Author: | C. Mayer | links: | DownloadSlidesBibtex |
---|---|---|---|
Source: | University of Karlsruhe (TH), November 2007 | ||
Im Jahre 1988 brachte Robert Tappen Morris den ersten Internet-Wurm der Geschichte
in Umlauf [Spaf04]. Die sehr schnelle Verbreitung des Wurms führte zum
Zusammenbruch ganzer Netzbereiche und dem damit ersten Ausfall im Internet,
welcher durch einen verteilten Angriff verursacht wurde. Heute, 19 Jahre nachdem
der erste Internet-Wurm der Geschichte sein Unwesen trieb, haben sich Netzstrukturen
und Mechanismen stark geändert. Wohingegen 1988 ein einzelner Wurm Teile
des Internet zum Erliegen brachte, sind es heute Botnetze mit Größen bis zu 20 000
Bots [Post06], welche verwendet werden, um gezielt Systeme im Internet mit verteilten
Denial-of-Service-Angriffen (DoS-Angriffe) auszuschalten. Der Worldwide Infrastructure
Security Report [Arbo07] nennt Botnetze und verteilte DoS-Angriffe die
größten Gefahren, welche zur Zeit das Internet bedrohen.
Die Erkennung von DoS-Angriffen und ihre Bekämpfung ist ein bis heute ungelöstes
Problem der Netzsicherheit. Client-basierte Lösungen gegen DoS-Angriffe haben sich
als ungeeignet erwiesen, da diese den Host selbst und auch das Netz nicht schützen
können. Vielversprechende Lösungen liegen im Bereich der Angriffserkennung durch
verteilte Instanzen, welche im Netzinneren auf Vermittlungssystemen agieren und
kollaborativ arbeiten. Dadurch können Angriffe frühzeitig erkannt und bekämpft
werden, wodurch das Netz und die darin befindlichen Systeme besser geschützt werden
können.
Um im Netzinneren zu arbeiten, muss ein Angriffserkennungssystem hoch skalierbar
sein, damit die dort beobachteten Verkehrsprofile verarbeitet werden können. Weiterhin
muss das Angriffserkennungssystem auf Vermittlungssystemen mit geringen
Ressourcen lauffähig sein, ohne diese selbst in ihrer Arbeit zu beeinflussen. Die sehr
schnell wachsende Anzahl an neuen Protokollen macht eine leichte Erweiterbarkeit
unabdingbar. Ferner fordert die hohe Forschungsaktivität im Bereich der Angriffserkennung
eine leichte Erweiterbarkeit in Bezug auf neue Methoden und Verfahren
zur Angriffserkennung. Um die Ressourcen des Vermittlungssystems geringstmöglich
zu beeinflussen, müssen nicht benötigte Teile der Angriffserkennung automatisiert
ge- und entladen werden. Des Weiteren ist eine hohe Robustheit notwendig, um zu
verhindern, dass das Vermittlungssystem im Fall einer Fehlfunktion des Angriffserkennungssystems oder eines Angriffs auf das Angriffserkennungssystem beschädigt
oder in einer anderen Weise in seiner Arbeit behindert wird.
Die Verteilung und Kollaboration des Angriffserkennungssystems auf eine Menge
von Vermittlungssystemen erlaubt die Nutzung von verteiltem Wissen durch die
verschiedenen Instanzen. Dadurch können qualitativ hochwertigere Entscheidungen
getroffen werden, was zu besseren Ergebnissen der Angriffserkennung führt. Weiterhin
bietet die Verteilung und Kollaboration der Angriffserkennungssysteme die
Möglichkeit, schwächere Knoten nur mit bestimmten Komponenten des Angriffserkennungssystems
zu betreiben. Diese können somit spezifische Aufgaben übernehmen
und als Auslagerung für andere Instanzen dienen.
Die zunehmende Heterogenität von Netzen, Knoten, Endsystemen und Anwendungen
macht neue Methoden und Vorgehen zur Erkennung von Angriffen notwendig.
Durch neue Netzstrukturen, Protokolle und Technologien entstehen neue Bedrohungen.
Diese können nur durch ein geändertes Vorgehen bei der Erkennung von Angriffen
behandelt werden. Visionen wie die des ubiquitären Future Internet [CPBD+05]
machen ein Umdenken im Bereich der Angriffserkennung notwendig und erfordern
Angriffserkennungssysteme, welche leicht auf geänderte Netzstrukturen und Mechanismen
angepasst werden können.