Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár.

Hasonló előadás


Az előadások a következő témára: "BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár."— Előadás másolata:

1 BME HIT Crysys.hu Bencsáth Boldizsár A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security

2 BME HIT Crysys.hu Bencsáth Boldizsár vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás Tematika

3 BME HIT Crysys.hu Bencsáth Boldizsár Vírusvédelem fontossága Trend Micro: negyedév: 35 riasztás negyedév: 232 riasztás (iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1

4 BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák MTA integrált vírusírtással „alig” megkülönböztethető komponensek Internet

5 BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért vírusszűrő MTA/ MDA

6 BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Dual MTA struktúra middleware-rel relaying, TLS, Auth, domainek local MDA, kiküldés, virtual mailbox alieses vírus, spamkeresés

7 BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák A , lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is

8 BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Mail filtering logika

9 BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Queue manipuláció

10 BME HIT Crysys.hu Bencsáth Boldizsár daemonizált mag Víruskereső mag 1 Víruskereső mag 2 ClamAV daemon „file” utility kimtömörítő 1 kimtömörítő 2 unzip Syslog spamassassin client spamassassin daemon RBL 1,2,3Razor (daemon) DCC Bayes mag header checking Visszajelzés karantén archívum (md5)

11 BME HIT Crysys.hu Bencsáth Boldizsár Főbb kérdések a bevezetésben NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett) percent hack, open relay védelem átgondolása víruskereső kiválasztása spam védelem lokális/globális. Bayes DB lokális/globális Vírus, spam NDR (vírus visszajelzés) karantén vagy eldobás tárhely, processzorkapacitás milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.

12 BME HIT Crysys.hu Bencsáth Boldizsár Denial of service attack (DoS) “Magic packet” – Protocol stack hiba (ping of death) “Network bandwidth consumption” “Overloading protocols” (resource consumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés

13 BME HIT Crysys.hu Bencsáth Boldizsár Megoldások Protocol reordering Stateless protocols (memory load-> computation and network load transformation) Tracing the source ( Internet anonimity?!) Ingress filtering, rate control (what, how, which?) Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció

14 BME HIT Crysys.hu Bencsáth Boldizsár DoS és a levelezés Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját) Szerver direkt módon is lebénítható sok „sima” levéllel hibás levelek, továbbítók okozta hurok tárhely elfogyasztása (nagy levéllel) vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.) hibás fejléccel rendelkező levél, stb.

15 BME HIT Crysys.hu Bencsáth Boldizsár védekezés túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) watchdog max. tömörítési arány max. beágyazási mélység header ellenőrzés, tiltás maximális levélméret meghatározás sok, kicsi, legális levél? false NDR (FNDR)?

16 BME HIT Crysys.hu Bencsáth Boldizsár Forgalmi okok Vírus Vírus false NDR (vírusriasztás) Spammer körlevele DHA (Directory Harvest Attack) – címgyűjtés Direkt, célzott DoS támadás Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)

17 BME HIT Crysys.hu Bencsáth Boldizsár Server Model SERVER Source 1 Source 2 Source 3 Source 4 Aggregate Traffic

18 BME HIT Crysys.hu Bencsáth Boldizsár SERVER forrás 1 forrás 2 forrás 3 forrás 4 össz. forgalom nincs támadás támadó 1 támadó 2támadó 3

19 BME HIT Crysys.hu Bencsáth Boldizsár A modell és az SMTP forgalom rendszeres levelek viszonylag modellezhető forgalom valódi kiugrások valódi DoS lehetőség levelek mérete hasonló, nem ingadozik feldolgozási szükséglet hasonló, kevéssé ingadozik tartalom is analizálható lehet nem „túl gyors” offline analízis lehetősége

20 BME HIT Crysys.hu Bencsáth Boldizsár MTA Virus scanner MTA-scanner middleware MDA sender MTA

21 BME HIT Crysys.hu Bencsáth Boldizsár MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA sender MTA Bernstein’s UCSPI-TCP wrapper package

22 BME HIT Crysys.hu Bencsáth Boldizsár MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA (real traffic) messaging server (irc) flooding client (zombie) flooding client control application logging DB for logging (& analysis) logging (successful delivery ) Analysis tools emulation of “real” legal traffic

23 BME HIT Crysys.hu Bencsáth Boldizsár komonensek ma: (tcpserver) adossmtpd (rblsmtpd) adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként) adosstat (állapotválotozó lekérdezés) naplózás stb.

24 BME HIT Crysys.hu Bencsáth Boldizsár … Apr 2 09:14:38 fw ster): xxx is not filtered Apr 2 09:14:43 fw ster): xxx is not filtered Apr 2 09:14:44 fw ster): 213.xxx.9.44 is not filtered Apr 2 09:14:45 fw ster): xxx is not filtered Apr 2 09:14:46 fw ster): unfilter statdb13513 Apr 2 09:14:46 fw ster): xxx.xxx unfiltered Apr 2 09:14:47 fw ster): xxx is not filtered Apr 2 09:14:49 fw ster): xxx is not filtered Apr 2 09:14:52 fw ster): xxx is not filtered Apr 2 09:14:56 fw ster): xxx is not filtered Apr 2 09:15:06 fw ster): filtering traffic shorts_no:8 Apr 2 09:15:06 fw ster): filtered xxx, filtered traf: 0.2 (0.2) … Apr 2 09:17:50 fw ster): xxx.98 is not filtered Apr 2 09:18:03 fw ster): filtered site xxx FOUND Apr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered … Apr 2 09:50:02 fw ster): xxx unfiltered Minta naplóbejegyzések

25 BME HIT Crysys.hu Bencsáth Boldizsár Köszönöm a figyelmet! Bencsáth Boldizsár BME HIT Üzleti Adatbiztonság Laboratórium


Letölteni ppt "BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár."

Hasonló előadás


Google Hirdetések