1 / 42

Hva gjøres av sikkerhetsarbeid på USIT?

Hva gjøres av sikkerhetsarbeid på USIT?. Elisabeth Høidal Strøm Usit/sas/os. Hva gjør vi?. Daily – maskinene rapporterer fra innsiden Scanorama – maskinene scannes fra utsiden Labrea – honeypot (Synderlister – legger ut lister av og til over DCOM-sårbare maskiner). Usit-daily.

imaran
Download Presentation

Hva gjøres av sikkerhetsarbeid på USIT?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hva gjøres av sikkerhetsarbeid på USIT? Elisabeth Høidal Strøm Usit/sas/os

  2. Hva gjør vi? • Daily – maskinene rapporterer fra innsiden • Scanorama – maskinene scannes fra utsiden • Labrea – honeypot • (Synderlister – legger ut lister av og til over DCOM-sårbare maskiner)

  3. Usit-daily

  4. Hva er Usit-daily? (1) • Script som kjøres hver natt mellom 0000-0600. • Maskinene rapporterer selv fra ”innsiden”. • Skal kjøre på alle maskiner i domenet. • Krav at alle maskiner er i domenet. • Tidligere todelt bruksområde: • patche – utgår (unntak, W2K pre SP3) • Logge og rapportere nyttig informasjon fra maskinene.

  5. Hva er usit-daily (2): • Fra daily kjøres et loggescript som henter ut diverse informasjon fra maskinen. • Resultatet lagres i en lokal fil på maskinen: C:\etc\daily\logs\<maskinnavn>.log • Resultatet kopieres over til en sentral server (serimne). • Filene skrives over for hver gang usit-daily kjører. • Rapportscript generer rapport ut fra loggfilene og sender daglige raporterer til pcadm, om mistenkelige ting på en maskinen. • Utvidet rapportscript kan nå sende mail til lita.

  6. Hensikt: • Oversikt -lettere å holde kontroll på maskinene i domenet -lette opprydning for oss og lita (dnsnavn, maskiner utenfor domenet, osv..) • Sikkerhet -ta tak i hacking/virus/orm-incidenter, fange opp maskiner som tas på samme måte. -patchestatus

  7. Hva logges? (1) • OS-informasjon (versjon,type,språk,sp,patcher) • Patchestatus (hfnetchk) • F-secure versjon • F-secure sist oppdatert • IP-konfigurasjonen • Diverse info, bla patcher (srvinfo) • Diskbruk • Shares på maskinen • Porter som maskinen lytter til/har åpne: (Netstat og fport)

  8. Hva logges? (2) • Servicer som er startet • Servicer som er installert (psservice) • Prosesser som går og path de kjøres fra (tlist) • Medlemmer av administratorgruppen • Informasjon om "guestaccount”, om den er ”active” • Medlemmer av guestgruppen • Profiler på maskinen (de som har være innlogget)

  9. Hva logges? (3) • Om maskinen er installert med mkdisk, xp-løsningen eller annet • Lokale innlogginger • Feilaktige administratorinnlogginger (mer enn 5 på rad) • Søk etter en rekke "mistenkelige filer" finnes på maskinen. Typisk signaturfiler fra kjente hackerangrep og hackerverktøy. • innholdet i win.ini og boot.ini

  10. Hva logges? (4) • subnøkler og verdier fra winlogon i registry • subnøkler og verdier fra run i registry • subnøkler og verdier fra runonce i registry • subnøkler og verdier fra startup i registry

  11. Hvordan installere usit-daily? • Automatisk via domene (for W2K og XP) =>boot av maskin = installasjon av usit-daily • (Manuelt: \\wsh\us$\pc-daily\install-daily.bat )

  12. Nytt: dailylight • Kortversjon av daily: -OS-informasjon -patchestatus med hfnetchk -f-secure-versjon -f-secure sist oppdatert -sist kjørt daily • Kjører på startup av maskin dersom hoveddaily ikke har kjørt siste døgnet. • Skriver resultat til sentral server (serimne)

  13. Hensikt med dailylight • Kan kjøre ”on demand” ved behov • Fange opp maskiner som blir skrudd av om natten • Rapportdelen av daily bruker lightloggen dersom denne er nyest.

  14. Rapportene

  15. Daily-rapport • Har en liste over OU’er med tilhørende e-postadresser og hva som skal sendes i hver rapport. • Henter liste over maskiner fra AD • Leser daily-loggene på serimne • Lager rapport • Sender e-post og lagrer rapporten og en fullstendig rapport lokalt

  16. Header • ####################################### • Rapport fra USIT-daily • Wed Sep 24 10:59:53 2003 • USIT • LDAP://OU=usit,DC=uio,DC=no • Kontakt: pc-core@usit.uio.no • #######################################

  17. Diverse tall 1 • ####################################### • Diverse tall fra daily • ####################################### • Windows 2000 Servere: 43 • Windows 2003 Servere: 11 • Windows 2000: 14 • Windows XP: 90 • Windows 2000 som mangler SP3: 0 • Windows XP som mangler SP1: 0 • Ukjent OS: 0 • Windows 2000 tjener/arbeidsstasjon: 0 • Maskiner med semreg-image: 0 • Bruker USITs XP-image: 69

  18. Diverse tall 2 • Maskiner som mangler Office-update-patcher: 21 • Maskiner som mangler viktige patcher: 10 • Maskiner totalt i dette OU'et: 240 • Maskiner som har daily-rapport: 160 • Maskiner som ikke har daily-rapport siste uke og ikke aktiv: 27 • Maskiner som ikke har daily-rapport, men aktiv i domenet: 53 • Maskiner som hvor nyeste daily er 7 dager eller eldre: 0 • Maskiner som har kjørt daily i dag: 153 • Maskiner som har kjørt daily siste uke: 156 • Maskiner som kun har light-versjon av daily-rapport: 5 • Maskiner med mistenkelige filer: 7

  19. Diverse tall 3 • Maskiner som har hatt lokale innlogginger: 1 • Maskiner som har guestaccount active: 0 • Maskiner hvor guest er med i admingruppe: 0 • Maskiner som har hatt mer enn 5 lokale administratorinnlogginer: 0 • DNS stemmer ikke med maskinnavn: 8 • DNS stemmer ikke med maskinnavn (og er ikke dhcp): 2 • Maskiner med ikke-engelsk windows: 0 • Maskiner som brukte for lang tid på eklefilerleting: 26 • Maskiner som gjør rare ting under eklefilersjekk: 0 • Maskiner laget med mkdisk: 0

  20. Ekle filer • ############################################### • Maskiner med mistenkelige filer • ############################################### • EKKEL (129.240.255.666) har følgende mistenkelige filer: • sfind.exe: Found in (c:/tools/) • sfind.exe: Found in (c:/recycler/S-1-5-21-4146745624-1268266741-2650905777-1030/COM1/a/) • svchost.exe: Found in specified dir (c:/winnt/system32/wins)

  21. DNS og maskinnavn • ####################################### • DNS stemmer ikke med maskinnavn (og er ikke dhcp) • ####################################### • DNSnavn: liseberg Maskinnavn: EXCALIBUR IP: 129.240.12.34 • DNSnavn: <ikke dnsnavn> Maskinnavn: WAKE IP:

  22. Servere • ############################################### • Windows 2000 Servere • ############################################### • ACS (129.240.11.201) med SP4 • ALGOL (129.240.130.86) med SP4 • ARSENIKK (129.240.13.200) med SP4 • CUBUS (129.240.130.69) med SP4 • UFF (129.240.255.666) med SP3

  23. Ikke daily, aktiv i domenet • ############################################### • Maskiner som ikke har ny daily-rapport, men aktiv i domenet siste uke • ############################################### • FYSJ Sist i domenet: Wed Sep 24 14:52:59 2003 • URK Sist i domenet: Wed Sep 24 11:43:33 2003 • FEIL Sist i domenet: Wed Sep 24 14:53:17 2003 • MYSTISK Sist i domenet: Wed Sep 24 08:11:00 2003

  24. Ikke daily, ikke aktiv i domenet • ############################################### • Maskiner som ikke har daily-rapport og ikke aktiv i domenet siste uke • ############################################### • ATTILA-VM Sist i domenet: Fri Aug 29 14:53:25 2003 • BAALZ Sist i domenet: Mon Aug 11 20:01:48 2003 • bastard Sist i domenet: Aldri

  25. Patcher som mangler (1) • #################################################### • Maskiner som mangler viktige patcher • Følgende patcher blir ikke rapportert: • Q828750: Problemer med installering av patch (XP) • Q330944: Problemer med installering av patch (XP) • Q329419: Mange falske positive på W2K SP4 • #################################################### • Upatchetpc1: • WINDOWS XP PROFESSIONAL SP1: Q324096 • Upatchetpc2: • WINDOWS MEDIA PLAYER 7.0 GOLD: Q287045 • Upatchetpc3: • WINDOWS 2000 PROFESSIONAL SP3: Q296441 Q814078 Q823559

  26. Patcher som mangler (2) • ############################################### • Maskiner som mangler Office-update-patcher • ############################################### • UPATCHETPC1 ( • OFFICE 2000 GOLD: Q256167 • EXCEL 2000 GOLD: Q241901 • UPATCHETPC1 ( • OFFICE 2000 SP3: Q824993 Q822035 • WORD 2000 SP3: Q824936

  27. Hva må til for å få rapport? • Alle maskiner må ligge i et fornuftig OU. • Flere OU’er går greit. • Maskiner i noDNS eller Computers er ikke greit • Gi beskjed om hvilken driftsliste rapporten skal gå til og hvilke OU’er det gjelder. • Alle maskiner skal være i domenet, alle maskiner i domenet skal kjøre daily.

