Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
PRADS
   PASSIVE REAL-TIME ASSET DETECTION SYSTEM




                        Edward Fjellskål & Kacper Wysocki


PRODUCTS...
Hvem er vi?
Edward Fjellskål                                Kacper Wysocki

   Redpill Linpro (4år, 3mnd)                ...
Hvorfor PRADS
   Finnes frie verktøy som gjør lignende

   Vanskelig å kombinere for å gjøre en kjapp
    avstemming

 ...
Hva er PRADS?

   Passive Real-time Asset Detection System



   Passive - Sender ikke pakker ut på nettverket

   “Rea...
Hva er PRADS?
Detekterer via:

   Hoster - ARP og IP

   Tjenester - UDP og TCP

   OS - IP(TCP/UDP/ICMP)

   MAC - AR...
Hva kan PRADS brukes til?
Få oversikt over...

   Maskiner (IP)

   Operativsystem (Windows/Linux/Solaris/Mac/*BSD...)

...
Hva kan PRADS brukes til?
...så man kan:

   Automatisere overvåking av nettverk i konstant
    forandring.

   Bedre be...
TCP fingerprinting?
   TCP brukes til (nesten) alt

   Ikke ny teknologi (nmap, p0f, SinPF, netfilter!, pf)

   Nmap er...
TCP Fingerprinting i dybden
   Transmission Control Protocol: Kræsjkurs

TCP er pålitelig kommunikasjon av datastrømmer

...
TCP Fingerprinting i dybden

En typisk TCP oppkobling: 3-way handshake

      1) Klient sender SYN

            "jeg vil p...
TCP Fingerprinting i dybden
   Signaturer: kjente mønster

Gjetter OS på grunnlag av

WindowSize : TTL : DontFrag : SYNsi...
TCP Fingerprinting i dybden
     Interessante felt i første pakke





 Window Size

 Reserved field

 TCP Flags

 TCP...
TCP Fingerprinting i dybden
   Signaturer: kjente mønster

WindowSize : TTL : DontFrag : SYNsize : Options : Quirks

S4 :...
TCP Fingerprinting i dybden




PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden
   TCP Options:

WindowSize : TTL : DontFrag : SYNsize : Options : Quirks

 S4 : 64 : 1 : 60 ...
UDP/ICMP fingerprinting
   Kan kun brukes som indikasjon

   Lett å implementere I forhold til IP/TCP FP

   Ett bra al...
ICMP Signatur:
icmp_type : icmp_code : init_ttl : dont_frag : ip_opt : ip_len : ip_flags : frag_offset : ip-TOS




     P...
ARP Fingerprinting/Deteksjon
   Fanger opp ARP Request/Reply

   Registrerer MAC og IP

   Slår opp MAC vendor

      a...
Klienter/Tjenester: Deteksjon
   Ser etter signaturer i trafikkstrømmen

   Kostbart å se på hver pakke

   Signatur ko...
DEMO




PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
PRADS - Videre
   C – Skrive om koden (speed)

   Host attribute table til Snort / Nagios

   GUI

   Policy & Complia...
Takk for oss...
   edward@redpill-linpro.com

   kwy@redpill-linpro.com

   http://gamelinux.github.com/prads/




Spør...
Nächste SlideShare
Wird geladen in …5
×

PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy

0 Aufrufe

Veröffentlicht am

Presentation of PRADS: the "Passive Realtime Asset Detection System" given to student at Dagen@IFI at UiO. Rights reserved to kwy and Ebf0.

Veröffentlicht in: Technologie, Bildung
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy

  1. 1. PRADS PASSIVE REAL-TIME ASSET DETECTION SYSTEM Edward Fjellskål & Kacper Wysocki PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  2. 2. Hvem er vi? Edward Fjellskål Kacper Wysocki  Redpill Linpro (4år, 3mnd)  Redpill Linpro (1år)  Første datamaskin i 1983  Født 31337  Siv.Ing IKT  B.A. Comp. Sci  Linux og sikkerhet fra 98  Norman Anti-Virus  Nettverks overvåkning  Kernelpatching '01  Forensics  Pakkesniffing  Penetrasjons testing  Clusters PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  3. 3. Hvorfor PRADS  Finnes frie verktøy som gjør lignende  Vanskelig å kombinere for å gjøre en kjapp avstemming  Ikke laget for store nettverk eller trafikkmengder  Ikke noe verktøy for lett å lage host attribute table til Snort  Spennende og lærerikt PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  4. 4. Hva er PRADS?  Passive Real-time Asset Detection System  Passive - Sender ikke pakker ut på nettverket  “Real-time” - Analyserer så fort man har en pakke.  Asset - Tjenere, klienter, tjenester, OS, routere m.m  Oppdager og identifiserer trafikk PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  5. 5. Hva er PRADS? Detekterer via:  Hoster - ARP og IP  Tjenester - UDP og TCP  OS - IP(TCP/UDP/ICMP)  MAC - ARP PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  6. 6. Hva kan PRADS brukes til? Få oversikt over...  Maskiner (IP)  Operativsystem (Windows/Linux/Solaris/Mac/*BSD...)  Tjenester (Apache, IIS, MySQL, MSSQL, SMTP XXXX...)  Klienter (Firefox, Thunderbird, Skype, IE(5,6,7,8)...) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  7. 7. Hva kan PRADS brukes til? ...så man kan:  Automatisere overvåking av nettverk i konstant forandring.  Bedre beskytte nettverket sitt med IDS/IPS.  Policy & Compliance  Vite hva man har på nettet sitt til en hver tid. PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  8. 8. TCP fingerprinting?  TCP brukes til (nesten) alt  Ikke ny teknologi (nmap, p0f, SinPF, netfilter!, pf)  Nmap er aktiv. (p0f kan og gjøre aktiv spørring)  Aktiv skanning ikke alltid akseptert.  P0f – Laget som en proof of concept  Fuzzing av fingerprints PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  9. 9. TCP Fingerprinting i dybden  Transmission Control Protocol: Kræsjkurs TCP er pålitelig kommunikasjon av datastrømmer PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  10. 10. TCP Fingerprinting i dybden En typisk TCP oppkobling: 3-way handshake 1) Klient sender SYN "jeg vil prate med deg" 1) Server sender SYN+ACK "ok, jeg er klar" 1) Klient sender ACK kommunikasjon er opprettet Interessante felt allerede i første pakke! PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  11. 11. TCP Fingerprinting i dybden  Signaturer: kjente mønster Gjetter OS på grunnlag av WindowSize : TTL : DontFrag : SYNsize : Options : Quirks  Fingerprints: beskriver pakken  Fingerprint matcher en eller flere signaturer sig og fp er konsist, ikke leselig :-) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  12. 12. TCP Fingerprinting i dybden Interessante felt i første pakke  Window Size  Reserved field  TCP Flags  TCP Options Data?  PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  13. 13. TCP Fingerprinting i dybden  Signaturer: kjente mønster WindowSize : TTL : DontFrag : SYNsize : Options : Quirks S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6 S12:128:1:48:M*,N,N,S:.:Windows:XP SP1+ 65535:64:1:48:M1460,S:.:FreeBSD:7.0  Fingerprints: beskriver pakken [5672:64:0:60:M1430,S,T,N,W6:A] (Google bot)  Fingerprint matcher en eller flere signaturer sig og fp er konsist, ikke leselig :-) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  14. 14. TCP Fingerprinting i dybden PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  15. 15. TCP Fingerprinting i dybden  TCP Options: WindowSize : TTL : DontFrag : SYNsize : Options : Quirks S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6 MSS, SACK, TIMESTAMP, NOOP, WINDOWSCALE, EOL, ++  Les RFC'en om disse  Quirks – rare ting noen OS'er gjør Z: no ID, I: IP opts, U: URG flag, X: reserved, A: ACK flag, F: other flags, D: data i SYN pakke, T: ekstra timestamp, P: options etter option EOL PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  16. 16. UDP/ICMP fingerprinting  Kan kun brukes som indikasjon  Lett å implementere I forhold til IP/TCP FP  Ett bra alternativ om ikke hosten svarer på noen tcp porter, eller om man ikke kan fange opp noen TCP/IP SYN eller SYN/ACK pakker. PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  17. 17. ICMP Signatur: icmp_type : icmp_code : init_ttl : dont_frag : ip_opt : ip_len : ip_flags : frag_offset : ip-TOS PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  18. 18. ARP Fingerprinting/Deteksjon  Fanger opp ARP Request/Reply  Registrerer MAC og IP  Slår opp MAC vendor altså hvem lagde nettverkskortet PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  19. 19. Klienter/Tjenester: Deteksjon  Ser etter signaturer i trafikkstrømmen  Kostbart å se på hver pakke  Signatur kommer som regel i starten av en forbindelse  Signaturer kan manipuleres PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  20. 20. DEMO PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  21. 21. PRADS - Videre  C – Skrive om koden (speed)  Host attribute table til Snort / Nagios  GUI  Policy & Compliance  Alarmer  CVE PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  22. 22. Takk for oss...  edward@redpill-linpro.com  kwy@redpill-linpro.com  http://gamelinux.github.com/prads/ Spørsmål? Ja takk! PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING

×