Inleiding

Wormen, virussen en trojans worden een steeds groter probleem op Internet. Zoals Security.NL schreef op 19 juli: “Internet service providers staan onder grote druk om hun netwerk van allerlei vervelende plagen schoon te houden. Niet alleen voor hun eigen abonnees, maar voor het internet in het algemeen.”

Naast de reguliere methodes om een netwerk schoon te houden (firewalls, virusscanners, intrusion detection, etc), is er tegenwoordig steeds meer aandacht voor quarantaine-oplossingen. Hierbij worden besmette PC's selectief van het netwerk verwijderd en krijgen ze alleen nog toegang tot noodzakelijke tools om hun besmetting te verwijderen.

Quarantaine-oplossingen vormen een extra vangnet tegen problemen omdat ze op een andere plek binnen het netwerk hun werk doen. Als de virusscanner een worm heeft gemist, zal het quarantainenet zorgen dat deze alsnog op het netwerk geisoleerd wordt en zich niet verder kan verspreiden.

Een groot voordeel is een veel lagere druk op beheerders en helpdesks door het hele proces van detectie, isolatie, reparatie en vrijgave te automatiseren. Zoals de security manager van een Nederlandse universiteit zei: "Het grote voordeel van dit systeem is dat het zonder extra inspanning op de achtergrond draait, het aantal werkonderbrekende alerts van de kant van SURFnet is met meer dan 90 procent afgenomen".

Tenslotte biedt een quarantainenet de mogelijkheid om eindgebruikers beter van dienst te zijn door goede informatievoorziening. Tegelijkertijd creërt dit meer bewustwording van de gevaren op Internet en wat je kunt doen om je beter te beschermen.

Een implementatie

Quarantainenet
Quarantainenet bestaat uit een detectie- en een beheercomponent. In onderstaande afbeelding zijn de stappen van een quarantainestelling door middel van nummers aangegeven.

1. De detectiecomponent (honeypot) herkent besmette PC's op het netwerk
   
2. De honeypot stuurt een signaal naar de Qnet-core om de besmetting te melden
   
3. Deze stuurt direct de netwerkconfiguratie aan met het doel de besmette PC in quarantaine te zetten. Dit isoleren kan op diverse manieren gebeuren en de gekozen methode hangt af van de opbouw van het netwerk; aanpassen van filters in de router, de configuratie van de DHCP-server of switchpoorten in een ander VLAN zetten, zijn veel gebruikte opties.
   
4. Zodra de PC van de eindgebruiker in quarantaine is geplaatst, kan deze alleen nog
   verbinding maken met de Qnet-core server. Deze vervangt alle webpagina's die de gebruiker probeert te bezoeken door een persoonlijke pagina waarop exact wordt uitgelegd wat de reden tot afsluiting is en welke stappen de gebruiker moet uitvoeren om weer vrijgegeven te worden. Slechts een "whitelist" met geselecteerde websites, zoals windows-update, internetbankieren en de sites van anti-virus software, blijft beschikbaar via een ingebouwde webproxy. Via de persoonlijke pagina kan de eindgebruiker communiceren met de helpdesk.
   
5. Als de helpdesk overtuigd is dat de gebruiker zijn PC weer schoon heeft gemaakt, kan deze de verbinding met een druk op de knop weer herstellen.

Bij afsluitingen kan de netwerkbeheerder instellen dat de eindgebruiker zichzelf, zonder tussenkomst van een helpdesk, uit quarantaine kan halen. Bij virussen die eenvoudig verwijderd kunnen worden, scheelt dit een helpdesk heel veel calls. Bovendien werkt deze optie 24 uur per dag, wat prettig is als een helpdesk alleen tijdens kantooruren bereikbaar is.

Honeypot
Aan een Qnet-core server kunnen meerdere detectiecomponenten worden gekoppeld. Standaard hoort een zelf ontwikkelde honeypot bij een Quarantainenet installatie. Deze honeypot luistert op meerdere ongebruikte adressen in een netwerk naar wormaanvallen, zogenaamde exploits. Behalve het herkennen van deze exploits, speelt de honeypot het “spel” met wormen mee, zodat ook de gevaarlijke payloads verzameld kunnen worden. Een ander voordeel hierbij is dat ook onbekende wormen gevangen kunnen worden omdat het met deze techniek niet nodig is om virus-signatures te hebben.

Resultaten

Inmiddels wordt Quarantainenet gebruikt op meerdere Nederlandse universiteiten en hogescholen en een aantal ISP's. Ruim 100.000 eindgebruikers worden beschermd door Quarantainenet en dit aantal groeit erg snel.

Een aantal ervaringen zoals we die in de praktijk tegenkomen:

Uitbraken van wormen worden sneller ingedamd, geen extra personeel meer nodig op helpdesks tijdens grote uitbraken.

Bijna een derde van alle herstel-acties loopt zonder tussenkomst van een helpdesk. Onderstaande grafiek geeft het aantal PC's in quarantaine weer op een Nederlandse universiteit vanwege de Sasser wormuitbraak in 2004. De vorm is karakteristiek voor besmettingen op een netwerk met Quarantainenet.

De reacties van mensen in quarantaine zijn geregeld positief, "ik had geen virusscanner geinstalleerd heb ik nu wel gedaan heb hem geupdate met de genoemde file en als het goed is is het nu goed", of ze laten in ieder geval merken dat ze iets geleerd hebben: "Onze computer is helemaal virus proof! geformat en norton geinstalleerd! alles is eraf. We hebben zelfs een nieuw toetsenbord!"

Toekomst

Het valt te verwachten dat in de toekomst op grote netwerken veel vaker gebruik gemaakt zal gaan worden van quarantaine-oplossingen. Hoewel softwarefabrikanten hun best doen om producten veiliger te maken, zien we continu nieuwe en steeds slimmere wormen ontstaan.

Er bestaan ook quarantaine-oplossingen die gebruik maken van een programma op elke aangesloten PC. Alleen als dit programma aangeeft dat de PC aan bepaalde eisen voldoet (patches, virusscanner), wordt deze toegelaten op het netwerk. Dit principe heeft meerdere problemen: mensen moeten verplicht dat programma installeren en het moet voor elk operating system beschikbaar zijn. Het helpt ook niets tegen besmettingen die een PC oploopt nadat hij is toegelaten op het netwerk.

Er wordt gewerkt aan oplossingen waarbij switches zelf het verkeer beperken van en naar PC's die "onregelmatig" gedrag vertonen. Hoewel dit in sommige situaties het verspreiden van virussen kan remmen, zal deze techniek alleen nooit voldoende zijn: het vertragen van een uitbraak is iets anders dan deze stoppen. Bovendien blijft communicatie met de eindgebruiker in deze situatie achterwege.

De beste manier om netwerken in de toekomst schoon te houden, lijkt een combinatie van traditionele technieken, zoals virusscanners, aangevuld met een quarantainenet.

Meer informatie
Quarantainenet BV: www.quarantainenet.nl

Over de auteur
Casper Joost is afgestudeerd bij de faculteit technische informatica van de Universiteit Twente. Na de uitbraak van Blaster in de zomer van 2003, raakte hij betrokken bij een project om te onderzoeken of er een betere oplossing mogelijk zou zijn om dergelijke uitbraken in het vervolg het hoofd te bieden, zowel technisch als in belasting voor de abuse-afdeling. Het in 2003 en 2004 ontwikkelde prototype hiervoor kreeg veel belangstelling vanuit andere Nederlandse universiteitsnetwerken. Dit leidde in 2005 tot de oprichting van Quarantainenet BV, waarvan auteur technisch directeur is.