Tietoturvahyökkäysyritysten
havaitseminen ja seuranta
Otto Kekäläinen
SUSE-tilaisuus
Tampere 20.11.2013
LINUX-JÄRJESTELMIEN
ASIANTUNTIJA- JA TUKIPALVELUT
Tietoturvan määritelmä
 Luottamuksellisuus
 Eheys
 Saatavuus
SUSE ja tietoturva
 ”SUSE Linux Enterprise 11 meets the latest Linux

Foundation's Carrier Grade Linux 4.0 standard and i...
Tekniikoita
 AppArmor vakiona (SELinux aktivoitavissa)
 Virtual Address Space Randomization yms Linux-ominaisuuksia
 Op...
Dokumentaatio

https://www.suse.com/documentation/sles11/
Tietoturvahyökkäysyritysten
havaitseminen ja seuranta
 Jos joku yrittää murtautua palvelimellesi,

huomaisitko asian?

 ...
CERT-FI valtakunnallisesti
CERT-FI Autoreporter (2005-),
HAVARO (2011-) ja GovHAVARO (2013-)
HAVARO = Tietoturvaloukkauste...
Mitä yksittäisen yrityksen näkökulmasta
voi kannattaa tehdä?
Porttiskannaus?
PortSentry, psad, scanlogd, Snort...
net.ipv4.conf.all.log_martians = 1
Ping?
→Ei kannata
SSH-kirjautumisyrityksiä
Väärällä nimellä:
Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110
Nov 19 ...
Yrityksiä / väärä käyttäjätunnus
14 admin

5 operator

3 asfa

7 support

4 vyatta

3 aaa

7 info

4 test

2 tss

7 guest
...
SSH-kirjautumisyrityksiä
Oikealla nimellä mutta väärällä salasanalla:
Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): ...
Yrityksiä / oikea käyttäjätunnus
516 root
8 nobody
7 bin
1 zabbix
1 samuel
1 mysql
SSH-kirjautumisten tilastointi
Yrityksiä / IP-osoite
18 61.147.74.223

8 84.20.150.110

17 125.88.75.199

8 42.96.198.214

17 121.9.13.184

8 101.27.153....
HTTP-skannaus?
63.252.205.195 - - [17/Nov/2013:18:39:53 +0200]
"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1"
4...
404-virheiden tilastointi
Pohdintaa
Kohdistuuko hyökkäys yhteen koneeseen?
Useaan samassa IP-avaruudessa?
Useaan saman verkkotunnuksen alatunnukseen...
Klo 19-23 hyökkäys IP-naapureissa
Hyökkäysliikenteen määrä korreloi
yleisen liikennemäärän kanssa
1778 seravo.fi
176 www.mediakomppania.fi
168 coss.fi
58 tu...
Hyöty?

Lisääkö ikkunasta ulos katsominen
talon sisällä olevan turvallisuutta?
Mitä paremmin tietää, sitä paremmin tekee päätöksiä.
Kartoitus  suunnittelu  priorisointi  investoinnit

Tietoturva(kin...
Tietoturvahyökkäysyritysten
havaitseminen ja seuranta
Vastaukset esityksen alun kysymyksiin: Kyllä!
 Kerää tilastoa autom...
Ota yhteyttä kun haluat Seravo Oy:n
kehittämään tai ylläpitämään
Linux-pohjaisia tietojärjestelmiänne
Lisätietoa yritykses...
Upcoming SlideShare
Loading in...5
×

Tietoturvahyökkaysyritysten havaitseminen ja seuranta

600

Published on

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013
http://seravo.fi/2013/suse-event-tampere-2013-11-20

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
600
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Tietoturvahyökkaysyritysten havaitseminen ja seuranta"

