Your SlideShare is downloading. ×
0
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk

1,200

Published on

Veranstaltung: 9. NETFOX Security Day, 27.05.2010, MEILENWERK Berlin. Präsentation durch BalaBit zum …

Veranstaltung: 9. NETFOX Security Day, 27.05.2010, MEILENWERK Berlin. Präsentation durch BalaBit zum
Thema: Analyse digitaler “Spuren” im Netzwerk.

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,200
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Transcript

    • 1. BalaBit syslog-ng Store Box Analyse digitaler "Spuren" im Netzwerk Martin Grauel [email_address] +49 170 8067 345
    • 2. Agenda Mögliche Beweismittel in der IT-Forensik Logdaten und IT-Forensik syslog-ng Store Box Problemlösungen SSB Log-Lifecycle
    • 3. IT-Forensik
    • 4. Mögliche Beweismittel in der IT-Forensik <ul><li>Netzwerk-Forensik </li></ul><ul><ul><li>Analyse des Netzwerkverkehrs (IDS, DNS, E-Mail Header, Honeypot-Systeme etc.) </li></ul></ul><ul><li>Dateisystem-Forensik </li></ul><ul><ul><li>Datenträgersicherung und Analyse </li></ul></ul><ul><li>Speicher-Forensik </li></ul><ul><ul><li>Sicherung und Analyse von Speicherinhalten </li></ul></ul>
    • 5. Logdaten und IT-Forensik <ul><li>Nahezu alle Betriebssysteme und Applikationen schreiben Logs für bestimmte Ereignisse … </li></ul><ul><li>… doch wie steht es um die Integrität und Glaubwürdigkeit der Logdaten? </li></ul><ul><li>Es gibt ein paar Probleme </li></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung von Logdaten </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
    • 6. syslog-ng Store Box <ul><li>Auf syslog-ng PE basierende (Soft-)Appliance zum hochperformanten Sammeln, Verarbeiten und Speichern von Lognachrichten </li></ul><ul><li>Sammelt Logs via syslog-”Standards” </li></ul><ul><li>Revisionssichere Speicherung der Logs und granulare Regelung der Zugriffe </li></ul><ul><li>Leistungsfähige Such- und Reportingmöglichkeiten </li></ul><ul><li>... </li></ul>
    • 7. <ul><ul><li>Problem 1: </li></ul></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung von Logdaten </li></ul></ul>
    • 8. Problemlösung 1: Zentrale Speicherung und sichere Übertragung
    • 9. <ul><ul><li>Problem 2: </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul>
    • 10. Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted publickey for root from 10.1.1.1 port 25436 ssh2 Indexierter Logstore
    • 11. <ul><ul><li>Problem 3: </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
    • 12. Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux: Accepted publickey for admin from 10.1.1.1 port 25436 ssh2 Juniper: Password authentication successful for admin user 'Peter' at host 192.168.3.1. Fortigate: user=admin ui=GUI action=login status=success reason=none msg=&quot;User admin login accepted from GUI&quot; Alle Events aus Subnetz A Logstore A Ext. Analysesystem Failed Login Events Login/Logout-Events Logstore B
    • 13. Der gesamte SSB Log-Lifecycle ...
    • 14. Alle Probleme gelöst? Wenn der Administrator das Logging auf dem Client abschaltet oder manipuliert, ... … dann bleibt uns nicht viel mehr das Login-Event und eine Mühsame Suche in Speicher- und Diskabbildern … … oder ...
    • 15. … hoffentlich eine BalaBit Shell Control Box !
    • 16. Q & A Vielen Dank für Ihre Aufmerksamkeit ...

    ×