SlideShare uma empresa Scribd logo

PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy

R
Rubén Romero

Presentation of PRADS: the "Passive Realtime Asset Detection System" given to student at Dagen@IFI at UiO. Rights reserved to kwy and Ebf0.

TecnologiaEducação
1 de 22
PRADS PASSIVE REAL-TIME ASSET DETECTION SYSTEM Edward Fjellskål & Kacper Wysocki PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
Hvem er vi? Edward Fjellskål Kacper Wysocki  Redpill Linpro (4år, 3mnd)  Redpill Linpro (1år)  Første datamaskin i 1983  Født 31337  Siv.Ing IKT  B.A. Comp. Sci  Linux og sikkerhet fra 98  Norman Anti-Virus  Nettverks overvåkning  Kernelpatching '01  Forensics  Pakkesniffing  Penetrasjons testing  Clusters PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
Hvorfor PRADS  Finnes frie verktøy som gjør lignende  Vanskelig å kombinere for å gjøre en kjapp avstemming  Ikke laget for store nettverk eller trafikkmengder  Ikke noe verktøy for lett å lage host attribute table til Snort  Spennende og lærerikt PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
Hva er PRADS?  Passive Real-time Asset Detection System  Passive - Sender ikke pakker ut på nettverket  “Real-time” - Analyserer så fort man har en pakke.  Asset - Tjenere, klienter, tjenester, OS, routere m.m  Oppdager og identifiserer trafikk PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
Hva er PRADS? Detekterer via:  Hoster - ARP og IP  Tjenester - UDP og TCP  OS - IP(TCP/UDP/ICMP)  MAC - ARP PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
Hva kan PRADS brukes til? Få oversikt over...  Maskiner (IP)  Operativsystem (Windows/Linux/Solaris/Mac/*BSD...)  Tjenester (Apache, IIS, MySQL, MSSQL, SMTP XXXX...)  Klienter (Firefox, Thunderbird, Skype, IE(5,6,7,8)...) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
Hva kan PRADS brukes til? ...så man kan:  Automatisere overvåking av nettverk i konstant forandring.  Bedre beskytte nettverket sitt med IDS/IPS.  Policy & Compliance  Vite hva man har på nettet sitt til en hver tid. PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP fingerprinting?  TCP brukes til (nesten) alt  Ikke ny teknologi (nmap, p0f, SinPF, netfilter!, pf)  Nmap er aktiv. (p0f kan og gjøre aktiv spørring)  Aktiv skanning ikke alltid akseptert.  P0f – Laget som en proof of concept  Fuzzing av fingerprints PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden  Transmission Control Protocol: Kræsjkurs TCP er pålitelig kommunikasjon av datastrømmer PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden En typisk TCP oppkobling: 3-way handshake 1) Klient sender SYN "jeg vil prate med deg" 1) Server sender SYN+ACK "ok, jeg er klar" 1) Klient sender ACK kommunikasjon er opprettet Interessante felt allerede i første pakke! PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden  Signaturer: kjente mønster Gjetter OS på grunnlag av WindowSize : TTL : DontFrag : SYNsize : Options : Quirks  Fingerprints: beskriver pakken  Fingerprint matcher en eller flere signaturer sig og fp er konsist, ikke leselig :-) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden Interessante felt i første pakke  Window Size  Reserved field  TCP Flags  TCP Options Data?  PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden  Signaturer: kjente mønster WindowSize : TTL : DontFrag : SYNsize : Options : Quirks S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6 S12:128:1:48:M*,N,N,S:.:Windows:XP SP1+ 65535:64:1:48:M1460,S:.:FreeBSD:7.0  Fingerprints: beskriver pakken [5672:64:0:60:M1430,S,T,N,W6:A] (Google bot)  Fingerprint matcher en eller flere signaturer sig og fp er konsist, ikke leselig :-) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden  TCP Options: WindowSize : TTL : DontFrag : SYNsize : Options : Quirks S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6 MSS, SACK, TIMESTAMP, NOOP, WINDOWSCALE, EOL, ++  Les RFC'en om disse  Quirks – rare ting noen OS'er gjør Z: no ID, I: IP opts, U: URG flag, X: reserved, A: ACK flag, F: other flags, D: data i SYN pakke, T: ekstra timestamp, P: options etter option EOL PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
UDP/ICMP fingerprinting  Kan kun brukes som indikasjon  Lett å implementere I forhold til IP/TCP FP  Ett bra alternativ om ikke hosten svarer på noen tcp porter, eller om man ikke kan fange opp noen TCP/IP SYN eller SYN/ACK pakker. PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
ICMP Signatur: icmp_type : icmp_code : init_ttl : dont_frag : ip_opt : ip_len : ip_flags : frag_offset : ip-TOS PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
ARP Fingerprinting/Deteksjon  Fanger opp ARP Request/Reply  Registrerer MAC og IP  Slår opp MAC vendor altså hvem lagde nettverkskortet PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
Klienter/Tjenester: Deteksjon  Ser etter signaturer i trafikkstrømmen  Kostbart å se på hver pakke  Signatur kommer som regel i starten av en forbindelse  Signaturer kan manipuleres PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
DEMO PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
PRADS - Videre  C – Skrive om koden (speed)  Host attribute table til Snort / Nagios  GUI  Policy & Compliance  Alarmer  CVE PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
Takk for oss...  edward@redpill-linpro.com  kwy@redpill-linpro.com  http://gamelinux.github.com/prads/ Spørsmål? Ja takk! PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING

Recomendados

Kookie photo album
Kookie photo albumKookie photo album
Kookie photo albumHoward Mallett
 
Mother
MotherMother
MotherAudio Visual Communication Services
 
U live
U liveU live
U liveAudio Visual Communication Services
 
Bureaucracy
BureaucracyBureaucracy
BureaucracyAudio Visual Communication Services
 
ITAread_7th
ITAread_7thITAread_7th
ITAread_7thYoshinori Kabeya
 
Mobile Learning
Mobile LearningMobile Learning
Mobile LearningShannonLoomer
 
Letras De Canciones
Letras De CancionesLetras De Canciones
Letras De CancionesEvelyn
 
PRADS presentation (English) @ University of Oslo by Ebf0 and kwy
PRADS presentation (English) @ University of Oslo by Ebf0 and kwyPRADS presentation (English) @ University of Oslo by Ebf0 and kwy
PRADS presentation (English) @ University of Oslo by Ebf0 and kwyRubén Romero
 

Recomendados

Kookie photo album
Kookie photo albumKookie photo album
Kookie photo albumHoward Mallett
 
Mother
MotherMother
MotherAudio Visual Communication Services
 
U live
U liveU live
U liveAudio Visual Communication Services
 
Bureaucracy
BureaucracyBureaucracy
BureaucracyAudio Visual Communication Services
 
ITAread_7th
ITAread_7thITAread_7th
ITAread_7thYoshinori Kabeya
 
Mobile Learning
Mobile LearningMobile Learning
Mobile LearningShannonLoomer
 
Letras De Canciones
Letras De CancionesLetras De Canciones
Letras De CancionesEvelyn
 
PRADS presentation (English) @ University of Oslo by Ebf0 and kwy
PRADS presentation (English) @ University of Oslo by Ebf0 and kwyPRADS presentation (English) @ University of Oslo by Ebf0 and kwy
PRADS presentation (English) @ University of Oslo by Ebf0 and kwyRubén Romero
 
Mellom bedriftens nettverk og skyen
Mellom bedriftens nettverk og skyenMellom bedriftens nettverk og skyen
Mellom bedriftens nettverk og skyenMVP Dagen
 
Tjenestenektangrep DND
Tjenestenektangrep DNDTjenestenektangrep DND
Tjenestenektangrep DNDOddbjørn Steffensen
 
20130212 firstpoint citrix seminar 12 februar
20130212 firstpoint citrix seminar 12 februar20130212 firstpoint citrix seminar 12 februar
20130212 firstpoint citrix seminar 12 februarSturla Grelland
 
IT-forum Sogn og Fjordane -julesamling 2015- Atea
IT-forum Sogn og Fjordane -julesamling 2015- AteaIT-forum Sogn og Fjordane -julesamling 2015- Atea
IT-forum Sogn og Fjordane -julesamling 2015- AteaWestern Norway Research Institute
 
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, VenteloIPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, VenteloIPv6no
 
Internet of Things gir nye forretningsmuligheter @ First Tuesday Bergen
Internet of Things gir nye forretningsmuligheter @ First Tuesday BergenInternet of Things gir nye forretningsmuligheter @ First Tuesday Bergen
Internet of Things gir nye forretningsmuligheter @ First Tuesday BergenFirst Tuesday Bergen
 
Nokios Tv2012 Hva Forventer En Fjortis
Nokios Tv2012 Hva Forventer En FjortisNokios Tv2012 Hva Forventer En Fjortis
Nokios Tv2012 Hva Forventer En FjortisThor-Chriristian Lorange
 
