Windows 2000 biztonság a gyakorlatban Pusztai László vezető konzulens Microsoft Magyarország.

Az előadások a következő témára: "Windows 2000 biztonság a gyakorlatban Pusztai László vezető konzulens Microsoft Magyarország."— Előadás másolata:

1 Windows 2000 biztonság a gyakorlatban Pusztai László vezető konzulens Microsoft Magyarország

2 Napirend A Duwamish Online Az eset A nyomozás Konzekvenciák és felkészülés

3 A Duwamish Online Alkalmazás- logika (COM+) SQL Server IIS 5 Tűzfal

4 Hálózati diagram 20,80,443minden

5 Napirend A Duwamish Online Az eset A nyomozás Konzekvenciák és felkészülés

6 Az eset Megváltozott a cég honlapja A rendszergazdák körbenéztek –Változott HTML fájlok –„Ismeretlen” fájlok a /scripts és a %temp% könyvtárakban A cégvezetés gyanítja, hogy adatok kerültek ki a háttérrendszerből

7 Feladatok A lehető legtöbb információt gyűjteni –Ki, mikor, honnan, hogyan változtatta meg a honlapot –Történtek-e a rendszerben egyéb változások (pl. trójai programok kerültek-e beágyazásra) –Az adatok alapján további intézkedések legyenek foganatosíthatók Információt szolgáltatni a vezetésnek arról, hogy a háttérrendszerből kerültek-e ki üzleti adatok Visszaállítani a rendszer normális működését Megfelelő biztonsági hotfix-eket és eszközöket telepíteni

8 Napirend A Duwamish Online Az eset A nyomozás Konzekvenciák és felkészülés

9 A nyomozás Bizonyítékok (naplók, módosított lapok, végrehajtható állományok) archiválása –Gyorsan vissza kell állítani a normális működést, így nincs mód online vizsgálódni –Gyalu…...restore… Vagy image... Az esemény időpontjának lehető legpontosabb meghatározása –A naplók előfeldolgozása –Fájl-dátumok vizsgálata

10 Mit mesélnek a bizonyítékok? Naplófájlok részletes elemzése –Koordináltan történik az összes naplóra nézve –Az események menetét fel kell térképezni –Rögzíteni a fix pontokat, és hipotézist állítani fel rájuk –Ellenőrizni a hipotézist

11 Bizonyítékokat gyűjteni Naplók mentése (tűzfal, web, eventlog) dir /s /b – majd a frissiben odakerült, szokatlan fájlokról mentés (baseline alapján) tlist /t – majd az összes futtatott image-ről mentés (debugging toolkit) sfind – majd az eredmény fájlokról mentés (NTFS-re!, Foundstone) fport – majd rögzíteni a nyitott csatornák célcímeit (Foundstone)

12 Kirakósjáték Tűzfal naplók: port scan nyomai IIS naplók: a port scan napján készült log „felülíródott” az előző napival Fájlok: az ntvdm.exe nevesített adatfolyamában ül egy nc.com –Aki ráadásul kifelé egy ismeretlen gép 53-as portjával tart fenn TCP kapcsolatot –A cél IP cím pedig megegyezik a port scan- ban szereplő forráscímmel -- BINGO

13 Kirakósjáték Kérdés még: mi a helyzet az adatokkal? A következő jelek utalnak az SQL kompromittálódására: –isql.exe vagy osql.exe image a gépen (akár átnevezve is) –Routolt NBT kapcsolat kifelé (139-es port, fport vagy rinetd segítségével) –Sikertelen logon kérések az SQL felé ntllast -f (Foundstone) –Sikeres logon kérések az SQL felé kívülről routolva netstat -a

14 Napirend A Duwamish Online Az eset A nyomozás Konzekvenciák és felkészülés

15 Konzekvenciák Elkéstünk – most a támadó volt gyorsabb A belülről kifelé irányuló forgalmat is szűrni és naplózni kell a tűzfalon A hacker célja: –azonosítani és megtámadni a hálózat csatlakozási pontjait Az üzemeltető célja: –azonosítani a biztonsági lyukakat és megszüntetni őket 20,80,443 minden

16 Felkészülés Aktuális security hotfixek telepítése Audit napló átkonfigurálása (ftp, tftp és cmd auditja), hogy leközelebb részletesebb adatokat kaphassunk Olvasni, olvasni, olvasni –http://www.microsoft.com/technet/securityhttp://www.microsoft.com/technet/security –http://www.securiteam.com/windowsntfocushttp://www.securiteam.com/windowsntfocus –http://www.foundstone.comhttp://www.foundstone.com –http://www.ntbugtraq.comhttp://www.ntbugtraq.com –http://razor.bindview.comhttp://razor.bindview.com

17 Kérdések és válaszok Mikor ellenőrzited utoljára a szervered ?