Budapesti Műszaki Egyetem

Hasonló dokumentumok
DHA VÉDELMI RENDSZER EREDMÉNYEINEK STATISZTIKAI VIZSGÁLATA

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

DHA támadás elleni védekezés lehet sége a támadók felismerése és központosított tiltása segítségével

DHA támadás elleni védekezés központosított szûréssel

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető.

Fábián Zoltán Hálózatok elmélet

DHA VÉDELMI RENDSZER EREDMÉNYEINEK STATISZTIKAI VIZSGÁLATA

Szolgáltatási csomagok I-SZERVIZ Kft. érvényes szeptember 1-től

Információ és kommunikáció

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

A T-Online Adatpark és Dataplex hálózati megoldásai

2023 ban visszakeresné 2002 es leveleit? l Barracuda Message Archiver. Tóth Imre Kereskedelmi Igazgató Avisys Kft Barracuda Certified Diamond Partner

Elektronikus információbiztonsági oktatási koncepció

Informatikai biztonság a kezdetektől napjainkig

Elektronikus levelek. Az informatikai biztonság alapjai II.

ELTE, IK, Információs Rendszerek Tanszék

A Java EE 5 plattform

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

Információ és kommunikáció

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai

Ficsor Lajos Általános Informatikai Tanszék Miskolci Egyetem

Hálózati operációs rendszerek II.

Számítógépes Hálózatok Felhasználói réteg DNS, , http, P2P

Felhasználói réteg. Számítógépes Hálózatok Domain Name System (DNS) DNS. Domain Name System

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

SPF és spamszűrés. Kadlecsik József KFKI RMKI

Szabó Géza, Bencsáth Boldizsár DHA támadás elleni védekezés központosított szûréssel 2. Szabó István Tûzfalszabályok felderítése 10

Intelligens biztonsági megoldások. Távfelügyelet

IV. Számítógépes vírusok és védekezési módszerek

2008 IV. 22. Internetes alkalmazások forgalmának mérése és osztályozása. Április 22.

Informatikai biztonság alapjai

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Levelező kliensek beállítása

Adja meg, hogy ebben az esetben mely handshake üzenetek kerülnek átvitelre, és vázlatosan adja meg azok tartalmát! (8p)

Spamszűrési módszerek és eljárások. Kadlecsik József KFKI RMKI

IVS Szervertelepítés és aktiválás

Élő webes alkalmazások rendszerfelügyelete cím- és tartalomteszteléssel

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Adatbiztonság PPZH május 20.

ALKALMAZÁSOK ISMERTETÉSE

Információ és kommunikáció

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Active Directory kiegészítő kiszolgálók telepítése és konfigurálása Windows Server 2003 R2 alatt

Névfeloldás hosts, nsswitch, DNS

Digitális aláíró program telepítése az ERA rendszeren

MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

2 Outlook 2016 zsebkönyv

Hálózati szolgáltatások biztosításának felügyeleti elemei

Levelező szerverek. Hargitai Gábor november 28.

A KASPERSKY SECURITY CENTER

Számítógépes munkakörnyezet II. Szoftver

Mobil vírusirtók. leírása. i-store.hu Szoftver webáruház

KAMIONIRÁNYÍTÓ RENDSZER

Postfilter I. Spamszűrési módszerek és eljárások. Kadlecsik József KFKI RMKI

Postfilter. Kadlecsik József KFKI RMKI

KTV továbbképzési és oktatási program 2011

Többrétegű műszaki nyilvántartás. NETinv

Marketing szolgáltatás tájékoztató

Tartalomjegyzék ÁLTALÁNOS ISMERETEK... 1 LEVELEZÉS... 15

Hírlevél küldés kézikönyv

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Sokan nehezen tudják elképzelni, hogy hogyan és hol tudják az jeiket megkapni.

1117 Budapest, Kaposvár u Faxszám: 06-80/

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Digitális aláíró program telepítése az ERA rendszeren

Marketing szolgáltatás tájékoztató

InCa NMS jelen és jövő HFC Technics szakmai napok

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

1. tétel. A kommunikáció információelméleti modellje. Analóg és digitális mennyiségek. Az információ fogalma, egységei. Informatika érettségi (diák)

Mértékegységek a számítástechnikában

Az Internet. avagy a hálózatok hálózata

LINUX LDAP címtár. Mi a címtár?

