Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os.

Liknende presentasjoner


Presentasjon om: "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os."— Utskrift av presentasjonen:

1 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os

2 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 2 Hva gjør vi? Daily – maskinene rapporterer fra innsiden Scanorama – maskinene scannes fra utsiden Labrea – honeypot (Synderlister – legger ut lister av og til over DCOM-sårbare maskiner)

3 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 3 Usit-daily

4 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 4 Hva er Usit-daily? (1) Script som kjøres hver natt mellom Maskinene rapporterer selv fra ”innsiden”. Skal kjøre på alle maskiner i domenet. Krav at alle maskiner er i domenet. Tidligere todelt bruksområde: -patche – utgår (unntak, W2K pre SP3) -Logge og rapportere nyttig informasjon fra maskinene.

5 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 5 Hva er usit-daily (2): Fra daily kjøres et loggescript som henter ut diverse informasjon fra maskinen. Resultatet lagres i en lokal fil på maskinen: C:\etc\daily\logs\.log Resultatet kopieres over til en sentral server (serimne). Filene skrives over for hver gang usit-daily kjører. Rapportscript generer rapport ut fra loggfilene og sender daglige raporterer til pcadm, om mistenkelige ting på en maskinen. Utvidet rapportscript kan nå sende mail til lita.

6 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 6 Hensikt: Oversikt -lettere å holde kontroll på maskinene i domenet -lette opprydning for oss og lita (dnsnavn, maskiner utenfor domenet, osv..) Sikkerhet -ta tak i hacking/virus/orm-incidenter, fange opp maskiner som tas på samme måte. -patchestatus

7 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 7 Hva logges? (1) OS-informasjon (versjon,type,språk,sp,patcher) Patchestatus (hfnetchk) F-secure versjon F-secure sist oppdatert IP-konfigurasjonen Diverse info, bla patcher (srvinfo) Diskbruk Shares på maskinen Porter som maskinen lytter til/har åpne: (Netstat og fport)

8 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 8 Hva logges? (2) Servicer som er startet Servicer som er installert (psservice) Prosesser som går og path de kjøres fra (tlist) Medlemmer av administratorgruppen Informasjon om "guestaccount”, om den er ”active” Medlemmer av guestgruppen Profiler på maskinen (de som har være innlogget)

9 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 9 Hva logges? (3) Om maskinen er installert med mkdisk, xp- løsningen eller annet Lokale innlogginger Feilaktige administratorinnlogginger (mer enn 5 på rad) Søk etter en rekke "mistenkelige filer" finnes på maskinen. Typisk signaturfiler fra kjente hackerangrep og hackerverktøy. innholdet i win.ini og boot.ini

10 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 10 Hva logges? (4) subnøkler og verdier fra winlogon i registry subnøkler og verdier fra run i registry subnøkler og verdier fra runonce i registry subnøkler og verdier fra startup i registry

11 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 11 Hvordan installere usit-daily? Automatisk via domene (for W2K og XP) =>boot av maskin = installasjon av usit-daily (Manuelt: \\wsh\us$\pc-daily\install-daily.bat )\\wsh\us$\pc-daily\install-daily.bat

12 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 12 Nytt: dailylight Kortversjon av daily: -OS-informasjon -patchestatus med hfnetchk -f-secure-versjon -f-secure sist oppdatert -sist kjørt daily Kjører på startup av maskin dersom hoveddaily ikke har kjørt siste døgnet. Skriver resultat til sentral server (serimne)

13 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 13 Hensikt med dailylight Kan kjøre ”on demand” ved behov Fange opp maskiner som blir skrudd av om natten Rapportdelen av daily bruker lightloggen dersom denne er nyest.

14 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 14 Rapportene

15 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 15 Daily-rapport Har en liste over OU’er med tilhørende e- postadresser og hva som skal sendes i hver rapport. Henter liste over maskiner fra AD Leser daily-loggene på serimne Lager rapport Sender e-post og lagrer rapporten og en fullstendig rapport lokalt

16 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 16 Header ####################################### Rapport fra USIT-daily Wed Sep 24 10:59: USIT LDAP://OU=usit,DC=uio,DC=no Kontakt: #######################################

17 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 17 Diverse tall 1 ####################################### Diverse tall fra daily ####################################### Windows 2000 Servere: 43 Windows 2003 Servere: 11 Windows 2000: 14 Windows XP: 90 Windows 2000 som mangler SP3: 0 Windows XP som mangler SP1: 0 Ukjent OS: 0 Windows 2000 tjener/arbeidsstasjon: 0 Maskiner med semreg-image: 0 Bruker USITs XP-image: 69

18 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 18 Diverse tall 2 Maskiner som mangler Office-update-patcher: 21 Maskiner som mangler viktige patcher: 10 Maskiner totalt i dette OU'et: 240 Maskiner som har daily-rapport: 160 Maskiner som ikke har daily-rapport siste uke og ikke aktiv: 27 Maskiner som ikke har daily-rapport, men aktiv i domenet: 53 Maskiner som hvor nyeste daily er 7 dager eller eldre: 0 Maskiner som har kjørt daily i dag: 153 Maskiner som har kjørt daily siste uke: 156 Maskiner som kun har light-versjon av daily-rapport: 5 Maskiner med mistenkelige filer: 7

19 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 19 Diverse tall 3 Maskiner som har hatt lokale innlogginger: 1 Maskiner som har guestaccount active: 0 Maskiner hvor guest er med i admingruppe: 0 Maskiner som har hatt mer enn 5 lokale administratorinnlogginer: 0 DNS stemmer ikke med maskinnavn: 8 DNS stemmer ikke med maskinnavn (og er ikke dhcp): 2 Maskiner med ikke-engelsk windows: 0 Maskiner som brukte for lang tid på eklefilerleting: 26 Maskiner som gjør rare ting under eklefilersjekk: 0 Maskiner laget med mkdisk: 0

20 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 20 Ekle filer ############################################### Maskiner med mistenkelige filer ############################################### EKKEL ( ) har følgende mistenkelige filer: sfind.exe: Found in (c:/tools/) sfind.exe: Found in (c:/recycler/S /COM1/a/) svchost.exe: Found in specified dir (c:/winnt/system32/wins)

21 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 21 DNS og maskinnavn ####################################### DNS stemmer ikke med maskinnavn (og er ikke dhcp) ####################################### DNSnavn: liseberg Maskinnavn: EXCALIBUR IP: DNSnavn: Maskinnavn: WAKE IP:

22 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 22 Servere ############################################### Windows 2000 Servere ############################################### ACS ( ) med SP4 ALGOL ( ) med SP4 ARSENIKK ( ) med SP4 CUBUS ( ) med SP4 UFF ( ) med SP3

23 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 23 Ikke daily, aktiv i domenet ############################################### Maskiner som ikke har ny daily-rapport, men aktiv i domenet siste uke ############################################### FYSJ Sist i domenet: Wed Sep 24 14:52: URK Sist i domenet: Wed Sep 24 11:43: FEIL Sist i domenet: Wed Sep 24 14:53: MYSTISKSist i domenet: Wed Sep 24 08:11:

24 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 24 Ikke daily, ikke aktiv i domenet ############################################### Maskiner som ikke har daily-rapport og ikke aktiv i domenet siste uke ############################################### ATTILA-VMSist i domenet: Fri Aug 29 14:53: BAALZSist i domenet: Mon Aug 11 20:01: bastard Sist i domenet: Aldri

25 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 25 Patcher som mangler (1) #################################################### Maskiner som mangler viktige patcher Følgende patcher blir ikke rapportert: Q828750: Problemer med installering av patch (XP) Q330944: Problemer med installering av patch (XP) Q329419: Mange falske positive på W2K SP4 #################################################### Upatchetpc1: WINDOWS XP PROFESSIONAL SP1: Q Upatchetpc2: WINDOWS MEDIA PLAYER 7.0 GOLD: Q Upatchetpc3: WINDOWS 2000 PROFESSIONAL SP3: Q Q Q823559

26 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 26 Patcher som mangler (2) ############################################### Maskiner som mangler Office-update-patcher ############################################### UPATCHETPC1 ( OFFICE 2000 GOLD: Q EXCEL 2000 GOLD: Q UPATCHETPC1 ( OFFICE 2000 SP3: Q Q WORD 2000 SP3: Q824936

27 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 27 Hva må til for å få rapport? Alle maskiner må ligge i et fornuftig OU. –Flere OU’er går greit. –Maskiner i noDNS eller Computers er ikke greit Gi beskjed om hvilken driftsliste rapporten skal gå til og hvilke OU’er det gjelder. Alle maskiner skal være i domenet, alle maskiner i domenet skal kjøre daily.

28 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 28 Spørsmål og svar

29 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 29 Feilsøking / kjente feil Spørsmål: Hvorfor blir ikke maskinen patchet? Svar: Daily patcher ikke, med unntak av Windows 2000 før service pack 3.

30 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 30 Feilsøking / kjente feil Spørsmål: Maskinen er patchet, men daily hevder den mangler viktige patcher. Hvorfor? Svar: –Windows Update sjekker ikke office-patcher. –Hfnetchk gir rare resultater på noen maskiner. Vi jobber med å finne en løsning på problemet.

31 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 31 Feilsøking / kjente feil Spørsmål: Maskinen har daily og at-jobb installert, men dukker ikke opp i rapportene. Hvorfor? Svar: Klonede maskiner får problemer med rettigheter for kjøring av daily-jobben. Foreløpig må dette rettes opp maunelt ved å slette c:\etc\daily og at-jobben, slik at daily reinstalleres ved boot.

32 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 32 Feilsøking / kjente feil Spørsmål: Daily er ikke installert, maskinen har ikke at-jobb og ingenting blir installert ved oppstart. Svar: Daily trenger skrivetilgang for å virke. Sjekk at SYSYEM har skrivetilgang i c:\etc-mappen.

33 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 33 Feilsøking / kjente feil Spørsmål: Jeg har satt maskinen til ikke å boote med ”noboot.txt”. Men den booter av og til om natten likevel. Hvorfor? Svar: Noboot.txt gjelder ikke lenger. Den er fra da daily patchet. Nå patches det via windows update og noen av patchene trenger reboot av maskinen. Det er dessverre ingen måte å skille ut at noen maskiner ikke skal bootes på denne måten.

34 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 34 Feilsøking / kjente feil Spørsmål: Maskinen kjører daily og har loggfil lokalt, men dukker ikke opp i rapportene. Hvorfor? Svar: Sjekk at daily får kjøre ferdig. På slutten av loggfilen at det står når daily avsluttet. Hvis andre at-jobber kjører om natten og f.eks shutter ned maskinen vil dette avbryte dailykjøringen og dermed ikke avlevere rapport til serimne.

35 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 35 Flere ting… Daily er under utvikling (og kommer alltid til å være det…) Det er litt barnesykdommer ennå.. Hvis noe virker galt, er det sannsynligvis det – gi oss beskjed Hvis du det er noe du savner – gi oss beskjed Webrapporter? Dokumentasjonen på web er under oppdatering.. Jobber med et vektesystem for maskiner det bør taes tak i.

36 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 36 Scanorama

37 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 37 Scannorama Er et system for portscanning. Rapporterer fra maskinene slik de ser ut fra ”utsiden”. Hovedtanke: Skann etter evne, søk etter behov Er foreløpig i test-drift

38 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 38 Bakgrunn Ønsker å se etter sårbare tjenester eller indikasjoner på kompromitterte maskiner. Normal skanning etter kjente bakdører gir ofte mange falske positive treff på ikkerelevante maskiner. Ofte ute etter å finne kombinasjoner av parametre. (f.eks kombinasjoner av porter eller kombinasjoner av operativsystem og åpne porter) Korrelering av data fra forskjellige kilder gir større muligheter til å finne interessante data ute å drukne i store mengder uinteressant informasjon.

39 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 39 Systemet 1)Skanneren – nmap står for portscanningen og lagrer resultatene i XML-format. -Pingskann: For å registrere maskinene I databasen -Standardskann: Etter kjente porter/tjenester/bakdører/skumle ting/med mer -OS-skann: Forsøk på å gjette OS’et til maskinen 2)Bannergrabbing - Netcat, HEAD og dig, brukes for å kontakte porter og finne ut tjenester som kjører på dem. 3)Databasen - PostgreSQL brukes foreløpig ikke så mye. Tenk å tas i bruk når systemet vokser. (Ta vare på historikk og varsle endringer)

40 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 40 Planlagte utvidelser: Web-grensesnitt for rapporter Automatisering av mail til maskin-ansvarlige Historikk og baseline-sjekking Automatisk mailrapportering Sjekk av MAC-adresse (data fra IP-Watch) Klareringsfunksjon som forteller systemet hvordan en maskin skal se ut.

41 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 41 Labrea

42 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 42 LaBrea (honeypot) Svarer på alle porter på 2 hele subnett. Både TCP og UDP. Er på et av de tidlige (lave subnettene). Tar laaang tid å portskanne. Leverer logger og mailrapport videre (spesielt fokus på portskann fra UiO maskiner). Påsikt skal det logges til dshield.org


Laste ned ppt "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os."

Liknende presentasjoner


Annonser fra Google