File di log: importanza e analisi Seconda parte Yvette ‘vodka’ Agostini Valerio ‘Hypo’ Verde

Slides:



Advertisements
Presentazioni simili
Tecnologie Internet di comunicazione
Advertisements

Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Linguaggio R Raffaele Miele Dipartimento di Matematica e Statistica Università degli Studi di Napoli Federico II
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
La riduzione dei privilegi in Windows
Installazione di Apache 2, PHP5, MySQL 5
Webb.it 2002 Fabio Busatto Linux Startup: configurazione sicura post installazione
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Sistemi Operativi Menù: 1) Introduzione al sistema operativo
Connessione con MySQL.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
NESSUS.
Secure Shell Giulia Carboni
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Architettura del World Wide Web
Posta elettronica ( ) chiocciola" comunemente letta at Identificativo dellutente Identificativo del computer centrale sul quale risiede.
Gestione di Progetti Software 2 (A.A. 2004/2005) - Lezione 2 1 JAVA: obiettivi di progetto del linguaggio Nota storica: Il linguaggio JAVA (inizialmente.
Carotenuto Raffaele Distante Federico Picaro Luigi
2) Sistemi operativi Lab. Calc. AA2004/05 - cap.2.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
ASP Lezione 1 Concetti di base. Introduzione ad ASP ASP (che è la sigla di Active Server Pages) è un ambiente di programmazione per le pagine web. La.
Corso di PHP.
Progetto di una architettura per lesecuzione distribuita e coordinata di azioni Progetto per lesame di Reti di Calcolatori L-S Prof. Antonio Corradi Finistauri.
E. Ferro / CNAF / 14 febbraio /13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.
Corso di Informatica per Giurisprudenza Lezione 7
GIADA O N L I N E.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
1 Installazione da rete Introduzione Configurazione del server NFS Cosa serve sul client Configurazione kickstart.
Guida IIS 6 A cura di Nicola Del Re.
Dematerializzazione del servizio fax
Monitoraggio Pratiche Didattiche della provincia di Reggio Calabria Copyright©2007 Dargal.it. E' vietata la riproduzione anche parziale e.
L’applicazione integrata per la gestione proattiva delle reti IT
HTML Lezione 5 Immagini. URL Un Uniform Resource Locator o URL (Localizzatore di risorsa uniforme) è una sequenza di caratteri che identifica univocamente.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
1 w w w. g a t 4. c o m WI GAT WebIngelligence rappresenta una piattaforma funzionale e tecnologica per la creazione e gestione di un datawarehouse che.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
WEB: Progetto: Documentazione: Soluzioni per video streaming.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Il Server web Laboratorio di Progettazione Web AA 2007/2008
Backup and Migrate, Captcha ReCaptcha e Spamicide Docente: Simone Zambenedetti. Moduli per la Sicurezza.
BIOINFO3 - Lezione 321 ACCESSO REMOTO AL SERVER SIBILLA Attraverso Internet è possibile accedere al server sibilla.cribi.unipd.it. Potrete così effettuare.
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
Reti di calcolatori LS Manni Tiziano  IT e nuovi scenari applicativi …  … portabilità dei dati …  … condivisione dati …  … disponibilità.
L’architettura a strati
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
FTP File Transfer Protocol
Attivazione protocollo SSL al sistema di posta elettronica
Formattazione, Partizioni e dischi
Attivazione protocollo SSL al sistema di posta elettronica Secure Sockets Layer (SSL) è un protocollo crittografico che permette una comunicazione sicura.
Creato da Riccardo Nuzzone
Francesco M. Taurino 1 NESSUS IL Security Scanner.
OSSEC HIDS, Host Based Intrusion Detection System
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Progetto e Realizzazione di un servizio di Chat Progetto di: Nicoli Leonardo Corso di: Reti di Calcolatori L-S.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
Gestione Sicura dei Dati
Manuale Utente – i-Sisen Questionario dei Consumi
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
II PROVA Svolgimento tramite protocollo ISO/OSI. I LIVELLO : LIVELLO FISICO Scelta del mezzo fisico; tenere conto degli standard IEEE Procedura di codifica.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

File di log: importanza e analisi Seconda parte Yvette ‘vodka’ Agostini Valerio ‘Hypo’ Verde

