• Save
Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk
Upcoming SlideShare
Loading in...5
×
 

Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk

on

  • 1,521 views

Veranstaltung: 9. NETFOX Security Day, 27.05.2010, MEILENWERK Berlin. Präsentation durch BalaBit zum

Veranstaltung: 9. NETFOX Security Day, 27.05.2010, MEILENWERK Berlin. Präsentation durch BalaBit zum
Thema: Analyse digitaler “Spuren” im Netzwerk.

Statistics

Views

Total Views
1,521
Views on SlideShare
1,515
Embed Views
6

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 6

http://www.slideshare.net 6

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)

Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk Presentation Transcript

  • BalaBit syslog-ng Store Box Analyse digitaler "Spuren" im Netzwerk Martin Grauel [email_address] +49 170 8067 345
  • Agenda Mögliche Beweismittel in der IT-Forensik Logdaten und IT-Forensik syslog-ng Store Box Problemlösungen SSB Log-Lifecycle
  • IT-Forensik
  • Mögliche Beweismittel in der IT-Forensik
    • Netzwerk-Forensik
      • Analyse des Netzwerkverkehrs (IDS, DNS, E-Mail Header, Honeypot-Systeme etc.)
    • Dateisystem-Forensik
      • Datenträgersicherung und Analyse
    • Speicher-Forensik
      • Sicherung und Analyse von Speicherinhalten
  • Logdaten und IT-Forensik
    • Nahezu alle Betriebssysteme und Applikationen schreiben Logs für bestimmte Ereignisse …
    • … doch wie steht es um die Integrität und Glaubwürdigkeit der Logdaten?
    • Es gibt ein paar Probleme
      • Dezentrale Speicherung und unsichere Übertragung von Logdaten
      • Manipulation von gesammelten Logdaten
      • Sehr große Datenmengen
  • syslog-ng Store Box
    • Auf syslog-ng PE basierende (Soft-)Appliance zum hochperformanten Sammeln, Verarbeiten und Speichern von Lognachrichten
    • Sammelt Logs via syslog-”Standards”
    • Revisionssichere Speicherung der Logs und granulare Regelung der Zugriffe
    • Leistungsfähige Such- und Reportingmöglichkeiten
    • ...
      • Problem 1:
      • Dezentrale Speicherung und unsichere Übertragung von Logdaten
  • Problemlösung 1: Zentrale Speicherung und sichere Übertragung
      • Problem 2:
      • Manipulation von gesammelten Logdaten
  • Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted publickey for root from 10.1.1.1 port 25436 ssh2 Indexierter Logstore
      • Problem 3:
      • Sehr große Datenmengen
  • Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux: Accepted publickey for admin from 10.1.1.1 port 25436 ssh2 Juniper: Password authentication successful for admin user 'Peter' at host 192.168.3.1. Fortigate: user=admin ui=GUI action=login status=success reason=none msg="User admin login accepted from GUI" Alle Events aus Subnetz A Logstore A Ext. Analysesystem Failed Login Events Login/Logout-Events Logstore B
  • Der gesamte SSB Log-Lifecycle ...
  • Alle Probleme gelöst? Wenn der Administrator das Logging auf dem Client abschaltet oder manipuliert, ... … dann bleibt uns nicht viel mehr das Login-Event und eine Mühsame Suche in Speicher- und Diskabbildern … … oder ...
  • … hoffentlich eine BalaBit Shell Control Box !
  • Q & A Vielen Dank für Ihre Aufmerksamkeit ...