1 / 19

Aspekty bezpieczeństwa Systemu IIP

Aspekty bezpieczeństwa Systemu IIP. Jerzy Konorski (PG) Zbigniew Kotulski, Krzysztof Cabaj (PW) Grzegorz Kołaczek (PWr) Piotr Pacyna (AGH). w pracach uczestniczyli także:

horace
Download Presentation

Aspekty bezpieczeństwa Systemu IIP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Aspekty bezpieczeństwaSystemu IIP Jerzy Konorski (PG) Zbigniew Kotulski, Krzysztof Cabaj (PW) Grzegorz Kołaczek (PWr) Piotr Pacyna (AGH) w pracach uczestniczyli także: P. Szałachowski, L. Kucharzewski (PW)D. Rzepka, W. Rupiński, J. Zimnowoda, W. Romaszkan, J. Kasperek, P. Rajda (AGH)specjalne podziękowania: A. Bęben (PW), Ł. Dolata (PCSS) 1

  2. Architektura i zagrożeniaSystemu IIP IPv6 QoS DSS CAN PI – Parallel Internet • Zagrożenia w Systemie IIP na poziomie wirtualizacji • stwarzane przez intruzów / przypadkowe • spoza Systemu IIP / z przejętych węzłów IIP • ogólnoinformatyczne / związane z ruchem IIP

  3. Cel prac: architektura bezpieczeństwa Systemu IIP prewencja wprowadzania obcego ruchu (injection) wykrywanie i raportowanie innych zagrożeń Architektura i zagrożeniaSystemu IIP węzeł IIP węzeł IIP XEN XEN peth0 EX3200KRK EX3200WRO CAN eth1 CAN eth1 ge-0/0/7 PL-LAB ge-0/0/7 eth3 Infrastruktura transmisyjna forging System IIP PI CAN IIP-PDU PI- CAN-PDU PDU reseq/replay/ruffling injection 3

  4. Polityka bezpieczeństwa Podejście oparte na predykcji wektorów ataku i repozytoriach sygnatur ataku - utrudnione współdzielenie infrastruktury transmisyjnej przez różne techniki transmisji …oraz PI o różnych stosach protokołów (przeźroczystych dla poziomu wirtualizacji) Proponowane podejście – polityka bezpieczeństwa rejestr zdarzeń związanych z potencjalnymi zagrożeniami (SRE – security related event) definicja filtrów SRE – anomalii zachowań ruchu / węzłów IIP analiza i dystrybucja wyników filtracji SRE

  5. Potrzeba funkcji bezpieczeństwa w łączu IIP uwierzytelnianie & integralność IIP-PDU IIP-PDU Kryptograficzna ochrona IIP-PDU (HMAC–Hash-Based Message Authentication Code) węzeł IIP węzeł IIP XEN XEN HMAC EX3200KRK HMAC EX3200WRO peth0 mac0 CAN mac2 eth1 CAN eth1 mac2 mac0 PL-LAB ge-0/0/7 ge-0/0/7 eth3 Infrastruktura transmisyjna PI CAN PI- CAN-PDU PDU Bezpieczne łącze IIP injection reseq/replay 5

  6. association number IIP-PDU number sygnaturaHMAC-SHA-1 Kryptograficzna ochrona IIP-PDU (HMAC–Hash-Based Message Authentication Code) • Sprzętowy szyfrator / weryfikator IIP-PDU • implementacja: HMAC/SHA-1 w układzie netFPGA 1G • zrealizowana w AGH, demonstrowana jesienią 2012 • Mechanizm hop-by-hop, przeźroczysty dla wszystkich PI • przewaga nad rozwiązaniami ‘IP only’ (IPSec, TLS, SSL) • SRE: nieudana weryfikacja HMAC, powoduje: • usunięcie IIP-PDU • generację raportu diagnostycznego 6