Hálózati hibakezelés menete az NIIF Intézetnél XI.06. XIII. HBONE Workshop Balatongyörök. Mácsai Gábor Szabó Ferenc

Fábián Zoltán Hálózatok elmélet

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés

és DKIM. Kadlecsik József MTA Wigner Fizikai Kutatóközpont ISZT 2018, Budapest

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

egy postafiókra, amit azonosítóval és jelszóval érünk el internetkapcsolat levelező alkalmazás (levelező-kliens program vagy web-es felület)

ÚTMUTATÓ AZ ÜZLETI INTERNETKAPCSOLATRÓL

VÍZIKÖZMŰ-ONLINE ÉS VÍZHASZNÁLAT-ONLINE ADATFELDOLGOZÓ RENDSZEREK

OE-NIK 2010/11 ősz OE-NIK ősz

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

Internet ROUTER. Motiváció

HÁLÓZATBIZTONSÁG III. rész

Tartalomszolgáltatási Tájékoztató

Univernet fantázianevű internet és adathálózati szolgáltatása

IVS Szervertelepítés és aktiválás

K&H Központosított felhasználó adminisztráció gyakorlati megvalósítása

Webtárhely létrehozása a helyen. Lépések Teendő 1. Böngészőbe beírni: 2. Jobb oldalon regisztrálni (tárhelyigénylés).

Önkiszolgáló BI Az üzleti proaktivítás eszköze. Budapest,

EgroupWare: A csoportmunka megoldás

Ariadne Kábeltesztelő Rendszer. Neuron intelligens megoldások a kábelipar számára.

Technológia az adatszivárgás ellen

A rendszer célja. Funkciók

Elektronikus levelezés

NETFONE TELECOM TÁVKÖZLÉSI ÉS SZOLGÁLTATÓ KFT. ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK ELEKTRONIKUS HÍRKÖZLÉSI SZOLGÁLTATÁSOK IGÉNYBEVÉTELÉRE

NETFONE TELECOM TÁVKÖZLÉSI SZOLGÁLTATÓ KFT. ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK ELEKTRONIKUS HÍRKÖZLÉSI SZOLGÁLTATÁSOK IGÉNYBEVÉTELÉRE 2/C SZÁMÚ MELLÉKLET

Átírás:

Budapesti Műszaki Egyetem Híradástechnikai Tanszék DHA támadás elleni védekezés lehetősége a támadók felismerése és központosított tiltása segítségével Szabó Géza (szabog@crysys.hu) Szabó Gábor (szaboga@crysys.hu) Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 1.

Bevezető E-mail cím őrzése egyre növekvő mennyiségű kéretlen levél - SPAM levélben terjedő vírusok más kártékony kódok Kinek is adjuk oda az e-mail címünket? valamilyen online fórumon weblapunkon: mailto:szabog@crysys.hu helyette <szabog at crysys dot hu> vagy képként névjegyünkön cím-kinyerő (DHA) támadás Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 2.

Cím-kinyerő támadás Általános problémák SMTP protokoll röviden: jó levél: nincs visszajelzés az e-mail szerver felől nem létező felhasználó címére: azonnali vagy későbbi visszajelzés A DHA támadás alapgondolata: rengeteg levelet küldeni az adott e-mail szervernek Azokról a címekről, amelyekről nem érkezik válasz, nyilvántartást felvenni. érvényes cím címlista A cím kijutás mellett: DoS Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 3.

Cím-kinyerő támadás Támadás fajtái felhasznált levél cél-cím alapján brute force tipikusan előforduló e-mail címek felhasznált forrás IP-cím alapján a támadó ugyanarról az IP címről próbálkozik több IP címmel rendelkezik (disztributív DHA) Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 4.

Támadás fajtái brute force Mar 30 06:56:49 shamir sm-mta[19028]: j2u4umvy019028: <ujubi@ebizlab.hit.bme.hu>... User Mar 30 06:57:21 shamir sm-mta[1385]: j2u4vkfx001385: <akuh@ebizlab.hit.bme.hu>... User u Mar 30 06:57:48 shamir sm-mta[9917]: j2u4vmq8009917: <puugun@ebizlab.hit.bme.hu>... User Mar 30 06:58:16 shamir sm-mta[24614]: j2u4wfwz024614: <rije@ebizlab.hit.bme.hu>... User Mar 30 06:58:44 shamir sm-mta[6924]: j2u4wijv006924: <baji@ebizlab.hit.bme.hu>... User u Mar 30 06:59:08 shamir sm-mta[15334]: j2u4x8sj015334: <wigelu@ebizlab.hit.bme.hu>... Use Mar 30 06:59:37 shamir sm-mta[18230]: j2u4xbq4018230: <umez@ebizlab.hit.bme.hu>... User Mar 30 07:00:04 shamir sm-mta[1665]: j2u504uo001665: <rupuru@ebizlab.hit.bme.hu>... User Mar 30 07:00:41 shamir sm-mta[24998]: j2u50f1k024998: <dazazu@ebizlab.hit.bme.hu>... Use Mar 30 07:01:12 shamir sm-mta[6332]: j2u51cby006332: <feno@ebizlab.hit.bme.hu>... User u Mar 30 07:01:47 shamir sm-mta[20374]: j2u51l0o020374: <zile@ebizlab.hit.bme.hu>... User Mar 30 07:02:21 shamir sm-mta[3755]: j2u52lft003755: <jinofa@ebizlab.hit.bme.hu>... User Mar 30 07:02:56 shamir sm-mta[19705]: j2u52ugo019705: <peno@ebizlab.hit.bme.hu>... User Mar 30 07:03:27 shamir sm-mta[14252]: j2u53qhe014252: <ridus@ebizlab.hit.bme.hu>... User Mar 30 07:04:02 shamir sm-mta[20525]: j2u542ma020525: <ropa@ebizlab.hit.bme.hu>... User Mar 30 07:04:35 shamir sm-mta[16265]: j2u54zhc016265: <efihika@ebizlab.hit.bme.hu>... Us Mar 30 07:05:09 shamir sm-mta[22642]: j2u558or022642: <izew@ebizlab.hit.bme.hu>... User Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 5.

