Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Upcoming SlideShare
Loading in...5
×
 

Tietoturvahyökkaysyritysten havaitseminen ja seuranta

on

  • 525 views

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013
http://seravo.fi/2013/suse-event-tampere-2013-11-20

Statistics

Views

Total Views
525
Views on SlideShare
343
Embed Views
182

Actions

Likes
0
Downloads
0
Comments
0

2 Embeds 182

http://www.linuxplanet.org 125
http://seravo.fi 57

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Tietoturvahyökkaysyritysten havaitseminen ja seuranta Tietoturvahyökkaysyritysten havaitseminen ja seuranta Presentation Transcript

  • Tietoturvahyökkäysyritysten havaitseminen ja seuranta Otto Kekäläinen SUSE-tilaisuus Tampere 20.11.2013
  • LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
  • Tietoturvan määritelmä  Luottamuksellisuus  Eheys  Saatavuus
  • SUSE ja tietoturva  ”SUSE Linux Enterprise 11 meets the latest Linux Foundation's Carrier Grade Linux 4.0 standard and is CGL registered.”  ”FIPS (Federal Information Processing Standard) 140-2 validation [...] certified by NIST (CMVP).”  ”Common Criteria Certificate at Evaluation Assurance Level EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux Enterprise Server 11 SP2 including KVM virtualization. ” CC myös nimellä ISO/IEC 15408. https://www.suse.com/security/certificates.html
  • Tekniikoita  AppArmor vakiona (SELinux aktivoitavissa)  Virtual Address Space Randomization yms Linux-ominaisuuksia  OpenSCAP, Seccheck  YaST2 Security Center  rsyslog, auditd, rpm -V -a, AIDE  LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki  nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät päivityslähteet (GPG-allekirjotukset, OBS)  avointa lähdekoodia!
  • Dokumentaatio https://www.suse.com/documentation/sles11/
  • Tietoturvahyökkäysyritysten havaitseminen ja seuranta  Jos joku yrittää murtautua palvelimellesi, huomaisitko asian?  Panostatko tietoturvaan satunnaisesti vai suhteessa mitattuun uhkaan?  Voiko hyökkäysyrityksiä havaita ja tilastoida automatisoidusti?
  • CERT-FI valtakunnallisesti CERT-FI Autoreporter (2005-), HAVARO (2011-) ja GovHAVARO (2013-) HAVARO = Tietoturvaloukkausten HAvannointi- ja VAROitusjärjestelmä
  • Mitä yksittäisen yrityksen näkökulmasta voi kannattaa tehdä?
  • Porttiskannaus? PortSentry, psad, scanlogd, Snort... net.ipv4.conf.all.log_martians = 1 Ping? →Ei kannata
  • SSH-kirjautumisyrityksiä Väärällä nimellä: Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110 Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth] Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan from 84.20.150.110 port 1024 ssh2 Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]
  • Yrityksiä / väärä käyttäjätunnus 14 admin 5 operator 3 asfa 7 support 4 vyatta 3 aaa 7 info 4 test 2 tss 7 guest 4 seravo 2 nagios 6 ubnt 4 amy 2 magnos 6 pi 3 ruser 2 john 5 PlcmSpIp 3 oracle 2 jack
  • SSH-kirjautumisyrityksiä Oikealla nimellä mutta väärällä salasanalla: Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials) Nov 19 14:45:50 wp sshd[1675]: Failed password for tero from 84.20.150.110 port 1158 ssh2 Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]
  • Yrityksiä / oikea käyttäjätunnus 516 root 8 nobody 7 bin 1 zabbix 1 samuel 1 mysql
  • SSH-kirjautumisten tilastointi
  • Yrityksiä / IP-osoite 18 61.147.74.223 8 84.20.150.110 17 125.88.75.199 8 42.96.198.214 17 121.9.13.184 8 101.27.153.190.net-uno.net. 190.153.27.101 16 61.142.106.34 7 static-186-63-210-31.sadecehosting.net. 31.210.63.186 14 95.163.143.140 7 smonitoring.tce.ir. 37.255.176.36 13 host178-3-static.199-31-b.business.telecomitalia.it. 7 pcal09.ba.infn.it. 193.206.185.86 31.199.3.178 7 li674-133.members.linode.com. 212.71.239.133 12 210.51.10.158 7 h21ap24-13.utsltd.net. 193.24.30.55 12 221.178.164.251 7 customer-static-210-142-81.iplannetworks.net. 11 203.201.42.237 190.210.142.81 10 b3da0881.virtua.com.br. 179.218.8.129 7 83.229.69.36 10 173.208.233.72 7 61.144.14.93 10 124.117.249.242 7 58.221.60.164
  • HTTP-skannaus? 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 319 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"
  • 404-virheiden tilastointi
  • Pohdintaa Kohdistuuko hyökkäys yhteen koneeseen? Useaan samassa IP-avaruudessa? Useaan saman verkkotunnuksen alatunnukseen? Onko hyökkäyksellä tietty kohde?
  • Klo 19-23 hyökkäys IP-naapureissa
  • Hyökkäysliikenteen määrä korreloi yleisen liikennemäärän kanssa 1778 seravo.fi 176 www.mediakomppania.fi 168 coss.fi 58 tuijabrax.fi (olettaen että sivustoilla vain vähän aitoja 404-virheitä)
  • Hyöty? Lisääkö ikkunasta ulos katsominen talon sisällä olevan turvallisuutta?
  • Mitä paremmin tietää, sitä paremmin tekee päätöksiä. Kartoitus  suunnittelu  priorisointi  investoinnit Tietoturva(kin) on prosessi
  • Tietoturvahyökkäysyritysten havaitseminen ja seuranta Vastaukset esityksen alun kysymyksiin: Kyllä!  Kerää tilastoa automatisoidusti.  Jos joku on yrittänyt murtautua palvelimellesi, voit käydä katsomassa monestiko, koska ja mistä päin.  Panosta tietoturvaan suhteessa mitattuun uhkaan.
  • Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään Linux-pohjaisia tietojärjestelmiänne Lisätietoa yrityksestä: seravo.fi Lisätietoa teknologioista: seravo.fi/blog