Mi sono impazziti i log! Cosa potevo fare?

Documenti analoghi
Content Security Spam e nuove minacce

Come usare cloud per salvare l analogico

L'utente poco saggio pensa che gli informatici lo boicottino

14 Marzo 2013 Security Summit Milano

Cyber Security Day. 6 ottobre Con il supporto di:

Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it. 3 Ottobre 2013 Security Summit Verona

Virtualization (in)security

VoIP e Sicurezza: parliamone!

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Attacchi alle infrastrutture virtuali

Centralizzazione, log e monitoraggio

L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini

Cloud, Security, SaaS, ed altre meraviglie Come uscirne illesi!

IDS: Intrusion detection systems

Privacy Day Forum - 23 Maggio 2013 Luca BOLOGNINI Renato CASTROREALE

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Mobile Business Treviso, 9 Maggio 2014

Il Content Security dall'ambiente fisico al virtuale : come approcciare le nuove sfide?

L unica soluzione completa per registrare e conservare i Log degli Amministratori di Sistema

Protezione delle informazioni in SMart esolutions

Domande e risposte su Avira ProActiv Community

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

DESIGNAZIONE: Rappresenta una relazione tra due entità di tipo 1 ad M. Esempio tipico è : REPARTO IMPIEGATO

Sistemi di Gestione dei Dati e dei Processi Aziendali. Computer-Assisted Audit Technique (CAAT)

gli apparati necessari per fare e ricevere telefonate e fax, dal centralino al singolo telefono alla linea telefonica.

Domande aperte e storie di vita

Procedura per la configurazione in rete di DMS.

Console di Monitoraggio Centralizzata

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

Protezione della propria rete

I see you. fill in the blanks. created by

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

Servizio on-line di Analisi e Refertazione Elettrocardiografica

BASI DI DATI per la gestione dell informazione. Angelo Chianese Vincenzo Moscato Antonio Picariello Lucio Sansone

EyesLog The log management system for your server farm. Soluzioni Informatiche

Protocollo SNMP e gestione remota delle apparecchiature

WEB SECURITY. Enrico Branca WEBB.IT 03

Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare?

Note sul tema IT METERING. Newits 2010

Giornale di Cassa e regolarizzazione dei sospesi

1. CODICE DI ATTIVAZIONE 2. TIPOLOGIE GARANZIE 3. CONFIGURAZIONE NUMERI DI SERIE 4. DOCUMENTI

1. BASI DI DATI: GENERALITÀ

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale

SISTEMA DI LOG MANAGEMENT

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

PkBox Client Smart API

Funzionamento e attivazione

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

Protocollo Informatico (D.p.r. 445/2000)

CitySoftware PROTOCOLLO. Info-Mark srl

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

1) GESTIONE DELLE POSTAZIONI REMOTE

Data Base Management System. Strumenti: Formato: Pro: Contro: Software specifico. Proprietario

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

Privacy: 15 dicembre, nuove regole

Il controllo della tua infrastruttura in palmo di mano, come anticipare i problemi prima che sia troppo tardi

Software Servizi Web UOGA

60019 SENIGALLIA (AN), Via Caduti sul Lavoro n. 4 Capitale sociale ,00 i.v.

Scuola Digitale. Manuale utente. Copyright 2014, Axios Italia

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

SIAR - Versione

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Manuale Terminal Manager 2.0

Troppe Informazioni = Poca Sicurezza?

ARCHIVIAZIONE E. Obblighi & Opportunità. 8 Gennaio 2010

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

ManPro.Net: Principali caratteristiche del prodotto.

IT Cloud Service. Semplice - accessibile - sicuro - economico

Specifiche Tecnico-Funzionali

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER

Modulo Antivirus per Petra 3.3. Guida Utente

FATTURAZIONE ELETTRONICA PER LA P.A. Impresa? Prestatore Occasionale? Libero professionista? Scegli la soluzione più adatta alle tue esigenze.

