Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Adminisztratív protokollok ellenőrzési lehetőségei

533 visualizaciones

Publicado el

Compliance? Biztonság? Bizalmatlanság? Hogyan és miért lehet és kell ellenőrizni a magas jogosultságú felhasználók tevékenységét?
(Höltzl Péter, IT biztonsági szakértő, BalaBit)

  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Adminisztratív protokollok ellenőrzési lehetőségei

  1. 1. Adminisztratív protokollok ellenőrzési lehetőségei Höltzl Péter CISA [email_address] http://www.balabit.hu/
  2. 2. Miről lesz szó? <ul><li>A hozzáférési szintekről
  3. 3. Mi látszik és mi nem?
  4. 4. Megoldási módok
  5. 5. Elérhető technológiák
  6. 6. Példák </li></ul>
  7. 7. A hozzáférés szintjei <ul><li>OS
  8. 8. Alkalmazás
  9. 9. Adatbázis
  10. 10. Jogosultsági szintek a-tól z-ig </li></ul>
  11. 11. Példa <ul><li>Webes alkalmazás: </li></ul><ul><ul><li>Szerver admin
  12. 12. Webmester
  13. 13. DB admin
  14. 14. DB user
  15. 15. Iktató admin
  16. 16. Iktató felhasználó </li></ul></ul>
  17. 17. Admin mindig van! <ul><li>Kérdés, tudjuk-e mit csinál? </li></ul>
  18. 18. Példa – Linux <ul><li>groupadd[4609]: group added to /etc/group: name=proba, GID=1003
  19. 19. groupadd[4609]: group added to /etc/gshadow: name=proba
  20. 20. groupadd[4609]: new group: name=proba, GID=1003
  21. 21. useradd[4613]: new user: name=proba, UID=1003, GID=1003, home=/home/proba, shell=/bin/bash
  22. 22. passwd[4620]: pam_unix(passwd:chauthtok): password changed for proba
  23. 23. chfn[4621]: changed user 'proba' information </li></ul>
  24. 24. Példa <ul><li>Nem mindig van napló: </li><ul><li>Vi /etc/passwd
  25. 25. Vi /etc/group
  26. 26. visudo </li></ul></ul>
  27. 27. Egy hack <ul><li>File változás figyelése: </li><ul><li>Csak napló
  28. 28. Tartalom nem </li></ul></ul>
  29. 29. Példa <ul><li>type=SYSCALL msg=audit(1320920870.653:34): arch=c000003e syscall=2 success=yes exit=3 a0=c3f3a0 a1=241 a2=120 a3=0 items=1 ppid=998 pid=1037 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm=&quot;vi&quot; exe=&quot;/usr/bin/vim.tiny&quot; key=(null)
  30. 30. type=CWD msg=audit(1320920870.653:34): cwd=&quot;/root&quot;
  31. 31. type=PATH msg=audit(1320920870.653:34): item=0 name=&quot;/etc/sudoers&quot; inode=262413 dev=08:01 mode=0100440 ouid=0 ogid=0 rdev=00:00
  32. 32. type=SYSCALL msg=audit(1320920870.663:35): arch=c000003e syscall=90 success=yes exit=0 a0=c3f3a0 a1=8120 a2=48fbf7 a3=7fffaf097ca0 items=1 ppid=998 pid=1037 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm=&quot;vi&quot; exe=&quot;/usr/bin/vim.tiny&quot; key=(null)
  33. 33. type=CWD msg=audit(1320920870.663:35): cwd=&quot;/root&quot;
  34. 34. type=PATH msg=audit(1320920870.663:35): item=0 name=&quot;/etc/sudoers&quot; inode=262413 dev=08:01 mode=0100440 ouid=0 ogid=0 rdev=00:00 </li></ul>
  35. 35. Hátrányok <ul><li>Értelmezhető?
  36. 36. Bonyolult
  37. 37. Csak a kiemelt események láthatóak!
  38. 38. Eltüntethető
  39. 39. Leállítható </li></ul>
  40. 40. Megoldás <ul><li>Távoli elérés rögzítése </li></ul>
  41. 41. Példa 1.
  42. 42. Példa 2.
  43. 43. Melyik érthető? <ul><li>Log vagy audit trail? </li></ul>
  44. 44. Piaci megoldások <ul><li>Agentek
  45. 45. Snifferek
  46. 46. Jumphostok
  47. 47. Proxyk </li></ul>
  48. 48. Agentek <ul><li>Telepítés
  49. 49. Rendszer módosítás
  50. 50. Passzív
  51. 51. Natív kliens
  52. 52. Minden protokoll funkció
  53. 53. Megkerülhető </li></ul>
  54. 54. Snifferek <ul><li>Port tükrözés
  55. 55. Rendszer módosítás
  56. 56. Passzív
  57. 57. Csatorna ellenőrzés
  58. 58. Natív kliens
  59. 59. Megkerülhetetlen
  60. 60. Minden protokoll funkció </li></ul>
  61. 61. Jumphostok <ul><li>Kapcsolat a bastion-ról
  62. 62. Rendszer módosítás
  63. 63. Natív kliens
  64. 64. Teljes funkcionalitás
  65. 65. „Bármilyen” protokoll
  66. 66. Minden protokoll funkció </li></ul>
  67. 67. Proxyk <ul><li>Teljes protokoll értelmezés
  68. 68. Aktív
  69. 69. Natív kliens
  70. 70. Rendszer módosítás
  71. 71. Csatorna és paraméter kontroll </li></ul>
  72. 72. Csatorna kontroll <ul><li>Csatorna -> Funkcionalitás </li></ul><ul><ul><li>Fájl átvitel
  73. 73. TCP port átvitele
  74. 74. X11
  75. 75. Eszköz átvitel </li></ul></ul>
  76. 76. Csatorna kontroll példák <ul><li>Csatorna engedélyezés
  77. 77. Csatorna paraméter kontroll
  78. 78. Fájl transzfer visszajátszás </li></ul>
  79. 79. Példa 3.
  80. 80. Köszönöm a figyelmet! Höltzl Péter CISA [email_address] http://www.balabit.hu/

×