Heu Im Nadelhaufen - Siem Mit Fakten Und Freier Software

Transcript

Heu im Nadelhaufen - SIEM mit Fakten und freier Software Heu im Nadelhaufen - SIEM mit Fakten und freier Software René ’Lynx’ Pfeiffer DeepSec GmbH i https://deepsec.net/, k [email protected] IT-SeCX 2015 Freitag, 6. November 2015 Fachhochschule St. Pölten. Heu im Nadelhaufen - SIEM mit Fakten und freier Software SIEM? Loganalyse! SIEM? Loganalyse! Heu im Nadelhaufen - SIEM mit Fakten und freier Software SIEM? Loganalyse! SIEM? SIEM? Loganalyse (vor 2005) SIEM = Security Information and Event Management (nach 2005) umfaßt Gesamtpaket mit Datensammlung (Data Aggregation) Korrelation (Correlation) Alarmierung (Alerting) Bedienoberflächen (Dashboards) Compliance Speicherung (Retention) forensische Analyse (forensic analysis) Heu im Nadelhaufen - SIEM mit Fakten und freier Software SIEM? Loganalyse! Warum möchte man das? Warum möchte man das? Heu im Nadelhaufen - SIEM mit Fakten und freier Software SIEM? Loganalyse! Vielleicht möchte man mehr sehen. . . Vielleicht möchte man mehr sehen. . . Heu im Nadelhaufen - SIEM mit Fakten und freier Software SIEM? Loganalyse! Vorteile Vorteile Statistik Erforschung Normal- und Ausnahmezustand Archiv von Betriebsdaten für Ursachenforschung bei Problemen Zukunftsplanung Erkennen von IT Security Ereignissen Trends bei Angriffen Isolierung von Quellen Heu im Nadelhaufen - SIEM mit Fakten und freier Software SIEM? Loganalyse! Sind Datenquellen bereits vorhanden? Sind Datenquellen bereits vorhanden? Heu im Nadelhaufen - SIEM mit Fakten und freier Software Grundlegende Strategie Grundlegende Strategie Heu im Nadelhaufen - SIEM mit Fakten und freier Software Grundlegende Strategie Transport der Daten Transport der Daten Echtzeit? Periodisch? rsyslog Bulk Transfer (FTP, SCP, rsync, SMTP, . . .) ØMQ (ZeroMQ) Verschlüsselt! Transaktionsbasiert? Umgang mit abgebrochenen Transfers richtiges Zählen von Logfiles Rückhalteperiode (a.k.a. „Vorratsdatenspeicherung“) Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Prototyp Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Strategie Prototyp Strategie Prototyp Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Vielversprechende Datenquellen Vielversprechende Datenquellen NetFlow™ Daten OpenVPN™ Server OpenSSH Server Postfix SMTP Server Suricata (Intrusion Detection System) Alerts Blocked Hosts TLS Zertifikate Ergänzung: HTTP/HTTPS Proxy Server Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp NetFlow™ / IPFIX NetFlow™ / IPFIX NetFlow™ auf vielen Netzwerkkomponenten Internet Protocol Flow Information Export (IPFIX) basiert auf NetFlow™ v9 Sonden schicken an Kollektoren fprobe, ntopng, NfSen, pflow, . . . Nachschlagen von Netzwerkinformationen Hilfe bei Recherche von Anomalien Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp NfSen (1) NfSen (1) Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp NfSen (2) NfSen (2) Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Log-Indikatoren für Probleme Log-Indikatoren für Probleme Authenticate/Decrypt packet error Connection refused Failed password for Invalid user lost connection NOQUEUE TLS error WARNING: Bad encapsulated packet length from peer Herausforderung: Finden von relevanten Meldungen. Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Suricata to the Rescue Suricata to the Rescue Suche nach offensichtlichen Fehlern in Logs Abwälzen des Rests auf Intrusion Detection Engine Suricata (Snort Nachfolger) Basisset von Rules (Snort & Emerging Threats) frei konfigurierbar Suricata Alerts extrahieren detektierte TLS Zertifikate extrahieren Suricata bietet noch weitere Logdaten an (DNS, Files, . . .) Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Datenbank - NoSQL? Datenbank - NoSQL? Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Datenbank - PostgreSQL Datenbank - PostgreSQL aufbereitete Logs werden in Tabellen sortiert Tabellen enthalten Rohdaten des übersetzten Eintrags möglich wenn nicht „zuviele“Daten alternativ per Referenz auslagern Datenbank ist Basis für Auswertungen leichte Verknüpfungen von Daten Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp SQL Struktur SQL Struktur Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Praktisches Beispiel: OpenVPN™ Zertifikate Praktisches Beispiel: OpenVPN™ Zertifikate OpenVPN™ mit X.509 Zertifikaten Config hat Schlüssel, Zertifikat und Passwort (optional) Suche in den Logs name Common Name Extraktion Zeitstempel Key Negotiation Darstellung der Verwendung als iCal Heu im Nadelhaufen - SIEM mit Fakten und freier Software Prototyp Praktisches Beispiel: OpenVPN™ Kalender Praktisches Beispiel: OpenVPN™ Kalender Heu im Nadelhaufen - SIEM mit Fakten und freier Software Zusammenfassung Zusammenfassung Logananalyse SIEM mit Freier Software ist möglich. Logdaten müssen ohnehin aufbereitet/archiviert werden. In-house Lösungen sind dichter an den eigenen Problemen. NetFlow™ / IPFIX / Suricata wichtige Bausteine. FOSS Projekte in diesem Bereich verfügbar (Logstash, Graylog, . . .) Wer keine Fragen stellen kann, benötigt ohnehin dringend Hilfe. Heu im Nadelhaufen - SIEM mit Fakten und freier Software Fragen? Fragen? Heu im Nadelhaufen - SIEM mit Fakten und freier Software Kontakt Über die DeepSec Die DeepSec GmbH veranstaltet seit 2007 jährlich im November die DeepSec In-Depth Security Conference in Wien. Die DeepSec bringt als neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in über 42 Vorträgen und Workshops die Chance, sich über die aktuellen und zukünftigen Sicherheitsthemen auszutauschen. Die Konferenz möchte insbesondere dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind. Heu im Nadelhaufen - SIEM mit Fakten und freier Software Kontakt Über den Autor René Pfeiffer ist selbstständiger Systemadministrator und Vortragender an der Fachhochschule Technikum Wien im Bereich Computer- und Datensicherheit. Mit über 15 Jahren Berufs- und 30 Jahren Computererfahrung sowie einem akademischen Hintergrund in theoretischer Physik verbindet er in Schulungen und Projekten erfolgreich Theorie und Praxis. Seine Themenschwerpunkte liegen im Bereich IT Administration, Aufbau sicherer Infrastrukturen (Host-/Netzwerkbereich), sichere Kommunikation in Organisationen und Infrastruktur (VPN Technologien, Nachrichtensysteme), Wireless Security, technische Dokumentation, Betreuung von Forschungsarbeiten in der IT Security, technischem Auditing und Evaluierung von Software. Herr Pfeiffer hält seit 2000 jährlich Fachvorträge und Schulungen auf Tagungen und Seminaren (Institute for International Research (I.I.R.), Business Circle, Confare, Linuxwochen Österreich, SAE Institute Wien, DeepSec In-Depth Security Conference, Bundesverband Sicherheitspolitik an Hochschulen, Kundenveranstaltungen). Heu im Nadelhaufen - SIEM mit Fakten und freier Software Kontakt Kontakt i https://deepsec.net/ i https://deepintel.net/ k [email protected] k [email protected] H +43.676.5626390 (Threema, TextSecure & RedPhone) Videos http://www.vimeo.net/deepsec ý https://twitter.com/deepsec Heu im Nadelhaufen - SIEM mit Fakten und freier Software Kontakt Quellenverzeichnis Bild eines Heuhaufens (Cover), Wikipedia. Bild regnerischer Küste, Orkan, Misthaufen, Katze im Vogelhaus, Wikipedia.