A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai

Hasonló dokumentumok
DHA VÉDELMI RENDSZER EREDMÉNYEINEK STATISZTIKAI VIZSGÁLATA

Levelező szerverek. Hargitai Gábor november 28.

UNIX / Linux rendszeradminisztráció III. előadás

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető.

Budapesti Műszaki Egyetem

EMTP, EGY ÚJ LEVELEZÕ PROTOKOLL ÉS IMPLEMENTÁCIÓJA

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Bencsáth Boldizsár Absztrakt Bevezetés

és DKIM. Kadlecsik József MTA Wigner Fizikai Kutatóközpont ISZT 2018, Budapest

NIIF Központi Elosztott Szolgáltatói Platform

Informatikai biztonság a kezdetektől napjainkig

Elektronikus levelek vírus és SPAM szűrése

Qmail Öreg ember, nem vén ember

2023 ban visszakeresné 2002 es leveleit? l Barracuda Message Archiver. Tóth Imre Kereskedelmi Igazgató Avisys Kft Barracuda Certified Diamond Partner

Számítógépes Hálózatok Felhasználói réteg DNS, , http, P2P

Felhasználói réteg. Számítógépes Hálózatok Domain Name System (DNS) DNS. Domain Name System

Számítógépes Hálózatok GY 8.hét

Postfilter I. Spamszűrési módszerek és eljárások. Kadlecsik József KFKI RMKI

Fábián Zoltán Hálózatok elmélet

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

fájl-szerver (file server) Az a számítógép a hálózatban, amelyen a távoli felhasználók (kliensek) adatállományait tárolják.

Elektronikus levelek vírus és SPAM szűrése

a felsőoktat zményekben XXI. Századi megoldások

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Fábián Zoltán Hálózatok elmélet

Számítógépes munkakörnyezet II. Szoftver

SPF és spamszűrés. Kadlecsik József KFKI RMKI

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

Radware terhelés-megosztási megoldások a gyakorlatban

Új módszerek hálózati szolgáltatás-megtagadásos problémák kezelésére

Simon Balázs Dr. Goldschmidt Balázs Dr. Kondorosi Károly. BME, Irányítástechnika és Informatika Tanszék

Spamszűrési módszerek és eljárások. Kadlecsik József KFKI RMKI

DHA támadás elleni védekezés központosított szûréssel

Postfilter. Kadlecsik József KFKI RMKI

Osztott alkalmazások fejlesztési technológiái Áttekintés

Elektronikus információbiztonsági oktatási koncepció

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

SOPHOS simple + secure. A dobozba rejtett biztonság UTM 9. Kókai Gábor - Sophos Advanced Engineer Balogh Viktor - Sophos Architect SOPHOS

Hálózati réteg, Internet

Tűzfalak. Database Access Management

Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI

Hetet egy csapásra. Máriás Zoltán TMSI Kft. CISA, CSM, CNE, CASE antidotum 2015

Fábián Zoltán Hálózatok elmélet

PC Connect. Unique ewsletter. program leírás

Cisco Alkalmazásközpontú Application Centric Infrastructure

Department of Software Engineering

DDoS támadások, detektálás, védekezés. Galajda József - Core Transport Network Planning Expert

A T-Online Adatpark és Dataplex hálózati megoldásai

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

Névfeloldás hosts, nsswitch, DNS

Ethernet/IP címzés - gyakorlat

Köszönetnyilvánítás... xi. 1. Csak most, csak neked Előszó Reklámok mindenhol Törvényi szabályozás... 13

Számítógépes Hálózatok 2012

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

IP Telefónia és Biztonság

Bendes László * AZ -HASZNÁLAT AKTUÁLIS KÉRDÉSEI

Számítógépes hálózatok

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Statisztikai alap (2009) - main

Az IT biztonság kihívásai

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Kategóriák szerinti web-szűrés, állományok titkosítása és NAC. Mindez mobilon. - Sophos Mobile Control 4.0

Hálózatvédelem, biztonság

Szalai Ferenc

Nyomokban malware-t tartalmazhat!

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Hálózatok építése és üzemeltetése. Hálózatbiztonság 1.

Klotz Tamás earchitect Oracle

Szolgáltatási szerződés Szerződésszám: 2010/ web-hoszting szolgáltatási csomagról (egyéni előfizetők részére)

Az internetes levelezésről Erlich János CsaTolna Egyesület

Számítógépes Hálózatok GY 8.hét

A Compagnon hálózati visszaélésekkel kapcsolatos szabályzata

Pánczél Zoltán / Lyukvadászok szabálykönyve

The Power To Develop. i Develop

Adatbiztonság gazdasági informatikusoknak

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei

Technológia az adatszivárgás ellen

Statisztikai alap (2006) - main

SACColni pedig kell Szolgáltatás tudatos kontroll és számlázás Service Aware Control and Charging

Felhasználói réteg. Számítógépes Hálózatok Domain Name System (DNS) (RFC 821/822) Domain Name System

Új módszerek és eszközök infokommunikációs hálózatok forgalmának vizsgálatához

JAVA webes alkalmazások

Data Integrátorok a gyakorlatban Oracle DI vs. Pentaho DI Fekszi Csaba Ügyvezető Vinnai Péter Adattárház fejlesztő február 20.

