten Peer-to-Peer-Protokollen zugeordnet wird, wird im Universitätsnetz derzeit nicht unterdrückt. Das ZIV richtet sich hier nach den Empfehlungen der Forschungsstelle Recht im DFN, die im Institut für Informations-, Telekommunikations- und Medienrecht, Zivilrechtliche Abteilung, an der Universität Münster beheimatet ist. Ausnahmen gibt es zurzeit nur für im Detail abgestimmte Netzbereiche außerhalb der Universität, wo eine Einschränkung von Rechten nicht gegeben ist.2
Noch nicht im breiten Einsatz, hauptsächlich aus Zeitgründen, sind verhaltensbasierte Funktionalitäten. Die besondere Problematik ist hier, dass die Verhaltenscharakteristika von Angriffen durchaus auch bei „normaler Nutzung“ angetroffen werden können. Ein Brute-Force-Password-Angriff per SSH kann durchaus so ähnlich aussehen wie das Verkehrsmuster eines mehrfach vergeblichen Einloggens eines vergesslichen Nutzers. Eine unbekümmerte Aktivierung von entsprechenden Funktionen könnte also auch zu Einschränkungen des ganz normalen Betriebes führen, was dann als Funktionsstörung des Netzes wahrgenommen würde und was zu schwierig zuzuordnenden Störungsmeldungen führen könnte. Hier ist zukünftig mit Erfahrungswerten zu arbeiten, die Schritt für Schritt gesammelt werden müssen. In einem ersten Anwendungsversuch werden auf Wunsch der IVV4 (NWZ) nun Brute-Force-Password-Angriffe (s. o.) über ftp, ssh, rsh, rlogin und telnet blockiert. Unerwünschte Nebeneffekte wurden soweit nicht festgestellt, die Aktivierung dieser Funktionalität wird deshalb bis auf Weiteres beibehalten.
Für die weitergehende Ausschöpfung des Potenzials des IPS muss eine Basis geschaffen werden, die ein geordnetes abgestimmtes Verfahren auch zur kurzfristigen Aktivierung von IPS-Funktionen vorsieht, so dass die IPS-Systemadministratoren zum einen ein höheres Maß an Rechtssicherheit haben und dass zum anderen wichtige Schutzfunktionen (rechtzeitig) genutzt werden können. So könnte dann auch z. B. auch auf akute Denial-of-Service-Attacken reagiert werden. Die Abt. 1 des ZIV hat eine entsprechende Sicherheitsdetailregelung entworfen, die voraussichtlich in Kürze mit den IV-Gremien abgestimmt werden kann. Wir werden demnächst im inforum Genaueres darüber berichten.
Der bisherige Erfolg des IPS lässt sich am besten für den Bereich des Fernzugriffs (RAS, Remote Access Service) nachweisen. Der RAS-Bereich mit seinen Möglichkeiten IT-Systeme mit dem Netz der Universität zu verbinden – von zuhause oder unterwegs (Einwahl, VPN), auch im LAN der Universität mit mobilen Geräten über pLANet oder WLAN – und damit mit der Möglichkeit, zumeist private Geräte oder gar Systeme Dritter in das universitäre IT-System einzubringen, war zuvor stets ein Bereich unverhältnismäßig häufiger Sicherheitsvorfälle. Als Ursachen sind dort die auch sonst üblichen Hauptursachen auszumachen, nur mit erheblich größerer Wahrscheinlichkeit: Mangelnde Systempflege (insbesondere Betriebssystem- und Anwendungssicherheitsupdates und Einsatz aktueller Antivirus-Software). Mit dem Einsatz einer IPS-Instanz vor einer neu geschaffenen Netzzone RAS im Wissenschaftsnetz Münster hat sich die Zahl der durch das CERT-Team im ZIV zu bearbeitenden Sicherheitsvorfälle drastisch reduziert, insgesamt auf ca. 10 % früherer Werte! Eine Beeinträchtigung der RAS-Nutzer war durch den Einsatz des IPS in keiner Form gegeben. Der Nutzeffekt der IPS ist hier darin zu sehen, 1. dass die Nutzergeräte im RAS-Bereich selbst geschützt wurden, 2. dass andere vor malignen Systemen im RAS-Bereich geschützt wurden und 3. dass maligne Systeme im RAS-Bereich erkannt werden konnten, bevor Beschwerden durch Dritte bekannt wurden. Die Netzzone RAS musste zuvor erst geschaffen werden, heute fasst sie – mit begründeten Einschränkungen – alle als Externzugriff betrachteten Zugänge zum Wissenschaftsnetz Münster zusammen3: Einwahl (z. B. wwu@home), Verbindungen aus Studierendenwohnheimen (z. B. Teleport), VPN, pLANet, WLANs mit der Kennung (SSID) uni-ms. Die folgende Abbildung zeigt die Position der Intrusion-Prevention-Instanz im RAS-Bereich.
Auch in zurückliegenden Projekten zur Strukturierung des LAN (ZMK, vgl. inforum Nr. 1/2006) erwies sich das IPS als Erfolg. Neben dem eigentlichen Nutzen durch den Einsatz einer Intrusion-Prevention-Instanz für einen Unterbereich des LAN konnten, als positiver Seiteneffekt, mit Schadsoftware infizierte Systeme erkannt werden, und die für die Geräte zuständigen technisch Verantwortlichen konnten für eine entsprechende Bereinigung sorgen. Auch kann in solchen LAN-Unterbereichen eine spezielle Verfahrensweise hinsichtlich der Aktivierung von Intrusion-Prevention-Funktionen angewendet werden, da die lokale Sicherheitspolitik über eine „Mandantenschnittstelle“, also durch lokal Verantwortliche selbst angepasst werden kann.
1 Wir richten uns hier zunächst nach der Einschätzung des IPS-Herstellers (McAfee) für das Gefährdungspotential, zzt. werden alle (ca. 600) Exploits der höchsten Gefährdungsklasse blockiert. Darüber hinaus werden zusätzlich ca. 50 von McAfee zur Blockierung empfohlene Signaturen berücksichtigt, die nicht zur höchsten Gefährdungsklasse zählen.
2 z. B. weil jegliche private Nutzung untersagt ist
3 Netze Dritter selbst, auch das gesamte externe Internet, fallen nicht hierunter. Der Schutz hier wird durch IPS-Funktionen vor dem Universitätsnetz selbst gewährleistet.
1/2007 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
Impressum
Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)
