SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo Consiglio Nazionale delle Ricerche Istituto di Elettronica e Ingegneria dell’Informazione e delle Telecomunicazioni (IEIIT)
Sommario Auditing delle SMTP Packet sniffing Reassembler Funzionalità del database Scenario di test Utilizzi di SMTP sniffer Integrazione con WormPoacher Conclusioni
Auditing delle Problemi legati alla gestione delle - Richieste degli utenti ( perse) - Diffusione di virus e worm - Diffusione di spam - Cattiva configurazione del server di posta (open- relay) - Cattiva configurazione delle regole del firewall (es. utilizzo di server SMTP diversi da quello aziendale)
Auditing delle Uso di un SMTP packet sniffer PROCONTRO Centralizza il lavoroESMTP-TLS Non richiede installazioni sui client PGP Analisi di tutto il traffico (non solo del server SMTP interno)
Packet sniffing Implementazione usando la libreria perl Net::Pcap - lookupdev() [ Selezione interfaccia di rete] - open_live() [ Interfaccia in modalità promiscua] - compile() - setfilter() - dump_open() [ Memorizzazione in un file pcap] - loop() [ Inizio dello sniffing] [ Filtro per la cattura ]
Architettura Sniffer ReassemblerDb Engine INTERNET Mysql server
Reassembler Implementazione usando la libreria perl Net::Analysis Implementazione di uno scheduler utilizzando Schedule::Cron per lavorare “on-line” Pcap Slice1 Pcap Slice 2 Pcap Slice 2 Pcap Slice1 Δ packet
Tabella hash flux
Tabella hash TimeFlux
Utilizzo del database Server mysql per la memorizzazione Integrazione di un parser per la selezione dei campi di interesse Per motivi di privacy le informazioni riguardanti il contenuto del messaggio non vengono memorizzate Diverse query per la ricerca di informazioni riguardanti le
Utilizzo del database
Test Rete segmentata in una dozzina di vlan Circa 400 host 5 mail server Confronto tra il metodo on-line e off-line per verificare la correttezza dell’implementazione
Off-line Vs On-line PCAP FILE PCAP SLICES SLICE #1 SLICE #2 SLICE #3 SLICE #n
Scenario di testing
Utilizzi di SMTP sniffer Intrusion Detection - Analisi statistica sulle basata su anomaly – detection - Worm indiretti (diffusione tramite ) - Identificazione dello spam Diagnostic Tool - Cattiva configurazione server di posta - Cattiva configurazione access rules
Wormpoacher Progetto per l’identificazione dei worm basato su analisi statistica delle anomalie Si appoggia a LMA (Log Mail Analyzer) Integrazione di SMTP sniffer in Wormpoacher
Wormpoacher LMAStatistic DBInquirer DB Alert LOG
Wormpoacher SMTP sniffer Statistic DBInquirer DB Alert PCAP
Wormpoacher
Vantaggi di SMTP sniffer Rilevazione dei worm che utilizzano un SMTP engine proprio Indipendenza dal server (LMA supporta solo Postfix e Sendmail) Un’ unica installazione per tutta la rete (LMA prevede un’installazione per ogni server di posta)
Conclusioni SMTP sniffer rappresenta uno strumento valido per l’auditing delle Può essere utilizzato sia per scopi di Intrusion detection che come Tool di diagnostica Effettivo miglioramento del progetto WormPoacher
Sviluppi futuri Costruzione di un motore anti-spam che utilizza le funzionalità statistiche di Wormpoacher e l’analisi dei dati di SMTP sniffer Integrazione con Wormpoacher e analisi dei risultati ottenuti