Schnelle Virenerkennung im Funk-LAN

1. Schnelle Virenerkennung im Funk-LAN Andreas Ißleiber

2. Schnelle Virenerkennung im Funk-LAN Das Problem • Viren/Trojaner/Würmer verteilen sich schnell im Funk-LAN • Hohe Netzwerkbelastung im Funk-LAN durch virulentes Verhalten (meist geringere Bandbreite als im kabelgebundenem Netz)

3. Schnelle Virenerkennung im Funk-LAN Wie sich Viren ausbreiten … • Ziel des Virus: Möglichst schnelle Ausbreitung • Durch scannen der lokalen IP-Adressen • Einige Viren ignorieren die Subnetzmaske und gehen dach der Netzklasse der IP-Adresse (A,B,C,D) • Im Beispiel würde ein Virus 16.777.216 Adressen scannen • Unsystematisches Scannen der IP bei manchen Viren Beispiel: Besitzt ein befallener Rechner die ... IP-Adresse = 10.100.4.17 ... mit der z.B. im Göttinger FunkLAN üblichen ... Subnetzmaske = 255.255.0.0 ... so weiß der Virus, das der Rechner an einem Netzwerk angebunden ist, in diesem sich bis zu ... 2^16 - 2 = 65534… weitere Rechner befinden könnten. Beispiel: 10.100.20.6 10.100.20.91 10.100.20.67 10.100.20.45

4. Schnelle Virenerkennung im Funk-LAN Die Erkennung • Vor der Ausbreitung erfolgen die Broadcastsbei Layer 3 (IP-Ebene): 255.255.255.255bei Layer 2 (MAC): FF.FF.FF.FF.FF.FF • Erkennung durch ARP-Requests(Broadcasts), die ein Virus aussendet, um zu Kommunizieren • Erkennung erfolgt in einer „Broadcastdomain“

5. Schnelle Virenerkennung im Funk-LAN ARP-Requests Funktionsprinzip bei ARP (Address Resolution Protocol) Ablauf: ARP-Request Broadcast: Wer hat die MAC für die IP 10.100.4.1 ? 1 IP: 10.100.4.17MAC: 0a:23:df:7b:12:0f ARP-Reply Antwort an 10.100.4.17: MAC-Adresse ist 0f:26:af:0b:56:29 2 LokalesNetz 3 Direkte Kommunikation zwischen10.100.4.17 <-> 10.100.4.1 auf IP-Ebene bzw. 0a:23:df:7b:12:0f <-> 0f:26:af:0b:56:29 auf MAC-Address Ebene (Layer 2) Broadcast-domäne IP: 10.100.4.1MAC: 0f:26:af:0b:56:29 5/04, GWDG, A.Ißleiber

6. Schnelle Virenerkennung im Funk-LAN Die Komponenten der Virenerkennung • 1.) Kontinuierlich laufendes ARP-Watch (Sammeln von IP MAC-Adress-Paaren und Zeitpunkt) • 2.) TCPDUMP zur Ausgabe der ARP-Requests im Netz(tcpdump -i eth1 arp ) MAC-Adresse IP-Adresse Uhrzeit (Anzahl Sek. seit 1.1.1970) 00:34:4b:f0:1f:23 10.100.4.214 1082447389 0d:5d:6d:25:23:2c 10.100.5.76 1083780490 00:22:df:78:5f:32 10.100.5.23 1083200653 00:c6:f1:25:98:7a 10.100.5.65 1082644826 . . . Virulent! Uhrzeit Zieladresse Quelladresse 12:08:52.765935 arp who-has 10.100.64.204 tell 10.100.4.124 12:08:52.857136 arp who-has 10.100.75.151 tell 10.100.4.124 12:08:52.864701 arp who-has 10.100.21.8 tell 10.100.4.124 12:08:52.866496 arp who-has 10.100.128.38 tell 10.100.4.124 12:08:52.923046 arp who-has 10.100.4.22 tell 10.100.4.22

7. Schnelle Virenerkennung im Funk-LAN Die Auswertung • TCPDUMP starten alle 3 Minuten für die Dauer von 2 Minuten • Mehr als 500 ARP-Requests in 2 Minuten werden als „virulent“ angesehen • Der Benutzer wird automatisch via eMail über die Infektion informiert und Hilfe zur Beseitigung angeboten @

8. Schnelle Virenerkennung im Funk-LAN Ablauf: Prinzip der aktiven Früherkennung virulenten Verhaltens im Funk-LAN Aussenden vieler ARP-Request-Broadcasts durch Ausbreitungsversuche desVirus 1 Internet Erkennen der Virenaktivität durch Empfangmultible ARP-Broadcasts, welchevon einem PC ausgehen ( >= 200 / Minute) 2 VPN Gateway der GWDG 3 • Sammeln der Daten der Verbindungen des Benutzers • eMail Adresse aus MAC-Adressen Datenbank • MAC- / IP Adresse • Volumina & Zeitpunkt • Anzahl d. Broadcasts RADIUSServer Funk LAN Accesspoint 6 InternesVLAN Automatische eMail-Benachrichtigungdes Benutzers über wahrscheinliche Infektion seines Rechners. Gleichzeitig Vorschläge zur Beseitigung des Virus/Trojaner. 5 4 4 2 1 5 Eintrag der MAC-Adresse des infizierten Rechners im RADIUS-Server als „gesperrt“ markieren. 3 SCAN Rechner zur Netzüberwachung 6 MAC-Adresse des infizierten Rechners ist am Accesspoint gesperrt.Weiterer Zugang zum FunkLAN nicht mehr möglich Liste des NetzwerkscanErkennen der ARP-Requests (TCPDUMP) Liste der MAC- & IP-AdressenPaare im FunkLAN … 12:08:52.765935 arp who-has 10.100.64.204 tell 10.100.4.124 12:08:52.857136 arp who-has 10.100.75.151 tell 10.100.4.124 12:08:52.864701 arp who-has 10.100.21.8 tell 10.100.4.124 12:08:52.866496 arp who-has 10.100.128.38 tell 10.100.4.124 12:08:52.923046 arp who-has 10.100.4.22 tell 10.100.4.22 … … 00:34:4b:f0:1f:23 10.100.4.214 1082447389 0d:5d:6d:25:23:2c 10.100.5.76 1083780490 00:22:df:78:5f:32 10.100.5.23 1083200653 00:c6:f1:25:98:7a 10.100.5.65 1082644826 … 5/04, GWDG, A.Ißleiber

9. Schnelle Virenerkennung im Funk-LAN Vor- Nachteile, Resonanz • Erkennung gelingt sinnvoll nur in Broadcastdomain + Viren/Trojaner werden erkannt, bevor! überhauptSignaturen der AV Programme existieren + Bei Werten von >=400 nahezu 100% Trefferquote + Positive Resonanz bei Benutzern

10. Schnelle Virenerkennung im Funk-LAN Wie geht´s nun weiter ? • Erkennung von illegalen IP-Adressen im FunkLAN (Durch ARPWATCH) • Erkennung von „illegalen“ DHCP Servern • Erkennung von „abnormalem“ Verhalten im Funk-LAN/Netzwerken • Automatische Erkennung auch im kabelgebundenem Netz (z.T. realisiert) (kommt bald, wird durch DA ergänzt)

11. ? Vielen Dank! S C S I O C S Y T E M S S C I S C O Y S T E M S … Fragen CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER und Diskussionen! Vortrag ist unter: … http://www.gwdg.de/forschung/veranstaltungen/workshops/security_ws_2004/index.html… zu finden