13. gyakorlat Deák Kristóf

Vírusmentesítés naplóelemző eszközökkel

Szolgáltatási csomagok I-SZERVIZ Kft. érvényes szeptember 1-től

SIP. Jelzés a telefóniában. Session Initiation Protocol

Számítógépes Hálózatok GY 9.hét

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

INTERNET. internetwork röviden Internet /hálózatok hálózata/ 2010/2011. őszi félév

Statisztikai alap kia.hu (2009) - main

Intelligens közlekedés: a járműipar és járműirányítás IKT igényei, a VehicleICT projekt. Lengyel László lengyel@aut.bme.hu

SzIP kompatibilis sávszélesség mérések

Excel ODBC-ADO API. Tevékenységpontok: - DBMS telepítés. - ODBC driver telepítése. - DSN létrehozatala. -Excel-ben ADO bevonása

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

Számítógép kártevők. Számítógép vírusok (szűkebb értelemben) Nem rezidens vírusok. Informatika alapjai-13 Számítógép kártevők 1/6

Accor Hospitality komplex distribution rendszere

Weboldalak biztonsága

Végpont védelem könnyen és praktikusan

Számítógépes hálózatok

Átírás:

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security BMEHIT Crysys.hu BencsáthBoldizsár 2 1

Tematika E-mail vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás BMEHIT Crysys.hu BencsáthBoldizsár 2 2

Vírusvédelemfontossága Trend Micro: 23. 1. negyedév: 35 riasztás 2. 1. negyedév: 232 riasztás (itnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1 BMEHIT Crysys.hu BencsáthBoldizsár 2 3

Alapstruktúrák Internet MTA integrált vírusírtással alig megkülönböztethető komponensek BMEHIT Crysys.hu BencsáthBoldizsár 2

Alapstruktúrák vírusszűrő MTA/ MDA Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért BMEHIT Crysys.hu BencsáthBoldizsár 2 5

KillVir Alapstruktúrák relaying, TLS, Auth, domainek localmda, kiküldés, virtualmailbox alieses vírus, spamkeresés Dual MTA struktúra middleware-rel BMEHIT Crysys.hu BencsáthBoldizsár 2 6

KillVir Alapstruktúrák... 25 127...1 125 127...1 12 A... 25, 125 lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is. BMEHIT Crysys.hu BencsáthBoldizsár 2 7

Alapstruktúrák 5 1 2 3 KillVir Mail filteringlogika BMEHIT Crysys.hu BencsáthBoldizsár 2 8

Alapstruktúrák 6 1 2 5 3 KillVir Queuemanipuláció BMEHIT Crysys.hu BencsáthBoldizsár 2 9

Syslog daemonizált mag header checking archívum (md5) Visszajelzés karantén KillVir spamassassin client kimtömörítő 1 kimtömörítő 2 Bayes mag spamassassin daemon Razor (daemon) RBL1,2,3 Víruskereső mag 1 Víruskereső mag 2 ClamAV daemon DCC unzip file utility BMEHIT Crysys.hu BencsáthBoldizsár 2 1

Főbb kérdések a bevezetésben NDR (non-deliveryreport) sima leveleknél (honnan tudja az MTA ki jó címzett) percent hack, open relayvédelem átgondolása víruskereső kiválasztása spam védelem lokális/globális. Bayes DB lokális/globális Vírus, spam NDR (vírus visszajelzés) karantén vagy eldobás tárhely, processzorkapacitás milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb. BMEHIT Crysys.hu BencsáthBoldizsár 2 11

Denial of service attack (DoS) Magic packet Protocol stack hiba(ping of death) Network bandwidth consumption Overloading protocols (resourceconsumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés BMEHIT Crysys.hu BencsáthBoldizsár 2 12

Megoldások Protocol reordering Stateless protocols (memory load-> computation and network load transformation) Tracing the source ( Internet anonimity?!) Ingress filtering, rate control (what, how, which?) Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció BMEHIT Crysys.hu BencsáthBoldizsár 2 13

