A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai

Átírás

1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security BMEHIT Crysys.hu BencsáthBoldizsár 2 1

2 Tematika vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás BMEHIT Crysys.hu BencsáthBoldizsár 2 2

3 Vírusvédelemfontossága Trend Micro: negyedév: 35 riasztás negyedév: 232 riasztás (itnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1 BMEHIT Crysys.hu BencsáthBoldizsár 2 3

4 Alapstruktúrák Internet MTA integrált vírusírtással alig megkülönböztethető komponensek BMEHIT Crysys.hu BencsáthBoldizsár 2

5 Alapstruktúrák vírusszűrő MTA/ MDA Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért BMEHIT Crysys.hu BencsáthBoldizsár 2 5

6 KillVir Alapstruktúrák relaying, TLS, Auth, domainek localmda, kiküldés, virtualmailbox alieses vírus, spamkeresés Dual MTA struktúra middleware-rel BMEHIT Crysys.hu BencsáthBoldizsár 2 6

7 KillVir Alapstruktúrák A... 25, 125 lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is. BMEHIT Crysys.hu BencsáthBoldizsár 2 7

8 Alapstruktúrák KillVir Mail filteringlogika BMEHIT Crysys.hu BencsáthBoldizsár 2 8

9 Alapstruktúrák KillVir Queuemanipuláció BMEHIT Crysys.hu BencsáthBoldizsár 2 9

10 Syslog daemonizált mag header checking archívum (md5) Visszajelzés karantén KillVir spamassassin client kimtömörítő 1 kimtömörítő 2 Bayes mag spamassassin daemon Razor (daemon) RBL1,2,3 Víruskereső mag 1 Víruskereső mag 2 ClamAV daemon DCC unzip file utility BMEHIT Crysys.hu BencsáthBoldizsár 2 1

11 Főbb kérdések a bevezetésben NDR (non-deliveryreport) sima leveleknél (honnan tudja az MTA ki jó címzett) percent hack, open relayvédelem átgondolása víruskereső kiválasztása spam védelem lokális/globális. Bayes DB lokális/globális Vírus, spam NDR (vírus visszajelzés) karantén vagy eldobás tárhely, processzorkapacitás milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb. BMEHIT Crysys.hu BencsáthBoldizsár 2 11

12 Denial of service attack (DoS) Magic packet Protocol stack hiba(ping of death) Network bandwidth consumption Overloading protocols (resourceconsumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés BMEHIT Crysys.hu BencsáthBoldizsár 2 12

13 Megoldások Protocol reordering Stateless protocols (memory load-> computation and network load transformation) Tracing the source ( Internet anonimity?!) Ingress filtering, rate control (what, how, which?) Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció BMEHIT Crysys.hu BencsáthBoldizsár 2 13

14 DoS és a levelezés Sok fake NDR: kiküldött vírusra a visszajelzések megölhetik a hamisított feladó szerverét (és egyébként is zavarják a munkáját) Szerver direkt módon is lebénítható sok sima levéllel hibás levelek, továbbítók okozta hurok tárhely elfogyasztása (nagy levéllel) vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, óriási redundáns fájl tömörítve kicsi stb.) hibás fejléccel rendelkező levél, stb. BMEHIT Crysys.hu BencsáthBoldizsár 2 1

15 védekezés túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) watchdog max. tömörítési arány max. beágyazási mélység headerellenőrzés, tiltás maximális levélméret meghatározás sok, kicsi, legális levél? falsendr (FNDR)? BMEHIT Crysys.hu BencsáthBoldizsár 2 15

16 Forgalmi okok Vírus Vírus falsendr (vírusriasztás) Spammerkörlevele DHA (DirectoryHarvest Attack) címgyűjtés Direkt, célzott DoS támadás Levelezési lista, hírlevél, viral content (adott esetben legális tartalom) BMEHIT Crysys.hu BencsáthBoldizsár 2 16

17 Source 1 Source 2 Server Model Aggregate Traffic SERVER 2 16 Source Source BMEHIT Crysys.hu BencsáthBoldizsár 2 17

18 forrás 1 forrás össz. forgalom nincs támadás össz. forgalom forrás támadó 1 SERVER támadó 2 támadó forrás BMEHIT Crysys.hu BencsáthBoldizsár

19 A modell és az SMTP forgalom rendszeres levelek viszonylag modellezhető forgalom valódi kiugrások valódi DoS lehetőség levelek mérete hasonló, nem ingadozik feldolgozási szükséglet hasonló, kevéssé ingadozik tartalom is analizálható lehet nem túl gyors offlineanalízis lehetősége BMEHIT Crysys.hu BencsáthBoldizsár 2 19

20 sender MTA MTA MTA-scanner middleware Virus scanner MDA BMEHIT Crysys.hu BencsáthBoldizsár 2 2

21 sender MTA DoS front-end client DoS front-end engine TCP wrapper MTA MTA-scanner middleware Virus scanner Bernstein s UCSPI-TCP wrapper package MDA BMEHIT Crysys.hu BencsáthBoldizsár 2 21

22 emulation of real legal traffic Analysis tools DoS front-end client DB for logging (& analysis) DoS front-end engine TCP wrapper MTA MTA-scanner middleware Virus scanner (real traffic) logging messaging server (irc) control application MDA flooding client (zombie) flooding client flooding client logging (successful delivery) BMEHIT Crysys.hu BencsáthBoldizsár 2 22

23 komonensek ma: (tcpserver) adossmtpd (rblsmtpd) adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként) adosstat (állapotválotozólekérdezés) naplózás stb. BMEHIT Crysys.hu BencsáthBoldizsár 2 23

24 Minta naplóbejegyzések Apr 2 9:1:38 fwster): xxx is notfiltered Apr 2 9:1:3 fwster): xxx is notfiltered Apr 2 9:1: fwster): 213.xxx.9. is not filtered Apr 2 9:1:5 fwster): xxx is notfiltered Apr 2 9:1:6 fwster): unfilter statdb13513 Apr 2 9:1:6 fwster): xxx.xxx unfiltered Apr 2 9:1:7 fwster): xxx is notfiltered Apr 2 9:1:9 fwster): xxx is notfiltered Apr 2 9:1:52 fwster): xxx is not filtered Apr 2 9:1:56 fwster): xxx is notfiltered Apr 2 9:15:6 fwster): filtering trafficshorts_no:8 Apr 2 9:15:6 fwster): filtered xxx, filtered traf:.2 (.2) Apr 2 9:17:5 fwster): xxx.98 is notfiltered Apr 2 9:18:3 fwster): filtered site xxx FOUND Apr 2 9:18: fwster): 195.xxx.22.xxxis not filtered Apr 2 9:5:2 fwster): xxx unfiltered BMEHIT Crysys.hu BencsáthBoldizsár 2 2

25 Köszönöm a figyelmet! Bencsáth Boldizsár BMEHIT Üzleti Adatbiztonság Laboratórium bencsath@crysys.hu BMEHIT Crysys.hu BencsáthBoldizsár 2 25