  7. Wykrywanie lokalnych anomalii(LAD – local anomaly detection) Obsługa raportów diagnostycznych i wykrywanie ataków nieblokowanych przez HMAC SNMP / SSH węzeł IIP węzeł IIP LAD LAD IPv6 Kod przyczyny 64 B IIP-PDU LO ::1 54320 MIB /NetSNMP - statystyki SRE nf2c3 nf2c3 XEN XEN HMAC EX3200KRK HMAC EX3200WRO peth0 mac0 CAN mac2 eth1 CAN eth1 mac2 mac0 ge-0/0/7 PL-LAB ge-0/0/7 eth3 Infrastruktura transmisyjna forging PI CAN ruffling 7

  8. Wykrywanie lokalnych anomalii(LAD – local anomaly detection) Moduł LAD zaimplementowany w kodzie węzła Systemu IIP: Przechowuje rejestr SRE i filtrów SRE definiowanych zgodnie z polityką bezpieczeństwa dynamiczna polityka bezpieczeństwa – dystrybucja via sieć zarządzania Filtracja SRE generuje alerty lokalne po wykryciu anomaliiw węźle/sąsiednich węzłach IIP eksploracja danych: analiza zbiorów częstych uczenie maszynowe: analiza szeregów czasowych

  9. LAD: Metoda zbiorów częstych analizuje się krotki atrybutów SRE w logu SRE w zbiorze krotek wyszukuje się zbiory częste podkrotek = powtarzające się wzorce zachowań alerty generowane przez: niepoprawny format IIP-PDU(nieudana weryfikacja HMAC – próby injection, reseq / replay) zbiór częsty  niebezpieczna semantyka IIP-PDU(próby forging, skanowania, przejęcia węzła via SSH, SNMP) miara zagrożenia związanego z wykrytą anomalią

  10. LAD: Metoda szeregów czasowych • odczyty z lokalnej MIB & agenta NetSNMP w Xen: • intensywności ruchu / rozmiarów IIP-PDU • poziomu wykorzystania CPU / RAM • naprzemienny proces uczenia zachowań standardowych i wykrywania ich rozbieżnościz zachowaniami bieżącymi • rozbieżności wskazują na • próby ruffling • błędy, awarie, próby przejęcia węzła poprzez eskalację uprawnień systemu-gościa • miara zagrożenia związanego z wykrytą anomalią 10

  11. Dystrybucja wyników analizy LAD i przeciwdziałanie skutkom ataków o szerokim zasięgu Wykrywanie globalnych anomaliii zarządzanie reputacją węzeł IIP Alert Wylicza globalne metryki reputacji LSA w obrębie PI na podstawie metryk lokalnych REP Wykrywaglobalne anomaliena podstawiealertów lokalnych PI-AD MSA master security agent Podsystem zarządzaniaSystemu IIP(SNMPv3) Akwizycja:Alerty lokalneLokalne metryki zaufania SRE do analizy globalnej local security agent węzeł IIP LSA LSA LSA alertlokalny LAD LAD i/f w podsytemiezarządzania węzeł IIP LSA LSA LSA LSA LSA Wylicza lokalne metryki zaufania sąsiednich LSA na podstawie częstościi wyceny zagrożenia wykrytych anomalii LAD węzeł IIP LSA LSA LSA LSA LSA LSA LAD LAD LAD LAD SRE 11

  12. Scentralizowany system agentowy: LSA w węzłach IIP + MSA wykrywanie ataków o zasięgu PI, niewykrywalnych przez LAD neutralizacja skutków niepoprawnych działań LSA dystrybucja globalnych metryk reputacji – udostępnianie innym węzłom i podsystemom Systemu IIP (zarządzanie, routing) dystrybucja aktualnej polityki bezpieczeństwa Wykrywanie globalnych anomaliii zarządzanie reputacją

  13. Wykrywanie globalnych anomaliii zarządzanie reputacją REP metryki zaufania/reputacji prezentowane poprzez podsystem zarządzania PI-AD MSA Dystrybucja:Globalne metryki reputacjiDefinicje SRE i filtrów SRE Podsystem zarządzaniaSystemu IIP(SNMPv3) alertlokalny węzeł IIP LSA LSA LSA LSA LSA węzeł IIP Alert LSA LAD LAD SRE 13 13 13

