Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoAlbana Verde Modificato 9 anni fa
1
SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo gianluca.papaleo@ieiit.cnr.it Consiglio Nazionale delle Ricerche Istituto di Elettronica e Ingegneria dell’Informazione e delle Telecomunicazioni (IEIIT)
2
Sommario Auditing delle e-mail SMTP Packet sniffing Reassembler Funzionalità del database Scenario di test Utilizzi di SMTP sniffer Integrazione con WormPoacher Conclusioni
3
Auditing delle e-mail Problemi legati alla gestione delle e-mail - Richieste degli utenti (e-mail perse) - Diffusione di virus e worm - Diffusione di spam - Cattiva configurazione del server di posta (open- relay) - Cattiva configurazione delle regole del firewall (es. utilizzo di server SMTP diversi da quello aziendale)
4
Auditing delle e-mail Uso di un SMTP packet sniffer PROCONTRO Centralizza il lavoroESMTP-TLS Non richiede installazioni sui client PGP Analisi di tutto il traffico (non solo del server SMTP interno)
5
Packet sniffing Implementazione usando la libreria perl Net::Pcap - lookupdev() [ Selezione interfaccia di rete] - open_live() [ Interfaccia in modalità promiscua] - compile() - setfilter() - dump_open() [ Memorizzazione in un file pcap] - loop() [ Inizio dello sniffing] [ Filtro per la cattura ]
6
Architettura Sniffer ReassemblerDb Engine INTERNET Mysql server
7
Reassembler Implementazione usando la libreria perl Net::Analysis Implementazione di uno scheduler utilizzando Schedule::Cron per lavorare “on-line” Pcap Slice1 Pcap Slice 2 Pcap Slice 2 Pcap Slice1 Δ packet
8
Tabella hash flux
9
Tabella hash TimeFlux
10
Utilizzo del database Server mysql per la memorizzazione Integrazione di un parser per la selezione dei campi di interesse Per motivi di privacy le informazioni riguardanti il contenuto del messaggio non vengono memorizzate Diverse query per la ricerca di informazioni riguardanti le e-mail
11
Utilizzo del database
12
Test Rete segmentata in una dozzina di vlan Circa 400 host 5 mail server Confronto tra il metodo on-line e off-line per verificare la correttezza dell’implementazione
13
Off-line Vs On-line PCAP FILE PCAP SLICES SLICE #1 SLICE #2 SLICE #3 SLICE #n
14
Scenario di testing
15
Utilizzi di SMTP sniffer Intrusion Detection - Analisi statistica sulle e-mail basata su anomaly – detection - Worm indiretti (diffusione tramite e-mail) - Identificazione dello spam Diagnostic Tool - Cattiva configurazione server di posta - Cattiva configurazione access rules
16
Wormpoacher Progetto per l’identificazione dei worm basato su analisi statistica delle anomalie Si appoggia a LMA (Log Mail Analyzer) Integrazione di SMTP sniffer in Wormpoacher
17
Wormpoacher LMAStatistic DBInquirer DB Alert LOG
18
Wormpoacher SMTP sniffer Statistic DBInquirer DB Alert PCAP
19
Wormpoacher
20
Vantaggi di SMTP sniffer Rilevazione dei worm che utilizzano un SMTP engine proprio Indipendenza dal server e-mail (LMA supporta solo Postfix e Sendmail) Un’ unica installazione per tutta la rete (LMA prevede un’installazione per ogni server di posta)
21
Conclusioni SMTP sniffer rappresenta uno strumento valido per l’auditing delle e-mail Può essere utilizzato sia per scopi di Intrusion detection che come Tool di diagnostica Effettivo miglioramento del progetto WormPoacher
22
Sviluppi futuri Costruzione di un motore anti-spam che utilizza le funzionalità statistiche di Wormpoacher e l’analisi dei dati di SMTP sniffer Integrazione con Wormpoacher e analisi dei risultati ottenuti
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.