BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár.

Slides:



Advertisements
Hasonló előadás
A számítógépes hálózatok és az Internet
Advertisements

Tamás Kincső, OSZK, Analitikus Feldolgozó Osztály, osztályvezető A részdokumentumok szolgáltatása az ELDORADO-ban ELDORADO konferencia a partnerkönyvtárakkal.

Kamarai prezentáció sablon
Feladat Kapcsolat a külvilággal SPAM és Vírus szűrés Biztonság Nem része a szervezetnek Nem AD tag Minimális kommunikáció a szervezettel.
Hálózati és Internet ismeretek
Segítség! Felnőttem! Nagy terhelhetőségű, magas rendelkezésreállású rendszerek építési és üzemeltetési útmutatója Kovács Zsolt Szerverhotel igazgató.
Erőállóképesség mérése Találjanak teszteket az irodalomban
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
IBM IT biztonsági szeminárium június 12. Tóth Vencel
Budapest University of TE Boldizsár BENCSÁTH, Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of.
Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Microsoft Forefront biztonsági megoldások
Humánkineziológia szak
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
A levelezési infrastruktúra hatékony védelmi megoldásai
Mellár János 5. óra Március 12. v
Integrált tartalomszűrő rendszer a Juniper és a Websense segítségével Tartalomszűrés Juniper és Websense segítségével. Budapest, Bodnár Gábor,
MFG-Pro váll-ir. rendszer bemutatása
2 Forrás: The Standish Group International, Extreme Chaos, The Standish Group International, Inc., 2000.
Utófeszített vasbeton lemez statikai számítása Részletes számítás
A tételek eljuttatása az iskolákba
Elektronikai Áramkörök Tervezése és Megvalósítása
Védőgázas hegesztések
1. IS2PRI2 02/96 B.Könyv SIKER A KÖNYVELÉSHEZ. 2. IS2PRI2 02/96 Mi a B.Könyv KönyvelésMérlegEredményAdóAnalitikaForintDevizaKönyvelésMérlegEredményAdóAnalitikaForintDeviza.
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Áttérés Exchange 2003-ra Gazdasági előnyök Ferencz István konzulens.
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Biztonság. Magas Alacsony A behatoló tudása A támadás okozta kár Cross site scripting jelszó próba port próba jelszó feltörés ismert.
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Szerkezeti elemek teherbírásvizsgálata összetett terhelés esetén:
Sárgarépa piaca hasonlóságelemzéssel Gazdaság- és Társadalomtudományi kar Gazdasági és vidékfejlesztési agrármérnök I. évfolyam Fekete AlexanderKozma Richárd.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Exchange Transport Üzenetek továbbítása Soós Tibor – MCT, MVP
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
Domain Name System – DNS keresése az interneten.
szakmérnök hallgatók számára
A szelektív gyűjtés helyzete, eredményei Kommunikációs kihívások
DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.
A szemcsehatárok tulajdonságainak tudatos módosítása Szabó Péter János BME Anyagtudomány és Technológia Tanszék Anyagvizsgálat a gyakorlatban (AGY 4) 2008.
Tóth Gergely, február BME-MIT Miniszimpózium, Általános célú biztonságos anonimitási architektúra Tóth Gergely Konzulensek: Hornák Zoltán.
2007. május 22. Debrecen Digitalizálás és elektronikus hozzáférés 1 DEA: a Debreceni Egyetem elektronikus Archívuma Karácsony Gyöngyi DE Egyetemi és Nemzeti.
Csurik Magda Országos Tisztifőorvosi Hivatal
A klinikai transzfúziós tevékenység Ápolás szakmai ellenőrzése
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
QualcoDuna interkalibráció Talaj- és levegövizsgálati körmérések évi értékelése (2007.) Dr. Biliczkiné Gaál Piroska VITUKI Kht. Minőségbiztosítási és Ellenőrzési.
Sütő János Statisztikai spamszűrők Hatékony védelem a spam ellen.
Az Internet alkalmazásai
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
1. Melyik jármű haladhat tovább elsőként az ábrán látható forgalmi helyzetben? a) A "V" jelű villamos. b) Az "M" jelű munkagép. c) Az "R" jelű rendőrségi.
Exchange Rendszerkövetelmények Windows Server 2003 (Windows 2000 SP3) CPU 500 MHz RAM 512 MB 200 MB a rendszermeghajtón 500 MB a telepítés helyén.
Adatbányászat Excel 2007-tel
Vírus - Spam. Új célpontok Hagyományos támadási célok:  Szerverek, kiszolgálók, hálózati eszközök  Ma már többnyire megfelelő védelemi rendszerek.
3 4 5 Mailbox szerepkör Mailbox szerepkör Client Access szerepkör Client Access szerepkör Hub Transport szerepkör Hub Transport szerepkör Edge Transport.
Ingyenes,Multi funkcionális tűzfal szoftver
Ismerd meg az ellenségedet és magadat, így sikeres leszel a csatában! Milyen támadók vannak?  Script-kiddie  Think-tank  Robotok, automaták.
> aspnet_regiis -i 8 9 TIPP: Az „Alap” telepítés gyors, nem kérdez, de később korlátozhat.
A KÖVETKEZŐKBEN SZÁMOZOTT KÉRDÉSEKET VAGY KÉPEKET LÁT SZÁMOZOTT KÉPLETEKKEL. ÍRJA A SZÁMOZOTT KÉRDÉSRE ADOTT VÁLASZT, VAGY A SZÁMOZOTT KÉPLET NEVÉT A VÁLASZÍV.
1 Az igazság ideát van? Montskó Éva, mtv. 2 Célcsoport Az alábbi célcsoportokra vonatkozóan mutatjuk be az adatokat: 4-12 évesek,1.
Bevezetés az informatikába 11. előadás Internet. Egyetlen nagy egységes elveken működő világhálózat hálózatok összekapcsolása nagy világhálóvá csomagkapcsolt.
Keresés fajtái Matching (szabadszavas)
DR+HA+B/R+Azure Gál Tamás Datacenter Technical Specialist
Tartalom Fizikai vagy virtuális szerveren futó alkalmazások StorSimple Hybrid Storage Array Helyi adatközpont Microsoft Azure StorSimple Virtual Appliance.
1 Határtalan határvédelem Illés Márton
Kiss Tibor System Administrator (MCP) ISA Server 2006.
AZURE RÉGIÓK Szoftver szolgáltatás SaaS Platform szolgáltatás PaaS Infrastruktúra szolgáltatás IaaS.
SPAMek és vírusok: konvergencia Nemes Dániel
Számítógépes bűnözés.
Előadás másolata:

