Tietoturvahyökkaysyritysten havaitseminen ja seuranta

1,825 views

Published on

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013
http://seravo.fi/2013/suse-event-tampere-2013-11-20

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,825
On SlideShare
0
From Embeds
0
Number of Embeds
487
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Tietoturvahyökkaysyritysten havaitseminen ja seuranta

  1. 1. Tietoturvahyökkäysyritysten havaitseminen ja seuranta Otto Kekäläinen SUSE-tilaisuus Tampere 20.11.2013
  2. 2. LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
  3. 3. Tietoturvan määritelmä  Luottamuksellisuus  Eheys  Saatavuus
  4. 4. SUSE ja tietoturva  ”SUSE Linux Enterprise 11 meets the latest Linux Foundation's Carrier Grade Linux 4.0 standard and is CGL registered.”  ”FIPS (Federal Information Processing Standard) 140-2 validation [...] certified by NIST (CMVP).”  ”Common Criteria Certificate at Evaluation Assurance Level EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux Enterprise Server 11 SP2 including KVM virtualization. ” CC myös nimellä ISO/IEC 15408. https://www.suse.com/security/certificates.html
  5. 5. Tekniikoita  AppArmor vakiona (SELinux aktivoitavissa)  Virtual Address Space Randomization yms Linux-ominaisuuksia  OpenSCAP, Seccheck  YaST2 Security Center  rsyslog, auditd, rpm -V -a, AIDE  LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki  nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät päivityslähteet (GPG-allekirjotukset, OBS)  avointa lähdekoodia!
  6. 6. Dokumentaatio https://www.suse.com/documentation/sles11/
  7. 7. Tietoturvahyökkäysyritysten havaitseminen ja seuranta  Jos joku yrittää murtautua palvelimellesi, huomaisitko asian?  Panostatko tietoturvaan satunnaisesti vai suhteessa mitattuun uhkaan?  Voiko hyökkäysyrityksiä havaita ja tilastoida automatisoidusti?
  8. 8. CERT-FI valtakunnallisesti CERT-FI Autoreporter (2005-), HAVARO (2011-) ja GovHAVARO (2013-) HAVARO = Tietoturvaloukkausten HAvannointi- ja VAROitusjärjestelmä
  9. 9. Mitä yksittäisen yrityksen näkökulmasta voi kannattaa tehdä?
  10. 10. Porttiskannaus? PortSentry, psad, scanlogd, Snort... net.ipv4.conf.all.log_martians = 1 Ping? →Ei kannata
  11. 11. SSH-kirjautumisyrityksiä Väärällä nimellä: Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110 Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth] Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan from 84.20.150.110 port 1024 ssh2 Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]
  12. 12. Yrityksiä / väärä käyttäjätunnus 14 admin 5 operator 3 asfa 7 support 4 vyatta 3 aaa 7 info 4 test 2 tss 7 guest 4 seravo 2 nagios 6 ubnt 4 amy 2 magnos 6 pi 3 ruser 2 john 5 PlcmSpIp 3 oracle 2 jack
  13. 13. SSH-kirjautumisyrityksiä Oikealla nimellä mutta väärällä salasanalla: Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials) Nov 19 14:45:50 wp sshd[1675]: Failed password for tero from 84.20.150.110 port 1158 ssh2 Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]
  14. 14. Yrityksiä / oikea käyttäjätunnus 516 root 8 nobody 7 bin 1 zabbix 1 samuel 1 mysql
  15. 15. SSH-kirjautumisten tilastointi
  16. 16. Yrityksiä / IP-osoite 18 61.147.74.223 8 84.20.150.110 17 125.88.75.199 8 42.96.198.214 17 121.9.13.184 8 101.27.153.190.net-uno.net. 190.153.27.101 16 61.142.106.34 7 static-186-63-210-31.sadecehosting.net. 31.210.63.186 14 95.163.143.140 7 smonitoring.tce.ir. 37.255.176.36 13 host178-3-static.199-31-b.business.telecomitalia.it. 7 pcal09.ba.infn.it. 193.206.185.86 31.199.3.178 7 li674-133.members.linode.com. 212.71.239.133 12 210.51.10.158 7 h21ap24-13.utsltd.net. 193.24.30.55 12 221.178.164.251 7 customer-static-210-142-81.iplannetworks.net. 11 203.201.42.237 190.210.142.81 10 b3da0881.virtua.com.br. 179.218.8.129 7 83.229.69.36 10 173.208.233.72 7 61.144.14.93 10 124.117.249.242 7 58.221.60.164
  17. 17. HTTP-skannaus? 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 319 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"
  18. 18. 404-virheiden tilastointi
  19. 19. Pohdintaa Kohdistuuko hyökkäys yhteen koneeseen? Useaan samassa IP-avaruudessa? Useaan saman verkkotunnuksen alatunnukseen? Onko hyökkäyksellä tietty kohde?
  20. 20. Klo 19-23 hyökkäys IP-naapureissa
  21. 21. Hyökkäysliikenteen määrä korreloi yleisen liikennemäärän kanssa 1778 seravo.fi 176 www.mediakomppania.fi 168 coss.fi 58 tuijabrax.fi (olettaen että sivustoilla vain vähän aitoja 404-virheitä)
  22. 22. Hyöty? Lisääkö ikkunasta ulos katsominen talon sisällä olevan turvallisuutta?
  23. 23. Mitä paremmin tietää, sitä paremmin tekee päätöksiä. Kartoitus  suunnittelu  priorisointi  investoinnit Tietoturva(kin) on prosessi
  24. 24. Tietoturvahyökkäysyritysten havaitseminen ja seuranta Vastaukset esityksen alun kysymyksiin: Kyllä!  Kerää tilastoa automatisoidusti.  Jos joku on yrittänyt murtautua palvelimellesi, voit käydä katsomassa monestiko, koska ja mistä päin.  Panosta tietoturvaan suhteessa mitattuun uhkaan.
  25. 25. Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään Linux-pohjaisia tietojärjestelmiänne Lisätietoa yrityksestä: seravo.fi Lisätietoa teknologioista: seravo.fi/blog

×