1 Michał Sobiegraj Badanie wydajności aktywnego wykrywania usług sieciowych na portach TCP/UDP
2 TCP i UDP protokoły warstwy czwartej ISO/OSI enkapsulowane w datagramach IP zapewniają rozszerzoną adresację (w obrębie pojedynczego hosta) porty 65535 wartości (dwa bajty oprócz wartości 0) dla każdego z protokołów pozwalają na kierowanie strumienia danych do odpowiedniej aplikacji
3 Porty TCP/UDP porty przydzielone przez IANA: 0 1023 (RFC1700) bind() do portów <1024 wymaga EUID==0 >1023 porty efemeryczne (klienckie) często używane w niestandardowych instalacjach (ew. kiedy EUID!=0) wykorzystywane w niestandardowych aplikacjach wewnętrznych tam należy szukać ewentualnych backdoorów
4 Cele wykrywania usług (1) wykrywanie serwerów, w których znalezione zostały błędy audyt środowiska sieciowego i eliminacja potencjalnie niebezpiecznych usług wykrywanie niestandardowego oprogramowania backdoorów oprogramowania wewnętrznego, które nie powinno być dostępne na zewnątrz
5 Cele wykrywania usług (2) wyszukiwanie potencjalnych celów ataku rekonesans przed podjęciem działań inwazyjnych
6 Metody wykrywania usług (1) inwazyjne (kwestie prawne) łatwe do wykrycia (IDS) trudne do przeprowadzenia (IPS, honey-poty, antyskanery, etc.) unikanie wykrycia i blokady czasochłonne + szybkie Aktywne + daje najbardziej wiarygodne wyniki
7 Metody wykrywania usług (2) + nieinwazyjne + praktycznie niewykrywalne wymaga bycia na linii transmisji albo w tej samej sieci, co skanowane hosty bardzo czasochłonne Pasywne brak pewności czy zebrane dane są kompletne mało wiarygodne wyniki
8 Aktywne wykrywanie usług sprawdzenie, czy konkretny port jest otwarty (w stanie nasłuchiwania) skanowanie nmap, amap, itd. klasyfikacja typu usługi na podstawie interakcji konieczny pełny connect() dopasowywanie odpowiedzi do wzorców zebranie informacji pomocniczych na podstawie bannera dostarczonego przez serwer ze świadomością małej wiarygodności tej informacji
9 Metody skanowania
10 Metody skanowania
11 Obrona antyskanery (PortSentry, etc) IDS mały problem jeśli skanowanie jest uprawnione IPS uniemożliwi ukończenie skanowania honey-poty istotne spowolnienie wykrywania możliwe zafałszowanie wyników firewalle niewielki wpływ na skuteczność skanowania
12 Poprawianie skuteczności skanowanie wstępne z wykorzystaniem trzeciego hosta ( dumb scan) trudne do wykonania wymagane szczególne własności hosta wykorzystywanego spory koszt czasowy możliwe częściowe zrównoleglenie procesu skanowania z procesem klasyfikacji usług możliwość oszukania antyskanerów zmniejszenie opóźnień powodowanych przez honey-poty
13 Cel pracy znalezienie metod powiększających wydajność wykrywania usług na portach scenariusz mapowania wszystkich portów (dopasowywanie usługi do każdego portu począwszy od najbardziej prawdopodobnej) scenariusz znajdowania na jakim porcie słucha konkretna usługa
14 Wydajność skanowania Skanowanie wybiórcze Ilość trafień Skanowanie po kolei Czas
15 Wydajność skanowania Skanowanie wybiórcze IPS Ilość trafień Skanowanie po kolei Czas
16 Metody stosowanie znanych schematów numeracyjnych IANA i inne znane schematy numeracyjne (8080, 8888, 2121, itd) uczenie się w obrębie jednej sieci pomijanie hostów zachowujących się jak honey-poty zmiany kolejności odpytywanych hostów zrównoleglenie odpytań
17 Inne prace w tym zakresie poznanie możliwości skanowania, detekcji hostów i fingerprintingu (koniec lat '90) pasywna analiza wzorców aktywności poszczególnych usług określanie typu aktywności bez interakcji z serwerem uniknięcie metod podszywania się pod znane usługi
18 Pytania?
19 Dziękuję!