BME HIT Crysys.hu Bencsáth Boldizsár A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security

BME HIT Crysys.hu Bencsáth Boldizsár vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás Tematika

BME HIT Crysys.hu Bencsáth Boldizsár Vírusvédelem fontossága Trend Micro: negyedév: 35 riasztás negyedév: 232 riasztás (iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1

BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák MTA integrált vírusírtással „alig” megkülönböztethető komponensek Internet

BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért vírusszűrő MTA/ MDA

BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Dual MTA struktúra middleware-rel relaying, TLS, Auth, domainek local MDA, kiküldés, virtual mailbox alieses vírus, spamkeresés

BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák A , lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is

BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Mail filtering logika

BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Queue manipuláció

BME HIT Crysys.hu Bencsáth Boldizsár daemonizált mag Víruskereső mag 1 Víruskereső mag 2 ClamAV daemon „file” utility kimtömörítő 1 kimtömörítő 2 unzip Syslog spamassassin client spamassassin daemon RBL 1,2,3Razor (daemon) DCC Bayes mag header checking Visszajelzés karantén archívum (md5)

BME HIT Crysys.hu Bencsáth Boldizsár Főbb kérdések a bevezetésben NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett) percent hack, open relay védelem átgondolása víruskereső kiválasztása spam védelem lokális/globális. Bayes DB lokális/globális Vírus, spam NDR (vírus visszajelzés) karantén vagy eldobás tárhely, processzorkapacitás milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.

BME HIT Crysys.hu Bencsáth Boldizsár Denial of service attack (DoS) “Magic packet” – Protocol stack hiba (ping of death) “Network bandwidth consumption” “Overloading protocols” (resource consumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés

BME HIT Crysys.hu Bencsáth Boldizsár Megoldások Protocol reordering Stateless protocols (memory load-> computation and network load transformation) Tracing the source ( Internet anonimity?!) Ingress filtering, rate control (what, how, which?) Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció

BME HIT Crysys.hu Bencsáth Boldizsár DoS és a levelezés Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját) Szerver direkt módon is lebénítható sok „sima” levéllel hibás levelek, továbbítók okozta hurok tárhely elfogyasztása (nagy levéllel) vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.) hibás fejléccel rendelkező levél, stb.

BME HIT Crysys.hu Bencsáth Boldizsár védekezés túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) watchdog max. tömörítési arány max. beágyazási mélység header ellenőrzés, tiltás maximális levélméret meghatározás sok, kicsi, legális levél? false NDR (FNDR)?

BME HIT Crysys.hu Bencsáth Boldizsár Forgalmi okok Vírus Vírus false NDR (vírusriasztás) Spammer körlevele DHA (Directory Harvest Attack) – címgyűjtés Direkt, célzott DoS támadás Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)

BME HIT Crysys.hu Bencsáth Boldizsár Server Model SERVER Source 1 Source 2 Source 3 Source 4 Aggregate Traffic

BME HIT Crysys.hu Bencsáth Boldizsár SERVER forrás 1 forrás 2 forrás 3 forrás 4 össz. forgalom nincs támadás támadó 1 támadó 2támadó 3

BME HIT Crysys.hu Bencsáth Boldizsár A modell és az SMTP forgalom rendszeres levelek viszonylag modellezhető forgalom valódi kiugrások valódi DoS lehetőség levelek mérete hasonló, nem ingadozik feldolgozási szükséglet hasonló, kevéssé ingadozik tartalom is analizálható lehet nem „túl gyors” offline analízis lehetősége

BME HIT Crysys.hu Bencsáth Boldizsár MTA Virus scanner MTA-scanner middleware MDA sender MTA

BME HIT Crysys.hu Bencsáth Boldizsár MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA sender MTA Bernstein’s UCSPI-TCP wrapper package

BME HIT Crysys.hu Bencsáth Boldizsár MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA (real traffic) messaging server (irc) flooding client (zombie) flooding client control application logging DB for logging (& analysis) logging (successful delivery ) Analysis tools emulation of “real” legal traffic

BME HIT Crysys.hu Bencsáth Boldizsár komonensek ma: (tcpserver) adossmtpd (rblsmtpd) adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként) adosstat (állapotválotozó lekérdezés) naplózás stb.

BME HIT Crysys.hu Bencsáth Boldizsár … Apr 2 09:14:38 fw ster): xxx is not filtered Apr 2 09:14:43 fw ster): xxx is not filtered Apr 2 09:14:44 fw ster): 213.xxx.9.44 is not filtered Apr 2 09:14:45 fw ster): xxx is not filtered Apr 2 09:14:46 fw ster): unfilter statdb13513 Apr 2 09:14:46 fw ster): xxx.xxx unfiltered Apr 2 09:14:47 fw ster): xxx is not filtered Apr 2 09:14:49 fw ster): xxx is not filtered Apr 2 09:14:52 fw ster): xxx is not filtered Apr 2 09:14:56 fw ster): xxx is not filtered Apr 2 09:15:06 fw ster): filtering traffic shorts_no:8 Apr 2 09:15:06 fw ster): filtered xxx, filtered traf: 0.2 (0.2) … Apr 2 09:17:50 fw ster): xxx.98 is not filtered Apr 2 09:18:03 fw ster): filtered site xxx FOUND Apr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered … Apr 2 09:50:02 fw ster): xxx unfiltered Minta naplóbejegyzések

BME HIT Crysys.hu Bencsáth Boldizsár Köszönöm a figyelmet! Bencsáth Boldizsár BME HIT Üzleti Adatbiztonság Laboratórium