Secure Remote Log Server Introduzione DIFFUSIONE INTERNET BANDA LARGA COSTI RIDOTTI AUMENTO LIVELLO MEDIO KNOWLEDGE +++ INCREMENTO DI HACKERS CRACKERS SCRIPT KIDDIES

Secure Remote Log Server Introduzione Chi si occupa della sicurezza di una rete o dell’amministrazione dei server DEVE poter tracciare : intrusioni andate a buon fine tentate intrusioni modifiche fatte dall’attacker al sistema violato Il tracciamento dell’attività avviene anche e soprattutto tramite un analisi approfondita dei log di sistema, e quindi bisogna essere sicuri che i log siano validi e non siano stati modificati in alcun modo In realtà quello che si vuole è una copia che sia sempre valida dei log, anche se venissero modificati localmente, cosa che di solito un attacker fa, in caso di intrusioni andate a buon fine, con lo scopo di rimanere nascosti all’admin della macchina

Secure Remote Log Server Cosa è un log server L’utilizzo di un log server, ovvero una macchina che ha il solo e preciso compito di raccogliere i log di altre macchine, consente di avere una copia sicuramente valida dei log delle macchine che lo utilizzano In tal modo, anche se l’attacker può modificare i log sulla macchina locale, ci sarà una copia non modificabile dei log sulla macchina remota, che non può essere ( o meglio, non dovrebbe ) essere raggiunta dall’attacker Inoltre un sistema sicuro di remote logging, può migliorare e semplificare notevolmente la gestione centralizzata dei log di diverse macchine e anche l’analisi di eventuali intrusioni o tentativi di intrusione Avendo un unico centro di raccolta, diventa più semplice analisi real-time dei log report periodico delle attività delle macchine archiviazione e backup dei log

Secure Remote Log Server Installazione ideale Tutte le macchine da controllare devono inviare i log ad una macchina remota Semplifica l’amministrazione e il controllo delle macchine Rende vani i tentativi di un attacker di cancellare i log sulla macchina locale Inviare i log in maniera crittografata Avendo una struttura centralizzata, dobbiamo evitare che i log possano essere intercettati, perché potrebbero fornire troppe informazioni utili ad un attacker Il log server deve essere molto sicuro Il log server dovrebbe essere accessibile solo da console In nessun caso dovrebbe avere servizi aperti verso l’esterno I log sul log server devono essere organizzati Una buona organizzazione consente di minimizzare il tempo per controllare i log Non devo rischiare di perdere messaggi ( UDP vs TCP ) Occorre minimizzare il rischio di perdere messaggi a causa di una rete congestionata o picchi di messaggi provenienti da più macchine Invisibile ad un attacker La presenza di un log server remoto dovrebbe non essere visibile ad un attacker in modo tale da poter continuare a monitorarlo fino a decisione contraria

Secure Remote Log Server Cosa occorre Il nostro scopo è creare un secure remote log server e per farlo utilizzeremo syslog-ng e stunnel syslog-ng ci consente di gestire in maniera semplice i log provenienti da diversi host, ed è la scelta ideale per un log server Inoltre syslog-ng ci consente di inviare i log via TCP e non solo in UDP come syslogd, ed è quindi la scelta ideale anche per le macchine client Stunnel ci consente di creare un tunnel SSL tra la macchina client e il log server, impedendo ad un attacker di capire che cosa sta passando tra le due macchine NB Questa è una misura non definitiva, in quanto un attacker che abbia preso il controllo di una macchina, ha tutti gli strumenti per accorgersi che i log vengono inviati ad un log server

Secure Remote Log Server I client - libol Prepariamo la macchina client generica Effettuare il download delle libol necessarie a syslog-ng Estrarre l’archivio, compilare e installare le libol eseguendo./configure && make && make install In alternativa è possibile non installare le libol, compilandole solamente e specificando in fase di configure del syslog-ng il parametro --with-libol=/path/to/libol

Secure Remote Log Server I client - syslog-ng Effettuare il download di syslog-ng Estrarre l’archivio ed editare il file src/syslog-ng.h modificando la linea #define PATH_SYSLOG_NG_CONF /etc/syslog-ng/syslog-ng.conf in qualcosa di un poco più nascosto tipo #define PATH_SYSLOG_NG_CONF /etc/.conf/default.conf Il motivo per il quale modifichiamo da sorgente il file di configurazione, è quello di renderlo invisibile ad un ps. Compilare e installare eseguendo./configure && make && make install oppure nel caso non si siano installate le libol./configure --with-libol=/path/to/libok && make && make install

