Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: von Schnelle Virenerkennung im Funk-LAN Andreas Ißleiber
2 Schnelle Virenerkennung im Funk-LAN Das Problem Viren/Trojaner/Würmer verteilen sich schnell im Funk- LAN Hohe Netzwerkbelastung im Funk-LAN durch virulentes Verhalten (meist geringere Bandbreite als im kabelgebundenem Netz)
3 Schnelle Virenerkennung im Funk-LAN Wie sich Viren ausbreiten … Ziel des Virus: Möglichst schnelle Ausbreitung Durch scannen der lokalen IP-Adressen Einige Viren ignorieren die Subnetzmaske und gehen dach der Netzklasse der IP-Adresse (A,B,C,D) Im Beispiel würde ein Virus Adressen scannen Unsystematisches Scannen der IP bei manchen Viren Beispiel: Besitzt ein befallener Rechner die... IP-Adresse = mit der z.B. im Göttinger FunkLAN üblichen... Subnetzmaske = so weiß der Virus, das der Rechner an einem Netzwerk angebunden ist, in diesem sich bis zu... 2^ = … weitere Rechner befinden könnten. Beispiel:
4 Schnelle Virenerkennung im Funk-LAN Die Erkennung Vor der Ausbreitung erfolgen die Broadcasts bei Layer 3 (IP-Ebene): bei Layer 2 (MAC): FF.FF.FF.FF.FF.FF Erkennung durch ARP-Requests(Broadcasts), die ein Virus aussendet, um zu Kommunizieren Erkennung erfolgt in einer Broadcastdomain
5 Schnelle Virenerkennung im Funk-LAN ARP-Requests 5/04, GWDG, A.Ißleiber ARP-Request Broadcast: Wer hat die MAC für die IP ? IP: MAC: 0a:23:df:7b:12:0f IP: MAC: 0f:26:af:0b:56:29 1 Lokales Netz 2 3 ARP-Reply Antwort an : MAC-Adresse ist 0f:26:af:0b:56:29 Direkte Kommunikation zwischen auf IP-Ebene bzw. 0a:23:df:7b:12:0f 0f:26:af:0b:56:29 auf MAC-Address Ebene (Layer 2) Funktionsprinzip bei ARP (Address Resolution Protocol) Broadcast-domäne Ablauf:
6 Schnelle Virenerkennung im Funk-LAN Die Komponenten der Virenerkennung 1.) Kontinuierlich laufendes ARP-Watch (Sammeln von IP MAC-Adress-Paaren und Zeitpunkt) 2.) TCPDUMP zur Ausgabe der ARP-Requests im Netz (tcpdump -i eth1 arp ) MAC-AdresseIP-AdresseUhrzeit (Anzahl Sek. seit ) 00:34:4b:f0:1f: d:5d:6d:25:23:2c :22:df:78:5f: :c6:f1:25:98:7a Uhrzeit ZieladresseQuelladresse 12:08: arp who-has tell :08: arp who-has tell :08: arp who-has tell :08: arp who-has tell :08: arp who-has tell Virulent!
7 Schnelle Virenerkennung im Funk-LAN Die Auswertung TCPDUMP starten alle 3 Minuten für die Dauer von 2 Minuten Mehr als 500 ARP-Requests in 2 Minuten werden alsvirulent angesehen Der Benutzer wird automatisch via über die Infektion informiert und Hilfe zur Beseitigung
8 Schnelle Virenerkennung im Funk-LAN 5/04, GWDG, A.Ißleiber Aussenden vieler ARP-Request-Broadcasts durch Ausbreitungsversuche des Virus 1 Internes VLAN 4 5 Automatische -Benachrichtigung des Benutzers über wahrscheinliche Infektion seines Rechners. Gleichzeitig Vorschläge zur Beseitigung des Virus/Trojaner. Eintrag der MAC-Adresse des infizierten Rechners im RADIUS-Server als gesperrt markieren. Prinzip der aktiven Früherkennung virulenten Verhaltens im Funk-LAN RADIUS Server Ablauf: Internet VPN Gateway der GWDG SCAN Rechner zur Netzüberwachung Funk LAN Accesspoint Erkennen der Virenaktivität durch Empfang multible ARP-Broadcasts, welche von einem PC ausgehen ( >= 200 / Minute) 3 3 Sammeln der Daten der Verbindungen des Benutzers - Adresse aus MAC-Adressen Datenbank - MAC- / IP Adresse - Volumina & Zeitpunkt - Anzahl d. Broadcasts 6 MAC-Adresse des infizierten Rechners ist am Accesspoint gesperrt. Weiterer Zugang zum FunkLAN nicht mehr möglich Liste des Netzwerkscan Erkennen der ARP-Requests (TCPDUMP) Liste der MAC- & IP-Adressen Paare im FunkLAN … 12:08: arp who-has tell :08: arp who-has tell :08: arp who-has tell :08: arp who-has tell :08: arp who-has tell … 00:34:4b:f0:1f: d:5d:6d:25:23:2c :22:df:78:5f: :c6:f1:25:98:7a …
9 Schnelle Virenerkennung im Funk-LAN Vor- Nachteile, Resonanz -Erkennung gelingt sinnvoll nur in Broadcastdomain +Viren/Trojaner werden erkannt, bevor! überhaupt Signaturen der AV Programme existieren +Bei Werten von >=400 nahezu 100% Trefferquote +Positive Resonanz bei Benutzern
10 Schnelle Virenerkennung im Funk-LAN Wie geht´s nun weiter ? Erkennung von illegalen IP-Adressen im FunkLAN (Durch ARPWATCH) Erkennung von illegalen DHCP Servern Erkennung von abnormalem Verhalten im Funk- LAN/Netzwerken Automatische Erkennung auch im kabelgebundenem Netz (z.T. realisiert) (kommt bald, wird durch DA ergänzt)
11 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! Vortrag ist unter: … … zu finden ? ?