Tietoturvahyökkaysyritysten havaitseminen ja seuranta

Preview:

Click to see full reader

DESCRIPTION

Esitys SUSE Tampereella -tilaisuudessa 20.11.2013 http://seravo.fi/2013/suse-event-tampere-2013-11-20

Citation preview

Tietoturvahyökkäysyritysten havaitseminen ja seuranta

Otto KekäläinenSUSE-tilaisuusTampere 20.11.2013

LINUX-JÄRJESTELMIEN ASIANTUNTIJA- JA TUKIPALVELUT

Tietoturvan määritelmä

LuottamuksellisuusEheysSaatavuus

SUSE ja tietoturva ”SUSE Linux Enterprise 11 meets the latest Linux

Foundation's Carrier Grade Linux 4.0 standard and is CGL registered.”

”FIPS (Federal Information Processing Standard) 140-2 validation [...] certified by NIST (CMVP).”

”Common Criteria Certificate at Evaluation Assurance Level EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux Enterprise Server 11 SP2 including KVM virtualization. ” CC myös nimellä ISO/IEC 15408.

https://www.suse.com/security/certificates.html

TekniikoitaAppArmor vakiona (SELinux aktivoitavissa)

Virtual Address Space Randomization yms Linux-ominaisuuksia

OpenSCAP, Seccheck

YaST2 Security Center

rsyslog, auditd, rpm -V -a, AIDE

LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki

nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät päivityslähteet (GPG-allekirjotukset, OBS)

avointa lähdekoodia!

Dokumentaatio

https://www.suse.com/documentation/sles11/

Tietoturvahyökkäysyritysten havaitseminen ja seuranta

Jos joku yrittää murtautua palvelimellesi, huomaisitko asian?

Panostatko tietoturvaan satunnaisesti vai suhteessa mitattuun uhkaan?

Voiko hyökkäysyrityksiä havaita ja tilastoida automatisoidusti?

CERT-FI valtakunnallisesti

CERT-FI Autoreporter (2005-),HAVARO (2011-) ja GovHAVARO (2013-)

HAVARO = TietoturvaloukkaustenHAvannointi- ja

VAROitusjärjestelmä

Mitä yksittäisen yrityksen näkökulmastavoi kannattaa tehdä?

Porttiskannaus?

PortSentry, psad, scanlogd, Snort...net.ipv4.conf.all.log_martians = 1

Ping?

→Ei kannata

SSH-kirjautumisyrityksiäVäärällä nimellä:

Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110

Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth]

Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown

Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure;

logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110

Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan

from 84.20.150.110 port 1024 ssh2

Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]

Yrityksiä / väärä käyttäjätunnus14 admin

7 support

7 info

7 guest

6 ubnt

6 pi

5 PlcmSpIp

3 asfa

3 aaa

2 tss

2 nagios

2 magnos

2 john

2 jack

5 operator

4 vyatta

4 test

4 seravo

4 amy

3 ruser

3 oracle

SSH-kirjautumisyrityksiäOikealla nimellä mutta väärällä salasanalla:

Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure;

logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero

Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as

user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials)

Nov 19 14:45:50 wp sshd[1675]: Failed password for tero

from 84.20.150.110 port 1158 ssh2

Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]

Yrityksiä / oikea käyttäjätunnus516 root

8 nobody

7 bin

1 zabbix

1 samuel

1 mysql

SSH-kirjautumisten tilastointi

Yrityksiä / IP-osoite18 61.147.74.223

17 125.88.75.199

17 121.9.13.184

16 61.142.106.34

14 95.163.143.140

13 host178-3-static.199-31-b.business.telecomitalia.it. 31.199.3.178

12 210.51.10.158

12 221.178.164.251

11 203.201.42.237

10 b3da0881.virtua.com.br. 179.218.8.129

10 173.208.233.72

10 124.117.249.242

8 84.20.150.110

8 42.96.198.214

8 101.27.153.190.net-uno.net. 190.153.27.101

7 static-186-63-210-31.sadecehosting.net. 31.210.63.186

7 smonitoring.tce.ir. 37.255.176.36

7 pcal09.ba.infn.it. 193.206.185.86

7 li674-133.members.linode.com. 212.71.239.133

7 h21ap24-13.utsltd.net. 193.24.30.55

7 customer-static-210-142-81.iplannetworks.net. 190.210.142.81

7 83.229.69.36

7 61.144.14.93

7 58.221.60.164

HTTP-skannaus?63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 319 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu"63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"

404-virheiden tilastointi

Pohdintaa

Kohdistuuko hyökkäys yhteen koneeseen?Useaan samassa IP-avaruudessa?

Useaan saman verkkotunnuksen alatunnukseen?Onko hyökkäyksellä tietty kohde?

Klo 19-23 hyökkäys IP-naapureissa

Hyökkäysliikenteen määrä korreloi yleisen liikennemäärän kanssa

1778 seravo.fi

176 www.mediakomppania.fi

168 coss.fi

58 tuijabrax.fi

(olettaen että sivustoilla vain vähän aitoja 404-virheitä)

Hyöty?

Lisääkö ikkunasta ulos katsominen talon sisällä olevan turvallisuutta?

Mitä paremmin tietää, sitä paremmin tekee päätöksiä.

Kartoitus suunnittelu priorisointi investoinnit

Tietoturva(kin) on prosessi

Tietoturvahyökkäysyritysten havaitseminen ja seuranta

Vastaukset esityksen alun kysymyksiin: Kyllä!

Kerää tilastoa automatisoidusti.

Jos joku on yrittänyt murtautua palvelimellesi, voit käydä katsomassa monestiko, koska ja mistä päin.

Panosta tietoturvaan suhteessa mitattuun uhkaan.

Ota yhteyttä kun haluat Seravo Oy:n kehittämään tai ylläpitämään

Linux-pohjaisia tietojärjestelmiänne

Lisätietoa yrityksestä: seravo.fiLisätietoa teknologioista: seravo.fi/blog

http://seravo.fi/?slideshare
http://seravo.fi/blog/?slideshare

Recommended

HUS nivelreumapotilaan polku · 2019. 6. 10. · Seuranta reumato-logian klinikalla Hoidon seuranta. Kontrollikäynnit ja omahoito. Moniammatillinen tiimi Saat hoitosi alussa lähetteen
Documents
Strateginen ja ennakoiva toimintaympäristön seuranta
Business
Toni Jantunen - KATTILAVESIEN LAADUN SEURANTA JA
Documents
Suomen teollisen ekologian seura ry - teollinen ekologia ... · NITELMAT JA KRIITTISET SEURANTA-KOHTEET STRATEGIOIDEN TOIMEENPANO TAI KORJAAVIA TOIMIA SEURANTA-IMPULSSIEN TOTEAMINEN
Documents
Blogit yhteisöviestinnässä ja nettikeskustelujen seuranta
Business
Korkeakoulun strategiaprosessi ja sopimuskauteen ... · Korkeakoulun strategiaprosessi ja sopimuskauteen valmistautuminen Korkeakoulujen KOTA-seminaari 27.8.2019 ... Seuranta. Liitteet
Documents
Teno- ja Näätämöjoen lohikantojen seuranta 2009...Teno- ja Näätämöjoen lohikantojen seuranta 2009 Maija Länsman, Jorma Kuusela, Panu Orell, Jari Haantie, Matti Kylmäaho ja
Documents
KUVATAIDE · Havaitseminen ja visuaalinen ajattelu T3 rohkaista oppilasta havainnoimaan ympäristöä, taidetta ja muuta visuaalista kulttuuria soveltamalla taiteellisen tutkimuksen
Documents
Muistisairauksien hoito ja seuranta perusterveydenhuollossa
Health & Medicine
Liiketoiminnan suunnittelu ja johtaminen Case: Microsoftdownload.microsoft.com/documents/UK/Finland/ec/business...•Tavoiteasetanta ja sen seuranta •Johtaminen tavoiteasetannan
Documents
Tietomurtojen ennaltaehkäisy, havaitseminen ja tutkinta · Applikaatiot, IP-osoitteet | Sopiva teknisen suojautumisen taso. Riittävä teknisen suojautumisen taso on määritettävä
Documents
Määrätietoisesti kehittäen, aktiivisesti ja yhdessä · 2019. 5. 14. · omaishoitajien jaksamisen ja toimintakyvyn tukemisesta 9 14.05.19. Ehdotus 32 ... prosessin seuranta ja
Documents
Projektien laadullinen ja määrällinen seuranta
Documents
YKSITYISEN TERVEYDENHUOLLON …...Täydennyskoulutussuunnittelu- ja seurantamenettelyt, osaamisen, ammattitaidon ja sen kehittymisen seuranta, ... Potilasasiakirjojen laatiminen ja
Documents
JULKAISUT Liikkuva koulu -ohjelman seuranta ja tutkimus ... · JULKAISUT Liikkuva koulu -ohjelman seuranta ja tutkimus 2010–2018 Väitöskirjat Haapala, Henna. 2017. Finnish Schools
Documents
Strategisen tason suunnitelma vuosille 2016–2018 · vuosille 2016–2018. SISÄLTÖ ... toteutus ja seuranta. Osaaminen ja kehittymissuunni- telmat ja niiden toteutuminen dokumentoidaan
Documents
kaupungin päihde- ja mielenterveys- strategia · 8. Seuranta ja arviointi ... Lastensuojelulaissa (417/2007) ja terveydenhuoltolaissa (1326/2010) todetaan, että lapsen hoidon ja
Documents
Toiminta sosiaalisessa mediassa - Välineet ja seuranta
Education
DIGIPALVELUIDEN VAIKUTTAVUUDEN ARVIOINTI JA TUTKIMUS¶nen... · 2019. 2. 18. · DIGIPALVELUIDEN VAIKUTTAVUUDEN ARVIOINTI JA TUTKIMUS Valtakunnallinen STePS-seuranta ja seurantatietoa
Documents
Tietohallinnon yhteisöviestinnän seuranta ja mittaus: Case ... · nettua kyselytutkimusta, pikapalautetta, sosiaalisen median analytiikkaa ja vaikutelmada-taa. Tietohallinnon viestinnän
Documents