Tietoturvahyökkäysyritysten havaitseminen ja seuranta
Otto KekäläinenSUSE-tilaisuusTampere 20.11.2013
LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT
Tietoturvan määritelmä
LuottamuksellisuusEheysSaatavuus
SUSE ja tietoturva ”SUSE Linux Enterprise 11 meets the latest Linux
Foundation's Carrier Grade Linux 4.0 standard and is CGL registered.”
”FIPS (Federal Information Processing Standard) 140-2 validation [...] certified by NIST (CMVP).”
”Common Criteria Certificate at Evaluation Assurance Level EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux Enterprise Server 11 SP2 including KVM virtualization. ” CC myös nimellä ISO/IEC 15408.
https://www.suse.com/security/certificates.html
TekniikoitaAppArmor vakiona (SELinux aktivoitavissa)
Virtual Address Space Randomization yms Linux-ominaisuuksia
OpenSCAP, Seccheck
YaST2 Security Center
rsyslog, auditd, rpm -V -a, AIDE
LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki
nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät päivityslähteet (GPG-allekirjotukset, OBS)
avointa lähdekoodia!
Dokumentaatio
https://www.suse.com/documentation/sles11/
Tietoturvahyökkäysyritysten havaitseminen ja seuranta
Jos joku yrittää murtautua palvelimellesi, huomaisitko asian?
Panostatko tietoturvaan satunnaisesti vai suhteessa mitattuun uhkaan?
Voiko hyökkäysyrityksiä havaita ja tilastoida automatisoidusti?
CERT-FI valtakunnallisesti
CERT-FI Autoreporter (2005-),HAVARO (2011-) ja GovHAVARO (2013-)
HAVARO = TietoturvaloukkaustenHAvannointi- ja
VAROitusjärjestelmä
Mitä yksittäisen yrityksen näkökulmastavoi kannattaa tehdä?
Porttiskannaus?
PortSentry, psad, scanlogd, Snort...net.ipv4.conf.all.log_martians = 1
Ping?
→Ei kannata
SSH-kirjautumisyrityksiäVäärällä nimellä:
Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110
Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth]
Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown
Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110
Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan
from 84.20.150.110 port 1024 ssh2
Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]
Yrityksiä / väärä käyttäjätunnus14 admin
7 support
7 info
7 guest
6 ubnt
6 pi
5 PlcmSpIp
3 asfa
3 aaa
2 tss
2 nagios
2 magnos
2 john
2 jack
5 operator
4 vyatta
4 test
4 seravo
4 amy
3 ruser
3 oracle
SSH-kirjautumisyrityksiäOikealla nimellä mutta väärällä salasanalla:
Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero
Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as
user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials)
Nov 19 14:45:50 wp sshd[1675]: Failed password for tero
from 84.20.150.110 port 1158 ssh2
Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]
Yrityksiä / oikea käyttäjätunnus516 root
8 nobody
7 bin
1 zabbix
1 samuel
1 mysql
SSH-kirjautumisten tilastointi
Yrityksiä / IP-osoite18 61.147.74.223
17 125.88.75.199
17 121.9.13.184
16 61.142.106.34
14 95.163.143.140
13 host178-3-static.199-31-b.business.telecomitalia.it. 31.199.3.178
12 210.51.10.158
12 221.178.164.251
11 203.201.42.237
10 b3da0881.virtua.com.br. 179.218.8.129
10 173.208.233.72
10 124.117.249.242
8 84.20.150.110
8 42.96.198.214
8 101.27.153.190.net-uno.net. 190.153.27.101
7 static-186-63-210-31.sadecehosting.net. 31.210.63.186
7 smonitoring.tce.ir. 37.255.176.36
7 pcal09.ba.infn.it. 193.206.185.86
7 li674-133.members.linode.com. 212.71.239.133
7 h21ap24-13.utsltd.net. 193.24.30.55
7 customer-static-210-142-81.iplannetworks.net. 190.210.142.81
7 83.229.69.36
7 61.144.14.93
7 58.221.60.164
HTTP-skannaus?63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 319 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"
404-virheiden tilastointi
Pohdintaa
Kohdistuuko hyökkäys yhteen koneeseen?Useaan samassa IP-avaruudessa?
Useaan saman verkkotunnuksen alatunnukseen?Onko hyökkäyksellä tietty kohde?
Klo 19-23 hyökkäys IP-naapureissa
Hyökkäysliikenteen määrä korreloi yleisen liikennemäärän kanssa
1778 seravo.fi
176 www.mediakomppania.fi
168 coss.fi
58 tuijabrax.fi
(olettaen että sivustoilla vain vähän aitoja 404-virheitä)
Hyöty?
Lisääkö ikkunasta ulos katsominen talon sisällä olevan turvallisuutta?
Mitä paremmin tietää, sitä paremmin tekee päätöksiä.
Kartoitus suunnittelu priorisointi investoinnit
Tietoturva(kin) on prosessi
Tietoturvahyökkäysyritysten havaitseminen ja seuranta
Vastaukset esityksen alun kysymyksiin: Kyllä!
Kerää tilastoa automatisoidusti.
Jos joku on yrittänyt murtautua palvelimellesi, voit käydä katsomassa monestiko, koska ja mistä päin.
Panosta tietoturvaan suhteessa mitattuun uhkaan.
Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään
Linux-pohjaisia tietojärjestelmiänne
Lisätietoa yrityksestä: seravo.fiLisätietoa teknologioista: seravo.fi/blog
Top Related