A session monitoringról

Az előadások a következő témára: "A session monitoringról"— Előadás másolata:

1 A session monitoringról
Kiket? Miért? Hogyan? Höltzl Péter,

2 Mi az a PAM? Privileged Access Monitoring
A távmenedzsment protokollok térfigyelő kamerája Adminsztrátori tevékenység: SSH/Telnet RDP/Citrix/VNC Ma már nem minden esetben igaz a "P"

3 Milyen kimenetre számíthatunk?
Syslog Meta adatok Audit trail != video

4 További elvárt funkciók
Time control UID control Authentication method control Channel (parameter) control

5 Elérhető technológiák
Agentek Snifferek Jump-hostok Proxyk

6 Az Agent technológia A szerverekre telepített kütyü
A kernel vagy az alkalmazás "mély" modosítása Problémás pontok: Provisioning Hová kerülnek az adatok? Az admin ki is kapcsolhatja Garanciális kérdések

7 A sniffer technológia Mirror porton egy poloska:-) Problémás pontok:
Rejtjelezett protokollok kezelése? (kb mind az) Beavatkozás? (Max spoofolt RST)

8 A jump-host technológia
Dedikált beléptető rendszer Elérés valamilyen egyéb módon Porblémás pontok: A kliens alkalmazás a jump-hoston fut Nincs natív kliens támogatás Hiányos funkcionalitás (pl. File transzerek SCP, SFTP)

9 A proxy technológia Prokokoll proxy Teljes protokoll elemzés
Teljeskörű beavatkozás Lehet jump-host, lehet router, akár egyszerre is Problémás pontok: Tipikusan fejlesztői szempotok Prokokoll inkompatibilitás (új verziók stb)

10 Miért proxy? Ez volt kéznél! :-D
Ez adja a lehető legteljesebb funkcionalitást Van segregation of duty, ami pl az agentnél nincs Van natív kliens támogatás

11 További PAM funkciók UID mapping Channel monitoring
Gateway authentication Credential store (Password vault) 4-eye

12 Höltzl Péter, peter.holtzl@balabit.com
Köszönöm a figyelmet! Höltzl Péter,