PRADS
   PASSIVE REAL-TIME ASSET DETECTION SYSTEM




                        Edward Fjellskål & Kacper Wysocki


PRODUCTS...
Hvem er vi?
Edward Fjellskål                                Kacper Wysocki

   Redpill Linpro (4år, 3mnd)                ...
Hvorfor PRADS
   Finnes frie verktøy som gjør lignende

   Vanskelig å kombinere for å gjøre en kjapp
    avstemming

 ...
Hva er PRADS?

   Passive Real-time Asset Detection System



   Passive - Sender ikke pakker ut på nettverket

   “Rea...
Hva er PRADS?
Detekterer via:

   Hoster - ARP og IP

   Tjenester - UDP og TCP

   OS - IP(TCP/UDP/ICMP)

   MAC - AR...
Hva kan PRADS brukes til?
Få oversikt over...

   Maskiner (IP)

   Operativsystem (Windows/Linux/Solaris/Mac/*BSD...)

...
Hva kan PRADS brukes til?
...så man kan:

   Automatisere overvåking av nettverk i konstant
    forandring.

   Bedre be...
TCP fingerprinting?
   TCP brukes til (nesten) alt

   Ikke ny teknologi (nmap, p0f, SinPF, netfilter!, pf)

   Nmap er...
TCP Fingerprinting i dybden
   Transmission Control Protocol: Kræsjkurs

TCP er pålitelig kommunikasjon av datastrømmer

...
TCP Fingerprinting i dybden

En typisk TCP oppkobling: 3-way handshake

      1) Klient sender SYN

            "jeg vil p...
TCP Fingerprinting i dybden
   Signaturer: kjente mønster

Gjetter OS på grunnlag av

WindowSize : TTL : DontFrag : SYNsi...
TCP Fingerprinting i dybden
     Interessante felt i første pakke





 Window Size

 Reserved field

 TCP Flags

 TCP...
TCP Fingerprinting i dybden
   Signaturer: kjente mønster

WindowSize : TTL : DontFrag : SYNsize : Options : Quirks

S4 :...
TCP Fingerprinting i dybden




PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
TCP Fingerprinting i dybden
   TCP Options:

WindowSize : TTL : DontFrag : SYNsize : Options : Quirks

 S4 : 64 : 1 : 60 ...
UDP/ICMP fingerprinting
   Kan kun brukes som indikasjon

   Lett å implementere I forhold til IP/TCP FP

   Ett bra al...
ICMP Signatur:
icmp_type : icmp_code : init_ttl : dont_frag : ip_opt : ip_len : ip_flags : frag_offset : ip-TOS




     P...
ARP Fingerprinting/Deteksjon
   Fanger opp ARP Request/Reply

   Registrerer MAC og IP

   Slår opp MAC vendor

      a...
Klienter/Tjenester: Deteksjon
   Ser etter signaturer i trafikkstrømmen

   Kostbart å se på hver pakke

   Signatur ko...
DEMO




PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
PRADS - Videre
   C – Skrive om koden (speed)

   Host attribute table til Snort / Nagios

   GUI

   Policy & Complia...
Takk for oss...
   edward@redpill-linpro.com

   kwy@redpill-linpro.com

   http://gamelinux.github.com/prads/




Spør...
Upcoming SlideShare
Loading in...5
×

PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy

541

Published on

Presentation of PRADS: the "Passive Realtime Asset Detection System" given to student at Dagen@IFI at UiO. Rights reserved to kwy and Ebf0.

Published in: Technology, Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
541
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

PRADS presentation (in Norwegian) @ University of Oslo by Ebf0 and kwy

  1. 1. PRADS PASSIVE REAL-TIME ASSET DETECTION SYSTEM Edward Fjellskål & Kacper Wysocki PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  2. 2. Hvem er vi? Edward Fjellskål Kacper Wysocki  Redpill Linpro (4år, 3mnd)  Redpill Linpro (1år)  Første datamaskin i 1983  Født 31337  Siv.Ing IKT  B.A. Comp. Sci  Linux og sikkerhet fra 98  Norman Anti-Virus  Nettverks overvåkning  Kernelpatching '01  Forensics  Pakkesniffing  Penetrasjons testing  Clusters PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  3. 3. Hvorfor PRADS  Finnes frie verktøy som gjør lignende  Vanskelig å kombinere for å gjøre en kjapp avstemming  Ikke laget for store nettverk eller trafikkmengder  Ikke noe verktøy for lett å lage host attribute table til Snort  Spennende og lærerikt PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  4. 4. Hva er PRADS?  Passive Real-time Asset Detection System  Passive - Sender ikke pakker ut på nettverket  “Real-time” - Analyserer så fort man har en pakke.  Asset - Tjenere, klienter, tjenester, OS, routere m.m  Oppdager og identifiserer trafikk PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  5. 5. Hva er PRADS? Detekterer via:  Hoster - ARP og IP  Tjenester - UDP og TCP  OS - IP(TCP/UDP/ICMP)  MAC - ARP PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  6. 6. Hva kan PRADS brukes til? Få oversikt over...  Maskiner (IP)  Operativsystem (Windows/Linux/Solaris/Mac/*BSD...)  Tjenester (Apache, IIS, MySQL, MSSQL, SMTP XXXX...)  Klienter (Firefox, Thunderbird, Skype, IE(5,6,7,8)...) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  7. 7. Hva kan PRADS brukes til? ...så man kan:  Automatisere overvåking av nettverk i konstant forandring.  Bedre beskytte nettverket sitt med IDS/IPS.  Policy & Compliance  Vite hva man har på nettet sitt til en hver tid. PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  8. 8. TCP fingerprinting?  TCP brukes til (nesten) alt  Ikke ny teknologi (nmap, p0f, SinPF, netfilter!, pf)  Nmap er aktiv. (p0f kan og gjøre aktiv spørring)  Aktiv skanning ikke alltid akseptert.  P0f – Laget som en proof of concept  Fuzzing av fingerprints PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  9. 9. TCP Fingerprinting i dybden  Transmission Control Protocol: Kræsjkurs TCP er pålitelig kommunikasjon av datastrømmer PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  10. 10. TCP Fingerprinting i dybden En typisk TCP oppkobling: 3-way handshake 1) Klient sender SYN "jeg vil prate med deg" 1) Server sender SYN+ACK "ok, jeg er klar" 1) Klient sender ACK kommunikasjon er opprettet Interessante felt allerede i første pakke! PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  11. 11. TCP Fingerprinting i dybden  Signaturer: kjente mønster Gjetter OS på grunnlag av WindowSize : TTL : DontFrag : SYNsize : Options : Quirks  Fingerprints: beskriver pakken  Fingerprint matcher en eller flere signaturer sig og fp er konsist, ikke leselig :-) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  12. 12. TCP Fingerprinting i dybden Interessante felt i første pakke  Window Size  Reserved field  TCP Flags  TCP Options Data?  PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  13. 13. TCP Fingerprinting i dybden  Signaturer: kjente mønster WindowSize : TTL : DontFrag : SYNsize : Options : Quirks S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6 S12:128:1:48:M*,N,N,S:.:Windows:XP SP1+ 65535:64:1:48:M1460,S:.:FreeBSD:7.0  Fingerprints: beskriver pakken [5672:64:0:60:M1430,S,T,N,W6:A] (Google bot)  Fingerprint matcher en eller flere signaturer sig og fp er konsist, ikke leselig :-) PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  14. 14. TCP Fingerprinting i dybden PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  15. 15. TCP Fingerprinting i dybden  TCP Options: WindowSize : TTL : DontFrag : SYNsize : Options : Quirks S4 : 64 : 1 : 60 : M*,S,T,N,W8 : . : Linux:2.6 MSS, SACK, TIMESTAMP, NOOP, WINDOWSCALE, EOL, ++  Les RFC'en om disse  Quirks – rare ting noen OS'er gjør Z: no ID, I: IP opts, U: URG flag, X: reserved, A: ACK flag, F: other flags, D: data i SYN pakke, T: ekstra timestamp, P: options etter option EOL PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  16. 16. UDP/ICMP fingerprinting  Kan kun brukes som indikasjon  Lett å implementere I forhold til IP/TCP FP  Ett bra alternativ om ikke hosten svarer på noen tcp porter, eller om man ikke kan fange opp noen TCP/IP SYN eller SYN/ACK pakker. PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  17. 17. ICMP Signatur: icmp_type : icmp_code : init_ttl : dont_frag : ip_opt : ip_len : ip_flags : frag_offset : ip-TOS PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  18. 18. ARP Fingerprinting/Deteksjon  Fanger opp ARP Request/Reply  Registrerer MAC og IP  Slår opp MAC vendor altså hvem lagde nettverkskortet PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  19. 19. Klienter/Tjenester: Deteksjon  Ser etter signaturer i trafikkstrømmen  Kostbart å se på hver pakke  Signatur kommer som regel i starten av en forbindelse  Signaturer kan manipuleres PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  20. 20. DEMO PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  21. 21. PRADS - Videre  C – Skrive om koden (speed)  Host attribute table til Snort / Nagios  GUI  Policy & Compliance  Alarmer  CVE PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING
  22. 22. Takk for oss...  edward@redpill-linpro.com  kwy@redpill-linpro.com  http://gamelinux.github.com/prads/ Spørsmål? Ja takk! PRODUCTS • CONSULTING • APPLICATION MANAGEMENT • IT OPERATIONS • SUPPORT • TRAINING

×