Aspekty bezpieczeństwa Systemu IIP Jerzy Konorski (PG) Zbigniew Kotulski, Krzysztof Cabaj (PW) Grzegorz Kołaczek (PWr) Piotr Pacyna (AGH) w pracach uczestniczyli także: P. Szałachowski, L. Kucharzewski (PW) D. Rzepka, W. Rupiński, J. Zimnowoda, W. Romaszkan, J. Kasperek, P. Rajda (AGH) specjalne podziękowania: A. Bęben (PW), Ł. Dolata (PCSS) 1

Architektura i zagrożenia Systemu IIP IPv6 QoS DSS CAN PI – Parallel Internet Zagrożenia w Systemie IIP na poziomie wirtualizacji stwarzane przez intruzów / przypadkowe spoza Systemu IIP / z przejętych węzłów IIP ogólnoinformatyczne / związane z ruchem IIP

Architektura i zagrożenia Systemu IIP węzeł IIP węzeł IIP XEN XEN peth0 EX3200 KRK EX3200 WRO eth1 CAN CAN eth1 eth3 ge-0/0/7 PL-LAB ge-0/0/7 Infrastruktura transmisyjna forging System IIP PI CAN IIP-PDU PI- CAN-PDU PDU reseq/replay/ruffling injection Cel prac: architektura bezpieczeństwa Systemu IIP prewencja wprowadzania obcego ruchu (injection) wykrywanie i raportowanie innych zagrożeń 3

Polityka bezpieczeństwa Podejście oparte na predykcji wektorów ataku i repozytoriach sygnatur ataku - utrudnione współdzielenie infrastruktury transmisyjnej przez różne techniki transmisji …oraz PI o różnych stosach protokołów (przeźroczystych dla poziomu wirtualizacji) Proponowane podejście – polityka bezpieczeństwa rejestr zdarzeń związanych z potencjalnymi zagrożeniami (SRE – security related event) definicja filtrów SRE – anomalii zachowań ruchu / węzłów IIP analiza i dystrybucja wyników filtracji SRE

Kryptograficzna ochrona IIP-PDU (HMAC – Hash-Based Message Authentication Code) Potrzeba funkcji bezpieczeństwa w łączu IIP uwierzytelnianie & integralność IIP-PDU węzeł IIP węzeł IIP XEN XEN HMAC EX3200 KRK EX3200 WRO HMAC mac2 mac0 peth0 eth1 CAN CAN mac0 mac2 eth1 ge-0/0/7 PL-LAB ge-0/0/7 eth3 Infrastruktura transmisyjna PI CAN IIP-PDU PI- CAN-PDU PDU Bezpieczne łącze IIP injection reseq/replay 5

Kryptograficzna ochrona IIP-PDU (HMAC – Hash-Based Message Authentication Code) Sprzętowy szyfrator / weryfikator IIP-PDU implementacja: HMAC/SHA-1 w układzie netFPGA 1G zrealizowana w AGH, demonstrowana jesienią 2012 Mechanizm hop-by-hop, przeźroczysty dla wszystkich PI przewaga nad rozwiązaniami ‘IP only’ (IPSec, TLS, SSL) SRE: nieudana weryfikacja HMAC, powoduje: usunięcie IIP-PDU generację raportu diagnostycznego association number IIP-PDU sygnatura HMAC-SHA-1 6

Wykrywanie lokalnych anomalii (LAD – local anomaly detection) Obsługa raportów diagnostycznych i wykrywanie ataków nieblokowanych przez HMAC SNMP / SSH węzeł IIP LAD węzeł IIP LAD IPv6 LO ::1 54320 Kod przyczyny 64 B IIP-PDU MIB /NetSNMP - statystyki SRE nf2c3 nf2c3 XEN XEN HMAC EX3200 KRK EX3200 WRO HMAC eth1 mac2 mac0 peth0 CAN CAN mac0 mac2 eth1 ge-0/0/7 PL-LAB ge-0/0/7 eth3 Infrastruktura transmisyjna forging PI CAN ruffling 7

Wykrywanie lokalnych anomalii (LAD – local anomaly detection) Moduł LAD zaimplementowany w kodzie węzła Systemu IIP: Przechowuje rejestr SRE i filtrów SRE definiowanych zgodnie z polityką bezpieczeństwa dynamiczna polityka bezpieczeństwa – dystrybucja via sieć zarządzania Filtracja SRE generuje alerty lokalne po wykryciu anomalii w węźle/sąsiednich węzłach IIP eksploracja danych: analiza zbiorów częstych uczenie maszynowe: analiza szeregów czasowych

LAD: Metoda zbiorów częstych analizuje się krotki atrybutów SRE w logu SRE w zbiorze krotek wyszukuje się zbiory częste podkrotek = powtarzające się wzorce zachowań alerty generowane przez: niepoprawny format IIP-PDU (nieudana weryfikacja HMAC – próby injection, reseq / replay) zbiór częsty  niebezpieczna semantyka IIP-PDU (próby forging, skanowania, przejęcia węzła via SSH, SNMP) miara zagrożenia związanego z wykrytą anomalią

LAD: Metoda szeregów czasowych odczyty z lokalnej MIB & agenta NetSNMP w Xen: intensywności ruchu / rozmiarów IIP-PDU poziomu wykorzystania CPU / RAM naprzemienny proces uczenia zachowań standardowych i wykrywania ich rozbieżności z zachowaniami bieżącymi rozbieżności wskazują na próby ruffling błędy, awarie, próby przejęcia węzła poprzez eskalację uprawnień systemu-gościa miara zagrożenia związanego z wykrytą anomalią 10

