Rozproszone systemy detekcji intruzów w sieciach korporacyjnych

Podobne dokumenty

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Maciej Stroiński stroins@man.poznan.pl

Zabezpieczanie platformy Windows Server 2003

Podstawy bezpieczeństwa

Robaki sieciowe. + systemy IDS/IPS

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Zadania PCSS w Polskiej Platformie Bezpieczeństwa Wewnętrznego

Zdobywanie fortecy bez wyważania drzwi.

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Zabezpieczanie platformy Windows Server 2003

Drobne błędy w portalach WWW

Bezpieczny system poczty elektronicznej

Bezpieczny dostęp do usług zarządzania danymi w systemie Laboratorium Wirtualnego

Bezpieczeństwo informatyki bankowej specyfika banków spółdzielczych

Łukasz Przywarty Wrocław, r. Grupa: WT/N 11:15-14:00. Sprawozdanie z zajęć laboratoryjnych: Skanowanie sieci

Palo Alto firewall nowej generacji

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Poznań,

Infrastruktura PL-LAB2020

Bezpieczeństwo Komunikatorów

INFORMATYKA Pytania ogólne na egzamin dyplomowy

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Podstawy zabezpieczania serwera. Marcin Bieńkowski

MBUM #2 MikroTik Beer User Meeting

Puk, puk! Kto tam? Eeeee... Spadaj!

Projekt TrustedBSD jako klucz do bezpieczeństwa systemu FreeBSD

Niezawodne usługi outsourcingowe na przykładzie usług kampusowych i Krajowego Magazynu Danych w sieci PIONIER

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Bezpieczny dostęp do Internetu w polskich szkołach nowe otwarcie

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Produkty. MKS Produkty

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

zania z zakresu cyberbezpieczeństwa systemów w SCADA

Przewodnik technologii ActivCard

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Spotkanie robocze PIONIER-CERT Poznań, Tomasz Nowak Zespół Bezpieczeństwa PCSS

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Dziś i jutro systemów IDS

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Linux -- u mnie działa!

Bezpieczeństwo poczty elektronicznej

Praca Magisterska "System zdalnego składania ofert kupna i sprzedaży za pośrednictwem Internetu" AUTOR PROMOTOR

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 STOSOWANIE METOD ZABEZPIECZANIA SPRZĘTU KOMPUTEROWEGO PRACUJĄCEGO W SIECI.

Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

Przewodnik technologii ActivCard

HomeNetMedia - aplikacja spersonalizowanego dostępu do treści multimedialnych z sieci domowej

Omijanie firewalli w systemach Windows

Zabezpieczanie platformy Windows Server 2003

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

bezpieczeństwo na wszystkich poziomach

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami.

Audytowane obszary IT

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Temat: EasyAccess 2.0 Data: 10 Października 2014 Prowadzący: Maciej Sakowicz

SQL injection. Metody włamań do systemów komputerowych p. 1/13. Bogusław Kluge, Karina Łuksza, Ewa Makosa

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Strategie i techniki ochrony systemów informatycznych

Instalacja programu Ozon.

Informatyzacja Polskiego Związku Jeździeckiego. Informatyzacja Polskiego Związku Jeździeckiego. Informatyzacja Polskiego Związku Jeździeckiego

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

OCHRONA PRZED RANSOMWARE

Jednolite zarządzanie użytkownikami systemów Windows i Linux

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Michał Sobiegraj, TCP i UDP

Syslog. Dziennik systemowy

Monitorowanie działania ania sieci i bezpieczeństwa

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

INSTRUKCJA OBSŁUGI DLA SIECI

Numer ogłoszenia: ; data zamieszczenia:

Agenda. Quo vadis, security? Artur Maj, Prevenity

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Poradnik administratora Korporacyjne rozwiązania G Data

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Zarządzanie certyfikatami w systemie OpenVPN

Instrukcja pozyskania identyfikatora - UID

Centralne zarządzanie odległych instalacji zabezpieczeń na przykładzie SofaWare Security Management Portal

Instrukcja konfiguracji systemów operacyjnych do korzystania z sieci eduroam

Kto kontroluje twój modem?

'Dajcie mi rząd dusz, a będę rządził światem...' Botnet z punktu widzenia administratora sieci. Borys Łącki

Przykładowa konfiguracja konta pocztowego w programie Thunderbird z wykorzystaniem MKS 2k7 (MS Windows Vista Busissnes)

Najczęściej występujące problemy z instalacją i konfiguracją i ich rozwiązania.

Umowa administracji serwerami Linux

" # # Problemy budowy bezpiecznej i niezawodnej globalnej sieci szerokopasmowej dla słub odpowiadajcych za bezpieczestwo publiczne

Kto kontroluje twój modem?

Podręcznik szybkiej instalacji ACTi NVR. wersja 3.0

Problemy techniczne SQL Server

Skalowanie i monitorowanie działania systemu dlibra 5.0

Transkrypt:

Rozproszone systemy detekcji intruzów w sieciach korporacyjnych Marcin Jerzak Mariusz Wojtysiak Poznańskie Centrum Superkomputerowo-Sieciowe Zespół Bezpieczeństwa PCSS

Agenda 1. PPBW 2. Włamanie widziane z perspektywy: agresora administratora 3. Co to jest System Detekcji Intruzów? 4. Usprawnianie pracy administratora 5. MetaIDS jako przykład IDS 6. Podsumowanie

Polska Platforma Bezpieczeństwa Wewnętrznego Konsorcjum: uczelnie, jednostki naukowobadawcze, służby państwowe, firmy komercyjne PCSS: Zarządzanie informacją i wiedzą w usługach o podwyższonym poziomie bezpieczeństwa Grid Bezpieczeństwa Publicznego System integracji informacji o przestępstwach elektronicznych SOPEL Rozproszony system detekcji intruzów MetaIDS

http://www.sawse.com

Wprowadzenie 20/80 Z wewnątrz Z zewnątrz Ataki Szkody

Przykładowe środowisko WWW E-mail Baza danych

Atak z perspektywy agresora (1) Internet Serwer pocztowy Serwer www Serwer bazodanowy

Atak z perspektywy agresora (2) Etap 1: Serwer Apache http://www.mojastrona.pl/upload/plik.php

Atak z perspektywy agresora (3) Internet Serwer pocztowy Serwer www Serwer bazodanowy

Atak z perspektywy agresora (4) Etap 2: Skanowanie sieci i atak na usługę SSH aa aah aahed aahing aahs aal aalii aaliis aals aardvark aardwolf aargh aarrgh aarrghh aas aasvogel ab aba abaca abacas abaci aback abacus abacuses abaft abaka abakas abalone abalones. Oct 29 02:12:52 serwer sshd[19109]: Invalid user daniel from 11.22.33.44 Oct 29 02:12:53 serwer sshd[19111]: pam_tally(sshd:auth): pam_get_uid; no such user Oct 29 02:12:53 serwer sshd[19111]: pam_unix(sshd:auth): check pass; user unknown Oct 29 02:12:53 serwer sshd[19111]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=11.22.33.44 Oct 29 02:12:55 serwer sshd[19109]: error: PAM: Authentication failure for illegal user daniel from 11.22.33.44 Oct 29 02:12:55 serwer sshd[19109]: Failed keyboard-interactive/pam for invalid user daniel from 11.22.33.44 port 52031 ssh2 Oct 29 02:13:33 serwer sshd[19112]: Invalid user daniel from 22.33.44.55 Oct 29 02:13:33 serwer sshd[19114]: pam_tally(sshd:auth): pam_get_uid; no such user Oct 29 02:13:33 serwer sshd[19114]: pam_unix(sshd:auth): check pass; user unknown Oct 29 02:13:33 serwer sshd[19114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-64-183-168-162.west.biz.rr.com

Atak z perspektywy agresora (5) Internet Serwer pocztowy Serwer www Serwer bazodanowy

Atak z perspektywy agresora (6) Etap 3: Poprawne logowanie do serwera bazodanowego!

Atak z perspektywy administrator istratora (1)

Atak z perspektywy administrator istratora a (2)

Atak z perspektywy administrator istratora (3) kern.log messages.log error.log authlog access.log syslog

A rzeczywistość

Intrusion Detection System (IDS) - panaceum? Co to jest? Dlaczego jest potrzebny? Mam już system antywirusowy i firewall to nie wystarczy? Dodatkowa warstwa zabezpieczeń

MetaIDS jak działa? syslog messages.log syslog authlog czujka service scanned src_ip = 150.250.73.21 program = sshd access.log error.log

MetaIDS jak działa? serwer MetaIDS serwer www czujka service scanned src_ip = 150.250.73.21 program = sshd

Co zyskaliśmy? 1. Czas pracy administratora 2. Do przejrzenia tylko istotne informacje 3. Informacje ze wszystkich chronionych systemów są ujednolicone i przechowywane w jednym miejscu

MetaIDS wykrywanie sekwencji Serwer MetaIDS service scanned src_ip = 150.250.100.200 program = sshd auth failure src_ip = 150.250.100.200 user = aah auth failure src_ip = 150.250.100.200 user = aahed auth success src_ip = 150.250.100.200 user = admin

: MetaIDS

Architektura systemu

Podsumowanie Ataki na systemy komputerowe są powszechne Najniebezpieczniejsze ataki pochodzą z wewnątrz sieci Utrzymywanie odpowiednio wysokiego poziomu bezpieczeństwa ciągle rozrastającej się sieci to trudne zadanie Istnieje potrzeba posiadania dodatkowej warstwy zabezpieczeń - systemu IDS Bezpieczeństwo to proces a nie produkt

Pytania?

Dziękujemy za uwagę marcin.jerzak at man.poznan.pl mariusz.wojtysiak at man.poznan.pl Poznańskie Centrum Superkomputerowo-Sieciowe ul. Noskowskiego 12/14, 61-704 Poznań tel. +48 61 858 20 02 e-mail: office@man.poznan.pl, WWW: http://www.pcss.pl, http://ppbw.pcss.pl