Upload
aamodt
View
682
Download
3
Embed Size (px)
DESCRIPTION
Presantasjon på norsk om Sikkerhet / Preformance i nettverk
Citation preview
Pakkeanalyse
Magnus Lunde
Max Løvseth
Thomas Aamodt
Forord
Osi-modellen
IPv4 vs IPv6
Trusselobjekter
Pakke analyse
Osi-modellen
Historie
Lagene
Historie
Et behov for en felles modell sett i 1977
ANSI skulle utvikle forslag
Honeywell hadde DSA
DSA videreutviklet av OSI initiativet
Flere protokoller utviklet
Stor motstand blant aktører mot OSI protokoller
OSI ikke brukt annet enn som en beskrivelse av internett
Lagene
Syv lag
Hvert lag utfører oppgaver for laget over det
Ulike protokoller kan for det meste plasserers i ett av lagene
Applikasjon
Utfører tjenester for program prosesser
ROSE/RPC
Protokoller FTP/FTAM
SMTP/x.400
HTTP
Presentasjon
Oppretter felles språk innad i applikasjonslaget
Formattering av data for applikasjonslaget
Kryptering
Komprimmering
Sesjon
Oppretter/kontrollerer forbindelser
Autentisering
Graceful Close
Ubrukt i de fleste programmer
Transport
Overføring av data mellom brukere
Segmentering/desegmentering
Feilkontroll
Protokoller TCP
UDP
TP0->4
Nettverk
Muligjør transport av variable lengder med data over nettverk
Ruting
Protokoller IP/x.25
ICMP
Routing Protokoller
ARP
Data Link
Switching
MAC
Protokoller PPP
SLIP
Fysiske
Fysiske komponenter
Flytkontroll
Modulering av signaler
IPv4 vs IPv6
Problemene til IPv4
Hva ønsker man fra IPv4?
Forbedringene til IPv6
IPsec
Problemene til IPv4
Antall tilgjengelige adresser (2^32)
Oppkjøp av adresseklasser
Skille subnett
Hva ønsker man fra IPv4?
Velge hvem pakkene skal routes gjennom
Sende pakker til et selektivt utvalg mottakere på ulike nett
Mobilitet
Stabilitet
Forbedringene i IPv6
Mer tilgjengelige adresser (2^128)
Integrering av nye teknologier
Forbedret routingalgoritmer og mindre routingtabeller
Mer strukturert packet header
Fleksibilitet mtp protokolltillegg
Sikkerhetsmekanismer
Bakoverkompatibel med IPv4
IPsec
Kryptere trafikk
Bekrefte integritet
Verifisere oppkobling
Trusselobjekter
Virus
Spionprogrammer
Søppelpost
Phishing
Pharming
Sårbarheter
Keylogger
Botnet
Virus
Netsky
Bagle / Mydoom
Sven jaschan
Sasser
Spionprogrammer
Loverspy
Carlos Enriqe Perez Melera
Lov §145
”Den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder eller begge deler. Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler. Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes.”
Søppelpost
Spam
Markedsføringsloven
” forbud mot å sende ut reklame uoppfordret”
Personsopplysningsloven
Robert Alan Soloway
Phishing
Fiske
Svindel
Bank
172.172.172.172/www.nordea.no/login/
172.172.172.172
Phishing rapport
Pharming
Hjemmeside
DNS
C:\windows\system32\drivers\etc\
172.172.172.172 www.nordea.no
127.0.0.1 localhost
Sårbarheter
Keylogger
Pakkeanalyse
Hvordan?
Basislinje
Normal trafikk mønster
Ting som forårsaker forsinkelser
Sikkert
Unormale mønstre å se etter
Signaturer
IP lokasjon
Rapport
Hvordan?
”Hub out the client”
SPAN
TAP
Feilsøking
”Hub out the client”
SPAN
TAP
Basislinje
Hvordan nettverket oppfører seg
Har du noen feil akkurat nå?
Lage statistikker for å sammenligne senere
Normal trafikk
Brukere er fornøyd med kommunikajsonen
Ingen retransmissions
Ingen forsinkelser
Ingen feil
Ingen service nektelser
Minimalt med bakgrunns trafikk
Direkte ruter (mellom rutere)
Forsinkelser
Høy latency
Pakker som blir borte
Retransmissions (sending av nye pakker)
Miskonfigurasjon
Redirections
Blokkeringer
Applikasjon feil
Navn tjener (dns)*
Kommunikasjon status skifting*
* forventes å være "treigt"
Sikkerhet
Ingen klartext sensitiv data synlig
Ingen scans
Ingen unormal port aktivitet
Ingen unormal icmp trafikk (ingen icmp trafikk)
Ingen unormal frame formater
Ingen modifiserte adresser
Ingen DOS angrep
Unormalt å se
TCP/UDP scans
IP scans
Malformed pakker
Invalide ip adresser
Privilegre etterspørseler
Klar text passord
”Phone-home" oppførsel
ICMP?!
Signaturer
Snort.org / Bleedingthreats.net
TCP/IP hederen
Timing
Pattern
Payloaden (innholdet i pakken)
Ip Lokasjon
AFRINIC (afrika)
41,196
ARIN (USA,Canada)24-26,63-76
RIPE (europa,afrika og midt østen)62,80-91,193-195,212-213,217
APNIC (asia,australia,new zealand)125,202-203,210-211,218-222
LACNIC (Latin amerika, caribien)200-201
Dokumentasjon
Pilot
Statistikker
Takk for oss!
Spørsmål?!
GOD SOMMER!