Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
BalaBit syslog-ng Store Box Analyse digitaler "Spuren" im Netzwerk Martin Grauel [email_address] +49 170 8067 345
Agenda Mögliche Beweismittel in der IT-Forensik Logdaten und  IT-Forensik syslog-ng Store Box Problemlösungen SSB Log-Life...
IT-Forensik
Mögliche Beweismittel in der IT-Forensik <ul><li>Netzwerk-Forensik </li></ul><ul><ul><li>Analyse des Netzwerkverkehrs (IDS...
Logdaten und IT-Forensik <ul><li>Nahezu alle Betriebssysteme und Applikationen schreiben Logs für bestimmte Ereignisse … <...
syslog-ng Store Box <ul><li>Auf syslog-ng PE basierende (Soft-)Appliance zum hochperformanten Sammeln, Verarbeiten und Spe...
<ul><ul><li>Problem 1:  </li></ul></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung  von Logdaten </li></u...
Problemlösung 1: Zentrale Speicherung und sichere Übertragung
<ul><ul><li>Problem 2:  </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul>
Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted  publickey for root...
<ul><ul><li>Problem 3:  </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux:  Accepted publickey for admin from 10.1.1.1 port 2543...
Der gesamte SSB Log-Lifecycle ...
Alle Probleme gelöst? Wenn der Administrator das Logging auf dem  Client  abschaltet oder manipuliert, ... …  dann bleibt ...
…  hoffentlich eine  BalaBit  Shell Control Box !
Q & A Vielen Dank für Ihre Aufmerksamkeit ...
Nächste SlideShare
Wird geladen in …5
×

Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk

1.695 Aufrufe

Veröffentlicht am

Veranstaltung: 9. NETFOX Security Day, 27.05.2010, MEILENWERK Berlin. Präsentation durch BalaBit zum
Thema: Analyse digitaler “Spuren” im Netzwerk.

Veröffentlicht in: Technologie, Business
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Präsentation BalaBIt: Analyse digitaler Spuren im Netzwerk

  1. 1. BalaBit syslog-ng Store Box Analyse digitaler &quot;Spuren&quot; im Netzwerk Martin Grauel [email_address] +49 170 8067 345
  2. 2. Agenda Mögliche Beweismittel in der IT-Forensik Logdaten und IT-Forensik syslog-ng Store Box Problemlösungen SSB Log-Lifecycle
  3. 3. IT-Forensik
  4. 4. Mögliche Beweismittel in der IT-Forensik <ul><li>Netzwerk-Forensik </li></ul><ul><ul><li>Analyse des Netzwerkverkehrs (IDS, DNS, E-Mail Header, Honeypot-Systeme etc.) </li></ul></ul><ul><li>Dateisystem-Forensik </li></ul><ul><ul><li>Datenträgersicherung und Analyse </li></ul></ul><ul><li>Speicher-Forensik </li></ul><ul><ul><li>Sicherung und Analyse von Speicherinhalten </li></ul></ul>
  5. 5. Logdaten und IT-Forensik <ul><li>Nahezu alle Betriebssysteme und Applikationen schreiben Logs für bestimmte Ereignisse … </li></ul><ul><li>… doch wie steht es um die Integrität und Glaubwürdigkeit der Logdaten? </li></ul><ul><li>Es gibt ein paar Probleme </li></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung von Logdaten </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
  6. 6. syslog-ng Store Box <ul><li>Auf syslog-ng PE basierende (Soft-)Appliance zum hochperformanten Sammeln, Verarbeiten und Speichern von Lognachrichten </li></ul><ul><li>Sammelt Logs via syslog-”Standards” </li></ul><ul><li>Revisionssichere Speicherung der Logs und granulare Regelung der Zugriffe </li></ul><ul><li>Leistungsfähige Such- und Reportingmöglichkeiten </li></ul><ul><li>... </li></ul>
  7. 7. <ul><ul><li>Problem 1: </li></ul></ul><ul><ul><li>Dezentrale Speicherung und unsichere Übertragung von Logdaten </li></ul></ul>
  8. 8. Problemlösung 1: Zentrale Speicherung und sichere Übertragung
  9. 9. <ul><ul><li>Problem 2: </li></ul></ul><ul><ul><li>Manipulation von gesammelten Logdaten </li></ul></ul>
  10. 10. Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted publickey for root from 10.1.1.1 port 25436 ssh2 Indexierter Logstore
  11. 11. <ul><ul><li>Problem 3: </li></ul></ul><ul><ul><li>Sehr große Datenmengen </li></ul></ul>
  12. 12. Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux: Accepted publickey for admin from 10.1.1.1 port 25436 ssh2 Juniper: Password authentication successful for admin user 'Peter' at host 192.168.3.1. Fortigate: user=admin ui=GUI action=login status=success reason=none msg=&quot;User admin login accepted from GUI&quot; Alle Events aus Subnetz A Logstore A Ext. Analysesystem Failed Login Events Login/Logout-Events Logstore B
  13. 13. Der gesamte SSB Log-Lifecycle ...
  14. 14. Alle Probleme gelöst? Wenn der Administrator das Logging auf dem Client abschaltet oder manipuliert, ... … dann bleibt uns nicht viel mehr das Login-Event und eine Mühsame Suche in Speicher- und Diskabbildern … … oder ...
  15. 15. … hoffentlich eine BalaBit Shell Control Box !
  16. 16. Q & A Vielen Dank für Ihre Aufmerksamkeit ...

×