  14. Model zaufania i reputacji Node 3: MSA Node 4 globalne metrykizaufania lokalne metryki zaufania= 1 – miary zagrożeń w cyklu sumaważona ruchomaśrednia cykl Node 5 metrykireputacji Podsystem zarządzaniaSystemu IIP • Zaimplementowany w module REP agenta MSA • elastyczność ze względu na modyfikacje podsystemu zarządzania,semantykę IIP-PDU, model zaufania i reputacji • Przetestowany wiosną 2012 w testbedzie PW • 4 wirtualne maszyny Xen (3 x LSA + MSA), połączone siecią IPv6 • ataki realizowane z wykorzystaniem narzędzi IPv6 (ping6/nmap)

  15. Testy agenta MSA • Node 4 atakuje Node 3, następnie także Node 5 Obniżenie reputacji Node 4: atak na Node 3 alert lokalny do MSA atak na Node 3 i Node 5 dwa alerty lokalne do MSA/ alert PI-AD 15

  16. Testy agenta MSA • Z kolei Node 3 atakuje kolejno Node 4 oraz Node 5 • reputacja Node 3 zależy od reputacji maszyn zgłaszających alerty Minimalny spadek: alert zgłasza Node 4\ – maszyna o niskiej reputacji Wyraźny spadek: alert zgłasza Node 5– maszyna o wysokiej reputacji 16 16

  17. Architektura bezpieczeństwa IIP:Trzy linie obrony LSA +MSA: zarządzanie reputacjąi wykrywanie globalnych anomalii, neutralizuje skutki działań niewykrywalnych przez LAD LAD: wykrywanie lokalnych anomalii nieblokowanych przez HMAC, wywołanych przez forging, ruffling HMAC: kryptograficzna ochrona IIP-PDU, blokuje injection, [replay/reseq]

  18. Zaproszenie na wystawę Dziękujemy za uwagę. 18

  19. Publikacje K. Cabaj, G. Kołaczek, J. Konorski, P. Pacyna, Z. Kotulski, Ł. Kucharzewski, P. Szałachowski, Security architecture of the IIP System on resources virtualization level, Telecommunication Review - Telecommunication News, Vol.84(80), No.8-9, pp.846-851, (2011) K. Cabaj, Z. Kotulski, P. Szałachowski, G. Kołaczek, J. Konorski, Implementation and testing of Level 2 security architecture for the IIP System, Telecommunication Review - Telecommunication News, Vol.85(81), No.8-9, pp.1426-1435, (2012) J. Konorski, P. Pacyna, G. Kołaczek, Z. Kotulski, K. Cabaj, P. Szałachowski, "A Virtualization-Level Future Internet Defense-in-Depth Architecture", CCIS, vol.335, Recent Trends in Computer Networks and Distributed Systems Security, Part 1, pp. 283-292, Springer-Verlag, Berlin Heidelberg New York 2012. ISBN 978-3-642-34134-2 (DOI: 10.1007/978-3-642-34135-9_29) J. Konorski, J. Kasperek, P. Pacyna, D. Rzepka, W. Romaszkan, M. Rupiński, J. Zimnowoda, A. Kamisinski, P. Rajda, Implementacja sprzętowa modułu HMAC-SHA-1 do ochrony komunikacji w systemie IIP, Telecommunication Review - Telecommunication News (Przegląd Telekomunikacyjny), Vol.85(81), No.8-9, pp.1418-1425, (2012) J. Konorski, P. Pacyna, G. Kołaczek, Z. Kotulski, K. Cabaj, P. Szałachowski, "Theory and implementation of a virtualisation level Future Internet defence in depth architecture", Int. J. Trust Management in Computing and Communications 2013 (to appear) 19

More Related