Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Sikkerhetssystemer UIO-cert

Liknende presentasjoner


Presentasjon om: "Sikkerhetssystemer UIO-cert"— Utskrift av presentasjonen:

1 Sikkerhetssystemer UIO-cert
Asbjørn Prøis usit/sas/os - usit/sint

2 LaBrea / Honeypot : Fake server som svarer på alle porter på alle adresser i subnettene den overvåker Svarer på oppkoblinger på en måte som gjør at oppkoblingene blir ”hengende fast” (= portscan tar laaaang tid) Veldig effektiv til å oppdagere maskiner som er infisert av virus eller en orm-variant. Ble opprinnelig laget som et motangrep / forsvarsmekanisme mot CodeRed ormen.

3 LaBrea / Honeypot – teknisk (1) :
Ser etter ARP forespørsler og svar Når den ser flere forespørsler over et gitt tidsrom (noen sekunder) uten noe svar, antar den at ipadressen ikke er i bruk Lager et fake ARP svar med en bogus mac-adresse som sendes til den som sendte forespørselen 14:18: ARP who-has tell 14:18: ARP who-has tell 14:18: ARP who-has tell 14:18: ARP reply is-at 0:0:f:ff:ff:ff

4 LaBrea / Honeypot – teknisk (2) :
14:18: ARP who-has tell 14:18: ARP who-has tell 14:18: ARP who-has tell 14:18: ARP reply is-at 0:0:f:ff:ff:ff Ruteren tror nå det er en maskin bak .13 med mac-adressen 0:0:f:ff:ff:ff og sender velvillig pakker til den. Altså er det blitt opprettet en virtuell server på denne ipadressen. LaBrea ser nå også etter TCP trafikk til bogus mac-adressen. Når den ser en TCP SYN pakke, svarer den med en SYN/ACK som gjør at oppkoblingen blir hengende. En portscan av denne adressen vil dermed ta veldig lang tid

5 LaBrea::Tarpit Perl pakke som følger med på loggfilene til LaBrea
Melder ifra til cert når den oppdager ting som oppfyller kriteriene som er satt. Cert-vakten følger opp hendelsene, og tar saken videre.

6 Netflow : Flow = dataforbindelse
Netflow = informasjon om dataforbindelsen En ”åpen” Cisco protokoll for å samle trafikkdata som går over rutere Feature i Cisco IOS programvaren Sender netflow dataene som UDP pakker til f.eks en sentral loggserver

7 Netflow – hva logges : Source ip/port, destination ip/port, protokoll, tid, varighet, pakker og bytes sendt og mottatt UiO lagrer rådata om netflowen fra de sentrale ruterne, som taes vare på i 3mnder. Rapportene som er laget av netflow dataen lagres i minst 6mnder.

8 Netflow – bruk av data : Automatiske rapporter (daglig, ukentlig, mndtlig) Viser bruksmønsteret av nettbruken på UiO Eksempel (1) : En maskin er blitt komprimitert Bruke netflow til å finne ut hvor angrepet kom fra, og hvilke maskiner på UiO den har snakket med for å se hva inntrengeren har gjort videre Eksempel (2) : Uninett bruker netflow fra hovedrouterne til blant annet å automatisk oppdage og varsle om infiserte maskiner som er f.eks med i et DDoS-nett. Kun et fåtall personer har tilgang til disse dataene

9 NAV – Network Administration Visualized Historikk :
Opprinnelig utviklet av NTNU (versjon ) Uninett kom på banen i 2001 (versjon 2) Uninett tok over hele prosjektet i 2006 (versjon 3) Siste (stabile) versjon 3.3.1

10 NAV – Network Administration Visualized
Et ”komplett” system for overvåkning av nettverk Kan automatisk finne ut hvordan topologien i et nettverk ser ut Samler masse data fra utstyret : cam/arp tabeller trafikk på porter cpu/minne webgrensesnitt for visuell visning, profilstyrt varslinger (web, sms eller mail)

11 NAV – Network Administration Visualized
Vanlig bruk : sporing av ip/mac-adresser (machinetracker) trafikkbruk på svitsjeporter (statistics/cricket) cpu/minne-bruk på rutere/svitsjer (statistics) software versjoner (reports) visuell trafikkbelastning på hele nettet (Traffic Map) overvåkning av bokser eller tjenester som går opp/ned

12 NAV – Network Administration Visualized
Alle med gyldig UiO-konto kan bruke NAV Rettigheter må tildeles etter førstegangs innlogging De fleste blir lagt i ”LITA gruppe”, som gir lese-tilgang til det meste Send mail til for å få tilgang


Laste ned ppt "Sikkerhetssystemer UIO-cert"

Liknende presentasjoner


Annonser fra Google