  1. 1. Tietoturvahyökkäysyritysten havaitseminen ja seuranta Otto Kekäläinen SUSE-tilaisuus Tampere 20.11.2013
  2. 2. LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
  3. 3. Tietoturvan määritelmä  Luottamuksellisuus  Eheys  Saatavuus
  4. 4. SUSE ja tietoturva  ”SUSE Linux Enterprise 11 meets the latest Linux Foundation's Carrier Grade Linux 4.0 standard and is CGL registered.”  ”FIPS (Federal Information Processing Standard) 140-2 validation [...] certified by NIST (CMVP).”  ”Common Criteria Certificate at Evaluation Assurance Level EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux Enterprise Server 11 SP2 including KVM virtualization. ” CC myös nimellä ISO/IEC 15408. https://www.suse.com/security/certificates.html
  5. 5. Tekniikoita  AppArmor vakiona (SELinux aktivoitavissa)  Virtual Address Space Randomization yms Linux-ominaisuuksia  OpenSCAP, Seccheck  YaST2 Security Center  rsyslog, auditd, rpm -V -a, AIDE  LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki  nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät päivityslähteet (GPG-allekirjotukset, OBS)  avointa lähdekoodia!
  6. 6. Dokumentaatio https://www.suse.com/documentation/sles11/
  7. 7. Tietoturvahyökkäysyritysten havaitseminen ja seuranta  Jos joku yrittää murtautua palvelimellesi, huomaisitko asian?  Panostatko tietoturvaan satunnaisesti vai suhteessa mitattuun uhkaan?  Voiko hyökkäysyrityksiä havaita ja tilastoida automatisoidusti?
  8. 8. CERT-FI valtakunnallisesti CERT-FI Autoreporter (2005-), HAVARO (2011-) ja GovHAVARO (2013-) HAVARO = Tietoturvaloukkausten HAvannointi- ja VAROitusjärjestelmä
  9. 9. Mitä yksittäisen yrityksen näkökulmasta voi kannattaa tehdä?
  10. 10. Porttiskannaus? PortSentry, psad, scanlogd, Snort... net.ipv4.conf.all.log_martians = 1 Ping? →Ei kannata
  11. 11. SSH-kirjautumisyrityksiä Väärällä nimellä: Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110 Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth] Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan from 84.20.150.110 port 1024 ssh2 Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]
  12. 12. Yrityksiä / väärä käyttäjätunnus 14 admin 5 operator 3 asfa 7 support 4 vyatta 3 aaa 7 info 4 test 2 tss 7 guest 4 seravo 2 nagios 6 ubnt 4 amy 2 magnos 6 pi 3 ruser 2 john 5 PlcmSpIp 3 oracle 2 jack
  13. 13. SSH-kirjautumisyrityksiä Oikealla nimellä mutta väärällä salasanalla: Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials) Nov 19 14:45:50 wp sshd[1675]: Failed password for tero from 84.20.150.110 port 1158 ssh2 Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]
  14. 14. Yrityksiä / oikea käyttäjätunnus 516 root 8 nobody 7 bin 1 zabbix 1 samuel 1 mysql
  15. 15. SSH-kirjautumisten tilastointi
  16. 16. Yrityksiä / IP-osoite 18 61.147.74.223 8 84.20.150.110 17 125.88.75.199 8 42.96.198.214 17 121.9.13.184 8 101.27.153.190.net-uno.net. 190.153.27.101 16 61.142.106.34 7 static-186-63-210-31.sadecehosting.net. 31.210.63.186 14 95.163.143.140 7 smonitoring.tce.ir. 37.255.176.36 13 host178-3-static.199-31-b.business.telecomitalia.it. 7 pcal09.ba.infn.it. 193.206.185.86 31.199.3.178 7 li674-133.members.linode.com. 212.71.239.133 12 210.51.10.158 7 h21ap24-13.utsltd.net. 193.24.30.55 12 221.178.164.251 7 customer-static-210-142-81.iplannetworks.net. 11 203.201.42.237 190.210.142.81 10 b3da0881.virtua.com.br. 179.218.8.129 7 83.229.69.36 10 173.208.233.72 7 61.144.14.93 10 124.117.249.242 7 58.221.60.164
  17. 17. HTTP-skannaus? 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 319 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu" 63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"
  18. 18. 404-virheiden tilastointi
  19. 19. Pohdintaa Kohdistuuko hyökkäys yhteen koneeseen? Useaan samassa IP-avaruudessa? Useaan saman verkkotunnuksen alatunnukseen? Onko hyökkäyksellä tietty kohde?
  20. 20. Klo 19-23 hyökkäys IP-naapureissa
  21. 21. Hyökkäysliikenteen määrä korreloi yleisen liikennemäärän kanssa 1778 seravo.fi 176 www.mediakomppania.fi 168 coss.fi 58 tuijabrax.fi (olettaen että sivustoilla vain vähän aitoja 404-virheitä)
  22. 22. Hyöty? Lisääkö ikkunasta ulos katsominen talon sisällä olevan turvallisuutta?
  23. 23. Mitä paremmin tietää, sitä paremmin tekee päätöksiä. Kartoitus  suunnittelu  priorisointi  investoinnit Tietoturva(kin) on prosessi
  24. 24. Tietoturvahyökkäysyritysten havaitseminen ja seuranta Vastaukset esityksen alun kysymyksiin: Kyllä!  Kerää tilastoa automatisoidusti.  Jos joku on yrittänyt murtautua palvelimellesi, voit käydä katsomassa monestiko, koska ja mistä päin.  Panosta tietoturvaan suhteessa mitattuun uhkaan.
  25. 25. Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään Linux-pohjaisia tietojärjestelmiänne Lisätietoa yrityksestä: seravo.fi Lisätietoa teknologioista: seravo.fi/blog

×