Secure Remote Log Server I client - /etc/services Editare il file /etc/services ed aggiungere : appsrv666/tcp appsrvs1666/tcp Sia i nomi che le porte sono del tutto arbitrarie. Usiamo un nome ed una porta non standard per lo stesso motivo per il quale abbiamo cambiato il file di configurazione di default di syslog- ng Se un attacker che riesce a violare la macchina, esegue un ps, vedrà un tunnel con indicate porte e nomi che magari gli faranno pensare ad un application server.

Secure Remote Log Server I client - configurazione di syslog-ng Eliminare syslog dagli script di startup Copiare lo startup script di syslog-ng ( contrib/init.d* ) Creare un file di configurazione di syslog-ng di base : options { use_fqdn(yes); keep_hostname(yes); use_dns(yes); long_hostnames(off); sync(3); log_file_size(300); }; source client-01 { unix-stream (“/dev/log”); internal(); }; destination local { file (“/var/log/syslog”); }; destination remote { tcp(“localhost” port(1666)); }; log { source(client-01); destination(local); }; log { source(client-01); destination(remote); }; In questa maniera TUTTI i messaggi verranno loggati in /var/log/syslog e inviati a stunnel

Secure Remote Log Server I client - configurazione di stunnel stunnel è un programma che consente di crittografare connessioni TCP arbitrarie tramite SSL, che si appoggia ad OpenSSL o SSLeay In particolare verrà utilizzato per poter inviare i messaggi di log tra la macchina client e la macchina server, in maniera sicura Syslog-ng locale Stunnel locale Stunnel remoto Syslog-ng remoto SSL

Secure Remote Log Server I client - configurazione di stunnel Per poter installare stunnel occorrerà avere, sulle macchine client e sulla macchina server, OpenSSL o oppure in alternativa SSLeay Effettuare il download di stunnel da [ Estrarre e installare stunnel come di consueto :./configure && make && make install Editare un file di init ( ad esempio rc.local ) per eseguire al boot stunnel -c -d :appsrv -r ip.log.server:appsrvs Questo comando lancia stunnel in client mode, ascoltando connessioni sull’host porta appsrv e rispedendole all’host ip.log.server porta appsrvs in modo crittografato

Secure Remote Log Server Il server - libol e syslog-ng Procediamo con il download e l’installazione delle libol e di syslog-ng come fatto con i client Usare un file di configurazione di base : options { use_fqdn(yes); sync(0); use_dns(yes); chain_hostnames(yes); keep_hostname(yes); log_fifo_size(1000);}; source locallog { unix-stream (“/dev/log”); internal(); }; source remotelog { tcp(ip(port(666) max-connections(10); }; destination local { file (“/var/log/syslog”); }; destination remote { file (“/var/log/syslog- remote/$HOST/$FACILITY” create_dirs(yes)); }; log { source(locallog); destination(local); }; log { source(remotelog); destination(remote); }; In questa maniera TUTTI i messaggi locali verranno loggati in /var/log/syslog e quelli remoti nella dir /var/log/syslog- remote/nomehost/nomefacility

Secure Remote Log Server Il server - configurazione di stunnel Anche per stunnel eseguiamo la configurazione come per i client Sul log server, stunnel gira in server mode, quindi occorrerà generare un certificato per stunnel Editare un file di init ( ad esempio rc.local ) per eseguire al boot stunnel -p /path/del/certificato -d ip.log.server:667 -r ip.log.server:666 Questo comando lancia stunnel in daemon mode, ascoltando connessioni sull’host porta appsrvs e rispedendole all’host ip.log.server porta appsrv in modo non crittografato

Contacts Per contattarci : Yvette “Vodka” Agostini Amodiovalerio “Hypo” Verde -

Greetings Greetings goes to : Tutta Sikurezza.org per la bella comunità Tutto blackhats.it per esistere Tutto s0ftpj perche’ non so perche’ Tutto il Webb.it per l’organizzazione ed il supporto …e naturalmente a chi ci ha seguito fin qui