Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Verkkoliikenteen seuraaminen ja tulkitseminen

JulkaistuSami Lehtinen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Verkkoliikenteen seuraaminen ja tulkitseminen"— Esityksen transkriptio:

1 Verkkoliikenteen seuraaminen ja tulkitseminen
Kevät 2007 Arsi Hartikainen, Mikko Pukki

2 Johdanto Miksi verkkoliikennettä seurataan?
Miten verkkoliikennettä seurataan? Haasteet Hyökkäyksenhavainnointijärjestelmät Työkalut Johtopäätökset ja tulevaisuus

3 Miksi verkkoliikennettä seurataan
Vaikeaa pitää muuten turvallisena Havaitaan luvaton käyttö sekä sääntörikkomukset Palomuurin sääntöjen muutokset P2P –liikenteen karsiminen Viruspostien torjunta

4 Miten verkkoliikennettä seurataan
Kirjoitetaan ja tulkitaan lokeja Pyritään olemaan haittaamatta liikennettä Läpinäkyvää muulle liikenteelle Kaappaavan laitteen verkkorajapinta asetetaan tilaan jossa liikennettä ei suodateta kerätään pakettien otsikot tai koko paketit

5 Haasteet Resurssit (varsinkin hyökkäyksenhavannointijärjestelmässä)
Laiteresurssit henkilöstöresurssit Verkkoliikenteen luonne Paketti täytyy kerätä sen esiintymishetkellä Samaan liikenteeseen voi liittyä useita paketteja Kaikki paketit kerättävä Laki ja etiikka sähköisen viestinnän tietosuojalaki Ratkaisuja? kaapataan vain paketin alku

6 Hyökkäyksenhavainnointijärjestelmät
Etsii tapahtumasarjoja jotka viittaavat ilkeämieliseen toimintaan Host based IDS & Network IDS Signature based & Anomaly detection Hyökkäykseen reagointi Lokiin kirjoittaminen ja hälyttäminen vastatoimet

7 Useamman IDS:n yhtäaikainen käyttö

8 Snort Avoimen lähdekoodin NIDS Toimii pakettikaappaajana ja/tai IDS:nä
Signature based ( Voi säätää iptablesin sääntöjä hälytysten perusteella Kun hälytyksen aiheuttaman liikenteen kulku estetään, se ei enää aiheuta lisähälytyksiä jatkossa Toimii myös ylemmillä protokollatasoilla

9 tcpdump Työkalu verkkoliikenteen seuraamiseen
Käyttää libpcap kirjastoa Työssä käytetty versiota (pcap 0.9.4) Kaappaa oletuksena kaikkien verkkorajapintaan tulevin pakettien otsikot (promiscuous mode) Linux:ssa voidaan kaapata liikennettä kaikista verkkorajapinnoista tcpdump -i any Non Promiscuous Mode

10 tcpdump Monia suodatus mahdollisuuksia
Voidaan käyttää boolean operaatiota tcpdump 'not host and (port 22 or portrange )' Tiputtaa paketteja, jos kuorma on suuri Koe: 1 GB/s Ethernet verkko, 3.03GB tiedosto, “tcpdump host and not port 22” > 26% kaapatuista paketeista tippui Määrä riippuu myös koneesta jolla kaapataan

11 Tcpdump esimerkki 13:02: IP (tos 0x0, ttl 64, id 3613, offset 0, flags [DF], proto: TCP (6), length: 64) > ssh: S : (0) win <mss 1460,nop,wscale 0,nop,nop,timestamp[tcp]> 13:02: IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: TCP (6), length: 44) ssh > : S, cksum 0x75f4 (correct), : (0) ack win 5840 <mss 1460> 13:02: IP (tos 0x0, ttl 64, id 3614, offset 0, flags [DF], proto: TCP (6), length: 40) > ssh: ., cksum 0x818a (incorrect (-> 0xa481), 1:1(0) ack 1 win 65535

12 Tcpdump esimerkki jatkuu
13:02: IP (tos 0x10, ttl 64, id 3684, offset 0, flags [DF], proto: TCP (6), length: 40) > ssh: F, cksum 0x818a (incorrect (-> 0x89b8), 3477:3477(0) ack 3381 win 65535 13:02: IP (tos 0x10, ttl 64, id 11842, offset 0, flags [DF], proto: TCP (6), length: 40) ssh > : F, cksum 0x5537 (correct), 3381:3381 (0) ack 3478 win 13440 13:02: IP (tos 0x10, ttl 64, id 11843, offset 0, flags [DF], proto: TCP (6), length: 40) ssh > : F, cksum 0x5537 (correct), 3381:3381(0) ack 3478 win 13440 13:02: IP (tos 0x10, ttl 64, id 3685, offset 0, flags [DF], proto: TCP (6), length: 40) > ssh: ., cksum 0x818a (incorrect (-> 0x89b8), 3478:3478(0) ack 3382 win 65534

13 Tcpdump sovelluskohteita
Vian etsinta Tutkimus Hajautettu seuranta Vähäiset liikennemäärät seurattavissa kohteissa Kerätään yhteen paikkaan ja analysoidaan Analysointi mahdollisesti jollain muulla sovelluksella

14 Wireshark Graafinen käyttöliittymä
Käyttää libpcap kirjastoa kuten tcpdump Oletuksena riettaassa tilassa (promiscuous mode) Kaappaa myös pakettejen kuormaa Yksityisyyden suoja Käyttäjätunnukset salasanat...

