Heu im Nadelhaufen - SIEM mit Fakten und freier Software

Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Heu im Nadelhaufen - SIEM mit Fakten und freier
Software
René ’Lynx’ Pfeiffer
DeepSec GmbH
i https://deepsec.net/, k [email protected]
IT-SeCX 2015
Freitag, 6. November 2015
Fachhochschule St. Pölten.
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
SIEM? Loganalyse!
SIEM? Loganalyse!
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
SIEM? Loganalyse!
SIEM?
SIEM?
Loganalyse (vor 2005)
SIEM = Security Information and Event Management (nach 2005)
umfaßt Gesamtpaket mit
Datensammlung (Data Aggregation)
Korrelation (Correlation)
Alarmierung (Alerting)
Bedienoberflächen (Dashboards)
Compliance
Speicherung (Retention)
forensische Analyse (forensic analysis)
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
SIEM? Loganalyse!
Warum möchte man das?
Warum möchte man das?
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
SIEM? Loganalyse!
Vielleicht möchte man mehr sehen. . .
Vielleicht möchte man mehr sehen. . .
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
SIEM? Loganalyse!
Vorteile
Vorteile
Statistik
Erforschung Normal- und Ausnahmezustand
Archiv von Betriebsdaten für
Ursachenforschung bei Problemen
Zukunftsplanung
Erkennen von IT Security Ereignissen
Trends bei Angriffen
Isolierung von Quellen
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
SIEM? Loganalyse!
Sind Datenquellen bereits vorhanden?
Sind Datenquellen bereits vorhanden?
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Grundlegende Strategie
Grundlegende Strategie
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Grundlegende Strategie
Transport der Daten
Transport der Daten
Echtzeit? Periodisch?
rsyslog
Bulk Transfer (FTP, SCP, rsync, SMTP, . . .)
ØMQ (ZeroMQ)
Verschlüsselt!
Transaktionsbasiert?
Umgang mit abgebrochenen Transfers
richtiges Zählen von Logfiles
Rückhalteperiode (a.k.a. „Vorratsdatenspeicherung“)
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Prototyp
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Strategie Prototyp
Strategie Prototyp
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Vielversprechende Datenquellen
Vielversprechende Datenquellen
NetFlow™ Daten
OpenVPN™ Server
OpenSSH Server
Postfix SMTP Server
Suricata (Intrusion Detection System)
Alerts
Blocked Hosts
TLS Zertifikate
Ergänzung: HTTP/HTTPS Proxy Server
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
NetFlow™ / IPFIX
NetFlow™ / IPFIX
NetFlow™ auf vielen Netzwerkkomponenten
Internet Protocol Flow Information Export (IPFIX) basiert auf
NetFlow™ v9
Sonden schicken an Kollektoren
fprobe, ntopng, NfSen, pflow, . . .
Nachschlagen von Netzwerkinformationen
Hilfe bei Recherche von Anomalien
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
NfSen (1)
NfSen (1)
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
NfSen (2)
NfSen (2)
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Log-Indikatoren für Probleme
Log-Indikatoren für Probleme
Authenticate/Decrypt packet error
Connection refused
Failed password for
Invalid user
lost connection
NOQUEUE
TLS error
WARNING: Bad encapsulated packet length from
peer
Herausforderung: Finden von relevanten Meldungen.
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Suricata to the Rescue
Suricata to the Rescue
Suche nach offensichtlichen Fehlern in Logs
Abwälzen des Rests auf Intrusion Detection Engine
Suricata (Snort Nachfolger)
Basisset von Rules (Snort & Emerging Threats)
frei konfigurierbar
Suricata Alerts extrahieren
detektierte TLS Zertifikate extrahieren
Suricata bietet noch weitere Logdaten an (DNS, Files, . . .)
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Datenbank - NoSQL?
Datenbank - NoSQL?
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Datenbank - PostgreSQL
Datenbank - PostgreSQL
aufbereitete Logs werden in Tabellen sortiert
Tabellen enthalten Rohdaten des übersetzten Eintrags
möglich wenn nicht „zuviele“Daten
alternativ per Referenz auslagern
Datenbank ist Basis für Auswertungen
leichte Verknüpfungen von Daten
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
SQL Struktur
SQL Struktur
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Praktisches Beispiel: OpenVPN™ Zertifikate
Praktisches Beispiel: OpenVPN™ Zertifikate
OpenVPN™ mit X.509 Zertifikaten
Config hat Schlüssel, Zertifikat und Passwort (optional)
Suche in den Logs name Common Name
Extraktion Zeitstempel Key Negotiation
Darstellung der Verwendung als iCal
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Prototyp
Praktisches Beispiel: OpenVPN™ Kalender
Praktisches Beispiel: OpenVPN™ Kalender
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Zusammenfassung
Zusammenfassung
Logananalyse SIEM mit Freier Software ist möglich.
Logdaten müssen ohnehin aufbereitet/archiviert werden.
In-house Lösungen sind dichter an den eigenen Problemen.
NetFlow™ / IPFIX / Suricata wichtige Bausteine.
FOSS Projekte in diesem Bereich verfügbar (Logstash, Graylog, . . .)
Wer keine Fragen stellen kann, benötigt ohnehin dringend Hilfe.
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Fragen?
Fragen?
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Kontakt
Über die DeepSec
Die DeepSec GmbH veranstaltet seit 2007 jährlich im November die
DeepSec In-Depth Security Conference in Wien. Die DeepSec bringt als
neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum
Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und
Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die
Hacker-Community in über 42 Vorträgen und Workshops die Chance, sich
über die aktuellen und zukünftigen Sicherheitsthemen auszutauschen. Die
Konferenz möchte insbesondere dem verbreiteten Vorurteil entgegen wirken,
dass Hacker zwangsläufig Kriminelle sind.
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Kontakt
Über den Autor
René Pfeiffer ist selbstständiger Systemadministrator und Vortragender an der Fachhochschule Technikum
Wien im Bereich Computer- und Datensicherheit. Mit über 15 Jahren Berufs- und 30 Jahren
Computererfahrung sowie einem akademischen Hintergrund in theoretischer Physik verbindet er in
Schulungen und Projekten erfolgreich Theorie und Praxis.
Seine Themenschwerpunkte liegen im Bereich IT Administration, Aufbau sicherer Infrastrukturen
(Host-/Netzwerkbereich), sichere Kommunikation in Organisationen und Infrastruktur (VPN Technologien,
Nachrichtensysteme), Wireless Security, technische Dokumentation, Betreuung von Forschungsarbeiten in
der IT Security, technischem Auditing und Evaluierung von Software.
Herr Pfeiffer hält seit 2000 jährlich Fachvorträge und Schulungen auf Tagungen und Seminaren (Institute for
International Research (I.I.R.), Business Circle, Confare, Linuxwochen Österreich, SAE Institute Wien,
DeepSec In-Depth Security Conference, Bundesverband Sicherheitspolitik an Hochschulen,
Kundenveranstaltungen).
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Kontakt
Kontakt
i https://deepsec.net/
i https://deepintel.net/
k [email protected]
k [email protected]
H +43.676.5626390 (Threema, TextSecure & RedPhone)
Videos http://www.vimeo.net/deepsec
ý https://twitter.com/deepsec
Heu im Nadelhaufen - SIEM mit Fakten und freier Software
Kontakt
Quellenverzeichnis
Bild eines Heuhaufens (Cover), Wikipedia.
Bild regnerischer Küste, Orkan, Misthaufen, Katze im Vogelhaus,
Wikipedia.