Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Veröffentlicht von:Tabea Zeiner Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"—  Präsentation transkript:

1 Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119 gwdg@gwdg.de www.gwdg.de von Schnelle Virenerkennung im Funk-LAN Andreas Ißleiber

2 2 Schnelle Virenerkennung im Funk-LAN Das Problem Viren/Trojaner/Würmer verteilen sich schnell im Funk- LAN Hohe Netzwerkbelastung im Funk-LAN durch virulentes Verhalten (meist geringere Bandbreite als im kabelgebundenem Netz)

3 3 Schnelle Virenerkennung im Funk-LAN Wie sich Viren ausbreiten … Ziel des Virus: Möglichst schnelle Ausbreitung Durch scannen der lokalen IP-Adressen Einige Viren ignorieren die Subnetzmaske und gehen dach der Netzklasse der IP-Adresse (A,B,C,D) Im Beispiel würde ein Virus 16.777.216 Adressen scannen Unsystematisches Scannen der IP bei manchen Viren Beispiel: Besitzt ein befallener Rechner die... IP-Adresse = 10.100.4.17... mit der z.B. im Göttinger FunkLAN üblichen... Subnetzmaske = 255.255.0.0... so weiß der Virus, das der Rechner an einem Netzwerk angebunden ist, in diesem sich bis zu... 2^16 - 2 = 65534 … weitere Rechner befinden könnten. Beispiel: 10.100.20.6 10.100.20.91 10.100.20.67 10.100.20.45

4 4 Schnelle Virenerkennung im Funk-LAN Die Erkennung Vor der Ausbreitung erfolgen die Broadcasts bei Layer 3 (IP-Ebene):255.255.255.255 bei Layer 2 (MAC): FF.FF.FF.FF.FF.FF Erkennung durch ARP-Requests(Broadcasts), die ein Virus aussendet, um zu Kommunizieren Erkennung erfolgt in einer Broadcastdomain

5 5 Schnelle Virenerkennung im Funk-LAN ARP-Requests 5/04, GWDG, A.Ißleiber ARP-Request Broadcast: Wer hat die MAC für die IP 10.100.4.1 ? IP: 10.100.4.17 MAC: 0a:23:df:7b:12:0f IP: 10.100.4.1 MAC: 0f:26:af:0b:56:29 1 Lokales Netz 2 3 ARP-Reply Antwort an 10.100.4.17: MAC-Adresse ist 0f:26:af:0b:56:29 Direkte Kommunikation zwischen 10.100.4.17 10.100.4.1 auf IP-Ebene bzw. 0a:23:df:7b:12:0f 0f:26:af:0b:56:29 auf MAC-Address Ebene (Layer 2) Funktionsprinzip bei ARP (Address Resolution Protocol) Broadcast-domäne Ablauf:

6 6 Schnelle Virenerkennung im Funk-LAN Die Komponenten der Virenerkennung 1.) Kontinuierlich laufendes ARP-Watch (Sammeln von IP MAC-Adress-Paaren und Zeitpunkt) 2.) TCPDUMP zur Ausgabe der ARP-Requests im Netz (tcpdump -i eth1 arp ) MAC-AdresseIP-AdresseUhrzeit (Anzahl Sek. seit 1.1.1970) 00:34:4b:f0:1f:23 10.100.4.214 1082447389 0d:5d:6d:25:23:2c 10.100.5.76 1083780490 00:22:df:78:5f:32 10.100.5.23 1083200653 00:c6:f1:25:98:7a 10.100.5.65 1082644826... Uhrzeit ZieladresseQuelladresse 12:08:52.765935 arp who-has 10.100.64.204 tell 10.100.4.124 12:08:52.857136 arp who-has 10.100.75.151 tell 10.100.4.124 12:08:52.864701 arp who-has 10.100.21.8 tell10.100.4.124 12:08:52.866496 arp who-has 10.100.128.38 tell 10.100.4.124 12:08:52.923046 arp who-has 10.100.4.22 tell 10.100.4.22 Virulent!

