Palvelujen koordinointi ja seuranta keskitetyllä toimintamallilla
Tietoturvahyökkaysyritysten havaitseminen ja seuranta
-
Upload
otto-kekaelaeinen -
Category
Technology
-
view
431 -
download
4
description
Transcript of Tietoturvahyökkaysyritysten havaitseminen ja seuranta
![Page 1: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/1.jpg)
Tietoturvahyökkäysyritysten havaitseminen ja seuranta
Otto KekäläinenSUSE-tilaisuusTampere 20.11.2013
![Page 2: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/2.jpg)
LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
![Page 3: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/3.jpg)
Tietoturvan määritelmä
LuottamuksellisuusEheysSaatavuus
![Page 4: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/4.jpg)
SUSE ja tietoturva ”SUSE Linux Enterprise 11 meets the latest Linux
Foundation's Carrier Grade Linux 4.0 standard and is CGL registered.”
”FIPS (Federal Information Processing Standard) 140-2 validation [...] certified by NIST (CMVP).”
”Common Criteria Certificate at Evaluation Assurance Level EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux Enterprise Server 11 SP2 including KVM virtualization. ” CC myös nimellä ISO/IEC 15408.
https://www.suse.com/security/certificates.html
![Page 5: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/5.jpg)
TekniikoitaAppArmor vakiona (SELinux aktivoitavissa)
Virtual Address Space Randomization yms Linux-ominaisuuksia
OpenSCAP, Seccheck
YaST2 Security Center
rsyslog, auditd, rpm -V -a, AIDE
LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki
nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät päivityslähteet (GPG-allekirjotukset, OBS)
avointa lähdekoodia!
![Page 6: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/6.jpg)
Dokumentaatio
https://www.suse.com/documentation/sles11/
![Page 7: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/7.jpg)
Tietoturvahyökkäysyritysten havaitseminen ja seuranta
Jos joku yrittää murtautua palvelimellesi, huomaisitko asian?
Panostatko tietoturvaan satunnaisesti vai suhteessa mitattuun uhkaan?
Voiko hyökkäysyrityksiä havaita ja tilastoida automatisoidusti?
![Page 8: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/8.jpg)
CERT-FI valtakunnallisesti
CERT-FI Autoreporter (2005-),HAVARO (2011-) ja GovHAVARO (2013-)
HAVARO = TietoturvaloukkaustenHAvannointi- ja
VAROitusjärjestelmä
![Page 9: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/9.jpg)
Mitä yksittäisen yrityksen näkökulmastavoi kannattaa tehdä?
![Page 10: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/10.jpg)
Porttiskannaus?
PortSentry, psad, scanlogd, Snort...net.ipv4.conf.all.log_martians = 1
Ping?
→Ei kannata
![Page 11: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/11.jpg)
SSH-kirjautumisyrityksiäVäärällä nimellä:
Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110
Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth]
Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown
Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110
Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan
from 84.20.150.110 port 1024 ssh2
Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]
![Page 12: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/12.jpg)
Yrityksiä / väärä käyttäjätunnus14 admin
7 support
7 info
7 guest
6 ubnt
6 pi
5 PlcmSpIp
3 asfa
3 aaa
2 tss
2 nagios
2 magnos
2 john
2 jack
5 operator
4 vyatta
4 test
4 seravo
4 amy
3 ruser
3 oracle
![Page 13: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/13.jpg)
SSH-kirjautumisyrityksiäOikealla nimellä mutta väärällä salasanalla:
Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero
Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as
user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials)
Nov 19 14:45:50 wp sshd[1675]: Failed password for tero
from 84.20.150.110 port 1158 ssh2
Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]
![Page 14: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/14.jpg)
Yrityksiä / oikea käyttäjätunnus516 root
8 nobody
7 bin
1 zabbix
1 samuel
1 mysql
![Page 15: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/15.jpg)
SSH-kirjautumisten tilastointi
![Page 16: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/16.jpg)
Yrityksiä / IP-osoite18 61.147.74.223
17 125.88.75.199
17 121.9.13.184
16 61.142.106.34
14 95.163.143.140
13 host178-3-static.199-31-b.business.telecomitalia.it. 31.199.3.178
12 210.51.10.158
12 221.178.164.251
11 203.201.42.237
10 b3da0881.virtua.com.br. 179.218.8.129
10 173.208.233.72
10 124.117.249.242
8 84.20.150.110
8 42.96.198.214
8 101.27.153.190.net-uno.net. 190.153.27.101
7 static-186-63-210-31.sadecehosting.net. 31.210.63.186
7 smonitoring.tce.ir. 37.255.176.36
7 pcal09.ba.infn.it. 193.206.185.86
7 li674-133.members.linode.com. 212.71.239.133
7 h21ap24-13.utsltd.net. 193.24.30.55
7 customer-static-210-142-81.iplannetworks.net. 190.210.142.81
7 83.229.69.36
7 61.144.14.93
7 58.221.60.164
![Page 17: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/17.jpg)
HTTP-skannaus?63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 319 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"
![Page 18: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/18.jpg)
404-virheiden tilastointi
![Page 19: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/19.jpg)
Pohdintaa
Kohdistuuko hyökkäys yhteen koneeseen?Useaan samassa IP-avaruudessa?
Useaan saman verkkotunnuksen alatunnukseen?Onko hyökkäyksellä tietty kohde?
![Page 20: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/20.jpg)
Klo 19-23 hyökkäys IP-naapureissa
![Page 21: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/21.jpg)
Hyökkäysliikenteen määrä korreloi yleisen liikennemäärän kanssa
1778 seravo.fi
176 www.mediakomppania.fi
168 coss.fi
58 tuijabrax.fi
(olettaen että sivustoilla vain vähän aitoja 404-virheitä)
![Page 22: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/22.jpg)
Hyöty?
Lisääkö ikkunasta ulos katsominen talon sisällä olevan turvallisuutta?
![Page 23: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/23.jpg)
Mitä paremmin tietää, sitä paremmin tekee päätöksiä.
Kartoitus suunnittelu priorisointi investoinnit
Tietoturva(kin) on prosessi
![Page 24: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/24.jpg)
Tietoturvahyökkäysyritysten havaitseminen ja seuranta
Vastaukset esityksen alun kysymyksiin: Kyllä!
Kerää tilastoa automatisoidusti.
Jos joku on yrittänyt murtautua palvelimellesi, voit käydä katsomassa monestiko, koska ja mistä päin.
Panosta tietoturvaan suhteessa mitattuun uhkaan.
![Page 25: Tietoturvahyökkaysyritysten havaitseminen ja seuranta](https://reader034.fdocument.pub/reader034/viewer/2022042713/54919e51ac795963288b4594/html5/thumbnails/25.jpg)
Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään
Linux-pohjaisia tietojärjestelmiänne
Lisätietoa yrityksestä: seravo.fiLisätietoa teknologioista: seravo.fi/blog