Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár.

KiadtaElek Barna Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár."— Előadás másolata:

1 BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security

2 BME HIT Crysys.hu Bencsáth Boldizsár 2004 2 E-mail vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás Tematika

3 BME HIT Crysys.hu Bencsáth Boldizsár 2004 3 Vírusvédelem fontossága Trend Micro: 2003. 1. negyedév: 35 riasztás 2004. 1. negyedév: 232 riasztás (iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1

4 BME HIT Crysys.hu Bencsáth Boldizsár 2004 4 Alapstruktúrák MTA integrált vírusírtással „alig” megkülönböztethető komponensek Internet

5 BME HIT Crysys.hu Bencsáth Boldizsár 2004 5 Alapstruktúrák Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért vírusszűrő MTA/ MDA

6 BME HIT Crysys.hu Bencsáth Boldizsár 2004 6 Alapstruktúrák Dual MTA struktúra middleware-rel relaying, TLS, Auth, domainek local MDA, kiküldés, virtual mailbox alieses vírus, spamkeresés

7 BME HIT Crysys.hu Bencsáth Boldizsár 2004 7 Alapstruktúrák A 0.0.0.0 25, 10025 lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is. 0.0.0.0 25 127.0.0.1 10025 127.0.0.1 10024

8 BME HIT Crysys.hu Bencsáth Boldizsár 2004 8 Alapstruktúrák Mail filtering logika 1 2 3 4 5

9 BME HIT Crysys.hu Bencsáth Boldizsár 2004 9 Alapstruktúrák Queue manipuláció 1 2 3 4 6 5

10 BME HIT Crysys.hu Bencsáth Boldizsár 2004 10 daemonizált mag Víruskereső mag 1 Víruskereső mag 2 ClamAV daemon „file” utility kimtömörítő 1 kimtömörítő 2 unzip Syslog spamassassin client spamassassin daemon RBL 1,2,3Razor (daemon) DCC Bayes mag header checking Visszajelzés karantén archívum (md5)

11 BME HIT Crysys.hu Bencsáth Boldizsár 2004 11 Főbb kérdések a bevezetésben NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett) percent hack, open relay védelem átgondolása víruskereső kiválasztása spam védelem lokális/globális. Bayes DB lokális/globális Vírus, spam NDR (vírus visszajelzés) karantén vagy eldobás tárhely, processzorkapacitás milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.

12 BME HIT Crysys.hu Bencsáth Boldizsár 2004 12 Denial of service attack (DoS) “Magic packet” – Protocol stack hiba (ping of death) “Network bandwidth consumption” “Overloading protocols” (resource consumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés

13 BME HIT Crysys.hu Bencsáth Boldizsár 2004 13 Megoldások Protocol reordering Stateless protocols (memory load-> computation and network load transformation) Tracing the source ( Internet anonimity?!) Ingress filtering, rate control (what, how, which?) Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció

14 BME HIT Crysys.hu Bencsáth Boldizsár 2004 14 DoS és a levelezés Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját) Szerver direkt módon is lebénítható sok „sima” levéllel hibás levelek, továbbítók okozta hurok tárhely elfogyasztása (nagy levéllel) vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.) hibás fejléccel rendelkező levél, stb.

15 BME HIT Crysys.hu Bencsáth Boldizsár 2004 15 védekezés túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) watchdog max. tömörítési arány max. beágyazási mélység header ellenőrzés, tiltás maximális levélméret meghatározás sok, kicsi, legális levél? false NDR (FNDR)?

16 BME HIT Crysys.hu Bencsáth Boldizsár 2004 16 Forgalmi okok Vírus Vírus false NDR (vírusriasztás) Spammer körlevele DHA (Directory Harvest Attack) – címgyűjtés Direkt, célzott DoS támadás Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)

17 BME HIT Crysys.hu Bencsáth Boldizsár 2004 17 Server Model SERVER Source 1 Source 2 Source 3 Source 4 Aggregate Traffic

18 BME HIT Crysys.hu Bencsáth Boldizsár 2004 18 SERVER forrás 1 forrás 2 forrás 3 forrás 4 össz. forgalom nincs támadás támadó 1 támadó 2támadó 3

19 BME HIT Crysys.hu Bencsáth Boldizsár 2004 19 A modell és az SMTP forgalom rendszeres levelek viszonylag modellezhető forgalom valódi kiugrások valódi DoS lehetőség levelek mérete hasonló, nem ingadozik feldolgozási szükséglet hasonló, kevéssé ingadozik tartalom is analizálható lehet nem „túl gyors” offline analízis lehetősége

20 BME HIT Crysys.hu Bencsáth Boldizsár 2004 20 MTA Virus scanner MTA-scanner middleware MDA sender MTA

21 BME HIT Crysys.hu Bencsáth Boldizsár 2004 21 MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA sender MTA Bernstein’s UCSPI-TCP wrapper package

22 BME HIT Crysys.hu Bencsáth Boldizsár 2004 22 MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA (real traffic) messaging server (irc) flooding client (zombie) flooding client control application logging DB for logging (& analysis) logging (successful delivery ) Analysis tools emulation of “real” legal traffic

23 BME HIT Crysys.hu Bencsáth Boldizsár 2004 23 komonensek ma: (tcpserver) adossmtpd (rblsmtpd) adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként) adosstat (állapotválotozó lekérdezés) naplózás stb.

24 BME HIT Crysys.hu Bencsáth Boldizsár 2004 24 … Apr 2 09:14:38 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:43 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:44 fw ster): 213.xxx.9.44 is not filtered Apr 2 09:14:45 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:46 fw ster): unfilter statdb13513 Apr 2 09:14:46 fw ster): xxx.xxx.242.226 unfiltered Apr 2 09:14:47 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:49 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:52 fw ster): xxx.14.130.159 is not filtered Apr 2 09:14:56 fw ster): 80.98.214.xxx is not filtered Apr 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8 Apr 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2) … Apr 2 09:17:50 fw ster): 212.24.xxx.98 is not filtered Apr 2 09:18:03 fw ster): filtered site 80.98.214.xxx FOUND Apr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered … Apr 2 09:50:02 fw ster): 80.98.214.xxx unfiltered Minta naplóbejegyzések

25 BME HIT Crysys.hu Bencsáth Boldizsár 2004 25 Köszönöm a figyelmet! Bencsáth Boldizsár BME HIT Üzleti Adatbiztonság Laboratórium http://www.crysys.hu bencsath@crysys.hu

Letölteni ppt "BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár."

Hasonló előadás

A számítógépes hálózatok és az Internet

A számítógépes hálózatok és az Internet
Tamás Kincső, OSZK, Analitikus Feldolgozó Osztály, osztályvezető A részdokumentumok szolgáltatása az ELDORADO-ban ELDORADO konferencia a partnerkönyvtárakkal.

Tamás Kincső, OSZK, Analitikus Feldolgozó Osztály, osztályvezető A részdokumentumok szolgáltatása az ELDORADO-ban ELDORADO konferencia a partnerkönyvtárakkal.
3 4 5 6 7 8 9 10 11 12 13 14 15 16.

Kamarai prezentáció sablon

Kamarai prezentáció sablon
Feladat Kapcsolat a külvilággal SPAM és Vírus szűrés Biztonság Nem része a szervezetnek Nem AD tag Minimális kommunikáció a szervezettel.

Feladat Kapcsolat a külvilággal SPAM és Vírus szűrés Biztonság Nem része a szervezetnek Nem AD tag Minimális kommunikáció a szervezettel.
Hálózati és Internet ismeretek

Hálózati és Internet ismeretek
Segítség! Felnőttem! Nagy terhelhetőségű, magas rendelkezésreállású rendszerek építési és üzemeltetési útmutatója Kovács Zsolt Szerverhotel igazgató.

Segítség! Felnőttem! Nagy terhelhetőségű, magas rendelkezésreállású rendszerek építési és üzemeltetési útmutatója Kovács Zsolt Szerverhotel igazgató.
Erőállóképesség mérése Találjanak teszteket az irodalomban

Erőállóképesség mérése Találjanak teszteket az irodalomban
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET 2012.03.19.

Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)

Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
IBM IT biztonsági szeminárium június 12. Tóth Vencel

IBM IT biztonsági szeminárium június 12. Tóth Vencel
Budapest University of TE Boldizsár BENCSÁTH, 2004 1 Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of.

Budapest University of TE Boldizsár BENCSÁTH, Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of.
Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.

Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.
Microsoft Üzleti Megoldások Konferencia 2005. Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.

Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Microsoft Forefront biztonsági megoldások

Microsoft Forefront biztonsági megoldások
Humánkineziológia szak

Humánkineziológia szak
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.

© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
A levelezési infrastruktúra hatékony védelmi megoldásai

A levelezési infrastruktúra hatékony védelmi megoldásai
Mellár János 5. óra 2013. Március 12. v 2.1. 2013.07.23.

Mellár János 5. óra Március 12. v
Integrált tartalomszűrő rendszer a Juniper és a Websense segítségével Tartalomszűrés Juniper és Websense segítségével. Budapest, 2007.06.27. Bodnár Gábor,

Integrált tartalomszűrő rendszer a Juniper és a Websense segítségével Tartalomszűrés Juniper és Websense segítségével. Budapest, Bodnár Gábor,

Hasonló előadás

Google Hirdetések