Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Tietoturvahyökkaysyritysten havaitseminen ja seuranta

on

  • 567 views

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013
http://seravo.fi/2013/suse-event-tampere-2013-11-20

Statistics

Views

Total Views
567
Views on SlideShare
370
Embed Views
197

Actions

Likes
0
Downloads
0
Comments
0

3 Embeds 197

http://www.linuxplanet.org 139
http://seravo.fi 57
https://seravo.fi 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Tietoturvahyökkaysyritysten havaitseminen ja seuranta Presentation Transcript

  • 1. Tietoturvahyökkäysyritysten havaitseminen ja seuranta Otto Kekäläinen SUSE-tilaisuus Tampere 20.11.2013
  • 2. LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
  • 3. Tietoturvan määritelmä  Luottamuksellisuus  Eheys  Saatavuus
  • 4. SUSE ja tietoturva  ”SUSE Linux Enterprise 11 meets the latest Linux Foundation's Carrier Grade Linux 4.0 standard and is CGL registered.”  ”FIPS (Federal Information Processing Standard) 140-2 validation [...] certified by NIST (CMVP).”  ”Common Criteria Certificate at Evaluation Assurance Level EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux Enterprise Server 11 SP2 including KVM virtualization. ” CC myös nimellä ISO/IEC 15408. https://www.suse.com/security/certificates.html
  • 5. Tekniikoita  AppArmor vakiona (SELinux aktivoitavissa)  Virtual Address Space Randomization yms Linux-ominaisuuksia  OpenSCAP, Seccheck  YaST2 Security Center  rsyslog, auditd, rpm -V -a, AIDE  LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki  nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät päivityslähteet (GPG-allekirjotukset, OBS)  avointa lähdekoodia!
  • 6. Dokumentaatio https://www.suse.com/documentation/sles11/
  • 7. Tietoturvahyökkäysyritysten havaitseminen ja seuranta  Jos joku yrittää murtautua palvelimellesi, huomaisitko asian?  Panostatko tietoturvaan satunnaisesti vai suhteessa mitattuun uhkaan?  Voiko hyökkäysyrityksiä havaita ja tilastoida automatisoidusti?
  • 8. CERT-FI valtakunnallisesti CERT-FI Autoreporter (2005-), HAVARO (2011-) ja GovHAVARO (2013-) HAVARO = Tietoturvaloukkausten HAvannointi- ja VAROitusjärjestelmä
  • 9. Mitä yksittäisen yrityksen näkökulmasta voi kannattaa tehdä?
  • 10. Porttiskannaus? PortSentry, psad, scanlogd, Snort... net.ipv4.conf.all.log_martians = 1 Ping? →Ei kannata
  • 11. SSH-kirjautumisyrityksiä Väärällä nimellä: Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110 Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth] Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan from 84.20.150.110 port 1024 ssh2 Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]
  • 12. Yrityksiä / väärä käyttäjätunnus 14 admin 5 operator 3 asfa 7 support 4 vyatta 3 aaa 7 info 4 test 2 tss 7 guest 4 seravo 2 nagios 6 ubnt 4 amy 2 magnos 6 pi 3 ruser 2 john 5 PlcmSpIp 3 oracle 2 jack
  • 13. SSH-kirjautumisyrityksiä Oikealla nimellä mutta väärällä salasanalla: Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials) Nov 19 14:45:50 wp sshd[1675]: Failed password for tero from 84.20.150.110 port 1158 ssh2 Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]
  • 14. Yrityksiä / oikea käyttäjätunnus 516 root 8 nobody 7 bin 1 zabbix 1 samuel 1 mysql
  • 15. SSH-kirjautumisten tilastointi
  • 16. Yrityksiä / IP-osoite 18 61.147.74.223 8 84.20.150.110 17 125.88.75.199 8 42.96.198.214 17 121.9.13.184 8 101.27.153.190.net-uno.net. 190.153.27.101 16 61.142.106.34 7 static-186-63-210-31.sadecehosting.net. 31.210.63.186 14 95.163.143.140 7 smonitoring.tce.ir. 37.255.176.36 13 host178-3-static.199-31-b.business.telecomitalia.it. 7 pcal09.ba.infn.it. 193.206.185.86 31.199.3.178 7 li674-133.members.linode.com. 212.71.239.133 12 210.51.10.158 7 h21ap24-13.utsltd.net. 193.24.30.55 12 221.178.164.251 7 customer-static-210-142-81.iplannetworks.net. 11 203.201.42.237 190.210.142.81 10 b3da0881.virtua.com.br. 179.218.8.129 7 83.229.69.36 10 173.208.233.72 7 61.144.14.93 10 124.117.249.242 7 58.221.60.164
  • 17. HTTP-skannaus? 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 319 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"
  • 18. 404-virheiden tilastointi
  • 19. Pohdintaa Kohdistuuko hyökkäys yhteen koneeseen? Useaan samassa IP-avaruudessa? Useaan saman verkkotunnuksen alatunnukseen? Onko hyökkäyksellä tietty kohde?
  • 20. Klo 19-23 hyökkäys IP-naapureissa
  • 21. Hyökkäysliikenteen määrä korreloi yleisen liikennemäärän kanssa 1778 seravo.fi 176 www.mediakomppania.fi 168 coss.fi 58 tuijabrax.fi (olettaen että sivustoilla vain vähän aitoja 404-virheitä)
  • 22. Hyöty? Lisääkö ikkunasta ulos katsominen talon sisällä olevan turvallisuutta?
  • 23. Mitä paremmin tietää, sitä paremmin tekee päätöksiä. Kartoitus  suunnittelu  priorisointi  investoinnit Tietoturva(kin) on prosessi
  • 24. Tietoturvahyökkäysyritysten havaitseminen ja seuranta Vastaukset esityksen alun kysymyksiin: Kyllä!  Kerää tilastoa automatisoidusti.  Jos joku on yrittänyt murtautua palvelimellesi, voit käydä katsomassa monestiko, koska ja mistä päin.  Panosta tietoturvaan suhteessa mitattuun uhkaan.
  • 25. Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään Linux-pohjaisia tietojärjestelmiänne Lisätietoa yrityksestä: seravo.fi Lisätietoa teknologioista: seravo.fi/blog