BME HIT Crysys.hu Bencsáth Boldizsár A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security
BME HIT Crysys.hu Bencsáth Boldizsár vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás Tematika
BME HIT Crysys.hu Bencsáth Boldizsár Vírusvédelem fontossága Trend Micro: negyedév: 35 riasztás negyedév: 232 riasztás (iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1
BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák MTA integrált vírusírtással „alig” megkülönböztethető komponensek Internet
BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért vírusszűrő MTA/ MDA
BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Dual MTA struktúra middleware-rel relaying, TLS, Auth, domainek local MDA, kiküldés, virtual mailbox alieses vírus, spamkeresés
BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák A , lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is
BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Mail filtering logika
BME HIT Crysys.hu Bencsáth Boldizsár Alapstruktúrák Queue manipuláció
BME HIT Crysys.hu Bencsáth Boldizsár daemonizált mag Víruskereső mag 1 Víruskereső mag 2 ClamAV daemon „file” utility kimtömörítő 1 kimtömörítő 2 unzip Syslog spamassassin client spamassassin daemon RBL 1,2,3Razor (daemon) DCC Bayes mag header checking Visszajelzés karantén archívum (md5)
BME HIT Crysys.hu Bencsáth Boldizsár Főbb kérdések a bevezetésben NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett) percent hack, open relay védelem átgondolása víruskereső kiválasztása spam védelem lokális/globális. Bayes DB lokális/globális Vírus, spam NDR (vírus visszajelzés) karantén vagy eldobás tárhely, processzorkapacitás milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.
BME HIT Crysys.hu Bencsáth Boldizsár Denial of service attack (DoS) “Magic packet” – Protocol stack hiba (ping of death) “Network bandwidth consumption” “Overloading protocols” (resource consumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés
BME HIT Crysys.hu Bencsáth Boldizsár Megoldások Protocol reordering Stateless protocols (memory load-> computation and network load transformation) Tracing the source ( Internet anonimity?!) Ingress filtering, rate control (what, how, which?) Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció
BME HIT Crysys.hu Bencsáth Boldizsár DoS és a levelezés Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját) Szerver direkt módon is lebénítható sok „sima” levéllel hibás levelek, továbbítók okozta hurok tárhely elfogyasztása (nagy levéllel) vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.) hibás fejléccel rendelkező levél, stb.
BME HIT Crysys.hu Bencsáth Boldizsár védekezés túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) watchdog max. tömörítési arány max. beágyazási mélység header ellenőrzés, tiltás maximális levélméret meghatározás sok, kicsi, legális levél? false NDR (FNDR)?
BME HIT Crysys.hu Bencsáth Boldizsár Forgalmi okok Vírus Vírus false NDR (vírusriasztás) Spammer körlevele DHA (Directory Harvest Attack) – címgyűjtés Direkt, célzott DoS támadás Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)
BME HIT Crysys.hu Bencsáth Boldizsár Server Model SERVER Source 1 Source 2 Source 3 Source 4 Aggregate Traffic
BME HIT Crysys.hu Bencsáth Boldizsár SERVER forrás 1 forrás 2 forrás 3 forrás 4 össz. forgalom nincs támadás támadó 1 támadó 2támadó 3
BME HIT Crysys.hu Bencsáth Boldizsár A modell és az SMTP forgalom rendszeres levelek viszonylag modellezhető forgalom valódi kiugrások valódi DoS lehetőség levelek mérete hasonló, nem ingadozik feldolgozási szükséglet hasonló, kevéssé ingadozik tartalom is analizálható lehet nem „túl gyors” offline analízis lehetősége
BME HIT Crysys.hu Bencsáth Boldizsár MTA Virus scanner MTA-scanner middleware MDA sender MTA
BME HIT Crysys.hu Bencsáth Boldizsár MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA sender MTA Bernstein’s UCSPI-TCP wrapper package
BME HIT Crysys.hu Bencsáth Boldizsár MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA (real traffic) messaging server (irc) flooding client (zombie) flooding client control application logging DB for logging (& analysis) logging (successful delivery ) Analysis tools emulation of “real” legal traffic
BME HIT Crysys.hu Bencsáth Boldizsár komonensek ma: (tcpserver) adossmtpd (rblsmtpd) adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként) adosstat (állapotválotozó lekérdezés) naplózás stb.
BME HIT Crysys.hu Bencsáth Boldizsár … Apr 2 09:14:38 fw ster): xxx is not filtered Apr 2 09:14:43 fw ster): xxx is not filtered Apr 2 09:14:44 fw ster): 213.xxx.9.44 is not filtered Apr 2 09:14:45 fw ster): xxx is not filtered Apr 2 09:14:46 fw ster): unfilter statdb13513 Apr 2 09:14:46 fw ster): xxx.xxx unfiltered Apr 2 09:14:47 fw ster): xxx is not filtered Apr 2 09:14:49 fw ster): xxx is not filtered Apr 2 09:14:52 fw ster): xxx is not filtered Apr 2 09:14:56 fw ster): xxx is not filtered Apr 2 09:15:06 fw ster): filtering traffic shorts_no:8 Apr 2 09:15:06 fw ster): filtered xxx, filtered traf: 0.2 (0.2) … Apr 2 09:17:50 fw ster): xxx.98 is not filtered Apr 2 09:18:03 fw ster): filtered site xxx FOUND Apr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered … Apr 2 09:50:02 fw ster): xxx unfiltered Minta naplóbejegyzések
BME HIT Crysys.hu Bencsáth Boldizsár Köszönöm a figyelmet! Bencsáth Boldizsár BME HIT Üzleti Adatbiztonság Laboratórium