SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo Consiglio Nazionale delle Ricerche Istituto di Elettronica.

Presentazione sul tema: "SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo Consiglio Nazionale delle Ricerche Istituto di Elettronica."— Transcript della presentazione:

1 SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo gianluca.papaleo@ieiit.cnr.it Consiglio Nazionale delle Ricerche Istituto di Elettronica e Ingegneria dell’Informazione e delle Telecomunicazioni (IEIIT)

2 Sommario  Auditing delle e-mail  SMTP Packet sniffing  Reassembler  Funzionalità del database  Scenario di test  Utilizzi di SMTP sniffer  Integrazione con WormPoacher  Conclusioni

3 Auditing delle e-mail  Problemi legati alla gestione delle e-mail - Richieste degli utenti (e-mail perse) - Diffusione di virus e worm - Diffusione di spam - Cattiva configurazione del server di posta (open- relay) - Cattiva configurazione delle regole del firewall (es. utilizzo di server SMTP diversi da quello aziendale)

4 Auditing delle e-mail  Uso di un SMTP packet sniffer PROCONTRO Centralizza il lavoroESMTP-TLS Non richiede installazioni sui client PGP Analisi di tutto il traffico (non solo del server SMTP interno)

5 Packet sniffing  Implementazione usando la libreria perl Net::Pcap - lookupdev() [ Selezione interfaccia di rete] - open_live() [ Interfaccia in modalità promiscua] - compile() - setfilter() - dump_open() [ Memorizzazione in un file pcap] - loop() [ Inizio dello sniffing] [ Filtro per la cattura ]

6 Architettura Sniffer ReassemblerDb Engine INTERNET Mysql server

7 Reassembler  Implementazione usando la libreria perl Net::Analysis  Implementazione di uno scheduler utilizzando Schedule::Cron per lavorare “on-line” Pcap Slice1 Pcap Slice 2 Pcap Slice 2 Pcap Slice1 Δ packet

8 Tabella hash flux

9 Tabella hash TimeFlux

10 Utilizzo del database  Server mysql per la memorizzazione  Integrazione di un parser per la selezione dei campi di interesse  Per motivi di privacy le informazioni riguardanti il contenuto del messaggio non vengono memorizzate  Diverse query per la ricerca di informazioni riguardanti le e-mail

11 Utilizzo del database

12 Test  Rete segmentata in una dozzina di vlan  Circa 400 host  5 mail server  Confronto tra il metodo on-line e off-line per verificare la correttezza dell’implementazione

13 Off-line Vs On-line PCAP FILE PCAP SLICES SLICE #1 SLICE #2 SLICE #3 SLICE #n

14 Scenario di testing

15 Utilizzi di SMTP sniffer  Intrusion Detection - Analisi statistica sulle e-mail basata su anomaly – detection - Worm indiretti (diffusione tramite e-mail) - Identificazione dello spam  Diagnostic Tool - Cattiva configurazione server di posta - Cattiva configurazione access rules

16 Wormpoacher  Progetto per l’identificazione dei worm basato su analisi statistica delle anomalie  Si appoggia a LMA (Log Mail Analyzer)  Integrazione di SMTP sniffer in Wormpoacher

17 Wormpoacher LMAStatistic DBInquirer DB Alert LOG

18 Wormpoacher SMTP sniffer Statistic DBInquirer DB Alert PCAP

19 Wormpoacher

20 Vantaggi di SMTP sniffer  Rilevazione dei worm che utilizzano un SMTP engine proprio  Indipendenza dal server e-mail (LMA supporta solo Postfix e Sendmail)  Un’ unica installazione per tutta la rete (LMA prevede un’installazione per ogni server di posta)

21 Conclusioni  SMTP sniffer rappresenta uno strumento valido per l’auditing delle e-mail  Può essere utilizzato sia per scopi di Intrusion detection che come Tool di diagnostica  Effettivo miglioramento del progetto WormPoacher

22 Sviluppi futuri  Costruzione di un motore anti-spam che utilizza le funzionalità statistiche di Wormpoacher e l’analisi dei dati di SMTP sniffer  Integrazione con Wormpoacher e analisi dei risultati ottenuti