SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo Consiglio Nazionale delle Ricerche Istituto di Elettronica.

Slides:



Advertisements
Presentazioni simili
DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.
Advertisements

XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Cos’è la posta elettronica
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Database MySql.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Informatica e Telecomunicazioni
| | Microsoft Certificate Lifecycle Manager.
Microsoft Office Project 2003 Standard La Gestione per Progetti nella Piccola e Media Impresa Ettore dAmico Microsoft Italia.
INTERNET: RISCHI E PERICOLI
Mobile.istat.it Dietro le quinte Paolo Di Domenico
Web mail Una modalità alternativa per accedere alla posta elettronica.
Connessione con MySQL.
WebProfessional Web Content Management System
Realizzazione di un robot mobile controllato mediante comandi labiali
Progetto MODA-ML Biella, 30 novembre 2001 Sistema di interscambio messaggi Luca Mainetti HOC - Hypermedia Open Center Dipartimento di Elettronica e Informazione.
Servizio AntiSPAM RUPA – Roma 28 settembre Servizio AntiSPAM RUPA.
Chiara Francalanci Politecnico di Milano SMAU 22 Ottobre 2004.
Tipo Documento: unità didattica 4 Modulo 14 Compilatore: Antonella Bolzoni Supervisore: Data emissione: Release: Indice: A.Scheda informativa B.Introduzione.
Corso di Informatica per Giurisprudenza Lezione 5
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Gioco di Ruolo Sicurezza su Reti II /07 Commessa – Ufficiale Pagatore Gruppo 1 - NIC Albano Pietro Castiglione Arcangelo Rossomando Enrico Tortora.
Corso di Sicurezza su Reti II
MySQL Query Performance Optimization
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Ottobre 2007 Predisposizione e presentazione della domanda di nullaosta.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
BROKER SERVER Progetto di Ingegneria del Web 2008 Alessio Bianchi Andrea Gambitta Giuseppe Siracusano.
Non solo Gestione Documentale Day "Apparecchiature di elaborazione testi prossima uscita vedrà 'l'inizio del ufficio senza carta …" 1975.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
1 w w w. g a t 4. c o m WI GAT WebIngelligence rappresenta una piattaforma funzionale e tecnologica per la creazione e gestione di un datawarehouse che.
SISTEMA INOLTRO TELEMATICO ISTANZE DECRETO FLUSSI 2010
Un problema importante
In questo tutorial viene spiegato come creare un nuovo account di posta elettronica in Microsoft Outlook con un SMTP autenticato Dalla barra in alto selezionare.
É UN HIDDEN SERVER DI POSTA PUOI COMUNICARE ANCHE CON LE MAIL DI INTERNET.
Corso di WebMaster Mercoledì 14 Novembre. Parte I – Introduzione al Corso Lezione 1: Presentazione Descrizione Breve del Corso Semplice Valutazione.
Diventa blogger Analisi degli obiettivi Piattaforma Wordpress Francesca Sanzo -
Tipo Documento: unità didattica 4 Modulo 14 Compilatore: Antonella Bolzoni Supervisore: Data emissione: Release: Indice: A.Scheda informativa B.Introduzione.
SCHEDA INFORMATIVA DI UNITÀ
Monitoraggio del traffico di posta elettronica Università degli studi di Catania Facoltà di Ingegneria C. d. L. in Elettronica Anno Accademico 2004/2005.
Architettura del Portale Agrologis Utente Modulo F. Data base centrale Active Web Matrix Data Base Multimediale Distribuito Interfacce Visuali Avanzate.
La posta elettronica o è un servizio Internet grazie al quale ogni utente può inviare o ricevere dei messaggi. La sua nascita risale al 1972,
Reti di calcolatori Modulo 3 -Protocolli applicativi Unità didattica 3 – Protocolli di posta elettronica Ernesto Damiani Università degli Studi di Milano.
Università degli studi di Bergamo
OSSEC HIDS, Host Based Intrusion Detection System
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
By: Powered by:. Tecnologia Microsoft La soluzione CCAnalyzer utilizza la tecnologia OLAP (On Line Analytical Processing) di Microsoft presente nel software.
Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:
Progetto di Ingegneria del Web Anno Accademico 2007/2008 Stefano Pigiani Bruno Ricci Marco Ruzzon.
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
1 Ethereal. 2 I protocolli di rete Per meglio comprendere i protocolli di rete, è molto utile vederli “in azione”, osservando la sequenza dei messaggi.
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
30 agosto Progetto Quarantena Gateway Security Appliance.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
Sviluppo ed implementazione di un software per il car pooling
La caccia ai Virus è aperta! VirusBuster Premium anti-malware system Company and product overview.
Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager.
Multiwire s.r.l. Primo distributore Avast! in Italia
Security Monitor and Auditing & Event Management Franco Rasello Angelo Bianchi Integra Spa.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
MAGIC 5 Gruppo LECCE R. Cataldo M.Quarta G. De Nunzio LECCE MAGGIO 2005 R.Cataldo M.Quarta G.De Nunzio Organizzazione della struttura del DB delle immagini.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Progetti 2007 gruppo MAIL Commissione Calcolo e Reti INFN O. Pinazza 12 dicembre 2006.
Scenari di Connessione NTC (1/3)  L’ NTC consente l’accesso remoto alle piattaforme NA distribuite per la rete;  Può lavorare con diverse architetture.
Transcript della presentazione:

SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo Consiglio Nazionale delle Ricerche Istituto di Elettronica e Ingegneria dell’Informazione e delle Telecomunicazioni (IEIIT)

Sommario  Auditing delle  SMTP Packet sniffing  Reassembler  Funzionalità del database  Scenario di test  Utilizzi di SMTP sniffer  Integrazione con WormPoacher  Conclusioni

Auditing delle  Problemi legati alla gestione delle - Richieste degli utenti ( perse) - Diffusione di virus e worm - Diffusione di spam - Cattiva configurazione del server di posta (open- relay) - Cattiva configurazione delle regole del firewall (es. utilizzo di server SMTP diversi da quello aziendale)

Auditing delle  Uso di un SMTP packet sniffer PROCONTRO Centralizza il lavoroESMTP-TLS Non richiede installazioni sui client PGP Analisi di tutto il traffico (non solo del server SMTP interno)

Packet sniffing  Implementazione usando la libreria perl Net::Pcap - lookupdev() [ Selezione interfaccia di rete] - open_live() [ Interfaccia in modalità promiscua] - compile() - setfilter() - dump_open() [ Memorizzazione in un file pcap] - loop() [ Inizio dello sniffing] [ Filtro per la cattura ]

Architettura Sniffer ReassemblerDb Engine INTERNET Mysql server

Reassembler  Implementazione usando la libreria perl Net::Analysis  Implementazione di uno scheduler utilizzando Schedule::Cron per lavorare “on-line” Pcap Slice1 Pcap Slice 2 Pcap Slice 2 Pcap Slice1 Δ packet

Tabella hash flux

Tabella hash TimeFlux

Utilizzo del database  Server mysql per la memorizzazione  Integrazione di un parser per la selezione dei campi di interesse  Per motivi di privacy le informazioni riguardanti il contenuto del messaggio non vengono memorizzate  Diverse query per la ricerca di informazioni riguardanti le

Utilizzo del database

Test  Rete segmentata in una dozzina di vlan  Circa 400 host  5 mail server  Confronto tra il metodo on-line e off-line per verificare la correttezza dell’implementazione

Off-line Vs On-line PCAP FILE PCAP SLICES SLICE #1 SLICE #2 SLICE #3 SLICE #n

Scenario di testing

Utilizzi di SMTP sniffer  Intrusion Detection - Analisi statistica sulle basata su anomaly – detection - Worm indiretti (diffusione tramite ) - Identificazione dello spam  Diagnostic Tool - Cattiva configurazione server di posta - Cattiva configurazione access rules

Wormpoacher  Progetto per l’identificazione dei worm basato su analisi statistica delle anomalie  Si appoggia a LMA (Log Mail Analyzer)  Integrazione di SMTP sniffer in Wormpoacher

Wormpoacher LMAStatistic DBInquirer DB Alert LOG

Wormpoacher SMTP sniffer Statistic DBInquirer DB Alert PCAP

Wormpoacher

Vantaggi di SMTP sniffer  Rilevazione dei worm che utilizzano un SMTP engine proprio  Indipendenza dal server (LMA supporta solo Postfix e Sendmail)  Un’ unica installazione per tutta la rete (LMA prevede un’installazione per ogni server di posta)

Conclusioni  SMTP sniffer rappresenta uno strumento valido per l’auditing delle  Può essere utilizzato sia per scopi di Intrusion detection che come Tool di diagnostica  Effettivo miglioramento del progetto WormPoacher

Sviluppi futuri  Costruzione di un motore anti-spam che utilizza le funzionalità statistiche di Wormpoacher e l’analisi dei dati di SMTP sniffer  Integrazione con Wormpoacher e analisi dei risultati ottenuti