View
198
Download
0
Category
Preview:
Citation preview
Projekt TurrisDetekce závadného provozu
Robert Šefr • robert.sefr@nic.cz • 11.04.2015
Fifty shades of greylist
● Logy firewallu všech routerů jsou vyhodnocovány na centrálním serveru
● Sledování zdrojových adres, cílových portů a množství požadavků
● Týdenní generování veřejného greylistu: https://www.turris.cz/greylist-data/
We've been naughty● Zatím je málo pokrytá komunikace iniciovaná na
straně sítě za Turrisem, typicky komunikace infikovaných strojů s C&C servery
● Jsou využívány volně dostupné blacklisty
● Botnet trackery (např. Zeus), Malc0de, atd.● Nové zdroje vyhodnocujeme a zvažujeme jejich
zařazení
Laters, baby!● Vlastní detekce infikovaných strojů na základě
analýzy podezřelého odchozího provozu
● Vyhledávání anomálií v provozu odcházejícího z Turrisů – obohacení dat o ASN a geolokaci
● Verifikace podezřelého provozu a odstranění false positives - PassiveDNS, VirusTotal
Děkuji za pozornost
Robert Šefr • robert.sefr@nic.cz • @turris_cz
Děkuji za pozornost
Robert Šefr • robert.sefr@nic.cz • @turris_cz
Recommended