Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Slides:



Advertisements
Ähnliche Präsentationen
Von Hubs zu VLANs.
Advertisements

Andreas Ißleiber Netzwerk Grundlagen 10/2009 Andreas Ißleiber
Powerpoint-Präsentation
BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:
Anzahl der ausgefüllten und eingesandten Fragebögen: 211
2. Link Layer Lernziele: Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.
Die Firewall in der Musterlösung
Dr. Hergen Scheck, BBS Lüchow, 2003
Lokale und globale Netzwerke
XLAB Lehrerfortbildung 2011
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Göttinger FunkLAN GoeMobile Chancen für den schnellen Netzzugang
Andreas Ißleiber WLAN Andreas Ißleiber
Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)
VoIP- und Videolösungen bei der GWDG
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
SPAM 1.) SPAM 2.) Sicherheit in Netzen 3.) Sicherheit im FunkLAN DPZ O
LDAP und RADIUS RADIUS-Server
Einführung in die Netzwerktechnik 1 Der ARP-Prozess
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Prof. Dr. Bernhard Wasmayr
Sicher durchs Internet
2. Link Layer Lernziele: – Verstehen wie IP prinzipiell über eine Link Layer Verbindung übertragen wird.
Die Subnetz-Datenbank am RRZE
Kurzanleitung für Laptop-Zugang 1. WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellsten Stand. 2. WICHTIG: Installieren Sie.
Kurzanleitung für Laptop-Zugang 1. WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellsten Stand. Entsprechende CDs finden Sie.
1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
AWA 2007 Natur und Umwelt Natürlich Leben
20:00.
Subnetting – einfach! Die Grundlagen werden
Angriffe durch Viren, Würmer und Trojaner
IP Adresse / DNS / URL Bernd Liebenwein.
Mit Schülern ein internetfähiges Netzwerk aufbauen
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
BarricadeTM g 2.4GHz 54Mbit/s Wireless Breitband Router
Begriffe -Technische Geräte
Freifach Netzwerktechnik mit Übungen
1 Universitätsbibliothek Johann Christian Senckenberg Das Angebot E lektronischer M edien eLearning Netzwerktag am 30. Juni 2008 Subtitel Dr. Klaus Junkes-Kirchen.
Präsentation von Lukas Sulzer
Grundlagen der Netzwerktechnik
Ertragsteuern, 5. Auflage Christiana Djanani, Gernot Brähler, Christian Lösel, Andreas Krenzin © UVK Verlagsgesellschaft mbH, Konstanz und München 2012.
Warum gibt es Netzwerke?
Netzwerke.
MINDREADER Ein magisch - interaktives Erlebnis mit ENZO PAOLO
Meldungen über Ethernet mit FINS/UDP
Netzwerke.
Zusammengestellt von OE3DSB
Folie Beispiel für eine Einzelauswertung der Gemeindedaten (fiktive Daten)
Adressierung in Netzwerken
W.H. Windows 2003 Server Zentrale Verwaltung der IP-Adressen im LAN mittels eines DHCP-Servers Dynamic Host Configuration Protocol.
IPv6 Von Judith Weerda Diese Vorlage kann als Ausgangspunkt für die Präsentation von Schulungsmaterialien in einer Gruppensitzung dienen. Abschnitte.
DNS DNS Das Domain Name System ist der Dienst im Internet, der DNS Namen in entsprechenden IP Adressen umsetzt und umgekehrt auch IPAdressen Namen zuordnen.
© Fink/Spengler/AINF-Lehrgang 2003 – Folie 1 AINF/3. Jahrgang Netzwerke Anwendungen (Clientseitig) Karl Brenner, Andreas Fink, Gerhard Jüngling, Albert.
Folie Einzelauswertung der Gemeindedaten
Luca Argentiero Technical Specialist Microsoft Schweiz
DHCP DHCP Das Dynamic Host Configuration Protocol ermöglicht die dynamischen Zuweisung der IP Netzwerkeinstellungen an einen Host, der sich in ein Netzwerk.
Universität Heidelberg Rechenzentrum H. Heldt / J. Peeck Laptop-Zugang zum HD-Net Netzfort
Webserver einrichten mit Konfiguration, online stellen, Zugang © by Lars Koschinski 2003.
Raphael Ender Tobias Breuß Bernhard Lang
Netzwerktechnik The Network Is The Computer. Etwas Statistik... Anteil der Deutschen, die 2001 im Internet sein werden: Ein Drittel Anzahl der Bundesbürger,
Address Resolution Protocol (ARP) Verwendung Zuordnung von Netzwerkadressen zu Hardwareadressen Beispiel Ethernet Auflösung der IP-Adresse zur Ethernet-MAC-Adresse.
Ich brauche eine Web-Seite vom Server im Internet
Security Labor MitM-Demonstration
 Präsentation transkript:

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: von Schnelle Virenerkennung im Funk-LAN Andreas Ißleiber

2 Schnelle Virenerkennung im Funk-LAN Das Problem Viren/Trojaner/Würmer verteilen sich schnell im Funk- LAN Hohe Netzwerkbelastung im Funk-LAN durch virulentes Verhalten (meist geringere Bandbreite als im kabelgebundenem Netz)

3 Schnelle Virenerkennung im Funk-LAN Wie sich Viren ausbreiten … Ziel des Virus: Möglichst schnelle Ausbreitung Durch scannen der lokalen IP-Adressen Einige Viren ignorieren die Subnetzmaske und gehen dach der Netzklasse der IP-Adresse (A,B,C,D) Im Beispiel würde ein Virus Adressen scannen Unsystematisches Scannen der IP bei manchen Viren Beispiel: Besitzt ein befallener Rechner die... IP-Adresse = mit der z.B. im Göttinger FunkLAN üblichen... Subnetzmaske = so weiß der Virus, das der Rechner an einem Netzwerk angebunden ist, in diesem sich bis zu... 2^ = … weitere Rechner befinden könnten. Beispiel:

4 Schnelle Virenerkennung im Funk-LAN Die Erkennung Vor der Ausbreitung erfolgen die Broadcasts bei Layer 3 (IP-Ebene): bei Layer 2 (MAC): FF.FF.FF.FF.FF.FF Erkennung durch ARP-Requests(Broadcasts), die ein Virus aussendet, um zu Kommunizieren Erkennung erfolgt in einer Broadcastdomain

5 Schnelle Virenerkennung im Funk-LAN ARP-Requests 5/04, GWDG, A.Ißleiber ARP-Request Broadcast: Wer hat die MAC für die IP ? IP: MAC: 0a:23:df:7b:12:0f IP: MAC: 0f:26:af:0b:56:29 1 Lokales Netz 2 3 ARP-Reply Antwort an : MAC-Adresse ist 0f:26:af:0b:56:29 Direkte Kommunikation zwischen auf IP-Ebene bzw. 0a:23:df:7b:12:0f 0f:26:af:0b:56:29 auf MAC-Address Ebene (Layer 2) Funktionsprinzip bei ARP (Address Resolution Protocol) Broadcast-domäne Ablauf:

6 Schnelle Virenerkennung im Funk-LAN Die Komponenten der Virenerkennung 1.) Kontinuierlich laufendes ARP-Watch (Sammeln von IP MAC-Adress-Paaren und Zeitpunkt) 2.) TCPDUMP zur Ausgabe der ARP-Requests im Netz (tcpdump -i eth1 arp ) MAC-AdresseIP-AdresseUhrzeit (Anzahl Sek. seit ) 00:34:4b:f0:1f: d:5d:6d:25:23:2c :22:df:78:5f: :c6:f1:25:98:7a Uhrzeit ZieladresseQuelladresse 12:08: arp who-has tell :08: arp who-has tell :08: arp who-has tell :08: arp who-has tell :08: arp who-has tell Virulent!

7 Schnelle Virenerkennung im Funk-LAN Die Auswertung TCPDUMP starten alle 3 Minuten für die Dauer von 2 Minuten Mehr als 500 ARP-Requests in 2 Minuten werden alsvirulent angesehen Der Benutzer wird automatisch via über die Infektion informiert und Hilfe zur Beseitigung

8 Schnelle Virenerkennung im Funk-LAN 5/04, GWDG, A.Ißleiber Aussenden vieler ARP-Request-Broadcasts durch Ausbreitungsversuche des Virus 1 Internes VLAN 4 5 Automatische -Benachrichtigung des Benutzers über wahrscheinliche Infektion seines Rechners. Gleichzeitig Vorschläge zur Beseitigung des Virus/Trojaner. Eintrag der MAC-Adresse des infizierten Rechners im RADIUS-Server als gesperrt markieren. Prinzip der aktiven Früherkennung virulenten Verhaltens im Funk-LAN RADIUS Server Ablauf: Internet VPN Gateway der GWDG SCAN Rechner zur Netzüberwachung Funk LAN Accesspoint Erkennen der Virenaktivität durch Empfang multible ARP-Broadcasts, welche von einem PC ausgehen ( >= 200 / Minute) 3 3 Sammeln der Daten der Verbindungen des Benutzers - Adresse aus MAC-Adressen Datenbank - MAC- / IP Adresse - Volumina & Zeitpunkt - Anzahl d. Broadcasts 6 MAC-Adresse des infizierten Rechners ist am Accesspoint gesperrt. Weiterer Zugang zum FunkLAN nicht mehr möglich Liste des Netzwerkscan Erkennen der ARP-Requests (TCPDUMP) Liste der MAC- & IP-Adressen Paare im FunkLAN … 12:08: arp who-has tell :08: arp who-has tell :08: arp who-has tell :08: arp who-has tell :08: arp who-has tell … 00:34:4b:f0:1f: d:5d:6d:25:23:2c :22:df:78:5f: :c6:f1:25:98:7a …

9 Schnelle Virenerkennung im Funk-LAN Vor- Nachteile, Resonanz -Erkennung gelingt sinnvoll nur in Broadcastdomain +Viren/Trojaner werden erkannt, bevor! überhaupt Signaturen der AV Programme existieren +Bei Werten von >=400 nahezu 100% Trefferquote +Positive Resonanz bei Benutzern

10 Schnelle Virenerkennung im Funk-LAN Wie geht´s nun weiter ? Erkennung von illegalen IP-Adressen im FunkLAN (Durch ARPWATCH) Erkennung von illegalen DHCP Servern Erkennung von abnormalem Verhalten im Funk- LAN/Netzwerken Automatische Erkennung auch im kabelgebundenem Netz (z.T. realisiert) (kommt bald, wird durch DA ergänzt)

11 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! Vortrag ist unter: … … zu finden ? ?

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.