OpenVAS - Open Source Vulnerability Scanner

Case Study Certificazione BS 7799

EasyLOG Peculiarità e scopi della soluzione

Classe 5 Bi Laboratorio di informatica Esercitazione di gruppo: configurazione server Apache

Sistemi informativi secondo prospettive combinate

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

1 Caratteristiche di Agit

Sicurezza in Internet. Criteri di sicurezza. Firewall

VMware. Gestione dello shutdown con UPS MetaSystem

TUTOR81 e-learning PROFESSIONAL

WE FOR YOU. Gestione Documentale integrata con ERP

MANUALE DI CONSERVAZIONE

Virus informatici Approfondimenti tecnici per giuristi

Progetto NoiPA per la gestione giuridicoeconomica del personale delle Aziende e degli Enti del Servizio Sanitario della Regione Lazio

Corso di Access. Prerequisiti. Modulo L2A (Access) 1.1 Concetti di base. Utilizzo elementare del computer Concetti fondamentali di basi di dati

PRINCIPALI ATTIVITA TECNICHE PER LA MISURA DEL GAS

NET GENERATION SOLUTIONS. Soluzione software per gestire il problema dei LOG degli Amministratori di Sistema

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Documentazione Tecnica. Client AnagAire V 6.0 AIRE. Anagrafe degli Italiani Residenti all Estero

Perché migrare a software open source?

Condizioni derivati DEGIRO

Gli allarmi che possono essere inseriti sono di tre tipi diversi:

Sicurezza dei sistemi e delle reti 1. Lezione X: Proxy. Proxy. Proxy. Mattia Monga. a.a. 2014/15

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

Transcript:

Mi sono impazziti i log! Cosa potevo fare? Alessio L.R. Pennasilico - apennasilico@clusit.it Security Summit 16 Marzo 2010 ATA Hotel Executive, Milano

Alessio L.R. Pennasilico Security Evangelist @ Board of Directors: Associazione Informatici Professionisti Associazione Italiana Professionisti Sicurezza Informatica CLUSIT Italian Linux Society, LUGVR, Metro Olografix, Sikurezza.org Hackerʼs Profiling Project, CrISTAL 2

Log? 3

Log? Log in inglese significa tronco di legno http://it.wikipedia.org/wiki/log 3

Log Con il significato di giornale di bordo, o semplicemente giornale, su cui vengono registrati gli eventi in ordine cronologico il termine è stato importato nell'informatica (1963) per indicare: la registrazione cronologica delle operazioni man mano che vengono eseguite il file su cui tali registrazioni sono memorizzate 4

Log Il log più semplice, dalle origini ad oggi, è un file sequenziale sempre aperto in scrittura, che viene chiuso e conservato a cadenze regolari e reso disponibile per: analisi delle segnalazioni di errore, produzione di statistiche di esercizio, come ad esempio quelle del traffico nei servizi web ripristino di situazioni precedenti analisi delle modifiche fatte nella base dati analisi delle operazioni fatte e dei responsabili di tali operazioni riassunto di quanto successo in un determinato arco di tempo ad esempio nelle chat 5

Dove registrarli? Utilizzo di un DB al posto del classico text-file Report HTML per aggregare 6

Tipi di log Log di sistema: in passato tipico dei mainframe ed oggi dei server di rete, memorizza gli eventi significativi che intercorrono tra il sistema, come fornitore di servizi e le applicazioni, come clienti dei servizi stessi. Quindi inizio e fine di servizio e ogni condizione (codificata), diversa dal normale servizio. Log di applicazione: molte applicazioni prevedono i propri log su cui sono registrati eventi caratteristici dell'applicazione e che fungono in certi casi da vero e proprio protocollo di entrata e di uscita. Log di base dati: in questo caso è il sistema gestore di base dati (DBMS) che registra le operazioni fatte sulla base dati: inserimento, aggiornamento, cancellazione di record. In DBMS evoluti, che forniscono servizi di tipo transazionale, il log è anche la base di riferimento per eseguire le funzioni di transazione completa (commit) o transazione annullata (rollback). 7

Sorgenti di log Hosts VPN Proxy Centralino VoIP IDS Firewall 8

Interoperabilità La mia infrastruttura di gestione dei log è adatta a ricevere i dati di tutte le mie applicazioni/sistemi? 9

SIEM Security Information and Event Management Formato proprietario Agent based 10

Log: a cosa servono? Verificare il corretto funzionamento dei sistemi/applicazioni Individuare deviazioni anomale dallo standard Mi accorgo delle anomalie solo se conosco la normalità 11

Auditor Chi controlla i log? Con quale frequenza? Con che competenze? Per controllare cosa? 12

Cosa individuo? Misconfiguration Guasti/Malfunzionamenti Attacchi 13

Documentare prima di fare Analisi Policy Gestione Cosa tenere - Quanto tempo - Come rilevare anomalie 14

Il consulente :) L analisi si fa alla macchina del caffè non configurando syslog-ng :) 15

Requirements Quali policy sono mandatorie? Quali sono modificabili? Quali sono le richieste legal? es. auth per Provvedimento A.d.S 16

Data flood Se tengo troppe informazioni non leggerò mai tutto quello che salvo 17

Data missing Se non tengo abbastanza informazioni ogni analisi sarà impossibile 18

Cosa progettare Collection Retention Correlation 19

Retention Log Rotation Policy Esaurimento spazio disco Raggiungimento dimensione massima database 20

Problemi Eccessivo utilizzo di risorse Utilizzo impossibile a causa della quantità di informazioni ricevute / da registrare 21

Sicurezza ed issue Reliability (UDP/TCP) Riservatezza/Integrità (Crittografia) 22

Centralizzare ed issue Le stesse considerazioni valgono per un log collector? Utilizzo in WAN (Internet?) Possibile grande mole di dati (cpu/disco,db) Rate limits? 23

Attacker La prima azione di un intruso esperto è la pulizia dei log Può seguire l installazione di un rootkit che evita che alcuni log vengano prodotti in seguito 24

Integrità dei log? I file di testo possono essere modificati in un secondo momento oppure on-the-fly In locale, in rete... 25

Integrità dei log? Firma digitale Timestamping Supporti WORM Stampare su carta Inoltro ad un Log Collector 26

Side effects Il Log collector è a tutti gli effetti un server con uno o più servizi accessibili dalla rete I server possono essere più di uno (= maggior effort di gestione) 27

Formato dei log Come consolidare log provenienti da diverse architetture contenenti diverse informazioni in formati diversi? 28

Diverse fonti Un router si autentica via Radius I log li manda il router o il server Radius? 29

Scorciatoie... CTRL-ALT-F12 Utile o dannoso? 30

Alerting tail [-f] cat grep logwatch swatch splunk Invio di trap, mail o sms? 31

Correlation Attività tutt altro che banale molti falsi [positivi negativi] L orario dei server è sincronizzato? Molti prodotti, molti approcci, ottimi paper Esiste davvero una soluzione universale? 32

Actions Analisi e correlazione possono dare luogo ad una azione A volte si producono problemi enormi nel tentativo di mitigare un falso positivo 33

Assessment La mia infrastruttura si comporta davvero come vorrei? Test and validation periodici attivi / passivi 34

Conclusioni I problemi da affrontare per una corretta gestione dei log sono molti e non banali Gli strumenti tecnologici esistono Solo una attenta analisi a priori ed una costante gestione e verifica delle informazioni mi garantisce una gestione efficace 35

Web-o-Grafia http://it.wikipedia.org/wiki/log http://csrc.nist.gov/publications/nistpubs/800-92/sp800-92.pdf http://www.blackhats.it/it/eventi/05072002/log_analysis_1.ppt http://www.blackhats.it/it/eventi/05072002/log_analysis_2.ppt http://www.alba.st/presentazioni.php http://www.securityfocus.com/infocus/1613 http://www.sans.org/resources/top5_logreports.pdf 36

These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same licence :) Grazie dell attenzione! Domande? Alessio L.R. Pennasilico - apennasilico@clusit.it Security Summit 16 Marzo 2010 ATA Hotel Executive, Milano

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back