7 7 Schnelle Virenerkennung im Funk-LAN Die Auswertung TCPDUMP starten alle 3 Minuten für die Dauer von 2 Minuten Mehr als 500 ARP-Requests in 2 Minuten werden alsvirulent angesehen Der Benutzer wird automatisch via eMail über die Infektion informiert und Hilfe zur Beseitigung angeboten @

8 8 Schnelle Virenerkennung im Funk-LAN 5/04, GWDG, A.Ißleiber Aussenden vieler ARP-Request-Broadcasts durch Ausbreitungsversuche des Virus 1 Internes VLAN 4 5 Automatische eMail-Benachrichtigung des Benutzers über wahrscheinliche Infektion seines Rechners. Gleichzeitig Vorschläge zur Beseitigung des Virus/Trojaner. Eintrag der MAC-Adresse des infizierten Rechners im RADIUS-Server als gesperrt markieren. Prinzip der aktiven Früherkennung virulenten Verhaltens im Funk-LAN RADIUS Server Ablauf: Internet VPN Gateway der GWDG SCAN Rechner zur Netzüberwachung 1 4 5 Funk LAN Accesspoint 6 2 2 Erkennen der Virenaktivität durch Empfang multible ARP-Broadcasts, welche von einem PC ausgehen ( >= 200 / Minute) 3 3 Sammeln der Daten der Verbindungen des Benutzers - eMail Adresse aus MAC-Adressen Datenbank - MAC- / IP Adresse - Volumina & Zeitpunkt - Anzahl d. Broadcasts 6 MAC-Adresse des infizierten Rechners ist am Accesspoint gesperrt. Weiterer Zugang zum FunkLAN nicht mehr möglich Liste des Netzwerkscan Erkennen der ARP-Requests (TCPDUMP) Liste der MAC- & IP-Adressen Paare im FunkLAN … 12:08:52.765935 arp who-has 10.100.64.204 tell 10.100.4.124 12:08:52.857136 arp who-has 10.100.75.151 tell 10.100.4.124 12:08:52.864701 arp who-has 10.100.21.8 tell 10.100.4.124 12:08:52.866496 arp who-has 10.100.128.38 tell 10.100.4.124 12:08:52.923046 arp who-has 10.100.4.22 tell 10.100.4.22 … 00:34:4b:f0:1f:23 10.100.4.214 1082447389 0d:5d:6d:25:23:2c 10.100.5.76 1083780490 00:22:df:78:5f:32 10.100.5.23 1083200653 00:c6:f1:25:98:7a 10.100.5.65 1082644826 …

9 9 Schnelle Virenerkennung im Funk-LAN Vor- Nachteile, Resonanz -Erkennung gelingt sinnvoll nur in Broadcastdomain +Viren/Trojaner werden erkannt, bevor! überhaupt Signaturen der AV Programme existieren +Bei Werten von >=400 nahezu 100% Trefferquote +Positive Resonanz bei Benutzern

10 10 Schnelle Virenerkennung im Funk-LAN Wie geht´s nun weiter ? Erkennung von illegalen IP-Adressen im FunkLAN (Durch ARPWATCH) Erkennung von illegalen DHCP Servern Erkennung von abnormalem Verhalten im Funk- LAN/Netzwerken Automatische Erkennung auch im kabelgebundenem Netz (z.T. realisiert) (kommt bald, wird durch DA ergänzt)

11 11 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! Vortrag ist unter: … http://www.gwdg.de/forschung/veranstaltungen/workshops/security_ws_2004/index.html http://www.gwdg.de/forschung/veranstaltungen/workshops/security_ws_2004/index.html … zu finden ? ?

Herunterladen ppt "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"

Ähnliche Präsentationen

Von Hubs zu VLANs.

Von Hubs zu VLANs.
Andreas Ißleiber (aisslei@gwdg.de) Netzwerk Grundlagen 10/2009 Andreas Ißleiber (aisslei@gwdg.de) http://www.gwdg.de/~aisslei.

Andreas Ißleiber Netzwerk Grundlagen 10/2009 Andreas Ißleiber
Powerpoint-Präsentation

Powerpoint-Präsentation
BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:

BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:
Anzahl der ausgefüllten und eingesandten Fragebögen: 211

Anzahl der ausgefüllten und eingesandten Fragebögen: 211
2. Link Layer Lernziele: Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.

2. Link Layer Lernziele: Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.
Die Firewall in der Musterlösung

Die Firewall in der Musterlösung
Dr. Hergen Scheck, BBS Lüchow, 2003

Dr. Hergen Scheck, BBS Lüchow, 2003
Lokale und globale Netzwerke

Lokale und globale Netzwerke
XLAB Lehrerfortbildung 2011

XLAB Lehrerfortbildung 2011
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Göttinger FunkLAN GoeMobile Chancen für den schnellen Netzzugang

Göttinger FunkLAN GoeMobile Chancen für den schnellen Netzzugang
Andreas Ißleiber andreas.issleiber@gwdg.de WLAN Andreas Ißleiber andreas.issleiber@gwdg.de.

Andreas Ißleiber WLAN Andreas Ißleiber
Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)

Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)
VoIP- und Videolösungen bei der GWDG

VoIP- und Videolösungen bei der GWDG
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 201-2150

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
SPAM 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN DPZ O

SPAM 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN DPZ O

Ähnliche Präsentationen

Google-Anzeigen