Integriertes Management von Sicherheitsvorfällen

Ähnliche Dokumente
Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN. Ein Werkzeug für die automatisierte Portscanauswertung in komplexen Netzinfrastrukturen

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH

Powermanager Server- Client- Installation

How-to: Webserver NAT. Securepoint Security System Version 2007nx

IT Sicherheitsgesetz und die Praxis

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

LabTech RMM. Monitoring von MDaemon. Vertraulich nur für den internen Gebrauch

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Deutsches Forschungsnetz

IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Anleitung Grundsetup C3 Mail & SMS Gateway V

Firewalls für Lexware Info Service konfigurieren

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

SharePoint Demonstration

Dienste des DFN-CERT für die Grid-Communities

Netzwerke 1. Praktikumsversuche 5 und 6

IT-Forensik und Incident Response

FrontDoor/Monitor mehr sehen von FrontDoor

Firewalls für Lexware Info Service konfigurieren

Stand der CERT-Dienste im D-Grid. Security Workshop Göttingen März 2007

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)

The information security provider

Überprüfen Active Directory und DNS Konfiguration Ver 1.0

Die Installation eines MS SQL Server 2000 mit SP3a wird in diesem Artikel nicht beschrieben und vorausgesetzt.

Firewall-Logs: gewusst wie! (14:00 Uhr, Referat B) Firewall-Logs gezielt aufzeichnen und auswerten

Installation Hardlockserver-Dongle

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Integriertes Management von Sicherheitsvorfällen

IT-Security Herausforderung für KMU s

Umstieg auf Microsoft Exchange in der Fakultät 02

Verwendung des IDS Backup Systems unter Windows 2000

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd

RUB-Netzbetreuertreffen RIPE IPv6 PIP OpenVPN WLAN Robin Schröder RUB-NOC

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

Dokumentation Verdacht auf Kindeswohlgefährdung 8 a KJHG (SGB VIII)

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Digital signierte Rechnungen mit ProSaldo.net

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Benutzerhandbuch. DNS Server Administrationstool. Für den Server: dns.firestorm.ch V

Konfigurationsanleitung Fax over IP (T.38) und CAPI Fax Server (T.30) Graphical User Interface (GUI) Seite - 1 -

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

ABUS-SERVER.com. ABUS Security Center. Anleitung zum DynDNS-Dienst. Technical Information. By Technischer Support / Technical Support

THUNDERBIRD. 1 Was ist sigmail.de? 2 Warum sigmail.de? UP ESUTB.8-1-2

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Intrusion Detection and Prevention

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

Vitalograph Spiroctrac V Hinweise zur Mehrplatz-/Serverinstallation

Fachbereich Medienproduktion

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

Collax PPTP-VPN. Howto

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

ITIL & IT-Sicherheit. Michael Storz CN8

Anleitung: WLAN-Zugang unter Windows 8 - eduroam. Schritt 1

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

MSDE 2000 mit Service Pack 3a

Anleitung zur Datensicherung und -rücksicherung in der VR-NetWorld Software

Anleitung für IQES-Verantwortliche Persönliche Konten verwalten

Expertenstudie Social Media

VPN Mac OSX mit Forticlient SSL

Praktikum IT-Sicherheit

Netzlaufwerke der Domäne von zu Hause/extern verbinden

Erstellung eines Verfahrensverzeichnisses aus QSEC

Handbuch Synology-Server Einrichten / Firewall

ELV Elektronik AG Leer Tel.:+49-(0)491/ Fax:+49-(0)491/7016 Seite 1 von 10

Meine ZyXEL Cloud. Tobias Hermanns V0.10

Installationsvoraussetzungen

Postfach in cpanel erstellen

RDS Consulting. Support Handbuch. Version 1.0

Technical Note 24 SMS Versand über analoge und ISDN Leitungen (Festnetz-SMS)

Anbindung des eibport an das Internet

Abwesenheitsnotiz im Exchangeserver 2010

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Einrichten eines Exchange-Kontos mit Thunderbird

Wichtige Information zur Verwendung von CS-TING Version 9 für Microsoft Word 2000 (und höher)

INHALT. 1 NSA-320 als Logging Version

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0


Inhaltsverzeichnis. 1. Einrichtung in Mozilla Thunderbird. 1.1 Installation von Mozilla Thunderbird

Anleitung zur Nutzung des SharePort Utility

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto auf Ihrem iphone

Besprechungen sind das wichtigste Instrument der organisationsinternen Kommunikation.

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Das neue DFN-CERT Portal

ecadfem Hinweise zum Setup Christian Meyer Stefan Halbritter 12/2012

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Kapsch Carrier Solutions GmbH Service & Support Helpdesk

Transkript:

Integriertes Management von Sicherheitsvorfällen Stefan Metzger, Dr. Wolfgang Hommel, Dr. Helmut Reiser 18. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 15./16. Februar 2011 Leibniz-Rechenzentrum

Was verstehen wir unter einem Sicherheitsvorfall? ISO27001-Definition: Sicherheitsvorfall Ereignis, das sich negativ auf die Sicherheit, insbesondere auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen, auswirkt. LRZ Security-Monitoring: Extern Intern (Angriffe von Extern, DoS, SSH-Scans) Intern Extern (Kompromittierte interne Systeme) 2

Angriffsziel Hochschule? Angriffsziel: Personenbezogene Daten 3

Angriffsziel Hochschule? Angriffsziel: Forschungsdaten Angriffsziel: Personenbezogene Daten 4

Das Leibniz-Rechenzentrum (LRZ) RZ für Münchner Hochschulen, Betreiber MWN Landesrechenzentrum und nationales Höchstleistungsrechenzentrum Foto: Ernst A. Graf 5

Münchner Wissenschaftsnetz (MWN) Eckdaten 120.000 Nutzer ca. 80.000 Endgeräte Bayernweite Ausdehnung Dezentrale Administration und Verantwortlichkeit 6

Klassische Schutzmaßnahmen Installation von Security- Patches nicht forcierbar! (Infektionsrate: 1-5%) Firewalls Intrusion Detection / Prevention Systeme 7

Klassische Schutzmaßnahmen Installation von Security- Patches nicht forcierbar! (Infektionsrate: 1-5%) Firewalls Intrusion Detection / Prevention Systeme 8

Klassische Schutzmaßnahmen Installation von Security- Patches nicht forcierbar! (Infektionsrate: 1-5%) Präventive Schutzmaßnahmen greifen im MWN zu kurz und können nicht Firewalls Intrusion Detection / Prevention Systeme erzwungen werden! 9

Integrierte, reaktive Maßnahmen nötig! Zielsetzungen: Strukturierte Bearbeitung! Klare Regelung der Verantwortlichkeiten! Automatisierte Reaktions-Möglichkeiten! 10

Integrierte, reaktive Maßnahmen nötig! Security Incident Response Prozess (SIR-Prozess) 11

Integrierte, reaktive Maßnahmen nötig! Security Incident Response Prozess (SIR-Prozess) Manuelle Meldung 12

Integrierte, reaktive Maßnahmen nötig! Security Incident Response Prozess (SIR-Prozess) Manuelle Meldung Security- Monitoring Security Information & Event Management System 13

Integrierte, reaktive Maßnahmen nötig! Security Incident Response Prozess (SIR-Prozess) Manuelle Meldung Security- Monitoring DFN-CERT AW-Service Security Information & Event Management System 14

Tool-gestütztes Security Monitoring SNORT IDS NfSEN (Netflow-Analyse) Accounting (SPAM-Sender, DoS) NAT-o-MAT / Secomat 15

Security Information & Event Management (SIEM) Open Source SIM (OSSIM) Dashboards Reporting- Funktionen Event-Korrelation Automatische Reaktion 16

Security Information & Event Management (SIEM) Open Source SIM (OSSIM) Integrierte Sortier- und Filter-Funktionen Unique Events Source- / Destination (IP oder Port) Zeitfenster 17

DFN-CERT Services Automatische Warnmeldungen Sensoren beim DFN-CERT DFN-Einrichtungen werden täglich über auffällige IP-Adressen informiert Meldungen: IP Meldungstyp Zuletzt gesehen ------------------------------------------------------------------------------------------------ 129.xxx.xxx.xxx Bot 2011-02-12 14:06:03 GMT+0100 18

DFN-CERT Services Automatische Warnmeldungen Sensoren beim DFN-CERT DFN-Einrichtungen werden täglich über auffällige IP-Adressen informiert Details zu den Meldungen pro IP: ------------------------------------------------------------------------ System: 129.xxx.xxx.xxx Meldungstyp: Bot Zeitstempel: 2011-02-12 14:06:03 GMT+0100 (Sommerzeit) > Protokoll Quellport Zielport Malwaretyp Zeitstempel(GMT+0000) ---------------------------------------------------------------------------------------- unbekannt 6667 unbekannt 2011-02-12 13:06:03 unbekannt 6667 unbekannt 2011-02-12 13:06:03 19

Nach Bekanntwerden eines Vorfalls 20

Security Incident Response Prozess Incident Aufnahme Was ist genau passiert? Welches System ist betroffen? Incident Aufnahme Wer ist für System zuständig? Wann ist es passiert? 21

Security Incident Response Prozess Klassifikation + Priorisierung Welche Art von Angriff? Priorisierung des Vorfalls Standort des Angreifers? Standort des Opfer- Systems? Wieviele Systeme sind betroffen? Welche Dienste sind betroffen? Incident Aufnahme Klassifikation + Priorisierung 22

Security Incident Response Prozess Klassifikation + Priorisierung Welche Art von Angriff? Auswirkung/ Kriterium Priorisierung des Vorfalls Niedrig Mittel Hoch Zielsystem Extern (1) MWN, Grid (2) LRZ-intern (3) Standort des nicht Angreifers? betroffen Wichtige Dienste Dienste, Daten MWN, Grid (2) Standort des Opfer- (1) (3) # betroffener Systems? 1 (1) Systeme Wieviele Systeme sind betroffen? Quellsystem Welche Dienste Extern sind (1) betroffen? 2-3 (2) MWN, Grid (2) > 3 (3) LRZ-intern (3) 23

Security Incident Response Prozess Incident-Bearbeitung Standard-Security-Incident? definierte Vorgehensweise Incident Aufnahme Erstmaßnahmen Analyse & Diagnose betroffener Systeme Klassifikation + Priorisierung Incident-Bearbeitung 24

Security Incident Response Prozess Lösung + Abschluß des Incidents Schnellstmögliche Lösung des Incidents Incident Aufnahme Wiederherstellung Regelbetrieb Weitere Auffälligkeiten? Abschluß (Post Incident Review) Klassifikation + Priorisierung Incident-Bearbeitung Incident-Lösung Incident-Abschluß 25

Security Incident Response am LRZ Beispiel SNORT IDS detektiert Event (Bot C&C Server Traffic) Weiterleitung an SIEM Korrelation ( mind. 5 Events / 8 Stunden) Alarm! 26

Security Incident Response am LRZ Beispiel Nach dem Alarm Security-Incident Ticket erzeugen System-Administratoren + LRZ-CSIRT informieren Incident Aufnahme 27

Security Incident Response am LRZ Beispiel Event: snort: "ET DROP KNOWN BOT C&C Server Traffic TCP" IP-Adresse: 129.xxx.xxx.xxx FQDN: <HOSTNAME> Standort: Switchport: <STANDORT (Gebäude, Adresse)> <SWITCH-PORT DETECTION> Source-Port: xxxxx Destination-IP: 194.xxx.xxx.xxx Destination-Port: 6667 Timestamp: Sat Feb 12 13:05:14 2011 28

Security Incident Response am LRZ Beispiel Klassifikation: Botnetz C&C-Server Intern Extern! Priorisierung: Incident Aufnahme Klassifikation + Priorisierung 29

Security Incident Response am LRZ Beispiel Klassifikation: Botnetz C&C-Server Intern Extern Incident Aufnahme Klassifikation + Priorisierung Priorisierung: Zielsystem Extern (1) Grid, MWN Intern Dienste Nein (1) Grid, MWN Ja # Systeme 1 (1) 2,3 mind. 3 Quellsystem Extern Grid, MWN Intern (3) 30

Security Incident Response am LRZ Beispiel Incident Aufnahme DFN AW-Service Meldung: Bestätigung des internen Monitorings Klassifikation + Priorisierung Incident-Bearbeitung Meldungen: IP Meldungstyp Zuletzt gesehen ------------------------------------------------------------------------------------------------ 129.xxx.xxx.xxx Bot 2011-02-12 14:06:03 GMT+0100 31

Security Incident Response am LRZ Beispiel Erstmaßnahme Trennen der Netzverbindung Incident Aufnahme Analyse & Diagnose: Auswertung SIEM-Events Analyse der Log-Files Klassifikation + Priorisierung Incident-Bearbeitung 32

Security Incident Response am LRZ Beispiel Auswertung SIEM-Events (10.02.2011) External SSH-Attacker auf Destination 129.xxx.xxx.xxx Analyse der Log-Files SSH-Login von externer IP-Adresse erfolgreich Kennung test mit Passwort test123! Root-Exploit Installation einer Bot-Software Incident Aufnahme Klassifikation + Priorisierung Incident-Bearbeitung 33

Security Incident Response am LRZ Beispiel Lösung: Neuinstallation des Systems! Abschluß (PIR): Bei dieser Art von Vorfall zukünftig: Incident Aufnahme Klassifikation + Priorisierung Incident-Bearbeitung Incident-Lösung Automatisches Blocking Incident-Abschluß 34

Praktische Erfahrungen 2010: Insgesamt 935 Vorfälle: 99,6 % automatisch! 35

Praktische Erfahrungen 2010: Kompromittierte Interne Systeme 36

Praktische Erfahrungen 2010: Kompromittierte Interne Systeme 37

Praktische Erfahrungen # Anzahl IP-Adressen in DFN-CERT AW-Meldungen 38

Praktische Erfahrungen Reaktionszeit 39

Fragen? Security Incident Response Prozess (SIR-Prozess) Manuelle Meldung Security- Monitoring DFN- CERT AW- Service Security Information & Event Management System 40

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback