Adminisztratív protokollok ellenőrzési lehetőségei

462 views

Published on

Compliance? Biztonság? Bizalmatlanság? Hogyan és miért lehet és kell ellenőrizni a magas jogosultságú felhasználók tevékenységét?
(Höltzl Péter, IT biztonsági szakértő, BalaBit)

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
462
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Adminisztratív protokollok ellenőrzési lehetőségei

  1. 1. Adminisztratív protokollok ellenőrzési lehetőségei Höltzl Péter CISA [email_address] http://www.balabit.hu/
  2. 2. Miről lesz szó? <ul><li>A hozzáférési szintekről
  3. 3. Mi látszik és mi nem?
  4. 4. Megoldási módok
  5. 5. Elérhető technológiák
  6. 6. Példák </li></ul>
  7. 7. A hozzáférés szintjei <ul><li>OS
  8. 8. Alkalmazás
  9. 9. Adatbázis
  10. 10. Jogosultsági szintek a-tól z-ig </li></ul>
  11. 11. Példa <ul><li>Webes alkalmazás: </li></ul><ul><ul><li>Szerver admin
  12. 12. Webmester
  13. 13. DB admin
  14. 14. DB user
  15. 15. Iktató admin
  16. 16. Iktató felhasználó </li></ul></ul>
  17. 17. Admin mindig van! <ul><li>Kérdés, tudjuk-e mit csinál? </li></ul>
  18. 18. Példa – Linux <ul><li>groupadd[4609]: group added to /etc/group: name=proba, GID=1003
  19. 19. groupadd[4609]: group added to /etc/gshadow: name=proba
  20. 20. groupadd[4609]: new group: name=proba, GID=1003
  21. 21. useradd[4613]: new user: name=proba, UID=1003, GID=1003, home=/home/proba, shell=/bin/bash
  22. 22. passwd[4620]: pam_unix(passwd:chauthtok): password changed for proba
  23. 23. chfn[4621]: changed user 'proba' information </li></ul>
  24. 24. Példa <ul><li>Nem mindig van napló: </li><ul><li>Vi /etc/passwd
  25. 25. Vi /etc/group
  26. 26. visudo </li></ul></ul>
  27. 27. Egy hack <ul><li>File változás figyelése: </li><ul><li>Csak napló
  28. 28. Tartalom nem </li></ul></ul>
  29. 29. Példa <ul><li>type=SYSCALL msg=audit(1320920870.653:34): arch=c000003e syscall=2 success=yes exit=3 a0=c3f3a0 a1=241 a2=120 a3=0 items=1 ppid=998 pid=1037 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm=&quot;vi&quot; exe=&quot;/usr/bin/vim.tiny&quot; key=(null)
  30. 30. type=CWD msg=audit(1320920870.653:34): cwd=&quot;/root&quot;
  31. 31. type=PATH msg=audit(1320920870.653:34): item=0 name=&quot;/etc/sudoers&quot; inode=262413 dev=08:01 mode=0100440 ouid=0 ogid=0 rdev=00:00
  32. 32. type=SYSCALL msg=audit(1320920870.663:35): arch=c000003e syscall=90 success=yes exit=0 a0=c3f3a0 a1=8120 a2=48fbf7 a3=7fffaf097ca0 items=1 ppid=998 pid=1037 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm=&quot;vi&quot; exe=&quot;/usr/bin/vim.tiny&quot; key=(null)
  33. 33. type=CWD msg=audit(1320920870.663:35): cwd=&quot;/root&quot;
  34. 34. type=PATH msg=audit(1320920870.663:35): item=0 name=&quot;/etc/sudoers&quot; inode=262413 dev=08:01 mode=0100440 ouid=0 ogid=0 rdev=00:00 </li></ul>
  35. 35. Hátrányok <ul><li>Értelmezhető?
  36. 36. Bonyolult
  37. 37. Csak a kiemelt események láthatóak!
  38. 38. Eltüntethető
  39. 39. Leállítható </li></ul>
  40. 40. Megoldás <ul><li>Távoli elérés rögzítése </li></ul>
  41. 41. Példa 1.
  42. 42. Példa 2.
  43. 43. Melyik érthető? <ul><li>Log vagy audit trail? </li></ul>
  44. 44. Piaci megoldások <ul><li>Agentek
  45. 45. Snifferek
  46. 46. Jumphostok
  47. 47. Proxyk </li></ul>
  48. 48. Agentek <ul><li>Telepítés
  49. 49. Rendszer módosítás
  50. 50. Passzív
  51. 51. Natív kliens
  52. 52. Minden protokoll funkció
  53. 53. Megkerülhető </li></ul>
  54. 54. Snifferek <ul><li>Port tükrözés
  55. 55. Rendszer módosítás
  56. 56. Passzív
  57. 57. Csatorna ellenőrzés
  58. 58. Natív kliens
  59. 59. Megkerülhetetlen
  60. 60. Minden protokoll funkció </li></ul>
  61. 61. Jumphostok <ul><li>Kapcsolat a bastion-ról
  62. 62. Rendszer módosítás
  63. 63. Natív kliens
  64. 64. Teljes funkcionalitás
  65. 65. „Bármilyen” protokoll
  66. 66. Minden protokoll funkció </li></ul>
  67. 67. Proxyk <ul><li>Teljes protokoll értelmezés
  68. 68. Aktív
  69. 69. Natív kliens
  70. 70. Rendszer módosítás
  71. 71. Csatorna és paraméter kontroll </li></ul>
  72. 72. Csatorna kontroll <ul><li>Csatorna -> Funkcionalitás </li></ul><ul><ul><li>Fájl átvitel
  73. 73. TCP port átvitele
  74. 74. X11
  75. 75. Eszköz átvitel </li></ul></ul>
  76. 76. Csatorna kontroll példák <ul><li>Csatorna engedélyezés
  77. 77. Csatorna paraméter kontroll
  78. 78. Fájl transzfer visszajátszás </li></ul>
  79. 79. Példa 3.
  80. 80. Köszönöm a figyelmet! Höltzl Péter CISA [email_address] http://www.balabit.hu/

×