Esitys SUSE Tampereella -tilaisuudessa 20.11.2013 http://seravo.fi/2013/suse-event-tampere-2013-11-20

1. Tietoturvahyökkäysyritysten
havaitseminen ja seuranta
Otto Kekäläinen
SUSE-tilaisuus
Tampere 20.11.2013

2. LINUX-JÄRJESTELMIEN
ASIANTUNTIJA- JA TUKIPALVELUT

3. Tietoturvan määritelmä
 Luottamuksellisuus
 Eheys
 Saatavuus

4. SUSE ja tietoturva
 ”SUSE Linux Enterprise 11 meets the latest Linux
Foundation's Carrier Grade Linux 4.0 standard and is CGL
registered.”
 ”FIPS (Federal Information Processing Standard) 140-2
validation [...] certified by NIST (CMVP).”
 ”Common Criteria Certificate at Evaluation Assurance Level
EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux
Enterprise Server 11 SP2 including KVM virtualization. ”
CC myös nimellä ISO/IEC 15408.
https://www.suse.com/security/certificates.html

5. Tekniikoita
 AppArmor vakiona (SELinux aktivoitavissa)
 Virtual Address Space Randomization yms Linux-ominaisuuksia
 OpenSCAP, Seccheck
 YaST2 Security Center
 rsyslog, auditd, rpm -V -a, AIDE
 LUKS/dm_crypt, eCryptFS, haveged, OpenSSL, cryptokitoki
 nopeat tietoturvapäivitykset, luotettavat ja jäljitettävät
päivityslähteet (GPG-allekirjotukset, OBS)
 avointa lähdekoodia!

6. Dokumentaatio
https://www.suse.com/documentation/sles11/

7. Tietoturvahyökkäysyritysten
havaitseminen ja seuranta
 Jos joku yrittää murtautua palvelimellesi,
huomaisitko asian?
 Panostatko tietoturvaan satunnaisesti vai
suhteessa mitattuun uhkaan?
 Voiko hyökkäysyrityksiä havaita ja tilastoida
automatisoidusti?

8. CERT-FI valtakunnallisesti
CERT-FI Autoreporter (2005-),
HAVARO (2011-) ja GovHAVARO (2013-)
HAVARO = Tietoturvaloukkausten
HAvannointi- ja
VAROitusjärjestelmä

9. Mitä yksittäisen yrityksen näkökulmasta
voi kannattaa tehdä?

10. Porttiskannaus?
PortSentry, psad, scanlogd, Snort...
net.ipv4.conf.all.log_martians = 1
Ping?
→Ei kannata

11. SSH-kirjautumisyrityksiä
Väärällä nimellä:
Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110
Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth]
Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown
Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110
Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan
from 84.20.150.110 port 1024 ssh2
Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]

12. Yrityksiä / väärä käyttäjätunnus
14 admin
5 operator
3 asfa
7 support
4 vyatta
3 aaa
7 info
4 test
2 tss
7 guest
4 seravo
2 nagios
6 ubnt
4 amy
2 magnos
6 pi
3 ruser
2 john
5 PlcmSpIp
3 oracle
2 jack

13. SSH-kirjautumisyrityksiä
Oikealla nimellä mutta väärällä salasanalla:
Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero
Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as
user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials)
Nov 19 14:45:50 wp sshd[1675]: Failed password for tero
from 84.20.150.110 port 1158 ssh2
Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]

14. Yrityksiä / oikea käyttäjätunnus
516 root
8 nobody
7 bin
1 zabbix
1 samuel
1 mysql

15. SSH-kirjautumisten tilastointi

16. Yrityksiä / IP-osoite
18 61.147.74.223
8 84.20.150.110
17 125.88.75.199
8 42.96.198.214
17 121.9.13.184
8 101.27.153.190.net-uno.net. 190.153.27.101
16 61.142.106.34
7 static-186-63-210-31.sadecehosting.net. 31.210.63.186
14 95.163.143.140
7 smonitoring.tce.ir. 37.255.176.36
13 host178-3-static.199-31-b.business.telecomitalia.it. 7 pcal09.ba.infn.it. 193.206.185.86
31.199.3.178
7 li674-133.members.linode.com. 212.71.239.133
12 210.51.10.158
7 h21ap24-13.utsltd.net. 193.24.30.55
12 221.178.164.251
7 customer-static-210-142-81.iplannetworks.net.
11 203.201.42.237
190.210.142.81
10 b3da0881.virtua.com.br. 179.218.8.129
7 83.229.69.36
10 173.208.233.72
7 61.144.14.93
10 124.117.249.242
7 58.221.60.164

17. HTTP-skannaus?
63.252.205.195 - - [17/Nov/2013:18:39:53 +0200]
"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1"
404 319 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /scripts/setup.php HTTP/1.1" 404 295 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:39:53 +0200] "GET /admin/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:39:54 +0200] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:39:55 +0200] "GET /mysql/scripts/setup.php HTTP/1.1" 404 301 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:39:58 +0200] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 312 "-" "ZmE
63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 304 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 306 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:39:59 +0200] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 307 "-" "ZmEu"
63.252.205.195 - - [17/Nov/2013:18:40:00 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 299 "-" "ZmEu"

18. 404-virheiden tilastointi

19. Pohdintaa
Kohdistuuko hyökkäys yhteen koneeseen?
Useaan samassa IP-avaruudessa?
Useaan saman verkkotunnuksen alatunnukseen?
Onko hyökkäyksellä tietty kohde?

20. Klo 19-23 hyökkäys IP-naapureissa

21. Hyökkäysliikenteen määrä korreloi
yleisen liikennemäärän kanssa
1778 seravo.fi
176 www.mediakomppania.fi
168 coss.fi
58 tuijabrax.fi
(olettaen että sivustoilla vain vähän aitoja 404-virheitä)

22. Hyöty?
Lisääkö ikkunasta ulos katsominen
talon sisällä olevan turvallisuutta?

23. Mitä paremmin tietää, sitä paremmin tekee päätöksiä.
Kartoitus  suunnittelu  priorisointi  investoinnit
Tietoturva(kin) on prosessi

24. Tietoturvahyökkäysyritysten
havaitseminen ja seuranta
Vastaukset esityksen alun kysymyksiin: Kyllä!
 Kerää tilastoa automatisoidusti.
 Jos joku on yrittänyt murtautua palvelimellesi,
voit käydä katsomassa monestiko, koska ja mistä
päin.
 Panosta tietoturvaan suhteessa mitattuun uhkaan.

25. Ota yhteyttä kun haluat Seravo Oy:n
kehittämään tai ylläpitämään
Linux-pohjaisia tietojärjestelmiänne
Lisätietoa yrityksestä: seravo.fi
Lisätietoa teknologioista: seravo.fi/blog