Támadás fajtái Tipikusan előforduló e-mail címek Feb Feb Feb Feb 8 08:04:18 shamir sm-mta[7594]: j1874hl5007594: <Vulcan@ebizlab.hit.bme.hu>... User 8 08:18:09 shamir sm-mta[14063]: j187i9es014063: <snowman@ebizlab.hit.bme.hu>... Us 8 08:34:22 shamir sm-mta[1441]: j187yljs001441: <Ricardo@ebizlab.hit.bme.hu>... Use 8 08:36:15 shamir sm-mta[14478]: j187yljs001451: <Rambo@ebizlab.hit.bme.hu>... User Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 6.

Lehetséges védekezések Új program elemet nem igénylő módszerek E-mail cím választással bonyolultra választott e-mail címek: brute-force támadások ellen haszontalan egyszer használatos e-mail cím Szerver konfigurálással fogadjon el minden e-mailt és ne jelezzen vissza róla senkinek, a téves leveleket eldobjuk A megoldás problémái: a levélküldők nem tudják meg, hogy a cím nem létezik: eláraszthatják a szervert téves levelekkel legitim felhasználók sem kapnak visszajelzést a tévesen címzett levelekről Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 7.

Lehetséges védekezések Kitudódott, majd megszűntetett postafiók... Feb 1 00:02:53 shamir sm-mta[19185]: j0vn2u1v019185: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 00:03:07 shamir sm-mta[17881]: j0vn368v017881: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 00:06:48 shamir sm-mta[22743]: j0vn6ikz022743: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 00:08:03 shamir sm-mta[32292]: j0vn80qc032292: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 00:13:52 shamir sm-mta[28568]: j0vndolb028568: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 00:23:21 shamir sm-mta[4271]: j0vnnkvd004271: <boldi@ebizlab.hit.bme.hu>... No su Feb 1 00:27:37 shamir sm-mta[20856]: j0vnrn4n020856: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 00:43:38 shamir sm-mta[19782]: j0vnhbtd019782: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 00:44:26 shamir sm-mta[17623]: j0vnipto017623: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 00:49:26 shamir sm-mta[9012]: j0vnnppz009012: <boldi@ebizlab.hit.bme.hu>... No su Feb 1 01:00:52 shamir sm-mta[19872]: j1100m3t019872: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 01:03:47 shamir sm-mta[25275]: j1103k9e025275: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 01:04:09 shamir sm-mta[2484]: j11048sf002484: <boldi@ebizlab.hit.bme.hu>... No su Feb 1 01:23:34 shamir sm-mta[16822]: j110nwr6016822: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 01:25:48 shamir sm-mta[3599]: j110pnes003599: <boldi@ebizlab.hit.bme.hu>... No su Feb 1 01:37:50 shamir sm-mta[30723]: j110bleq030723: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 01:37:56 shamir sm-mta[25189]: j110br66025189: <boldi@ebizlab.hit.bme.hu>... No s Feb 1 01:52:01 shamir sm-mta[32132]: j110pxfn032132: <boldi@ebizlab.hit.bme.hu>... No s Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 8.

Lehetséges védekezések Új program elemet igénylő módszerek Hoszt alapú védelem. Minden résztvevőnek saját önműködő rendszere van, amely a döntéseit egyéb rendszerektől függetlenül hozza. A támadás szűrését a levéltovábbítás során keletkező hibaüzenetek alapján lehet elvégezni. Hálózaton alapuló védelem. A rendszer a hálózat egyéb résztvevőivel együttműködve próbál védekezeni a DHA támadás ellen. Olyan rendszer is védhető, akit még meg sem támadtak. Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 9.

A mi megoldásunk Felépítés Hálózaton alapuló védelmet valósítja meg. Felépítés: egy syslog elemző egy spam detektor víruskereső rész A jelentések és lekérdezések DNS query-ként utaznak a hálózaton. Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 10.

A mi megoldásunk A rendszer működése 1. ábra. A komponensek kapcsolata Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 11.

A prototípus Jelentés generálás 2. ábra. A jelentés generálás Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 12.

A prototípus Szűrés 3. ábra. A szűrés menete Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 13.

Téves riasztások kezelése Öregítés véletlen cím elgépelés öregítés adminisztrátor vezérelt öregítés egyszerű öregítés több-fázisú öregítés Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 14.

A rendszerünk vizsgálata Előnyei A rendszer szerver oldalának megvalósítása is RBL-alapú és integrálható más rendszerekbe. A rendszerünk komponens-alapú: a riportolás és a tiltás különválasztható egy már meglevő rendszer is kiegészíthető vele, illetve akár csak bizonyos komponenseivel, így növelve a meglévő hatékonyságát is a komponensek transzparensek kívülről, így a kiesésük esetén nem teszik a rendszert használhatatlanná a DHA komponenssel együttműködnek vírus és spamszűrő modulok is Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 15.

A rendszerünk vizsgálata Támadás a rendszer ellen DoS támadás az RBL-szerver ellen. Alacsony szinten detektálja a szerver a támadó lekérdezéseket és nem kezd erőforrás igényes adatbázis műveletekbe. Lekérdezések helyességéről meggyőződünk Hibás adatok bevitele. Korlátozott számú adminisztrátor A módosításokról napló készül Támogatja a rendszer egy korábbi állapotra való visszaállást. Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 16.

A rendszerünk vizsgálata A védelem eredményessége A központosított szűrés eredményeképpen a támadó csak egy nagyon korlátozott számú próbát tehet a védett domain-eken. A támadó címeit sorban feljegyzi, így azt a többi védett domain-en sem tudja felhasználni támadásra. A zombie gépeit is elveszti ezáltal. A támadó által kiküldendő e-mailek számát is megnöveli Nyeresége csökken jelentősen Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 17.

A rendszerünk vizsgálata A védelem eredményessége (folyt.) Dinamikus IP címek. Log fájl vizsgálat valós-időben: újra és újra bekerül a központi adatbázisba a támadó a címcsere esetén is. Figyelmeztetés küldése. Terveinkben szerepel, hogy a rendszer automatikusan vagy adminisztrátor segítségével jelentést küldjön a támadó ISP-jének, vagy a zombie tulajdonosának. Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 18.

A mi megoldásunk A rendszer további szolgáltatásai Rendszerünk összeköthető spam-felismerő szoftverekkel is. Erőforrások megtakarítása Vírusos levél tartalom esetén is jelentés készül. Korábban ismertetett virusflags-server motorját kombinálja. (Tavaly került részletesebben ismertetésre...) Ha a támadó egyszer DHA-zik, spam-el vagy vírusokat küld, akkor már mást nem fog tudni a védett hálózaton. Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 19.

A mi megoldásunk Konklúzió Bemutatásra került egy hálózaton alapuló védekezési mechanizmus a DHA támadók ellen. A rendszerünket használva csökkenteni lehet a levelező szerver terheltségét megszűntetve a DHA támadásokat, és elkerülni a kitudódott e-mail címeinkre érkező spam-ek áradatát. Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 20.

A mi megoldásunk Eddigi eredmények Helyi illetőségű címek, amikről eddig DHA támadták a levelező szerverünket: 217.65.98.75: (Tiszanet, fix IP) naponta több min 4000 (!) levél 82.131.136.226: (Invitel, ADSL-pool) naponta kb. 400 levél 82.131.138.24: valószínűleg ugyanaz a valaki 82.131.137.65: valószínűleg ugyanaz a valaki 62.77.226.136: (Vivendi, ADSL-pool) naponta kb. 200 levél... Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 21.

A mi megoldásunk Megtalálható... Egyelőre adatokat gyűjtünk. Mások csatlakozásást is szívesen vesszük: http://pics.etl.hu/ szabog/ados/html/index.html a statisztikai interface syslog analyzer is letölthető CVS-ből a pics-etl.hu-ról a DHA front-end is letölthető CVS-ből a pics-etl.hu-ról Szabó Géza DHA elleni védekezés a támadók felismerése és központosított tiltása segítségével 22.