Návrh využití dat¶

• Table of contents
• Návrh využití dat
  • Masarykova univerzita
    • Přijímající klient blokující všechny IP, které zaznamenaly honeypoty bez ohledu na typ události (probe, portscan apod.)
    • Přijímající klient posílající všechny/vybrané události z mé sítě na e-mail
    • Přijímající klient vyhledávající v logu mail serveru odesílatele phishingu
    • Přijímající klient blokující IP adresy, které byly nahlášeny jako zdroj události více než jednou organizací
    • Přijímající klient blokující IP adresy, které byly nahlášeny jako zdroj události a zároveň se objevují v NetFlow datech mé sítě
    • Poznámky/vysvětlivky
  • Vysoká škola báňská - Technická univerzita Ostrava
    • Přijímající klient generující blacklisty
    • Poznámky/vysvětlivky

Tato stránka shrnuje požadavky na přijímající klienty, které vyplývají z use casů zapojených organizací uvedených v cílech pro 2012.

Masarykova univerzita¶

Pro provozní použití (ne výzkumné) je nutné, aby reakce na přijaté události byly spouštěny automaticky, což předpokládá ideálně nulový výskyt falešných poplachů. Níže uvedené požadavky vycházejí ze stávajících možností síťové instrastruktury MU a palety událostí, které jsou aktuálně (říjen 2012) příjmány serverem warden.cesnet.cz.

Pro provozní použití je nutné se vypořádat s událostmi, které byly z pohledu senzorů správně detekovány, ale jsou důsledkem penetračních testů apod. (Toto by šlo řešit centralizovaným whitelistem pro pentestery přímo na serveru.) Dále je nutno řešit expiraci zablkovaných zdrojů provozu - ať už přímo v režii přijímajícího klienta nebo přenesení tohoto požadavku na síťovou infrastrukturu (přijímající klient zavolá blokování na určitou dobu a infrastruktura se postará o odblokování). Jako vhodné rozšíření blokování může být (exponenciální) zvyšování doby blokace v případě recidivistů.

Ve výzkumu a vývoji se narozdíl od provozního použití těžko dopředu definuje, co a jak má být zpracováno a vyhodnoceno. Nejjednodušší je proto prosté ukládání veškerých přijatých dat ze serveru lokálně. To je však neefektivní a klade to další nároky na výpočetní zdroje v koncové síti. Pro tyto účely navrhuji přímý přístup k databázi serveru, byť v režimu read-only a přes pohledy (views), které případně omezí, co nechce provozovatel poskytovat anebo nejlépe přímý přístup k online mirroru databáze serveru určené primárně pro výzkum a bez garance dostupnosti jako v případě provozního použití.

Přijímající klient blokující všechny IP, které zaznamenaly honeypoty bez ohledu na typ události (probe, portscan apod.)¶

Blokování bude realizováno pomocí RTBH, v ojedinělých případech pomocí zápisu do souboru /etc/hosts.deny na konkrétním stroji či přidání pravidla do iptables.

Na honeypoty by neměly přistupovat produkční stroje, proto je zde předpokládán nulový výskyt falešných poplachů. Na přesném typu událostí nezáleží, důležité je, že pochází z honeypotů.

Přijímající klient posílající všechny/vybrané události z mé sítě na e-mail¶

Všechny IP z mé sítě, které reportovaly senzory v ostatních sítích je žádoucí zkontrolovat a hlavně o nich vědět jakmile se vyskytnou. Klient by měl umožnit nastavení typů událostí, které bude posílat e-mailem, příp. umožnit posílat všechny události bez ohledu na typ. Pro další zpracování v ticketovacím systému bude žádoucí definovat i uživatelské e-mailové hlavičky a přiložit výstup uživatelské aplikace (např. vyhledání IP adres v logu či NetFlow datech).

Přijímající klient vyhledávající v logu mail serveru odesílatele phishingu¶

V datech na warden.cesnet.cz momentálně (říjen 2012) nejsou žádné události typu phishing, takže specifikace tohoto klienta postrádá smysl. Nevíme, zda se jako zdroj budou objevovat URL a/nebo e-mailové adresy. Podle toho se odvíjí způsob reakce.

Přijímající klient blokující IP adresy, které byly nahlášeny jako zdroj události více než jednou organizací¶

Blokování bude realizováno pomocí RTBH, v ojedinělých případech pomocí zápisu do souboru /etc/hosts.deny na konkrétním stroji či přidání pravidla do iptables.

