Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
BalaBit syslog-ng Store Box Analyse digitaler "Spuren" im Netzwerk Martin Grauel [email_address] +49 170 8067 345
Agenda Mögliche Beweismittel in der IT-Forensik Logdaten und  IT-Forensik syslog-ng Store Box Problemlösungen SSB Log-Life...
IT-Forensik
Mögliche Beweismittel in der IT-Forensik <ul><li>Netzwerk-Forensik </li></ul><ul><ul><li>Analyse des Netzwerkverkehrs (IDS...
Logdaten und IT-Forensik <ul><li>Nahezu alle Betriebssysteme und Applikationen schreiben Logs für bestimmte Ereignisse … <...
syslog-ng Store Box <ul><li>Auf syslog-ng PE basierende (Soft-)Appliance zum hochperformanten Sammeln, Verarbeiten und Spe...
<ul><ul><li>Problem 1:  </li></ul></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung  von Logdaten </li></u...
Problemlösung 1: Zentrale Speicherung und sichere Übertragung
<ul><ul><li>Problem 2:  </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul>
Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted  publickey for root...
<ul><ul><li>Problem 3:  </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux:  Accepted publickey for admin from 10.1.1.1 port 2543...
Der gesamte SSB Log-Lifecycle ...
Alle Probleme gelöst? Wenn der Administrator das Logging auf dem  Client  abschaltet oder manipuliert, ... …  dann bleibt ...
…  hoffentlich eine  BalaBit  Shell Control Box !
Q & A Vielen Dank für Ihre Aufmerksamkeit ...
Upcoming SlideShare
Loading in …5
×

Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk

1,709 views

Published on

Veranstaltung: 9. NETFOX Security Day, 27.05.2010, MEILENWERK Berlin. Präsentation durch BalaBit zum
Thema: Analyse digitaler “Spuren” im Netzwerk.

Published in: Technology, Business
  • Be the first to comment

  • Be the first to like this

Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk

  1. 1. BalaBit syslog-ng Store Box Analyse digitaler &quot;Spuren&quot; im Netzwerk Martin Grauel [email_address] +49 170 8067 345
  2. 2. Agenda Mögliche Beweismittel in der IT-Forensik Logdaten und IT-Forensik syslog-ng Store Box Problemlösungen SSB Log-Lifecycle
  3. 3. IT-Forensik
  4. 4. Mögliche Beweismittel in der IT-Forensik <ul><li>Netzwerk-Forensik </li></ul><ul><ul><li>Analyse des Netzwerkverkehrs (IDS, DNS, E-Mail Header, Honeypot-Systeme etc.) </li></ul></ul><ul><li>Dateisystem-Forensik </li></ul><ul><ul><li>Datenträgersicherung und Analyse </li></ul></ul><ul><li>Speicher-Forensik </li></ul><ul><ul><li>Sicherung und Analyse von Speicherinhalten </li></ul></ul>
  5. 5. Logdaten und IT-Forensik <ul><li>Nahezu alle Betriebssysteme und Applikationen schreiben Logs für bestimmte Ereignisse … </li></ul><ul><li>… doch wie steht es um die Integrität und Glaubwürdigkeit der Logdaten? </li></ul><ul><li>Es gibt ein paar Probleme </li></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung von Logdaten </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
  6. 6. syslog-ng Store Box <ul><li>Auf syslog-ng PE basierende (Soft-)Appliance zum hochperformanten Sammeln, Verarbeiten und Speichern von Lognachrichten </li></ul><ul><li>Sammelt Logs via syslog-”Standards” </li></ul><ul><li>Revisionssichere Speicherung der Logs und granulare Regelung der Zugriffe </li></ul><ul><li>Leistungsfähige Such- und Reportingmöglichkeiten </li></ul><ul><li>... </li></ul>
  7. 7. <ul><ul><li>Problem 1: </li></ul></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung von Logdaten </li></ul></ul>
  8. 8. Problemlösung 1: Zentrale Speicherung und sichere Übertragung
  9. 9. <ul><ul><li>Problem 2: </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul>
  10. 10. Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted publickey for root from 10.1.1.1 port 25436 ssh2 Indexierter Logstore
  11. 11. <ul><ul><li>Problem 3: </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
  12. 12. Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux: Accepted publickey for admin from 10.1.1.1 port 25436 ssh2 Juniper: Password authentication successful for admin user 'Peter' at host 192.168.3.1. Fortigate: user=admin ui=GUI action=login status=success reason=none msg=&quot;User admin login accepted from GUI&quot; Alle Events aus Subnetz A Logstore A Ext. Analysesystem Failed Login Events Login/Logout-Events Logstore B
  13. 13. Der gesamte SSB Log-Lifecycle ...
  14. 14. Alle Probleme gelöst? Wenn der Administrator das Logging auf dem Client abschaltet oder manipuliert, ... … dann bleibt uns nicht viel mehr das Login-Event und eine Mühsame Suche in Speicher- und Diskabbildern … … oder ...
  15. 15. … hoffentlich eine BalaBit Shell Control Box !
  16. 16. Q & A Vielen Dank für Ihre Aufmerksamkeit ...

×