Wykrywanie globalnych anomalii i zarządzanie reputacją Dystrybucja wyników analizy LAD i przeciwdziałanie skutkom ataków o szerokim zasięgu węzeł IIP Alert REP Wylicza globalne metryki reputacji LSA w obrębie PI na podstawie metryk lokalnych Wykrywa globalne anomalie na podstawie alertów lokalnych PI-AD MSA master security agent Podsystem zarządzania Systemu IIP (SNMPv3) Akwizycja: Alerty lokalne Lokalne metryki zaufania SRE do analizy globalnej local security agent węzeł IIP LSA LSA LSA alert lokalny i/f w podsytemie zarządzania LAD LAD węzeł IIP LSA LSA LSA LSA LSA Wylicza lokalne metryki zaufania sąsiednich LSA na podstawie częstości i wyceny zagrożenia wykrytych anomalii LAD węzeł IIP LSA LSA LSA LSA LSA LSA LAD LAD LAD LAD SRE 11

Wykrywanie globalnych anomalii i zarządzanie reputacją Scentralizowany system agentowy: LSA w węzłach IIP + MSA wykrywanie ataków o zasięgu PI, niewykrywalnych przez LAD neutralizacja skutków niepoprawnych działań LSA dystrybucja globalnych metryk reputacji – udostępnianie innym węzłom i podsystemom Systemu IIP (zarządzanie, routing) dystrybucja aktualnej polityki bezpieczeństwa

Wykrywanie globalnych anomalii i zarządzanie reputacją metryki zaufania/reputacji prezentowane poprzez podsystem zarządzania PI-AD MSA Dystrybucja: Globalne metryki reputacji Definicje SRE i filtrów SRE Podsystem zarządzania Systemu IIP (SNMPv3) alert lokalny węzeł IIP LSA LSA LSA LSA LSA węzeł IIP Alert LSA LAD LAD SRE 13 13 13

Model zaufania i reputacji Node 3: MSA Node 4 globalne metryki zaufania lokalne metryki zaufania = 1 – miary zagrożeń w cyklu suma ważona ruchoma średnia cykl Node 5 metryki reputacji Podsystem zarządzania Systemu IIP Zaimplementowany w module REP agenta MSA elastyczność ze względu na modyfikacje podsystemu zarządzania, semantykę IIP-PDU, model zaufania i reputacji Przetestowany wiosną 2012 w testbedzie PW 4 wirtualne maszyny Xen (3 x LSA + MSA), połączone siecią IPv6 ataki realizowane z wykorzystaniem narzędzi IPv6 (ping6/nmap)

Testy agenta MSA Node 4 atakuje Node 3, następnie także Node 5 Obniżenie reputacji Node 4: atak na Node 3  alert lokalny do MSA atak na Node 3 i Node 5  dwa alerty lokalne do MSA / alert PI-AD 15

Testy agenta MSA Z kolei Node 3 atakuje kolejno Node 4 oraz Node 5 reputacja Node 3 zależy od reputacji maszyn zgłaszających alerty Minimalny spadek: alert zgłasza Node 4\ – maszyna o niskiej reputacji Wyraźny spadek: alert zgłasza Node 5 – maszyna o wysokiej reputacji 16 16

Architektura bezpieczeństwa IIP: Trzy linie obrony LSA +MSA: zarządzanie reputacją i wykrywanie globalnych anomalii, neutralizuje skutki działań niewykrywalnych przez LAD LAD: wykrywanie lokalnych anomalii nieblokowanych przez HMAC, wywołanych przez forging, ruffling HMAC: kryptograficzna ochrona IIP-PDU, blokuje injection, [replay/reseq]

Zaproszenie na wystawę Dziękujemy za uwagę. 18

Publikacje K. Cabaj, G. Kołaczek, J. Konorski, P. Pacyna, Z. Kotulski, Ł. Kucharzewski, P. Szałachowski, Security architecture of the IIP System on resources virtualization level, Telecommunication Review - Telecommunication News, Vol.84(80), No.8-9, pp.846-851, (2011) K. Cabaj, Z. Kotulski, P. Szałachowski, G. Kołaczek, J. Konorski, Implementation and testing of Level 2 security architecture for the IIP System, Telecommunication Review - Telecommunication News, Vol.85(81), No.8-9, pp.1426-1435, (2012) J. Konorski, P. Pacyna, G. Kołaczek, Z. Kotulski, K. Cabaj, P. Szałachowski, "A Virtualization-Level Future Internet Defense-in-Depth Architecture", CCIS, vol.335, Recent Trends in Computer Networks and Distributed Systems Security, Part 1, pp. 283-292, Springer-Verlag, Berlin Heidelberg New York 2012. ISBN 978-3-642-34134-2 (DOI: 10.1007/978-3-642-34135-9_29) J. Konorski, J. Kasperek, P. Pacyna, D. Rzepka, W. Romaszkan, M. Rupiński, J. Zimnowoda, A. Kamisinski, P. Rajda, Implementacja sprzętowa modułu HMAC-SHA-1 do ochrony komunikacji w systemie IIP, Telecommunication Review - Telecommunication News (Przegląd Telekomunikacyjny), Vol.85(81), No.8-9, pp.1418-1425, (2012) J. Konorski, P. Pacyna, G. Kołaczek, Z. Kotulski, K. Cabaj, P. Szałachowski, "Theory and implementation of a virtualisation level Future Internet defence in depth architecture", Int. J. Trust Management in Computing and Communications 2013 (to appear) 19