PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy
1. PRADS
PASSIVE REAL-TIME ASSET DETECTION SYSTEM
Edward Fjellskål & Kacper Wysocki
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
2. Hvem er vi?
Edward Fjellskål Kacper Wysocki
Redpill Linpro (4år, 3mnd) Redpill Linpro (1år)
Første datamaskin i 1983 Født 31337
Siv.Ing IKT B.A. Comp. Sci
Linux og sikkerhet fra 98 Norman Anti-Virus
Nettverks overvåkning Kernelpatching '01
Forensics Pakkesniffing
Penetrasjons testing Clusters
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
3. Hvorfor PRADS
Finnes frie verktøy som gjør lignende
Vanskelig å kombinere for å gjøre en kjapp
avstemming
Ikke laget for store nettverk eller trafikkmengder
Ikke noe verktøy for lett å lage host attribute table
til Snort
Spennende og lærerikt
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
4. Hva er PRADS?
Passive Real-time Asset Detection System
Passive - Sender ikke pakker ut på nettverket
“Real-time” - Analyserer så fort man har en pakke.
Asset - Tjenere, klienter, tjenester, OS, routere m.m
Oppdager og identifiserer trafikk
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
5. Hva er PRADS?
Detekterer via:
Hoster - ARP og IP
Tjenester - UDP og TCP
OS - IP(TCP/UDP/ICMP)
MAC - ARP
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
6. Hva kan PRADS brukes til?
Få oversikt over...
Maskiner (IP)
Operativsystem (Windows/Linux/Solaris/Mac/*BSD...)
Tjenester (Apache, IIS, MySQL, MSSQL, SMTP XXXX...)
Klienter (Firefox, Thunderbird, Skype, IE(5,6,7,8)...)
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
7. Hva kan PRADS brukes til?
...så man kan:
Automatisere overvåking av nettverk i konstant
forandring.
Bedre beskytte nettverket sitt med IDS/IPS.
Policy & Compliance
Vite hva man har på nettet sitt til en hver tid.
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
8. TCP fingerprinting?
TCP brukes til (nesten) alt
Ikke ny teknologi (nmap, p0f, SinPF, netfilter!, pf)
Nmap er aktiv. (p0f kan og gjøre aktiv spørring)
Aktiv skanning ikke alltid akseptert.
P0f – Laget som en proof of concept
Fuzzing av fingerprints
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
9. TCP Fingerprinting i dybden
Transmission Control Protocol: Kræsjkurs
TCP er pålitelig kommunikasjon av datastrømmer
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
10. TCP Fingerprinting i dybden
En typisk TCP oppkobling: 3-way handshake
1) Klient sender SYN
"jeg vil prate med deg"
1) Server sender SYN+ACK
"ok, jeg er klar"
1) Klient sender ACK
kommunikasjon er opprettet
Interessante felt allerede i første pakke!
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
11. TCP Fingerprinting i dybden
Signaturer: kjente mønster
Gjetter OS på grunnlag av
WindowSize : TTL : DontFrag : SYNsize : Options : Quirks
Fingerprints: beskriver pakken
Fingerprint matcher en eller flere signaturer
sig og fp er konsist, ikke leselig :-)
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
12. TCP Fingerprinting i dybden
Interessante felt i første pakke
Window Size
Reserved field
TCP Flags
TCP Options
Data?
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
13. TCP Fingerprinting i dybden
Signaturer: kjente mønster
WindowSize : TTL : DontFrag : SYNsize : Options : Quirks
S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6
S12:128:1:48:M*,N,N,S:.:Windows:XP SP1+
65535:64:1:48:M1460,S:.:FreeBSD:7.0
Fingerprints: beskriver pakken
[5672:64:0:60:M1430,S,T,N,W6:A] (Google bot)
Fingerprint matcher en eller flere signaturer
sig og fp er konsist, ikke leselig :-)
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
14. TCP Fingerprinting i dybden
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
15. TCP Fingerprinting i dybden
TCP Options:
WindowSize : TTL : DontFrag : SYNsize : Options : Quirks
S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6
MSS, SACK, TIMESTAMP, NOOP, WINDOWSCALE, EOL, ++
Les RFC'en om disse
Quirks – rare ting noen OS'er gjør
Z: no ID, I: IP opts, U: URG flag, X: reserved,
A: ACK flag, F: other flags, D: data i SYN pakke,
T: ekstra timestamp, P: options etter option EOL
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
16. UDP/ICMP fingerprinting
Kan kun brukes som indikasjon
Lett å implementere I forhold til IP/TCP FP
Ett bra alternativ om ikke hosten svarer på noen tcp
porter, eller om man ikke kan fange opp noen TCP/IP
SYN eller SYN/ACK pakker.
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
18. ARP Fingerprinting/Deteksjon
Fanger opp ARP Request/Reply
Registrerer MAC og IP
Slår opp MAC vendor
altså hvem lagde nettverkskortet
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
19. Klienter/Tjenester: Deteksjon
Ser etter signaturer i trafikkstrømmen
Kostbart å se på hver pakke
Signatur kommer som regel i starten av en
forbindelse
Signaturer kan manipuleres
PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING