Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os.

PublisertMarcus Holmen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os."— Utskrift av presentasjonen:

1 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os

2 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 2 Hva gjør vi? Daily – maskinene rapporterer fra innsiden Scanorama – maskinene scannes fra utsiden Labrea – honeypot (Synderlister – legger ut lister av og til over DCOM-sårbare maskiner)

3 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 3 Usit-daily

4 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 4 Hva er Usit-daily? (1) Script som kjøres hver natt mellom 0000-0600. Maskinene rapporterer selv fra ”innsiden”. Skal kjøre på alle maskiner i domenet. Krav at alle maskiner er i domenet. Tidligere todelt bruksområde: -patche – utgår (unntak, W2K pre SP3) -Logge og rapportere nyttig informasjon fra maskinene.

5 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 5 Hva er usit-daily (2): Fra daily kjøres et loggescript som henter ut diverse informasjon fra maskinen. Resultatet lagres i en lokal fil på maskinen: C:\etc\daily\logs\.log Resultatet kopieres over til en sentral server (serimne). Filene skrives over for hver gang usit-daily kjører. Rapportscript generer rapport ut fra loggfilene og sender daglige raporterer til pcadm, om mistenkelige ting på en maskinen. Utvidet rapportscript kan nå sende mail til lita.

6 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 6 Hensikt: Oversikt -lettere å holde kontroll på maskinene i domenet -lette opprydning for oss og lita (dnsnavn, maskiner utenfor domenet, osv..) Sikkerhet -ta tak i hacking/virus/orm-incidenter, fange opp maskiner som tas på samme måte. -patchestatus

7 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 7 Hva logges? (1) OS-informasjon (versjon,type,språk,sp,patcher) Patchestatus (hfnetchk) F-secure versjon F-secure sist oppdatert IP-konfigurasjonen Diverse info, bla patcher (srvinfo) Diskbruk Shares på maskinen Porter som maskinen lytter til/har åpne: (Netstat og fport)

8 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 8 Hva logges? (2) Servicer som er startet Servicer som er installert (psservice) Prosesser som går og path de kjøres fra (tlist) Medlemmer av administratorgruppen Informasjon om "guestaccount”, om den er ”active” Medlemmer av guestgruppen Profiler på maskinen (de som har være innlogget)

9 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 9 Hva logges? (3) Om maskinen er installert med mkdisk, xp- løsningen eller annet Lokale innlogginger Feilaktige administratorinnlogginger (mer enn 5 på rad) Søk etter en rekke "mistenkelige filer" finnes på maskinen. Typisk signaturfiler fra kjente hackerangrep og hackerverktøy. innholdet i win.ini og boot.ini

10 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 10 Hva logges? (4) subnøkler og verdier fra winlogon i registry subnøkler og verdier fra run i registry subnøkler og verdier fra runonce i registry subnøkler og verdier fra startup i registry

11 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 11 Hvordan installere usit-daily? Automatisk via domene (for W2K og XP) =>boot av maskin = installasjon av usit-daily (Manuelt: \\wsh\us$\pc-daily\install-daily.bat )\\wsh\us$\pc-daily\install-daily.bat

12 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 12 Nytt: dailylight Kortversjon av daily: -OS-informasjon -patchestatus med hfnetchk -f-secure-versjon -f-secure sist oppdatert -sist kjørt daily Kjører på startup av maskin dersom hoveddaily ikke har kjørt siste døgnet. Skriver resultat til sentral server (serimne)

13 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 13 Hensikt med dailylight Kan kjøre ”on demand” ved behov Fange opp maskiner som blir skrudd av om natten Rapportdelen av daily bruker lightloggen dersom denne er nyest.

14 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 14 Rapportene

15 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 15 Daily-rapport Har en liste over OU’er med tilhørende e- postadresser og hva som skal sendes i hver rapport. Henter liste over maskiner fra AD Leser daily-loggene på serimne Lager rapport Sender e-post og lagrer rapporten og en fullstendig rapport lokalt

16 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 16 Header ####################################### Rapport fra USIT-daily Wed Sep 24 10:59:53 2003 USIT LDAP://OU=usit,DC=uio,DC=no Kontakt: pc-core@usit.uio.no #######################################

17 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 17 Diverse tall 1 ####################################### Diverse tall fra daily ####################################### Windows 2000 Servere: 43 Windows 2003 Servere: 11 Windows 2000: 14 Windows XP: 90 Windows 2000 som mangler SP3: 0 Windows XP som mangler SP1: 0 Ukjent OS: 0 Windows 2000 tjener/arbeidsstasjon: 0 Maskiner med semreg-image: 0 Bruker USITs XP-image: 69

18 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 18 Diverse tall 2 Maskiner som mangler Office-update-patcher: 21 Maskiner som mangler viktige patcher: 10 Maskiner totalt i dette OU'et: 240 Maskiner som har daily-rapport: 160 Maskiner som ikke har daily-rapport siste uke og ikke aktiv: 27 Maskiner som ikke har daily-rapport, men aktiv i domenet: 53 Maskiner som hvor nyeste daily er 7 dager eller eldre: 0 Maskiner som har kjørt daily i dag: 153 Maskiner som har kjørt daily siste uke: 156 Maskiner som kun har light-versjon av daily-rapport: 5 Maskiner med mistenkelige filer: 7

19 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 19 Diverse tall 3 Maskiner som har hatt lokale innlogginger: 1 Maskiner som har guestaccount active: 0 Maskiner hvor guest er med i admingruppe: 0 Maskiner som har hatt mer enn 5 lokale administratorinnlogginer: 0 DNS stemmer ikke med maskinnavn: 8 DNS stemmer ikke med maskinnavn (og er ikke dhcp): 2 Maskiner med ikke-engelsk windows: 0 Maskiner som brukte for lang tid på eklefilerleting: 26 Maskiner som gjør rare ting under eklefilersjekk: 0 Maskiner laget med mkdisk: 0

20 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 20 Ekle filer ############################################### Maskiner med mistenkelige filer ############################################### EKKEL (129.240.255.666) har følgende mistenkelige filer: sfind.exe: Found in (c:/tools/) sfind.exe: Found in (c:/recycler/S-1-5-21-4146745624- 1268266741-2650905777-1030/COM1/a/) svchost.exe: Found in specified dir (c:/winnt/system32/wins)

21 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 21 DNS og maskinnavn ####################################### DNS stemmer ikke med maskinnavn (og er ikke dhcp) ####################################### DNSnavn: liseberg Maskinnavn: EXCALIBUR IP: 129.240.12.34 DNSnavn: Maskinnavn: WAKE IP:

22 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 22 Servere ############################################### Windows 2000 Servere ############################################### ACS (129.240.11.201) med SP4 ALGOL (129.240.130.86) med SP4 ARSENIKK (129.240.13.200) med SP4 CUBUS (129.240.130.69) med SP4 UFF (129.240.255.666) med SP3

23 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 23 Ikke daily, aktiv i domenet ############################################### Maskiner som ikke har ny daily-rapport, men aktiv i domenet siste uke ############################################### FYSJ Sist i domenet: Wed Sep 24 14:52:59 2003 URK Sist i domenet: Wed Sep 24 11:43:33 2003 FEIL Sist i domenet: Wed Sep 24 14:53:17 2003 MYSTISKSist i domenet: Wed Sep 24 08:11:00 2003

24 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 24 Ikke daily, ikke aktiv i domenet ############################################### Maskiner som ikke har daily-rapport og ikke aktiv i domenet siste uke ############################################### ATTILA-VMSist i domenet: Fri Aug 29 14:53:25 2003 BAALZSist i domenet: Mon Aug 11 20:01:48 2003 bastard Sist i domenet: Aldri

25 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 25 Patcher som mangler (1) #################################################### Maskiner som mangler viktige patcher Følgende patcher blir ikke rapportert: Q828750: Problemer med installering av patch (XP) Q330944: Problemer med installering av patch (XP) Q329419: Mange falske positive på W2K SP4 #################################################### Upatchetpc1: WINDOWS XP PROFESSIONAL SP1: Q324096 Upatchetpc2: WINDOWS MEDIA PLAYER 7.0 GOLD: Q287045 Upatchetpc3: WINDOWS 2000 PROFESSIONAL SP3: Q296441 Q814078 Q823559

26 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 26 Patcher som mangler (2) ############################################### Maskiner som mangler Office-update-patcher ############################################### UPATCHETPC1 ( OFFICE 2000 GOLD: Q256167 EXCEL 2000 GOLD: Q241901 UPATCHETPC1 ( OFFICE 2000 SP3: Q824993 Q822035 WORD 2000 SP3: Q824936

27 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 27 Hva må til for å få rapport? Alle maskiner må ligge i et fornuftig OU. –Flere OU’er går greit. –Maskiner i noDNS eller Computers er ikke greit Gi beskjed om hvilken driftsliste rapporten skal gå til og hvilke OU’er det gjelder. Alle maskiner skal være i domenet, alle maskiner i domenet skal kjøre daily.

28 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 28 Spørsmål og svar

29 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 29 Feilsøking / kjente feil Spørsmål: Hvorfor blir ikke maskinen patchet? Svar: Daily patcher ikke, med unntak av Windows 2000 før service pack 3.

30 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 30 Feilsøking / kjente feil Spørsmål: Maskinen er patchet, men daily hevder den mangler viktige patcher. Hvorfor? Svar: –Windows Update sjekker ikke office-patcher. –Hfnetchk gir rare resultater på noen maskiner. Vi jobber med å finne en løsning på problemet.

31 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 31 Feilsøking / kjente feil Spørsmål: Maskinen har daily og at-jobb installert, men dukker ikke opp i rapportene. Hvorfor? Svar: Klonede maskiner får problemer med rettigheter for kjøring av daily-jobben. Foreløpig må dette rettes opp maunelt ved å slette c:\etc\daily og at-jobben, slik at daily reinstalleres ved boot.

32 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 32 Feilsøking / kjente feil Spørsmål: Daily er ikke installert, maskinen har ikke at-jobb og ingenting blir installert ved oppstart. Svar: Daily trenger skrivetilgang for å virke. Sjekk at SYSYEM har skrivetilgang i c:\etc-mappen.

33 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 33 Feilsøking / kjente feil Spørsmål: Jeg har satt maskinen til ikke å boote med ”noboot.txt”. Men den booter av og til om natten likevel. Hvorfor? Svar: Noboot.txt gjelder ikke lenger. Den er fra da daily patchet. Nå patches det via windows update og noen av patchene trenger reboot av maskinen. Det er dessverre ingen måte å skille ut at noen maskiner ikke skal bootes på denne måten.

34 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 34 Feilsøking / kjente feil Spørsmål: Maskinen kjører daily og har loggfil lokalt, men dukker ikke opp i rapportene. Hvorfor? Svar: Sjekk at daily får kjøre ferdig. På slutten av loggfilen at det står når daily avsluttet. Hvis andre at-jobber kjører om natten og f.eks shutter ned maskinen vil dette avbryte dailykjøringen og dermed ikke avlevere rapport til serimne.

35 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 35 Flere ting… Daily er under utvikling (og kommer alltid til å være det…) Det er litt barnesykdommer ennå.. Hvis noe virker galt, er det sannsynligvis det – gi oss beskjed Hvis du det er noe du savner – gi oss beskjed Webrapporter? Dokumentasjonen på web er under oppdatering.. Jobber med et vektesystem for maskiner det bør taes tak i.

36 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 36 Scanorama

37 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 37 Scannorama Er et system for portscanning. Rapporterer fra maskinene slik de ser ut fra ”utsiden”. Hovedtanke: Skann etter evne, søk etter behov Er foreløpig i test-drift

38 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 38 Bakgrunn Ønsker å se etter sårbare tjenester eller indikasjoner på kompromitterte maskiner. Normal skanning etter kjente bakdører gir ofte mange falske positive treff på ikkerelevante maskiner. Ofte ute etter å finne kombinasjoner av parametre. (f.eks kombinasjoner av porter eller kombinasjoner av operativsystem og åpne porter) Korrelering av data fra forskjellige kilder gir større muligheter til å finne interessante data ute å drukne i store mengder uinteressant informasjon.

39 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 39 Systemet 1)Skanneren – nmap står for portscanningen og lagrer resultatene i XML-format. -Pingskann: For å registrere maskinene I databasen -Standardskann: Etter kjente porter/tjenester/bakdører/skumle ting/med mer -OS-skann: Forsøk på å gjette OS’et til maskinen 2)Bannergrabbing - Netcat, HEAD og dig, brukes for å kontakte porter og finne ut tjenester som kjører på dem. 3)Databasen - PostgreSQL brukes foreløpig ikke så mye. Tenk å tas i bruk når systemet vokser. (Ta vare på historikk og varsle endringer)

40 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 40 Planlagte utvidelser: Web-grensesnitt for rapporter Automatisering av mail til maskin-ansvarlige Historikk og baseline-sjekking Automatisk mailrapportering Sjekk av MAC-adresse (data fra IP-Watch) Klareringsfunksjon som forteller systemet hvordan en maskin skal se ut.

41 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 41 Labrea

42 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 42 LaBrea (honeypot) Svarer på alle porter på 2 hele subnett. Både TCP og UDP. Er på et av de tidlige (lave subnettene). Tar laaang tid å portskanne. Leverer logger og mailrapport videre (spesielt fokus på portskann fra UiO maskiner). Påsikt skal det logges til dshield.org

Laste ned ppt "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os."

Liknende presentasjoner

12.Studienreise nach Finnland,

12.Studienreise nach Finnland,
Kvinner og politikk Kvinnelig valgmobilisering i Nord-Norge: Glasstak eller etterslep? Marcus Buck.

Kvinner og politikk Kvinnelig valgmobilisering i Nord-Norge: Glasstak eller etterslep? Marcus Buck.
Nedlasting av apper på Apple

Nedlasting av apper på Apple
Trykk på mus eller tastatur for neste bilde…

Trykk på mus eller tastatur for neste bilde…
Support, nye funksjoner og tjenester fra Uni Pluss

Support, nye funksjoner og tjenester fra Uni Pluss
v/Tormod Engebu, IKAVA KDRS 13. november 2013

v/Tormod Engebu, IKAVA KDRS 13. november 2013
SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.

SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.
Nye Olweus dataweb en bruksanvisning Generell norsk (Q68T)

Nye Olweus dataweb en bruksanvisning Generell norsk (Q68T)
Litt mer om PRIMTALL.

Litt mer om PRIMTALL.
Hjemmeoppgave 1: Å høre etter NAVN: ……………………………….. DATO: ……………………….

Hjemmeoppgave 1: Å høre etter NAVN: ……………………………….. DATO: ……………………….
Grafisk design Visuell kommunikasjon

Grafisk design Visuell kommunikasjon
Sunndalsøra Registertjenester Per Ivar Larsen Sugar

Sunndalsøra Registertjenester Per Ivar Larsen Sugar
Teknologi for et bedre samfunn 1 Asbjørn Følstad, SINTEF Det Digitale Trøndelag (DDT) Brukervennlig digitalisering av offentlig sektor.

Teknologi for et bedre samfunn 1 Asbjørn Følstad, SINTEF Det Digitale Trøndelag (DDT) Brukervennlig digitalisering av offentlig sektor.
1 Arbeidssted, bruk av fasiliteter og - mengde 5.

1 Arbeidssted, bruk av fasiliteter og - mengde 5.
Lynkursdagene 2011 Webdrive Tilgang til UiO-disker utenfor UiO-nettet Mads Lomholt usit/sas/lipk.

Lynkursdagene 2011 Webdrive Tilgang til UiO-disker utenfor UiO-nettet Mads Lomholt usit/sas/lipk.
Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.

Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.
Møre og Romsdal. 2 Ligger det et bedehus eller et kristelig forsamlingshus (ikke kirke) i nærheten av der du bor? (n=502) i prosent.

Møre og Romsdal. 2 Ligger det et bedehus eller et kristelig forsamlingshus (ikke kirke) i nærheten av der du bor? (n=502) i prosent.
Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?

Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 HOUSTON We have a problem.

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 HOUSTON We have a problem.
NRKs Profilundersøkelse 2012 1 NRK Analyse. Om undersøkelsen • NRK Analyse har siden 1995 gjennomført en undersøkelse av profilen eller omdømmet til NRK.

NRKs Profilundersøkelse NRK Analyse. Om undersøkelsen • NRK Analyse har siden 1995 gjennomført en undersøkelse av profilen eller omdømmet til NRK.

Liknende presentasjoner

Annonser fra Google