Aws på kartet - 2
Aws på kartet - 2Aws på kartet - 2
Aws på kartet - 2Pål Kristensen
 
Slik kan du prototype enkelt med node red
Slik kan du prototype enkelt med node redSlik kan du prototype enkelt med node red
Slik kan du prototype enkelt med node redSimen Sommerfeldt
 
Dnssec 2015
Dnssec 2015Dnssec 2015
Dnssec 2015NoCStorm
 
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccJon Solheim
 
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)Digital skilting ved NTNU (UNINETT AV-samling vår 2016)
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)Magnus Sæternes Lian
 
20150505 blue coat encrypted traffic management shared
20150505 blue coat encrypted traffic management shared20150505 blue coat encrypted traffic management shared
20150505 blue coat encrypted traffic management sharedSturla Grelland
 
En guide igjennom tåkeheimen
En guide igjennom tåkeheimenEn guide igjennom tåkeheimen
En guide igjennom tåkeheimenmudnaes
 
Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?Marie Elisabeth Gaup Moe
 
Flexible, scalable self-service provisioning using Office PnP
Flexible, scalable self-service provisioning using Office PnPFlexible, scalable self-service provisioning using Office PnP
Flexible, scalable self-service provisioning using Office PnPOle Kristian Mørch-Storstein
 
Audun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG NettAudun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG NettFriprogsenteret
 
Hvordan Lykkes Med Overvåkning
Hvordan Lykkes Med OvervåkningHvordan Lykkes Med Overvåkning
Hvordan Lykkes Med OvervåkningOdd Inge Bjørdal
 
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...Kenneth de Brucq
 
Profile Relevant arbeidserfaring 9 OK
Profile Relevant arbeidserfaring 9 OKProfile Relevant arbeidserfaring 9 OK
Profile Relevant arbeidserfaring 9 OKGiuseppe Barca
 

Mais conteúdo relacionado

Semelhante a PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy

Mellom bedriftens nettverk og skyen
Mellom bedriftens nettverk og skyenMellom bedriftens nettverk og skyen
Mellom bedriftens nettverk og skyenMVP Dagen
 
20130212 firstpoint citrix seminar 12 februar
20130212 firstpoint citrix seminar 12 februar20130212 firstpoint citrix seminar 12 februar
20130212 firstpoint citrix seminar 12 februarSturla Grelland
 
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, VenteloIPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, VenteloIPv6no
 
Internet of Things gir nye forretningsmuligheter @ First Tuesday Bergen
Internet of Things gir nye forretningsmuligheter @ First Tuesday BergenInternet of Things gir nye forretningsmuligheter @ First Tuesday Bergen
Internet of Things gir nye forretningsmuligheter @ First Tuesday BergenFirst Tuesday Bergen
 
Slik kan du prototype enkelt med node red
Slik kan du prototype enkelt med node redSlik kan du prototype enkelt med node red
Slik kan du prototype enkelt med node redSimen Sommerfeldt
 
Dnssec 2015
Dnssec 2015Dnssec 2015
Dnssec 2015NoCStorm
 
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccJon Solheim
 
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)Digital skilting ved NTNU (UNINETT AV-samling vår 2016)
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)Magnus Sæternes Lian
 
20150505 blue coat encrypted traffic management shared
20150505 blue coat encrypted traffic management shared20150505 blue coat encrypted traffic management shared
20150505 blue coat encrypted traffic management sharedSturla Grelland
 
En guide igjennom tåkeheimen
En guide igjennom tåkeheimenEn guide igjennom tåkeheimen
En guide igjennom tåkeheimenmudnaes
 
Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?Marie Elisabeth Gaup Moe
 
Flexible, scalable self-service provisioning using Office PnP
Flexible, scalable self-service provisioning using Office PnPFlexible, scalable self-service provisioning using Office PnP
Flexible, scalable self-service provisioning using Office PnPOle Kristian Mørch-Storstein
 
Audun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG NettAudun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG NettFriprogsenteret
 
Hvordan Lykkes Med Overvåkning
Hvordan Lykkes Med OvervåkningHvordan Lykkes Med Overvåkning
Hvordan Lykkes Med OvervåkningOdd Inge Bjørdal
 
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...Kenneth de Brucq
 
Profile Relevant arbeidserfaring 9 OK
Profile Relevant arbeidserfaring 9 OKProfile Relevant arbeidserfaring 9 OK
Profile Relevant arbeidserfaring 9 OKGiuseppe Barca
 

Semelhante a PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy (20)

Mellom bedriftens nettverk og skyen
Mellom bedriftens nettverk og skyenMellom bedriftens nettverk og skyen
Mellom bedriftens nettverk og skyen
 
Tjenestenektangrep DND
Tjenestenektangrep DNDTjenestenektangrep DND
Tjenestenektangrep DND
 
20130212 firstpoint citrix seminar 12 februar
20130212 firstpoint citrix seminar 12 februar20130212 firstpoint citrix seminar 12 februar
20130212 firstpoint citrix seminar 12 februar
 
IT-forum Sogn og Fjordane -julesamling 2015- Atea
IT-forum Sogn og Fjordane -julesamling 2015- AteaIT-forum Sogn og Fjordane -julesamling 2015- Atea
IT-forum Sogn og Fjordane -julesamling 2015- Atea
 
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, VenteloIPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
 
Internet of Things gir nye forretningsmuligheter @ First Tuesday Bergen
Internet of Things gir nye forretningsmuligheter @ First Tuesday BergenInternet of Things gir nye forretningsmuligheter @ First Tuesday Bergen
Internet of Things gir nye forretningsmuligheter @ First Tuesday Bergen
 
Nokios Tv2012 Hva Forventer En Fjortis
Nokios Tv2012 Hva Forventer En FjortisNokios Tv2012 Hva Forventer En Fjortis
Nokios Tv2012 Hva Forventer En Fjortis
 
Aws på kartet - 2
Aws på kartet - 2Aws på kartet - 2
Aws på kartet - 2
 
Slik kan du prototype enkelt med node red
Slik kan du prototype enkelt med node redSlik kan du prototype enkelt med node red
Slik kan du prototype enkelt med node red
 
Dnssec 2015
Dnssec 2015Dnssec 2015
Dnssec 2015
 
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - stacc
 
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)Digital skilting ved NTNU (UNINETT AV-samling vår 2016)
Digital skilting ved NTNU (UNINETT AV-samling vår 2016)
 
20150505 blue coat encrypted traffic management shared
20150505 blue coat encrypted traffic management shared20150505 blue coat encrypted traffic management shared
20150505 blue coat encrypted traffic management shared
 
En guide igjennom tåkeheimen
En guide igjennom tåkeheimenEn guide igjennom tåkeheimen
En guide igjennom tåkeheimen
 
Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?
 
Flexible, scalable self-service provisioning using Office PnP
Flexible, scalable self-service provisioning using Office PnPFlexible, scalable self-service provisioning using Office PnP
Flexible, scalable self-service provisioning using Office PnP
 
Audun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG NettAudun Ytterdal: Bruk av fri programvare hos VG Nett
Audun Ytterdal: Bruk av fri programvare hos VG Nett
 
Hvordan Lykkes Med Overvåkning
Hvordan Lykkes Med OvervåkningHvordan Lykkes Med Overvåkning
Hvordan Lykkes Med Overvåkning
 
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...
Dell Solutions Tour 2015 - Neste generasjons Windows Server og System Center,...
 
Profile Relevant arbeidserfaring 9 OK
Profile Relevant arbeidserfaring 9 OKProfile Relevant arbeidserfaring 9 OK
Profile Relevant arbeidserfaring 9 OK
 

PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy

  • 1. PRADS PASSIVE REAL-TIME ASSET DETECTION SYSTEM Edward Fjellskål & Kacper Wysocki PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 2. Hvem er vi? Edward Fjellskål Kacper Wysocki  Redpill Linpro (4år, 3mnd)  Redpill Linpro (1år)  Første datamaskin i 1983  Født 31337  Siv.Ing IKT  B.A. Comp. Sci  Linux og sikkerhet fra 98  Norman Anti-Virus  Nettverks overvåkning  Kernelpatching '01  Forensics  Pakkesniffing  Penetrasjons testing  Clusters PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 3. Hvorfor PRADS  Finnes frie verktøy som gjør lignende  Vanskelig å kombinere for å gjøre en kjapp avstemming  Ikke laget for store nettverk eller trafikkmengder  Ikke noe verktøy for lett å lage host attribute table til Snort  Spennende og lærerikt PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 4. Hva er PRADS?  Passive Real-time Asset Detection System  Passive - Sender ikke pakker ut på nettverket  “Real-time” - Analyserer så fort man har en pakke.  Asset - Tjenere, klienter, tjenester, OS, routere m.m  Oppdager og identifiserer trafikk PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 5. Hva er PRADS? Detekterer via:  Hoster - ARP og IP  Tjenester - UDP og TCP  OS - IP(TCP/UDP/ICMP)  MAC - ARP PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 6. Hva kan PRADS brukes til? Få oversikt over...  Maskiner (IP)  Operativsystem (Windows/Linux/Solaris/Mac/*BSD...)  Tjenester (Apache, IIS, MySQL, MSSQL, SMTP XXXX...)  Klienter (Firefox, Thunderbird, Skype, IE(5,6,7,8)...) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 7. Hva kan PRADS brukes til? ...så man kan:  Automatisere overvåking av nettverk i konstant forandring.  Bedre beskytte nettverket sitt med IDS/IPS.  Policy & Compliance  Vite hva man har på nettet sitt til en hver tid. PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 8. TCP fingerprinting?  TCP brukes til (nesten) alt  Ikke ny teknologi (nmap, p0f, SinPF, netfilter!, pf)  Nmap er aktiv. (p0f kan og gjøre aktiv spørring)  Aktiv skanning ikke alltid akseptert.  P0f – Laget som en proof of concept  Fuzzing av fingerprints PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 9. TCP Fingerprinting i dybden  Transmission Control Protocol: Kræsjkurs TCP er pålitelig kommunikasjon av datastrømmer PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 10. TCP Fingerprinting i dybden En typisk TCP oppkobling: 3-way handshake 1) Klient sender SYN "jeg vil prate med deg" 1) Server sender SYN+ACK "ok, jeg er klar" 1) Klient sender ACK kommunikasjon er opprettet Interessante felt allerede i første pakke! PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 11. TCP Fingerprinting i dybden  Signaturer: kjente mønster Gjetter OS på grunnlag av WindowSize : TTL : DontFrag : SYNsize : Options : Quirks  Fingerprints: beskriver pakken  Fingerprint matcher en eller flere signaturer sig og fp er konsist, ikke leselig :-) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 12. TCP Fingerprinting i dybden Interessante felt i første pakke  Window Size  Reserved field  TCP Flags  TCP Options Data?  PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 13. TCP Fingerprinting i dybden  Signaturer: kjente mønster WindowSize : TTL : DontFrag : SYNsize : Options : Quirks S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6 S12:128:1:48:M*,N,N,S:.:Windows:XP SP1+ 65535:64:1:48:M1460,S:.:FreeBSD:7.0  Fingerprints: beskriver pakken [5672:64:0:60:M1430,S,T,N,W6:A] (Google bot)  Fingerprint matcher en eller flere signaturer sig og fp er konsist, ikke leselig :-) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 14. TCP Fingerprinting i dybden PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 15. TCP Fingerprinting i dybden  TCP Options: WindowSize : TTL : DontFrag : SYNsize : Options : Quirks S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6 MSS, SACK, TIMESTAMP, NOOP, WINDOWSCALE, EOL, ++  Les RFC'en om disse  Quirks – rare ting noen OS'er gjør Z: no ID, I: IP opts, U: URG flag, X: reserved, A: ACK flag, F: other flags, D: data i SYN pakke, T: ekstra timestamp, P: options etter option EOL PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 16. UDP/ICMP fingerprinting  Kan kun brukes som indikasjon  Lett å implementere I forhold til IP/TCP FP  Ett bra alternativ om ikke hosten svarer på noen tcp porter, eller om man ikke kan fange opp noen TCP/IP SYN eller SYN/ACK pakker. PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 17. ICMP Signatur: icmp_type : icmp_code : init_ttl : dont_frag : ip_opt : ip_len : ip_flags : frag_offset : ip-TOS PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 18. ARP Fingerprinting/Deteksjon  Fanger opp ARP Request/Reply  Registrerer MAC og IP  Slår opp MAC vendor altså hvem lagde nettverkskortet PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 19. Klienter/Tjenester: Deteksjon  Ser etter signaturer i trafikkstrømmen  Kostbart å se på hver pakke  Signatur kommer som regel i starten av en forbindelse  Signaturer kan manipuleres PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 20. DEMO PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 21. PRADS - Videre  C – Skrive om koden (speed)  Host attribute table til Snort / Nagios  GUI  Policy & Compliance  Alarmer  CVE PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  • 22. Takk for oss...  edward@redpill-linpro.com  kwy@redpill-linpro.com  http://gamelinux.github.com/prads/ Spørsmål? Ja takk! PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING