Hogyan (mivel és mit) naplózzunk?

Az előadások a következő témára: "Hogyan (mivel és mit) naplózzunk?"— Előadás másolata:

1 Hogyan (mivel és mit) naplózzunk?
Győri Gábor Terméktámogatási tanácsadó

2 Miért kell a naplózás? Proaktív Reaktív Bizonyíték

3 Monitorozás Megmutatja a normálistól eltérő vagy gyanús viselkedést
Házirend a monitorozásra: Normál működés (Baseline) Auditálandó objektumok Események Eseménynapló kezelése Monitorozási technológiák Kihatások a rendszerre

4 Beépített eszközök Eseménynapló (auditálás) Performance Monitor
Simple Network Management Protocol (SNMP) Windows Management Instrumentation (WMI)

5 Eseménynapló Event Viewer Események elemzése Mérete Helye
Felülírásra vonatkozó beállítások Crash on Audit Fail Események elemzése Shutdown Event Tracker (W2K3, XP) Uptime.exe Q (NT4 SP4+, W2K)

6 Az Audit Policy monitorozása
A security policyt az LSA kontrollálja Figyeljük az audit policy változásait Okozhatja rosszindulatú adminisztrátor is Felhasználó alapú monitorozás A Naming Context gyökerében állítsuk be az audit policyt

7 Process és alkalmazás monitorozás – csak ha indokolt
Process Tracking Process ID Rengeteg eseményt generál Alkalmazás Alkalmazás napló (Event logban) Az alkalmazás saját naplói

8 Objektumok monitorozása
Auditálás – objektum és hozzáférés alapú Objektumok, amiket érdemes figyelni: Files and Directories Registry Services Kernel Objects Directory Services Objects Printers Handles Hozzáférési kísérletek

9 A felhasználói tevékenység monitorozása
Logon Account Logon Account Lockout Privilege Use (felhasználói jogok)

10 Az Administrative Authority monitorozása
Felhasználói adatok kezelése Directory Services hozzáférés A SAM alacsony szintű monitorozása

11 EventCombMT

12 LogParser SQL tábla feltöltése lekérdezés és elemzés céljából

13 Intrusion Detection Feldolgozásigényes
Footprinting (szerver és hálózat) Jellemzők Események figyelése Események gyűjtése és elemzése Válaszreakciók Szignatúrák Riasztások Honeypot - Virtual PC Feldolgozásigényes Néha „farkast kiált” Más gyanús jelek Növekszik a hálózati forgalom Több rossz csomag Hamisított csomagok Váratlan rebootok Például: snort

14 Internet Security & Acceleration Server
Az jól ismert biztonsági résekre odafigyel IP szint Windows out-of-band Land attack Ping of death Port scan IP half scan UDP bomb Alkalmazás szint DNS DNS hostname overflow DNS length overflow DNS zone transfer from privileged ports (1-1024) DNS zone transfer from high ports (above 1024) POP

15 Security Management eszközök
Elemzés Microsoft Baseline Security Analyser (MBSA) Systems Management Server (SMS) Software Update Services Feature Pack Microsoft Software Update Services (MSUS) Security Configuration and Analysis snap-in RSoP Management Group Policy Management Console (GPMC) Microsoft Operations Manager (MOM) Systems Management Server (SMS) Software Update Feature Pack Microsoft Software Update Services (MSUS) ISA Server

16 Olvasnivalók Windows 2000 Server: Windows XP: Best Practices for Enterprise Security Securing Windows 2000 Server- Auditing and Intrusion Detection ”CSI/FBI Computer Crimes and Security Survey 2003”, available from The Computer Security Institute: The SANS Institute (System Administration, Networking, and Security) Institute: The 10 Immutable Laws of Security: