Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaElek Barna Megváltozta több, mint 10 éve
1
BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security
2
BME HIT Crysys.hu Bencsáth Boldizsár 2004 2 E-mail vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás Tematika
3
BME HIT Crysys.hu Bencsáth Boldizsár 2004 3 Vírusvédelem fontossága Trend Micro: 2003. 1. negyedév: 35 riasztás 2004. 1. negyedév: 232 riasztás (iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1
4
BME HIT Crysys.hu Bencsáth Boldizsár 2004 4 Alapstruktúrák MTA integrált vírusírtással „alig” megkülönböztethető komponensek Internet
5
BME HIT Crysys.hu Bencsáth Boldizsár 2004 5 Alapstruktúrák Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért vírusszűrő MTA/ MDA
6
BME HIT Crysys.hu Bencsáth Boldizsár 2004 6 Alapstruktúrák Dual MTA struktúra middleware-rel relaying, TLS, Auth, domainek local MDA, kiküldés, virtual mailbox alieses vírus, spamkeresés
7
BME HIT Crysys.hu Bencsáth Boldizsár 2004 7 Alapstruktúrák A 0.0.0.0 25, 10025 lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is. 0.0.0.0 25 127.0.0.1 10025 127.0.0.1 10024
8
BME HIT Crysys.hu Bencsáth Boldizsár 2004 8 Alapstruktúrák Mail filtering logika 1 2 3 4 5
9
BME HIT Crysys.hu Bencsáth Boldizsár 2004 9 Alapstruktúrák Queue manipuláció 1 2 3 4 6 5
10
BME HIT Crysys.hu Bencsáth Boldizsár 2004 10 daemonizált mag Víruskereső mag 1 Víruskereső mag 2 ClamAV daemon „file” utility kimtömörítő 1 kimtömörítő 2 unzip Syslog spamassassin client spamassassin daemon RBL 1,2,3Razor (daemon) DCC Bayes mag header checking Visszajelzés karantén archívum (md5)
11
BME HIT Crysys.hu Bencsáth Boldizsár 2004 11 Főbb kérdések a bevezetésben NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett) percent hack, open relay védelem átgondolása víruskereső kiválasztása spam védelem lokális/globális. Bayes DB lokális/globális Vírus, spam NDR (vírus visszajelzés) karantén vagy eldobás tárhely, processzorkapacitás milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.
12
BME HIT Crysys.hu Bencsáth Boldizsár 2004 12 Denial of service attack (DoS) “Magic packet” – Protocol stack hiba (ping of death) “Network bandwidth consumption” “Overloading protocols” (resource consumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés
13
BME HIT Crysys.hu Bencsáth Boldizsár 2004 13 Megoldások Protocol reordering Stateless protocols (memory load-> computation and network load transformation) Tracing the source ( Internet anonimity?!) Ingress filtering, rate control (what, how, which?) Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció
14
BME HIT Crysys.hu Bencsáth Boldizsár 2004 14 DoS és a levelezés Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját) Szerver direkt módon is lebénítható sok „sima” levéllel hibás levelek, továbbítók okozta hurok tárhely elfogyasztása (nagy levéllel) vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.) hibás fejléccel rendelkező levél, stb.
15
BME HIT Crysys.hu Bencsáth Boldizsár 2004 15 védekezés túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) watchdog max. tömörítési arány max. beágyazási mélység header ellenőrzés, tiltás maximális levélméret meghatározás sok, kicsi, legális levél? false NDR (FNDR)?
16
BME HIT Crysys.hu Bencsáth Boldizsár 2004 16 Forgalmi okok Vírus Vírus false NDR (vírusriasztás) Spammer körlevele DHA (Directory Harvest Attack) – címgyűjtés Direkt, célzott DoS támadás Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)
17
BME HIT Crysys.hu Bencsáth Boldizsár 2004 17 Server Model SERVER Source 1 Source 2 Source 3 Source 4 Aggregate Traffic
18
BME HIT Crysys.hu Bencsáth Boldizsár 2004 18 SERVER forrás 1 forrás 2 forrás 3 forrás 4 össz. forgalom nincs támadás támadó 1 támadó 2támadó 3
19
BME HIT Crysys.hu Bencsáth Boldizsár 2004 19 A modell és az SMTP forgalom rendszeres levelek viszonylag modellezhető forgalom valódi kiugrások valódi DoS lehetőség levelek mérete hasonló, nem ingadozik feldolgozási szükséglet hasonló, kevéssé ingadozik tartalom is analizálható lehet nem „túl gyors” offline analízis lehetősége
20
BME HIT Crysys.hu Bencsáth Boldizsár 2004 20 MTA Virus scanner MTA-scanner middleware MDA sender MTA
21
BME HIT Crysys.hu Bencsáth Boldizsár 2004 21 MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA sender MTA Bernstein’s UCSPI-TCP wrapper package
22
BME HIT Crysys.hu Bencsáth Boldizsár 2004 22 MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA (real traffic) messaging server (irc) flooding client (zombie) flooding client control application logging DB for logging (& analysis) logging (successful delivery ) Analysis tools emulation of “real” legal traffic
23
BME HIT Crysys.hu Bencsáth Boldizsár 2004 23 komonensek ma: (tcpserver) adossmtpd (rblsmtpd) adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként) adosstat (állapotválotozó lekérdezés) naplózás stb.
24
BME HIT Crysys.hu Bencsáth Boldizsár 2004 24 … Apr 2 09:14:38 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:43 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:44 fw ster): 213.xxx.9.44 is not filtered Apr 2 09:14:45 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:46 fw ster): unfilter statdb13513 Apr 2 09:14:46 fw ster): xxx.xxx.242.226 unfiltered Apr 2 09:14:47 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:49 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:52 fw ster): xxx.14.130.159 is not filtered Apr 2 09:14:56 fw ster): 80.98.214.xxx is not filtered Apr 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8 Apr 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2) … Apr 2 09:17:50 fw ster): 212.24.xxx.98 is not filtered Apr 2 09:18:03 fw ster): filtered site 80.98.214.xxx FOUND Apr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered … Apr 2 09:50:02 fw ster): 80.98.214.xxx unfiltered Minta naplóbejegyzések
25
BME HIT Crysys.hu Bencsáth Boldizsár 2004 25 Köszönöm a figyelmet! Bencsáth Boldizsár BME HIT Üzleti Adatbiztonság Laboratórium http://www.crysys.hu bencsath@crysys.hu
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.