DoS és a levelezés Sok fake NDR: kiküldött vírusra a visszajelzések megölhetik a hamisított feladó szerverét (és egyébként is zavarják a munkáját) Szerver direkt módon is lebénítható sok sima levéllel hibás levelek, továbbítók okozta hurok tárhely elfogyasztása (nagy levéllel) vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, óriási redundáns fájl tömörítve kicsi stb.) hibás fejléccel rendelkező levél, stb. BMEHIT Crysys.hu BencsáthBoldizsár 2 1

védekezés túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) watchdog max. tömörítési arány max. beágyazási mélység headerellenőrzés, tiltás maximális levélméret meghatározás sok, kicsi, legális levél? falsendr (FNDR)? BMEHIT Crysys.hu BencsáthBoldizsár 2 15

Forgalmi okok Vírus Vírus falsendr (vírusriasztás) Spammerkörlevele DHA (DirectoryHarvest Attack) címgyűjtés Direkt, célzott DoS támadás Levelezési lista, hírlevél, viral content (adott esetben legális tartalom) BMEHIT Crysys.hu BencsáthBoldizsár 2 16

2 2 16 12 8 2 2 16 Source 1 Source 2 Server Model 1 9 8 7 6 5 3 2 1 Aggregate Traffic 12 8 2 SERVER 2 16 Source 3 12 8 2 2 16 12 8 Source BMEHIT Crysys.hu BencsáthBoldizsár 2 17

2 2 16 12 8 2 2 16 12 8 forrás 1 forrás 2 1 9 8 7 6 5 3 2 1 össz. forgalom nincs támadás 1 9 8 7 6 5 3 2 1 össz. forgalom 2 2 16 12 8 forrás 3 2 2 16 12 8 támadó 1 SERVER támadó 2 támadó 3 2 2 16 12 8 forrás BMEHIT Crysys.hu BencsáthBoldizsár 2 18 2 2 16 12 8 2 2 16 12 8

A modell és az SMTP forgalom rendszeres levelek viszonylag modellezhető forgalom valódi kiugrások valódi DoS lehetőség levelek mérete hasonló, nem ingadozik feldolgozási szükséglet hasonló, kevéssé ingadozik tartalom is analizálható lehet nem túl gyors offlineanalízis lehetősége BMEHIT Crysys.hu BencsáthBoldizsár 2 19

sender MTA MTA MTA-scanner middleware Virus scanner MDA BMEHIT Crysys.hu BencsáthBoldizsár 2 2

sender MTA DoS front-end client DoS front-end engine TCP wrapper MTA MTA-scanner middleware Virus scanner Bernstein s UCSPI-TCP wrapper package MDA BMEHIT Crysys.hu BencsáthBoldizsár 2 21

emulation of real legal traffic Analysis tools DoS front-end client DB for logging (& analysis) DoS front-end engine TCP wrapper MTA MTA-scanner middleware Virus scanner (real traffic) logging messaging server (irc) control application MDA flooding client (zombie) flooding client flooding client logging (successful delivery) BMEHIT Crysys.hu BencsáthBoldizsár 2 22

komonensek ma: (tcpserver) adossmtpd (rblsmtpd) adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként) adosstat (állapotválotozólekérdezés) naplózás stb. BMEHIT Crysys.hu BencsáthBoldizsár 2 23

Minta naplóbejegyzések Apr 2 9:1:38 fwster): 8.98.21.xxx is notfiltered Apr 2 9:1:3 fwster): 8.98.21.xxx is notfiltered Apr 2 9:1: fwster): 213.xxx.9. is not filtered Apr 2 9:1:5 fwster): 8.98.21.xxx is notfiltered Apr 2 9:1:6 fwster): unfilter statdb13513 Apr 2 9:1:6 fwster): xxx.xxx.22.226 unfiltered Apr 2 9:1:7 fwster): 8.98.21.xxx is notfiltered Apr 2 9:1:9 fwster): 8.98.21.xxx is notfiltered Apr 2 9:1:52 fwster): xxx.1.13.159 is not filtered Apr 2 9:1:56 fwster): 8.98.21.xxx is notfiltered Apr 2 9:15:6 fwster): filtering.2717128571286 trafficshorts_no:8 Apr 2 9:15:6 fwster): filtered 8.98.21.xxx, filtered traf:.2 (.2) Apr 2 9:17:5 fwster): 212.2.xxx.98 is notfiltered Apr 2 9:18:3 fwster): filtered site8.98.21.xxx FOUND Apr 2 9:18: fwster): 195.xxx.22.xxxis not filtered Apr 2 9:5:2 fwster): 8.98.21.xxx unfiltered BMEHIT Crysys.hu BencsáthBoldizsár 2 2

Köszönöm a figyelmet! Bencsáth Boldizsár BMEHIT Üzleti Adatbiztonság Laboratórium http://www.crysys.hu bencsath@crysys.hu BMEHIT Crysys.hu BencsáthBoldizsár 2 25

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés