Embed Size (px)
Citation preview
Fifty shades of greylist
● Logy firewallu všech routerů jsou vyhodnocovány na centrálním serveru
● Sledování zdrojových adres, cílových portů a množství požadavků
● Týdenní generování veřejného greylistu: https://www.turris.cz/greylist-data/
We've been naughty● Zatím je málo pokrytá komunikace iniciovaná na
straně sítě za Turrisem, typicky komunikace infikovaných strojů s C&C servery
● Jsou využívány volně dostupné blacklisty
● Botnet trackery (např. Zeus), Malc0de, atd.● Nové zdroje vyhodnocujeme a zvažujeme jejich
zařazení
Laters, baby!● Vlastní detekce infikovaných strojů na základě
analýzy podezřelého odchozího provozu
● Vyhledávání anomálií v provozu odcházejícího z Turrisů – obohacení dat o ASN a geolokaci
● Verifikace podezřelého provozu a odstranění false positives - PassiveDNS, VirusTotal
