Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Sikkerhetssystemer UIO-cert Asbjørn Prøis usit/sas/os - usit/sint.

Liknende presentasjoner


Presentasjon om: "Sikkerhetssystemer UIO-cert Asbjørn Prøis usit/sas/os - usit/sint."— Utskrift av presentasjonen:

1 Sikkerhetssystemer UIO-cert Asbjørn Prøis usit/sas/os - usit/sint

2 LaBrea / Honeypot : Fake server som svarer på alle porter på alle adresser i subnettene den overvåker Svarer på oppkoblinger på en måte som gjør at oppkoblingene blir ”hengende fast” (= portscan tar laaaang tid) Veldig effektiv til å oppdagere maskiner som er infisert av virus eller en orm-variant. Ble opprinnelig laget som et motangrep / forsvarsmekanisme mot CodeRed ormen.

3 LaBrea / Honeypot – teknisk (1) : Ser etter ARP forespørsler og svar Når den ser flere forespørsler over et gitt tidsrom (noen sekunder) uten noe svar, antar den at ipadressen ikke er i bruk Lager et fake ARP svar med en bogus mac-adresse som sendes til den som sendte forespørselen 14:18: ARP who-has tell :18: ARP who-has tell :18: ARP who-has tell :18: ARP reply is-at 0:0:f:ff:ff:ff

4 LaBrea / Honeypot – teknisk (2) : 14:18: ARP who-has tell :18: ARP who-has tell :18: ARP who-has tell :18: ARP reply is-at 0:0:f:ff:ff:ff Ruteren tror nå det er en maskin bak.13 med mac-adressen 0:0:f:ff:ff:ff og sender velvillig pakker til den. Altså er det blitt opprettet en virtuell server på denne ipadressen. LaBrea ser nå også etter TCP trafikk til bogus mac-adressen. Når den ser en TCP SYN pakke, svarer den med en SYN/ACK som gjør at oppkoblingen blir hengende. En portscan av denne adressen vil dermed ta veldig lang tid

5 LaBrea::Tarpit Perl pakke som følger med på loggfilene til LaBrea Melder ifra til cert når den oppdager ting som oppfyller kriteriene som er satt. Cert-vakten følger opp hendelsene, og tar saken videre.

6 Netflow : Flow = dataforbindelse Netflow = informasjon om dataforbindelsen En ”åpen” Cisco protokoll for å samle trafikkdata som går over rutere Feature i Cisco IOS programvaren Sender netflow dataene som UDP pakker til f.eks en sentral loggserver

7 Netflow – hva logges : Source ip/port, destination ip/port, protokoll, tid, varighet, pakker og bytes sendt og mottatt UiO lagrer rådata om netflowen fra de sentrale ruterne, som taes vare på i 3mnder. Rapportene som er laget av netflow dataen lagres i minst 6mnder.

8 Netflow – bruk av data : Automatiske rapporter (daglig, ukentlig, mndtlig) Viser bruksmønsteret av nettbruken på UiO Eksempel (1) : –En maskin er blitt komprimitert –Bruke netflow til å finne ut hvor angrepet kom fra, og hvilke maskiner på UiO den har snakket med for å se hva inntrengeren har gjort videre Eksempel (2) : –Uninett bruker netflow fra hovedrouterne til blant annet å automatisk oppdage og varsle om infiserte maskiner som er f.eks med i et DDoS-nett. Kun et fåtall personer har tilgang til disse dataene

9 NAV – Network Administration Visualized Historikk : Opprinnelig utviklet av NTNU (versjon ) Uninett kom på banen i 2001 (versjon 2) Uninett tok over hele prosjektet i 2006 (versjon 3) Siste (stabile) versjon 3.3.1

10 NAV – Network Administration Visualized Et ”komplett” system for overvåkning av nettverk Kan automatisk finne ut hvordan topologien i et nettverk ser ut Samler masse data fra utstyret : –cam/arp tabeller –trafikk på porter –cpu/minne –webgrensesnitt for visuell visning, profilstyrt –varslinger (web, sms eller mail)

11 NAV – Network Administration Visualized Vanlig bruk : –sporing av ip/mac-adresser (machinetracker) –trafikkbruk på svitsjeporter (statistics/cricket) –cpu/minne-bruk på rutere/svitsjer (statistics) –software versjoner (reports) –visuell trafikkbelastning på hele nettet (Traffic Map) –overvåkning av bokser eller tjenester som går opp/ned

12 NAV – Network Administration Visualized Alle med gyldig UiO-konto kan bruke NAV Rettigheter må tildeles etter førstegangs innlogging De fleste blir lagt i ”LITA gruppe”, som gir lese-tilgang til det meste Send mail til for å få tilgang


Laste ned ppt "Sikkerhetssystemer UIO-cert Asbjørn Prøis usit/sas/os - usit/sint."

Liknende presentasjoner


Annonser fra Google