Sikkerhetssystemer UIO-cert Asbjørn Prøis a.l.prois@usit.uio.no usit/sas/os - usit/sint
LaBrea / Honeypot : Fake server som svarer på alle porter på alle adresser i subnettene den overvåker Svarer på oppkoblinger på en måte som gjør at oppkoblingene blir ”hengende fast” (= portscan tar laaaang tid) Veldig effektiv til å oppdagere maskiner som er infisert av virus eller en orm-variant. Ble opprinnelig laget som et motangrep / forsvarsmekanisme mot CodeRed ormen.
LaBrea / Honeypot – teknisk (1) : Ser etter ARP forespørsler og svar Når den ser flere forespørsler over et gitt tidsrom (noen sekunder) uten noe svar, antar den at ipadressen ikke er i bruk Lager et fake ARP svar med en bogus mac-adresse som sendes til den som sendte forespørselen 14:18:28.832187 ARP who-has 10.11.12.13 tell 10.11.12.1 14:18:29.646402 ARP who-has 10.11.12.13 tell 10.11.12.1 14:18:31.707295 ARP who-has 10.11.12.13 tell 10.11.12.1 14:18:31.707574 ARP reply 10.11.12.13 is-at 0:0:f:ff:ff:ff
LaBrea / Honeypot – teknisk (2) : 14:18:28.832187 ARP who-has 10.11.12.13 tell 10.11.12.1 14:18:29.646402 ARP who-has 10.11.12.13 tell 10.11.12.1 14:18:31.707295 ARP who-has 10.11.12.13 tell 10.11.12.1 14:18:31.707574 ARP reply 10.11.12.13 is-at 0:0:f:ff:ff:ff Ruteren tror nå det er en maskin bak .13 med mac-adressen 0:0:f:ff:ff:ff og sender velvillig pakker til den. Altså er det blitt opprettet en virtuell server på denne ipadressen. LaBrea ser nå også etter TCP trafikk til bogus mac-adressen. Når den ser en TCP SYN pakke, svarer den med en SYN/ACK som gjør at oppkoblingen blir hengende. En portscan av denne adressen vil dermed ta veldig lang tid
LaBrea::Tarpit Perl pakke som følger med på loggfilene til LaBrea Melder ifra til cert når den oppdager ting som oppfyller kriteriene som er satt. Cert-vakten følger opp hendelsene, og tar saken videre.
Netflow : Flow = dataforbindelse Netflow = informasjon om dataforbindelsen En ”åpen” Cisco protokoll for å samle trafikkdata som går over rutere Feature i Cisco IOS programvaren Sender netflow dataene som UDP pakker til f.eks en sentral loggserver
Netflow – hva logges : Source ip/port, destination ip/port, protokoll, tid, varighet, pakker og bytes sendt og mottatt UiO lagrer rådata om netflowen fra de sentrale ruterne, som taes vare på i 3mnder. Rapportene som er laget av netflow dataen lagres i minst 6mnder.
Netflow – bruk av data : Automatiske rapporter (daglig, ukentlig, mndtlig) Viser bruksmønsteret av nettbruken på UiO Eksempel (1) : En maskin er blitt komprimitert Bruke netflow til å finne ut hvor angrepet kom fra, og hvilke maskiner på UiO den har snakket med for å se hva inntrengeren har gjort videre Eksempel (2) : Uninett bruker netflow fra hovedrouterne til blant annet å automatisk oppdage og varsle om infiserte maskiner som er f.eks med i et DDoS-nett. Kun et fåtall personer har tilgang til disse dataene
NAV – Network Administration Visualized Historikk : Opprinnelig utviklet av NTNU (versjon 1 - 1999) Uninett kom på banen i 2001 (versjon 2) Uninett tok over hele prosjektet i 2006 (versjon 3) Siste (stabile) versjon 3.3.1
NAV – Network Administration Visualized Et ”komplett” system for overvåkning av nettverk Kan automatisk finne ut hvordan topologien i et nettverk ser ut Samler masse data fra utstyret : cam/arp tabeller trafikk på porter cpu/minne webgrensesnitt for visuell visning, profilstyrt varslinger (web, sms eller mail)
NAV – Network Administration Visualized Vanlig bruk : sporing av ip/mac-adresser (machinetracker) trafikkbruk på svitsjeporter (statistics/cricket) cpu/minne-bruk på rutere/svitsjer (statistics) software versjoner (reports) visuell trafikkbelastning på hele nettet (Traffic Map) overvåkning av bokser eller tjenester som går opp/ned
NAV – Network Administration Visualized Alle med gyldig UiO-konto kan bruke NAV Rettigheter må tildeles etter førstegangs innlogging De fleste blir lagt i ”LITA gruppe”, som gir lese-tilgang til det meste Send mail til nett-drift@usit.uio.no for å få tilgang