Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk

1.594 Aufrufe

Veröffentlicht am

Veranstaltung: 9. NETFOX Security Day, 27.05.2010, MEILENWERK Berlin. Präsentation durch BalaBit zum
Thema: Analyse digitaler “Spuren” im Netzwerk.

Veröffentlicht in: Technologie, Business
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.594
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
11
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Datenspeicher werden immer größer Verschiedene Devices beteiligt (Server, Laptops, Mobile etc.)
  • Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk

    1. 1. BalaBit syslog-ng Store Box Analyse digitaler "Spuren" im Netzwerk Martin Grauel [email_address] +49 170 8067 345
    2. 2. Agenda Mögliche Beweismittel in der IT-Forensik Logdaten und IT-Forensik syslog-ng Store Box Problemlösungen SSB Log-Lifecycle
    3. 3. IT-Forensik
    4. 4. Mögliche Beweismittel in der IT-Forensik <ul><li>Netzwerk-Forensik </li></ul><ul><ul><li>Analyse des Netzwerkverkehrs (IDS, DNS, E-Mail Header, Honeypot-Systeme etc.) </li></ul></ul><ul><li>Dateisystem-Forensik </li></ul><ul><ul><li>Datenträgersicherung und Analyse </li></ul></ul><ul><li>Speicher-Forensik </li></ul><ul><ul><li>Sicherung und Analyse von Speicherinhalten </li></ul></ul>
    5. 5. Logdaten und IT-Forensik <ul><li>Nahezu alle Betriebssysteme und Applikationen schreiben Logs für bestimmte Ereignisse … </li></ul><ul><li>… doch wie steht es um die Integrität und Glaubwürdigkeit der Logdaten? </li></ul><ul><li>Es gibt ein paar Probleme </li></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung von Logdaten </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
    6. 6. syslog-ng Store Box <ul><li>Auf syslog-ng PE basierende (Soft-)Appliance zum hochperformanten Sammeln, Verarbeiten und Speichern von Lognachrichten </li></ul><ul><li>Sammelt Logs via syslog-”Standards” </li></ul><ul><li>Revisionssichere Speicherung der Logs und granulare Regelung der Zugriffe </li></ul><ul><li>Leistungsfähige Such- und Reportingmöglichkeiten </li></ul><ul><li>... </li></ul>
    7. 7. <ul><ul><li>Problem 1: </li></ul></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung von Logdaten </li></ul></ul>
    8. 8. Problemlösung 1: Zentrale Speicherung und sichere Übertragung
    9. 9. <ul><ul><li>Problem 2: </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul>
    10. 10. Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted publickey for root from 10.1.1.1 port 25436 ssh2 Indexierter Logstore
    11. 11. <ul><ul><li>Problem 3: </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
    12. 12. Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux: Accepted publickey for admin from 10.1.1.1 port 25436 ssh2 Juniper: Password authentication successful for admin user 'Peter' at host 192.168.3.1. Fortigate: user=admin ui=GUI action=login status=success reason=none msg=&quot;User admin login accepted from GUI&quot; Alle Events aus Subnetz A Logstore A Ext. Analysesystem Failed Login Events Login/Logout-Events Logstore B
    13. 13. Der gesamte SSB Log-Lifecycle ...
    14. 14. Alle Probleme gelöst? Wenn der Administrator das Logging auf dem Client abschaltet oder manipuliert, ... … dann bleibt uns nicht viel mehr das Login-Event und eine Mühsame Suche in Speicher- und Diskabbildern … … oder ...
    15. 15. … hoffentlich eine BalaBit Shell Control Box !
    16. 16. Q & A Vielen Dank für Ihre Aufmerksamkeit ...

    ×