15

16 Yhteenveto IDS ei välttämättä huomaa kaikkia hyökkäyksiä.
Hyökkääjä voi huijata IDS:ää muuntamalla paketteja. Tällöin tärkeää että tapahtumat on tallennettu. Olettaen että hyökkäys/tietomurto on todettu. Snort voi olla toimiva pienessä yrityksessä Isommassa mittakaavassa ulkoinen palvelu voi olla kannattava. Tcpdump soveltuu pakettien keruuseen vähäisessä liikennemäärässä Analysointiin tarvitaan muita työkaluja (Wireshark)

17 Yhteenveto Seuraaminen ei ole halpaa ja vaatii resursseja
Ei järkeä maksaa tiedon turvaamisesta sen enempää kuin tiedon arvo on Tarvitsee ottaa huomioon myös lainsäädäntö Suomalaisia IDS –palveluita tarjoavia yrityksiä ovat mm. Secode ja Citadec Solutions Hintatietoja odotetaan yhä (odotettu jo viikko)

Lataa ppt "Verkkoliikenteen seuraaminen ja tulkitseminen"

Samankaltaiset esitykset

Tietokoneen käyttöjärjestelmä

Tietokoneen käyttöjärjestelmä
TOSIBOX LOCK Turvallisuusasetukset

TOSIBOX LOCK Turvallisuusasetukset
Internetprotokollien pääsynvalvonta verkkolaitteissa Teemu Heino Työn valvoja: Professori Raimo Kantola Työn suorituspaikka: Elisa Internet Oy.

Internetprotokollien pääsynvalvonta verkkolaitteissa Teemu Heino Työn valvoja: Professori Raimo Kantola Työn suorituspaikka: Elisa Internet Oy.
Johdatus Linuxiin Mauri Heinonen

Johdatus Linuxiin Mauri Heinonen
Marko Mäkinen Jesse Ketonen Mikko Yrjänä

Marko Mäkinen Jesse Ketonen Mikko Yrjänä
1 Heli Lepomäki 24.2.2010. Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.

1 Heli Lepomäki Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.
NAT NAT – Network Address Translation PAT – Port Address Translation NAPT – Network Address and Port Transalation.

NAT NAT – Network Address Translation PAT – Port Address Translation NAPT – Network Address and Port Transalation.
Cruiser 75/150 Teknisiä neuvoja Rami Rajala EP-Engineering Oy 23.2.2000.

Cruiser 75/150 Teknisiä neuvoja Rami Rajala EP-Engineering Oy
Web Services ©Reino Aarinen, 2007. Miksi?  Web Services tekniikalla voi muuttaa valmiit sovellukset Web sovelluksiksi.  Sovellus voi julkaista toiminnon.

Web Services ©Reino Aarinen, Miksi?  Web Services tekniikalla voi muuttaa valmiit sovellukset Web sovelluksiksi.  Sovellus voi julkaista toiminnon.
Mikko Tyrväinen InSitu –Luentopalautejärjestelmän tekninen evaluointi.

Mikko Tyrväinen InSitu –Luentopalautejärjestelmän tekninen evaluointi.
Suomi idän ja lännen solmupisteenä

Suomi idän ja lännen solmupisteenä
Twitter reaaliajan seurannassa Kiravo-projekti 2013 Kiravo – kirjasto avoimena oppimisympäristönä Biblär – biblioteket som ett öppet lärcentrum.

Twitter reaaliajan seurannassa Kiravo-projekti 2013 Kiravo – kirjasto avoimena oppimisympäristönä Biblär – biblioteket som ett öppet lärcentrum.
Konvergenssin haasteita Internetin Quality of Service (QoS) –QoS hallinta, tarvitaanko montaa palveluluokkaa? –QoS monitorointi (mittaukset) Kapasiteetin.

Konvergenssin haasteita Internetin Quality of Service (QoS) –QoS hallinta, tarvitaanko montaa palveluluokkaa? –QoS monitorointi (mittaukset) Kapasiteetin.
Kotus 29.3.07: Rakennepaja Ongelmana luettavuus ja editointi, kun nimittäjänä ovat UTF-8 ja XSLT Jack Rueter

Kotus : Rakennepaja Ongelmana luettavuus ja editointi, kun nimittäjänä ovat UTF-8 ja XSLT Jack Rueter
Lapin sairaanhoitopiiri Tietohallintastrategia 2007–2011.

Lapin sairaanhoitopiiri Tietohallintastrategia 2007–2011.
 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.

 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.
Valtteri, Simo, Mika Myllytulli, My-tlpt09E 2010

Valtteri, Simo, Mika Myllytulli, My-tlpt09E 2010
DHCP & DNS Joni Härmä EL3.

DHCP & DNS Joni Härmä EL3.
IDS Antti Junttila. IDS = Intrusion Detection System Suomeksi TunkeutumisenTunnistusJärjestelmä (TTJ) Tarkoitettu valvomaan verkkoa ja paljastamaan kaikenlainen.

IDS Antti Junttila. IDS = Intrusion Detection System Suomeksi TunkeutumisenTunnistusJärjestelmä (TTJ) Tarkoitettu valvomaan verkkoa ja paljastamaan kaikenlainen.
IDS: Intrusion Detection System IPS: Intrusion Prevention System Antti Mattila Mikko Toivonen.

IDS: Intrusion Detection System IPS: Intrusion Prevention System Antti Mattila Mikko Toivonen.

Samankaltaiset esitykset

Iklan oleh Google