pakke analyse (sikkerhet)

Pakkeanalyse

Magnus Lunde

Max Løvseth

Thomas Aamodt

Forord

Osi-modellen

IPv4 vs IPv6

Trusselobjekter

Pakke analyse

Osi-modellen

Historie

Lagene

Historie

Et behov for en felles modell sett i 1977

ANSI skulle utvikle forslag

Honeywell hadde DSA

DSA videreutviklet av OSI initiativet

Flere protokoller utviklet

Stor motstand blant aktører mot OSI protokoller

OSI ikke brukt annet enn som en beskrivelse av internett

Lagene

Syv lag

Hvert lag utfører oppgaver for laget over det

Ulike protokoller kan for det meste plasserers i ett av lagene

Applikasjon

Utfører tjenester for program prosesser

ROSE/RPC

Protokoller FTP/FTAM

SMTP/x.400

HTTP

Presentasjon

Oppretter felles språk innad i applikasjonslaget

Formattering av data for applikasjonslaget

Kryptering

Komprimmering

Sesjon

Oppretter/kontrollerer forbindelser

Autentisering

Graceful Close

Ubrukt i de fleste programmer

Transport

Overføring av data mellom brukere

Segmentering/desegmentering

Feilkontroll

Protokoller TCP

UDP

TP0->4

Nettverk

Muligjør transport av variable lengder med data over nettverk

Ruting

Protokoller IP/x.25

ICMP

Routing Protokoller

ARP

Data Link

Switching

MAC

Protokoller PPP

SLIP

Fysiske

Fysiske komponenter

Flytkontroll

Modulering av signaler

IPv4 vs IPv6

Problemene til IPv4

Hva ønsker man fra IPv4?

Forbedringene til IPv6

IPsec

Problemene til IPv4

Antall tilgjengelige adresser (2^32)

Oppkjøp av adresseklasser

Skille subnett

Hva ønsker man fra IPv4?

Velge hvem pakkene skal routes gjennom

Sende pakker til et selektivt utvalg mottakere på ulike nett

Mobilitet

Stabilitet

Forbedringene i IPv6

Mer tilgjengelige adresser (2^128)

Integrering av nye teknologier

Forbedret routingalgoritmer og mindre routingtabeller

Mer strukturert packet header

Fleksibilitet mtp protokolltillegg

Sikkerhetsmekanismer

Bakoverkompatibel med IPv4

IPsec

Kryptere trafikk

Bekrefte integritet

Verifisere oppkobling

Trusselobjekter

Virus

Spionprogrammer

Søppelpost

Phishing

Pharming

Sårbarheter

Keylogger

Botnet

Virus

Netsky

Bagle / Mydoom

Sven jaschan

Sasser

Spionprogrammer

Loverspy

Carlos Enriqe Perez Melera

Lov §145

”Den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder eller begge deler. Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler. Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes.”

Søppelpost

Spam

Markedsføringsloven

” forbud mot å sende ut reklame uoppfordret”

Personsopplysningsloven

Robert Alan Soloway

Phishing

Fiske

Svindel

Bank

172.172.172.172/www.nordea.no/login/

172.172.172.172

Phishing rapport

Pharming

Hjemmeside

DNS

C:\windows\system32\drivers\etc\

172.172.172.172 www.nordea.no

127.0.0.1 localhost

Sårbarheter

Keylogger

Pakkeanalyse

Hvordan?

Basislinje

Normal trafikk mønster

Ting som forårsaker forsinkelser

Sikkert

Unormale mønstre å se etter

Signaturer

IP lokasjon

Rapport

Hvordan?

”Hub out the client”

SPAN

TAP

Feilsøking

”Hub out the client”

SPAN

TAP

Basislinje

Hvordan nettverket oppfører seg

Har du noen feil akkurat nå?

Lage statistikker for å sammenligne senere

Normal trafikk

Brukere er fornøyd med kommunikajsonen

Ingen retransmissions

Ingen forsinkelser

Ingen feil

Ingen service nektelser

Minimalt med bakgrunns trafikk

Direkte ruter (mellom rutere)

Forsinkelser

Høy latency

Pakker som blir borte

Retransmissions (sending av nye pakker)

Miskonfigurasjon

Redirections

Blokkeringer

Applikasjon feil

Navn tjener (dns)*

Kommunikasjon status skifting*

* forventes å være "treigt"

Sikkerhet

Ingen klartext sensitiv data synlig

Ingen scans

Ingen unormal port aktivitet

Ingen unormal icmp trafikk (ingen icmp trafikk)

Ingen unormal frame formater

Ingen modifiserte adresser

Ingen DOS angrep

Unormalt å se

TCP/UDP scans

IP scans

Malformed pakker

Invalide ip adresser

Privilegre etterspørseler

Klar text passord

”Phone-home" oppførsel

ICMP?!

Signaturer

Snort.org / Bleedingthreats.net

TCP/IP hederen

Timing

Pattern

Payloaden (innholdet i pakken)

Ip Lokasjon

AFRINIC (afrika)

41,196

ARIN (USA,Canada)24-26,63-76

RIPE (europa,afrika og midt østen)62,80-91,193-195,212-213,217

APNIC (asia,australia,new zealand)125,202-203,210-211,218-222

LACNIC (Latin amerika, caribien)200-201

Dokumentasjon

Pilot

Statistikker

Takk for oss!

Spørsmål?!

GOD SOMMER!