Smysl požadavku na existenci události o jedné IP adrese, která byla detekována v minimálně dvou organizací, je eliminovat falešné poplachy způsobené chybou v jedné organizaci (předpokládám, že lidské zdroje nejsou - s výjimkou CESNETu - obvykle sdíleny mezi zapojenými organizacemi). Na typu detekované události nezáleží (zdroj může generovat více útoků).

Přijímající klient blokující IP adresy, které byly nahlášeny jako zdroj události a zároveň se objevují v NetFlow datech mé sítě¶

Blokování bude realizováno pomocí RTBH, v ojedinělých případech pomocí zápisu do souboru /etc/hosts.deny na konkrétním stroji či přidání pravidla do iptables.

Jakákoliv IP adresa, kterou nahlásila jedna organizace (bez ohledu na typ události) a zároveň skenovala či se připojovala na stroje v mé síti v poseldních x hodinách/dnech, je velmi podezřelá.

Poznámky/vysvětlivky¶

RTBH - remotely triggered black holing - mechanismus blokování IP adres na vstupu do páteřní sítě MU, technicky je blokování a odblokování IP adres realizováno voláním webové služby

Vysoká škola báňská - Technická univerzita Ostrava¶

Přijímající klient generující blacklisty¶

• ClamAV signatury pro blokování nevyžádaných/podvodných zpráv v níže uvedeném tvaru. Poslední část záznamu (hexa řetězec = 696E666F405765626D61737465722E636F6D = info@Webmaster.com) reprezentuje signaturu, podle které náš ClamAV zastaví další doručování nevyžádané/podvodné zprávy.
  

  cz.vsb.netis.spam.20110927.14836:4:*:696E666F405765626D61737465722E636F6D
  cz.vsb.netis.phishing.201104270001:4:*:7673622E637A4074766E6574776F726B2E6875
  

• DNS blacklist s IP adresami, které patří zařízením/robotům, která zneužívají naše prostředky (SMTP/webmail) k rozesílaní nevyžádané pošty, nebo k pokusu o přihlášení se zcizenou identitou. Útočníci zcizí identitu, kterou se pokusí nejprve ověřit a následně zneužít k rozesílání nevyžádaných/podvodných zpráv. IP adresa zařízení, ze kterého se o takový útok pokusí je přidána na DNS blacklist:
  

  ; 116.202.65.148
  148.65.202.116  IN      A       127.0.0.2
                  IN      TXT     "zneuzivan webmail: posta.vsb.cz, 2012-10-16 14:11, ork01" 
  

• Seznam (TXT/CSV) IP adres, kde se nachází webový server s podvodnou stránkou. Pokud není podvodná stránka za SSL vrstvou a nepatříli služba významnému poskytovateli (například Google a jeho službě Google DOCS), blokujeme pomocí RTBH přístup k podvodné stránce na základě cílové IP adresy. V tuto chvíli žádný takový seznam nemáme a záznam do BHR zadáváme ručně:
  

  http://www.d-comm.com.au/dcommcc/webmail.html
  
  $ host www.d-comm.com.au
  www.d-comm.com.au is an alias for d-comm.com.au.
  d-comm.com.au has address 174.122.218.84
  d-comm.com.au mail is handled by 10 d-comm.com.au.
  
  (config)# ip route 174.122.218.84 255.255.255.255 Null0 tag 666
  

• Blokování spamerů přes IPtables (pomocí Fail2Ban). IP adresy bychom pomocí Warden klienta vkládali do IPtables:

failregex = reject: RCPT from (.*)\[<HOST>\]: 554

Oct 28 09:50:27 smtp-ha1 postfix/smtpd[28298]: NOQUEUE: reject: RCPT from unknown[2.178.5.28]: 554 5.7.1 Service unavailable; Client host [2.178.5.28] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=2.178.5.28; from=<pavementingl435@blomnet.com> to=<pol20@vsb.cz> proto=ESMTP helo=<[2.178.5.28]>

Poznámky/vysvětlivky¶

Remotely-Triggered Black Hole (RTBH) Routing - je technika, která efektivně umožnuje velmi rychle omezit vybrané IP adresy v celé síti TUONET (síť VŠB-TUO)