4. SUSE ja tietoturva
”SUSE Linux Enterprise 11 meets the latest Linux
Foundation's Carrier Grade Linux 4.0 standard and is CGL
registered.”
”FIPS (Federal Information Processing Standard) 140-2
validation [...] certified by NIST (CMVP).”
”Common Criteria Certificate at Evaluation Assurance Level
EAL4, augmented by ALC_FLR.3 (EAL4+) for SUSE Linux
Enterprise Server 11 SP2 including KVM virtualization. ”
CC myös nimellä ISO/IEC 15408.
https://www.suse.com/security/certificates.html
7. Tietoturvahyökkäysyritysten
havaitseminen ja seuranta
Jos joku yrittää murtautua palvelimellesi,
huomaisitko asian?
Panostatko tietoturvaan satunnaisesti vai
suhteessa mitattuun uhkaan?
Voiko hyökkäysyrityksiä havaita ja tilastoida
automatisoidusti?
11. SSH-kirjautumisyrityksiä
Väärällä nimellä:
Nov 19 14:46:37 wp sshd[1680]: Invalid user eikukaan from 84.20.150.110
Nov 19 14:46:37 wp sshd[1680]: input_userauth_request: invalid user eikukaan [preauth]
Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): check pass; user unknown
Nov 19 14:46:43 wp sshd[1680]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110
Nov 19 14:46:45 wp sshd[1680]: Failed password for invalid user eikukaan
from 84.20.150.110 port 1024 ssh2
Nov 19 14:46:49 wp sshd[1680]: Connection closed by 84.20.150.110 [preauth]
12. Yrityksiä / väärä käyttäjätunnus
14 admin
5 operator
3 asfa
7 support
4 vyatta
3 aaa
7 info
4 test
2 tss
7 guest
4 seravo
2 nagios
6 ubnt
4 amy
2 magnos
6 pi
3 ruser
2 john
5 PlcmSpIp
3 oracle
2 jack
13. SSH-kirjautumisyrityksiä
Oikealla nimellä mutta väärällä salasanalla:
Nov 19 14:45:48 wp sshd[1675]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=84.20.150.110 user=tero
Nov 19 14:45:48 wp sshd[1675]: pam_ldap: error trying to bind as
user "uid=tero,ou=Users,dc=seravo,dc=fi" (Invalid credentials)
Nov 19 14:45:50 wp sshd[1675]: Failed password for tero
from 84.20.150.110 port 1158 ssh2
Nov 19 14:45:54 wp sshd[1675]: Connection closed by 84.20.150.110 [preauth]
14. Yrityksiä / oikea käyttäjätunnus
516 root
8 nobody
7 bin
1 zabbix
1 samuel
1 mysql
19. Pohdintaa
Kohdistuuko hyökkäys yhteen koneeseen?
Useaan samassa IP-avaruudessa?
Useaan saman verkkotunnuksen alatunnukseen?
Onko hyökkäyksellä tietty kohde?
21. Hyökkäysliikenteen määrä korreloi
yleisen liikennemäärän kanssa
1778 seravo.fi
176 www.mediakomppania.fi
168 coss.fi
58 tuijabrax.fi
(olettaen että sivustoilla vain vähän aitoja 404-virheitä)
23. Mitä paremmin tietää, sitä paremmin tekee päätöksiä.
Kartoitus suunnittelu priorisointi investoinnit
Tietoturva(kin) on prosessi
24. Tietoturvahyökkäysyritysten
havaitseminen ja seuranta
Vastaukset esityksen alun kysymyksiin: Kyllä!
Kerää tilastoa automatisoidusti.
Jos joku on yrittänyt murtautua palvelimellesi,
voit käydä katsomassa monestiko, koska ja mistä
päin.
Panosta tietoturvaan suhteessa mitattuun uhkaan.
25. Ota yhteyttä kun haluat Seravo Oy:n
kehittämään tai ylläpitämään
Linux-pohjaisia tietojärjestelmiänne
Lisätietoa yrityksestä: seravo.fi
Lisätietoa teknologioista: seravo.fi/blog