A session monitoringról Kiket? Miért? Hogyan? Höltzl Péter, peter.holtzl@balabit.com
Mi az a PAM? Privileged Access Monitoring A távmenedzsment protokollok térfigyelő kamerája Adminsztrátori tevékenység: SSH/Telnet RDP/Citrix/VNC Ma már nem minden esetben igaz a "P"
Milyen kimenetre számíthatunk? Syslog Meta adatok Audit trail != video
További elvárt funkciók Time control UID control Authentication method control Channel (parameter) control
Elérhető technológiák Agentek Snifferek Jump-hostok Proxyk
Az Agent technológia A szerverekre telepített kütyü A kernel vagy az alkalmazás "mély" modosítása Problémás pontok: Provisioning Hová kerülnek az adatok? Az admin ki is kapcsolhatja Garanciális kérdések
A sniffer technológia Mirror porton egy poloska:-) Problémás pontok: Rejtjelezett protokollok kezelése? (kb mind az) Beavatkozás? (Max spoofolt RST)
A jump-host technológia Dedikált beléptető rendszer Elérés valamilyen egyéb módon Porblémás pontok: A kliens alkalmazás a jump-hoston fut Nincs natív kliens támogatás Hiányos funkcionalitás (pl. File transzerek SCP, SFTP)
A proxy technológia Prokokoll proxy Teljes protokoll elemzés Teljeskörű beavatkozás Lehet jump-host, lehet router, akár egyszerre is Problémás pontok: Tipikusan fejlesztői szempotok Prokokoll inkompatibilitás (új verziók stb)
Miért proxy? Ez volt kéznél! :-D Ez adja a lehető legteljesebb funkcionalitást Van segregation of duty, ami pl az agentnél nincs Van natív kliens támogatás
További PAM funkciók UID mapping Channel monitoring Gateway authentication Credential store (Password vault) 4-eye
Höltzl Péter, peter.holtzl@balabit.com Köszönöm a figyelmet! Höltzl Péter, peter.holtzl@balabit.com