  28. Spørsmål og svar

  29. Feilsøking / kjente feil • Spørsmål: Hvorfor blir ikke maskinen patchet? • Svar: Daily patcher ikke, med unntak av Windows 2000 før service pack 3.

  30. Feilsøking / kjente feil • Spørsmål: Maskinen er patchet, men daily hevder den mangler viktige patcher. Hvorfor? • Svar: • Windows Update sjekker ikke office-patcher. • Hfnetchk gir rare resultater på noen maskiner. Vi jobber med å finne en løsning på problemet.

  31. Feilsøking / kjente feil • Spørsmål: Maskinen har daily og at-jobb installert, men dukker ikke opp i rapportene. Hvorfor? • Svar: Klonede maskiner får problemer med rettigheter for kjøring av daily-jobben. Foreløpig må dette rettes opp maunelt ved å slette c:\etc\daily og at-jobben, slik at daily reinstalleres ved boot.

  32. Feilsøking / kjente feil • Spørsmål: Daily er ikke installert, maskinen har ikke at-jobb og ingenting blir installert ved oppstart. • Svar: Daily trenger skrivetilgang for å virke. Sjekk at SYSYEM har skrivetilgang i c:\etc-mappen.

  33. Feilsøking / kjente feil • Spørsmål: Jeg har satt maskinen til ikke å boote med ”noboot.txt”. Men den booter av og til om natten likevel. Hvorfor? • Svar: Noboot.txt gjelder ikke lenger. Den er fra da daily patchet. Nå patches det via windows update og noen av patchene trenger reboot av maskinen. Det er dessverre ingen måte å skille ut at noen maskiner ikke skal bootes på denne måten.

  34. Feilsøking / kjente feil • Spørsmål: Maskinen kjører daily og har loggfil lokalt, men dukker ikke opp i rapportene. Hvorfor? • Svar: Sjekk at daily får kjøre ferdig. På slutten av loggfilen at det står når daily avsluttet. Hvis andre at-jobber kjører om natten og f.eks shutter ned maskinen vil dette avbryte dailykjøringen og dermed ikke avlevere rapport til serimne.

  35. Flere ting… • Daily er under utvikling (og kommer alltid til å være det…) • Det er litt barnesykdommer ennå.. • Hvis noe virker galt, er det sannsynligvis det – gi oss beskjed • Hvis du det er noe du savner – gi oss beskjed • Webrapporter? • Dokumentasjonen på web er under oppdatering.. • Jobber med et vektesystem for maskiner det bør taes tak i.

  36. Scanorama

  37. Scannorama • Er et system for portscanning. • Rapporterer fra maskinene slik de ser ut fra ”utsiden”. • Hovedtanke: Skann etter evne, søk etter behov • Er foreløpig i test-drift

  38. Bakgrunn • Ønsker å se etter sårbare tjenester eller indikasjoner på kompromitterte maskiner. • Normal skanning etter kjente bakdører gir ofte mange falske positive treff på ikkerelevante maskiner. • Ofte ute etter å finne kombinasjoner av parametre. (f.eks kombinasjoner av porter eller kombinasjoner av operativsystem og åpne porter) • Korrelering av data fra forskjellige kilder gir større muligheter til å finne interessante data ute å drukne i store mengder uinteressant informasjon.

  39. Systemet • Skanneren – nmap står for portscanningen og lagrer resultatene i XML-format. • Pingskann: For å registrere maskinene I databasen • Standardskann: Etter kjente porter/tjenester/bakdører/skumle ting/med mer • OS-skann: Forsøk på å gjette OS’et til maskinen • Bannergrabbing - Netcat, HEAD og dig, brukes for å kontakte porter og finne ut tjenester som kjører på dem. • Databasen - PostgreSQL brukes foreløpig ikke så mye. Tenk å tas i bruk når systemet vokser. (Ta vare på historikk og varsle endringer)

  40. Planlagte utvidelser: • Web-grensesnitt for rapporter • Automatisering av mail til maskin-ansvarlige • Historikk og baseline-sjekking • Automatisk mailrapportering • Sjekk av MAC-adresse (data fra IP-Watch) • Klareringsfunksjon som forteller systemet hvordan en maskin skal se ut.

  41. Labrea

  42. LaBrea (honeypot) • Svarer på alle porter på 2 hele subnett. • Både TCP og UDP. • Er på et av de tidlige (lave subnettene). • Tar laaang tid å portskanne. • Leverer logger og mailrapport videre (spesielt fokus på portskann fra UiO maskiner). • Påsikt skal det logges til dshield.org

More Related