Hálózatbiztonság a gyakorlatban



Hasonló dokumentumok
Angol Középfokú Nyelvvizsgázók Bibliája: Nyelvtani összefoglalás, 30 kidolgozott szóbeli tétel, esszé és minta levelek + rendhagyó igék jelentéssel

Using the CW-Net in a user defined IP network

ANGOL NYELV KÖZÉPSZINT SZÓBELI VIZSGA I. VIZSGÁZTATÓI PÉLDÁNY

ANGOL NYELV KÖZÉPSZINT SZÓBELI VIZSGA I. VIZSGÁZTATÓI PÉLDÁNY

Phenotype. Genotype. It is like any other experiment! What is a bioinformatics experiment? Remember the Goal. Infectious Disease Paradigm

Adatbiztonság a gazaságinformatikában

Hálózatbiztonság a gyakorlatban

Lopocsi Istvánné MINTA DOLGOZATOK FELTÉTELES MONDATOK. (1 st, 2 nd, 3 rd CONDITIONAL) + ANSWER KEY PRESENT PERFECT + ANSWER KEY

(Asking for permission) (-hatok/-hetek?; Szabad ni? Lehet ni?) Az engedélykérés kifejezésére a következő segédigéket használhatjuk: vagy vagy vagy

ANGOL NYELVI SZINTFELMÉRŐ 2013 A CSOPORT. on of for from in by with up to at

FOSS4G-CEE Prágra, 2012 május. Márta Gergely Sándor Csaba

STUDENT LOGBOOK. 1 week general practice course for the 6 th year medical students SEMMELWEIS EGYETEM. Name of the student:

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

A modern e-learning lehetőségei a tűzoltók oktatásának fejlesztésében. Dicse Jenő üzletfejlesztési igazgató

Intézményi IKI Gazdasági Nyelvi Vizsga

Cloud computing. Cloud computing. Dr. Bakonyi Péter.

EXKLUZÍV AJÁNDÉKANYAGOD A Phrasal Verb hadsereg! 2. rész

Minta ANGOL NYELV KÖZÉPSZINT SZÓBELI VIZSGA II. Minta VIZSGÁZTATÓI PÉLDÁNY

Társasjáték az Instant Tanulókártya csomagokhoz

Cloud computing Dr. Bakonyi Péter.

TestLine - Angol teszt Minta feladatsor

Skills Development at the National University of Public Service

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci


SOPHOS simple + secure. A dobozba rejtett biztonság UTM 9. Kókai Gábor - Sophos Advanced Engineer Balogh Viktor - Sophos Architect SOPHOS

Angol szóbeli Információkérés

3. MINTAFELADATSOR KÖZÉPSZINT. Az írásbeli vizsga időtartama: 30 perc. III. Hallott szöveg értése

Smaller Pleasures. Apróbb örömök. Keleti lakk tárgyak Répás János Sándor mûhelyébõl Lacquerware from the workshop of Répás János Sándor

Előszó.2. Starter exercises. 3. Exercises for kids.. 9. Our comic...17

Please stay here. Peter asked me to stay there. He asked me if I could do it then. Can you do it now?

EN United in diversity EN A8-0206/419. Amendment

Correlation & Linear Regression in SPSS

JEROMOS A BARATOM PDF

Tudományos Ismeretterjesztő Társulat

(NGB_TA024_1) MÉRÉSI JEGYZŐKÖNYV

Emelt szint SZÓBELI VIZSGA VIZSGÁZTATÓI PÉLDÁNY VIZSGÁZTATÓI. (A részfeladat tanulmányozására a vizsgázónak fél perc áll a rendelkezésére.

Képleírási segédlet középszintű angol nyelvi vizsgákhoz. Horváth Balázs Zsigmond, Lövey Zoltán. Publio kiadó. Minden jog fenntartva!

ANGOL NYELVI SZINTFELMÉRŐ 2014 A CSOPORT

Tudományos Ismeretterjesztő Társulat

ANGOL NYELVI SZINTFELMÉRŐ 2012 A CSOPORT. to into after of about on for in at from

Longman Exams Dictionary egynyelvű angol szótár nyelvvizsgára készülőknek

ENROLLMENT FORM / BEIRATKOZÁSI ADATLAP

Az egészségügyi munkaerő toborzása és megtartása Európában

Lesson 1 On the train

Genome 373: Hidden Markov Models I. Doug Fowler

TANMENETJAVASLATOK. Általánosságban: egy lecke mindig egy heti anyagot jelent, a heti óraszámnak megfelelően.

