Your SlideShare is downloading. ×
0
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Tietoturvahyökkaysyritysten havaitseminen ja seuranta

572

Published on

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013 …

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013
http://seravo.fi/2013/suse-event-tampere-2013-11-20

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
572
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Tietoturvahyökkäysyritysten havaitseminen ja seuranta Otto Kekäläinen SUSE-tilaisuus Tampere 20.11.2013
  • 2. LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
  • 3. Tietoturvan määritelmä  Luottamuksellisuus  Eheys  Saatavuus
  • 4. SUSE ja tietoturva  ”SUSE Linux Enterprise 11 meets the latest Linux Foundation's Carrier Grade Linux 4.0 standard and is CGL registered.”  ”FIPS (Federal Information Processing Standard) 140-2 validation [...] certified by NIST (CMVP).”  ”Common Criteria Certificate at Evaluation Assurance Level EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux Enterprise Server 11 SP2 including KVM virtualization. ” CC myös nimellä ISO/IEC 15408. https://www.suse.com/security/certificates.html
  • 5. Tekniikoita  AppArmor vakiona (SELinux aktivoitavissa)  Virtual Address Space Randomization yms Linux-ominaisuuksia  OpenSCAP, Seccheck  YaST2 Security Center  rsyslog, auditd, rpm -V -a, AIDE  LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki  nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät päivityslähteet (GPG-allekirjotukset, OBS)  avointa lähdekoodia!
  • 6. Dokumentaatio https://www.suse.com/documentation/sles11/
  • 7. Tietoturvahyökkäysyritysten havaitseminen ja seuranta  Jos joku yrittää murtautua palvelimellesi, huomaisitko asian?  Panostatko tietoturvaan satunnaisesti vai suhteessa mitattuun uhkaan?  Voiko hyökkäysyrityksiä havaita ja tilastoida automatisoidusti?
  • 8. CERT-FI valtakunnallisesti CERT-FI Autoreporter (2005-), HAVARO (2011-) ja GovHAVARO (2013-) HAVARO = Tietoturvaloukkausten HAvannointi- ja VAROitusjärjestelmä
  • 9. Mitä yksittäisen yrityksen näkökulmasta voi kannattaa tehdä?
  • 10. Porttiskannaus? PortSentry, psad, scanlogd, Snort... net.ipv4.conf.all.log_martians = 1 Ping? →Ei kannata
  • 11. SSH-kirjautumisyrityksiä Väärällä nimellä: Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110 Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth] Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan from 84.20.150.110 port 1024 ssh2 Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]
  • 12. Yrityksiä / väärä käyttäjätunnus 14 admin 5 operator 3 asfa 7 support 4 vyatta 3 aaa 7 info 4 test 2 tss 7 guest 4 seravo 2 nagios 6 ubnt 4 amy 2 magnos 6 pi 3 ruser 2 john 5 PlcmSpIp 3 oracle 2 jack
  • 13. SSH-kirjautumisyrityksiä Oikealla nimellä mutta väärällä salasanalla: Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials) Nov 19 14:45:50 wp sshd[1675]: Failed password for tero from 84.20.150.110 port 1158 ssh2 Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]
  • 14. Yrityksiä / oikea käyttäjätunnus 516 root 8 nobody 7 bin 1 zabbix 1 samuel 1 mysql
  • 15. SSH-kirjautumisten tilastointi
  • 16. Yrityksiä / IP-osoite 18 61.147.74.223 8 84.20.150.110 17 125.88.75.199 8 42.96.198.214 17 121.9.13.184 8 101.27.153.190.net-uno.net. 190.153.27.101 16 61.142.106.34 7 static-186-63-210-31.sadecehosting.net. 31.210.63.186 14 95.163.143.140 7 smonitoring.tce.ir. 37.255.176.36 13 host178-3-static.199-31-b.business.telecomitalia.it. 7 pcal09.ba.infn.it. 193.206.185.86 31.199.3.178 7 li674-133.members.linode.com. 212.71.239.133 12 210.51.10.158 7 h21ap24-13.utsltd.net. 193.24.30.55 12 221.178.164.251 7 customer-static-210-142-81.iplannetworks.net. 11 203.201.42.237 190.210.142.81 10 b3da0881.virtua.com.br. 179.218.8.129 7 83.229.69.36 10 173.208.233.72 7 61.144.14.93 10 124.117.249.242 7 58.221.60.164
  • 17. HTTP-skannaus? 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 319 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"
  • 18. 404-virheiden tilastointi
  • 19. Pohdintaa Kohdistuuko hyökkäys yhteen koneeseen? Useaan samassa IP-avaruudessa? Useaan saman verkkotunnuksen alatunnukseen? Onko hyökkäyksellä tietty kohde?
  • 20. Klo 19-23 hyökkäys IP-naapureissa
  • 21. Hyökkäysliikenteen määrä korreloi yleisen liikennemäärän kanssa 1778 seravo.fi 176 www.mediakomppania.fi 168 coss.fi 58 tuijabrax.fi (olettaen että sivustoilla vain vähän aitoja 404-virheitä)
  • 22. Hyöty? Lisääkö ikkunasta ulos katsominen talon sisällä olevan turvallisuutta?
  • 23. Mitä paremmin tietää, sitä paremmin tekee päätöksiä. Kartoitus  suunnittelu  priorisointi  investoinnit Tietoturva(kin) on prosessi
  • 24. Tietoturvahyökkäysyritysten havaitseminen ja seuranta Vastaukset esityksen alun kysymyksiin: Kyllä!  Kerää tilastoa automatisoidusti.  Jos joku on yrittänyt murtautua palvelimellesi, voit käydä katsomassa monestiko, koska ja mistä päin.  Panosta tietoturvaan suhteessa mitattuun uhkaan.
  • 25. Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään Linux-pohjaisia tietojärjestelmiänne Lisätietoa yrityksestä: seravo.fi Lisätietoa teknologioista: seravo.fi/blog

×