1 / 38

Bildiri Konusu

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması Akademik Bilişim Şubat 2006 Hakan Tağmaç htagmac@cisco.com Sistem Müh. Bildiri Konusu.

jocelyn-zimmerman
Download Presentation

Bildiri Konusu

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak DurdurulmasıAkademik BilişimŞubat 2006Hakan Tağmaçhtagmac@cisco.comSistem Müh.

  2. Bildiri Konusu • Günümüzde klasik veri toplama sunucuları çok yoğun ağ ve güvenlik bilgisi altında ezildiğinden ağda atak tespiti ve önlenmesi ciddi bir sorun haline gelmiştir. • Bu sorunu çözmek için genel eğilim sadece cihazlardan veri toplayan ve bunu depolayan sunucuların kullanılması yerine farklı üreticilere ait cihazlardan topladığı olaylar arasında ilişkilendirme yapan ve tehlike yaratmayan olaylar için yanlış alarmlar vermek yerine sadece etkili olabilecek atakları ilk planda gösteren cihazların kullanılması yönündedir. • Böylelikle atağa ait topolojinin anında görülmesi ve hızlı müdahale edilmesi olanaklı hale gelmektedir.

  3. Ajanda • Güvenliğin İzlenmesinde Karşılaşılan Zorluklar • Cisco MARS Teknolojisi (Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması) • Nasıl Çalışır? • MARS - Sasser-D • Demo

  4. Güvenliğin İzlenmesinde Karşılaşılan Zorluklar

  5. Ağ topolojileri, Milyonlarca veri!!! Oku ve Analiz Et Tekrar Et Güvenlik Operasyonları Her zaman çok geçtir Ağ Operasyonları Güvenlik Operasyonları • Aksiyon Adımları: • Alarm • İncele • Önle Sınır Güvenliği Win, UNIX Saldırı Tespit Cihazları Antivirüs Yönlendirici/Anahtar Kripto cihazları Kimlik Sorgulama Sunucuları Ağ tarayıcıları

  6.                  Virus Bulaşmış PC Defans Derinliğive Karmaşık Yapı  Alarmlar

  7. IPS Alarmları

  8. Firewall Kayıtları

  9. Cisco MARS Teknolojisi

  10. Nasıl Çalışır? • Ağ, güvenlik cihazları ve sunucular olaylarıCisco MARS'a gönderir. • Cisco Mars'ta toplanan olaylar ayrıştırılır ve normalleştirilir. • Olaylar biribiri ile ilişkilendirilip oturumlar belirlenir. • Kural motoru çalıştırlır (Düşürme Kuralları, Sistem Kuralları, Kullanıcı Kuralları) • Yanlış Alarm Analizleri Yapılır. • Şüpheli makina ve cihazlar için güvenlik açıkları değerlendirilmesi yapılır. • Trafik sınıflandırılması yapılır ve anormal durumlar istatiksel olarak belirlenir.

  11. MARS ve Sasser-D

  12. 2 1 4 6 5 SolucanlarTipik Atak Safhaları Infected station • Saldırıya Açık Makina Tespiti için Tarama • Saldırıya Açık Porta Saldırma • Shell Ekranı Ele Geçirme • Bir İşlem Başlatma • Atak Kodunu İndirme • Kodu çalıştır • Tekrar et Probing 3 Shell Launch Server Process 01001 01001

  13. Hızlı Yayılım – Sasser Solucanı 445 128 IP blokları halinde TCP/445e bağlanma ve OS tespiti için “SMB Banner” Elde Etmeye Çalışma May 1, 2004 “LSA exploit payload” gönderme 445 Port 9996 Ara Bellek Taşması sağlayacak kodu çalıştır ve komut “shell” ile port 9996 birbirine bağla port 9996’ya bağlan ve random_up.exe dosyasını indirip çalıştıracak “script” yolla. 9996 FTP Sunucu port 5554’de çalışmaya başlar. random_up.exe’nin FTP ile indirilmesi 5554 Not: Takip eden Korgo worm 6/2/04, “keystroke logger” programı kurar, bilgi çalarve uzaktan komut çalıştırılmasına imkan sağlar windows, registry’ye yazma Atağı yiyen makina çöker ve reload olur.

  14. Grafik Herşeyi Anlatıyor!

  15. Kritik Olaylar

  16. Ele Geçirilmiş Makinalar

  17. Atağın Durdurulması

  18. Demo

  19. Özet

  20. Ataklar

  21. Detaya Bakma

  22. Oturumun içindeki Olaylar

  23. Atak vektörü

  24. Atakların Durdurulması Durdurulacak cihaz DURDURMA

  25. Grafikler

  26. Cihaz Detayları MAC Adresi OS and SP

  27. Vektör Diyagramı

  28. Anormallikler: Belli portta gözlenen yoğun trafik Sorgulama Yapılabilir

  29. Problemlerin Kolay Çözülmesi Click “q” icon to get to the Query Page

  30. Raporlar teks Kural olarak kaydedilebilir

  31. Araştırma Can save as a rule

  32. Anormallikler: Belli portta gözlenen yoğun trafik

  33. Rapor Seçenekleri

  34. Kurallar

  35. Özet Yerine!

  36. Saldırı Tespit Sistemleri Saldırı Tespitinin Tüm Bileşenleri Merkezi Yönetim, Korelasyon ve Analiz Güvenlik Politikaları CSA Sınır Cisco ISR VMS, CS-MARS CSA PIX & ASA Servis Sağlayıcı Cisco Guard Servis Modülleri CSA Sınır Güvenliği Cisco IPS 4200 CSA Sıfır Gün Koruması DDoS ve Spoofing’in Durdurulması Saldırıların Durdurulması Sunucu Koruması

  37. Birleştir Bilgi Korelasyon Uygula TehditlerinDurdurulması Korelasyon Anormallik Tespiti Akıllı Aktivasyon IPS MC Birleştirme CS-MARS DTM Yönetimi Konfigurasyon Değişiklik Yöntetimi Alarmlar Gerekli imzaların Açılması

More Related