Néhány folyóiratkereső rendszer felsorolása és példa segítségével vázlatos bemutatása Sasvári Péter

Az angol nyelv tantárgy 9. évfolyamos osztályozó vizsga témakörei (heti 2 óra)

Computer Architecture

Számítógépes hálózatok

USER MANUAL Guest user

Számítógépes Hálózatok GY 8.hét

Sebastián Sáez Senior Trade Economist INTERNATIONAL TRADE DEPARTMENT WORLD BANK

ANGOL MAGYAR PARBESZEDEK ES PDF

1. Ismerkedés a Hyper-V-vel, virtuális gépek telepítése és konfigurálása

Proxer 7 Manager szoftver felhasználói leírás

Utasítások. Üzembe helyezés

On The Number Of Slim Semimodular Lattices

Tudományos Ismeretterjesztő Társulat

Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network

4. Gyakorlat: Csoportházirend beállítások

Miskolci Egyetem Gazdaságtudományi Kar Üzleti Információgazdálkodási és Módszertani Intézet Factor Analysis

Adatbiztonság a gazaságinformatikában

Cashback 2015 Deposit Promotion teljes szabályzat

A jövedelem alakulásának vizsgálata az észak-alföldi régióban az évi adatok alapján

2. Local communities involved in landscape architecture in Óbuda

Tavaszi Sporttábor / Spring Sports Camp május (péntek vasárnap) May 2016 (Friday Sunday)

mondat ami nélkül ne indulj el külföldre

10. Gyakorlat: Alkalmazások publikálása Remote Desktop Szervízen keresztül

Szakértők és emberek. German Health Team Prof. Armin Nassehi Dr. Demszky Alma LMU München

Can/be able to. Using Can in Present, Past, and Future. A Can jelen, múlt és jövő idejű használata

Teszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW3 SW2. Kuris Ferenc - [HUN] Cisco Blog -

20 éves a Térinformatika Tanszék


1. feladat: Hallgasd meg az angol szöveget, legalább egyszer.

EEA, Eionet and Country visits. Bernt Röndell - SES

Szolgáltatásaink Sog az ITBT-ben. Antidotum 2010

JAVÍTÓ VIZSGA ANGOL NYELV 2015/2016

KN-CP50. MANUAL (p. 2) Digital compass. ANLEITUNG (s. 4) Digitaler Kompass. GEBRUIKSAANWIJZING (p. 10) Digitaal kompas

24th October, 2005 Budapest, Hungary. With Equal Opportunities on the Labour Market

A rosszindulatú daganatos halálozás változása 1975 és 2001 között Magyarországon

Prémium WordPress havi jelentés

discosnp demo - Peterlongo Pierre 1 DISCOSNP++: Live demo

Lexington Public Schools 146 Maple Street Lexington, Massachusetts 02420

Ister-Granum EGTC. Istvan FERENCSIK Project manager. The Local Action Plans to improve project partners crossborder

EGYSZERŰNEK TŰNIK IV. RÉSZ

T Á J É K O Z T A T Ó. A 1108INT számú nyomtatvány a webcímen a Letöltések Nyomtatványkitöltő programok fülön érhető el.

Eladni könnyedén? Oracle Sales Cloud. Horváth Tünde Principal Sales Consultant március 23.

Hálózatbiztonság a. Actual problems, Web vulnerabilities XSS, SQL injection, port scanning: zombie scan. Dr. Bencsáth Boldizsár

Újraszabni Európa egészségügyét II. rész

Statistical Inference

program 1. nap / 1st day (április 15. / 15 april)

11. Gyakorlat: Certificate Authority (CA), FTP site-ok

Mobil webszerverek. Márton Gábor Nokia Research Center. W3C Mobilweb Műhelykonferencia, Budapest október 18.

MODÁLIS SEGÉDIGÉK (Modal Auxiliaries)

Szakmai továbbképzési nap akadémiai oktatóknak december 14. HISZK, Hódmezővásárhely / Webex

9. Gyakorlat: Network Load Balancing (NLB)

Széchenyi István Egyetem

Website review acci.hu

Hetet egy csapásra. Máriás Zoltán TMSI Kft. CISA, CSM, CNE, CASE antidotum 2015

Átírás:

Hálózatbiztonság a gyakorlatban 2015. május 22. Budapest Dr. Bencsáth Boldizsár adjunktus BME Hálózati Rendszerek és Szolgáltatások Tsz. bencsath@crysys.hit.bme.hu

News 2013 Bit9 cracked http://krebsonsecurity.com/2013/02/security-firm-bit9- hacked-used-to-spread-malware/ Supply chain crack Other forums: Buhera.blog.hu Reddit.com/r/netsec Slashdot.org Twitter Bugtraq Full disclosure Linkedin groups 2

News 2013 Adobe 0-day exploit in the wild CVE-2013-0640 and CVE-2013-0641 Appropriate exploit is chosen by javascript Sandbox bypass @boldi: Emet 3.5 TP ROP prot successfully stopped 0day Adobe reader exploit pdf from infecting the system. Use EMET! http://t.co/5k8cdlyf Emet 4.1 http://www.microsoft.com/enus/download/details.aspx?id=41138 3

4

News Symantec Pc Anywhere source code is on torrent SAS 2012 Adobe keynote defensive computing Kernel 2.6.39+ - local root /proc/<pid>/mem write function HF: Tor, PGP, PIDGIN-OTR, 5

Tudom mit tettél tavaly nyáron Feladat: tavaly nyáron egyik nap pontosan megmondani mi volt az IP címe a gépünknek 6

Tartalom - Bevezető. Támadó/védekező szerep. Modellek és alapelvek (feltörés, védekezés). Demo. (Nessus, kernel feltörés scripttel) biztonsági problémák és követelmények áttekintése, egy hálózat a támadó szemszögéből, social engineering,. root kit 7

Case study the always restarting server A server became unreachable sms notification received After some minutes, the server was restarted Investigation: Syslog messages stated that there was a huge overload and the watchdog restarted the server What caused the overload? (Web? Smtp? User programs? Hardware error? Attack? hard to distinguish) There are thousands of e-mails waiting in the queue Deeper investigations show that the source of the messages is one single computer inside the protected network beyond the server Zombie computer (malware infection) sent out thousands of e-mails The server becomes unstable, overloaded, etc. Users don t like it The server will soon be listed on blacklists as known spammer Users don t like it 8

Topology Server Local firewall S w i t c h Infected client Other host Spam target RBL server 9

Topology explained The infected host sends thousands messages to local firewall Rapid delivery (no virus scan, high bandwidth) The host does not recognize that it causes overload (a sophisticated spam tool might avoid this) The local firewall uses a smart host sends all emails to the external SMTP server Goal: To simply local configuration, avoid multiple processing, avoid problems from source IP address changes (e.g. RBL lists), avoid problems with delivery targets who do not accept emails from dynamic IP addresses The real overload happens on the SMTP server (especially in case of virus, spam scanning) Third parties receive email from the server they blame the outside server 10

How to avoid such problems Prevention or detection (proactive vs. reactive) approach? Prevention: Rate limiting but how much and where? How to identify such problems after that (hard to identify slow spamming, or infected computers without malicious activity) SMTP authentication even at the local firewall only against dummy attackers??? Summary: The Internet is full with simple problems that cannot be solved so easy. 11

Reactive approach Identify, analyze the problem: Use watchdog to deal with overloads Alert messages on restart Alert on long queue (blocking, slowing down traffic) Alert on malicious activity (too many english emails from the inside IDS system might need development of new module) Spam scanning from internal emails -> alert, blocking (might not work: email forwarding, delivery error messages) Countermeasures, reactive steps: Filter out e-mails from the infected host (at the local firewall) Delete spam messages on the local firewall and the server (e.g. grep for Received: header line) Notify the administrator of the infected host Check for other infected host in the same network Check RBL servers (might take days to be listed and removed) and try to ask for removal Learn from the case and implement new tools, way to prevent these attacks 12

Contradiction The more alert / error messages the administrator receives, the more likely that he/she will not take care about them If there is no alert, no messages, etc., nobody takes care most of the problems (even root cracks!) 13

Main goal (in Hungarian) A tárgy célja, hogy megismertesse a hallgatókkal a hírközlő hálózatokban a gyakorlatban felmerülő főbb biztonsági problémákat, valamint a hálózatok biztonságos üzemeltetésének gyakorlati kérdéseit, a védekezés módszertanát és eszközeit. A tárgy azokat az ismereteket kívánja integrálni a képzésbe, amelyek meg tudják ismertetni a hallgatókat a gyakorlatban használt módszerekkel és eszközökkel, ugyanakkor hosszabb távon is hasznos, általános tudást és hozzállást is közvetítenek az adatbiztonság területén. 14

Legal aspects This is not a hacker course (Why? Because we are on the good side) Nor an ethical hacker course (Why? Because here tools are just examples We want to tell lessons. Learn to deal with tools at home.) Hacking without preliminary notice is not funny Don t do that! (We have some companies looking for employees much better!) Hungarian law strictly forbids computer crime University rules prohibit such activities, too. After proper consultation about the plans, and with a permission from me, tests can be carried out against some of our systems interactivity is welcome. 15

Levéltitok BTK Levéltitok megsértése 224. (1) Aki a) másnak közlést tartalmazó zárt küldeményét megsemmisíti, a tartalmának megismerése végett felbontja, megszerzi, vagy ilyen célból illetéktelen személynek átadja, illetve b) elektronikus hírközlő hálózat útján másnak továbbított közleményt kifürkész, ha súlyosabb bűncselekmény nem valósul meg, vétség miatt elzárással büntetendő. (2) A büntetés egy évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekményt foglalkozás vagy közmegbízatás felhasználásával követik el. (3) A büntetés a) két évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekmény, b) bűntett miatt három évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény 16

BTK 423 Információs rendszer vagy adat megsértése 423. (1) Aki a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha az (1) bekezdés b)-c) pontjában meghatározott bűncselekmény jelentős számú információs rendszert érint. (3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el. (4) E alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja. 17

BTK 424 Információs rendszer védelmét biztosító technikai intézkedés kijátszása 424. (1) Aki a 375. vagy a 423. -ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását. (3) E alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító. XL 18

Other courses Coding theory BsC, general background, intro to cryptography Data Security basics of data/network security, cryptography Security (and networking) special deep into some aspects Secure programming deep into secure and unsecure programming Practical network security (this course) More information about the practice Deeper insight into actual problems of the real life Show how security protection and assessment tools are working (not exhausting the goal is to understand what is this all about) 19

Házi, részvétel, vizsga Részvételt nem ellenőrzöm Házi feladat kötelező http://www.crysys.hu/courses/hbgyak/ PPT Jelszó: csuka Adatlap: https://www.vik.bme.hu/kepzes/targyak/vihim327/ (kértük módosítását, de ez a hivatalos) a. A szorgalmi időszakban: 1 db házi feladat b. A vizsgaidőszakban: szóbeli vizsga. A vizsgajegy kiszámításának módja: házi feladat 25%, szóbeli vizsga A házi feladat, a pótlási hét csütörtök 12 óráig, különeljárási díj ellenében pótolható. Tehát: Házi feladat nélkül is aláírást kell adnom, de valójában ezt el akarjuk kerülni. 20

News 2014 mobile.businessweek.com/articles/2014-02-21/neiman-marcushackers-set-off-60-000-alerts-while-bagging-credit-card-data Apple SSL validation failure or backdoor SSLVerifySignedServerKeyExchange() a.k.a. The goto epicfail; bug http://www.msuiche.net/2014/02/22/sslverifysignedserverkeyexchangea-k-a-the-goto-epicfail-bug/ if ((err = ReadyHash(&SSLHashSHA1, &hashctx))!= 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &clientrandom))!= 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &serverrandom))!= 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &signedparams))!= 0) goto fail; goto fail; < ============================================== BUG! (backdoor?) if ((err = SSLHashSHA1.final(&hashCtx, &hashout))!= 0) goto fail 21

http://www.ehackingnews.com/2014/02/ec-council-officialwebsite-hacked.html EC Council Certified Ethical Hacker CEH web site defaced Also http://attrition.org/errata/charlatan/ec-council/ MySec Talk http://infoter.eu/video/mysec_talk_extra_spamming_botnet_ kliens_a_boncasztalon 22

Goal for today duction to terms Learn some basics about network security stakeholders, methods, etc. Some examples how tools will be presented with screen recordings 23

http://www.slideshare.net/davidetue/adversary-roi-evaluating-security-from-the-threatactors-perspective 24

25

26

27

28

29

http://www.slideshare.net/davidetue/adversary-roi-evaluating-security-from-thethreat-actors-perspective 30

1. Security stakeholders Security chief (CIO, etc.) Owners/managers Employees Internet Service Provider Contracted professionals (security product vendors, ethical hackers, etc.) Auditors Outsider attackers Everybody has a different goal Everybody has different permissions, possibilities Something working in the classroom might not work in reallife 31

Attackers Internal attackers Script kiddies Internet-wide scans (botnets, worms, etc.) Targeted attackers (with low budget) Professional targeted attackers (high budget) Differences: What tools can they use (budget, knowledge) What time constraint they have How much computing, network resources they have How targeted is the attack What (how deep, sophisticated) is the main goal of an attack (e.g. just have a proxy -> ransom, multi-million dollar theft, obtaining millions of credit cards) 32

Point-of-View of the attacker The attacker focuses on errors rather than what is working Tries to find the weakest point Finds new ways to attack This is why security testing, audits are important! If You learned security, You can avoid typical errors However, It is hard to identify system-wide problems at the first glance, during a large-scale development And nobody has enough time to do everything in a secure fashion It is not impossible to do security testing against Your own work just take a different hat and a bit different thinking, 33

Some practical examples, tools 1. Kernel hack (Script-kiddie style) VIDEO kernel_hack_2618 (10 mins) 34

Kérdések? KÖSZÖNÖM A FIGYELMET! Dr. Bencsáth Boldizsár adjunktus BME Hálózati Rendszerek és Szolgáltatások Tanszék bencsath@crysys.hit.bme.hu 35

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés