hva gjøres av sikkerhetsarbeid på usit?

Click here to load reader

Post on 26-Jan-2016

49 views

Category:

Documents

5 download

Embed Size (px)

DESCRIPTION

Hva gjøres av sikkerhetsarbeid på USIT?. Elisabeth Høidal Strøm Usit/sas/os. Hva gjør vi?. Daily – maskinene rapporterer fra innsiden Scanorama – maskinene scannes fra utsiden Labrea – honeypot (Synderlister – legger ut lister av og til over DCOM-sårbare maskiner). Usit-daily. - PowerPoint PPT Presentation

TRANSCRIPT

Slide 1Elisabeth Høidal Strøm
Labrea – honeypot
(Synderlister – legger ut lister av og til over DCOM-sårbare maskiner)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Maskinene rapporterer selv fra ”innsiden”.
Skal kjøre på alle maskiner i domenet.
Krav at alle maskiner er i domenet.
Tidligere todelt bruksområde:
Logge og rapportere nyttig informasjon fra maskinene.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Hva er usit-daily (2):
Fra daily kjøres et loggescript som henter ut diverse informasjon fra maskinen.
Resultatet lagres i en lokal fil på maskinen:
C:\etc\daily\logs\<maskinnavn>.log
Resultatet kopieres over til en sentral server (serimne).
Filene skrives over for hver gang usit-daily kjører.
Rapportscript generer rapport ut fra loggfilene og sender daglige raporterer til pcadm, om mistenkelige ting på en maskinen.
Utvidet rapportscript kan nå sende mail til lita.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
-lette opprydning for oss og lita (dnsnavn,
maskiner utenfor domenet, osv..)
-patchestatus
Diskbruk
(Netstat og fport)
Prosesser som går og path de kjøres fra (tlist)
Medlemmer av administratorgruppen
Medlemmer av guestgruppen
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Lokale innlogginger
Feilaktige administratorinnlogginger (mer enn 5 på rad)
Søk etter en rekke "mistenkelige filer" finnes på maskinen. Typisk signaturfiler fra kjente hackerangrep og hackerverktøy.
innholdet i win.ini og boot.ini
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
=>boot av maskin = installasjon av usit-daily
-f-secure sist oppdatert
-sist kjørt daily
Kjører på startup av maskin dersom hoveddaily ikke har kjørt siste døgnet.
Skriver resultat til sentral server (serimne)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Fange opp maskiner som blir skrudd av om natten
Rapportdelen av daily bruker lightloggen dersom denne er nyest.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Side *
Daily-rapport
Har en liste over OU’er med tilhørende e-postadresser og hva som skal sendes i hver rapport.
Henter liste over maskiner fra AD
Leser daily-loggene på serimne
Sender e-post og lagrer rapporten og en fullstendig rapport lokalt
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
USIT
Ukjent OS: 0
Maskiner som mangler viktige patcher: 10
Maskiner totalt i dette OU'et: 240
Maskiner som har daily-rapport: 160
Maskiner som ikke har daily-rapport siste uke og ikke aktiv: 27
Maskiner som ikke har daily-rapport, men aktiv i domenet: 53
Maskiner som hvor nyeste daily er 7 dager eller eldre: 0
Maskiner som har kjørt daily i dag: 153
Maskiner som har kjørt daily siste uke: 156
Maskiner som kun har light-versjon av daily-rapport: 5
Maskiner med mistenkelige filer: 7
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Maskiner som har guestaccount active: 0
Maskiner hvor guest er med i admingruppe: 0
Maskiner som har hatt mer enn 5 lokale administratorinnlogginer: 0
DNS stemmer ikke med maskinnavn: 8
DNS stemmer ikke med maskinnavn (og er ikke dhcp): 2
Maskiner med ikke-engelsk windows: 0
Maskiner som brukte for lang tid på eklefilerleting: 26
Maskiner som gjør rare ting under eklefilersjekk: 0
Maskiner laget med mkdisk: 0
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
sfind.exe: Found in (c:/tools/)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
#######################################
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
###############################################
###############################################
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
###############################################
###############################################
bastard Sist i domenet: Aldri
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Q828750: Problemer med installering av patch (XP)
Q330944: Problemer med installering av patch (XP)
Q329419: Mange falske positive på W2K SP4
####################################################
Upatchetpc2:
Upatchetpc3:
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
WORD 2000 SP3: Q824936
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Alle maskiner må ligge i et fornuftig OU.
Flere OU’er går greit.
Maskiner i noDNS eller Computers er ikke greit
Gi beskjed om hvilken driftsliste rapporten skal gå til og hvilke OU’er det gjelder.
Alle maskiner skal være i domenet, alle maskiner i domenet skal kjøre daily.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Spørsmål: Hvorfor blir ikke maskinen patchet?
Svar: Daily patcher ikke, med unntak av Windows 2000 før service pack 3.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Feilsøking / kjente feil
Spørsmål: Maskinen er patchet, men daily hevder den mangler viktige patcher. Hvorfor?
Svar:
Windows Update sjekker ikke office-patcher.
Hfnetchk gir rare resultater på noen maskiner. Vi jobber med å finne en løsning på problemet.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Feilsøking / kjente feil
Spørsmål: Maskinen har daily og at-jobb installert, men dukker ikke opp i rapportene. Hvorfor?
Svar: Klonede maskiner får problemer med rettigheter for kjøring av daily-jobben.
Foreløpig må dette rettes opp maunelt ved å slette c:\etc\daily og at-jobben, slik at daily reinstalleres ved boot.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Feilsøking / kjente feil
Spørsmål: Daily er ikke installert, maskinen har ikke at-jobb og ingenting blir installert ved oppstart.
Svar: Daily trenger skrivetilgang for å virke. Sjekk at SYSYEM har skrivetilgang i c:\etc-mappen.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Feilsøking / kjente feil
Spørsmål: Jeg har satt maskinen til ikke å boote med ”noboot.txt”. Men den booter av og til om natten likevel. Hvorfor?
Svar: Noboot.txt gjelder ikke lenger. Den er fra da daily patchet. Nå patches det via windows update og noen av patchene trenger reboot av maskinen. Det er dessverre ingen måte å skille ut at noen maskiner ikke skal bootes på denne måten.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Feilsøking / kjente feil
Spørsmål: Maskinen kjører daily og har loggfil lokalt, men dukker ikke opp i rapportene. Hvorfor?
Svar: Sjekk at daily får kjøre ferdig. På slutten av loggfilen at det står når daily avsluttet. Hvis andre at-jobber kjører om natten og f.eks shutter ned maskinen vil dette avbryte dailykjøringen og dermed ikke avlevere rapport til serimne.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Flere ting…
Daily er under utvikling (og kommer alltid til å være det…)
Det er litt barnesykdommer ennå..
Hvis noe virker galt, er det sannsynligvis det – gi oss beskjed
Hvis du det er noe du savner – gi oss beskjed
Webrapporter?
Dokumentasjonen på web er under oppdatering..
Jobber med et vektesystem for maskiner det bør taes tak i.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Rapporterer fra maskinene slik de ser ut fra ”utsiden”.
Hovedtanke:
Er foreløpig i test-drift
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Ønsker å se etter sårbare tjenester eller indikasjoner på kompromitterte maskiner.
Normal skanning etter kjente bakdører gir ofte mange falske positive treff på ikkerelevante maskiner.
Ofte ute etter å finne kombinasjoner av parametre. (f.eks kombinasjoner av porter eller kombinasjoner av operativsystem og åpne porter)
Korrelering av data fra forskjellige kilder gir større muligheter til å finne interessante data ute å drukne i store mengder uinteressant informasjon.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Skanneren – nmap står for portscanningen og lagrer resultatene i XML-format.
Pingskann: For å registrere maskinene I databasen
Standardskann: Etter kjente porter/tjenester/bakdører/skumle ting/med mer
OS-skann: Forsøk på å gjette OS’et til maskinen
Bannergrabbing - Netcat, HEAD og dig, brukes for å kontakte porter og finne ut tjenester som kjører på dem.
Databasen - PostgreSQL brukes foreløpig ikke så mye. Tenk å tas i bruk når systemet vokser. (Ta vare på historikk og varsle endringer)
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Historikk og baseline-sjekking
Klareringsfunksjon som forteller systemet hvordan en maskin skal se ut.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI
UNIVERSITETET I OSLO USIT
Både TCP og UDP.
Tar laaang tid å portskanne.
Leverer logger og mailrapport videre (spesielt fokus på portskann fra UiO maskiner).
Påsikt skal det logges til dshield.org